公开(公告)号：KR1020120087508A

公开(公告)日：2012-08-07

申请号：KR1020110008740

申请日：2011-01-28

Applicant: 한남대학교 산학협력단

Inventor： 이극 ,  유승재 ,  손철웅 ,  이규원

IPC: G06F9/06 ,  G06F12/16

CPC classification number: G06F11/1469 ,  G06F11/1451

Abstract: PURPOSE: A real time operation information backup method and recording medium thereof through LKM(Loadable Kernel Module) root kit detection are provided to detect a root kit executed in a computer system having LKM(Loadable Kernel Module) based operating system. CONSTITUTION: A process state command is executed for indicating an executable process state. A first process list is generated(S10). A structure of a process structure body of operating system is searched. A second process list is generated(S20). A malicious estimate process is detected(S40). The malicious estimate process is not included in the first and second process lists. Operating information is backup(S50).

Abstract translation: 目的：提供通过LKM（可加载内核模块）根工具包检测的实时操作信息备份方法和记录介质，以检测在具有LKM（可加载内核模块）操作系统的计算机系统中执行的根工具包。 构成：执行进程状态命令以指示可执行进程状态。 生成第一处理列表（S10）。 搜索操作系统的过程结构体的结构。 生成第二处理列表（S20）。 检测到恶意估计处理（S40）。 恶意估算过程不包括在第一个和第二个进程列表中。 操作信息备份（S50）。

公开(公告)号：KR101223594B1

公开(公告)日：2013-01-17

申请号：KR1020110008740

申请日：2011-01-28

Applicant: 한남대학교 산학협력단

Inventor： 이극 ,  유승재 ,  손철웅 ,  이규원

IPC: G06F9/06 ,  G06F12/16

Abstract: LKM(Loadable Kernel Module) 기반 운영체제를 가지는 컴퓨터 시스템에서 실행되는 루트킷(rootkit)을 검출하고, 루트킷 검출시 컴퓨터 시스템의 운영정보를 백업하는 LKM 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체에 있어서, (a) 실행되고 있는 프로세스의 상태를 나타내주는 명령어(이하 프로세스 상태 명령어)를 실행하여, 제1 프로세스 리스트를 생성하는 단계; (b) 운영체제의 프로세스 구조체의 구조를 탐색하여 제2 프로세스 리스트를 생성하는 단계; (c) 제1 및 제2 프로세스 리스트에 모두 포함되어 있지 않은 프로세스(이하 악성추정 프로세스)를 검출하는 단계; 및, (d) 악성추정 프로세스가 검출되면, 운영정보를 백업하는 단계를 포함하는 구성을 마련한다.
상기와 같은 장치 및 방법에 의하여, LKM 루트킷에 의해 컴퓨터 시스템이 침입되면 즉시 이를 검출하여 시스템의 중요한 자료를 백업시킴으로써, 시스템 피해와 침입자 추적 등 사후조사를 할 때 보다 신뢰성 있는 정보를 제공할 수 있다.