M C S 심 층 분 석 1 루트킷을이용하는악성코드 안철수연구소주임연구원 고흥환 1. 개요 루트킷설치는 SunOS, Unix, Linux 등의루트권한을획득하기위한해커들의가장중요한목적이기도하다. 루트킷 이라는이름의유래도바로이러한루트액세스를위한공격에서유래된것이다. 루트킷의

Size: px
Start display at page:

Download "M C S 심 층 분 석 1 루트킷을이용하는악성코드 안철수연구소주임연구원 고흥환 1. 개요 루트킷설치는 SunOS, Unix, Linux 등의루트권한을획득하기위한해커들의가장중요한목적이기도하다. 루트킷 이라는이름의유래도바로이러한루트액세스를위한공격에서유래된것이다. 루트킷의"

Transcription

1 루트킷을이용하는악성코드 NCSC-TR050024

2 M C S 심 층 분 석 1 루트킷을이용하는악성코드 안철수연구소주임연구원 고흥환 1. 개요 루트킷설치는 SunOS, Unix, Linux 등의루트권한을획득하기위한해커들의가장중요한목적이기도하다. 루트킷 이라는이름의유래도바로이러한루트액세스를위한공격에서유래된것이다. 루트킷의시초를보면공격대상의시스템 ( 주로 Unix였다 ) 에대한이더넷패킷의스니핑 1 이었다. 공격대상의시스템에루트킷코드를설치하여 Telnet, FTP 등의패킷을가로채대상시스템의접속아이디와패스워드를획득하는방법을사용하였다. 근래에와서는개인의 PC를대상으로하는윈도우루트킷이등장하였다. 윈도우루트킷코드는단순히루트의권한을획득하기위한것이라기보다는시스템이미지변경과악성코드에대한보호로이어지고있다. 개인 PC에서루트킷의역할은 80~90% 가악성코드 (IRCBot 또는 Backdoor) 에대한프로세스은닉으로나타나고있다. 최근에는소니 CD에포함된불법복사방지기법이루트킷으로작동될수있다고하여, 공개리콜에들어가기도하는등루트킷에대한관심이고조되고있는실정이다. 본글에서는윈도우커널루트킷에한정하여커널단에서의 API 후킹방법과루트킷탐지방법에대해서설명하고끝으로루트킷에대한대응방안에대해논의하고자한다. 2. 루트킷의발전 루트킷 에대한정의를내리자면 일관되게영구적으로시스템에서탐지되지않도록하는코드와프로그램의집합, 공격자가루트권한을획득하기위한작고실용적인프로그램으로구성된집합 이라할수있다. 1. 스니핑 (Sniffing) - Sniff( 냄새를맡다, 코를킁킁거리다 ) 의어원에서유래되어네트워크상의송수신데이터를도청하는행위를말한다. 31

3 M C S 심 층 분 석 1 이러한루트킷에대한보안쟁점은 1994년초기로거슬러올라간다. 당시 CERT/CC(Computer Emergency Response Team/Coordination Center, 카네기멜론대 ), 미 CIAC(Computer Incident Advisory Capability) 에서는여러보안권고문을발표한바있다. CERT/CC Advisory CA-94:01, Ongoing Network Monitoring Attacks, Feb 3, 1994 CERT/CC Advisory CA-95-95:18, Widespread Attacks on Internet Sites, Dec 18, 1995 CIAC Advisory E-09, Network Monitoring Attacks, Feb 3, 1994 CIAC Advisory E-12, Network Monitoring Attacks Update, Mar 18, 1994 윈도우시스템이개인사용자에게보편화되고서버장비의 OS 로도운용되면서자연스럽게루트 킷의공격목표도윈도우로넘어오게되었다. 윈도우시스템은 Unix, Linux와달리 OS 소스코드나중요 API에대해공개를하지않아윈도우가개발된초기에는전체바이러스나악성코드가현저히줄어드는현상도나타났었다. 많은윈도우개발자가등장하고보편화되면서서서히악성코드도증가하게되었으며, 현대의대중적인터넷시스템에서는인터넷웜이중요한문제로대두되고있다. 또한현재의두드러진특징중하나는금전적이득을위한트로이목마의비중이커지고있다는것이다 도표 옆의 [ 도표 1] 은안철수연구소에접수되어 Win-Trojan/Rootkit 으로진단된루트킷의연도별추가사항을그래프로나타낸것이다. 2005년이전에는웜또는트로이목마의진단명을그대로부여하여다소차이가나타날수있으나 2005년현재악성코드에서의루트킷사용증가는두드러지게나타나고있다. 현재루트킷사용증가의주요한특징을보면다음과같다. 1 루트킷을이용한웜 (IRCBot), 트로이목마 (Backdoor) 의증가 2 윈도우커널 SSDT(System Service Descriptor Table) 를후킹하여악성코드의프로세스및파일보호 3 루트킷소스의인터넷공개에따른중국제작의루트킷증가 4 스파이웨어에서의루트킷사용 3. 윈도우커널루트킷 루트킷본래의목적을위해서는안티바이러스나기타스캔도구에탐지되지않아야한다. 이를위해서는항시감시되고있는사용자모드의애플리케이션또는서비스모듈보다커널모드로구성 32 Monthly 사이버시큐리티

4 루트킷을이용하는악성코드 하는것이휠씬효과적일것이다. 물론몇몇의안티바이러스업체나스캔도구에서커널단에대해서감시를하기시작하였으나그것이널리보편적이지는않다. 그리고커널모드에서의루트킷구성은다양한방법으로시도되고있으며그에따른탐지도쉽지않은실정이다. 커널단의루트킷구성으로성취할수있는것을보면다음과같이나눌수있다. 1 프로세스제어 - 프로세스 / 스레드은닉 2 파일및레지스트리제어 - 파일 / 폴더 / 레지스트리은닉 3 보안변경 - 프로세스의보안설정변경및제거 4 메모리은닉 - 디버거 / 루트킷탐지프로그램에대한데이터은닉 5 네트워크제어 - TDI/TCPIP 드라이버후킹에따른소켓 / 패킷데이터스니핑 6 키보드제어 - 키보드필터에따른키데이터스니핑 커널모드루트킷의제작과동작은사용자모드에서의악성코드제작보다많은노력과시간이소비된다. 이에따른오동작은윈도우시스템의 BSOD(Blue Screen Of Death) 로이어지게마련이다. 그러나루트킷의소스가인터넷에공개되고작은크기의바이너리로시스템을제어할수있는장점으로인하여점점더많은악성코드에서이를악용하는사례가많아지고있는실정이다. 국내에서발견된루트킷의대부분은중국과유럽등에서공개소스를재컴파일하거나약간의수정을한상태로나타나고있다. 이에대한활용도도악성코드프로세스를은닉하는경우가대부분이다. 그러나점진적으로그사용용도에대한확장과동시에다양한기법들이이용될것으로예상되고있다. 4. 전형적인루트킷과트로이목마의연동 [ 그림 1] 트로이목마와의연동 33

5 M C S 심 층 분 석 1 위 [ 그림 1] 에서는트로이목마와루트킷의기본적인연동관계를그림으로나타낸것이다. 일반사용자는메일, 메신저, 게시판, 자료실등에서실행파일이다운로드되거나기타다른악성코드에의해설치될경우, [ 그림 1] 의왼쪽과같이하나의실행파일형태를이루고있다. 이러한트로이목마가실행될경우에는 [ 그림 1] 의오른쪽과같이사용자모드에서활동하는백도어 (Backdoor) 와커널모드에서활동하는루트킷 (Rootkit) 으로나뉘어시스템을장악하게된다. 설치된루트킷은백도어의프로세스와파일, 네트워크연결에대한은닉과보호를위해커널이미지코드를수정할것이다. 사용자모드의백도어는해커와연결될수있도록 TCP 포트를열고기다리게되며이에따라해커는자유자재로사용자의시스템을드나들수있게된다. 트로이목마로부터루트킷의분리와설치및실행순서를보면다음과같이나타낼수있다. 1 , 취약점, 파일다운로드등에의한트로이목마 ( 또는웜 ) 의실행 2 트로이목마파일리소스 (Resource) 에위치한루트킷분리 / 생성 - LoadResource, SizeofResource, LockResource, CreateFile 3 루트킷의서비스설치및실행 - Service Control Manager에의한설치 - Undocumented API인 SystemLoadAndCallImage에의한설치 4 트로이목마 / 시스템종료시루트킷서비스 & 파일제거 여기서한가지더살펴볼것은 3 루트킷의서비스설치및실행 에대한문제이다. 윈도우커널드라이버는서비스모듈과마찬가지로서비스로등록및실행된다. 그러나이와같은방법은레지스트리와서비스등록모듈감시로쉽게탐지될소지가있다. 그래서사용되는것이윈도우중요서브시스템인 NTDLL.dll의 Undocumented API이다. NTDLL.dll의 ZwSetSystemInformation의첫번째인자에 SystemLoadAndCallImage 서비스호출로서쉽게루트킷드라이버를시스템에서실행시킬수가있다. 이러한방법에도문제는따른다. 바로 BSOD이다. 실행된루트킷모듈은커널의페이지된메모리 (Paged Memory) 에올라가기때문에사용중이지않을때에는페이지아웃 ( 디스크로저장 ) 되어직접주소호출시문제가발생한다. [ 도표 2] 는 2005년마이크로소프트보안프로그램매니저 Alexey Polyakov의 Windows Rootkits 발표자료에서발취한것으로 SSDT(System Service Dispatch Table) 후킹에의한시스템크레쉬 (Crash) 발생원인의 API를그림으로나타낸것이다. 이후에설명할커널레벨후킹기법에서자세히다루겠으나 SSDT 후킹은현재악성코드에서사용되는루트킷의 80~90% 가사용하고있는기법이다. 34 Monthly 사이버시큐리티

6 루트킷을이용하는악성코드 Targeted API by groups Acl R/W 13% Stealth 6% Other 9% Registry Access 27% Process Control 45% [ 도표 2] 루트킷에의한시스템오류 API 5. 윈도우커널레벨후킹기법 이번장에서는윈도우커널레벨에서의다양한후킹방법에대해서논의하고자한다. 여러가지방법에대한논의에앞서윈도우시스템에서의사용자모드와커널모드에대한사전지식이필요하다. [ 그림 2] 는윈도우시스템의일반적인시스템서비스호출에대한흐름이다. [ 그림 2] Windows System Service 애플리케이션에서윈도우 API인 WriteFile을사용한경우, Kernel32.dll의 WriteFile이호출되고이는 NTDLL.dll의 NtWriteFile/ZwWriteFile을호출하게된다. 서브시스템인 NTDLL.dll은커널 35

7 M C S 심 층 분 석 1 단의시스템서비스호출을위해인터럽트 0x2E(Windows 2000) 또는 SYSENTER 2 (Windows XP) 를이용하게되며파라미터인자값으로 EAX 레지스터에서비스번호 / 인덱스, EDX 레지스터에파라미터의주소값을넘겨준다. 커널모드의 Ntoskrnl.exe에서는해당서비스번호 / 인덱스에대한디스패치테이블을참조하여실제서비스루틴의주소를얻어서비스하게된다. NTDLL.dll은 Windows NT/2000/XP/2003 과 OS/2, POSIX 등에대한각각의애플리케이션이공통으로사용될수있도록설계되었으며, Kernel32.dll은윈도우공통라이브러리인 NTDLL.dll을이용하는 Win32용진입단계로볼수있다. 그에반해 User32.dll, Gdi32.dll 3 같은경우는 Windows 만의 API로해당 DLL 자체에서커널단으로서비스호출을할수있도록설계되어있다. 이들의고유서비스는 Win32k.sys에서서비스해준다. 가. SSDT 후킹 SSDT(System Service Dispatch Table) 는서브시스템인 Ntoskrnl.exe가관리하는서비스호출주소테이블구조체이다. 이주소테이블은각서비스의주소를담고있기때문에테이블변조로간단히서비스내용에대한조작이가능하다. [ 그림 3] SSDT 후킹 KeServiceDescriptorTable 함수는 SSDT를참조하는구조체의주소 (KiServiceTable) 와 SSPT(System Service Parameter Table) 의구조체주소를포함하는테이블을얻을수있다. 여기서 SSDT의 4바이트리스트는서비스번호에따른서비스주소값을관리하며, SSPT의 1바이트리스트는해당서비스에대한파라미터바이트수를관리한다. 예를들어, 서비스인덱스 1번에대한서비스는 SSDT의첫번째리스트인 0x804AB3BF 위치에서비스코드가존재하며, 1번서비스에대한파라미터인자크기는 0x18 크기이다. 모든서비스의크기는 KeService 2. Windows XP 이상의 OS에서는 CPU의 IA32_SYSENTER_EIP 레지스터를이용한 Fast Call 방식을이용하여서비스호출을하도록하였다. 3. User32.dll은 Windows의 Message 처리관련, Gdi32.dll은 Windows Graphics Device Interface 관련 API를담당하고있고, 서브시스템 Advapi32.dll은레지스트리관련 API를담당하고있다. 36 Monthly 사이버시큐리티

8 루트킷을이용하는악성코드 DescriptorTable의 NumberOfService로알수있다. 이에따라 SSDT 서비스테이블의크기가 4바이트 ( 서비스주소값 ) NumberOfService 만큼의크기라는결과가된다. 또다른테이블인 KeServiceDescriptorTableShadow 함수는 User32, Gdi32 서비스에대한서비스참조구조체를관리한다. 이에대한서비스는모두 Win32k.sys에서구현될것이다. 그럼이제악성코드와연결된루트킷에서빈번히사용되는 NtQuerySystemInformation에대해서자세히알아보자. NtQuerySystemInformation 서비스호출은현재시스템의모든프로세스리스트를얻어알려주는기능을한다. 루트킷은이서비스를가로채자신이보호하려는악성코드 ( 트로이목마 ) 의프로세스정보를없애악성코드가돌고있는것을감춘다. 다음의예제코드는 SSDT의 NtQuerySystemInformation 서비스에대한서비스주소변경을가능하게한다. #define SYSTEMSERVICE(_api) KeServiceDescriptorTable.ServiceDescriptor[0].ServiceTable[*(DWORD*)((unsigned char*)_api + 1)] // 원본서비스주소값저장 NtQuerySystemInformation_Origin = (NTQUERYSYSTEMINFORMATION)(SYSTEMSERVICE(NtQuerySystemInformation)); // SSDT 서비스주소를후킹함수주소로수정 (NTQUERYSYSTEMINFORMATION)(SYSTEMSERVICE(NtQuerySystemInformation)) = NtQuerySystemInformation_Hook 변경된서비스주소로인하여해당서비스호출시다음의코드주소가불려지게될것이다. 이후킹된코드에서실제데이터조작을통해악성코드 ( 트로이목마 ) 의프로세스를은닉시킬수있게된다. NTSYSAPI NTSTATUS NTAPI NtQuerySystemInformation_Hook ( ) { Status = NtQuerySystemInformation_Origin( ); if ( Status == STATUS_SUCCESS && SystemInformationClass == SystemProcessAndThreadsInformation ) { 얻어온프로세스정보조작 } return Status; } 결과적으로, [ 그림 4] 는 NtQuerySystemInformation 서비스를통해서받아온프로세스리스트에서트로이목마프로세스에대한리스트연결을다음프로세스로연결시켜줌으로해서프로세스정보를감추게된다. 37

9 M C S 심 층 분 석 1 [ 그림 4] 프로세스은닉기법 나. Interrupt Descriptor Table 후킹 IDT(Interrupt Descriptor Table) 는하드웨어 / 소프트웨어인터럽트에대한주소를관리하며앞서살펴본바와같이커널서비스호출에대한인터럽트 0x2E 또는 SYSENTER를가로채서변경할수있다. IDT는 CPU마다따로관리하므로멀티프로세서환경에서는모든 IDT에대한변경을해주어야하며, 인터럽트특성상한번호출되면그에대한응답이나제어가넘어오지않으므로원본 API에대한결과값변경이나데이터필터링을할수는없으나특정소프트웨어 (PC Firewall 등 ) 의서비스호출을차단하거나알아낼수있다. WIN 2K, Ntdll.DLL 에서의 NtWriteFile 호출에대한시스템코드 MOV EAX, 0EDh LEA EDX, DWORD PTR SS:[ESP+4] INT 2E RETN 24 // EAX 서비스호출인덱스번호 // EDX 스택파라미터주소 WIN XP, Ntdll.DLL 에서의 NtWriteFile 호출에대한시스템코드 MOV EAX, 112h LEA EDX, 7FFE0300h CALL DWORD PTR DS:[EDX] RETN 24 // EAX 서비스호출번호 // EDX 현재의스택주소 MOV EDX, ESP SYSENTER 위에서와같이시스템서비스에대한인터럽트후킹을위해 Windows 2000 이하에서는 INT 0x2E에대한 IDT 변경이필요하다. 다음의예제는그에따른코드이다. 38 Monthly 사이버시큐리티

10 루트킷을이용하는악성코드 asm { sidt IDTINFO // IDTINFO 구조체를얻는다. }... // INT 0x2E 에대한 IDTENTRY 주소를얻는다. asm { cli // 인터럽트서비스를잠시중단시킨다. lea eax, KiSystemService_Hook // 후킹될모듈의새로운진입점을만든다. mov ebx, Prt_Int2E // INT 2E 에대한진입점을얻는다. mov ebx, ax // INT 2E 호출시, 새로운진입점으로변경한다. shr eax, 16 mov [ebx+6], ax sti // 인터럽트서비스를다시시작한다. } 다음으로는 Windows XP 이상의시스템에서시스템서비스호출에대한 SYSENTER 후킹코드이다. asm { mov ecx, 0x176 rdmsr // IA32_SYSENTER_EIP 값을 eax 로읽어온다. mov SYSENTER_Origin, eax // 원본 SYSENTER 주소를따로저장한다. mov eax, SYSENTER_Hook // 새로운주소로진입점을변경한다. Wrmsr // 변경된주소를 IA32_SYSENTER_EIP 에기록한다. } 다. I/O Request Packet Function 후킹 커널단에서동작하는모든드라이버들은하드웨어또는다른드라이버와의통신을위한 Dispatch Routine을가지고있다. 그리고이러한통신을위해사용되는것이 IRP(I/O Request Packet) 구조체이다. I/O Manager에의해서관리되는 IRP는계층화되어있는드라이버각각에대한 I/O Stack 을구성하여각각의처리에맞는정보를전달하도록하고있다. [ 그림 5] 네트워크드라이버계층도 39

11 M C S 심 층 분 석 1 윈도우네트워크도마찬가지여서 NDIS Library를이용하는모든네트워크드라이버들도 [ 그림 5] 와같이계층적구조를이루고있다. NDIS 4 Library를이용하여이에대한함수호출만으로데이터를전송하는구조는 Miniport, Protocol 드라이버등이다. 그러나, TDI와 Protocol 드라이버에서는 IRP로데이터를교환한다. 루트킷은이러한 TDI(Tdi.sys) 또는 Protocol(Tcpip.sys) 드라이버의 Device Object로부터 Driver Object 구조체를얻고이구조체내에구성되어있는 Dispatch Routine을가로채서패킷스니핑또는네트워크패킷조작이가능하도록할수있다. 이러한방법이외에도네트워크, 키보드, 파일시스템등과같은계층적구조의드라이버들은윈도우 OS 에서제공하는필터 (Filter) 기능을이용하여자신의드라이버를등록시킬수가있다. 안티바이러스업체나대부분의보안, 모니터링프로그램등에서도이러한방법을이용하여각종서비스를제공한다. 라. Import Address Table 후킹 [ 그림 6] PE 파일의.idata 섹션 모든사용자모드프로그램 ( 애플리케이션 ) 들은시스템의서비스를이용하기위해 OS에서제공하는라이브러리파일을임포트 (Import) 하게된다. 라이브러리파일들은실행가능파일 (PE 파일 ) 5 4. NDIS(Network Driver Interface Specification) Library-MS Windows OS의계층적커널네트워크구조에대한표준인터페이스를제공한다. 5. Portable Executable - Windows 실행파일의구조로실행에필요한정보들과프로그램코드로이루어져있다. 40 Monthly 사이버시큐리티

12 루트킷을이용하는악성코드 의.idata 6 섹션에자신의익스포트 (Export) 함수에대한정보를담고있으며 IMAGE_ IMPORT_DESCRIPTOR 구조체의 FirstThunk에는 IAT(Import Address Table) 주소를함유하고있다. 이 IAT 구조체의 Import Address를수정하여간단하게후킹할수가있는것이다. 이러한 IAT 후킹방식은사용자모드에서도조작이가능하다. 그러나후킹함수를위치시키는데있어해당프로세스의핸들 (Handle) 을여는방식은안티바이러스제품이나기타탐지모듈에있어발견되기쉬운단점이존재한다. 이것을커널모드에서작성하여그에따른탐지를어렵게할수있다. 이에대한설명은다음과같다. PsSetImageLoadNotifyRoutine ( IN PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine ); VOID (*PLOAD_IMAGE_NOTIFY_ROUTINE)(IN PUNICODE_STRING FullImageName, IN HANDLE ProcessId, IN PIMAGE_INFO ImageInfo ); PsSetImageLoadNotifyRoutine은커널모드 Callback API 함수이다. 새로운프로세스, DLL 등이메모리에적재될경우에이 Callback 함수가호출될것이다. Callback 함수의파라미터인자에는로드된파일이름, 생성된프로세스 ID 그리고 IMAGE_INFO 구조체가존재한다. 이 IMAGE_INFO 구조체의정보에는 PE 파일의이미지주소가참조되어있기때문에쉽게 IMAGE_IMPORT_DESCRIPTOR의위치를찾아낼수있으며, 그에따라 IAT 위치도알수있다. 문제는실제후킹한모듈을어디에위치시키느냐가된다. 모든프로세스가참조할수있는사용자모드의메모리영역에존재하여야하지만해당프로세스영역에작성한다는것은위험이따른다. 그리하여 KUSER_SHARED_DATA라고명명된메모리영역을이용한다. 이영역은커널단에서는 0xFFDF0000 주소로, 사용자영역에서는 0x7FFE0000 주소로참조가능한물리적페이지메모리영역이며, 4 Kbyte의영역중 1 Kbyte만을시스템이사용중이므로나머지 3 Kbyte의공간이비어있다. 마. Inline Function (Detour Patch) 후킹크렉에서사용하는방법과유사하게어셈블된코드상에서함수의시작일정코드를자신의루트킷코드가존재하는주소로강제점프하여실행되도록하고본래의위치로다시점프되도록하는리버스엔지니어링 (Reverse Engineering) 기법이다. 6. 실행에필요한 DLL 의함수나변수에대한임포트정보로구성된 PE 파일의임포트섹션 41

13 M C S 심 층 분 석 1 [ 그림 7] Inline Function Hook [ 그림 7] 은 Detour Patch 방식을나타낸그림이다. 루트킷코드로제어권을넘겨받기위해원본코드의시작부분에서 FAR JMP 08:XXXXXXXX 해야만한다. FAR JMP 코드는 7 Byte면되지만위그림에서는 9 Byte를변경했다. 7 Byte만을 JMP 코드로변경한다면원본함수어셈블리코드의정렬 (Alignment) 이깨져 BSOD이발생될것이기때문이다. 7 Byte의 FAR JMP 변경과나머지 2 Byte에대한 NOP 7 Instruction을구성한것이중요포인트라할수있다. FAR JMP에의해루트킷코드를이행하고나서는제거된 9 Byte의원본시작코드를수행해주어야한다. 이는원본함수 9 Byte 이후로다시 FAR JMP 되기때문이며, 이로인해원본코드가문제없이수행된다. 바. Direct Kernel Object Manipulation 윈도우커널레벨의 Object Manager는시스템을구성하는다양한오브젝트객체에대한정보를관리한다. Device, Driver, EProcess, EThread등과같은오브젝트의정보를직접적으로수정함으로써후킹방식보다더탐지하기어려운루트킷을구성할수가있다. 이렇게커널의오브젝트를조작하는방식을 DKOM(Direct Kernel Object Manipulation) 이라한다. [ 그림 8] I 프로세스와스레드가연결된데이터구조 7. NOP Instruction 은어떠한처리도하지않는 1Byte CPU 명령코드이다. 42 Monthly 사이버시큐리티

14 루트킷을이용하는악성코드 커널단에서는 EPROCESS라는구조체를하나의객체로관리하며각각의 EPROCESS 구조체는서로이중연결리스트로연결되어있다. 이에반해사용자모드에서는 PEB(Process Environment Block) 이라하여사용자모드에서수정되는데이터정보를포함한다. 커널단에서관리되는 EPROCESS 구조체의정보를획득하여연결리스트를조작한다면시스템정보에서는조작된 EPROCESS를참조하지못하여해당프로세스 ( 트로이목마 ) 가존재하지않는것처럼만들수있을것이다. [ 그림 9] 은닉하려는대상프로세스의구조체를구하기위해서 PsGetCurrentProcess를이용할수있는데실제적으로 PsGetCurrentProcess는 IoGetCurrentProcess를호출한다. 다음의코드는 PsGetCurrentProcess를호출한상태에서디어셈블한결과이다. Ntoskrnl!IoGetCurrentProcess 0008:804ED364 MOV EAX, FS:[ ] 0008:804ED36A MOV EAX, [EAX + 44] 0008:804ED36D RET FS 레지스터로부터 0x124번째의위치에는 ETHREAD에대한주소가위치하며, ETHREAD의 0x44의위치가바로현재 EPROCESS 구조체의주소값이된다. 구해진 EPROCESS 연결리스트링크주소를다음의 EPROCESS 링크주소로변경하여대상프로세스를은닉할수있게된다. 그러나, 윈도우 NT/2000/XP/XP SP2/2003 OS 마다 EPROCESS 구조체에위치한 Process ID와연결리스트위치가다르기때문에루트킷은디바이스초기화때해당 OS의버전정보를구해야할필요가있다. 43

15 M C S 심 층 분 석 1 윈도우의버전정보는다음과같은레지스트리정보에서얻을수있으며, HKLM SOFTWARE Microsoft WindowsNT CurrentVersion CSDVersion HKLM SOFTWARE Microsoft WindowsNT CurrentVersion CurrentBuildNumber HKLM SOFTWARE Microsoft WindowsNT CurrentVersion CurrentVersion 커널 API인 PsGetVersion 또는 RtlGetVersion을통해서도알수있다. [ 그림 10] Offsets to the PID and FLINK within the EPROCESS Block 6. 루트킷탐지방법 후킹을이용한루트킷의탐지방법은오히려간단할수있다. 후킹된 API가존재하는모듈의메모리위치시작주소와크기를구하여 API가해당모듈의메모리영역내에존재하는지를비교하면된다. 또한어떤모듈이후킹을하였는가에대해서도같은방법으로찾을수있다. [ 그림 11] Softice 를사용한루트킷디버깅 [ 그림 11] 은커널디버거인 Softice를이용하여 SSDT 후킹에대한루트킷디버깅과정을나타내고있다. 붉은라인의코드부분이바로 SSDT의서비스 API인 ZwQuerySystemInformation에대한주소를루트킷자신의모듈주소로바꿔후킹하는부분이며, 메모리 0023:F8C698D8 8 (ZwQuerySystemInformation 서비스콜 ) 부분의 4 Byte 주소가루트킷모듈 (hideprocess) 의 8. 해당주소는 System Service Descriptor Table 의 Index 0xAD 번째 ZwQuerySystemInformation 서비스주소이다. 44 Monthly 사이버시큐리티

16 루트킷을이용하는악성코드 F8C72000 ~ F8C72A80 주소내로변경된것을확인할수가있다. 여러가지방식으로은닉된악성코드의실행프로세스를찾기위한방법으로는시스템프로세스인 CSRSS.exe의 HANDLE_TABLE을이용하여전체프로세스리스트를찾을수있는방법이있으나이또한 DKOM(Direct Kernel Object Manipulation) 방식으로은닉된프로세스는찾기어렵다. 마지막으로사용할수있는방법은 Thread Scheduling을이용하여 Dispatcher Ready Queue 에서대기중인 Thread를얻어오면이 Thread를통해 EPROCESS 구조체정보를획득할수있으므로은닉된실행프로세스의존재를확인할수있다. 이 Dispatcher Ready Queue의구조체정보는 KiDispatcherReadyListHead 9 에존재한다. 7. 향후전망 지금까지윈도우루트킷에대한다양한방식과트로이목마와의연동그리고이러한루트킷의탐지방법에대해서논의해보았다. 온라인상으로도다양한소스가공개되어있는현재실정에서루트킷에대한악용의소지는날로증가할예정이다. 글을작성하는지금이시간에도다양한루트킷이접수되고있으며온라인게임에대한트로이목마에서도활용되고있는실정이다. 최근들어루트킷을탐지하는여러소프트웨어도선보이고있으며, 안티바이러스업체에서도루트킷에대한탐지및제거에대한연구가계속되고있고그에따른결과물도속속나오고있다. 이에반해안티디버깅과암호화, 실행압축, 새로운방식의시스템커널이미지변경등날로발전해가는악성코드에대해보안을담당하고있는기관, 기업체등에서도이에대한대비를철저히준비하여야할것이다. Reference 1. ROOTKITS Greg Hoglund, James Butler 2. Inside Windows 2000 (Third Edition) David A.Solomon, Mark E.Russinovich 3. Windows Internals (Fourth Edition) David A.Solomon, Mark E.Russinovich 4. Windows Driver Model (Second Edition) Walter Oney 5. API 로배우는 Windows 구조와원리 야스무로히로카즈 6. Exploiting Software Grag Hoglund, Gary McGraw Windows Rootkits PPT (MS 보안기술발표자료 ) Alexey Polyakov KiDispatcherReadyListHead 는 32 개의 List 로구성된대기중인 Thread Priority Queue 로이루어져있다. 45

Microsoft Word - [Windows Hook] 6.HideProcess.doc

Microsoft Word - [Windows Hook] 6.HideProcess.doc Hide Process Last Update : 2007 년 6 월 11 일 Written by Jerald Lee Contact Me : lucid78@gmail.com 본문서는 SSDT Hook을이용한프로세스를감추는기술에대해정리한것입니다. 제가알고있는지식이너무짧아가급적이면다음에언제보아도쉽게이해할수있도록쓸려고노력하였습니다. 기존에나와있는여러훌륭한문서들을토대로짜집기의형태로작성되었으며기술하지못한원문저자들에게매우죄송할따름입니다.

More information

(Microsoft Word - \304\277\263\316\275\272\306\324\270\336\300\317\267\257_Rustock.doc)

(Microsoft Word - \304\277\263\316\275\272\306\324\270\336\300\317\267\257_Rustock.doc) 커널스팸메일러 (Rustock) 안철수연구소 ASEC 분석 1팀고흥환선임연구원 2005년이후악성코드의커다란변화는커널모드루트킷 (Rootkit) 의사용이빈번해지고있다는것이다. 뿐만아니라 2006년부터는그기법이매우정교해지고고급화되어안티바이러스업체나분석가로하여금상당한시간과노력을투자하게만들고있다. 2006년 VB(Virus Bulletin) 9월호 ROOTKIT ANALYSIS

More information

<B1E2BCFAB9AEBCAD28C0CCB5BFBCF6295F494454486F6F6B696E672E687770>

<B1E2BCFAB9AEBCAD28C0CCB5BFBCF6295F494454486F6F6B696E672E687770> IDT Hooking을 이용한 Simple KeyLogger 이동수 alonglog@is119.jnu.ac.kr 개 요 커널 Hooking에 관하여 공부하는 중에 IDT Hooking에 관하여 알게 되었다. 이전에 공부하 였던 SSDT Hooking과는 다른 요소가 많다. IDT Hooking을 공부하면서 컴퓨터의 인터럽트 과정을 이해할 수 있는 좋은 계기가

More information

악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1

악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1 악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1 Index 1. 개요... 3 1. 1 악성코드의제작... 3 1. 2 악성코드의전체적인동작... 3 1. 3 악성코드의분석절차... 4 1. 4 악성코드의파일정보... 4 2. 분석... 5 2. 1 정적분석... 5 2. 2 동적분석... 6 2. 3 상세분석... 10 2. 3.1 Lucci.exe...

More information

<C1A4C8B8BFF8C6F2B0A15FB1E2BCFAB9AEBCAD5F444B4F4D5FC0CCB5BFBCF62E687770>

<C1A4C8B8BFF8C6F2B0A15FB1E2BCFAB9AEBCAD5F444B4F4D5FC0CCB5BFBCF62E687770> DKOM을이용한은닉기법 이동수 alonglog@is119.jnu.ac.kr 개 요 유저모드에서프로세스나디바이스드라이버등을확인할수없도록만드는기법중하나가커널 Hooking과 DKOM 기법이있다. DKOM 기법은 Hooking과다르게커널개체를직접변경한다. 이는 Hooking보다훨씬강력하고탐지가힘들다. 이문서에서는 DKOM에대해서다룰것이다. DKOM 기법을통해다양한효과를얻을수있다.

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

<4D F736F F D20B9D9C0CCB7B5B9D9C0CCB7AFBDBA5FBCF6C1A42E646F63>

<4D F736F F D20B9D9C0CCB7B5B9D9C0CCB7AFBDBA5FBCF6C1A42E646F63> Virut 바이러스공격 ASEC 분석 1 팀고흥환선임연구원 해마다접수되는악성코드의통계를보면대부분이인터넷웜또는트로이목마가대부분을차지하며, 파일에기생하는바이러스는그수가적어지는것이추세이다. 그도그럴것이최근의악성코드특징은개인의능력과시가아닌돈과연관되는악성코드작성이대부분이기때문이다. 그렇다면 Virut 바이러스가인터넷웜과트로이목마를제치고국내뿐만아니라해외에서도큰피해를입히고있는이유가무엇인지,

More information

1

1 초보자를위한 Kernel based windows rootkit -1 부 - By Beist Security Study Group (http://beist.org) 요약 : 이문서는윈도우 2000/XP/2003 환경에서의커널루트킷에대한개요와윈도우와하드웨어간의커넥션에대해다룹니다. 그리고실습을위해커널레벨에서 CR0 레지스터를변경하여 SSDT 의 read-only

More information

Deok9_Exploit Technique

Deok9_Exploit Technique Exploit Technique CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 > 1. Shell Code 2. Security

More information

PCServerMgmt7

PCServerMgmt7 Web Windows NT/2000 Server DP&NM Lab 1 Contents 2 Windows NT Service Provider Management Application Web UI 3 . PC,, Client/Server Network 4 (1),,, PC Mainframe PC Backbone Server TCP/IP DCS PLC Network

More information

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

hlogin2

hlogin2 0x02. Stack Corruption off-limit Kernel Stack libc Heap BSS Data Code off-limit Kernel Kernel : OS Stack libc Heap BSS Data Code Stack : libc : Heap : BSS, Data : bss Code : off-limit Kernel Kernel : OS

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 System call table and linkage v Ref. http://www.ibm.com/developerworks/linux/library/l-system-calls/ - 2 - Young-Jin Kim SYSCALL_DEFINE 함수

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

Chapter #01 Subject

Chapter #01  Subject Device Driver March 24, 2004 Kim, ki-hyeon 목차 1. 인터럽트처리복습 1. 인터럽트복습 입력검출방법 인터럽트방식, 폴링 (polling) 방식 인터럽트서비스등록함수 ( 커널에등록 ) int request_irq(unsigned int irq, void(*handler)(int,void*,struct pt_regs*), unsigned

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

<B1E2BCFAB9AEBCAD28C0CCB5BFBCF6295F F6F6B696E672E687770>

<B1E2BCFAB9AEBCAD28C0CCB5BFBCF6295F F6F6B696E672E687770> SSDT HOOKING을이용한프로세스와파일숨기기 이동수 alonglog@is119.jnu.ac.kr 개 요 기존에만들었던메시지후킹프로그램을숨겨보고싶어서 SSDT후킹을공부하였다. 그리고그결과를정리하여이문서를작성하였다. 프로세스를숨기고파일을숨기기위해서 Native API를후킹했다. 메시지후킹과다르게 SSDT후킹은커널모드에서후킹을해야하므로디바이스드라이버로프로그램이작성되어있다.

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file

More information

임베디드시스템설계강의자료 6 system call 1/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

임베디드시스템설계강의자료 6 system call 1/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 임베디드시스템설계강의자료 6 system call 1/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과 시스템호출개요 리눅스에서는사용자공간과커널공간을구분 사용자프로그램은사용자모드, 운영체제는커널모드에서수행 커널공간에대한접근은커널 ( 특권, priviledged) 모드에서가능 컴퓨팅자원 (CPU, memory, I/O 등 ) 을안전하게보호 커널수행을안전하게유지

More information

6주차.key

6주차.key 6, Process concept A program in execution Program code PCB (process control block) Program counter, registers, etc. Stack Heap Data section => global variable Process in memory Process state New Running

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

OPCTalk for Hitachi Ethernet 1 2. Path. DCOMwindow NT/2000 network server. Winsock update win95. . . 3 Excel CSV. Update Background Thread Client Command Queue Size Client Dynamic Scan Block Block

More information

untitled

untitled Embedded System Lab. II Embedded System Lab. II 2 RTOS Hard Real-Time vs Soft Real-Time RTOS Real-Time, Real-Time RTOS General purpose system OS H/W RTOS H/W task Hard Real-Time Real-Time System, Hard

More information

1217 WebTrafMon II

1217 WebTrafMon II (1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

Microsoft PowerPoint - o8.pptx

Microsoft PowerPoint - o8.pptx 메모리보호 (Memory Protection) 메모리보호를위해 page table entry에 protection bit와 valid bit 추가 Protection bits read-write / read-only / executable-only 정의 page 단위의 memory protection 제공 Valid bit (or valid-invalid bit)

More information

Microsoft PowerPoint - Lecture_Note_7.ppt [Compatibility Mode]

Microsoft PowerPoint - Lecture_Note_7.ppt [Compatibility Mode] Unix Process Department of Computer Engineering Kyung Hee University. Choong Seon Hong 1 유닉스기반다중서버구현방법 클라이언트들이동시에접속할수있는서버 서비스를동시에처리할수있는서버프로세스생성을통한멀티태스킹 (Multitasking) 서버의구현 select 함수에의한멀티플렉싱 (Multiplexing)

More information

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서 커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드

More information

1. Execution sequence 첫번째로 GameGuard 의실행순서는다음과같습니다 오전 10:10:03 Type : Create 오전 10:10:03 Parent ID : 0xA 오전 10:10:03 Pro

1. Execution sequence 첫번째로 GameGuard 의실행순서는다음과같습니다 오전 10:10:03 Type : Create 오전 10:10:03 Parent ID : 0xA 오전 10:10:03 Pro #44u61l5f GameGuard 에대한간단한분석. By Dual5651 (http://dualpage.muz.ro) 요약 : 이문서는분석자의입장에서 GameGuard의동작을모니터링한것에대한것입니다. 실제 GameGuard의동작방식과는다소차이가있을수있습니다. 이문서에등장하는모든등록상표에대한저작권은해당저작권자에게있습니다. 1. Execution sequence

More information

SSDT(System Service Descriptor Table) Hooking Written by 백구 Contack Me : 목차 가. 이문서의목적... 2 나. 유저모드와커널모드... 2 다. Windows API 흐름..

SSDT(System Service Descriptor Table) Hooking Written by 백구 Contack Me : 목차 가. 이문서의목적... 2 나. 유저모드와커널모드... 2 다. Windows API 흐름.. SSDT(System Service Descriptor Table) Hooking Written by 백구 Contack Me : whiteexplod@naver.com 목차 가. 이문서의목적... 2 나. 유저모드와커널모드... 2 다. Windows API 흐름... 2 1. User Level... 2 2-1. 소프트웨어인터럽트 0x2E에의한커널모드짂입방식...

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 [ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀 2011-08-04 SK 커뮤니케이션즈해킹주요내용 : 지난 7 월 26 일 ( 화 ) SK 커뮤니케이션즈가해킹으로인해일부고객의정보가유출된사실이확인되었고, 28 일 ( 목 ) 홈페이지팝업공지문 ( 개인정보유출 ) 과함께관련된언론보도자료가배포되었다. 이는 3500

More information

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

No Slide Title

No Slide Title Copyright, 2017 Multimedia Lab., UOS 시스템프로그래밍 (Assembly Code and Calling Convention) Seong Jong Choi chois@uos.ac.kr Multimedia Lab. Dept. of Electrical and Computer Eng. University of Seoul Seoul, Korea

More information

<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D> 뻔뻔한 AVR 프로그래밍 The Last(8 th ) Lecture 유명환 ( yoo@netplug.co.kr) INDEX 1 I 2 C 통신이야기 2 ATmega128 TWI(I 2 C) 구조분석 4 ATmega128 TWI(I 2 C) 실습 : AT24C16 1 I 2 C 통신이야기 I 2 C Inter IC Bus 어떤 IC들간에도공통적으로통할수있는 ex)

More information

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770> i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Black Falcon 입팀과제 Yoda's Write by FireM@rine INDEX Protector 02 CONTENTS 파일보호기법 (Protector) Protector 사용목적 크래킹 (Crackin) 방지 프로그램이크랙되어서불법적으로사용되는것방지 ( 게임보앆프로그램 ) 코드및리소스보호 PE 파일자체를보호하며파일이실행되었을때프로세스메모리를보호하여덤프를뜨지못하게함

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

INTRO Basic architecture of modern computers Basic and most used assembly instructions on x86 Installing an assembly compiler and RE tools Practice co

INTRO Basic architecture of modern computers Basic and most used assembly instructions on x86 Installing an assembly compiler and RE tools Practice co Basic reverse engineering on x86 This is for those who want to learn about basic reverse engineering on x86 (Feel free to use this, email me if you need a keynote version.) v0.1 SeungJin Beist Lee beist@grayhash.com

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

요약문 1. 연구제목 DLL Injection 을이용한 KeyLogger 제작및탐지방법연구 2. 연구목적및필요성인터넷의발달과컴퓨터의성능과보안프로그램성능과기술이발전함에따라악성코드의기술과기교도많이발전하였다. 그리고악성코드의기술도늘어남에따라초보자도쉽게사용이가능해지고본인이모르

요약문 1. 연구제목 DLL Injection 을이용한 KeyLogger 제작및탐지방법연구 2. 연구목적및필요성인터넷의발달과컴퓨터의성능과보안프로그램성능과기술이발전함에따라악성코드의기술과기교도많이발전하였다. 그리고악성코드의기술도늘어남에따라초보자도쉽게사용이가능해지고본인이모르 캡스톤보고서 Dll Injection 을이용한 KeyLogger 제작및탐지방법분석 팀명 : 4 조 Guardian 지도교수 : 양정모교수님 조장 : 조민제 (4년) 신예원 (4년) 이상철 (4년) 유명곤 (4년) 2013.5 중부대학교정보보호학과 요약문 1. 연구제목 DLL Injection 을이용한 KeyLogger 제작및탐지방법연구 2. 연구목적및필요성인터넷의발달과컴퓨터의성능과보안프로그램성능과기술이발전함에따라악성코드의기술과기교도많이발전하였다.

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

Computer Architecture

Computer Architecture 명령어의구조와주소지정방식 명령어세트명령어의형식주소지정방식실제명령어의형태 이자료는김종현저 - 컴퓨터구조론 ( 생능출판사 ) 의내용을편집한것입니다. 2.4 명령어세트 (instruction set) 어떤 CPU 를위하여정의되어있는명령어들의집합 명령어세트설계를위해결정되어야할사항들 2 연산종류 (operation repertoire) CPU 가수행할연산들의수와종류및복잡도

More information

Microsoft PowerPoint - polling.pptx

Microsoft PowerPoint - polling.pptx 지현석 (binish@home.cnu.ac.kr) http://binish.or.kr Index 이슈화된키보드해킹 최근키보드해킹이슈의배경지식 Interrupt VS polling What is polling? Polling pseudo code Polling 을이용한키로거분석 방어기법연구 이슈화된키보드해킹 키보드해킹은연일상한가! 주식, 펀드투자의시기?! 최근키보드해킹이슈의배경지식

More information

일반적인 네트워크의 구성은 다음과 같다

일반적인 네트워크의 구성은 다음과 같다 W5200 Errata Sheet Document History Ver 1.0.0 (Feb. 23, 2012) First release (erratum 1) Ver 1.0.1 (Mar. 28, 2012) Add a solution for erratum 1, 2 Ver 1.0.2 (Apr. 03, 2012) Add a solution for erratum 3

More information

Install stm32cubemx and st-link utility

Install stm32cubemx and st-link utility STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7

More information

JVM 메모리구조

JVM 메모리구조 조명이정도면괜찮조! 주제 JVM 메모리구조 설미라자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조장. 최지성자료조사, 자료작성, PPT 작성, 보고서작성. 발표. 조원 이용열자료조사, 자료작성, PPT 작성, 보고서작성. 이윤경 자료조사, 자료작성, PPT작성, 보고서작성. 이수은 자료조사, 자료작성, PPT작성, 보고서작성. 발표일 2013. 05.

More information

커널모드루트킷기술 SDT 후킹의창과방패 목차 목차... 1 저작권... 1 소개... 1 연재가이드... 1 필자소개... 2 Introduction... 2 SDT 후킹... 2 SDT 복구... 6 SDT 재배치... 7 SDT를찾는또다른방법... 7 젂용 SDT.

커널모드루트킷기술 SDT 후킹의창과방패 목차 목차... 1 저작권... 1 소개... 1 연재가이드... 1 필자소개... 2 Introduction... 2 SDT 후킹... 2 SDT 복구... 6 SDT 재배치... 7 SDT를찾는또다른방법... 7 젂용 SDT. 커널모드루트킷기술 SDT 후킹의창과방패 목차 목차... 1 저작권... 1 소개... 1 연재가이드... 1 필자소개... 2 Introduction... 2 SDT 후킹... 2 SDT 복구... 6 SDT 재배치... 7 SDT를찾는또다른방법... 7 젂용 SDT... 9 인라인후킹 vs 트램펄릮... 10 후킹을넘어서... 12 극과극은통한다... 13

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할 악성코드분석보고서 학번 20156161 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할을하는 Dropper.exe, 실제악성행위를유발하는 malware.exe, reverse connection

More information

슬라이드 1

슬라이드 1 마이크로컨트롤러 2 (MicroController2) 2 강 ATmega128 의 external interrupt 이귀형교수님 학습목표 interrupt 란무엇인가? 기본개념을알아본다. interrupt 중에서가장사용하기쉬운 external interrupt 의사용방법을학습한다. 1. Interrupt 는왜필요할까? 함수동작을추가하여실행시키려면? //***

More information

Chapter ...

Chapter ... Chapter 4 프로세서 (4.9절, 4.12절, 4.13절) Contents 4.1 소개 4.2 논리 설계 기초 4.3 데이터패스 설계 4.4 단순한 구현 방법 4.5 파이프라이닝 개요*** 4.6 파이프라이닝 데이터패스 및 제어*** 4.7 데이터 해저드: 포워딩 vs. 스톨링*** 4.8 제어 해저드*** 4.9 예외 처리*** 4.10 명령어 수준

More information

PowerPoint Template

PowerPoint Template BoF 원정대서비스 목차 환경구성 http://www.hackerschool.org/hs_boards/zboard.php?id=hs_notice&no=1170881885 전용게시판 http://www.hackerschool.org/hs_boards/zboard.php?id=bof_fellowship Putty War game 2 LOB 란? 해커스쿨에서제공하는

More information

Figure 5.01

Figure 5.01 Chapter 4: Threads Yoon-Joong Kim Hanbat National University, Computer Engineering Department Chapter 4: Multithreaded Programming Overview Multithreading Models Thread Libraries Threading Issues Operating

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074> SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......

More information

Microsoft Word - Static analysis of Shellcode.doc

Microsoft Word - Static analysis of Shellcode.doc Static analysis of Shellcode By By Maarten Van Horenbeeck 2008.09.03 2008.09.03 본문서에서는악성코드에서사용하는난독화되어있는쉘코드 를분석하는방법에대한 Maarten Van Horenbeeck 의글을번역 한것이다. Hacking Group OVERTIME OVERTIME force

More information

Content 1. DLL? 그게뭐야?

Content 1. DLL? 그게뭐야? DLL Injection 은어떻게이루어지는가? By bl4ck3y3 (http://hisjournal.net/blog) Abstract 루트킷을비롯하여바이러스, 악성코드등여러분야에두루쓰이는기법이 DLL Injection입니다. Windows에한정되어적용되는것이지만, Windows 자체의점유율이높은이유로아주효과적으로공격자가원하는작업을수행할수있는방법이죠. 최근루트킷에대해공부하면서이

More information

Microsoft Word - building the win32 shellcode 01.doc

Microsoft Word - building the win32 shellcode 01.doc Win32 Attack 1. Local Shellcode 작성방법 By 달고나 (Dalgona@wowhacker.org) Email: zinwon@gmail.com Abstract 이글은 MS Windows 환경에서 shellcode 를작성하는방법에대해서설명하고있다. Win32 는 *nix 환경과는사뭇다른 API 호출방식을사용하기때문에조금복잡하게둘러서 shellcode

More information

A Hierarchical Approach to Interactive Motion Editing for Human-like Figures

A Hierarchical Approach to Interactive Motion Editing for Human-like Figures 단일연결리스트 (Singly Linked List) 신찬수 연결리스트 (linked list)? tail 서울부산수원용인 null item next 구조체복습 struct name_card { char name[20]; int date; } struct name_card a; // 구조체변수 a 선언 a.name 또는 a.date // 구조체 a의멤버접근 struct

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치

More information

Windows Embedded Compact 2013 [그림 1]은 Windows CE 로 알려진 Microsoft의 Windows Embedded Compact OS의 history를 보여주고 있다. [표 1] 은 각 Windows CE 버전들의 주요 특징들을 담고

Windows Embedded Compact 2013 [그림 1]은 Windows CE 로 알려진 Microsoft의 Windows Embedded Compact OS의 history를 보여주고 있다. [표 1] 은 각 Windows CE 버전들의 주요 특징들을 담고 OT S / SOFTWARE 임베디드 시스템에 최적화된 Windows Embedded Compact 2013 MDS테크놀로지 / ES사업부 SE팀 김재형 부장 / jaei@mdstec.com 또 다른 산업혁명이 도래한 시점에 아직도 자신을 떳떳이 드러내지 못하고 있는 Windows Embedded Compact를 오랫동안 지켜보면서, 필자는 여기서 그와 관련된

More information

TTA Journal No.157_서체변경.indd

TTA Journal No.157_서체변경.indd 표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

Microsoft PowerPoint APUE(Intro).ppt

Microsoft PowerPoint APUE(Intro).ppt 컴퓨터특강 () [Ch. 1 & Ch. 2] 2006 년봄학기 문양세강원대학교컴퓨터과학과 APUE 강의목적 UNIX 시스템프로그래밍 file, process, signal, network programming UNIX 시스템의체계적이해 시스템프로그래밍능력향상 Page 2 1 APUE 강의동기 UNIX 는인기있는운영체제 서버시스템 ( 웹서버, 데이터베이스서버

More information

ActFax 4.31 Local Privilege Escalation Exploit

ActFax 4.31 Local Privilege Escalation Exploit NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

논문 작성 기준

논문 작성 기준 안티바이러스자가보호무력화에대한연구 구사무엘, 김슬기 A Study on The Security Vulnerabilities in Self Protectionof Anti Viruses Samuel Koo, Seul-Gi Kim 1. 서론 2009 년 7.7 DDoS 공격에이어지난 26 일 SK Communications 가해킹으로인해 3500 만명의네이트회원개인정보가정보가유출되었으며,

More information

C# Programming Guide - Types

C# Programming Guide - Types C# Programming Guide - Types 최도경 lifeisforu@wemade.com 이문서는 MSDN 의 Types 를요약하고보충한것입니다. http://msdn.microsoft.com/enus/library/ms173104(v=vs.100).aspx Types, Variables, and Values C# 은 type 에민감한언어이다. 모든

More information

PowerPoint Presentation

PowerPoint Presentation 오에스아이소프트코리아세미나세미나 2012 Copyright Copyright 2012 OSIsoft, 2012 OSIsoft, LLC. LLC. PI Coresight and Mobility Presented by Daniel Kim REGIONAL 세미나 SEMINAR 세미나 2012 2012 2 Copyright Copyright 2012 OSIsoft,

More information

기술문서 LD_PRELOAD 와공유라이브러리를사용한 libc 함수후킹 정지훈

기술문서 LD_PRELOAD 와공유라이브러리를사용한 libc 함수후킹 정지훈 기술문서 LD_PRELOAD 와공유라이브러리를사용한 libc 함수후킹 정지훈 binoopang@is119.jnu.ac.kr Abstract libc에서제공하는 API를후킹해본다. 물론이방법을사용하면다른라이브러리에서제공하는 API들도후킹할수있다. 여기서제시하는방법은리눅스후킹에서가장기본적인방법이될것이기때문에후킹의워밍업이라고생각하고읽어보자 :D Content 1.

More information

bn2019_2

bn2019_2 arp -a Packet Logging/Editing Decode Buffer Capture Driver Logging: permanent storage of packets for offline analysis Decode: packets must be decoded to human readable form. Buffer: packets must temporarily

More information

예제와 함께 배워보는 OllyDbg사용법

예제와 함께 배워보는 OllyDbg사용법 초보자를위한예제와함께 배워보는 OllyDbg 사용법 -1 부 - By Beist Security Study Group (http://beist.org) 요약 : 이문서는 Ollydbg 프로그램을이용하여 Reverse Engineering을하는방법에대해서다룬다. 초보자를위하여작성된문서이며예제와함께 Ollydbg의각기능에대해서알아본다. 주로기초적인내용을다루고있다.

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Programming Languages 모듈과펑터 2016 년봄학기 손시운 (ssw5176@kangwon.ac.kr) 담당교수 : 임현승교수님 모듈 (module) 관련있는정의 ( 변수또는함수 ) 를하나로묶은패키지 예약어 module과 struct end를사용하여정의 아래는모듈의예시 ( 우선순위큐, priority queue) # module PrioQueue

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,

More information

API 매뉴얼

API 매뉴얼 PCI-DIO12 API Programming (Rev 1.0) Windows, Windows2000, Windows NT and Windows XP are trademarks of Microsoft. We acknowledge that the trademarks or service names of all other organizations mentioned

More information

Frama-C/JESSIS 사용법 소개

Frama-C/JESSIS 사용법 소개 Frama-C 프로그램검증시스템소개 박종현 @ POSTECH PL Frama-C? C 프로그램대상정적분석도구 플러그인구조 JESSIE Wp Aorai Frama-C 커널 2 ROSAEC 2011 동계워크샵 @ 통영 JESSIE? Frama-C 연역검증플러그인 프로그램분석 검증조건추출 증명 Hoare 논리에기초한프로그램검증도구 사용법 $ frama-c jessie

More information

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환 취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer

More information

untitled

untitled 시스템소프트웨어 : 운영체제, 컴파일러, 어셈블러, 링커, 로더, 프로그래밍도구등 소프트웨어 응용소프트웨어 : 워드프로세서, 스프레드쉬트, 그래픽프로그램, 미디어재생기등 1 n ( x + x +... + ) 1 2 x n 00001111 10111111 01000101 11111000 00001111 10111111 01001101 11111000

More information

분석기법을우회하는악성코드를분석하기위한프로세스설계 Ⅰ. 서론 인터넷은컴퓨터산업을혁신적으로발전시켰고인터넷의전송속도는나날이빨라지고있다. 그러나이러한긍정적인측면과는반대로역기능또한증가하고있다. 오랜기간에걸쳐전파되던과거바이러스와같은악성코드들이현재는불과몇분또는몇초내로전세계각지로전파

분석기법을우회하는악성코드를분석하기위한프로세스설계 Ⅰ. 서론 인터넷은컴퓨터산업을혁신적으로발전시켰고인터넷의전송속도는나날이빨라지고있다. 그러나이러한긍정적인측면과는반대로역기능또한증가하고있다. 오랜기간에걸쳐전파되던과거바이러스와같은악성코드들이현재는불과몇분또는몇초내로전세계각지로전파 연구논문 정보화정책제 24 권제 4 호, 2017 년겨울호, pp.68~78 분석기법을우회하는악성코드를분석하기위한프로세스설계 이경률 *, 이선영 **, 임강빈 *** 악성코드는나날이복잡해지고다양화되어단순한정보유출에서부터시스템에대한심각한피해를유발하는실정요약에이르렀다. 이러한악성코드를탐지하기위해코드분석에역공학을이용하는많은연구가진행되었지만, 악성코드개발자도분석방법을우회하는다양한기법을활용함으로써코드분석을어렵게하였다.

More information

IDA 5.x Manual 07.02.hwp

IDA 5.x Manual 07.02.hwp IDA 5.x Manual - Manual 01 - 영리를 목적으로 한 곳에서 배포금지 Last Update 2007. 02 이강석 / certlab@gmail.com 어셈블리어 개발자 그룹 :: 어셈러브 http://www.asmlove.co.kr - 1 - IDA Pro 는 Disassembler 프로그램입니다. 기계어로 되어있는 실행파일을 어셈블리언어

More information

Windows 10 General Announcement v1.0-KO

Windows 10 General Announcement v1.0-KO Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows

More information

Microsoft PowerPoint - ch09 - 연결형리스트, Stack, Queue와 응용 pm0100

Microsoft PowerPoint - ch09 - 연결형리스트, Stack, Queue와 응용 pm0100 2015-1 프로그래밍언어 9. 연결형리스트, Stack, Queue 2015 년 5 월 4 일 교수김영탁 영남대학교공과대학정보통신공학과 (Tel : +82-53-810-2497; Fax : +82-53-810-4742 http://antl.yu.ac.kr/; E-mail : ytkim@yu.ac.kr) 연결리스트 (Linked List) 연결리스트연산 Stack

More information

Microsoft Word - FunctionCall

Microsoft Word - FunctionCall Function all Mechanism /* Simple Program */ #define get_int() IN KEYOARD #define put_int(val) LD A val \ OUT MONITOR int add_two(int a, int b) { int tmp; tmp = a+b; return tmp; } local auto variable stack

More information

금오공대 컴퓨터공학전공 강의자료

금오공대 컴퓨터공학전공 강의자료 C 프로그래밍프로젝트 Chap 14. 포인터와함수에대한이해 2013.10.09. 오병우 컴퓨터공학과 14-1 함수의인자로배열전달 기본적인인자의전달방식 값의복사에의한전달 val 10 a 10 11 Department of Computer Engineering 2 14-1 함수의인자로배열전달 배열의함수인자전달방식 배열이름 ( 배열주소, 포인터 ) 에의한전달 #include

More information

hlogin7

hlogin7 0x07. Return Oriented Programming ROP? , (DEP, ASLR). ROP (Return Oriented Programming) (excutable memory) rop. plt, got got overwrite RTL RTL Chain DEP, ASLR gadget Basic knowledge plt, got call function

More information

Microsoft PowerPoint - hy2-12.pptx

Microsoft PowerPoint - hy2-12.pptx 2.4 명령어세트 (instruction set) 명령어세트 CPU 가지원하는기계어명령어들의집합 명령어연산의종류 데이터전송 : 레지스터 / 메모리간에데이터이동 산술연산 : 덧셈, 뺄셈, 곱셈및나눗셈 논리연산 : 비트들간의 AND, OR, NOT 및 XOR 연산 입출력 (I/O) : CPU( 레지스터 ) 와외부장치들간의데이터이동 프로그램제어 : 분기, 서브루틴호출

More information

목 차 1. 개요 취약점분석추진배경 취약점요약 취약점정보 취약점대상시스템목록 분석 공격기법및기본개념 시나리오 공격코드

목 차 1. 개요 취약점분석추진배경 취약점요약 취약점정보 취약점대상시스템목록 분석 공격기법및기본개념 시나리오 공격코드 취약점분석보고서 [Aviosoft Digital TV Player Professional 1.x Stack Buffer Overflow] 2012-08-08 RedAlert Team 강동우 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 1.2. 취약점요약... 1 1.3. 취약점정보... 1 1.4. 취약점대상시스템목록... 1 2. 분석...

More information

Deok9_PE Structure

Deok9_PE Structure PE Structure CodeEngn Co-Administrator!!! and Team Sur3x5F Member Nick : Deok9 E-mail : DDeok9@gmail.com HomePage : http://deok9.sur3x5f.org Twitter :@DDeok9 1. PE > 1) PE? 2) PE 3) PE Utility

More information

SSDT Hooking

SSDT Hooking SSDT Hooking Last Update : 2006 년 11 월 10 일 Written by Jerald Lee Contact Me : lucid78@gmail.com 본문서는커널모드후킹기술중의하나인 SSDT 후킹에대해정리한것입니다. 제가알고있는지식이너무짧아가급적이면다음에언제봐도쉽게이해할수있을정도로쉽게쓸려고노력하였습니다. 제가작성하였던기존의 Windows

More information

목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격..

목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격.. 취약점 분석 보고서 [ Adobe Flash Player 11.3 Kern Table Parsing Integer Overflow - CVE-2012-1535 ] 2012-08-23 RedAlert Team 안상환 목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리...

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 1. data-addressing mode CHAPTER 6 Addressing Modes 2. use of data-address mode to form assembly language statements 3. op of program memory address mode 4. use of program memory address mode to form assembly

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation 1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information