AC3LuCiFer

전체 글

[보드나라]국내 안드로이드폰 악성코드 발견되다 2010.05.03
[Reversing]색션 객체, VAD트리, User mode Mem, Mem 관리 API 2010.04.29
HUST Homepage 2010.04.26

[보드나라]국내 안드로이드폰 악성코드 발견되다

Ac3LuCiFer 2010. 5. 3. 09:09

2010. 5. 3. 09:09

국내 출시된 안드로이드폰인 모토리이와 안드로-1에서 악성코드가 발견되었다고 '쉬프트웍스'가 30일 밝혔다.

쉬트프웍스에 따르면 현재 발견된 안드로이드폰의 악성코드는 약 50가지가 되며, 현재 해당 악성코드로 인한 신고건수는 총 700~800건에 달한다고 밝혔다.

이러한 결과는 지난 22일부터 쉬트프웍스가 미래에셋과 동양증권에 공급하기 시작한 'VGUARD'라는 스마트폰용 백신을 통해서 확인된 것으로서 주로 사용자 스마트폰에 저장된 휴대전화 번호 등의 개인정보를 수집하거나, 스팸광고를 하는 기능이 주를 이루고 있다.

쉬트프웍스의 VGUARD는 현재 안드로이드 뿐만이 아니라 윈도우 모바일 및 아이폰 플랫폼 용으로도 출시되어 있으며. 스마트폰 내의 악성코드 및 실시간 감시, 예약검사, 해킹폰 탐지 기능을 갖추고 있는 스마트폰용 백신 어플리케이션이다. 아이폰용 VGUARD는 아이폰의 Jail Break 및 악성코드 검색기능만을 제공하고 있다.

쉬트프웍스의 이러한 발표에 일부 네티즌들은 자사의 백신 프로그램을 홍보하기 위한 과장된 광고가 아니겠느냐라는 의심의 눈치를 보이고 있으나, 사용자가 늘어가는 스마트폰을 이용한 악성코드에 관한 해외 사례가 잇따르는 등 스마트폰의 보안에 대해 관심을 가지고 있다.

출처 : http://www.bodnara.co.kr/bbs/article.html?imode=view&D=7&cate=24&d_category=8&num=76347&refresh_cnt=1

저작자표시

'Security > Security News' 카테고리의 다른 글

[중앙일보]미, e-메일로 부재자 투표 (0)	2010.05.11
[연합뉴스]美조폐국 웹사이트 해킹으로 폐쇄 (0)	2010.05.06
[디지털데일리]VoIP 해킹 위협이 현실로…1억원 전화요금 고지 피해 (0)	2010.05.03
[이데일리]스마트폰 악성코드 첫 피해발생..사용자 몰래 국제전화 (0)	2010.04.22
[지디넷코리아]2010.4.12-게임 이용자 개인정보…정부가 모두 가져간다 (0)	2010.04.19

[Reversing]색션 객체, VAD트리, User mode Mem, Mem 관리 API

Ac3LuCiFer 2010. 4. 29. 22:17

2010. 4. 29. 22:17

■ 색션 객체

- OS가 관리하는 특별한 메모리

- 하나 이상의 공간에 매핑 될 수 있음(App간에 공유메모리 설정이 쉬워진다)

- 시스템은 색션객체를 이용하여 커널모드 프로세스와 유저모드 프로세스 간에 메모리를 공유할 수 있음

- Win32에서는 “메모리 맵 파일”이라고 부름

• Pagefile-Backed : 정보를 일시적으로 저장하고 프로세스 간이나 App 간, 커널과의 데이터 공유를 위해서 사용됨.

• File-Backed : 하드 드라이브의 물리 파일을 매핑함

이 섹션은 매핑되면서 매핑 대상의 파일의 내용을 포함하며, 매핑된 메모리 내용이 변경되면 파일의 내용도 그대로 변경됨. 이는 메모리 영역의 포인터만을 이용해서 직접 파일의 내용에 접근이 가능함을 의미함

■ VAD 트리(Virtual Address Descriptor)

- VAD트리는 개별 프로세서의 주소할당을 관리하기 위해 윈도우가 사용하는 데이터 구조체

- 바이너리 트리 구조

- 각 프로세스마다 고유한 자신의 VAD트리를 보유

• Mapped allocation : 주소 간 안에 매핑된 메모리 맵 파일(프로세스 주소공간에 로드된 모든 실행 바이너리와 모든 메모리 맵 파일)

• Private allocation : 프로세스 안에 지역적으로 할당된 메모리(ex: Heap, Stack)

■ 유저 모드 메모리

• Private Allocation

- 프로세스에서 가장 기본적인 형태의 메모리 할당

- App이 virtualAlloc Win32 API를 이용해서 메모리 블록을 요청

- 항상 페이지 크기 단위

- 시스템이 스택이나 힙을 할당할 때 사용

• Heap

- 힙 메모리 할당을 위해서는 virtualAlloc API를 사용하지 않음 à 런타임 라이브러리 함수 malloc이나 시스템 힘 API인 HeapAlloc을 사용함

- App는 VirtualAlloc API를 이용해서 메모리 블록을 직접 할당함으로써 자신만의 힙을 구할 수 있음

• Stack

- 스레드가 생성되는 동안에 해당 스레드를 위한 스택을 자동 할당

- 유저모드 스택은 스레드 내부에서만 사용됨

• 실행

- 시스템은 App 코드를 실행하기 위해 코드를 메모리 맵 파일로서 메모리에 로드함

• 맵 뷰(섹션)

- App은 메모리 맵 파일을 생성해서 그것을 주소 공간에 매핑시킬 수 있음(두개 이상의 프로그램이 메모리를 공유할 수 있는 일반적임 방법)

■ 메모리 관리 API

＋Win32 로우레벨 메모리 관리 API

• VirtualAlloc

- 유저모드 주소 공간에 메모리 블록을 할당

- 메모리 블록의 크기는 항상 페이지 크기의 배수

reserve type : 실제로 주소 공간에 메모리를 할당하지 않고 단순히 예약만 함

commit type : 실제로 시스템 페이지 파일 안에 메모리 공간을 할당

• VirtualProtect

- 메모리 영역의 보호 설정 값을 변경함

• VirtualQuery

- 메모리 블록의 종류가 무엇인지, 사용되지 않고 있는 메모릴 블록인지 등과 같은 메모리 정보 질의

• VirtualFree

- 할당된 메모리 블록 해제

저작자표시

'Security > Reverse Engineering' 카테고리의 다른 글

[Reversing]프로세스와 쓰레드 (0)	2010.05.04
[Reversing]네임드 객체 (0)	2010.05.03
[Reversing]객체와 핸들 (0)	2010.05.03
[Reversing]윈도우 커널 메모리 주소 공간 (0)	2010.04.25
[Reversing]compiler, JavaVM, Mem Structure (0)	2010.04.22