루트킷 Rootkit

1장 초심을 가지고
1.1 불청객
1.2 보다 정확한 정의
1.3 루트킷 != 멀웨어
1.4 루트킷을 누가 조립하고 사용하는가?
1.5 암호 이야기: 전쟁터 분류
1.6 결론

2장 안티-포렌식 개요
2.1 사건반응
2.2 컴퓨터 포렌식
2.3 AF전략
2.4 AF기법을 위한 일반적인 충고
2.5 익명의 범인이 유리하다
2.6 결론

3장 하드웨어 요약 정리
3.1 물리 메모리
3.2 IA-32 메모리 모델
3.3 실제 모드
3.4 보호 모드
3.5 메모리 보호 구현

4장 시스템 요약 정리
4.1 윈도우에서 물리 메모리
4.2 윈도우 환경에서 세그먼테이션과 페이징
4.3 사용자 영역과 커널 영역
4.4 사용자 모드와 커널 모드
4.5 그 밖의 메모리 보호 특징들
4.6 본래의 API
4.7 부트 프로세스
4.8 설계 결정사항들

5장 작업 도구
5.1 개발 도구들
5.2 디버거
5.3 KD.exe 커널 디버거

6장 커널 영역에서 생활
6.1 KMD템플릿
6.2 KMD로드하기
6.3 서비스 제어 관리자
6.4 Export드라이버 사용하기
6.5 커널 안에서 미끼 이용하기
6.6 윈도우 커널 모드 보안
6.7 동기화
6.8 결론

7장 디스크 분석 막기
7.1 사후 검토 수사: 개요
7.2 포렌식 복제
7.3 볼륨 분석
7.4 파일 서명 분석
7.6 결론

8장 실행 파일 분석 막기
8.1 정적 분석
8.2 정적 분석 막기
8.3 런타임 분석
8.4 런타임 분석 막기
8.5 결론

9장 라이브 대응 막기
9.1 라이브 침해 대응: 기본 과정
9.2 사용자 모드 로더(UMLs)
9.3 로더 흔적 최소화
9.4 독립PE로더에 대한 논란

10장 C Shellcode만들기
10.1 사용자 모드 쉘코드
10.2 커널 모드 쉘코드
10.3 특별한 도구와 기법
10.4 미리 보기

11장 호출 테이블 수정
11.1 사용자 영역 후킹: IAT
11.2 커널 영역의 호출 테이블
11.3 IDT후킹
11.4 프로세서 MSR후킹
11.5 SSDT후킹
11.6 IRP핸들러 후킹
11.7 GDT후킹: 호출 게이트 설치
11.8 방어도구 후킹
11.9 방어책 뚫기

12장 코드 변환
12.1 호출 추적
12.2 그룹 정책 전복하기
12.3 커널 모드 API로거 우회하기
12.4 방어기법에 대한 패칭 명령

13장 커널 객체 수정
13.1 은닉처리 비용
13.2 EPROCESS 객체 복습
13.3 DRIVER_SECTION객체
13.4 토큰 객체
13.5 프로세스 숨기기
13.6 드라이버 숨기기
13.7 접근 토큰 조작하기
13.8 No-FU사용하기
13.9 커널 모드 콜백
13.10 방어 대책
13.11 대응방안에 대한 대응

14장 채널 은닉
14.1 일반 악성소프트웨어 채널
14.2 최악의 시나리오: 전체 콘텐츠 데이터 캡처
14.3 윈도우TCP/IP 스택
14.4 DNS터널링
14.5 DNS터널링: 사용자 모드
14.6 DNS터널링: WSK구현
14.7 NDIS프로토콜 드라이버
14.8 수동적 채널 은닉

15장 대역 외 이용
15.1 추가적 프로세서 모드
15.2 펌웨어
15.3 관리 기능 끄기
15.4 눈에 덜 띄는 대안
15.5 결론

16장 루트킷의 길(道)
16.1 핵심 책략
16.2 감춰진 입구 찾아내기
16.3 아키텍처 규칙
16.4 루트킷 엔지니어링
16.5 침입 다루기