Skip to content
컴퓨터잡담
2010.01.21 13:14

API Hooking 유저 레벨 루트킷

조회 수 11623 추천 수 0 댓글 1
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

유저 레벨 루트킷

유 저 레벨 루트킷으로써의 가장 기본임과 동시에 모든 부분이 되기도 하는 기법이 바로 API Hooking이다. Ring3에서는 시스템에 전역적인 영향을 끼치는 커널 구조체를 컨트롤 할 수 없으므로 은닉을 위해서는 기본적으로 후킹 기법을 필수적으로 사용한다.

그리고 타겟이 되는 API는 사용자가 공격자의 코드나 바이너리를 발견하지 못하도록 모듈을 찾는 관련 함수가 직접적인 대상이 된다. 예를 들면 파일을 찾을 때 FindNext File() 이나 프로세스를 찾을 때의 Process32Next() 같은 API가 대표적인 경우이다.

.

.

.

유저 레벨에서 루트킷을 찾는 방법에 대해 알아보자. 물론 유저 레벨에서의 검출 방법은 커널 레벨에 비해 그 활용성이 지극히 제한적이고, 기법도 다양하지 않은 편이다. 그러나 방법이 전혀 쓸모없는 것도 아니다.

또한 이런 방법이 반드시 루트킷을 찾을 때만 사용되는 기술은 아니라는 점에서 다른 여러 시스템 프로그래밍에 활용할 수 있는 부분도 있다. 그렇다면 유저 레벨에서의 검출 방법에는 어떤 것이 있는지 살펴보자.

csrss.exe 의 스레드 리스트 이용 

윈 도우 시스템 프로세스 중 하나인 csrss.exe를 활용하면 유저 레벨에서도 루트킷을 감지할 수 있다. csrss.exe는 Client Server Run-time SubSystem의 약자로 윈도우 시스템을 가동시키는 핵심 프로세스이다. 이 프로세스는 윈도우에서 실행되는 모든 프로세스의 오브젝트를 관장하고 있다. 따라서 csrss.exe의 스레드 리스트를 구하면 루트킷 프로세스까지 검출이 가능하다.

.

.

.

http://kgbvsfbi.blogspot.com/2009_05_01_archive.html




TAG •
로그인 후 댓글쓰기가 가능합니다.

?

  1. 03
    Jul 2010
    09:57

    Div 사용한 클릭시 테이블 숨기고 감추기

    Category컴퓨터잡담 Views19994
    Read More
  2. 30
    Jun 2010
    18:05

    메모리 사용계획 어떻게 할것인가?

    Category컴퓨터잡담 Views15370
    Read More
  3. 27
    Jun 2010
    23:27

    정부의 부동산 재테크 실력은 부동산 경기침체 때 발휘한다.

    Category컴퓨터잡담 Views5708
    Read More
  4. 23
    Jun 2010
    17:24

    IE 접속제어 후킹

    Category컴퓨터잡담 Views7395
    Read More
  5. 22
    Jun 2010
    17:27

    여러개의 엑셀파일을 하나로 합치기

    Category컴퓨터잡담 Views57365
    Read More
  6. 19
    Jun 2010
    15:08

    유동 IP시간 만료로 리부팅해야만 인터넷 사용가능한 장애원인 해결방법

    Category컴퓨터잡담 Views13765
    Read More
  7. 19
    Jun 2010
    13:01

    Windows Firewall/Internet Connection Sharing (ICS) 서비스를 시작할 수 없습니다.

    Category컴퓨터잡담 Views20904
    Read More
  8. 18
    Jun 2010
    14:07

    Windows와 DOS 명령 프롬프트 환경 변수 리스트

    Category컴퓨터잡담 Views11184
    Read More
  9. 15
    Jun 2010
    18:40

    셀에 현재 날짜와 시간 삽입

    Category컴퓨터잡담 Views10275
    Read More
  10. 13
    May 2010
    16:53

    엑셀 다중조건 구현하기

    Category컴퓨터잡담 Views17311
    Read More
  11. 11
    May 2010
    07:03

    curl대신 사용할 수 있는 소스

    Category컴퓨터잡담 Views16314
    Read More
  12. 07
    May 2010
    08:03

    배치파일 IF문

    Category컴퓨터잡담 Views11578
    Read More
  13. 06
    May 2010
    10:36

    시스템은 멀쩡한데 느닷없이 mysql 접속거부의 이유는 max_connect_errors과의 연관성

    Category컴퓨터잡담 Views20892
    Read More
  14. 04
    May 2010
    13:16

    [해킹차단]이런창이 뜨는 사이트들 정말 조심하길 바란다.

    Category컴퓨터잡담 Views22012
    Read More
  15. 27
    Apr 2010
    11:03

    Mysql 에러메시지

    Category컴퓨터잡담 Views17524
    Read More
  16. 27
    Apr 2010
    09:47

    Table_open_cache 가 늘어나지 않는 이유.

    Category컴퓨터잡담 Views15520
    Read More
  17. 26
    Apr 2010
    14:24

    트위터 개발하기

    Category컴퓨터잡담 Views13794
    Read More
  18. 21
    Apr 2010
    10:15

    블로그/사이트의 키워드 훔쳐보기^^;;

    Category컴퓨터잡담 Views9206
    Read More
  19. 20
    Apr 2010
    18:42

    DB MyISAM, InnoDB 입출력 처리방식

    Category컴퓨터잡담 Views13812
    Read More
  20. 20
    Apr 2010
    11:17

    서버에 SSD 교체 작업을 해야되나?

    Category컴퓨터잡담 Views6521
    Read More
Board Pagination Prev 1 ... 39 40 41 42 43 ... 46 Next
/ 46

http://urin79.com

우린친구블로그

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소