公开(公告)号：KR101632152B1

公开(公告)日：2016-06-21

申请号：KR1020150113290

申请日：2015-08-11

Applicant: 숭실대학교산학협력단

Inventor： 이정현 ,  조태주 ,  김현기

IPC: G06F21/14 ,  G06F21/12

Abstract: 본발명은모바일플랫폼동적분석방지장치및 그방법에대한것이다. 본발명에따른모바일플랫폼동적분석방지장치는모바일플랫폼의달빅가상머신에접근하여모바일플랫폼의버전정보를검출하고, 버전정보를참고로달빅가상머신내 전역변수의주소값을포인터변수에저장하고, 포인터변수를참고로전역변수의필드값을획득하고제어명령에따라해당전역변수의필드값을변조하는달빅가상머신어댑터와, 달빅가상머신어댑터를통해전역변수중 디버거관련전역변수의필드값을전달받아달빅가상머신과외부디버거간 연결유무를판단하고판단결과에따라외부디버거의연결을해제시키는디버거탐지모듈과, 전역변수중 통신관련전역변수의필드값을변조하기위한제어명령을생성하여달빅가상머신어댑터에전달하는전송제어모듈및 전역변수중 외부디버거가사용하는브레이크포인트관련전역변수의필드값을변조하기위한제어명령을생성하여달빅가상머신어댑터에전달하는브레이크포인트방지모듈을포함한다. 본발명에따르면, 모바일플랫폼어플리케이션에서디버거가플랫폼과통신하기위해사용되는변수값을변조하여접근을차단함으로써디버거를통한동적분석을원천적으로방지할수 있다.

Abstract translation: 本发明涉及一种用于在移动平台上防止动态分析的装置和方法。 根据本发明，用于防止移动平台上的动态分析的装置包括：Dalvik虚拟机适配器，其访问移动平台的Dalvik虚拟机以检测移动平台的版本信息，存储全球的地址值 参考版本信息的指针变量中的Dalvik虚拟机中的变量，参照指针变量获取全局变量的字段值，并根据控制命令调制全局变量的字段值; 一个检测调试器模块，它从Dalvik虚拟机适配器接收与全局变量调试器相关的全局变量的字段值，确定Dalvik虚拟机是否连接到外部调试器，并根据外部调试器断开Dalvik虚拟机 确定结果; 传输控制模块，其生成用于调制全局值的通信相关全局变量的字段值的控制命令，并将生成的控制命令传送到Dalvik虚拟机适配器; 以及防止断点模块，其产生用于调制由外部调试器使用的全局变量的与断点相关的全局变量的字段值的控制命令，并将生成的控制命令传送到Dalvik虚拟机适配器。 根据本发明，可以通过调制调试器在移动平台应用中用于与平台通信的可变值来防止访问，从而从根本上阻止通过调试器的动态分析。

公开(公告)号：KR1020160046630A

公开(公告)日：2016-04-29

申请号：KR1020140142791

申请日：2014-10-21

Applicant: 숭실대학교산학협력단

Inventor： 이정현 ,  김명호 ,  방지웅 ,  조태주 ,  지명주

IPC: H04L12/26 ,  H04L9/32 ,  G06F21/12

CPC classification number: H04L9/3236

Abstract: 본발명은해싱기법을통한실시간모바일응용프로그램위변조탐지장치및 방법을개시하고있다. 모바일단말에응용프로그램설치시, 응용프로그램의해쉬값을추출하여상기모바일단말에저장하고, 응용프로그램실행시, 원본응용프로그램의해쉬값을저장하고있는인증서버로부터원본해쉬값을수신하고, 모바일단말에응용프로그램설치시저장된해쉬값과비교하고, 원본해쉬값과모바일단말에저장된해쉬값이일치하면응용프로그램을실행하고, 원본해쉬값과모바일단말에저장된해쉬값이불일치하면응용프로그램의실행이종료된다.

Abstract translation: 本发明公开了一种使用散列方法实时检测移动应用的伪造和伪造的装置和方法。 当应用程序安装在移动终端中时，提取应用的哈希值以将该值存储在移动终端中。 当执行应用程序时，从存储原始应用程序的哈希值的认证服务器接收原始散列值，然后将接收到的值与应用程序安装在移动终端中时存储的哈希值进行比较。 随后，当原始哈希值与存储在移动终端中的哈希值一致时，执行应用，并且当原始哈希值与存储在移动终端中的哈希值不一致时，结束执行应用。

公开(公告)号：KR101566141B1

公开(公告)日：2015-11-06

申请号：KR1020150002935

申请日：2015-01-08

Applicant: 숭실대학교산학협력단

Inventor： 이정현 ,  방지웅 ,  조태주

IPC: G06F21/50

CPC classification number: H04L9/3247 ,  G06F21/51 ,  H04B1/3833 ,  H04L63/123 ,  H04L63/1441 ,  H04L2209/80 ,  H04W12/08 ,  H04W12/10 ,  H04W12/12 ,  G06F21/50

Abstract: 본발명은서명정보를이용하여응용프로그램의위변조여부를탐지하는사용자단말기및 그것을이용한위변조탐지방법에관한것으로, 본발명의일 실시예에따른사용자단말기는상기응용프로그램이설치될때, 플랫폼레벨에서상기사용자단말기에설치된상기응용프로그램의서명정보를추출하는서명정보추출부, 상기설치된응용프로그램이실행되면, 플랫폼레벨에서인증서버로상기사용자단말기정보와상기응응프로그램의정보를전송하여상기인증서버로부터상기응용프로그램의서명정보원본을수신하거나, 상기사용자단말기와페어링된주변기기로부터상기응용프로그램의서명정보원본을수신하는통신부, 그리고플랫폼레벨에서상기인증서버또는상기주변기기로부터수신한서명정보원본과상기추출된서명정보를비교하여상기응용프로그램의위변조여부를판단하는위변조판단부를포함한다. 이와같이본 발명에의하면, 서명정보를이용하여응용프로그램의위변조여부를탐지하는사용자단말기및 그것을이용한위변조탐지방법을이용함으로써, 위변조된 응용프로그램으로부터사용자단말기를보호할수 있다. 또한플랫폼수준에서응용프로그램위변조를탐지함으로써, 우회및 회피가가능한응용프로그램수준에서의위변조탐지방법의한계점을극복할수 있다.

Abstract translation: 本发明涉及一种用于通过使用签名信息来检测应用程序的伪造的用户终端和使用该终端来检测伪造的方法。 根据本发明的一个实施例的用户终端包括：签名信息提取单元，用于在安装应用程序时提取在平台级安装在用户终端中的应用程序的签名信息; 通信单元，用于当运行应用程序时，将用户终端信息和应用程序信息发送到平台级的认证服务器，从而从认证服务器接收应用程序的真实签名信息或接收应用程序的真实签名信息 来自与用户终端配对的外围设备的程序; 以及伪造判定单元，用于将来自真实服务器或外围设备的平台级别接收的真实签名信息与所提取的签名信息进行比较，从而确定应用程序是否被伪造。 根据如上所述的本发明，可以通过使用能够使用签名信息检测应用程序的伪造的用户终端和用于检测伪造的方法来保护用户终端免于伪造的应用程序。 此外，可以在平台级别检测应用程序的伪造，从而可以克服在能够绕过和避免的应用程序级检测伪造的方法的限制。

公开(公告)号：KR1020170086926A

公开(公告)日：2017-07-27

申请号：KR1020160006571

申请日：2016-01-19

Applicant: 삼성전자주식회사 ,  숭실대학교산학협력단

Inventor： 정문규 ,  이정현 ,  조태주

IPC: G06F21/57 ,  G06F21/12 ,  G06F9/54

Abstract: 본발명은애플리케이션의정량적수치를제공해줌으로써보안취약성에대한객관적인데이터를제공하는애플리케이션의보안취약성평가기기및 그평가방법이제공된다. 본발명의애플리케이션의보안취약성평가방법은, 평가대상인애플리케이션에사용되는적어도하나의 API (APPLICATION PROGRAMING INTERFACE)를결정하는단계와; 상기결정된API의특성정보에기초하여상기 API 에대한배타적정보에의접근정도를결정하는단계와; 상기결정된API의배타적정보에의접근정도에기초하여상기애플리케이션의보안취약성을평가하는단계를포함하는것을특징으로한다.

Abstract translation: 本发明提供了一种安全漏洞评估装置及其评估方法，用于通过提供应用程序的量化值来提供关于安全漏洞的客观数据。 本发明应用的安全漏洞评估方法包括：确定待评估应用中使用的至少一个应用编程接口（API） 基于确定的API的属性信息来确定对API的独占信息的访问程度; 并根据所确定的对API专有信息的访问程度来评估应用程序的安全漏洞。

公开(公告)号：KR101537205B1

公开(公告)日：2015-07-16

申请号：KR1020150002936

申请日：2015-01-08

Applicant: 숭실대학교산학협력단

Inventor： 이정현 ,  지명주 ,  방지웅 ,  조태주

IPC: H04L9/32 ,  H04L12/26 ,  G06F21/12

CPC classification number: H04L9/3236 ,  G06F21/12 ,  G06F21/44 ,  G06F21/52 ,  H04L9/3239 ,  H04L63/0876 ,  G06F21/121 ,  H04L43/0805

Abstract: 본발명은해쉬값을이용하여응용프로그램의위변조여부를탐지하는사용자단말기및 그것을이용한위변조탐지방법에관한것으로, 본발명의일 실시예에따른사용자단말기는상기설치된응용프로그램이실행될때, 플랫폼레벨에서인증서버로상기사용자단말기정보와상기응응프로그램의정보를전송하여상기인증서버로부터상기응용프로그램의해쉬값원본을수신하거나, 상기사용자단말기와페어링된주변기기로부터상기응용프로그램의해쉬값원본을수신하는통신부, 플랫폼레벨에서상기사용자단말기에설치된상기응용프로그램의해쉬값을생성하는해쉬값생성부, 그리고플랫폼레벨에서상기인증서버또는상기주변기기로부터수신한상기해쉬값원본과상기생성된해쉬값을비교하여상기응용프로그램의위변조여부를판단하는위변조판단부를포함한다. 이와같이본 발명에의하면, 위변조된 응용프로그램으로부터사용자단말기를보호할수 있다. 또한플랫폼수준에서응용프로그램위변조를탐지함으로써, 우회및 회피가가능한응용프로그램수준에서의위변조탐지방법의한계점을극복할수 있다.

Abstract translation: 本发明涉及一种用于通过使用散列值来检测应用程序的篡改的用户终端以及通过使用用户终端来检测篡改的方法。 根据本发明的一个实施例的用户终端包括：通信单元，其在执行应用程序时将用户终端上的信息和平台级的应用程序传送到认证服务器，以接收应用的源散列值 来自认证服务器的程序，或者从与用户终端配对的外围设备接收应用程序的源哈希值; 哈希值生成单元，其在平台级别生成安装在所述用户终端中的应用程序的哈希值; 以及回火检测单元，其比较从认证服务器或外围设备接收的源散列值和生成的用于检测应用程序的回火的散列值。 根据本发明，可以保护用户终端免受已被调节的应用程序的影响。 此外，可以在平台级别检测应用程序的回火，从而克服与用于检测篡改的常规方法相关的问题，这些方法可能绕行或回避这种方法。