본문 바로가기

분석의 묘미4

Chpater 2. 루트킷의 동작원리를 알아보자 Chapter 1. 루트킷이란? ㄴ 루트킷의 의미 Chapter 2. 루트킷의 동작원리 Chapter 3. 후킹기술 소개 ㄴ Import Address Table (IAT) 후킹 ㄴ Inline 함수 후킹 ㄴ DLL 인젝션 기법 소개 ㄴ 커널 후킹 기술 알아보기 Chapter 4. 루트킷 탐지기술 소개 ㄴ 후킹 탐지기법과 메모리 스캐닝 기법 소개 ㄴ HIPS(행동 탐지) 기반 탐지 기법 소개 ㄴ 루트킷 탐지툴(RootkitRevealer)의 작동원리 소개 전 챕터(바로가기)에서 살펴보았던 것 처럼 루트킷은 사용하기에 따라 시스템의 중요한 보안이 될수도 있고 중대한 위협요소가 될 수도 있음을 확인하였다. 오늘은 사용하기에 따라서, 프로그래머의 목적에 따라서 컴퓨터를 좌지우지 할 수 있는 루트킷이 어떻게 동.. 2008. 8. 3.
Chapter 1. 루트킷이란? (루트킷의 의미) Chapter 1. 루트킷이란? ㄴ 루트킷의 의미 Chapter 2. 루트킷의 동작원리 Chapter 3. 후킹기술 소개 ㄴ Import Address Table (IAT) 후킹 ㄴ Inline 함수 후킹 ㄴ DLL 인젝션 기법 소개 ㄴ 커널 후킹 기술 알아보기 Chapter 4. 루트킷 탐지기술 소개 ㄴ 후킹 탐지기법과 메모리 스캐닝 기법 소개 ㄴ HIPS(행동 탐지) 기반 탐지 기법 소개 ㄴ 루트킷 탐지툴(RootkitRevealer)의 작동원리 소개 1. 루트킷이란? 루트킷의 의미... 루트킷(Rootkit)이 뭘까? 루트킷은 필자가 가장 좋아하는 드라이버, 커널 시스템 프로그래밍 분야에서 가장 관심을 갖고 둘러보고 있는 분야 중 하나이다. 루트(Root)의 사전적 의미를 살펴보자. 루트는 식물의 .. 2008. 7. 28.
PE File Format에 좀 더 자세히 접근해보자! ※ 흐릿한 그림은 클릭(Click)하면 원본크기로 나옵니다. PE 파일 형식 예와 구성 그림 1-5는 EXE 파일을 바이너리로 읽어 들인 것입니다. 맨 앞의 MZ로 시작하는 부분이 MS-DOS의 헤더입니다. "This Program cannot be run is dos mode" 라는 부분의 앞 부분이 도스에서 윈도우 프로그램이 실행되는 것을 막는 역할을 합니다. PE 헤더는 Winnt.h 안에 들어 있습니다. 아래 그림 1-6은 PE형식의 구성도입니다. PE 구조의 첫 부분이자 첫 시작! 도스 스텁(Dos Stub)과 도스 헤더(Dos Header) 이 도스스텁과 도스헤더는 DOS 시절에 사용되었지만 현재 윈도우에서는 사용되고 있지는 않습니다. 다만, 이 부분을 모르고 넘어간다면 다음에 나올 DOS_H.. 2008. 7. 28.
PE File Format에 대해 알아보기 ※ 흐릿한 그림은 클릭(Click)하면 원본크기로 나옵니다. PE파일을 언급하는 이유는 추후 있을 버퍼 오버플로우 기법과 바이러스 제작 강좌에 응용력을 키울수 있도록 하게끔 하는 것이 그 목적입니다. 스펙이라는 특성상 매우 지루할 내용이긴 하나 잘 이해만 해두신다면 시스템 프로그래머에 한발 더 앞서가는 일이 아닐까 합니다. 본론으로 넘어가서... PE 파일 형식(Portable Exucutable File Format)이란? 파일에 담겨 다른 곳에 옮겨져도 실행될 수 있도록 규정한 형식이라는 뜻입니다. PE 형식을 제대로 알지 못하면 윈도우 내부를 살펴보는데 많은 제약이 따르고 PE 형식은 단시간내에 마스터할 수 있는 내용은 아니기에 우선 형식이 어떤 것인지 프로그램 소스코드를 제공하며 유추해보도록 하겠.. 2008. 7. 28.