<DFRWS USA 2019> - 4일차
【 2019. 7. 17. 】
□ Session IV: Special Topics in Forensics (포렌식 특별주제)
◦ 좌 장 : Wietse Venema, Ph.D. (Google)
◦ 발표 1
- 주제 : 후킹 추적기(API 후킹 탐지 자동 분석 시스템)
(원제 : HookTracer: A System for Automated and Accessible API Hooks Analysis)
- 발표자 : Andrew Case
- 발표내용
△ 악성코드에서 자주 사용되는 해킹 기법인 API Hook의 탐지 및 분석을 위해 메모리 포렌식이 주로 사용되고 있으나 기존 상용툴 및 백신보안업체 제품에서 긍정적 목적의 API Hook 역시 악성코드로 탐지하는 오탐이 빈번히 일어남
△ 악의적 목적의 API Hook을 정확히 판단하기 위해 기능 개선 된 탐지 툴인 ‘hooktracer’를 개발함(Volatility의 플러그인 형태로 실행)
△ ‘hooktracer’는 정상적인 범주로 판단되는 API Hook에 대해 ‘hook traces’라는 휴대용 서명을 생성하여 많은 수의 머신에 대해서도 신속한 검사 및 탐지를 할 수 있음
△ 윈도우 운영체제에서 사용하는 프로세스에 대해 ‘Volatility’의 API Hook기능을 이용하여 Windows API를 후킹하고 정상적인 범주의 메모리 주소영역 및 디렉토리 등을 학습하여 ‘hook traces’를 생성, 이를 벗어나는 Hooks에 대해 탐지하는 알고리즘을 사용
'Digital Forensics' 카테고리의 다른 글
| DFRWS USA 2019 - 개요 (0) | 2019.10.17 |
|---|---|
| DFRWS USA 2019 - CASE 온톨로지 (사이버범죄 수사 분석 표준 표현) (0) | 2019.10.17 |
| DFRWS USA 2019 - AFF4 (The Advanced Forensics File Format 4) (0) | 2019.10.17 |
| DFRWS USA 2019 - CSAM 조사자 설문조사 (0) | 2019.10.17 |
| DFRWS USA 2019 - FbHash (0) | 2019.10.17 |
