Anti Kernel Debugging Update

[0x00] Overview

ArchiveAnti Kernel Debugging Bypass 를 업데이트 하였습니다. 해당 내용은 안티 커널 디버깅에 관해 연구한 내용을 토대로 작성되었습니다. 목표는 최대한 디버거 기능 제한 없이 디버거를 숨기는 것입니다. 실제 프로세스를 보호하는 드라이버에 관한 예제도 학습 가능하며, 마지막에는 디버거를 제어할 수 있는 드라이버를 개발합니다. 업데이트 내용은 아래에서 확인할 수 있습니다.

[0x01] Update Progress

[-] Overview Complete

각 챕터별 설명과 환경설정 내용을 담았습니다.

[-] Process Protection Complete

안티 커널 디버깅에 대한 목적과 매우 관계가 깊은 프로세스 보호에 관련된 내용을 담았습니다.

[-] Anti Kernel Debugging Complete

커널 드라이버를 이용한 안티 디버깅 예제와 커널 디버깅에 관한 내용을 담았습니다.

[-] Bypass Complete

예제로 만들어진 커널 드라이버를 우회하는 기법에 대한 소개입니다. 우회 기법과 원리에 대해 자세하게 설명되어 있습니다.

[-] Control Debugger Complete

커널 디버거에 대한 제어를 할 수 있는 드라이버입니다.

[-] Bonus(Code Integrity)

코드 무결성, 코드 서명과 관련된 부록 내용입니다. 부록이지만 알차게 구성되어 있습니다.

[0x02] Conclusion

기존 블로그에 있던 내용들을 합치면서 정리를 하느라 꽤 많은 시간이 소요되는 것 같습니다. 앞으로 추가 될 내용들은 VMP Unpacking 에 관한 내용(안티 디버깅 회피 및 후킹 등), 커널 드라이버 분석 방법론, Windows PE, SEH와 같은 구조, 후킹 라이브러리 정도가 될 것 같습니다.

현재 위와 같은 문서와 더불어 직.간접적으로 개발한 범용 API를 정리할 생각입니다.