Study on Detection Method and Development of the Kernel Mode Rootkit

커널 모드 루트킷 개발 및 탐지기법에 관한 연구

루트킷은 쉽게 말해 루트(root)권한을 쉽게 얻게 해주는 킷(kit)이다. 루트킷은 주로 운영체제의 커널 객체를 조작함으로서 프로세스, 파일 및 레지스트리가 사용자에게 발견되지 않도록 은닉하는 일을 수행한다. 본 논문에서는 루트킷의 은닉 기법중 하나인 직접 커널 오브젝트 조작 기법 (DKOM, Direct Kernel Object Manipulation)에 대해 연구한다. 그동안 루트킷에서 많이 이용되던 DKOM 기법은 작업 관리자로부터 프로세스를 은닉하는 일을 수행하였다. 그러나 본 논문에서는 이를 응용하여 작업 관리자로부터 프로세스를 은닉할 뿐만 아니라 Anti Rootkit 도구까지 우회하는 커널모드 디바이스를 설계하고, 이를 탐지할 수 있는 새로운 방법에 대하여 제안한다.