Rootkit
-
Windows 루트킷 원리> Information Security/Windows 2017. 7. 16. 11:44
루트킷 원리 Windows 환경에서의 루트킷은 DOS 스텔스 바이러스에서부터 유래되었다. 스텔스(Stealth) 방식의 바이러스는 프로세스와 프로세스 사이에 자신을 은닉하는 방법으로써, 일반적인 프로세스 확인(ex:작업관리자)로는 탐지되지 않는다.루트킷의 은닉하는 특성 때문에 공격자가 침입 후 재진입 할 목적으로 생성하는 백도어로써 존재하기도 한다. Windows OS에서는 운영체제를 구동하기 위한 핵심코드를 커널 레벨에 둠으로써, 일반적인 응용프로그램과 분리하였다. Ring0의 커널모드, Ring3의 유저모드로 구성되어 있다. 루트킷은 커널레벨에서의 API 호출과정을 이용하여 프로세스를 은닉하는 경우가 있다. 커널모드에서는 유저모드보다 높은 권한을 필요로 하기 때문에 커널모드에서의 루트킷은 CPU나 메..