Hide Process 2007. 06.

Slides:

Advertisements

Similar presentations

글로벌 인턴십 (Global Internship) 인하공업전문대학

Advertisements

참부모님의 메시아 되심과 그 사명 제 1 강 참아버님의 메시아 이해 (1) 제 2 강 참부모님의 메시아 이해 (2) 제 3 강 인간의 타락과 복귀원리 제 4 강 메시아에 의한 혈통전환과 축복 제 5 강 재창조섭리 와 인간책임분담.

온누리교회 일대일 사역팀. CONTENTS 1. 예수님의 공생애 사역 2. 죄의 기원과 죄의 결과 3. 죄 문제의 해결 I. 예수님의 부활은 그리스도의 죽음과 함께 기독교 II. 인간은 하나님 앞에 모두 죄인이다. III. 따라서 나도 죄인이라는 사실을 깨달아야 한다.

20... ㅇㅇ동 ㅇㅇㅇ시설 신축공사 - 안산시 단원구 ㅇㅇ동 번지 - 부 서 명부 서 명 2012 년도 제 회 안산시경관위원회 2012 년도 제 회 안산시경관위원회 심의일자 (HY 중고딕 20) 사업명 (HY 중고딕 20) 사업위치 (HY 중고딕 20) 민간건축물 미작성.

서울혁신기획관 익명성과 인간소외 심화, 공동체 해체 … 시민의 행복지수와 삶의 질 하락 … 2 I. 왜 … 마을공동체인가 ! 1.

스마트폰 시대의 도서관서비스 김 종 은

2009 년 행정안전부 공직설명회 년 행정안전부 공직설명회 2 목 차 I. 개 요 II. 기능직 개편원칙 III. 정보통신현업 개편방안 IV. 주요 이슈.

I. 대만 사과수출 현황 II. 대만의 검역 및 MRL III. 안전성 위반 사례와 추가 협상 IV. 안전성 관리를 위한 노력 C ontents V. 검역 및 안전성 관리 대책.

주 40 시간 근무제 조기 시행계획 ( 급여 체계 변경안 포함 ) XXXXXXX.

2013 년 조사연구위원회 위촉식 및 활동 설명회 2013 년 조사연구위원회 위촉식 및 활동 설명회

융합형 전문가, 기술경영자 한성대학교 경영학부 하성욱 교수 2014 년 10 월 29 일 2014 년 한성여고 방과후 특강.

국제통상 3 학년 허득진 국제통상 3 학년 박갑용 러시아어문 2 학년 황금택 1. I. P&I 보험과 P&I 클럽 II. P&I 보험의 위험부담 III. KP&I 클럽 설립목적과 설립배경 IV. KP&I 클럽 운영현황 V. KP&I 클럽 특징과 장점 VI. KP&I 클럽의.

회계학과 김영록 회계학과 곽웅섭 회계학과 정찬규 경영학부 황 현.

우측보행국민운동본부 본부장 / 공학박사 황 덕 수 오른쪽으로 걷는 생활이 더 편리하고 안전하다 - 신체발달특성, 생활사례, 관련법규 중심으로 -

건강새마을 조성사업 주민 참여 모니터링 강 민 정.

(목) 심형석 영산대학교 부동산∙금융학과 교수 영산대학교 부동산연구소 소장

2009 개정 교육과정에 따른 예술(음악/미술)교과 교육과정 개정의 주요 내용

목 차 I 방위산업의 정의 II 방위산업의 특성 III 방위산업의 현황.

정 보 공 개 서 무 림 오 피 스 웨 이 ㈜.

1월 월간업무보고 경 리 부.

제6장. 현금예금, 대여금, 차입금 대구대학교 회계세무학부 이장형 교수.

안 보여 줄끼가? 소프트웨어 프로젝트 1 – 제안서 발표 피바다 (A6)조 발표자 : 조기수.

목 차 I 퇴직연금의 필요성 II 퇴직급여제도 종류 퇴직연금제도 도입배경 III IV 과학기술인 퇴직연금 개요 V

홍보출판 위원회 출판국 2010년 사역 계획서 발표자 : 출판국 국장 / 박수만권사 일시: 2010년 01월 17일(일) 1.

영호남 공동발전을 위한 학술문화 교류사업 보고

서울특별시 중구 통일로 10 연세재단세브란스빌딩

目次 I. 총칙 II. 특허 요건 III. 특허 출원 IV. 심사 절차 V. 특허 등록 및 특허권 VI. 특허권자 보호

SYSTEM CALL (Syscall) CSLAB SEWON PARK.

역대 정부개편의 교훈과 새로운 정부조직개편의 방향

Dakuo’s Lecture.

김종찬 김정석 이상미 임성규 담당 교수님 최병수 교수님

체위변경과 이동 요양보호 강사 : 이윤희.

2016학년도 2학기 수강바구니(수강신청) 안내 매뉴얼

2016학년도 1학기 수강바구니(수강신청) 안내 매뉴얼

Software Exploit and Kernel Protection

게시판이용자의 본인확인 - 제한적 본인확인제

지역맞춤형 일자리창출 사업 기관 평가

통합세대단자함방식 단위세대내 통신선로 시설공법개선

Visual c++ 이용한 영상처리 5조 과정 : 시스템제어 조장 : 김 신 호 조원 : 주강수, 유성민, 남민호

2009-2학기 프로젝트 수업 프로젝트 II, IV, VII 학기.

2011년 하반기 VIP투자자문 인재채용 안내

올바른 이메일 사용법

2016학년도 학교평가 안내 충청북도교육청 (기획관).

Windows 환경에서 동작하는 Arm Emulator(Simulator)

대촌중 최영미.

신 윤 호 ㈜엘림에듀 초등사업본부장, 중앙대학교 체육학박사

지방공무원 임용시험 위탁 및 공동추진 충청북도교육청 (목) 총무과 교육행정 6급 안 병 대

대박콜 전국화물 퀵서비스 회사소개서 (기업 퀵서비스,택배,문서수발).

프로젝트 포트폴리오 요약 프로젝트 종류 프로젝트 이력 역할 주요 기술 : Windows System Application

2019학년도 1학기 수강바구니(수강신청) 안내 매뉴얼

연구개발비 종합관리시스템 이용안내 ( 연 구 비 카 드 제 )

타워크레인 설치 · 해체시 작업안전 한국산업안전공단.

1월 KB손해보험 설계사 시상 Ｉ. 설맞이 2017년 Good Start 상품시상 II. A군 FC 주차시상 5만원↑

정보 INFRA 구축 RF카드를 이용한 고객관리시스템 구축 에클라트소프트.

地方自治團體의 財政 < 地方自治團體의 財政 > 1. 意義

비정규직법의 이해 노 동 부.

원격교육활용론 11. 원격교육 컨텐츠 설계 : 실습 패키지 박소연 (광주대학교).

자원봉사론 제 8 장. 자원봉사 프로그램 개발.

존 듀이의 경험교육론에 기초한 초등학교 체험활동 특징에 관한 연구

제9주 예산 수립과 집행.

중등학생평가연수 (중학교) 일시 : (목) 10:00 장소 : 부산교육연구정보원 ㅣ중등교육과 ㅣ

Weekly Learning Course

양초 한 자루의 과학 과학영재교육 전공 김 연 주 류 은 희 이 상 희.

오늘은 주님 수난 성금요일입니다..

교육행정 및 교육경영 제 5장. 교육행정 조직의 실제 체육교육 이학재.

가공무역형태-中國 OOOO O O O.

2019년 헤럴드경제 자본시장대상(안) 2019년 3월 헤럴드경제 IB금융섹션.

국제금융의 이해 I. 경제와 금융 II. 국제금융과 무역 III. 글로벌화와 국제금융 IV. 국제금융의 형태

접수번호 : MWC 2015 한국공동관 참가 지원서 - 프로젝트명(서비스/콘텐츠) : 업 체 명 :

우울증 예방 관리 강사 :.

Presentation transcript:

Hide Process 2007. 06

목차 I. II. III. IV. V. VI. VII. Process Native API SSDT Hooking Memory Protection Hook Procedure 참고자료 Q & A

PROCESS ▪ Windows 에서 모든 프로그램은 Process 단위로 관리 ▪ 모든 Process는 Thread를 가지고 있음 ▪ EPROCESS 구조체를 이용하여 프로세스들을 관리함. 즉, 모든 Process는 EPROCESS 구조체에 기록된다. 프로세스 환경블록 스레드 블록 Windows 프로세스 블록 핸들 테이블 프로세스 주소공간 시스템 주소공간

EPROCESS ▪ EPROCESS의 구조체의 형태 프로세스 블록들의 리스트 헤드 ActiveProcessLinks

Process 감추기 ▪ EPROCESS 구조체를 사용한 Linked List를 변조

Native API ▪ Windows Native API는 NtXXX, ZwXXX의 두 계열이 있음 • 모든 User Mode Application들은 System Service를 받기 위해 Native API를 호출 • Native API는 SYSENTER를 호출하며 이 명령에 의해 KiSystemService 내부함수가 호출 • KiSystemService는 SSDT를 참고하여 해당 Native API의 Entry Point를 가져 옴 • User Mode 에서의 Native API 호출 - 모두 NtXXX 계열의 API를 호출 • Kernel Mode 에서의 Native API 호출 - NtXXX API 호출 : 직접 System Service 호출(실제 Service Code) - ZwXXX API 호출 : SYSENTER를 호출 -> KiSystemService -> NtXXX API

NtQuerySystemInformation ▪ 프로세스 목록을 요구할 때(작업 관리자) 호출되는 Native API NTSTATUS WINAPI NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); IN OUT

NtQuerySystemInformation ▪ 프로세스 목록을 요구할 때(작업 관리자) 호출되는 Native API Application SystemInformationClass = SystemProcessesAndThreadsInformtion Call NtQuerySystemInformation PVOID SystemInformation = _SYSTEM_PROCESS_INFORMATION

_SYSTEM_PROCESS_INFORMATION 다음 프로세스 프로세스의 이름 프로세스 ID

SSDT ▪ System Service Dispatch Table ▪ 이용 가능한 모든 시스템 서비스들의 주소를 가지고 있음 ▪ 인터럽트 발생 시 Windows는 이 테이블을 참고하여 적절한 결과 값을 되돌려 줌

SSDT Hook ▪ SDT에 기록된 시스템 서비스의 Entry Point를 바꿔치기 하는 것

KiServiceTableⅠ ▪ KiServiceTable(SSDT)는 unexported 구조체 ▪ KeServiceDescriptorTable에 KiServiceTable에 대한 단서 존재 typedef struct ServiceDescriptorTable { SDE ServiceDescriptor[4]; } SDT; typedef struct ServiceDescriptorEntry { PDWORD KiServiceTable; PDWORD CounterTableBase; DWORD ServiceLimit; PBYTE ArgumentTable; } SDE; ServiceDescriptor[0].KiServiceTable == SSDT

KiServiceTableⅡ ▪ WINDBG를 이용해 구조체를 살펴볼 수 있음 KiServiceTable[0] == NtAcceptConnectPort KiServiceTable[0] KiServiceTable[1] KiServiceTable[2] KiServiceTable[3]

ZwQuerySystemInformation ▪ 모든 ZwXXX API는 처음 시작이 mov eax, index number 의 형태를 가진다 ▪ Index Number는 OpCode 다음 바이트부터 4바이트를 차지한다 KeServiceDescriptor.ServiceDescriptor[0].KiServiceTable[0AD] == NtQuerySystemInformation

Change Function ▪ NewZwQuerySystemInformation으로 바꿔치기

Memory Protection Change ▪ CR0 Register를 이용해 write protection 제거 Write Protection

NewZwQuerySystemInformationⅠ ▪ 프로세스 이름을 검사하여 Link를 조작함

NewZwQuerySystemInformationⅡ ▪ 프로세스 이름을 검사하여 Link를 조작함 숨기기를 원하는 프로세스 이름이면

참고 자료 1. Win2K Kernel Hidden Process, SIG2 G-TEC 2. Inside Windows Rootkits, SIG2 G-TEC 3. 아무도 모르는 Process, Devguru 4. http://snoya.ye.ro/driver/inwin2k/ch06b.htm Process Internals 5. Attack Native API, Devguru 6. http://somma.egloos.com/2731001, 드라이버 쪼물딱거리기 3탄

Q & A Q & A