Windows] DKOM - 1) 개요, 특징

1.개요

 -Direct Kernel Object Manipulation(직접적인 커널 오브젝트[개체] 조작)

 -정의

:프로세스 토큰을 직접 변경하여 시스템이나 관리자 권한을 획득

 -윈도우 오브젝트

`커널 개체`

>프로세스나 드라이버가 로드될 때 커널은 커널 개체를 메모리상에 생성 후 관리.

>실행부 개체들이 만드는 동기화와 같은 기본적인 기능을 제공

>유저모드 코드에서는 확인할 수 없음.

>DKOM 기법은 이 커널 개체에 접근하는 것.

`실행부 개체`

>실행부의 구성요소들에 의해 구현된 개체.

>프로세스 관리자, 메모리 관리자, I/O 서브시스템 등이 있음.

2.특징

 -장점

1)오브젝트 매니저를 거치지 않기 때문에, 커널 오브젝트에 대한 권한 체크가 이뤄지지 않는다.

 -단점

1)견고하지 않기 때문에 오브젝트에 대한 명확한 조사가 필요하다.

`오브젝트는 어떤 구조로 이루어져 있는가`

`커널이 해당 오브젝트를 어떻게 사용하는가`

`운영체제의 버전이 무엇인가?` //버전에 따라 오브젝트가 변경될 수 있음.

(프로세스 리스트에 대한 오브젝트만 해당)

2)메모리상에서 관리하는 오브젝트만을 대상으로 한다.

->파일 시스템의 파일 정보(에 대한 오브젝트)는 메모리에 로드되지 않는다

>>파일 은닉은 수행할 수 없다.

3.수행 가능한 작업

 1)프로세스 은닉

 2)디바이스 드라이버 은닉

 3)포트 은닉

 4)쓰레드, 프로세스 권한 상승

 5)포렌식 회피