1 |
1
추출부, 판단부 및 탐지부를 포함하는 IAT 후킹 탐지 장치에서 수행되는 IAT(Import Address Table) 후킹 탐지 방법에 있어서,상기 추출부에서, IAT를 사용하여 라이브러리를 임포트함에 따라 타겟 프로그램(Target Program)에서 사용되는 함수를 추출하는 단계;상기 판단부에서, 상기 함수의 주소 값이 상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 존재하는지 여부를 판단하는 단계; 및상기 탐지부에서, 상기 함수의 주소 값이 상기 주소 영역에 존재하는지 여부를 판단함에 따라 악성 행위를 수행하는 루트킷을 탐지하는 단계 를 포함하고, 상기 판단부에서, 상기 함수의 주소 값이 상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 존재하는지 여부를 판단하는 단계는,상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 기반하여 상기 함수의 주소 값을 비교함에 따라 상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 상기 함수의 주소 값이 포함되는지 여부를 판단하는 단계를 포함하고, 상기 탐지부에서, 상기 함수의 주소 값이 상기 주소 영역에 존재하는지 여부를 판단함에 따라 악성 행위를 수행하는 루트킷을 탐지하는 단계는, 상기 함수의 주소 값이 상기 주소 영역에 존재하지 않을 경우, 상기 함수가 후킹된 것으로 판단하는 단계를 포함하는 IAT 후킹 탐지 방법
|
2 |
2
삭제
|
3 |
3
제1항에 있어서,상기 판단부에서, 상기 함수의 주소 값이 상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 존재하는지 여부를 판단하는 단계는,상기 루트킷으로부터 상기 타겟 프로그램의 프로세스 ID에 대한 DLL에 포함된 함수가 후킹됨에 따라 상기 DLL에 포함된 함수의 주소값 중 상기 DLL의 주소 영역을 벗어나는 함수를 검사함으로써 상기 타겟 프로그램의 후킹 여부를 판단하는 단계 를 포함하는 IAT 후킹 탐지 방법
|
4 |
4
제3항에 있어서,상기 루트킷은, 상기 타겟 프로그램의 IAT 내에 후킹된 함수의 주소를 상기 루트킷과 연관된 코드가 준비된 주소로 변경하는것을 특징으로 하는 IAT 후킹 탐지 방법
|
5 |
5
IAT(Import Address Table) 후킹 탐지 장치에 있어서,IAT를 사용하여 라이브러리를 임포트함에 따라 타겟 프로그램(Target Program)에서 사용되는 함수를 추출하는 추출부;상기 함수의 주소 값이 상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 존재하는지 여부를 판단하는 판단부; 및상기 함수의 주소 값이 상기 주소 영역에 존재하는지 여부를 판단함에 따라 악성 행위를 수행하는 루트킷을 탐지하는 탐지부 를 포함하고, 상기 판단부는,상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 기반하여 상기 함수의 주소 값을 비교함에 따라 상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 상기 함수의 주소 값이 포함되는지 여부를 판단하고, 상기 탐지부는,상기 함수의 주소 값이 상기 주소 영역에 존재하지 않을 경우, 상기 함수가 후킹된 것으로 판단하는 IAT 후킹 탐지 장치
|
6 |
6
삭제
|
7 |
7
제5항에 있어서,상기 판단부는,상기 루트킷으로부터 상기 타겟 프로그램의 프로세스 ID에 대한 DLL에 포함된 함수가 후킹됨에 따라 상기 DLL에 포함된 함수의 주소값 중 상기 DLL의 주소 영역을 벗어나는 함수를 검사함으로써 상기 타겟 프로그램의 후킹 여부를 판단하는 것을 특징으로 하는 IAT 후킹 탐지 장치
|
8 |
8
제7항에 있어서,상기 루트킷은, 상기 타겟 프로그램의 IAT 내에 후킹된 함수의 주소를 상기 루트킷과 연관된 코드가 준비된 주소로 변경하는것을 특징으로 하는 IAT 후킹 탐지 장치
|