A Method of Intercepting System Calls on Hardware-assisted Virtualization Environment

하드웨어 지원 가상화 환경에서의 시스템 콜 인터셉트 기법

최근 많은 보안 공격 도구들은 커널 레벨에서 동작하도록 설계 되고 있다. 악의적인 행동이 시스템 모니터링 프로그램과 같은 권한 레벨에서 이루어지기 때문에 공격 도구들은 공격 대상으로부터 자신의 존재를 숨기고 활동할 수 있다. 이러한 커널 레벨 악성코드들에 대한 대처 방법으로 가상화 기술을 이용하는 더 높은 권한 레벨을 가진 가상머신모니터(VMM)에서의 시스템 모니터링 방법이 소개 되었다. 그러나 많은 가상화 기반 모니터링 도구들이 주로 페이지 폴트 예외를 이용하여 시스템 콜 호출을 감시하기 때문에 신뢰성이 떨어지고 확장 페이지 테이블 (EPT) 과 같은 최신 하드웨어 가상화 기술 지원을 받지 못한다. 이에 본 논문에서는 일반 보호 예외를 이용하는 새로운 시스템 콜 인터셉트 기법을 제안함으로써 기존 기법의 기술적 한계를 극복하고 신뢰도 높은 모니터링 기법을 제공하고자 한다. 또 해당 기법의 구체적 구현 방법을 서술하고 구현 결과를 실험함으로서 제안 기법을 검증한다.