Windows Artifacts Analysis

후킹 - 유저레벨과 커널레벨로 나뉨 (후킹은 공격기법이 아닌데, 악의적으로 사용해서 문제)
커널레벨은 드라이버를 설치해야한다.
- 필터드라이버를 출력 (fltmc명령어)
- 인터넷뱅킹 시에도 커널 상의 필터드라이버가 설치, 커널 단에도 도는 악성코드도 탐지하기 위해
드라이버는 C:\windows\drivers에 있으며, 기본적으로 디지털 서명이 되어있고, 되어있지 않으면 로드 되지 않는다. 디지털 서명은 오프라인으로 출력할 수 있는 유효한 인증서.
- 이 디지털 서명을 탈취하기 위한 악성코드도 존재하며, 이 디지털 서명을 악용하기도 한다. 특히 윈도우 운영체제의 디지털 서명이 있는.
- 예시 : HfFilter.sys
  - 특정 솔루션에서 사용하는 드라이버 파일인 것 확인
  - 프리패치 분석 시 활용 특정 프리패치가 hfFilter.sys를 사용하는 것을 레퍼런스 목록을 통해 확인할 수 있음
- 리소스영역 - MFC 윈도우즈 프로그래밍 , 바이너리 안에 저장할 수 있는 영역?
- 레지스트리 →리소스영역에 temp영역에 등록하는 것이 있다?
RDP cache 파일의 이미지 조각들을 머신러닝으로 자동 조합..?

→ 역시 프로그래밍이 답이다.
예시 : 탈북자 모니터링 - 정찰총국에 보고 - 사회교란