Earticle

초록

한국어

최근 개인 PC 해킹과 경제적 이익을 목적으로 하는 게임 해킹이 급증하면서 윈도우즈 시스템을 대상으로 하는 특정 목적의 악성코드들이 늘어나고 있다. 악성코드가 은닉 채널 사용이나 개인 방화벽과 같은 보안 제품 우회, 시스템 내 특정 정보를 획득하기 위한 기술로 대상 프로세스의 메모리 내에 코드나 DLL을 삽입하는 기술이 보편화되었다.본 논문에서는 대상 프로세스의 메모리 영역에 코드를 삽입하여 실행시키는 기술에 대해 분석한다. 또한 피해 시스템에서 실행중인 프로세스 내에 인젝션 된 DLL을 추출하기 위해 파일의 PE 포맷을 분석하여 IMPORT 테이블을 분석하고, 실행중인 프로세스에서 로딩중인 DLL을 추출하여 명시적으로 로딩된 DLL을 추출하고 분석하는 기법에 대해 설명하였다. 인젝션 기술 분석과 이를 추출하는 기술을 통해 피해시스템 분석시 감염된 프로세스를 찾고 분석하는 시발점이 되는 도구로 사용하고자 한다

영어

Recently the Personal Computer hacking and game hacking for the purpose of gaining an economic profit is increased in Windows system. Malicious code often uses methods which inject dll or code into memory in target process for using covert channel for communicating among them, bypassing secure products like personal and obtaining sensitive information in system.This paper analyzes the technique for injecting and executing code into memory area in target process. In addition, this analyzes the PE format and IMPORT table for extracting injected dll in running process in affected system and describes a method for extracting and analyzing explicitly loaded dll files related running process. This technique is useful for finding and analyzing infected processes in affected system.

목차

요약
 ABSTRACT
 1. 서론
 2. 메모리 인젝션 기술
  2.1 윈도우즈 훅(SetWindowsHookEx)을이용한 기법
  2.2 CreateRemoteThread를 이용한 기법(CreateRemoteThread + LoadLibrary)
  2.3 디버깅 API를 이용한 기법
  2.4 코드 인젝션 기법(WriteProceessMemory+ CreateRemoteThread)
 3. DLL 인젝션 탐지 기법
  3.1 인젝션된 DLL 분석
  3.2 프로세스에서의 로드된 모듈 분석
  3.3 추출된 DLL 정보 분석
 4. 결론
 참고문헌

저자

• 황현욱 [ Hyun Uk Hwang | 국가보안기술연구소 ]
• 채종호 [ Jong Ho Chae | 국가보안기술연구소 ]
• 윤영태 [ Young Tae Yun | 국가보안기술연구소 ]

참고문헌