네임드 객체

 - 일부 커널 객체는 시스템 상에서 자신을 고유하게 구별할 수 있는 이름을 가질 수 있음

 - 여러 프로세스가 동일한 이름의 객체를 사용하면 각 프로세스가 사용하는 해당 객체는 동일하다는 것이 보장됨

 - 이미 존재하는 객체에 대해 CreateMutex와 같이 객체를 생성하는 API가 호출되면 커널은 자동으로 해당 객체를 글로벌 테이블에 위치시키고 해당 객체에 대한 핸들을 반환함

 - 네임드 객체는 계층 디렉토리 구조로 배치됨(User ModeWin32 API로 접근 불가능)

 

[주요 객체 디렉토리]

BaseNamedObjects

- 전통적인 Win32네임드 객체 저장

- 모든 네임드 객체 Win32 API는 자동으로 이 디렉토리를 사용(APP는 이를 변경 할 수 없다)

 

Devices

- 현재 활성화된 시스템 디바이스의 디바이스 객체를 저장

 - TCP와 같은 논리적이 디바이스뿐만 아니라 Harddisk0와 같은 물리적인 디바이스인 경우에도 모두 해당됨

 - Win32 API는 직접 접근 불가능 à 심볼릭 링크를 통해 접근 가능

 

GLOBAL

 - 심볼릭 링크 디렉토리

 - 커널객체의 예전 스타일 이름(DOS 네이밍 체계를 따름)

 - Win32 App에서는 디바이스에 접근하려면 반드시 심볼릭 링크 이름을 이용해야 함

 


저작자표시

'Security > Reverse Engineering' 카테고리의 다른 글

[Reversing]프로세스 동기화, 초기화 과정  (0) 2010.05.04
[Reversing]프로세스와 쓰레드  (0) 2010.05.04
[Reversing]객체와 핸들  (0) 2010.05.03
[Reversing]색션 객체, VAD트리, User mode Mem, Mem 관리 API  (0) 2010.04.29
[Reversing]윈도우 커널 메모리 주소 공간  (0) 2010.04.25

객체와 핸들

 - 원도우 커널은 객체 관리자에 의해서 객체가 관리됨

 - 커널 관련 객체만 관리(섹션, 파일, 디바이스 드라이버, 동기화 객체, 프로세스, 쓰레드 등)

 - 모든 객체는 단순희 nonpaged pool 커널 메모리에 저장된 데이터 구조체임

 - 객체는 해당 객체의 표준 객체 헤더만 알고 있음

 

핸들

- App는 객체 데이터 구조체에 직접 접근 못함 → 핸들을 이용해 객체 접근

 - 프로세스 안에서 객체를 구별하기 위한 숫자로 이뤄진 구분자

 - 핸들 값은 프로세스 핸들 테이블에서의 해당 객체에 대한 인덱스 값

 

[객체와 프로세스 핸들 테이블]

 

○ 액세스 마스크(Access Mask) : 두개의 16bit 액세스 플래그 워드로 구성(32bit)된 정수

- 상위워드 : GENERIC_WORD, GENERIC_WRITE와 같은 일반적인 액세스 플래그를 포함

 - 하위워드 : PROCESS_TERMINATE(핸들을 이용해서 프로세스를 종료시킬 수 있음)

             KEY_ENUMERATE_SUB_KEYS 플래그(레지스트리 키 안의 하위 키들을 열거)

 

○ 커널은 모든 객체에 대해 두개의 레퍼런스 카운트를 관리함

  - 커널 레퍼런스 카운트(kernel reference count)

  - 핸들 카운트(handle counter)
위의 두개 카운트 모두 0일 때 삭제됨

 


저작자표시

'Security > Reverse Engineering' 카테고리의 다른 글

[Reversing]프로세스와 쓰레드  (0) 2010.05.04
[Reversing]네임드 객체  (0) 2010.05.03
[Reversing]색션 객체, VAD트리, User mode Mem, Mem 관리 API  (0) 2010.04.29
[Reversing]윈도우 커널 메모리 주소 공간  (0) 2010.04.25
[Reversing]compiler, JavaVM, Mem Structure  (0) 2010.04.22
약간 지난 기사...^^
VoIP 서비스가 출시 될 당시 많은 보안 전문가들이 보안 취약점 테스트를 했다.(나 또한 했던 경험이...) 패킷 자체를 암호화 해서 보내고, 많은 인증값이 있고 암호화 되어 있어 패킷을 조작하기가 쉽지 않았는데.....역시 공격 기술은 계속해서 발전하는 듯..^^;
서비스의 다양화로 이제는 VoIP프로토콜 상에 HTTP등 다양한 프로토콜이 탑재되는 상황에서 보안취약점은 더욱 증가할 것으로 예상된다. 요즘 스마트폰이 대세인데 이 스마트폰을 통해 VoIP망이 공격 당할 가능성도 있을 듯하다.
출처 : http://www.ddaily.co.kr/news/news_view.php?uid=56927
[디지털데일리 이유지기자] 사내 구축해 사용 중인 인터넷전화(VoIP) 교환기가 해킹돼 막대한 전화요금이 고지되는 피해사례가 발생했다.

1일, 피해를 입은 별정통신사업자 I텔레콤 관계자 제보에 따르면, 사내 VoIP 교환기 해킹으로 1억 1000만원 이상의 막대한 국제전화 요금 사용료를 납부해야 하는 상황에 처했다.

30명의 직원 개인명의로 10회선씩 가입해 KT의 통화당 무제한 서비스를 사용해온 이 회사가 이전에 납부해온 매달 평균 전화요금은 2000만원 수준. 시내전화와 시외전화만 이용해 왔기 때문이다.

하지만 지난 10월 17일 해킹에 의해 몰디브와 소말리아의 국제전화가 사용되면서 총 1억원 이상의 요금이 명의를 빌려준 개인들에게 고지됐다. 이들은 사내에 설치한 VoIP 교환기의 보안관리에 소홀했던 책임을 인정하고는 있지만 막대한 요금을 납부하기 어려워 발만 동동 구르고 있는 상황이다.
 
피해를 제보한 이 사업자의 전 영업이사는 “KT의 통화당 무제한 서비스는 한사람당 10회선밖에 가입되지 않아 사내 직원 개인명의로 가입했기 때문에 직원들이 큰 피해를 입게 됐다”며, “보안관리에 소홀했던 잘못과 책임은 인정하지만 KT가 국제전화 해킹에 의한 요금을 확인한만큼 요금을 기업간 통신도매 원가를 기준으로 한 정산가로 합의해주길 바란다”고 말했다.

이어 “KT는 요금미납자로 서류가 넘어오면 경매, 압류, 신용불량등재 등 채권회사 조치를 할 수밖에 없다고 하면서도 여러 부서별 담당자들 모두 각자 소관이 아니라며 요금 합의 관련 협의와 결정을 떠넘기는 상황이어서 개인이 신용불량자가 될 위기에 처한 상태로 시간만 가고 있다”고 덧붙였다.

해킹 당한 VoIP 교환기가 이 회사 소유라는 점에서 통신사업자인 KT가 져야 할 직접적인 책임은 없다.

그러나 제보자는 KT와의 협의가 진척되지 않자, 해킹 사실을 KT에서 확인해준 즉시 국제전화 차단 조치를 요청했으나 사흘이 지난 20일에야 조치된 점을 들어 KT의 책임도 일부 인정해야 한다고 주장하고 있다.

이 회사의 전화요금 피해액은 17일 6000만원에서 조치가 이뤄진 20일에는 1억 1000만원으로 늘어났다. 때문에 KT와의 분쟁소지가 발생할 가능성도 높은 상황이다.

이에 대해 KT 관계자는 “요금이 고지한 지사가 담당 소관이지만 요금이 1억원이상으로 크기 때문에 현실적으로 합의 등과 관련된 절차를 진행하기가 쉽지 않은 상황일 것”이라고 설명했다.

한국인터넷진흥원(KISA)에 따르면, 지금까지 VoIP 교환기 해킹으로 인한 요금 피해 신고는 전무한 상황이다.

KISA 관계자는 “사내 구축한 기업 소유의 VoIP 교환기가 해킹당한 경우엔 관리주체인 해당 기업의 책임이 되기 때문에 자칫 큰 피해를 입을 수 있다”며 “VoIP 사용자는 늘지만 해킹 등의 위협이 크기 때문에 보안관리에 크게 신경써야 할 것”이라고 강조했다.

저작자표시

'Security > Security News' 카테고리의 다른 글

[중앙일보]미, e-메일로 부재자 투표  (0) 2010.05.11
[연합뉴스]美조폐국 웹사이트 해킹으로 폐쇄  (0) 2010.05.06
[보드나라]국내 안드로이드폰 악성코드 발견되다  (0) 2010.05.03
[이데일리]스마트폰 악성코드 첫 피해발생..사용자 몰래 국제전화  (0) 2010.04.22
[지디넷코리아]2010.4.12-게임 이용자 개인정보…정부가 모두 가져간다  (0) 2010.04.19

+ Recent posts

티스토리툴바