보안/악성코드
sporder.dll - windows platform sdk 에 포함되어 있는 모듈 (WinSock2 reorder service providers)
NineKY
2009. 8. 24. 12:05
해당 파일은 PlatformSDK 에 포함되어 있는 모듈로 LSP 설정을 재정렬하는 기능을 한다.
위 그림에서 보듯이 SpOrder.exe 파일과 쌍으로 동작한다고 예상할 수 있다.
SpOrder.exe 를 실행하면 아래와 같은 창을 만날 수 있다.
위 프로그램은 실제 레지스트리 위치
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters]
의 값을 파싱해서 보여준다.
각 탭의 위치는 다음과 같다.
Service Providers 탭 - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9]
Name Resolution 탭 - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]
일반적으로 악성 프로그램이 변조하는 LSP 설정은 전자(Service Providers)에 해당된다.
악성 프로그램은 위 그림에서 현재 나오는 ServiceProvider 계층을 변조하는데,
원래의 Provider 를 자신으로 교체하거나, 아니면 중간에 계층을 삽입하여 자신을 경유하도록 한다.
위 그림에서 Up, Down 은 당연히 계층 순서를 변경(ReOrder) 하는 것을 의미하고,
'More'는 각 계층에 대한 자세한 정보를 아래의 그림과 같이 보여준다.
이상.
위 그림에서 보듯이 SpOrder.exe 파일과 쌍으로 동작한다고 예상할 수 있다.
SpOrder.exe 를 실행하면 아래와 같은 창을 만날 수 있다.
위 프로그램은 실제 레지스트리 위치
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters]
의 값을 파싱해서 보여준다.
각 탭의 위치는 다음과 같다.
Service Providers 탭 - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9]
Name Resolution 탭 - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]
일반적으로 악성 프로그램이 변조하는 LSP 설정은 전자(Service Providers)에 해당된다.
악성 프로그램은 위 그림에서 현재 나오는 ServiceProvider 계층을 변조하는데,
원래의 Provider 를 자신으로 교체하거나, 아니면 중간에 계층을 삽입하여 자신을 경유하도록 한다.
위 그림에서 Up, Down 은 당연히 계층 순서를 변경(ReOrder) 하는 것을 의미하고,
'More'는 각 계층에 대한 자세한 정보를 아래의 그림과 같이 보여준다.
이상.