728x90
- Rootkit은 원래 공격자가 root 권한을 얻은 뒤 시스템에 설치하는 kit라는 뜻이다.
- 윈도우에서는 시스템에 설치되어 멀웨어의 동작을 은폐 하는 소프트웨어를 말한다.
- 주로 커널 드라이버 형태로 만들어져 운영체제와 동일 한 권한을 가진 채로 동작한다
- 루트 권한으로 시스템 자원에 접근 가능
- 2005년에는 소니 사의 음악 CD에 복사 방지 목적으로 루트킷이 내장되어 논란이 된 적이 있다.
대응책
- GMER - 2004년에 처음 만들어진 프로그램으로, Rootkit의 존재 여부를 전문적으로 검사해 준다. ( http://www.gmer.net/ )
- 코드 서명 (Code signing) - 어떤 프로그램이 신뢰할 만한 것임을 증명하기 위해 신뢰할 수 있는 기관으로 부터 서명된 디지털 서명을 이용한다. 64비트 윈도우에서는 디지털 서명된 커널 드라이버만 로드가 가능하게 하여, kernel mode rootkit의 실행을 방지한다.
- 커널 패치 보호 (KPP) - 윈도우 커널의 무결성을 체크하여 후킹(hooking)과 같은 시스템 변조가 감지될 때 컴퓨터를 즉시 재부팅시킨다. 후킹이란 소프트웨어 구성 요소 간에 발생하는 함수 호출, 메시지, 이벤트 등을 중간에서 바꾸거나 가로채는 행위이다.
'서버 > 암호' 카테고리의 다른 글
| ICMP 에러 보고 메시지 (0) | 2021.07.29 |
|---|---|
| 부트킷 (bootkit) (0) | 2021.07.29 |
| 이진 분류기(binary classifier)의 결과 분류 (0) | 2021.07.29 |
| 익스플로잇 (exploit) (0) | 2021.07.27 |
| 멀웨어(malware) (0) | 2021.07.27 |