유저 레벨 루트킷

유 저 레벨 루트킷으로써의 가장 기본임과 동시에 모든 부분이 되기도 하는 기법이 바로 API Hooking이다. Ring3에서는 시스템에 전역적인 영향을 끼치는 커널 구조체를 컨트롤 할 수 없으므로 은닉을 위해서는 기본적으로 후킹 기법을 필수적으로 사용한다.

그리고 타겟이 되는 API는 사용자가 공격자의 코드나 바이너리를 발견하지 못하도록 모듈을 찾는 관련 함수가 직접적인 대상이 된다. 예를 들면 파일을 찾을 때 FindNext File() 이나 프로세스를 찾을 때의 Process32Next() 같은 API가 대표적인 경우이다.

유저 레벨에서 루트킷을 찾는 방법에 대해 알아보자. 물론 유저 레벨에서의 검출 방법은 커널 레벨에 비해 그 활용성이 지극히 제한적이고, 기법도 다양하지 않은 편이다. 그러나 방법이 전혀 쓸모없는 것도 아니다.

또한 이런 방법이 반드시 루트킷을 찾을 때만 사용되는 기술은 아니라는 점에서 다른 여러 시스템 프로그래밍에 활용할 수 있는 부분도 있다. 그렇다면 유저 레벨에서의 검출 방법에는 어떤 것이 있는지 살펴보자.

csrss.exe 의 스레드 리스트 이용

윈 도우 시스템 프로세스 중 하나인 csrss.exe를 활용하면 유저 레벨에서도 루트킷을 감지할 수 있다. csrss.exe는 Client Server Run-time SubSystem의 약자로 윈도우 시스템을 가동시키는 핵심 프로세스이다. 이 프로세스는 윈도우에서 실행되는 모든 프로세스의 오브젝트를 관장하고 있다. 따라서 csrss.exe의 스레드 리스트를 구하면 루트킷 프로세스까지 검출이 가능하다.

http://kgbvsfbi.blogspot.com/2009_05_01_archive.html

List of Articles
번호	분류	제목	날짜	조회 수
103	컴퓨터잡담	Mysql 에러메시지	2010.04.27	17481
102	컴퓨터잡담	Table_open_cache 가 늘어나지 않는 이유. 1 3	2010.04.27	15497
101	컴퓨터잡담	트위터 개발하기 3	2010.04.26	13791
100	컴퓨터잡담	블로그/사이트의 키워드 훔쳐보기^^;;	2010.04.21	9194
99	컴퓨터잡담	DB MyISAM, InnoDB 입출력 처리방식 3	2010.04.20	13783
98	컴퓨터잡담	서버에 SSD 교체 작업을 해야되나?	2010.04.20	6514
97	컴퓨터잡담	MySQL FEDERATED / InnoDB is disabled, myint64.dll 오류 어찌하오리 4	2010.04.19	27665
96	컴퓨터잡담	MySQL 조율(튜닝)에 대해 2	2010.04.14	15770
95	컴퓨터잡담	svchost.exe 프로세스로 내컴퓨터 최적화 시키기	2010.04.14	7356
94	컴퓨터잡담	mysql threads_created 뭐냥? 4	2010.04.13	11975
93	컴퓨터잡담	MYSQL Qcache 값 조정~~~ 1	2010.04.13	19480
92	컴퓨터잡담	쓸데없는 시작 프로그램을 없애자	2010.04.10	6101
91	컴퓨터잡담	삼성, 프로그래머들에게 스마트폰 콘텐츠 개발하고 싶게 만들어라. 2	2010.04.09	10982
90	컴퓨터잡담	MYSQL my.cnf 최적화 15	2010.04.07	22514
89	컴퓨터잡담	MySQL을 위한 하드웨어 최적화(What one can and should optimize) 2	2010.04.06	13114
88	컴퓨터잡담	로그인 아이디 쿠키로 기억하기	2010.04.05	10953
87	컴퓨터잡담	부팅시 에러 메시지 PRESS F1 to REsume 2	2010.04.03	15969
86	컴퓨터잡담	php에서 script로 변수 전달 후 html에 div로 내용 출력하기 1 3	2010.04.01	15765
85	컴퓨터잡담	50 개 이상의 Ajax 예제들	2010.03.29	18119
84	컴퓨터잡담	50 개 이상의 Ajax 예제들 2	2010.03.29	18883

분류

103

컴퓨터잡담

Mysql 에러메시지

2010.04.27

17481

102

컴퓨터잡담