커널15 728x90 DLL Injection 은 어떻게 이루어지는가? 루트킷을 비롯하여 바이러스, 악성코드 등 여러 분야에 두루 쓰이는 기법이 DLL Injection입니다. 윈도우즈 OS에 한정되어 적용되는 것이지만, 윈도우즈 자체의 점유율이 높은 이유로 아주 효과적으로 공격자가 원하는 작업을 수행할 수 있는 방법이죠. 최근 루트킷에 대해 공부하면서 이 DLL Injection이 어떻게 이루어지는 알게 된 것을 정리해봅니다. DLL? 그게 뭐야? DLL은 윈도우즈 OS에서 사용되는 동적 연결 라이브러리 실행 파일입니다. 말이 어렵죠? 간단하게 말해서, 실행할 수 있는 아주 작은 프로그램의 단위라고 이해하시면 되겠습니다. 라이브러리라는 말은 아시나요? 영어로 Library, 도서관이라는 뜻이죠? 프로그램이 작업을 수행할 때 이 라이브러리를 참조하게 됩니다. 라이브러리에 포.. 2009. 9. 1. 커널 모듈 관리 명령어 - insmod : 모듈 추가. 커널 디렉토리를 찾아서 해당 모듈을 추가한다. ■ 형식 : insmod [옵션] [오브젝트파일] ■ 옵션 -k : autoclean 을 사용하여 적재 - rmmod : 모듈 삭제 ■ 형식 : rmmod [옵션] [모듈] ■ 옵션 -r : 의존관계에 있는 모듈을 한번에 삭제 - lsmod : 추가된 모듈 출력(/proc/modules 를 참조한다) ■ 형식 : lsmod [옵션] ■ 옵션 -V : lsmod 버전 출력 - modprobe : 모듈 추가. depmod에 의해 갱신된 modules.dep에서 찾아 추가한다. insmod와 달리 해당 커널 디렉토리로 갈 필요없이 아무위치에서나 모듈을 추가할수 있다. 또한 의존성이 필요한 모듈이나 먼저 실행되어야 할 모듈이 있다면 .. 2009. 6. 25. Microsoft 보안업데이트(MS09-018 ~ MS09-027) ■ 개 요 MS社는 6월 10일 MS 윈도우 및 Office 등에서 시스템 장악 등 해킹에 악용 가능한 보안취약점 10건(긴급 6, 중요 3, 보통 1)을 발표하였는 바, 각급기관은 해당 시스템에 대한 MS社의 보안 업데이트를 조속히 설치하시기 바랍니다. * 이번 업데이트에는 지난 5.29 공개된 MS DirectX의 취약점에 대한 패치가 포함되지 않았음에 따라 "이메일에 첨부 또는 링크된 QuickTime 동영상 파일(.mov)에 대해 작성자 확인후 열람" 등 유의하여 주시기 바랍니다. ■ 보안 업데이트에 포함된 취약점 및 관련 사이트 1. Active Directory 취약점으로 인한 원격코드 실행 문제점(긴급, 971055) o 설 명 Active Directory에 원격코드 실행 취약점이 존재하여.. 2009. 6. 10. [Linux C++] 프로세스 & 좀비 프로세스 1. 좀비 프로세스란? - 프로세스 종료 후, 메모리에서 사라지지않는 프로세스를 말합니다. 2. 좀비 프로세스가 생성되는 이유? - 자식 프로세스는 수행종료 후 부모 프로세스에게 실행 결과에 대한 리턴값을 넘겨줘야 합니다. 그리고 부모 프로세스 역시 이 리턴값을 받아야 자식 프로세스가 좀비가 되는 문제를 막을 수 있습니다. 첫번째 그림은 자식 프로세스가 실행을 마치고, 실행 결과에 대한 리턴값(0)을 커널에 넘겼지만, 부모 프로세스가 이를 받지 않았습니다. 그래서 자식 프로세스는 좀비상태가 됩니다. 두번째 그림은 커널이 부모 프로세스에게 리턴값(0)을 전달하고, 그제서야 자식 프로세스가 소멸되는 것을 나타낸 것입니다. 리눅스 콘솔에서 ps -u 라고 입력하면 실행중인 프로세스 목록을 볼 수 있습니다. 위.. 2009. 5. 31. 리눅스 커널 튜닝을 통한 보안 강화 및 최적화 가이드 리눅스 시스템은 기본적으로 보안 기능이 내장되어 있지만, 기본 설정만으로는 다양한 네트워크 공격에 취약할 수 있습니다. 특히 SYN Flooding, ICMP Redirect 공격, 소스 라우팅 기반 스푸핑 등의 공격을 차단하려면 적절한 커널 튜닝이 필요합니다. 이 문서에서는 리눅스 커널 파라미터를 조정하여 네트워크 보안 및 성능을 최적화하는 방법을 설명합니다.주요 보안 커널 튜닝 항목(1) SYN Flooding 방어 - Syncookies 활성화SYN Flooding 공격은 TCP 연결을 과도하게 생성하여 시스템 리소스를 고갈시키는 공격입니다. 이를 방어하기 위해 syncookies 기능을 활성화해야 합니다.Syncookies 개념Syncookies는 TCP 3-Way Handshake에서 SYN 요.. 2008. 10. 10. 이전 1 2 3 다음 728x90 728x90