한빛미디어 - 정보 보안 개론과 실습 제 9장 연습문제

1. 백도어의 설명 중 틀린 것은?

① 운영체제나 프로그램을 생성할 때 정상적인 인증 과정을 거치지 않고, 운영체제나 프로그램 등에 접근할 수 있도록 만든 일종의 통로다.

② 해커가 시스템에 최초로 침투를 시도할 때 이용하는 기술이다. (정답)

③ 본래의 목적은 주로 방문하는 사이트, 검색어 등 취향을 파악하기 위한 것이었다.

④ 정상적인 기능을 하는 프로그램에 사용자가 의도하지 않은 코드를 삽입한 프로그램이다.

2. 백도어의 분류 중 서버의 셸을 얻어낸 뒤 관리자로 권한 상승(privilege escalation)을 할 때 사용되는 백도어는?

① 원격 백도어

② 로컬 백도어 (정답)

③ 시스템 설정 변경 백도어

④ 패스워드 크래킹 백도어

3. NetBus의 부가 기능이 아닌 것은?

① 상대방 시스템의 CD-ROM이 열렸다가 닫히게 할 수 있다.

② 공격 대상 시스템에 메시지 창을 띄워 임의의 정보를 알릴 수 있다.

③ 공격 대상의 시스템을 종료시킨다.

④ 영문과 한글을 모두 지원한다. (정답)

 4. 다음 윈도우에서 실행되는 각 서비스에 대한 설명으로 맞는 것을 고르시오.

Winlogon.exe	1		3	사용자 세션을 시작하는 기능을 담당하는 프로세스다. Winlogonm Win32(Csrss.exe)을 구동하고, 시스템 변수를 설정한다. 또한 Smss는 Winlogon이나 Csrss가 끝나기를 기다려 정상적인 Winlogon, Csrss 종료 시 시스템을 종료한다.
System	2		2	대부분의 커널 모드 스레드의 시작점이 되는 프로세스다.
Smss.exe	3		1	사용자 로그인/로그오프를 담당하는 프로세스다. 윈도우의 시작/종료 시나, Ctrl+Alt+Delete를 누르면 활성화되는 프로세스다.
Svchost.exe	4		5	프린터와 팩스의 스풀링 기능을 담당하는 프로세스다.
Spoolsv.exe	5		4	DLL(Dynamic Link Libraries)에 의해 실행되는 프로세스의 기본 프로세스다. 따라서 한 시스템에서 svchost 프로세스를 여러 개 볼 수 있다.

5. 다음 중 윈도우에서 백도어 탐지 및 삭제에 이용되는 툴이 아닌 것은?

① Process Explorer

② Fport

③ Total Commander

④ tripwire (정답)

6. 백도어 탐지 및 대응책 중 MD5 해싱 기법을 이용해서 확인할 수 있는 사항은?

① 프로세스 확인

② 열린 포트 확인

③ 로그 분석

④ 무결성 검사 (정답)

7. 리눅스 백도어 탐지 기법이 아닌 것은?

① ‘ps -ef'로 시스템의 셸과 프로세스 소유자에 관계없이 모든 프로세스를 확인한다.

② ‘netstat -an'으로 열린 포트를 확인한다.

③ MD5SUM, tripwire 등을 이용한 무결성 검사를 한다.

④ SFC(System File Checker)를 이용하여 무결성 검사를 한다. (윈도우 검사) (정답)

[심화문제]

8. 백도어의 종류를 나열하라.

로컬 백도어 : 트랩도어, 원격 백도어, 원격 GUI 백도어, 패스워드 크래킹 백도어, 시스템 설정 변경 백도어, 트로이목마 형태의 프로그램, 거짓 업그레이드

9. cron 데몬에 다음과 같은 스케줄을 추가했을 때 발생하는 일에 대해 설명하라.

관리자 시스템에서 백도어가 구동되고 있는지 새벽 4~5시에만 확인할 수 있어서 탐지하기가 더욱 어려워 진다.

10. 백도어의 탐지 방법을 설명하라.

• 현재 동작중인 프로세스를 확인한다.

- 정상적인 프로세스를 미리 파악

- 윈도우 / 유닉스의 기본적인 프로세스 암기

• 열린 포트 확인

• SetUID 확인

- 윈도우 시스템은 해당 사항 없음

• 바이러스 및 백도어 탐지 툴 이용

- 백신 프로그램

• 무결성 검사

- MD5 해시 기법 많이 사용

• 로그 분석

- 시스템 흔적 분석

시스템 보안 제 9장 연습문제.hwp