국문목차
표제지=0,1,4
요약=i,5,1
목차=ii,6,1
그림목차=iii,7,1
표목차=iv,8,1
제1장 서론=1,9,2
1.1 커널기반 루트킷(Kernel Rootkit)=2,10,3
1.2 커널기반 루트킷의 작동원리=4,12,2
1.2.1 시스템 콜 테이블 변경 기법=5,13,1
1.2.2 시스템 콜 핸들러 루틴 변경 기법=5,13,3
제2장 최근 발표된 커널기반 루트킷 탐지 방법=8,16,1
2.1 커널 이미지 비교에 의한 커널 무결성 검사 및 복구=8,16,1
2.1.1 리눅스 커널의 부트 이미지=8,16,2
2.1.2 /dev/kmem으로부터 시스템 콜 테이블 얻기=9,17,1
2.1.3 무결성 검사 및 복구=10,18,1
2.2 보안강화 LKM의 커널 적재=10,18,2
2.2.1 관리자 인증 기능=11,19,3
2.2.2 정보 은닉 기능=13,21,2
2.2.3 경고 메일 및 로그 파일 생성 기능=14,22,2
2.3 파일접근제어 보호모듈의 커널 적재=15,23,1
2.3.1 파일 접근 보호 모듈=16,24,1
2.4 커널 디버거 및 파일 무결성 검사 도구=17,25,3
제3장 개선된 커널기반 루트킷 탐지 방법=20,28,1
3.1 커널 이미지 비교를 통한 무결성 검사 및 복구 성능 향상=20,28,1
3.1.1 커널 모듈의 해쉬값 저장과 비교=20,28,3
3.2 보안강화 LKM의 인증기능 개선=22,30,2
3.3 파일접근제어 보호 모듈의 파일검사 기능 개선=23,31,2
3.3.1 Slack Space의 정의=24,32,1
3.3.2 Slack Space의 위험성=25,33,1
3.3.3 Slack Space의 무결성 검사=25,33,2
3.4 알려지지 않은 커널기반 루트킷의 개선된 탐지 모델=26,34,2
제4장 결론=28,36,1
참고문헌=29,37,2
Abstract=31,39,1
[그림1-1] 해킹프로세스=1,9,1
[그림1-2] 커널기반 루트킷에 감염된 목표시스템 신뢰수준=2,10,1
[그림1-3] 시스템 커널 구조=3,11,1
[그림1-4] 시스템 콜 테이블 변경=5,13,1
[그림1-5] 시스템 콜 코드 변경=6,14,1
[그림2-1] 리눅스 부트이미지 레이아웃=9,17,1
[그림2-2] idtr을 통한 시스템 콜 테이블 얻기=9,17,1
[그림2-3] 보안커널모듈 구성도=11,19,1
[그림2-4] 정상적인 로그인을 통한 쉘 획득과 불법적인 행위를 통한 쉘 획득=12,20,1
[그림2-5] 보안커널모듈을 통한 관리자 인증=13,21,1
[그림2-6] 필터링을 통한 보안 커널 모듈 정보 은닉=14,22,1
[그림2-7] 침입 탐지에 따른 로그와 경고 메일 생성=15,23,1
[그림2-8] 파일 보호 접근 모듈이 적재된 시스템=16,24,1
[그림2-9] rtIntegrit 구조=18,26,1
[그림3-1] 커널 모듈의 해쉬값 수집=21,29,1
[그림3-2] 커널 모듈 해쉬값을 이용한 커널 기반 루트킷 탐지=22,30,1
[그림3-3] 보안커널 인증에 사용되는 패스워드 파일=23,31,1
[그림3-4] Slack Space의 위치=24,32,1
[그림3-5] 보안커널 모듈에 탑재된 Slack Space 무결성 검사 흐름도=26,34,1
[그림3-6] 알려지지 않은 커널기반 루트킷에 대한 개선된 탐지 모델의 전체 구성도=27,35,1
[표1-1] 단일커널과 마이크로 커널 운영체제=4,12,1