• 제목, 요약, 키워드: DLL/Code injection

검색결과 4건 처리시간 0.02초

윈도우 환경에서의 메모리 인젝션 기술과 인젝션 된 DLL 분석 기술 (Memory Injection Technique and Injected DLL Analysis Technique in Windows Environment)

  • 황현욱;채종호;윤영태
    • 융합보안논문지
    • /
    • v.6 no.3
    • /
    • pp.59-67
    • /
    • 2006
  • 최근 개인 PC 해킹과 경제적 이익을 목적으로 하는 게임 해킹이 급증하면서 윈도우즈 시스템을 대상으로 하는 특정 목적의 악성코드들이 늘어나고 있다. 악성코드가 은닉 채널 사용이나 개인 방화벽과 같은 보안 제품 우회, 시스템 내 특정 정보를 획득하기 위한 기술로 대상 프로세스의 메모리 내에 코드나 DLL을 삽입하는 기술이 보편화되었다. 본 논문에서는 대상 프로세스의 메모리 영역에 코드를 삽입하여 실행시키는 기술에 대해 분석한다. 또한 피해 시스템에서 실행중인 프로세스 내에 인젝션 된 DLL을 추출하기 위해 파일의 PE 포맷을 분석하여 IMPORT 테이블을 분석하고, 실행중인 프로세스에서 로딩중인 DLL을 추출하여 명시적으로 로딩된 DLL을 추출하고 분석하는 기법에 대해 설명하였다. 인젝션 기술 분석과 이를 추출하는 기술을 통해 피해시스템 분석시 감염된 프로세스를 찾고 분석하는 시발점이 되는 도구로 사용하고자 한다.

  • PDF

DLL injection 기법을 이용하는 악성코드의 새로운 치료 방법 연구 (A Study on New Treatment Way of a Malicious Code to Use a DLL Injection Technique)

  • 박희환;박대우
    • 한국컴퓨터정보학회논문지
    • /
    • v.11 no.5
    • /
    • pp.251-258
    • /
    • 2006
  • 개인 정보의 탈취에 필요한 악성코드는 Phishing, Pharming메일, VoIP서비스를 이용하는 Vishing, 모바일 금융을 위장한 SMiShing 등에 이용되어진다. 악성코드의 삭제나 치료는 앤티바이러스나 스파이웨어 제거 프로그램을 사용한다. 그런데 DLL Injection 기법을 이용하여 기생 동작하는 악성코드는 윈도우 운영체제에서 반드시 실행되어야 하는 프로세스인 Isass.exe, winlogon.exe, csrss.exe와 연계되어 있어 치료가 되지 않는다. 사용자가 바이러스의 치료를 위하여 임의로 프로세스를 강제 종료하려 한다면, 운영체제 시스템 전체가 리부팅이 발생하거나 블루 스크린이 발생한다. 본 논문에서는 치명적인 결과를 발생하는 DLL Injection 기법을 이용하는 악성코드를 치료하는 새로운 치료방법을 제안한다. 새로운 치료를 위한 Thread에 종료함수를 임의로 삽입하고 Thread를 제어하여 DLL의 동작을 종료하고, 종료함수가 가지는 Thread를 다시 Injection 한 후 KILL DLL 클릭하여 삭제한다. 본 논문에서 실험을 한 치료방법과 해결하는 방안은 컴퓨터 바이러스의 대한 획기적인 차원의 연구가 될 것이며 경제와 금융사회의 유비쿼터스 보안을 강화하는 초석이 될 것이다.

  • PDF

Windows 시스템 파일에 기생하는 악성코드의 치료 방법 연구 (A Study on Treatment Way of a Malicious Code to injected in Windows System File)

  • 박희환;박대우
    • 한국컴퓨터정보학회지
    • /
    • v.14 no.2
    • /
    • pp.255-262
    • /
    • 2006
  • 개인 정보의 탈취에 필요한 악성코드는 Phishing, Pharming메일, VoIP 서비스를 이용하는 Vishing, 모바일 금융을 위장한 SMiShing등에 이용되어진다. 악성코드의 삭제나 치료는 앤티바이러스나 스파이웨어 제거 프로그램을 사용한다. 그런데 Windows 시스템 파일에 기생하여 기생 동작하는 악성코드는 윈도우 운영체제에서 반드시 실행되어야 하는 프로세스인 lsass.exe, winlogon.exe, csrss.exe와 연계되어 있어 치료가 되지 않는다. 사용자가 바이러스의 치료를 위하여 임의로 프로세스를 강제 종료하려 한다면 운영체제 시스템 전체가 리부팅이 발생하거나 블루 스크린이 발생한다. 본 논문에서는 치명적인 결과를 발생하는 Windows 시스템 파일에 기생하는 악성코드를 치료하는 새로운 치료방법을 제안한다. 새로운 치료를 위한 Thread에 종료함수를 임의로 삽입하고 Thread를 제어하여 기생 동작을 종료하고, 종료함수가 가지는 Thread를 다시 Injection 한 후 KILL DLL 클릭하여 삭제한다. 본 논문에서 실험을 한 치료방법과 해결하는 방안은 컴퓨터 바이러스의 대한 획기적인 차원의 연구가 될 것이며 경제와 금융사회의 유비쿼터스보안을 강화하는 초석이 될 것이다.

  • PDF

스레드 기반 모니터링을 통한 악의적인 행위 주체 추적 및 차단에 관한 연구 (A Study on the Tracking and Blocking of Malicious Actors through Thread-Based Monitoring)

  • 고보승;최원혁;정다정
    • 정보보호학회논문지
    • /
    • v.30 no.1
    • /
    • pp.75-86
    • /
    • 2020
  • 최근 윈도우즈 운영체제 환경에서 악성코드가 고도화됨에 따라 악의적인 행위를 수행하는 주체가 프로세스가 아닌 경우가 많이 발생하고 있다. 운영체제에 기본적으로 탑재된 프로세스 등에 삽입되어 동작하는 악성코드는 DLL/코드 인젝션과 같은 방식으로 스레드 단위로 동작한다. 이 경우 프로세스 단위로 악성 유무를 진단 및 차단하는 것은 시스템 운영에 심각한 문제를 야기할 수도 있다. 본 논문에서는 프로세스 기반 모니터링 정보를 사용하여 프로세스의 악성유무를 판단하고 차단하는 방법이 가지고 있는 문제점을 나열하고 그에 대한 개선된 방안을 제시한다.