윈도우 XP 커널 기반 API 후킹 탐지 도구 설계 및 개발

김완경; 소우영

윈도우 XP 커널 기반 API 후킹 탐지 도구 설계 및 개발

원문정보

Design and Implementation of the Detection Tool of API Hooking Based on Window XP Kernel

김완경, 소우영

보안공학연구지원센터(JSE) 보안공학연구논문지 Vol.7 No.4 2010.08 pp.385-397 KCI 등재후보

피인용수 : 0건 (자료제공 : 네이버학술정보)

초록

영어

Recently attack methods based on Windows are used Root-kit. It is very difficult to detect or remove Root-kit operated Windows Kernel because a system information of malicious code which is operated in kernel mode is hidden and not exited the formulaic pattern. Generally the attack methods have in common with using API hooking method, so it is needed to study on the Windows API hooking detection method. Therefore this paper researches about the methods of Windows API hooking and detection and also designs and implements a Windows API detection tool. The proposed tool can detect hooked API and can decide primary distinction whether the API hooking behaviour is malicious or not.

한국어

최근 윈도우 운영체제를 대상으로 하는 공격기법은 윈도우 기반의 루트 킷을 이용해 행해지고 있다. 윈도우 커널 단에서 동작하는 루트 킷을 탐지하거나 제거하는 것은 매우 어려우며, 불가능한 경우도 존재한다. 이는 커널 기반에서 동작하는 악성코드의 시스템 정보가 은폐되고 공격 기법에 대한 정형화된 패턴이 존재하지 않기 때문이다. 일반적으로 윈도우 커널 기반 공격 기법의 공통점 중 하나는 윈도우 커널 단에서 API를 후킹 함으로써 이루지기 때문에, 이를 이용한 탐지 기법에 대한 연구가 필요하다. 따라서 본 논문에서는 윈도우 운영체제를 기반으로 하는 윈도우 API 후킹 방법과 탐지기법 등에 대해 연구하고 이를 활용한 탐지 도구를 설계 및 개발한다. 제안하는 도구는 후킹된 API를 탐지하고 탐지 결과를 활용하여 해당 행위가 악의적인 목적인지에 대해 일차적인 판별을 할 수
있다.

요약
Abstract
1. 서론
2. 관련연구
  2.1 윈도우 시스템 구조
  2.2 윈도우 메모리 관리
  2.3 SSDT(System Service Descriptor Table)
3. 악성 코드 탐지 도구 및 대응 도구
  3.1 C++의 정적 취약점 점검 스캐너 : ITS4
  3.2 에뮬레이터방식의 SASS
  3.3 C를 바탕으로 한 Cyclone
  3.4 KISS(Kyunggi university Information Security System)
  3.5 그 밖의 탐지 도구
4. 윈도우 API 후킹 탐지 도구 설계 및 구현
  4.1 후킹 탐지 도구 구성
  4.2 후킹 탐지 도구 설계 및 개발
  4.3 테스트 및 테스트 결과
4. 결론
참고문헌

키워드

저자정보

김완경 Wankyung Kim. 한남대학교 컴퓨터공학과 연구원.
소우영 Wooyoung Soh. 한남대학교 컴퓨터공학과 교수.

참고문헌

자료제공 : 네이버학술정보

함께 이용한 논문

※ 원문제공기관과의 협약기간이 종료되어 열람이 제한될 수 있습니다.

0개의 논문이 장바구니에 담겼습니다.

earticle