RISS 학술연구정보서비스

검색
다국어 입력

http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.

변환된 중국어를 복사하여 사용하시면 됩니다.

예시)
  • 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
  • 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
닫기
    인기검색어 순위 펼치기

    RISS 인기검색어

      검색결과 좁혀 보기

      선택해제

      오늘 본 자료

      • 오늘 본 자료가 없습니다.
      더보기
      • 윈도우 커널 기반 API 후킹 탐지 기법

        김완경 한남대학교 일반대학원 2010 국내박사

        RANK : 247631

        일반적으로 윈도우기반에서 API 후킹은 폐쇄적인 윈도우 운영체제의 특성상 가상메모리에 호출 프로시저가 로드되는 메커니즘을 이용하게 된다. 응용계층에서 동작하는 일반 악성코드는 시그니처 기반에 중심을 준 기존의 안티바이러스를 이용하여 해당 악성코드의 탐지 및 제거가 이루어지고 있는 반면, 커널 단에서 동작하는 악성 코드는 기존의 안티바이러스로 해당 악성 코드를 탐지하거나 제거하기가 매우 힘들다. 이는 커널 단에서 동작하는 악성 코드의 시스템 정보가 은닉되고 커널 공격 기법에 대한 패턴이 존재하지 않기 때문이다. 후킹을 차단하는 몇 가지 방법에는 해당 시스템의 코드 영역 즉 메모리 영역으로 접근을 메모리 관련, 프로세스 관련 함수를 역으로 후킹하여 메모리에 대한 접근을 막는 것이다. 두 번째 방법은 응용계층에서 활동 중인 프로세스들을 감시하여 후킹 이후 생성된 프로세서인지를 확인하고 이를 그 전으로 복구하는 방법이 있으며, 자신만의 dll 파일을 만들어서 사용하는 방법이 있을 수 있다. 그러나 위와 같은 방법은 신뢰성과 정확성면에서 그다지 좋은 효과를 보이지 못하며, 일부는 고급 프로그래밍 기술을 습득해야 가능하다. 특히 스텔스 기능을 가진 후킹 기술이나 새로이 우회하는 기술에 대해서는 속수무책일 수도 있다. 그러나 어떤 악성 코드든 시스템에서 동작하기 위해서는 반드시 메모리에 흔적을 남기게 된다. 따라서 이를 이용하여 커널 모드에서 동작하는 악성 코드에 대한 탐지를 수행 할 수 있다. 위와 같은 메커니즘을 이용하여 커널 모드에서 동작하는 악성 코드에 대한 탐지를 수행 할 수 있다. 따라서 본 논문에서는 커널 모드에서 동작하는 악성 코드에 대해 API에 대한 후킹 탐지 도구를 설계 및 개발한다. 본 논문에서 제안하는 윈도우 API 후킹 탐지 도구는 kernel32.dll, advapi32.dll, psapi.dll, iphlpapi.dll, snmpapi.dll, netapi32.dll, ntdll.dll을 대상으로 순차적으로 dll 파일을 호출하여 연결된 exe( ) 즉, 실행파일이 메모리에 적재 되어 있다면 해당 dll 파일의 엔트리 값을 호출하고, 그에 대한 import와 export를 탐지한다. 제안 도구의 테스트는 악성 코드나 루트킷이 설치되지 않은 클린 PC 환경과 테스트용 해킹 도구가 설치되어 있는 PC환경에서 이루어졌다. 테스트 결과 해킹 도구가 설치되어 있는 PC 환경에서 악성 API가 존재함을 확인 할 수 있었다. 제안한 도구는 커널단에서 동작하는 루트킷과 같은 악성 코드를 방어하기 위한 기반이 될 수 있을 것으로 사료된다. In general, API hooking is operated using a mechanism that calls procedure to load into the virtual memory which is based on Windows. General malicious code, which is operated in the application level is detected and deleted with existing anti-virus, but some malicious codes which are operated in kernel level remains that are not detected and not deleted. The reason is that they don't present specific pattern and some of them have stealth ability. There are several methods to block from hooking, one of those method is blocking malicious code that tries to approach the memory area which serve as reverse hooking. Second method is the restoration to previous state, if a process is operated after hooking procedure another method is by using a private dll files which are programmed by users. But those methods could be developed using a high programming technique. However, these strategies doesn't show good effect in aspect of trust and correctness. Specially it doesn't work with stealth and detour techniques. Hence, these techniques will leave a trace that operates in system memory. For these reason, these malicious codes could be detected. Therefore, this paper is designed and developed using Windows API hooking detection tool against a malicious code in kernel level. Initially, the proposed detection tool calls dll files such as kernel32.dll, advapi32.dll, psapi.dll, iphlpapi.dll, snmpapi.dll, netapi32.dll and ntdll.dll. Then, if an execution file is loaded into the memory, it will detect import procedure from and export dll files after a call of dll's entry. In this paper, the proposed tool has been tested with a clean PC environment without malicious code installed and a PC with malicious code installed. Based on the result of the test, proposed tool detected some malicious API which are existing in the PC with malicious code installed. In addition, the proposed tool contributed prevention procedure that will protect the system against malicious codes which are operated in a kernel level such as rootkit.

      • ESM의 보안 시스템과 보안 에이전트간의 호환성 향상을 위한 통신프로토콜 개발

        김완경 韓南大學校 大學院 2005 국내석사

        RANK : 247631

        이기종간의 보안 이벤트를 수집, 관리 하는 통합 보안 관리 시스템의 경우 각각 벤더별 통신 정책 특징이 상이함에 따라 호환성과 ESM의 효율성면에서 그 문제점이 발생된다. 특정 보안 회사에서는 이러한 문제점을 Syslog 형식을 빌림으로써 그 해결책을 극복하고자 하나, Syslog의 경우 암호화 하지 않으므로 또 다른 문제점을 야기 시키는 원인이 되고 있다. 또한 대부분의 보안 회사에서 암호화를 OpenSSL을 사용하여 보안 프로토콜 속에 암호화 정책을 사용한다. 이때 OpenSSL 의존적인 라이브러리를 포함하여야 하므로 임베디드 상이나 하드웨어 직접 기술을 통한 보안 제품상에서는 OpenSSL 라이브러리와 이를 지원할 수 있는 라이브러리를 같이 포함시켜야 하는 문제점이 있다. 본 논문에서는 서로 다른 프로토콜 정책을 사용하는 이기종 보안 시스템간의 원활한 통신을 위하여 통합 보안 관리 시스템 보안 프로토콜을 개발하였다. 개발된 프로토콜은 통합된 프로토콜 정책을 사용할 수 있도록 하였고, 기존의 공개키, 비밀키 암호화 알고리즘과 새로운 암호화 알고리즘을 각 벤더 정책에 맞게 유동적으로 사용할 수 있도록 하였다. 또한 본 논문에서 제시하는 프로토콜은 GNU 정책에 의해 작성하여, 플랫폼에 의존적이지 않는 범용 보안 프레임워크를 제안한다. 범용 프레임워크는 라이브러리 형태로 제공하여 개발자는 라이브러리가 제공하는 함수들만을 이용하여 통합 보안 관리 시스템과의 통신을 할 수 있을 것으로 기대된다.

      연관 검색어 추천

      활용도 높은 자료

      이 검색어로 많이 본 자료

      해외이동버튼