Tag Archives: 탐지

루트킷 탐지 – 도구들

루트킷 탐지 – 도구들 수동으로 루트킷이 활용하는 후킹을 탐지한다는 것은 여간 어려운 일이 아니다. 그리고 대부분의 후킹 도구들은 본인을 감추는 기능도 함께 내장하여 일반적인 프로세스 및 드라이버 리스트에서 나타나지 않게 된다. 이렇게 스스로를 감추고 동작하는 도구들을 관리 권한보다 높은 권한으로 실행된다고 하여 루트킷이라고 한다(관리 권한으로도 삭제할 수 없도록 만들 수 있기 때문이다). 이 같은 경우

Read More

안티 디버깅(Anti-debugging, 디버거 탐지) – INT3 예외 처리

How to debugging detect? 프로그램 역분석, 즉 프로그램 디버깅 방법을 배웠다면, 해당 프로그램의 코드를 그대로 보는 것과 같아서, 숙달되면 프로그램의 모든 코드를 손쉽게 확인할 수 있다. 이를 통해 개발자가 원하지 않았던 방식으로 처리 흐름을 바꾸거나 데이터를 바꿔 치기 하는 등 악용할 수 있는 소지가 많다. 이를 방지하기 위해 개발된 기술이 바로 안티 디버깅으로, 말 그대로

Read More