Rootkit1 [Day 114] 루트킷(Rootkit) 개요 루트킷은 자신의 존재가 탐지되지 않도록 숨기면서 관리자 권한의 획득과 백도어 등의 기능을 수행하는 코드와 프로그램의 집합을 의미 chkrootkit을 실행하여 INFECTED로 표시되면 해당 파일이 감염 변조된 것 루트킷의 hidden process 탐지 원리 일반적으로 루트킷은 공격자가 숨기고자 하는 프로세스가 출력되는 부분만 제거하고 출력하도록 ps 프로그램을 만들어 타겟 시스템에 있는 정상 ps 프로그램과 바꿔치기하는 방식으로 동작함 루트킷 탐지 프로그램은 "ps" 실행결과와 "/proc" 디렉터리에 있는 프로세스 정보를 비교하여 /proc 디렉터리에는 프로세스가 있지만 ps 실행 시 보이지 않는 프로세스를 히든 프로세스로 탐지 /proc 파일시스템 유닉스/리눅스 커널이 메모리상에 사용하고 있.. 2020. 12. 2. 이전 1 다음