SSDT Hooking 탐지 기법

13. [기술문서] Detecting the SSDT Hooking.pdf

 

SSDT Hooking 이란?

윈도우 운영체제에서는 ZwQuerySystemInformation 함수를 이용해서 다양한 종류의 정보를 알아낼 수 있다. 작업관리자 (Taskmgr.exe)는 이를 이용해서 실행 중인 Process List를 구한다. 루트킷이 SSDT의 NtQuerySystemInformation 함수의 주소를 교체해서 자신의 함수가 먼저 호출되게 만들었다면, 그 루트킷 함수 내에서 원래의 NtQuerySystemInformation 함수를 호출해서 얻은 결과값을 변경시킬 수 있다.
SSDT 후킹은 윈도우즈 API 가 커널 모드에서 서비스를 받기 위해 필요한 SSDT(System Service Descriptor Table) 의 내용을 조작하는 커널 모드 후킹 방법 중에 하나이다. SSDT 는 프로세스에 독립적이고 커널 주소 공간에 전역적으로 올라와 있으므로, 특별한 조작을 가하지 않는다면 모든 프로세스가 같은 SSDT 를 가지고 있다. 커널모드에서 전역적으로 윈도우즈 서비스 함수를 가로챌 필요가 있을때 주로 SSDT 후킹을 많이 사용한다.

 

 

○ 목차

1. SSDT
1-1. What is “SSDT”?
1-2. SSDT 살펴보기

2. SSDT Hooking
2-1. SSDT Hooking이란?
2-2. 실습

3. SSDT Hooking 탐지 기법
- Volatility tool 사용

4. 참고문헌