프로세스 내에 숨겨진 이미지 검출을 위한 알고리즘 설계 및 구현 [크로스-디스어셈블러]

Abstract

윈도우 운영체제 환경에서 악성코드가 사용하는 기술이 점점 고도화되고 다양한 기법들을 사용되어 지능적으로 발전하고 있습니다. 많은 논문이나 책에서 컴퓨터 시스템과 소프트웨어 해킹 기술을 다루고 있습니다.

본 연구는 공격을 수행하는 방법이 아니라 침투를 수행한 공격자가 침투한 상태를 유지하기 위해 은닉 기술을 사용하게 되는데, 이 부분에 대한 감지 방법입니다. 그 중에서도 프로세스 가상 메모리에 내에 은닉된 이미지(DLL 등) 찾는 알고리즘 구현에 대한 내용입니다.

일반적으로 제공되는 작업관리자 유틸리티에는 실행된 프로세스에 대한 이미지(모듈) 리스트 기능을 제공됩니다. 이미지 목록에서는 나타나지 않지만 실제 그 프로세스 가상 메모리에는 알 수 없는 이미지가 있을 수 있습니다. 본 연구에서 이것을 Rootkit 이미지라고 정의하였고 이 Rootkit 이미지를 찾는 알고리즘이 본 연구의 결과입니다.

본 연구의 핵심요소는 첫째 구현된 알고리즘이 보안적인 요소를 가지기 위해 C++ 컴파일러 특성을 이용한 Anti-Reversing 방법 둘째 USER-MODE에서 운영체제가 제공하는 API를 사용하지 않고 직접 시스템 콜 호출을 하는 방법 마지막으로 숨겨진 이미지를 찾는 세 가지 알고리즘에 대한 방법을 제안합니다.

단계별로 세 가지 알고리즘이 구현되어 있는데, 모델-A에서는 물리적으로 존재하지만 논리적으로 존재하지 않는 경우에 대해 모델-B,C는 물리적 그리고 논리적으로 존재하지 않는 경우에 대해 탐지 방법을 제안합니다.

그리고, 알고리즘 성능 부분에서는 API를 사용하지 않고 직접 시스템 호출 기법을 사용할 경우의 성능적 차이와 알고리즘을 다양한 지역(국가)의 PC에 적용하여 모델-A, 모델-B, 모델-C 알고리즘에서 검출된 결과를 보여주고 있습니다.