요약
일 실시예에 따른 IAT(Import Address Table) 후킹 탐지 방법은, IAT를 사용하여 라이브러리를 임포트함에 따라 타겟 프로그램(Target Program)에서 사용되는 함수를 추출하는 단계; 상기 함수의 주소 값이 상기 IAT 내에 포함된 함수에 대응하는 주소 영역에 존재하는지 여부를 판단하는 단계; 및 상기 함수의 주소 값이 상기 주소 영역에 존재하는지 여부를 판단함에 따라 악성 행위를 수행하는 루트킷을 탐지하는 단계를 포함할 수 있다.
