• Journal of Advanced Navigation Technology
• /
• v.13 no.6
• /
• pp.884-893
• /
• 2009

Recently, malicious attacks for Windows operate through Window API hooking in the Windows Kernel. This paper presents the API hooking attack and protection techniques based on Windows kernel. Also this paper develops a detection tool for Windows API hooking that enables to detect dll files which are operated in the kernel. Proposed tool can detect behaviors that imports from dll files or exports to dll files such as kernel32.dll, snmpapi.dll, ntdll.dll and advapidll.dll, etc.. Test results show that the tool can check name, location, and behavior of API in testing system.

• Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology
• /
• v.5 no.2
• /
• pp.297-304
• /
• 2015

Zeus is one of the will-published malwares. Generally, it infects PC by executing a specific binary file downloaded on the internet. When infected, try to hook a particular Windows API of the currently running processes. If process runs hooked API, this API executes a particular code of Zeus and your private information is leaked. This paper describes techniques to detect and hook Windows API. We believe the technique should be able to detect modern P2P Zeus.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2011.10a
• /
• pp.551-553
• /
• 2011

The popularization and development of 3D display makes common users easy to experience a solid 3D virtual reality, the demand for virtual reality contents are increasing. This paper proposes VR panorama system using vanishing point location-based depth map generation method. VR panorama using depth map gives an effect that makes users feel staying at real place and looking around nearby circumstances.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2017.01a
• /
• pp.207-208
• /
• 2017

악성코드는 매년 그 수가 증가하고 있으며, 악성코드의 공격기법이 지능적이고 복합적으로 진화함에 따라 이에 대한 분석과 대응이 요구된다. 하지만 일부 악성코드는 감염여부를 숨기기 위하여 분석에 대한 회피방법으로 루트킷을 통하여 방어자에 의한 악성코드의 코드 분석을 우회함으로써 은폐된 상태로 악의적인 공격을 수행한다. 따라서 본 논문에서는 유저레벨에서 IAT(Import Address Table)의 정보를 후킹하여 악성 행위를 수행하는 루트킷을 탐지하는 대응방안을 제안한다.

• Convergence Security Journal
• /
• v.6 no.2
• /
• pp.1-11
• /
• 2006

The files of intellectual property on computer systems have increasingly been exposed to such threats that they can be flowed out by internal users or outer attacks through the network. The File Outflow Protection System detects file outflow when users not only copy files on client computers into storage devices, but also print them. This Protection system has been designed to Win32 API hooking by I/O Manager in kernel level if files are flowed out by copying. As a result, the monitoring system has exactly detected file outflows, which is proved through testing.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.04a
• /
• pp.391-394
• /
• 2014

많은 루트킷들은 사용자 또는 탐지 프로그램으로부터 탐지되지 않기 위해서 중요한 함수를 후킹하거나 DKOM 등의 기술을 이용한다. API를 후킹하여 반환되는 정보를 필터링하는 전통적인 루트킷과 달리 DKOM 루트킷은 이중 연결리스트로 구성된 커널 오브젝트의 링크를 직접 조작하여 루트킷 자신의 존재를 숨길 수 있으며 DKOM으로 은닉한 루트킷은 쉽게 탐지되지 않는다. 본 논문에서는 DKOM을 이용하여 은닉된 루트킷 드라이버를 탐지하기 위한 기술을 제안하고, 루트킷 탐지 능력을 검증한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.1653-1656
• /
• 2013

본 논문에서는 키넥트를 사용하여 제스처를 인식해 프리젠테이션이 가능한 인터페이스를 제작하였다. 키넥트 카메라는 Microsoft Kinect SDK1.7 라이브러리를 사용해서 신체의 좌표값을 받아 손의 위치와 손의 제스처를 인식하는데 사용했으며, 파워포인트를 제어하기 위해 후킹 기능을 사용한다. 기존 키넥트에서 사용하던 제스처인 sweep을 기본으로, grip과 push 제스처로 프리젠테이션에 필요한 기능을 추가했다. 제스처 인식의 결과를 후킹을 통해 파워포인트로 전달해서, 슬라이드의 이동 뿐 아니라 메모 기능과 지우기 기능이 추가된 인터페이스를 제공한다. 인터페이스는 발표자의 발표능력 향상과 더불어, 제스처 인식 인터페이스를 타 콘텐츠에 적용이 가능하므로 추후 콘텐츠의 제작 및 상용화가 가능하다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.11a
• /
• pp.1202-1205
• /
• 2010

무작위 SQL 삽입 공격 등을 통해 웹서버 해킹 사례가 꾸준히 증가하고 있으며, 대부분의 해킹된 웹서버는 난독화된 자바 스크립트 코드가 웹페이지에 삽입되어 악성코드 경유/유포지로 악용되고 있다. 본 논문에서는 난독화된 자바 스크립트 복원 및 취약한 ActiveX 생성에 사용되는 주요 함수에 대해 후킹 기술을 적용한 브라우저를 이용해서 난독화된 스크립트를 자동으로 해독하고, 악성코드 경유/유포지로 악용되는 웹 서버를 탐지할 수 있는 기술을 제안한다. 또한 제안 기술을 프로토타입 시스템으로 구현하고, 악성 URL 공유 사이트를 통해 수집한 난독화된 자바 스크립트 샘플 분석을 통해 제안한 기술이 높은 악성코드 경유/유포지 탐지율을 보이는 것을 증명한다.

• The Journal of Korean Association of Computer Education
• /
• v.8 no.4
• /
• pp.107-114
• /
• 2005

While a user is using an adaptive hypermedia system, the user can also use an external application. If the user accesses the information which is related to the contents provided by the adaptive hypermedia system, it can affect a user profile that contains the information about the knowledge or interests of the user. However, the adaptive hypermedia system understands user's behavior based on whether a page is accessed or not and it is difficult for the system to recognize user's behavior that can occur outside the adaptive hypermedia system. In this paper, we propose an approach that can detect user's behavior using a message hooking mechanism so that both user's behavior inside an adaptive hypermedia system and behaviors that occur outside the system can be reflected in a user profile. We analyze user events using a hooking mechanism and update a user profile using an XML parser.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2018.01a
• /
• pp.81-84
• /
• 2018

최근에 WMI를 악용한 악성코드 공격이 증가하고 있다. WMI는 악성 프로그램을 설치하지 않아도 레지스트리, 파일시스템 등 중요한 정보에 접근할 수 있다. 또한, 윈도우 운영체제에 내장된 프로그램이기 때문에 백신에서 탐지하기 어렵다. 본 논문에서는 WMI를 이용한 악성코드 탐지를 위하여 제안하는 방법은 API를 후킹하여 메모리에서 실행될 DLL을 보고 악성코드를 탐지하는 방법을 제안한다.