300x250
악성코드 (Malware)
- 멀티스레드를 자주 사용
- DLL 파일도 디버그 가능
- 트레이스 : 자세한 실행정보를 기록하는 디버깅 기술
- Windbg : 마이크로소프트 윈도우 다용도 디버거
: 커널 디버깅의 초점
커널 (Kernel)
커널 <> 드라이버 <> 애플리케이션
- 악의적인 드라이버는 일반적으로 하드웨어를 제어하지 않는 대신 윈도우 커널 컴포넌트와 통신
윈도우 (Windows)
- Symbol : 단순히 특정 메모리의 주소의 이름
- 악성코드는 쉽게 들키지 않기 위해 커널 공간에서 파일을 쓴다
- 커널 모드에서 NtCreateFile과 NtWriteFile API 사용
- Vista 이후 윈도우는 boot 설정 데이터에 BCDEdit 프로그램 이용
- PatchGuard : 커널 보호 패치 매커니즘
- 이전에 보안제품은 정기적으로 커널 패치를 이용해 악의적인 행위 탐지 및 차단하였음
루트킷 (Rootkit)
- 해커와 같이 일반적으로 권한이 없는 사용자가 접근할 수 없는 영역에 접근하여
시스템을 제어하도록 설계된 악성 소프트웨어 모음
- 파일, 프로세스, 네트워크 접속, 프로그램 실행 등으로 인한 다른 파일을 숨겨서
백신제품, 관리자, 보안분석가가 악의적인 행위를 발견하지 어렵게 한다
반응형
'IT Security' 카테고리의 다른 글
| Malware) Cuckoo Sandbox (0) | 2023.08.06 |
|---|---|
| Malware) 악성코드 정리 (0) | 2023.07.24 |
| 정보보안) 랜섬웨어(ransomware) 대응 관련 참고 자료 (0) | 2022.08.09 |
| WEB) HTTP Request Smuggling (0) | 2022.03.26 |
| 리버싱) Malware_Analysis 실습 1-1 (Lab01) 정적분석 (0) | 2022.03.23 |