안티치트 커널 드라이버에서 프로세스 행위 검사를 위한 정보 수집 콜백 항목 정리

안티치트 분야쪽 면접 준비로 인해 관련 정보들을 이리저리 수집중이다.

대부분 이전 회사에서 사용했던 스택과 비슷하지만 기억이 가물가물하다보니 관련 함수들 단위로 정리를 수행한다

감시 대상	설명	등록 함수	콜백 함수 시그니처	필요 권한 / IRQL 레벨	비고
프로세스 생성 / 종료	프로세스 생성 및 종료 감지	PsSetCreateProcessNotifyRoutineEx	PEPROCESSNotifyRoutine	PASSIVE_LEVEL	XP 이상
스레드 생성 / 종료	스레드 시작 및 종료 감지	PsSetCreateThreadNotifyRoutine	PCREATE_THREAD_NOTIFY_ROUTINE	PASSIVE_LEVEL	XP 이상
이미지 로드 (DLL 등)	DLL, EXE 등 메모리 로드 감지	PsSetLoadImageNotifyRoutine	PLOAD_IMAGE_NOTIFY_ROUTINE	PASSIVE_LEVEL	XP 이상
레지스트리 변경 감지	레지스트리 키/값 변경 감지	CmRegisterCallbackEx	PREGISTRY_CALLBACK	PASSIVE_LEVEL	XP 이상
드라이버 로드	커널 모드 드라이버 로드 감지	(간접적 방법: PsSetLoadImageNotifyRoutine)	이미지 이름으로 확인 가능	-	-
파일 접근 / I/O	파일 시스템 필터링	FltRegisterFilter (미니필터)	IRP 기반 Callback	DISPATCH_LEVEL	XP 이상
네트워크 패킷 감시	네트워크 활동 감시 (TDI/NDIS)	WFP (Windows Filtering Platform)	FWPS_CALLOUT_CLASSIFY_FN, 등	PASSIVE_LEVEL	Vista 이상
Handle 생성 감시	특정 프로세스의 핸들 생성 감지	ObRegisterCallbacks	OB_PREOP_CALLBACK_STATUS 등	PASSIVE_LEVEL	Vista SP1 이상

 

기능	용도
PsSetLoadImageNotifyRoutine	DLL 인젝션 감지, 특정 모듈 (예: cheat.dll) 로드 추적
ObRegisterCallbacks	프로세스 보호 (예: 자신 보호 / 디버깅 감지)
PsSetCreateProcessNotifyRoutineEx	외부 프로세스 생성 감지 (에이밍 봇, 매크로 프로세스 등)
FltRegisterFilter 또는 WFP	파일 조작 및 네트워크 통신 감지 (예: 패킷 변조 차단)

 

보안 소프트웨어 개발 분야에서 일을 했어서 그런지 그냥 .. 

EPROCESS , ETHREAD 같은 부분 조작해서 바이패스 가능할 것 같다는 생각만 문득 든다.

 

보안 관련 소프트웨어 쪽은 그냥 하루하루가 끊임없는 공방전인 것 같다.