核心概念
TRM은 하이퍼바이저 기반 메모리 내부 관찰을 통해 사용자 모드와 커널 모드의 메모리 구조를 효율적으로 재구성하고, 구조, 호출 규약, 메모리 오프셋을 복구할 수 있습니다.
要約
TRM은 현대 프로세서의 하드웨어 지원 가상화 기능을 활용하여 사용자 모드와 커널 모드의 전체 메모리 추적을 투명하고 효율적으로 수행할 수 있습니다. 이를 통해 은밀한 루트킷과 같은 최신 악성코드를 효과적으로 분석할 수 있습니다.
TRM의 핵심 기능은 다음과 같습니다:
- 중지된 프로세스 생성을 이용한 하이퍼바이저 기반 메모리 내부 관찰 기법
- 모드 기반 실행 제어(MBEC)를 활용한 사용자 모드와 커널 모드 전환 및 메모리 접근 패턴 감지
이러한 기술을 통해 TRM은 사용자 모드와 커널 모드의 전체 메모리 추적을 수집하고, 운영 체제 내부의 배열, 구조체 및 가능한 루트킷을 재구성할 수 있습니다.
TRM은 커널 수준 구조체 역공학을 통해 수동 역공학 속도를 75% 향상시킬 수 있습니다. 또한 다양한 컴파일러와 상용 패커로 난독화된 알려진 악성코드에 대해 유사성 탐지를 성공적으로 수행할 수 있습니다. 더불어 TRM은 최신 보안 감사 도구를 우회하는 실제 루트킷 공격을 탐지할 수 있습니다.
統計
프로세스 생성 시 중지 플래그(CREATE_SUSPENDED)를 사용하여 프로세스 진입점 추적
모드 기반 실행 제어(MBEC)를 활용하여 사용자 모드와 커널 모드 전환 감지
확장 페이지 테이블(EPT) 기반 메모리 접근 추적을 통해 구조체, 호출 규약, 메모리 오프셋 복구
引用
"TRM은 커널 수준 구조체 역공학을 통해 수동 역공학 속도를 75% 향상시킬 수 있습니다."
"TRM은 다양한 컴파일러와 상용 패커로 난독화된 알려진 악성코드에 대해 유사성 탐지를 성공적으로 수행할 수 있습니다."
"TRM은 최신 보안 감사 도구를 우회하는 실제 루트킷 공격을 탐지할 수 있습니다."