차세대 보안전문가 포럼 보안 특강 5탄 루트킷 탐지 기법 후기.

보안실무자를 위한 보안특강...

 보안 특강 5탄 주제: 루트킷 탐지 기법

- 강사: 노용환, FSK시큐리티 연구팀장(somma, Blog: http://somma.egloos.com)

이번 특강에서는 악성코드에서 많이 사용되는 루트킷 기술을 설명하고 이를 탐지하는 방법을 FSK시큐리티의 일명 somma로 잘 알려진 노용환 연구팀장님께서 쉽게 시연을 통해 설명합니다.

1. 일시: 2010년 11월 10일 수요일 저녁 7시 ~ 9시 30분
2. 장소: 삼양사 본관 1층 강당 (1호선 종로5가역 하차, 1번 출구 도보 2분)
3. 대상: 국방/공공/민간/교육 보안실무담당자, 구직자, 학생 등 (난이도: 초/중)
4. 참가비: 무료 (선착순 100명)
5. 주최: FSK시큐리티
6. 주관: 
    - 한국정보기술연구원(KITRI) - http://www.kitri.re.kr 
    - EC-Council Korea 삼양데이타시스템 - http://www.syds.com  
    - 차세대보안전문가포럼 - http://cafe.naver.com/ehakorea
7. 미디어후원 : 전자신문 보안닷컴 (http://www.boan.com)

9. 참가신청: 02-740-7553, ceh@syds.com 
   - 차세대보안전문가포럼(http://cafe.naver.com/ehakorea) 회원가입은 필수입니다.
   - 이메일로 네이버아이디/성명/소속/이메일/휴대폰번호를 작성해서 보내주세요.
   - 이메일보내시고 이 게시글 덧글에 신청했다고 글 남겨주세요.
   - 이 게시글을 개인블로그, 타 카페에 퍼가시는 것 적극 환영합니다^^

* 특강 주요 내용 :

- IDT Hook, SSDT Hook, SYSENTER Hook, DKOM의 기본 원리

- 샘플 루트킷 소스코드 설명 및 시연

- 루트킷 탐지 기법의 원리

- 커널 메모리 분석을 통한 루트킷 탐지  

* 2010년 보안특강 일정 (예정)

일자	특강주제	강사 : SH정보시스템
10/13 (수) - 마감	디지털포렌식 : 데이터복구기법의 이해	김태일
10/27 (수) - 마감	VOIP 해킹 기법	주한익
11/10 (수) - 오픈	루트킷 탐지 기법	노용환
11/27 (토)  (유료)	1. 개인정보보호법/PIMS  2. 백트랙을 이용한 모의해킹  3. 디지털포렌식 : USB수사기법	김휘영 최진원 김태일

 * 참고로, 11/27 유료 보안특강은 오후 1시부터 6시까지 개최 예정 (참가비는 약간 변동예정입니다. 비용이 좀 발생하는군요ㅠㅠ)
[출처] 보안특강 5탄: 루트킷 탐지 기법(11/10) (차세대 보안전문가 포럼) |작성자 제이손

여기 보안특강 5탄에 참가했었는데요.

와 진짜 감탄했습니다.

Somma 님께서 강의를 하셨는데

강의는 루트킷에 대한 분류를 시작
(루트킷에 특성에 따라  1세대 루트킷 :  파일을 직접 변조
                                 2세대 루트킷 : 메모리 영역에서 변조 (코드섹션 : 값이 변하면 안되는곳을 변조)
                                 3세대 루트킷 : 메모리 영역에서 변조 (데이터섹션 : 값이 변해도 되는곳을 변조) )


으로 해서 윈도우 커널쪽으로 깊이 하셨는데요.

강의하시다가 기반 지식에 대해 질문했을때

그때 강의들으러 간 사람들이 좀 어색하니까 대답을 잘 안해주셔서
(열심히 대답을 하고 싶었는데 머랄까?   같이 듣는 사람들이 "잰 먼데 나대?" 이러실까봐 소심해서 대답은 못하고
초롱초롱한 눈빛을 쏴드렸는데 못보셨나봐요 ㅋㅋㅋㅋㅋ)

다 모르는걸로 가정하고 설명하셔서 애초에 방향과는 좀 틀어졌지만

전 진짜 재밌었고 많은걸 배운거 같습니다.


특히, 강의 하신내용중에

후킹(hooking)과 코드 인젝션(code injection)에 대해서 설명해주셨는데

전 DLL 인젝션 기법은 많이 들어봤지만

쓰레드만을 이용해서 인젝션 하는 방법은 처음 알았습니다.

그리고 윈도우 프로세스를 이용하여 여러가지를 할수 있다는 것과
(csrss 를 이용한 디버깅 방지는 정말 놀라웠습니다 ㅎㄷㄷ)

그리고 후킹도 그렇게 로우쪽으로 내려간 후킹은 처음 알았고요.
(제가 한 후킹은 네이트온 2차보안에 막히는 유저레벨 초짜 후킹 ㅋㅋㅋㅋ)

처음에 보안공부를 리버싱과 윈시프 쪽으로 한 저로서는

가뜩이나 관심분야인데   그렇게 멋진 지식과 모습을 보여주셔서

더욱더 공부에 박차를 가할수 있을거 같습니다.


그리고 하신 말씀중에

"로우 vs 로우의 싸움이다."   ,   "아이디어는 아는만큼 나온다."

캬~~~~ 정말 가슴에 와닿네요.

앞으로 C#같은건 저리 차버리고 어셈과 커널에 뼈를 묻겠습니다.

진정한 프로그래머는 시스템 프로그래머죠/.ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

이날 멋진 강의를 해주신 Somma 님과    무료로 자리를 마련해주신 차세대 보안전문가 포럼에 감사드립니다.
(ps. Somma 님 블로그에서 공부 열심히 할께요. ㅋ)

+ 11월 27일에 하는 보안특강  유료지만 학생 할인 해주신다던데

꼭 가야겠습니다 ㅎㅎㅎㅎㅎㅎㅎ

백트랙 엄청 재밌을꺼 같아요 ㅎㅎㅎㅎㅎㅎ