Project

들어가며이 글은 상용 DLP(Data Loss Prevention) 프로그램의 핵심 기능을 분석하고, 윈도우 커널 드라이버 기반으로 직접 구현해보는 시리즈입니다.지난 글에서는 네트워크 필터(WFP)의 한계와 유저모드 클립보드 차단을 다루었습니다. 이번 편에서는 다시 커널로 돌아가서, Minifilter를 확장하여 '민감정보 패턴 검사'와 '파일 첨부 차단' 기능을 구현하는 과정, 그리고 그 과정에서 마주친 Office 파일(.xlsx) 검사의 딜레마를 어떻게 해결했는지 공유합니다.그리고 파일 첨부를 차단하는 기능을 구현하는 과정에 대해 서술합니다. 이전 글 보러가기https://imoracle.tistory.com/75 [DLP 개발기] 4. WFP DNS 차단의 한계와 유저모드 클립보드 제어들어가며이 ..

들어가며이 글은 상용 DLP(Data Loss Prevention) 프로그램의 동작 원리를 분석하고, 윈도우 커널 드라이버 기반의 보안 솔루션을 직접 구현해보는 시리즈입니다.지난 글에서는 WPF 트레이 앱 통신과 매체/파일 제어(USB & Minifilter)를 다뤘습니다. 이번 편에서는 네트워크 보안의 핵심인 WFP(Windows Filtering Platform) 기반 웹사이트 차단 시도와 일상적인 정보 유출 경로인 클립보드 차단 구현 과정을 공유합니다. 이전 글 보러가기https://imoracle.tistory.com/74 [DLP 개발기] 3. WPF 트레이 앱 통신과 커널 레벨 매체/파일 제어 (USB & Minifilter)들어가며이 글은 오피스키퍼 등 상용 DLP(Data Loss Prev..

들어가며이 글은 상용 DLP(Data Loss Prevention) 프로그램의 동작 원리를 분석하고, 윈도우 커널 드라이버 기반의 보안 솔루션을 직접 구현해보는 시리즈입니다.지난 2편에서는 커널 드라이버의 IOCTL 통신, 소프트웨어 실행 차단, 그리고 E2E 파이프라인 구축 과정을 다뤘습니다.이번 글에서는 사용자에게 동작 상태를 보여줄 WPF 트레이 앱을 만들고, 본격적인 매체 제어인 USB 차단과 Minifilter 기반 파일 확장자 차단을 구현해 봅니다. 이전 편 보러가기https://imoracle.tistory.com/73 [DLP 개발기] 2. 커널 드라이버와 IOCTL, 그리고 E2E 파이프라인 구축들어가며지난 1편에서 설계한 아키텍처를 바탕으로, 이번 편에서는 실제로 데이터가 흐르고 동작하..

들어가며지난 1편에서 설계한 아키텍처를 바탕으로, 이번 편에서는 실제로 데이터가 흐르고 동작하는 E2E(End-to-End) 파이프라인을 완성해 보겠습니다. 목표는 심플합니다. "관리자 웹에서 정책을 변경하면, 30초 안에 커널 드라이버까지 도달해 실제 차단이 이루어지게 만든다." 이전편 보러가기https://imoracle.tistory.com/72 [DLP 개발기] 1. 커널 드라이버 기반 보안 시스템, OpenGuard 시작하기들어가며 다양한 기업용 PC 보안 솔루션을 접하다 보면 자연스레 호기심이 생깁니다. "이거 대체 어떻게 구현한 거지?" 사실 오래전, DLP 보안 솔루션 전문 기업에 입사 지원을 했다가 서류에서 탈imoracle.tistory.com 다음편 보러가기https://imoracl..

들어가며 다양한 기업용 PC 보안 솔루션을 접하다 보면 자연스레 호기심이 생깁니다. "이거 대체 어떻게 구현한 거지?" 사실 오래전, DLP 보안 솔루션 전문 기업에 입사 지원을 했다가 서류에서 탈락했던 아쉬운 기억이 있습니다.원래부터 이 분야에 워낙 관심이 많았는데, 최근 여러 보안 솔루션의 동작 방식을 다시 분석하다 보니 그때의 기억이 새록새록 떠오르더군요. USB를 꽂자마자 차단하고, 파일 첨부를 막아내는 이런 로우레벨의 제어 기술들은 단순히 유저모드의 소프트웨어 레벨에서는 구현이 불가능합니다. USB를 꽂자마자 차단하고, 파일 첨부를 막아내는 이런 로우레벨의 제어 기술들은 단순히 유저모드의 소프트웨어 레벨에서는 구현이 불가능합니다. 그래서 과거의 아쉬움도 달래고 심도 있는 시스템 스터디도 할 ..

들어가며https://imoracle.tistory.com/63 [NAS] 고장난 나스서버 하드디스크 복구기 -2-들어가며지난 포스팅을 이어서 작성하려 합니다https://imoracle.tistory.com/61 [NAS] 고장난 나스서버 하드디스크 복구기 -1-들어가며 현재 글쓴이는 시놀로지 나스를 사용중에 있으나, 가동중이던 오래imoracle.tistory.com 현재 글쓴이는 시놀로지 나스를 사용중에 있으나, 가동중이던 오래된 LG NAS가 존재하며 기기가 죽었다..LG는 NAS 사업에서 철수한지 오래이며.. 나스 기기를 AS 받기란 불가능에 가깝다사설수리가 있는지는 모르겠으나 이렇게 오래된 기기를 고쳐쓴다는 건 그것 또한 아이러니.이전 iptime 나스 데이터는 우분투에 올려 마운트해 살린적..

들어가며회사의 생산현장에서 USB에 캐드 도면파일을 담아 이동시켜 열어서 도면을 확인하는데 유출이 된 적이 있어 곤란하다고 한다. 현장 PC들이 인터넷이 접속안되게 하지만 내부네트워크는 접속이 되어야하며, 캐드 도면파일이 USB에서 PC로 옮기는건 되게끔, PC to USB는 불가능하게 해야한다고 한다. 머릿속에 떠오른건 USB를 인식하는 드라이버를 StopService 함수나.. 뭐 어떻게 해보려했는데 특정확장자만 이라는 조건이 붙어 역시 후킹만한게 없다고 판단했다. 인터넷의 경우 내부네트워크는 접속이 가능해야하니 이더넷을 죽이는 방법은 불가하니, 프록시를 변경해보려한다. 그래서 구상을 잠시 해보니 해야 할 건.1. 프록시 변조를 통한 인터넷 차단2. Ring 3 권한 후킹을 통한 특정 확장자의 파..