none
ATOM TABLE 관련(Atombombing Attack 관련) RRS feed

  • 질문

  • 이스라엘 보안기업 엔실로는 정상 프로그램이 사용하는 atom에 악성코드 주입시
    정상프로그램이 atom 사용시 컴퓨터가 악성코드가 감염된다고 합니다.(공격기법만 발표함)

    현실적으로 가능한 공격인지 몇가지 질문 드립니다.

    1) Global Atom 생성시 저장되는 메모리 영역(사용자 or 운영체제)

    2) 윈도우의 스크린샷 기능은 Atom을 사용하는 것으로 알고 있는데. 아톰 테이블의 지정된 영역 사용여부

    3) Atom 키값을 알고 있다면 타 프로그램이 해당 아톰내에 저장된 값 변경 유무

    /끝.

    2016년 11월 10일 목요일 오전 12:49

모든 응답

  • 1) Global Atom은 모든 응용 프로그램에서 값을 가져갈 수 있기 때문에 운영체제 영역으로 보입니다. (딱히 문서에 명시된 것을 찾을 수가 없군요.) Local Atom Table의 존재로 봐서는 맞을 듯 합니다.

    2) 스크린샷이 Atom을 사용하긴 할테지만 스크린샷 데이터 저장 용도는 아닐 것입니다. 왜냐하면 아톰에 저장할 수 있는 용량은 255바이트이므로 스크린샷의 여부나 기타 보조적인 정보의 전달 정도로만 사용될 것입니다. 글쎄요. 해당 질문이 정확히 무엇을 의미하는지 알 수가 없어서 더 이상 답변이 어렵군요. 만약 윈도우가 스크린샷이 저장된 경우 특정 문자열의 atom을 개방한다면 사용 여부는 알 수 있습니다.

    3) Atom을 아신다면 이 질문을 하지 않으셨을텐데... ^^ 키 값으로는 조회만 가능할 뿐 변경은 가능하지 않습니다. 게다가 Atom의 키 값은 handle의 의미이기 때문에 Global Atom Table에 저장된 주소를 가리키는 것이 아니므로 접근이 안 됩니다. 또한 GlobalGetAtomName으로 가져온 문자열도 복사된 문자열이기 때문에 그것을 변경한다고 해서 Global Atom Table에 저장된 내용이 바뀌는 것은 아닙니다.

    2016년 11월 10일 목요일 오전 2:36