커널을 변조하는 루트킷과 같은 악성코드가 만약 메모리 분석을 회피하기 위한 메커니즘을 추가하게 될 경우, 분석이 어려워지거나 불가능하게 되면서 분석가의 판단에 악영향을 미칠 수 ...
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
https://www.riss.kr/link?id=A107837326
2021
Korean
KCI등재
학술저널
661-674(14쪽)
0
0
상세조회0
다운로드국문 초록 (Abstract)
커널을 변조하는 루트킷과 같은 악성코드가 만약 메모리 분석을 회피하기 위한 메커니즘을 추가하게 될 경우, 분석이 어려워지거나 불가능하게 되면서 분석가의 판단에 악영향을 미칠 수 ...
커널을 변조하는 루트킷과 같은 악성코드가 만약 메모리 분석을 회피하기 위한 메커니즘을 추가하게 될 경우, 분석이 어려워지거나 불가능하게 되면서 분석가의 판단에 악영향을 미칠 수 있다. 따라서 향후 고도화된 커널 변조를 통해 탐지를 우회하는 루트킷과 같은 악성코드에 선제적으로 대응하고자 한다. 이를 위해 공격자의 관점에서 윈도우 커널에서 사용되는 주요 구조체를 분석하고, 커널 객체를 변조할 수 있는 방법을 적용하여 메모리 덤프 파일에 변조를 진행하였다. 변조 결과 널리 사용되는 메모리 분석 도구에서 탐지가 되지 않는 것을 실험을 통해 확인하였다. 이후 분석가의 관점에서 변조 저항성의 개념을 사용하여 변조를 탐지할 수 있는 소프트웨어 형태로 만들어 기존 메모리 분석 도구에서 탐지되지 않는 영역에 대해 탐지 가능함을 보인다. 본 연구를 통해 선제적으로 커널 영역에 대해 변조를 시도하고 정밀 분석이 가능하도록 인사이트를 도출하였다는 데 의의가 있다 판단된다. 하지만 정밀 분석을 위한 소프트웨어 구현에 있어 필요한 탐지 규칙을 수동으로 생성해야 한다는 한계점이 존재한다.
다국어 초록 (Multilingual Abstract)
Malware, such as a rootkit that modifies the kernel, can adversely affect the analyst’s judgment, making the analysis difficult or impossible if a mechanism to evade memory analysis is added. Therefore, we plan to preemptively respond to malware suc...
Malware, such as a rootkit that modifies the kernel, can adversely affect the analyst’s judgment, making the analysis difficult or impossible if a mechanism to evade memory analysis is added. Therefore, we plan to preemptively respond to malware such as rootkits that bypass detection through advanced kernel modulation in the future. To this end, the main structure used in the Windows kernel was analyzed from the attacker’s point of view, and a method capable of modulating the kernel object was applied to modulate the memory dump file. The result of tampering is confirmed through experimentation that it cannot be detected by memory analysis tool widely used worldwide. Then, from the analyst’s point of view, using the concept of tamper resistance, it is made in the form of software that can detect tampering and shows that it is possible to detect areas that are not detected by existing memory analysis tools. Through this study, it is judged that it is meaningful in that it preemptively attempted to modulate the kernel area and derived insights to enable precise analysis. However, there is a limitation in that the necessary detection rules need to be manually created in software implementation for precise analysis.
목차 (Table of Contents)
참고문헌 (Reference)
1 장석영, "윈도우즈 커널 정보를 이용한 루트킷 실행 여부 검사 방법" 아주대학교 정보통신대학원 2013
2 우현중, "윈도우 루트킷 탐지·차단 기법에 관한 연구" 경기대학교 대학원 2005
3 방민석, "메모리 변조에 의한 은닉파일 탐지도구 설계 및 구현" 동국대학교 국제정보대학원 2013
4 한지성, "라이브 포렌식을 위한 윈도우즈 물리 메모리 분석 도구" 한국정보보호학회 21 (21): 71-82, 2011
5 Github, "user:F-INSIGHT"
6 김재명, "Windows 커널 공격기법의 대응 모텔 및 메커니즘에 관한 연구" 한국융합보안학회 6 (6): 1-12, 2006
7 Cui, Weidong, "Tracking rootkit footprints with a practical memory an alysis system" 601-615, 2012
8 Quynh, Nguyen Anh, "Towards a tamper-resistant kernel rootkit detector" 276-283, 2007
9 Young-Bok Kang, "Physical Memory Analysis Technology for Malware Detection" 24 (24): 39-44, 2014
10 Takahiro Haruyama, "One-byte Modification for breakin g Memory Forensic Analy" 2012
1 장석영, "윈도우즈 커널 정보를 이용한 루트킷 실행 여부 검사 방법" 아주대학교 정보통신대학원 2013
2 우현중, "윈도우 루트킷 탐지·차단 기법에 관한 연구" 경기대학교 대학원 2005
3 방민석, "메모리 변조에 의한 은닉파일 탐지도구 설계 및 구현" 동국대학교 국제정보대학원 2013
4 한지성, "라이브 포렌식을 위한 윈도우즈 물리 메모리 분석 도구" 한국정보보호학회 21 (21): 71-82, 2011
5 Github, "user:F-INSIGHT"
6 김재명, "Windows 커널 공격기법의 대응 모텔 및 메커니즘에 관한 연구" 한국융합보안학회 6 (6): 1-12, 2006
7 Cui, Weidong, "Tracking rootkit footprints with a practical memory an alysis system" 601-615, 2012
8 Quynh, Nguyen Anh, "Towards a tamper-resistant kernel rootkit detector" 276-283, 2007
9 Young-Bok Kang, "Physical Memory Analysis Technology for Malware Detection" 24 (24): 39-44, 2014
10 Takahiro Haruyama, "One-byte Modification for breakin g Memory Forensic Analy" 2012
11 Google, "Intel 64 and IA-32"
12 Google, "IA-32 Intel 32/64-bit Architec ture"
13 Dija, S., "Forensic reconstructio n of executables from Windows 7 phys ical memory" 1-5, 2016
14 Tsaur, "Exploring Rootkit detectors' vuln erabilities using a new windows hidde n driver based Rootkit" 842-848, 2010
15 Luka Milkovic, "Defeating Windows m emory forensics" 2012
16 Stüttgen, Johannes, "Anti-forensic resilient memory acquisition" 10 : 105-115, 2013
17 Dae-woon Kim, "Anti-dump technique using PHYSICAL_MEMORY_RUN me mory structure manipulation" Chonnam National University 2017
18 Jake Williams, "AD D - Complicating Memory Forensics Trough Memory Disarray"
19 Seok-joo Kim, "A Study of Effective Rootkit-Detection base on Windows System" Konkuk University 2008
20 Dong-eun Shin, "A Study of Detection Method for Heap Memory Resident M alware using Table of Essential Callee Code" Soongsil Universi ty 2016
21 Kyung-ho Lee, "A Countermeasure Me chanism for Anti-memory Forensics b ased on Process Control Region Analy sis in Windows Environment" Chonnam National University 2015
신뢰 실행 환경 어플리케이션 개발을 위한 상용 컨피덴셜 컴퓨팅 프레임워크 동향 및 비교 분석
테스트 프레임워크를 활용한 라이브러리 퍼징 환경 구축 자동화
학술지 이력
연월일 | 이력구분 | 이력상세 | 등재구분 |
---|---|---|---|
2026 | 평가예정 | 재인증평가 신청대상 (재인증) | |
2020-01-01 | 평가 | 등재학술지 유지 (재인증) | |
2017-01-01 | 평가 | 등재학술지 유지 (계속평가) | |
2013-01-01 | 평가 | 등재학술지 유지 (등재유지) | |
2010-01-01 | 평가 | 등재학술지 유지 (등재유지) | |
2008-01-01 | 평가 | 등재 1차 FAIL (등재유지) | |
2005-01-01 | 평가 | 등재학술지 선정 (등재후보2차) | |
2004-01-01 | 평가 | 등재후보 1차 PASS (등재후보1차) | |
2003-01-01 | 평가 | 등재후보학술지 선정 (신규평가) |
학술지 인용정보
기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
---|---|---|---|
2016 | 0.41 | 0.41 | 0.43 |
KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
0.45 | 0.4 | 0.508 | 0.04 |