DOI QR코드

DOI QR Code

Detecting a Driver-hidden Rootkit using DKOM in Windows OS

윈도우 OS에서 DKOM 기반 루트킷 드라이버 탐지 기법

  • 심재범 (과학기술연합대학원대학교 정보보호공학) ;
  • 나중찬 (한국전자통신연구원)
  • Published : 2014.04.22

Abstract

많은 루트킷들은 사용자 또는 탐지 프로그램으로부터 탐지되지 않기 위해서 중요한 함수를 후킹하거나 DKOM 등의 기술을 이용한다. API를 후킹하여 반환되는 정보를 필터링하는 전통적인 루트킷과 달리 DKOM 루트킷은 이중 연결리스트로 구성된 커널 오브젝트의 링크를 직접 조작하여 루트킷 자신의 존재를 숨길 수 있으며 DKOM으로 은닉한 루트킷은 쉽게 탐지되지 않는다. 본 논문에서는 DKOM을 이용하여 은닉된 루트킷 드라이버를 탐지하기 위한 기술을 제안하고, 루트킷 탐지 능력을 검증한다.

Keywords