'study'에 해당되는 글 49건

  1. 2010/07/04 어셈블리 언어를 이용한 Code Injection (5) (20)
  2. 2010/07/04 어셈블리 언어를 이용한 Code Injection (4)
  3. 2010/06/30 어셈블리 언어를 이용한 Code Injection (3) (2)
  4. 2010/06/28 어셈블리 언어를 이용한 Code Injection (2) (2)
  5. 2010/06/27 어셈블리 언어를 이용한 Code Injection (1)
  6. 2010/06/24 Code Injection 기법 (3) (7)
  7. 2010/06/23 Code Injection 기법 (2) (14)
  8. 2010/06/22 Code Injection 기법 (1) (8)
  9. 2010/05/17 Advanced Global API Hooking – IE 접속 제어 (4) (27)
  10. 2010/05/07 Advanced Global API Hooking – IE 접속 제어 (3) (10)

어셈블리 언어를 이용한 Code Injection (5)

study 2010/07/04 19:18

이전 강좌에서 이어지는 내용입니다. 

어셈블리 언어를 이용한 Code Injection (4)



# MessageBoxA() 파라미터 입력 1 – MB_OK

002D002C    6A 00         PUSH 0

PUSH 0 은 스택에 0 을 입력하는 명령입니다. 이 0 의 의미는 아래에서 호출될 MessageBoxA() API 의 네 번째 파라미터(uType)로 사용됩니다.

참고로 MessageBoxA() API 는 아래와 같이 4 개의 파라미터를 받습니다.

int WINAPI MessageBox(
  __in_opt  HWND hWnd,
  __in_opt  LPCTSTR lpText,
  __in_opt  LPCTSTR lpCaption,
  __in      UINT uType
);


* 참고
uType 값이 0 이면 MB_OK 를 의미하며, 단순히 OK(“확인”) 버튼 한 개만 보여주게 됩니다.


# MessageBoxA() 파라미터 입력 2 – "ReverseCore"

002D002E    E8 0C000000   CALL 002D003F
002D0033    52            PUSH EDX
002D0034    65:76 65      JBE SHORT 002D009C
002D0037    72 73         JB SHORT 002D00AC
002D0039    65:43         INC EBX
002D003B    6F            OUTS DX,DWORD PTR ES:[EDI]
002D003C    72 65         JB SHORT 002D00A3
002D003E    00E8          ADD AL,CH

이번에는 CALL 명령으로 코드 사이에 포함된 문자열 데이터 주소를 스택에 입력하는 기법을 소개하겠습니다. 이 역시 Assembly 프로그래밍 언어에서만 가능한 기법입니다.

위 2D0033 ~ 2D003E 주소 영역은 분명히 프로그램 코드 영역이지만 그 내용은 사실 "ReverseCore" 문자열 데이터 입니다. (붉은색 표시 부분) 즉, "ReverseCore" 문자열의 시작주소는 2D0033 입니다. 그리고 이 문자열은 MessageBoxA() API 의 세 번째 파라미터 (lpCaption)로 사용됩니다. 

함수 파라미터로 사용되려면 문자열 주소를 스택에 넣어줘야 하는데 과연 어떤 방식으로 입력할까요? 

2D002E 주소의 CALL 002D003F 명령을 디버깅으로 쫓아 들어가 보겠습니다. (StepIn [F7]) 그리고 아래 그림과 같이 스택 주소를 봐주시기 바랍니다.


<Fig. 13>

스택에 "ReverseCore" 문자열 시작 주소인 2D0033 이 입력되었습니다!!! MessageBoxA() 의 세 번째 파라미터가 입력된 셈이죠.

이 트릭은 CALL 명령어의 "동작원리"를 응용한 것입니다.

CALL 002D003F 명령을 수행하면 함수(2D003F) 가 종료된 후 돌아올 리턴 주소(2D0033)를 스택에 입력(PUSH)한 후 해당 함수 주소(2D003F)로 이동(JMP)합니다. 즉, CALL 명령어는 PUSH, JMP 명령어를 합쳐 놓은 것입니다. 

사실 2D003F 는 함수 형태가 아닙니다. RETN 명령어로 되돌아가는 형태가 아니란 얘기지요. 여기서의 CALL 002D003F 명령어는 바로 뒤에 이어지는 "ReverseCore" 문자열 주소를 스택에 입력하고 그 다음 코드 명령어로 가기 위해서 사용되고 있는 것입니다.

이해 되시나요? ^^ 재미있는 CALL 명령어 사용법입니다.


# MessageBoxA() 파라미터 입력 3 – "www.reversecore.com"

002D003F    E8 14000000   CALL 002D0058
002D0044    77 77         JA SHORT 002D00BD
002D0046    77 2E         JA SHORT 002D0076
002D0048    72 65         JB SHORT 002D00AF
002D004A    76 65         JBE SHORT 002D00B1
002D004C    72 73         JB SHORT 002D00C1
002D004E    65:636F 72    ARPL WORD PTR GS:[EDI+72],BP
002D0052    65:           PREFIX GS:
002D0053    2E:636F 6D    ARPL WORD PTR CS:[EDI+6D],BP
002D0057    006A 00       ADD BYTE PTR DS:[EDX],CH

역시 위 "ReverseCore" 문자열과 마찬가지로 MessageBoxA() API 의 두 번째 파라미터 lpText 문자열("www.reversecore.com")을 입력하는 명령입니다.

위 코드에서 빨간색으로 표시된 부분은 코드 명령어가 아니라 문자열 데이터("www.reversecore.com") 입니다. 

2D003F 주소의 CALL 002D0058 명령어는 (앞에서 설명 드린 바와 같이) 바로 뒤에 이어지는 문자열("www.reversecore.com") 데이터의 주소(2D0044)를 스택에 입력하고 그 다음 명령어 주소(2D0058)로 갑니다. (아래 그림 참고)


<Fig. 14>


# MessageBoxA() 파라미터 입력 4 – NULL

002D0058    6A 00         PUSH 0

MessageBoxA() API 의 첫 번째 파라미터인 hWnd 값을 입력합니다. 일반적으로는 메시지 박스가 소속된 윈도우 핸들을 입력하지만, 여기서는 NULL 을 입력하여 무소속(?) 메시지 박스가 출력되도록 만들겠습니다.


# MessageBoxA(NULL, "www.reversecore.com", "ReverseCore", MB_OK) 호출

002D005A    FFD0          CALL EAX

드디어 MessageBoxA() API 를 호출하는 CALL 명령어 입니다. 현재 EAX 레지스터에는 위에서 호출한 GetProcAddress() 에 의해서 리턴된 MessageBoxA() API 의 시작 주소(7793EA71)가 저장되어 있습니다. (<Fig. 12> 참고)

2D005A 주소의 CALL EAX 명령어까지 디버깅한 후 레지스터와 스택을 살펴보면 아래 그림과 같습니다.


<Fig. 15>

이 CALL EAX 명령어를 실행하면 메시지 박스가 나타날 것입니다.


<Fig. 16>


# ThreadProc() 리턴값 세팅

002D005C    33C0          XOR EAX,EAX

notepad.exe 프로세스에 인젝션된 코드(ThreadProc() 스레드 함수) 가 종료될 준비를 합니다. 스레드 함수의 리턴값을 0 으로 세팅하기 위해서 XOR EAX, EAX 명령어가 사용됩니다. 함수의 리턴값은 EAX 레지스터를 사용한다는 것을 기억 하시죠?

* 참고
XOR EAX, EAX 명령어는 EAX 레지스터를 0 으로 초기화하는 가장 쉽고 빠른 명령어 입니다. 디버깅하면서 많이 접하게 될 것입니다.


# Stack Frame 해제 및 함수 리턴

002D005E    8BE5          MOV ESP,EBP
002D0060    5D            POP EBP
002D0061    C3            RETN

ThreadProc() 함수 시작할 때 생성한 Stack Frame 을 해제 합니다. 그리고 RETN 명령으로 함수가 종료됩니다.

이 ThreadProc() 함수에서 Stack Frame 은 매우 중요합니다. 앞에서 설명 드린 "PUSH 를 이용한 스택에 문자열 넣는 기법" 에서 스택에 입력된 문자열을 일일이 POP 명령으로 힘들게 없앨 필요 없이 Stack Frame 해제 명령어 한방으로 가볍게 초기화 시킬 수 있습니다.

* 참고
Stack Frame 관련 내용은 아래 링크를 참고하세요~


+--+

Assembly 언어를 이용한 Code Injection 에 관한 설명을 마치도록 하겠습니다. C 언어 보다 더 자유로운 Assembly 언어를 사용하여 다양하고 창의적인 코드를 생성해 보시기 바랍니다. Assembly 초보자도 OllyDbg 의 "Assemble" 명령어를 이용하면 좀 더 쉽게 이용하실 수 있습니다.

위 실습을 다 끝내신 분께서는 한번 제 블로그 이미지에 있는 바이트 코드를 입력해서 실행해 보시기 바랍니다. ^^ 어떤 코드가 나타날까요? (OllyDbg 의 편집 기능과 New Origin Here 기능을 사용하면 되겠지요~)


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (5)  (20) 2010/07/04
어셈블리 언어를 이용한 Code Injection (4)  (0) 2010/07/04
어셈블리 언어를 이용한 Code Injection (3)  (2) 2010/06/30
어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
API, API Hooking, assembly, Code Injection, CreateRemoteThread, GetProcAddress, GetThreadContext, it, LoadLibrary, MessageBox, OllyDbg, OpenProcess, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, SetThreadContext, Thread Injection, VirtualAllocEx, WriteProcessMemory, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 어셈블리, 후킹
트랙백 0 : 댓글 20

Trackback Address :: http://www.reversecore.com/trackback/88 관련글 쓰기

  1. 철이 2010/07/06 15:44 댓글주소 | 수정 | 삭제 | 댓글

    정말로 잘보았습니다 ㅎ

  2. sonickaka 2010/07/10 14:23 댓글주소 | 수정 | 삭제 | 댓글

    정말 좋은 포스팅 감사합니다 ^^
    코드 인젝션을 체계적으로 정리해볼수 있어서 너무 갚지네요.. ^^
    감사합니다~!

  3. 땅콩 2010/07/24 11:35 댓글주소 | 수정 | 삭제 | 댓글

    한번 꼭 다 봐야지 봐야지..하면서...계속 미루다가..방학이라서..
    매일보고 있습니다..ㅎㅎ (analysis..부분만..거의 다 본듯..)

    이렇게 좋은 자료를..날로 먹는거 같아서....

    암튼..너무 감사합니다...

  4. 2010/07/31 00:11 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010/08/01 22:41 댓글주소 | 수정 | 삭제

      안녕하세요.

      비도덕적이고 불법적인 내용이 아니라면 제가 작은 도움을 드릴 수 도 있습니다.

      관련된 질문 있으시면 올려주세요~

      감사합니다.

  5. 2010/08/02 10:48 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2010/08/04 20:43 댓글주소 | 수정 | 삭제

      안녕하세요.

      PE Viewer 제작이야 말로 PE Header 공부의 완성판이라고 할 수 있지요. ^^

      제가 예전에 Assembly 로 개발한게 있긴 한데요... 소스를 공개할만한 수준은 아니라서요...

      그때 저는 Microsoft 의 Dumpbin 유틸리티를 참고해서 콘솔버전으로 만들었습니다.

      다른 소스는 가지고 있는게 없네요~

      요령이라고 할것도 없지만...
      그냥 편하게 Dumpbin 이나 PEView 같이 기본적인 정보를 나열하는 식으로 만드시면 됩니다.

      dbghelp.dll 에 기본적인 API 함수가 지원되기는 하지만 그보다는 파일 매핑을 사용해 직접 구현하시는 방법을 추천드립니다.
      (기본적인 구조체는 winnt.h 에 잘 정의되어 있구요...)

      감사합니다.

  6. gjuRlo 2010/08/04 10:06 댓글주소 | 수정 | 삭제 | 댓글

    8월 마소 강좌 코드 인젝션에 이끌러 이 홈페이지까지 왔다가 잘 보고 갑니다. 감사합니다~

  7. 땅콩 2010/08/06 13:19 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 ..공부하다가 막히는 부분이 있어서 .글을 올립니다.

    사실은 데브피아에 글도 올려봤는데..답변이..없어서...이렇게 실례를 무릅쓰고...ㅜㅜ

    요즘 디바이스를 공부중에 잇는 학생입니다.



    ssdt 후킹을 해서 계산기를 프로세스를 종료를 못하게 했습니다..

    (zwterminateprocess를 후킹했습니다..)



    그런데..sdtrestore라는 http://www.security.org.sg/code/sdtrestore.html 여기서 받은걸로는 탐지를 못하는데

    (sdtrestore의 원리는 ntoskrnl.exe에서 정보를 바로 읽어온다고 알고 있는데....)



    하지만....icesword는 탐지를 했습니다..요 방법이 아주 궁금해서 글을 올립니다..



    과연 icesword의 탐지 방법을 무엇인지......



    답변 부탁드립니다. ㅎㅎ



    (제 실행환경은 xp에 sp3 입니다.

    • reversecore 2010/08/09 11:31 댓글주소 | 수정 | 삭제

      안녕하세요.

      후킹 탐지 방법은 후킹 방법처럼 무수히 많이 있답니다.

      저도 icesword 를 본적이 있습니다. 세부 동작 원리까지는 자세히 모르지만 매우 치졸한(?) 방법을 많이 사용했을 것입니다. ^^

      무슨 뜻이냐면... 후킹 탐지 되지 않기 위해서 별의별 기발한 기법들이 동원되는데요... 이를 탐지하는 입장에서도 똑같이 희안하고 무식하지만 확실한 (full scan 같은) 방법들을 동원하는 것입니다.

      커널 후킹은 고급주제이며 향후 제 블로그에 자세히 다룰 예정입니다.

      감사합니다.

  8. 땅콩 2010/08/09 14:26 댓글주소 | 수정 | 삭제 | 댓글

    옙..답변 감사드립니다..........원리를 분석하고 싶은데..아직 내공이 너무 부족하네요..ㅜㅜ

    빨리 블로그에서 글을 보았으면..좋겠습니다..ㅎㅎ

    수고하세요..ㅎ

  9. 봉이 2010/08/24 13:47 댓글주소 | 수정 | 삭제 | 댓글

    안녕 하세요!
    저두 마소에서 관련글보다 여기 왔는데, 정말 글을 잘쓰시는 거 같아요!
    코드인젝션편 보면서 그림과 올리디버거 사용방법등이 적절하게 나와 이해하기 좋았습니다.
    앞으로도 좋은 내용 기대할게요 ^^

  10. 엘군 2011/07/05 15:50 댓글주소 | 수정 | 삭제 | 댓글

    전 코드 인젝션에 대해 전혀 모르던 학생입니다ㅎㅎ
    dll 로딩 원리를 알고싶어서 구글링 하다가 우연히 봤는데 왜이렇게 재밌게 보이는지..!!
    요즘은 영상처리쪽 공부중인데요ㅎ 공부할 마음없었는데 기회되면 이분야도 해보고 싶네요!ㅋ
    책도내신것같은데 꼭 봐봐야겠습니다
    #덧, 좋은글 올려주셔서 감사합니다

어셈블리 언어를 이용한 Code Injection (4)

study 2010/07/04 18:46

다른 프로세스에 인젝션된 코드를 디버깅하면서 동작 원리를 알아보도록 하겠습니다.

이전 강좌의 내용은 아래 링크를 참조하시기 바랍니다.




notepad.exe 디버깅
notepad.exe 프로세스에 어셈블리 언어로 제작한 코드를 인젝션 시키고 디버깅을 해보도록 하겠습니다.

Code Injection 기법의 디버깅 방법은 아래 링크를 참고하시기 바랍니다.

위의 글에서 소개된 방법에 따라 notepad.exe 에 인젝션된 코드를 OllyDbg 로 보면 아래 그림과 같습니다. 


<Fig. 1>

* 참고
위 코드의 시작 주소(2D0000)는 사용자 환경에 따라서 틀려집니다.

위 코드를 자세히 디버깅 해보겠습니다.


# Stack Frame 생성

002D0000    55            PUSH EBP                         ; # ThreadProc()
002D0001    8BEC          MOV EBP,ESP

전형적인 스택 프레임 생성 명령어 입니다. 이 명령어가 낯 설은 분들께서는 이 기회에 "55 8BEC" 하고 외워두시는 것도 좋습니다. 

스택 프레임을 생성하는 이유는 이후에 나오는 명령어들이 스택에 문자열들을 집어넣는 기법을 사용하기 때문에 위 ThreadProc() 함수가 종료될 때 스택을 깨끗이 정리하기 위해서입니다.


# THREAD_PARAM 구조체 포인터

002D0003    8B75 08       MOV ESI,DWORD PTR SS:[EBP+8]

스택 프레임이 생성된 이후에 [EBP+8] 이 의미하는 것은 함수로 넘어온 첫 번째 파라미터 입니다. 이 경우에는 THREAD_PARAM 구조체 포인터가 될 것입니다. 

아래에 THREAD_PARAM 구조체를 표시하였습니다. 구조체의 멤버는 2개의 함수 포인터인데 각각 “LoadLibraryA” 와 “GetProcAddress()” 의 포인터가 저장됩니다. (누가 이 포인터를 구해서 저장시켜 줬을까요? 네, 지난 강좌에서 소개한 CodeInjection2.exe 프로그램에서 구해서 notepad.exe 에 인젝션 시킨 후 스레드 실행할 때 파라미터로 넣어주었죠.)

typedef struct _THREAD_PARAM 
{
    FARPROC pFunc[2];               // LoadLibraryA(), GetProcAddress()
} THREAD_PARAM, *PTHREAD_PARAM;

위 2D0003 주소의 MOV ESI, DWORD PTR SS:[EBP+8] 명령어를 실행한 이후에 ESI 레지스터에 저장된 주소를 따라가서 확인해 보겠습니다.


<Fig. 2>

ESI 에 280000 주소가 저장되었으며 이 주소는 CodeInjection2.exe 에서 THREAD_PARAM 구조체를 위해 notepad.exe 프로세스 메모리 공간에 할당한 메모리 버퍼의 주소입니다.

* 참고
THREAD_PARAM 구조체 주소(2D0000)는 사용자 환경에 따라서 틀려집니다.

<Fig. 2> 의 메모리 윈도우를 보면 280000 주소에 두 개의 4 byte 값들이 저장된 걸 확인할 수 있습니다. 저 값들이 "LoadLibraryA" 와 "GetProcAddress" API 함수의 시작 주소일 것입니다. 좀 더 직관적으로 확인하기 위해서 OllyDbg 메모리 윈도우의 보기 옵션을 변경해 보겠습니다.

메모리 윈도우에 커서를 위치시킨 후 마우스 우측 메뉴의 "Long – Address" 항목을 선택해 주시기 바랍니다.


<Fig. 3>

위 메뉴 항목을 선택하면 OllyDbg 의 메모리 윈도우는 아래 그림과 같이 표시 형식이 변경됩니다.


<Fig. 4>

주소가 훨씬 더 직관적으로 표시되지요? 또한 친절하게 Comment 에 각 주소에 해당되는 API 이름을 표시해 주고 있습니다.


# "user32.dll" 문자열

002D0006    68 6C6C0000   PUSH 6C6C         ; “\0\0ll”
002D000B    68 33322E64   PUSH 642E3233     ; “d.23”
002D0010    68 75736572   PUSH 72657375     ; “resu”

위 코드는 스택(Stack)에 문자열을 저장하는 기법입니다. 스택에 직접 접근할 수 있는 Assembly 프로그래밍 언어에서만 가능한 독특한 기법이지요. 

2D0006 주소의 PUSH 6C6C 명령어는 스택에 00006C6C 값을 저장하라는 뜻입니다. 6C 는 ASCII 로 'l' 이지요. 즉, 이 명령은 "\0\0ll" 문자열을 스택에 집어 넣는 것입니다. 

그 밑의 2D000B 와 2D0010 주소의 PUSH 명령어도 각각 "d.23" 문자열과 "resu" 문자열을 입력하는 명령어 입니다.

x86 CPU 의 Little Endian 표기법과 스택의 거꾸로 자라는 특성 때문에 문자열을 뒤집어서 입력하는 것을 주의 깊게 보시기 바랍니다. 이것은 디버깅할 때 잘 알고 계셔야 하는 내용입니다.

2D0010 주소까지 디버깅 한 후 스택을 보면 아래 그림과 같습니다.


<Fig. 5>

이와 같은 PUSH 명령어를 이용하여 원하는 문자열을 스택에 입력할 수 있습니다. 또한 Code Injection 할 때 문자열 데이터를 따로 인젝션 하지 않고 코드에 포함시켜서 코드만 인젝션 시킬 수 있습니다.

* 참고
  - 문자열 데이타를 코드에 포함시키는 방법은 한가지가 더 있으며, 뒤에서 따로 소개합니다.
  - 32 bit OS 에서 PUSH 명령어는 한번에 최대 4 byte 크기의 데이터만 스택에 저장이 가능합니다. 


# "user32.dll" 문자열 파라미터 입력

002D0015    54             PUSH ESP

LoadLibraryA() API 는 파라미터로 로딩시킬 DLL 파일 이름 문자열 주소를 받습니다. 

HMODULE WINAPI LoadLibrary(
  __in  LPCTSTR lpFileName
);


위 <Fig. 5> 를 보시면 현재 ESP 의 값은 219FCD4 이며 이것은 "user32.dll" 문자열의 시작 주소입니다. 따라서 2D0015 주소의 PUSH ESP 명령어는 "user32.dll" 문자열 주소(219FCD4)를 스택에 입력하는 명령입니다. (아래 그림 참고)


<Fig. 6>


# LoadLibraryA("user32.dll") 호출

002D0016    FF16          CALL DWORD PTR DS:[ESI]         ; kernel32.LoadLibraryA

ESI 레지스터는 <Fig. 4> 에서 보다시피 280000 값을 가지며 이 주소에는 LoadLibraryA() API 의 시작 주소(772C2864)가 저장되어 있습니다. 아래 그림을 봐주시기 바랍니다.
 

<Fig. 7>

어셈블리 언어의 메모리 참조 문법이 생소하신 분들께서는 이번 기회에 확실히 익혀 두시기 바랍니다. 아래와 같은 간단한 전개식을 사용하면 쉽게 이해하실 수 있습니다. ([ ] 는 C 언어의 포인터 참조와 같은 개념입니다.)

[ESI] = [280000] = 772C2864 (address of kernel32.LoadLibraryA)

2D0016 주소의 CALL DWORD PTR DS:[ESI] 명령어를 실행하면 LoadLibraryA() API 가 호출되면서 파라미터로 입력된 "user32.dll" 이 로딩됩니다. notepad.exe 프로세스는 실행될 때 이미 user32.dll 를 로딩하였으므로 그 로딩 주소만 리턴합니다.


<Fig. 8>

함수의 리턴값은 EAX 에 저장되므로 위 <Fig. 8> 을 보시면 EAX = 778E0000 이 저장되었습니다.

OllyDbg 메뉴의 "View – Executable modules [ALT + E]" 항목을 선택하시면 아래 그림과 같이 프로세스 메모리에 로딩된 DLL 을 확인 할 수 있습니다.


<Fig. 9>

위 그림에서 user32.dll 의 로딩 주소가 778E0000 임을 확인 할 수 있습니다.


# "MessageBoxA" 문자열

002D0018    68 6F784100   PUSH 41786F         ; “\0Axo”
002D001D    68 61676542   PUSH 42656761       ; “Bega”
002D0022    68 4D657373   PUSH 7373654D       ; “sseM”

역시 PUSH 명령어를 이용해서 문자열 "MessageBoxA" 를 스택에 입력하는 명령어 입니다. (위의 "user32.dll" 문자열 입력과 동일합니다.)

2D0022 주소의 PUSH 명령까지 디버깅을 하고 나면 아래 그림과 같이 스택에 "MessageBoxA" 문자열이 저장됩니다.


<Fig. 10>


# GetProcAddress(hMod, "MessageBoxA") 호출

002D0027    54            PUSH ESP                          ; - “MessageBoxA”
002D0028    50            PUSH EAX                          ; - hMod (778E0000)
002D0029    FF56 04       CALL DWORD PTR DS:[ESI+4]       ; kernel32.GetProcAddress

현재 ESP 의 값은 0219FCC8 입니다. (<Fig. 10> 참고) 따라서 2D0027 주소의 PUSH ESP 명령어는 "MessageBoxA" 문자열 주소(0219FCC8) 를 스택에 입력하는 명령입니다. (이 문자열 주소는 2D0029 주소에서 호출되는 GetProcAddress() API 의 2nd 파라미터로 사용됩니다.)

그리고 현재 EAX 의 값은 778E0000 입니다. 이는 user32.dll 모듈의 로딩 주소이지요. (<Fig. 8> 참고) 따라서 2D0029 주소의 PUSH EAX 명령어는 user32.dll 의 시작 주소(hMod)를 스택에 입력하는 명령입니다. (이 문자열 주소는 2D0029 주소에서 호출되는 GetProcAddress() API 의 1st  파라미터로 사용됩니다.)

여기까지 디버깅을 진행한 후 스택의 모습은 아래 그림과 같습니다.


<Fig. 11>

ESI 레지스터의 값은 280000 입니다. 따라서 [ESI+4] 의 전개식은 다음과 같습니다. (<Fig. 4>, <Fig. 7> 참고)

[ESI+4] = [280004] = 772C1837 (address of kernel32.GetProcAddress)

따라서 2D0029 주소의 CALL DWORD PTR DS:[ESI+4] 명령어는 GetProcAddress(778E0000, "MessageBoxA") API 를 호출하는 것입니다. 이 CALL 명령어를 실행하면 user32.MessageBoxA() API 시작 주소가 EAX 레지스터에 저장됩니다. (사용자 환경에 따라서 이 주소는 틀려집니다. 제 경우에는 EAX = 7793EA71 입니다.)


<Fig. 12>

(분량이 많아 다음 강좌에 이어서 하겠습니다.)

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (5)  (20) 2010/07/04
어셈블리 언어를 이용한 Code Injection (4)  (0) 2010/07/04
어셈블리 언어를 이용한 Code Injection (3)  (2) 2010/06/30
어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
API, API Hooking, assembly, Code Injection, CreateRemoteThread, GetProcAddress, GetThreadContext, it, LoadLibrary, MessageBox, OllyDbg, OpenProcess, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, SetThreadContext, Thread Injection, VirtualAllocEx, WriteProcessMemory, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 어셈블리, 후킹
트랙백 0 : 댓글 0

Trackback Address :: http://www.reversecore.com/trackback/87 관련글 쓰기

어셈블리 언어를 이용한 Code Injection (3)

study 2010/06/30 20:02

어셈블리(Assembly) 언어로 생성한 코드를 가지고 Injector 를 만들어 보도록 하겠습니다.

이전 강좌의 내용은 아래 링크를 참조하시기 바랍니다.




ThreadProc() 함수의 Binary 코드 얻기
지난 강좌에서 생성한 asmtest_patch.exe 파일을 OllyDbg 로 열어 보겠습니다. 우리가 프로그래밍한 ThreadProc() 의 주소는 401000 입니다. 메모리 윈도우에서 401000 주소로 갑니다.

 
<Fig. 1>

ThreadProc() 함수는 401000 ~ 401061 의 주소 영역입니다. 위 그림과 같이 이 영역을 선택하신 후 마우스 우측 메뉴의 "Copy - To file" 항목을 선택하시기 바랍니다. (아래 그림 참고)


<Fig. 2>

이렇게 저장한 파일을 텍스트 에디터로 열어보겠습니다. (GVIM 또는 AcroEdit 추천합니다.)


<Fig. 3>

위 텍스트 파일의 내용은 Hex 값으로 표현된 ThreadProc() 함수로써, IA-32 OpCode (Operation Code) 명령어 입니다. 이 내용은 곧 상대방 프로세스에 인젝션 시킬 코드가 되는 것입니다.

위 텍스트 파일을 아래와 같이 편집합니다. 불필요한 부분을 제거하고 모든 바이트마다 "0x" 표시를 붙여주고 ',' 로 연결합니다. 텍스트 에디터의 편집 기능(열 선택, 문자열 변경)을 적절히 사용하시면 편리합니다.


<Fig. 4>

위 그림에서 편집된 텍스트 내용을 보면 마치 C 언어의 BYTE 배열처럼 보이지 않습니까? 이게 바로 인젝션 시킬 코드 버퍼입니다. (아래 설명되는 CodeInjection2.cpp 파일에서 사용됩니다.)

편집된 텍스트 파일을 첨부합니다.



CodeInjection2.cpp
Injector 프로그램의 소스 코드입니다. 위에서 텍스트 에디터로 만든 코드 버퍼는 아래 소스에서 g_InjectionCode 배열에 사용되었습니다.

* 참고!
아래 소스코드는 MS Visual C++ 2008 Express Edition 에서 개발되었으며, Windows 7 32bit 환경에서 테스트 되었습니다. 또한 설명의 편의를 위하여 리턴 값 체크와 에러 처리 코드는 생략되었습니다. 원본 소스 코드는 위에 첨부된 CodeInjection2.cpp 파일을 참고하시기 바랍니다.

typedef struct _THREAD_PARAM 
{
    FARPROC pFunc[2];               // LoadLibraryA(), GetProcAddress()
} THREAD_PARAM, *PTHREAD_PARAM;

// ThreadProc()
BYTE g_InjectionCode[] = 
{
    0x55, 0x8B, 0xEC, 0x8B, 0x75, 0x08, 0x68, 0x6C, 0x6C, 0x00,
    0x00, 0x68, 0x33, 0x32, 0x2E, 0x64, 0x68, 0x75, 0x73, 0x65,
    0x72, 0x54, 0xFF, 0x16, 0x68, 0x6F, 0x78, 0x41, 0x00, 0x68,
    0x61, 0x67, 0x65, 0x42, 0x68, 0x4D, 0x65, 0x73, 0x73, 0x54,
    0x50, 0xFF, 0x56, 0x04, 0x6A, 0x00, 0xE8, 0x0C, 0x00, 0x00,
    0x00, 0x52, 0x65, 0x76, 0x65, 0x72, 0x73, 0x65, 0x43, 0x6F,
    0x72, 0x65, 0x00, 0xE8, 0x14, 0x00, 0x00, 0x00, 0x77, 0x77,
    0x77, 0x2E, 0x72, 0x65, 0x76, 0x65, 0x72, 0x73, 0x65, 0x63,
    0x6F, 0x72, 0x65, 0x2E, 0x63, 0x6F, 0x6D, 0x00, 0x6A, 0x00,
    0xFF, 0xD0, 0x33, 0xC0, 0x8B, 0xE5, 0x5D, 0xC3
};

/*
// ThreadProc()
004010ED    55               PUSH EBP
004010EE    8BEC             MOV EBP,ESP
004010F0    8B75 08          MOV ESI,DWORD PTR SS:[EBP+8] 
004010F3    68 6C6C0000      PUSH 6C6C                      
004010F8    68 33322E64      PUSH 642E3233
004010FD    68 75736572      PUSH 72657375
00401102    54               PUSH ESP                       
00401103    FF16             CALL DWORD PTR DS:[ESI] 
00401105    68 6F784100      PUSH 41786F
0040110A    68 61676542      PUSH 42656761
0040110F    68 4D657373      PUSH 7373654D
00401114    54               PUSH ESP                      
00401115    50               PUSH EAX                      
00401116    FF56 04          CALL DWORD PTR DS:[ESI+4]   
00401119    6A 00            PUSH 0                        
0040111B    E8 0C000000      CALL 0040112C
00401120    <ASCII>                                         
0040112C    E8 14000000      CALL 00401145
00401131    <ASCII>                                         
00401145    6A 00            PUSH 0                         
00401147    FFD0             CALL EAX                       
00401149    33C0             XOR EAX,EAX                        
0040114B    8BE5             MOV ESP,EBP
0040114D    5D               POP EBP                            
0040114E    C3               RETN
*/

BOOL InjectCode(DWORD dwPID)
{
    HMODULE         hMod            = NULL;
    THREAD_PARAM    param           = {0,};
    HANDLE          hProcess        = NULL;
    HANDLE          hThread         = NULL;
    LPVOID          pRemoteBuf[2]   = {0,};

    hMod = GetModuleHandleA("kernel32.dll");

    // set THREAD_PARAM
    param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA");
    param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress");

    // Open Process
    hProcess = OpenProcess(PROCESS_ALL_ACCESS,    
                           FALSE,                     
                           dwPID);                    

    // Allocation for THREAD_PARAM
    pRemoteBuf[0] = VirtualAllocEx(hProcess,       
                                   NULL,               
                                   sizeof(THREAD_PARAM), 
                                   MEM_COMMIT,            
                                   PAGE_READWRITE);       

    WriteProcessMemory(hProcess,                      
                       pRemoteBuf[0],                  
                       (LPVOID)&param,                 
                       sizeof(THREAD_PARAM),          
                       NULL);                           

    // Allocation for g_InjectionCode
    pRemoteBuf[1] = VirtualAllocEx(hProcess,           
                                   NULL,                   
                                   sizeof(g_InjectionCode), 
                                   MEM_COMMIT,              
                                   PAGE_EXECUTE_READWRITE); 

    WriteProcessMemory(hProcess,                        
                       pRemoteBuf[1],                     
                       (LPVOID)&g_InjectionCode,         
                       sizeof(g_InjectionCode),          
                       NULL);                             

    hThread = CreateRemoteThread(hProcess,             
                                 NULL,                    
                                 0,                       
                                 (LPTHREAD_START_ROUTINE)pRemoteBuf[1], 
                                 pRemoteBuf[0],          
                                 0,                       
                                 NULL);                   

    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);
    CloseHandle(hProcess);

    return TRUE;
}

<코드 1>

위의 코드와 지난번 CodeInjection.cpp 의 코드와의 가장 큰 차이점은 인젝션 시키는 코드 내에 필요한 문자열 데이터를 같이 포함시킨 것입니다. 

따라서 _THREAD_PARAM 구조체에서 문자열 멤버가 사라졌습니다. 그리고 기존 C로 된 ThreadProc() 함수 대신 <Fig. 4> 의 OpCode 버퍼(g_InjectionCode)가 사용됩니다. (이 OpCode 버퍼를 생성하기 위해 OllyDbg 의 “Assembly” 명령을 사용했던 것을 기억하시죠?)

조금 더 정교하게 프로그래밍을 했다면 _THREAD_PARAM 구조체조차 필요 없도록 만들 수도 있습니다. 세부적인 구현 방법은 어디까지나 구현하는 사람의 마음입니다. 

중요한 것은 어셈블리 프로그래밍을 통해서 생성된 OpCode 버퍼를 Injector 소스코드에 사용하여 상대방 프로세스에 인젝션 시킨다는 것입니다.

예전에 설명 드린 CodeInjection.cpp 소스 코드와 비교해서 보시면 차이점을 더 명확히 이해할 수 있을 것입니다. (위 <코드 1> 의 세부 설명은 생략합니다. Code Injection 의 구현 방법에 대해서는 밑의 링크된 설명을 참고하시기 바랍니다.)



다음 강좌에서 실제로 상대방 프로세스에 인젝션 시킨 후 디버깅을 하면서 저 어셈블리 코드가 어떤 의미를 가지고 있는지 알아보도록 하겠습니다.

☞ 어셈블리 언어를 이용한 Code Injection (4)


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (5)  (20) 2010/07/04
어셈블리 언어를 이용한 Code Injection (4)  (0) 2010/07/04
어셈블리 언어를 이용한 Code Injection (3)  (2) 2010/06/30
어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
API, API Hooking, assembly, Code Injection, CreateRemoteThread, GetProcAddress, GetThreadContext, it, LoadLibrary, MessageBox, OllyDbg, OpenProcess, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, SetThreadContext, Thread Injection, VirtualAllocEx, WriteProcessMemory, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 어셈블리, 후킹
트랙백 0 : 댓글 2

Trackback Address :: http://www.reversecore.com/trackback/86 관련글 쓰기

  1. 지나가던이 2010/07/03 08:01 댓글주소 | 수정 | 삭제 | 댓글

    좋은 글 감사합니다. 항상 잘 배우고 있습니다.
    전 그동안은 코드 인젝션 할땐 DLL 인젝션과 병행 해서, 인젝션 코드에서 DLL의 함수를 call 하도록 간단하게 만들었었는데, 이렇게 함수 코드를 직접 집어넣는 방법도 괜찮네요.

    • reversecore 2010/07/03 14:56 댓글주소 | 수정 | 삭제

      네, 상황에 맞게 적절히 선택해서 사용하시면 되는데요.
      보통은 DLL Injection 이 많이 쓰입니다.

      Code Injection 을 소개하는 이유는 리버싱에 대해 좀 더 깊이있는 공부를 해보자는 뜻입니다.

      감사합니다.

어셈블리 언어를 이용한 Code Injection (2)

study 2010/06/28 23:00

지난 강좌에 이어지는 내용입니다. 

어셈블리 언어를 이용한 Code Injection (1)




ThreadProc() 

Assembly 언어로 ThreadProc() 함수를 만들겠습니다. 지난 강좌에서 C 로 만든 ThreadProc() 과의 차이점은 Code 사이에 필요한 Data(문자열)를 포함 시키는 것입니다.

각자 아래 그림과 같이 입력해 주시기 바랍니다. 각 Assembly 명령어에 대한 설명은 뒤쪽에서 하겠습니다. (“Fill with NOP’s” 옵션은 uncheck 해주시고, 오타가 나면 그 주소에 가서 다시 입력하시면 됩니다.) 


<Fig. 5>

40102E 주소의 CALL 0040103F 명령어까지 잘 입력하셨나요? 그 다음에는 문자열을 입력합니다. Assemble 윈도우를 닫아주세요. OllyDbg의 코드 윈도우에서 401033 주소에 커서를 위치시킨 후 아래 그림과 같이 "Edit" 명령(단축키 : [Ctrl+E])을 내려줍니다.


<Fig. 6>

위 그림의 Edit 윈도우에서 "ASCII" 항목에 "ReverseCore" 를 입력합니다. 문자열은 반드시 NULL 로 끝나야 하므로 "HEX" 항목에서 00 값을 추가해 줍니다. ("Keep size" 옵션은 uncheck 로 해주세요.)

이와 같이 입력한 후 OllyDbg 에서 코드를 보면 아래 그림과 같습니다.


<Fig. 7>

위 그림에서 푸른색으로 반전된 영역이 바로 "ReverseCore" 문자열 영역입니다. 매우 이상한 명령어로 표시된 것을 볼 수 있습니다. 이렇게 표시되는 이유는 OllyDbg 의 Disassembler 가 문자열을 IA-32 명령어로 잘 못 해석한 것입니다. 이것은 어디까지나 Code 위치에 문자열을 입력한 저의 잘못(?)이지 OllyDbg 의 Disassembler 의 문제는 아닙니다.

* 참고
디버깅을 할 때 이와 같은 상황을 종종 부딪히게 됩니다. 또한 이를 이용한 Anti-Debugging 기법도 있습니다. 향후 Anti-Debugging 에 대해서 설명할 때 소개해 드리겠습니다.

위 <Fig. 7> 화면처럼 문자열을 선택한 상태에서 "Analysis" 명령(단축키 : Ctrl+A)을 내려보겠습니다. 

* 참고
OllyDbg 의 “Analysis” 명령은 코드를 다시 해석하라는 명령입니다. 주로 Unpack 된 코드를 재 해석할 때 많이 사용하게 됩니다.


<Fig. 8>

위 그림은 Analysis 명령이 수행된 이후에 코드의 모습입니다. 401033 주소의 "ReverseCore" 문자열은 잘 보입니다만, 401000 주소 이후의 명령어들은 잘 못 해석이 되었습니다. (OllyDbg 2.0 에서도 코드와 데이터를 100% 정확히 구별해서 보여주지는 못합니다. 사실 이게 문자열인지 명령어인지 판단하기 어렵습니다.)

위 <Fig. 8> 은 코드를 보기 어려우므로 마우스 우측 메뉴의 "Analysis – Remove analysis from module" 명령을 사용하여 코드를 원래대로 되돌립니다.


<Fig. 9>

위 Remove analysis 명령을 사용하면 다시 위의 <Fig. 7> 과 같은 형태의 코드로 보이게 됩니다.

이제 401033 주소의 "ReverseCore" 문자열 뒤의 40103F 주소부터 다시 입력할 차례입니다. (<Fig. 7>, <Fig. 8> 의 40102E 주소의 CALL 40103F 명령어 참고)


<Fig. 10>

그리고 401044 주소에 문자열("www.reversecore.com")을 입력합니다. (마지막에 NULL 입력을 잊지 마시구요.)


<Fig. 11>

401058 주소부터 아래와 같이 명령어를 입력합니다.


<Fig. 12>

이것으로써 ThreadProc() 코드 입력이 모두 완료되었습니다. 아래 그림에 전체 코드가 나타나 있으니 각자 오타를 점검해보시기 바랍니다.
 

<Fig. 13>

* 참고
401033, 401044 주소의 내용은 명령어가 아니고 문자열입니다. OllyDbg 에서 문자열을 명령어로 인식하여 이상하게 표시하고 있습니다.



Save File

위에서 생성한 코드를 잘 저장합니다. OllyDbg 의 코드 윈도우에서 마우스 우측 버튼 메뉴 중 "Copy to executable \ All modifications" 를 선택합니다. (아래 그림 참고)


<Fig. 14>

아래 그림과 같이 확인 메시지 창이 뜹니다. "Copy all" 을 선택해 주세요.


<Fig. 15>

마지막으로 변경 내용을 보여주는 창이 나타납니다. 마우스 우측 메뉴의 "Save file" 항목을 선택합니다. (아래 그림 참고)


<Fig. 16>

이후에 나타나는 파일 저장 다이알로그에서 적당한 파일 이름(asmtest_patch.exe)을 적어준 후 저장합니다. 

다음 강좌에서 asmtest_patch.exe 의 어셈블리 코드를 이용해서 Injector 를 만들어 보도록 하겠습니다.


* 참고 : 새롭게 소개된 OllyDbg 명령어

Assemble [Space]
Analysis [Ctrl+A]
New origin here [Ctrl+Gray *]


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (5)  (20) 2010/07/04
어셈블리 언어를 이용한 Code Injection (4)  (0) 2010/07/04
어셈블리 언어를 이용한 Code Injection (3)  (2) 2010/06/30
어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
API, API Hooking, assembly, Code Injection, CreateRemoteThread, GetProcAddress, GetThreadContext, it, LoadLibrary, MessageBox, OpenProcess, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, SetThreadContext, Thread Injection, VirtualAllocEx, WriteProcessMemory, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 어셈블리, 후킹
트랙백 0 : 댓글 2

Trackback Address :: http://www.reversecore.com/trackback/85 관련글 쓰기

  1. badcob 2010/07/18 01:27 댓글주소 | 수정 | 삭제 | 댓글

    이런 보석같은 글에 리플이 없는게 아쉬워서 몇글자 적어봅니다;
    해외 문서들을 보면서 궁금하고 또 상세한 설명이 아쉬웠던 부분들이
    이 블로그에 있는 글들로 정말 많이 채워지는 기분이 드네요.
    오늘도 잘 보고 물러갑니다. ( __)

어셈블리 언어를 이용한 Code Injection (1)

study 2010/06/27 17:23

어셈블리(Assembly) 프로그래밍 언어를 이용하여 Code Injection 기법에 사용되는 코드를 생성해 보도록 하겠습니다. 


Code Injection 관련 내용은 아래 강좌를 참고하시기 바랍니다.




Goal

이번 강좌에서는 OllyDbg 의 Assemble 기능을 이용하여 Assembly 언어로 인젝션 시킬 코드(ThreadProc() 함수)를 만들어 보도록 하겠습니다. Assembly 언어는 C 언어보다 훨씬 더 자유로운 (정형화 되지 않은) 코드를 생성할 수 있습니다. (예: 스택(Stack), 레지스터(Register) 를 직접 access 가능) 그리고 CodeInjection.cpp 소스코드를 수정하여 Assembly 언어로 제작된 ThreadProc() 함수를 notepad.exe 프로세스에 인젝션 시켜보도록 하겠습니다. 

이전 강좌에서 설명 드린 (C 언어로 생성된) ThreadProc() 과 어떤 차이점이 있는지 잘 살펴보시기 바랍니다.



Assembly 프로그래밍

C/C++ 언어의 대표적인 개발 툴은 MicroSoft Visual C++Borland C++ Builder 입니다. 

Assembly 언어에도 MASM(MicroSoft Macro Assembler), TASM(Borland Turbo Assembler), FASM(Flat Assembler) 등의 개발 툴(Assembler)이 있습니다. 

참고로 저는 C/C++ 언어는 MS Visual C++ 로 개발하고 Assembly 언어는 MASM 으로 개발합니다. 특히 MASM 은 다양한 Macro 함수와 라이브러리를 지원하기 때문에 거의 C 언어와 비슷한 수준으로 편리하게 프로그래밍을 할 수 있습니다.

Assembly 프로그래밍을 정식으로 하시려면 MASM 을 설치하고 프로그래밍 하시면 됩니다. 또는 Visual C++ 와 같은 C 언어 개발 툴에서 인라인 어셈블리(Inline Assembly)를 사용할 수 도 있습니다. 이런 방식은 개발자에게 잘 어울리는 방식입니다.

우리는 모두 리버서(Reverser)이기 때문에 이번 강좌에서는 리버서에게 좀 더 잘 어울리는 방법을 소개하겠습니다. 바로 OllyDbg 에서 지원하는 "Assemble" 기능을 이용해서 프로그래밍을 하는 것입니다. 

* 참고
OllyDbg 의 "Assemble" 기능은 간단한 Assembly 프로그래밍을 지원하는데, 이는 리버싱에 매우 유용하게 사용됩니다. (디버깅하면서 코드를 이리저리 수정할 일이 많기 때문이지요.)



OllyDbg 의 "Assemble" 명령

OllyDbg 의 “Assemble” 명령어를 이용하여 Assembly 프로그래밍을 해보겠습니다.

위에 첨부된 asmtest.exe 실행 파일을 OllyDbg 로 열어보겠습니다. (asmtest.exe 는 Assembly 프로그래밍 테스트 용도로 제작된 -아무런 기능이 없는- 실행 파일입니다.)

 
<Fig. 1>

위 그림과 같이 코드 섹션의 맨 윗부분(401000)을 봐주시기 바랍니다. OllyDbg 의 새로운 명령어를 소개해 드리겠습니다. 바로 EIP 를 원하는 주소로 바꿔버리는 기능입니다. 

OllyDbg 의 코드 윈도우에서 401000 주소에 커서를 위치시킨 후 마우스 우측 메뉴의 "New origin here [Ctrl+Gray*]" 항목을 선택해 주세요.


<Fig. 2>

아래 그림과 같이 EIP는 401000 주소로 변하게 됩니다.


<Fig. 3>

위 EIP 변경 기능은 디버깅에 유용하게 사용될 수 있으므로 잘 기억해 두시기 바랍니다.

* 참고!
"New origin here" 기능은 단순히 EIP 만 바꿔버리는 것이기 때문에 직접 디버깅을 해서 그 주소로 가는 것과는 틀립니다. 레지스터와 스택의 내용은 전혀 바뀌지 않기 때문입니다.

이제 401000 주소에서 "Assemble" 명령(단축키 : [Space])을 내리면 아래 그림과 같은 Assemble 입력 창이 나타납니다.


<Fig. 4>

이제부터 OllyDbg 에서 간단한 Assembly 프로그래밍을 할 수 있게 되었습니다.

* 참고
위 <Fig. 4> 에서 "Fill with NOP’s" 항목은 uncheck 해주시기 바랍니다. OllyDbg 의 Assemble 명령은 해당 주소에 사용자 코드를 입력하는 것입니다. 만약 이 항목이 check 되어 있으면 기존의 코드 보다 짧은 길이의 코드를 입력했을 때 남은 길이만큼 NOP (No Operation) 명령어를 채워 넣어서 전체적인 Code Alignment 를 맞춰주게 됩니다. 이번 강좌에서는 설명의 편의를 위해서 uncheck 상태로 진행하도록 하겠습니다.


(내용이 많아 다음 강좌에 이어서 하겠습니다.)



'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (5)  (20) 2010/07/04
어셈블리 언어를 이용한 Code Injection (4)  (0) 2010/07/04
어셈블리 언어를 이용한 Code Injection (3)  (2) 2010/06/30
어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
API, API Hooking, assembly, Code Injection, CreateRemoteThread, GetProcAddress, GetThreadContext, it, LoadLibrary, MessageBox, OpenProcess, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, SetThreadContext, Thread Injection, VirtualAllocEx, WriteProcessMemory, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 어셈블리, 후킹
트랙백 0 : 댓글 0

Trackback Address :: http://www.reversecore.com/trackback/84 관련글 쓰기

Code Injection 기법 (3)

study 2010/06/24 10:43

Code Injection 기법에 의해서 인젝션된 코드를 디버깅 하는 방법에 대해서 알아보도록 하겠습니다. 

이전 강좌의 내용은 아래 링크를 참조하시기 바랍니다.




Code Injection 디버깅 실습
1. notepad.exe 디버깅

OllyDbg 를 이용하여 notepad.exe 파일의 디버깅을 시작합니다. 아래 그림과 같이 실행[F9] 버튼을 선택해서 notepad.exe 를 "Running" 상태로 만들어주세요.


<Fig. 1>

2. OllyDbg 옵션 변경

Code Injection 은 상대방 프로세스에 새로운 스레드를 생성하는 기법이므로 아래와 같이 OllyDbg 의 옵션을 변경하면 인젝션된 스레드 코드 시작부터 디버깅이 가능합니다.


<Fig. 2>

이제부터 notepad.exe 프로세스에서 스레드가 생성된다면 해당 스레드 함수 시작코드에서 멈추게 됩니다.

3. CodeInjection.exe 실행

Process Explorer 를 이용하여 notepad.exe 프로세스의 PID 를 구합니다.


<Fig. 3>

PID 값을 실행 파라미터로 하여 CodeInjection.exe 를 실행합니다.

 
<Fig. 4>

4. 스레드 시작 코드

CodeInjection.exe 프로세스가 실행되어 코드 인젝션이 성공하면 아래 그림과 같이 인젝션된 스레드 코드 시작 위치에서 디버깅이 멈추게 됩니다.


<Fig. 5>

주의 하실점은 디버깅이 멈춘 것이지 EIP 가 이곳으로 세팅된 것이 아닙니다.

위 그림의 150000 주소에 BP 를 설치한 후 실행[F9] 시켜 주세요. 실행 제어가 정확히 BP 설치 주소(150000)에 멈추게 되고 이제부터 펀안하게 디버깅을 진행하시면 됩니다.

* 참고!
실행 환경에 따라서 위 주소는 다르게 표시될 수 있습니다.

OllyDbg 의 편리한 기능을 이용하여 인젝션된 코드를 디버깅 하는 방법에 대해서 살펴보았습니다.

다음 강좌에는 C 언어가 아닌 Assembly 언어를 이용해서 인젝션 코드를 만들어 보도록 하겠습니다. 많이 기대해 주세요~

☞ 어셈블리 언어를 이용한 Code Injection (1)

ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (5)  (20) 2010/07/04
어셈블리 언어를 이용한 Code Injection (4)  (0) 2010/07/04
어셈블리 언어를 이용한 Code Injection (3)  (2) 2010/06/30
어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
API, API Hooking, Code Injection, CreateRemoteThread, GetProcAddress, GetThreadContext, it, LoadLibrary, MessageBox, OpenProcess, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, SetThreadContext, Thread Injection, VirtualAllocEx, WriteProcessMemory, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 후킹
트랙백 0 : 댓글 7

Trackback Address :: http://www.reversecore.com/trackback/83 관련글 쓰기

  1. Acid 2010/06/24 11:18 댓글주소 | 수정 | 삭제 | 댓글

    1등 ^^
    며칠전에 우연히 이 사이트에 들어왔다가 지금까지 궁금했던 것들 한꺼번에 배우고 있습니다.
    앞으로도 좋은글 부탁드려요~

  2. 궁금 2011/06/02 15:44 댓글주소 | 수정 | 삭제 | 댓글

    windows 7에서는 "The token dows not have the specified privilege" 에러가 납니다
    특별한 이유가 있을까요?

    그래서 cmd.exe를 관리자로 실행하고 codeInjectio.exe 실행했더니 잘 됩니다
    관리자로 실행하지 않으면 코드인젝션은 되지 않는건가요?

    • reversecore 2011/06/03 21:08 댓글주소 | 수정 | 삭제

      안녕하세요.

      네, 말씀하신대로 Vista, 7 에서는 그러한 에러가 자주 발생합니다. XP 보다 보안성이 강화되었기 때문입니다.

      시스템 프로세스가 아닌 같은 유저 환경에서 실행한 프로세스에는 인젝션이 가능합니다.

      감사합니다.

  3. Andi 2011/08/09 10:00 댓글주소 | 수정 | 삭제 | 댓글

    좋은 정보 감사합니다.

  4. 디버거 2011/10/12 19:26 댓글주소 | 수정 | 삭제 | 댓글

    어느덧 Code Injection까지 무작정 따라 왔는데요.

    실습용 CodeInjection.exe로는 잘 되는데
    컴파일 해서 실행하면 에러가 나면서 notepad가 꺼집니다.

    환경은 Winxp SP3, VS6.0입니다.

    cpp파일을 그대로 컴파일 하고 좀 따라가보다 나니
    dwSize = (DWORD)InjectCode - (DWORD)ThreadProc;
    에서 dwSize가 5가 되는데 이것이 맞는건지 가르쳐주세요.

    • reversecore 2011/10/28 01:17 댓글주소 | 수정 | 삭제

      안녕하세요.

      dwSize 는 최소 ThreadProc() 함수 크기 이상으로 나와야 합니다. 아마 Debug 모드로 빌드 하신 것 같습니다. Release 모드로 빌드 해보시기 바랍니다.

      감사합니다.

Code Injection 기법 (2)

study 2010/06/23 00:15

Code Injection 실습 예제인 CodeInjection.exe 의 소스 코드(CodeInjection.cpp)를 살펴보도록 하겠습니다. 


이전 강좌의 내용은 아래 링크를 참조하시기 바랍니다.

Code Injection 기법 (1)



CodeInjection.cpp

* 참고!
CodeInjection.cpp 는 Visual C++ 2008 Express Edition 으로 개발되었으며 Windows 7 32bit 환경에서 테스트 되었습니다. 또한 Visual C++ 의 코드 최적화 기능을 사용하지 않고 빌드 하였습니다. (/Od) 

아래 소개되는 코드들은 설명의 편의를 위하여 에러 처리 부분을 생략하였습니다. 완전한 코드는 첨부된 CodeInjection.cpp 파일을 참고하시기 바랍니다.

main()

먼저 main() 함수를 살펴 보겠습니다.

int main(int argc, char *argv[])
{
    DWORD dwPID     = 0;

    if( argc != 2 )
    {
        printf("\n USAGE  : %s <pid>\n", argv[0]);
        return 1;
    }

    // code injection
    dwPID = (DWORD)atol(argv[1]);
    InjectCode(dwPID);

    return 0;
}

<코드 1 – main() 함수>

main() 함수의 역할은 InjectCode() 함수를 호출하는 것입니다. 이때 함수 파라미터로 상대방 프로세스의 PID 값을 넘겨줍니다.

ThreadProc()

이제 상대방 프로세스에 인젝션 시킬 코드(스레드 함수)를 살펴보겠습니다.

// Thread Parameter
typedef struct _THREAD_PARAM 
{
    FARPROC pFunc[2];               // LoadLibraryA(), GetProcAddress()
    char    szBuf[4][128];          // "user32.dll", "MessageBoxA", 
                                    // "www.reversecore.com", "ReverseCore"
} THREAD_PARAM, *PTHREAD_PARAM;

// LoadLibraryA()
typedef HMODULE (WINAPI *PFLOADLIBRARYA)
(
    LPCSTR lpLibFileName
);

// GetProcAddress()
typedef FARPROC (WINAPI *PFGETPROCADDRESS)
(
    HMODULE hModule,
    LPCSTR lpProcName
);

// MessageBoxA()
typedef int (WINAPI *PFMESSAGEBOXA)
(
    HWND hWnd,
    LPCSTR lpText,
    LPCSTR lpCaption,
    UINT uType
);

// Thread Procedure
DWORD WINAPI ThreadProc(LPVOID lParam)
{
    PTHREAD_PARAM   pParam      = (PTHREAD_PARAM)lParam;
    HMODULE         hMod        = NULL;
    FARPROC         pFunc       = NULL;

    // LoadLibrary(“user32.dll”)
    //   pParam->pFunc[0] = kernel32!LoadLibraryA()
    //   pParam->szBuf[0] = “user32.dll”
    hMod = ((PFLOADLIBRARYA)pParam->pFunc[0])(pParam->szBuf[0]);

    // GetProcAddress(“MessageBoxA”)
    //   pParam->pFunc[1] = kernel32!GetProcAddress()
    //   pParam->szBuf[1] = “MessageBoxA”
    pFunc = (FARPROC)((PFGETPROCADDRESS)pParam->pFunc[1])(hMod, pParam->szBuf[1]);

    // MessageBoxA(NULL, “www.reversecore.com”, “ReverseCore”, MB_OK)
    //   pParam->pFunc[1] = kernel32!GetProcAddress()
    //   pParam->szBuf[1] = “MessageBoxA”
    ((PFMESSAGEBOXA)pFunc)(NULL, pParam->szBuf[2], pParam->szBuf[3], MB_OK);

    return 0;
}

<코드 2 – ThreadProc() 함수>

위 코드에서 실제로 인젝션 되는 부분은 ThreadProc() 함수입니다. 그 위의 typedef 문은 C 언어 문법을 위한 것이므로 인젝션 시킬 필요가 없습니다.

ThreadProc() 의 코드는 함수 포인터를 많이 사용해서 얼핏 복잡하게 보이지만 사실 내용은 아래와 같이 간단합니다.

hMod = LoadLibraryA(“user32.dll”);
pFunc = GetProcAddress(hMod, “MessageBoxA”);
pFunc(“www.reversecore.com”, “ReverseCore”);

<코드 2> 의 주석을 참조하시면 ThreadProc() 의 코드는 쉽게 이해가 가실 것입니다.

중요한 것은 ThreadProc() 코드의 개념입니다. 

Code Injection 기법의 핵심은 독립 실행 코드를 인젝션 시키는 것입니다. 

그러기 위해서 코드와 (코드에서 참조하는) 데이터를 같이 인젝션 시키는 것입니다. 그리고 인젝션 시키는 코드에서 역시 인젝션 시킨 데이터를 정확히 참조할 수 있도록 해야 합니다.

위 ThreadProc() 함수를 보시면 직접 API 를 호출 하지 않습니다. 또한 문자열도 직접 정의해서 사용하지 않습니다. 전부 스레드 파라미터로 넘어온 THREAD_PARAM 구조체에서 가져다 사용하고 있습니다.

만약 일반적인 프로그램이라면 ThreadProc() 의 코드는 아래와 같이 간단히 작성할 수 있습니다.

DWORD WINAPI ThreadProc(LPVOID lParam)
{
    MessageBoxA(NULL, "www.reversecore.com", "ReverseCore", MB_OK);

    return 0;
}

<코드 3 – 일반적인 프로그램에서의 ThreadProc()>

위 <코드 3>을 빌드하여 생성된 파일을 디버거로 보면 아래 그림과 같습니다.

 
<Fig. 1>

위 그림의 코드(10001000 ~ 10001018 영역)를 다른 프로세스에 그대로 인젝션 시킨다면 정상적으로 실행되지 않습니다. 그 이유는 코드에서 사용되는 10009290, 1000929C, 100080F0 주소의 내용이 상대방 프로세스에는 없기 때문입니다.

따라서 저 주소에 해당하는 문자열과 API 주소를 같이 인젝션 시켜야 합니다. 또한 <Fig. 1>의 코드 역시 그 인젝션된 데이터의 주소를 정확히 참조하도록 프로그래밍 되어야 합니다.

이와 같은 조건을 만족시키기 위해서 <코드 2> 의 ThreadProc() 함수는 THREAD_PARAM 구조체를 이용해서 2 개의 API 주소와 4 개의 문자열 데이터를 받아들입니다. 2 개의 API 는 바로 “LoadLibraryA()”“GetProcAddress()” 입니다. 이 2 개의 API 만 있으면 모든 라이브러리의 함수를 호출 할 수 있습니다. 

* 참고 사항

1. 위 실습 예제의 경우에 LoadLibraryA() 와 GetProcAddress() 의 주소 말고 MessageBoxA() 의 주소를 직접 전달하여 사용해도 됩니다. 하지만 정석은 LoadLibraryA() 와 GetProcAddress() 만을 전달한 후 이를 이용해서 필요한 DLL 을 로딩시켜 원하는 함수 주소를 직접 구하는 것입니다. 이 방식의 장점은 해당 라이브러리를 프로세스에 정확히 로딩시킨다는 것입니다. 가령 notepad.exe 프로세스에 윈도우 소켓 API 인 ws2_32!connect() 의 주소를 넘겨주면 에러가 발생할 것입니다. (notepad.exe 에 기본적으로 ws2_32.dll 이 로딩되지 않았으니까요.)

2. 대부분의 유저 모드 프로세스는 kernel32.dll 을 로딩하므로 LoadLibraryA(), GetProcAddress() 의 주소를 직접 넘기는 것은 크게 무리가 없습니다. 단, kernel32.dll 을 로딩하지 않는 시스템 프로세스(예: smss.exe)도 있으니 사전에 꼭 확인하시기 바랍니다.

3. Kernel32.dll 같은 시스템 라이브러리는 OS 가 부팅되어 있는 상태에서는 모든 프로세스에서 동일한 주소에 로딩되어 있습니다. OS 버전이 틀리거나 재부팅(Vista, 7 의 경우)을 하거나 하면 같은 모듈이라도 로딩 주소는 틀려집니다.

위 <코드 2> 의 내용을 디버거로 살펴보면 아래 그림과 같습니다.

 
<Fig. 2>

위의 <Fig. 2> 의 코드를 보시면 모든 중요한 데이터는 스레드 파라미터인 pParam 으로 받아서 사용하는 것을 알 수 있습니다. 즉, <Fig. 2> 의 ThreadProc() 함수는 독립 실행 코드라고 말 할 수 있습니다. 위의 <Fig. 2> 와 앞에서 소개한 <Fig. 1> 를 비교해 보시면 그 차이점을 확인하실 수 있습니다.

* 참고!
Visual C++ 2008 Express Edition 에서 프로젝트의 [Release/Debug] 모드와 [최적화] 옵션에 따라서 CodeInjection.cpp 파일은 <Fig. 2> 와는 다른 형태로 빌드 될 수 있습니다. 위 실습 예제는 Release 모드에서 최적화 옵션 사용 안함(/Od)으로 빌드 하였습니다. 

InjectCode()

아래는 Code Injection 기법의 핵심인 InjectCode() 함수입니다.

BOOL InjectCode(DWORD dwPID)
{
    HMODULE         hMod            = NULL;
    THREAD_PARAM    param           = {0,};
    HANDLE          hProcess        = NULL;
    HANDLE          hThread         = NULL;
    LPVOID          pRemoteBuf[2]   = {0,};
    DWORD           dwSize          = 0;

    hMod = GetModuleHandleA("kernel32.dll");

    // set THREAD_PARAM
    param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA");
    param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress");
    strcpy_s(param.szBuf[0], "user32.dll");
    strcpy_s(param.szBuf[1], "MessageBoxA");
    strcpy_s(param.szBuf[2], "www.reversecore.com");
    strcpy_s(param.szBuf[3], "ReverseCore");

    // Open Process
    hProcess = OpenProcess(PROCESS_ALL_ACCESS,  // dwDesiredAccess
                           FALSE,                   // bInheritHandle
                           dwPID);                  // dwProcessId

    // Allocation for THREAD_PARAM
    dwSize = sizeof(THREAD_PARAM);
    pRemoteBuf[0] = VirtualAllocEx(hProcess,        // hProcess
                                   NULL,            // lpAddress
                                   dwSize,          // dwSize
                                   MEM_COMMIT,      // flAllocationType
                                   PAGE_READWRITE); // flProtect

    WriteProcessMemory(hProcess,                    // hProcess
                       pRemoteBuf[0],               // lpBaseAddress
                       (LPVOID)&param,              // lpBuffer
                       dwSize,                      // nSize
                       NULL);                       // [out] lpNumberOfBytesWritten

    // Allocation for ThreadProc()
    dwSize = (DWORD)InjectCode - (DWORD)ThreadProc;
    pRemoteBuf[1] = VirtualAllocEx(hProcess,        // hProcess
                                   NULL,            // lpAddress
                                   dwSize,          // dwSize
                                   MEM_COMMIT,      // flAllocationType
                                   PAGE_EXECUTE_READWRITE); // flProtect

    WriteProcessMemory(hProcess,                    // hProcess
                       pRemoteBuf[1],               // lpBaseAddress
                       (LPVOID)ThreadProc,          // lpBuffer
                       dwSize,                      // nSize
                       NULL);                       // [out] lpNumberOfBytesWritten

    hThread = CreateRemoteThread(hProcess,          // hProcess
                                 NULL,              // lpThreadAttributes
                                 0,                 // dwStackSize
                                 (LPTHREAD_START_ROUTINE)pRemoteBuf[1],
                                 pRemoteBuf[0],     // lpParameter
                                 0,                 // dwCreationFlags
                                 NULL);             // lpThreadId

    WaitForSingleObject(hThread, INFINITE);

    CloseHandle(hThread);
    CloseHandle(hProcess);

    return TRUE;
}

<코드 4 - InjectCode() 함수>

위 코드는 DLL Injection 코드와 매우 유사합니다. 

InjectCode() 함수의 앞 부분은 THREAD_PARAM 구조체 변수를 세팅하고 있습니다. 이 값들은 상대방 프로세스에 인젝션 되어 ThreadProc() 스레드 함수에 파라미터로 전달될 것입니다.

* 참고!
Windows 7 에서 모든 프로세스에 로딩된 kernel32.dll 의 주소가 동일하므로 CodeInjection.exe 프로세스에서 구한 API(“LoadLibraryA”, “GetProcAddress”) 주소와 notepad.exe 프로세스에서 구한 API(“LoadLibraryA”, “GetProcAddress”) 주소가 서로 동일하다는 것을 기억하시기 바랍니다.

그리고 API 함수 호출이 이어지는데요, 핵심 API 함수들의 호출 흐름만 살펴보면 아래와 같습니다.

OpenProcess()

// data : THREAD_PARAM
VirtualAllocEx()
WriteProcessMemory()

// code : ThreadProc()
VirtualAllocEx()
WriteProcessMemory()

CreateRemoteThread()

위 코드의 핵심은 상대방 프로세스에 data 와 code 를 각각 메모리 할당하고 인젝션 시켜 준다는 것입니다. 

마지막으로 CreateRemoteThread() API 를 이용해서 원격 스레드를 실행시킵니다.

+---+

이로써 Code Injection 기법을 이용한 실습 예제 소스코드에 대한 설명을 마치도록 하겠습니다.

설명의 편의성을 위하여 매우 기초적인 실습 예제를 소개하였습니다. Code Injection 의 개념을 이해하시는데 어려움이 없을 거라 생각됩니다. 위 개념을 이해하셨다면 다양한 아이디어로 자신만의 Code Injection 기법을 연습해 보시기 바랍니다

* 참고!
제가 Code Injection 기법을 구현할 때 인젝션 시킬 코드 부분은 어셈블리 언어로 프로그래밍 합니다. 복잡한 것은 MASM 을 사용하고, 간단한 것은 OllyDbg 의 “Assemble” 명령을 사용합니다. (단축키 [Space]) 이렇게 만들어진 Hex 코드 버퍼를 위 InjectCode() 함수 내에서 상대방 프로세스에 인젝션 시켜줍니다. 이러한 방법은 좀 더 직관적인 인젝션 코드를 만드는데 도움이 됩니다. Code Injection 마지막 강좌에서 간단히 실습해보도록 하겠습니다.

다음 강좌에서는 Code Injection 기법을 디버깅 하는 방법에 대해서 알아보도록 하겠습니다.


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (4)  (0) 2010/07/04
어셈블리 언어를 이용한 Code Injection (3)  (2) 2010/06/30
어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
Advanced Global API Hooking – IE 접속 제어 (1)  (21) 2010/03/29
API, API Hooking, Code Injection, CreateRemoteThread, GetProcAddress, GetThreadContext, it, LoadLibrary, MessageBox, OpenProcess, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, SetThreadContext, Thread Injection, VirtualAllocEx, WriteProcessMemory, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 후킹
트랙백 0 : 댓글 14

Trackback Address :: http://www.reversecore.com/trackback/82 관련글 쓰기

  1. Ezbeat 2010/06/23 06:58 댓글주소 | 수정 | 삭제 | 댓글

    와아~ 축구도 16강 진출해서 기쁜 마음에 들어와봤는데.. 글이 올라와서 있어서 더욱 기쁘네요!
    역시나 좋은 강좌 잘 봤습니다.

    제가 코드 인젝션을 응용해서 프로그램을 하나 만들어 볼건데.. 인젝션 시킬 Thread에서 API함수가 아닌 일반 함수(직접 만든 함수)를 사용해보려고 합니다.
    막상 구현해보려니.. 상당히 난해하군요..ㅠㅠ
    1. Thread에서 사용할 함수의 내부에서 사용된 모든 API함수 또한 넘겨진 구조체에 있는 값을 사용해야한다.
    2. 해당 함수도 인젝션을 시키고 들어간 주소를 구조체에 담아야한다..;;
    대충 이렇게 구현해야할 꺼같은데.. Code Injection을 사용해 API후킹을 한다면..-_-;;
    구현하는데 쫌 시간이 걸리겠군요..ㅠㅠ

    아 맞다.. 7월 5일날 입대(합격!)를 해야하는데 -_-;; 강좌를 다보고갈 수 있겠죠?? 하핫;;

    • reversecore 2010/06/23 21:18 댓글주소 | 수정 | 삭제

      원리는 동일하기 때문에 알고 계신 내용을 곰곰히 생각해 보시면 충분히 해결하실 수 있으실 겁니다.

      Code Injection 기법 설명이 끝나면 바로 이어서 Code Injection 을 이용한 API Hooking 에 대한 강좌를 진행할 예정입니다.

      원하시는 바를 꼭 이루시기 바랍니다.

      감사합니다.

  2. 궁금합니다.. 2011/01/01 21:01 댓글주소 | 수정 | 삭제 | 댓글

    궁금한게 있는데요!!

    컴파일을 하고나서 하면 CreateRemoteThread() fail : err_code = 5

    이렇게 뜨는데요.

    Error Lookup에서 찾아보니. 엑새스가 거부 되었습니다. 라고 나오는데

    어떻게 해야되나요 ? 관리자 권한으로도 실행해 보앗는데.. 안되네요!

    • reversecore 2011/01/03 01:03 댓글주소 | 수정 | 삭제

      안녕하세요.

      이전 글에 소개된 CodeInjection.exe 를 사용해도 제대로 동작하지 않는지요? (http://www.reversecore.com/attachment/cfile21.uf@20491A014C1F87C766AA91.exe)

      에러 메시지만 보면 권한이 없는것 같은데요. 위에 첨부된 CodeInjection.zip 코드 그대로 하신것 맞으시죠? 블로그 본문에 있는 코드는 실제 코드를 간략하게 편집한 것입니다. 따라서 권한 상승 코드는 보여주지 않았지요. 첨부된 소스 코드에 해당 코드가 포함되어 있습니다.

      잘 안되시면 사용하시는 실행환경을 좀 알려주시기 바랍니다.

      저도 좀 더 다양한 PC 환경에서 테스트 해보도록 하겠습니다.

      감사합니다.

  3. gg 2011/02/16 19:14 댓글주소 | 수정 | 삭제 | 댓글

    인젝션 함수에서 스레드 메모리 할당할때 스레드의 사이즈를 어떻게 구한건가요?
    (dword)인젝션함수 - (dword)스레드 라고 되어잇는데 이러면 단지 주소값을뺀건데
    자세한 설명부탁드림니다.

    • reversecore 2011/02/18 22:27 댓글주소 | 수정 | 삭제

      안녕하세요.

      네, 본문에는 문의하신 내용에 대한 설명이 부족하네요.

      인젝션 시킬 함수의 코드 크기를 구하면 되는건데요.

      일반적으로 C 언어 소스를 만들어 컴파일 하면 소스 순서대로 바이너리에 생성됩니다. 예를 들어 A(), B() C() 순으로 프로그래밍 되어있다면, 빌드된 바이너리에도 같은 순서대로 배치 된다는 뜻입니다.

      위 전체 코드를 받아보시면 ThreadProc() 함수 다음에 바로 InjectCode() 함수가 나타납니다.

      따라서 InjectCode - ThreadCode 는 ThreadCode() 함수의 크기로 볼 수 있는 것입니다.

      감사합니다.

  4. 2011/06/01 22:05 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011/06/03 21:23 댓글주소 | 수정 | 삭제

      안녕하세요.

      개념은 잡으신것 같습니다. 실제로 그 의미를 정확히 이해하셔야 합니다. 왜? 정교하게 계산된 어셈블리 코드를 인젝션 해야 하는지? 왜? 함부로 API 호출 코드를 인젝션 하기 어려운지? 에대한 이유를 아셔야 합니다.

      감사합니다.

  5. 흠; 2011/07/18 22:53 댓글주소 | 수정 | 삭제 | 댓글

    .. 어렵군요 ! ㅠㅠ API 공부더하고와야하는가..

    • reversecore 2011/07/19 21:57 댓글주소 | 수정 | 삭제

      안녕하세요.

      위에 나온 내용은 사실 어렵습니다.

      기초 API Hooking 부터 차근차근 읽으시면 도움이 되실 것 같습니다.

      감사합니다.

  6. hyun 2011/09/22 23:23 댓글주소 | 수정 | 삭제 | 댓글

    정말 유익하게 보구 있습니다 ㅎㅎ

    악성코드를 치료하는 용도로 code injection 방법을 사용하려고 하는데요.
    악성 DLL이 특정 프로세스에 인젝션 되어 있는상태인데,
    제가 FreeLibrary를 호출하는 코드를 인젝트함으로써, 악성 DLL를 강제로 언로드 시킬수 있을까요?ㅎ

    • reversecore 2011/09/28 20:57 댓글주소 | 수정 | 삭제

      안녕하세요.

      악성코드의 자체 보호 기능이 없고, 다른 객체(파일, 네트워크, etc)를 열고 있지 않다면...
      강제로 인젝션 된 DLL 은 FreeLibrary() 로 다 내릴 수 있습니다.

      감사합니다.

  7. 저기요 2011/11/24 20:02 댓글주소 | 수정 | 삭제 | 댓글

    user32.dll 을 올렸는데 FreLibrary로 안내려줘도 괜찮은가요?
    또 VirtualAlloc으로 할당된 메모리도 해제해야 될거 같고
    메모장 종료되면 자동적으로 해제되는건가요?

    • reversecore 2011/11/30 01:47 댓글주소 | 수정 | 삭제

      안녕하세요.

      보통은 말씀하신대로 안쓰는 자원은 그때 그때 반환하는 것이 좋습니다.

      인젝션의 경우는 프로세스 종료 시 자동 해제되기 때문에 크게 신경쓰지 않는 것입니다. (필요하다면 이젝션 시켜서 자원을 반환하는 경우도 있습니다.)

      감사합니다.

Code Injection 기법 (1)

study 2010/06/22 00:25

Code Injection 기법에 대해 설명하고 실습 예제를 분석하겠습니다. DLL Injection 기법과 어떻게 다른지 비교 분석해보겠습니다.


* 본문 내용을 편하게 읽기 위해서는 아래의 배경지식이 필요합니다.




Code Injection

Code Injection 이란 상대방 프로세스에 독립 실행 코드를 삽입한 후 실행 시키는 기법입니다. 일반적으로 CreateRemoteThread() API 를 이용하여 원격 스레드 형태로 실행 시키므로 Thread Injection 이라고도 얘기합니다. 

아래 그림은 Code Injection 의 개념을 보여주고 있습니다.


<Fig. 1>

인젝션 대상이 되는 target.exe 프로세스에 코드와 데이터를 삽입합니다. 이때 코드의 형식은 스레드 프로시져(Thread Procedure) 형식으로 해주고, 코드에서 사용되는 데이터는 스레드의 파라미터로 전달해 주면 됩니다. 즉, 코드와 데이터를 각각 인젝션 시켜주는 것입니다.

이와 같이 개념은 간단한데, 구현에 있어서 주의해야 할 내용이 있습니다. Code Injection 구현의 주의 사항에 대해서 DLL Injection 과 비교하여 설명 드리겠습니다.




DLL Injection vs Code Injection

아래와 같이 간단한 코드가 있습니다. 코드의 내용은 윈도우 메시지 박스를 출력하는 것입니다.

DWORD WINAPI ThreadProc(LPVOID lParam)
{
    MessageBoxA(NULL, "www.reversecore.com", "ReverseCore", MB_OK);

    return 0;
}

DLL Injection 기법이라면 위 코드를 DLL 파일 형태로 만든 후 다른 프로세스에 인젝션 시키면 됩니다. 

OllyDbg 를 실행시켜 위 ThreadProc() 코드 영역을 살펴보겠습니다.

 
<Fig. 2>

위 그림의 코드에서 사용되는 주소를 주목하시기 바랍니다.

먼저 10001002 주소의 PUSH 10009290 명령어와 그 밑의 PUSH 1000929C 명령어에 사용된 10009290, 1000929C 주소를 보겠습니다. 이 명령어들은 MessageBoxA() API 에 사용될 문자열(“ReverseCore”, “www.reversecore.com”) 주소를 스택에 저장시킵니다.


<Fig. 3>

위 그림을 보시면 이 문자열들의 주소(10009290, 1000929C)는 DLL의 데이터 섹션 영역에 위치합니다. 

이번에는 <Fig. 2> 에서 1000100E 주소의 CALL DWORD PTR DS:[100080F0] 명령어에 사용된 100080F0 주소를 보겠습니다. 참고로 이 CALL 명령어는 바로 user32!MessageBoxA() API 호출 명령입니다.


<Fig. 4>

위 그림에서 100080F0 주소는 바로 DLL 의 IAT(Import Address Table) 영역임을 알 수 있습니다. (그 위로 다른 API 들의 주소를 확인 할 수 있습니다.)

이와 같이 DLL 의 코드에서 사용되는 모든 데이터는 DLL 의 데이터 영역에 위치합니다. 
따라서 DLL Injection 기법으로 DLL 을 통째로 상대방 프로세스 메모리에 삽입시키면 코드와 데이터가 같이 메모리에 존재하기 때문에 코드는 정상적으로 실행될 수 있습니다.

Code Injection 은 필요한 코드(<Fig. 2>)를 인젝션 시키는 것입니다. 하지만 코드에서 사용되는 데이터(<Fig. 3>, <Fig. 4>) 도 같이 인젝션 시켜줘야 정상적으로 코드의 실행이 가능해집니다. (또한 인젝션된 데이터의 주소를 코드에서 잘 알아볼 수 있도록 프로그래밍 해야 합니다.)

이러한 이유 때문에 DLL Injection 기법 보다 고려할 사항이 좀 더 많습니다.

아래의 실습 예제 코드를 보시면 더 확실히 파악하실 수 있습니다.



코드 인젝션을 사용하는 이유

코드 인젝션은 DLL 인젝션과 비교하여 기능은 비슷하면서 고려해야 할 사항은 더 많기 때문에 사용하기 불편하게 느껴질 수 있습니다. 과연 코드 인젝션의 장점은 무엇일까요?

1) 메모리를 적게 차지한다.

아주 작은 크기의 코드와 데이터를 인젝션 할 때는 DLL 로 만들어서 인젝션 시킬 필요가 없습니다. 간단히 코드 인젝션으로 구현하면 DLL 인젝션과 같은 기능을 제공하면서 메모리를 훨씬 적게 차지합니다.

2) 흔적을 찾기 어렵다.

DLL 인젝션은 해당 프로세스 메모리에 흔적을 남기기 때문에 간단히 인젝션 여부를 알 수 있습니다. 하지만 Code 인젝션은 쉽게 흔적을 남기지 않습니다. (물론 이 역시 알아낼 수 있는 방법이 있습니다.) 이 특징 때문에 악성코드에서도 코드 인젝션을 많이 사용합니다.

3) 기타

별도의 DLL 파일 없이 Code Injector 프로그램만 있으면 됩니다. 또한 처음에는 생소하지만 일단 익숙해 지게 되면 아주 쉽고 편리하게 구현이 가능합니다. 

간단히 정리하면 DLL Injection 은 규모가 크고 복잡한 일을 수행할 때 사용하고, Code Injection 은 규모가 작고 간단한 일을 수행할 때 사용합니다.



실습 예제(CodeInjection.exe)
 
실습 예제는 notepad.exe 프로세스에 간단한 코드를 인젝션 시켜서 메시지 박스를 출력하는 내용입니다.

* 참고!
CodeInjection.exe 는 Visual C++ 2008 Express Edition 으로 개발되었으며 Windows 7 32bit 환경에서 테스트 되었습니다. 

#1. notepad.exe 실행

notepad.exe 를 실행 시킨 후 Process Explorer 를 이용하여 notepad.exe 프로세스의 PID 를 확인합니다.


<Fig. 5>

제 테스트 환경에서 notepad.exe 의 PID 는 1896 입니다.

#2. CodeInjection.exe 실행

첨부된 CodeInjection.exe 파일을 실행시킵니다. 이때 실행 파라미터로 앞에서 구한 notepad.exe 의 PID 값을 입력합니다.


<Fig. 6>

#3. 메시지 박스 확인


<Fig. 7>

메시지 박스가 notepad.exe 윈도우의 밑에 깔려 있으므로 확인 하실 때 주의하시기 바랍니다.

다음 강좌에서 실습 예제의 소스 코드를 보면서 어떻게 구현되었는지 자세히 확인해 보도록 하겠습니다.


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (3)  (2) 2010/06/30
어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
Advanced Global API Hooking – IE 접속 제어 (1)  (21) 2010/03/29
DLL Injection in Windows 7 (3)  (32) 2010/02/23
API, API Hooking, Code Injection, CreateRemoteThread, GetProcAddress, GetThreadContext, it, LoadLibrary, MessageBox, OpenProcess, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, SetThreadContext, Thread Injection, VirtualAllocEx, WriteProcessMemory, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 후킹
트랙백 0 : 댓글 8

Trackback Address :: http://www.reversecore.com/trackback/81 관련글 쓰기

  1. L4c0 2010/06/22 10:20 댓글주소 | 수정 | 삭제 | 댓글

    재밌어요!!ㅎㅎ ^^

  2. Ezbeat 2010/06/22 12:45 댓글주소 | 수정 | 삭제 | 댓글

    드디어 코드인젝션 강의가 시작됬군요!! 쭉 읽어보면서 빼먹거나 몰랐던 내용도 있을거 같아서 꼼꼼히 읽어보고 갑니다~! ^^ 다음 강의도 기대할께요~!

  3. 흠; 2011/07/18 22:00 댓글주소 | 수정 | 삭제 | 댓글

    CreateRemoteThread<> fail : err_code = 5
    인젝션 차단된거같은대 흐음... 좋아할 일이겠지? 흠

  4. 흠; 2011/07/18 22:15 댓글주소 | 수정 | 삭제 | 댓글

    Oh , 곰오디오보안이 노트페드보다 못하군요 ㅋ
    곰오디오는 잘되네요 ㅋ

    • reversecore 2011/07/19 21:58 댓글주소 | 수정 | 삭제

      안녕하세요.

      아마 대부분의 프로세스에서는 DLL Injection 방어 기법이 없기 때문에 그대로 인젝션 될 것입니다.

      감사합니다.

  5. 2011/10/21 19:17 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

Advanced Global API Hooking – IE 접속 제어 (4)

study 2010/05/17 01:29

Global API Hooking 예제 코드를 분석하면서 해당 기술에 대한 이해를 돕습니다.



본 내용을 읽기 전에 이전 포스트를 참고하세요. 같이 이어지는 내용입니다.



* 참고!
모든 소스 코드는 MS Visual C++ 2008 Express Edition 으로 개발 되었으며, Windows 7 32bit & IE 8 에서 테스트 되었습니다.

전체 소스 코드는 아래 첨부된 파일을 참고하시기 바랍니다.

주요 함수에 대해 설명 드리겠습니다. 설명의 편의를 위해서 에러 처리 관련 코드는 제거하였습니다. 에러 처리 코드가 포함된 원본 함수의 전체 코드는 첨부된 파일에서 확인하시기 바랍니다.



DllMain()

먼저 DllMain() 함수를 살펴보겠습니다.

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    char            szCurProc[MAX_PATH] = {0,};
    char            *p = NULL;

    switch( fdwReason )
    {
        case DLL_PROCESS_ATTACH : 
            GetModuleFileName(NULL, szCurProc, MAX_PATH);
            p = strrchr(szCurProc, '\\');
            if( (p != NULL) && !_stricmp(p+1, "iexplore.exe") )
            {
                // wininet!InternetConnectW() API 를 후킹 하기 전에
                //   미리 wininet.dll 을 로딩 시킴
                LoadLibrary("wininet.dll");
            }

            // hook
            hook_by_code("ntdll.dll", "ZwResumeThread", 
                         (PROC)NewZwResumeThread, g_pZWRT);
            hook_by_code("wininet.dll", "InternetConnectW", 
                         (PROC)NewInternetConnectW, g_pICW);
            break;

        case DLL_PROCESS_DETACH :
            // unhook
            unhook_by_code("ntdll.dll", "ZwResumeThread", 
                           g_pZWRT);
            unhook_by_code("wininet.dll", "InternetConnectW", 
                           g_pICW);
            break;
    }

    return TRUE;
}

DllMain() 함수의 핵심 기능은 ntdll!ZwResumeThread() 와 wininet!InternetConnectW() API 의 hook/unhook 입니다. 

한가지 특이한 코드는 실행 프로세스 이름이 iexplorer.exe 인 경우 wininet.dll 을 로딩 시키는 코드입니다. iexplore.exe 프로세스가 정상적으로 실행되면 기본적으로 wininet.dll 을 로딩하고 있는데 왜 굳이 추가적으로 로딩을 시키는 걸까요? 그 이유는 Global API Hooking 때문입니다. 

ntdll!ZwResumeThread() 를 이용한 API 후킹은 해당 프로세스의 메인 스레드가 시작되기 전에 제
어를 가로채기 때문에 우리가 후킹하려는 wininet.dll 모듈이 아직 로딩되어 있지 않는 상황이 발생할 수 있습니다. 이를 방지 하기 위해서 iexplore.exe 프로세스인 경우 wininet!InternetConnectW() API 를 후킹하기 전에 무조건 wininet.dll 을 로딩시키는 것입니다. 



NewInternetConnectW()

wininet!InternetConnectW() 의 후킹 함수인 NewInternetConnectW() 함수에 대한 설명입니다. 이 함수는 IE 의 접속 주소를 모니터링 하면서 특정 사이트에 접속을 시도할 때 원하는 사이트로 접속을 돌리는 역할을 수행합니다.

HINTERNET WINAPI NewInternetConnectW
(
    HINTERNET hInternet,
    LPCWSTR lpszServerName,
    INTERNET_PORT nServerPort,
    LPCTSTR lpszUsername,
    LPCTSTR lpszPassword,
    DWORD dwService,
    DWORD dwFlags,
    DWORD_PTR dwContext
)
{
    HINTERNET hInt = NULL;
    FARPROC pFunc = NULL;
    HMODULE hMod = NULL;

    // unhook
    unhook_by_code("wininet.dll", "InternetConnectW", g_pICW);

    // call original API
    hMod = GetModuleHandle("wininet.dll");
    pFunc = GetProcAddress(hMod, "InternetConnectW");

    if( !_wcsicmp(lpszServerName, L"www.naver.com") ||
        !_wcsicmp(lpszServerName, L"www.daum.net") ||
        !_wcsicmp(lpszServerName, L"www.nate.com") || 
        !_wcsicmp(lpszServerName, L"www.yahoo.com") )
    {
        hInt = ((PFINTERNETCONNECTW)pFunc)(hInternet,
                                           L"www.reversecore.com",
                                           nServerPort,
                                           lpszUsername,
                                           lpszPassword,
                                           dwService,
                                           dwFlags,
                                           dwContext);
    }
    else
    {
        hInt = ((PFINTERNETCONNECTW)pFunc)(hInternet,
                                           lpszServerName,
                                           nServerPort,
                                           lpszUsername,
                                           lpszPassword,
                                           dwService,
                                           dwFlags,
                                           dwContext);
    }

    // hook
    !hook_by_code("wininet.dll", "InternetConnectW"
                    (PROC)NewInternetConnectW, g_pICW;

    return hInt;
}

위 함수의 코드는 매우 단순합니다. 함수의 2 번째 파라미터인 lpszServerName 문자열이 바로 접속 주소입니다. 이 접속주소를 모니터링 하여 우리나라 4 대 포탈 사이트(Naver, Daum, Nate, Yahoo)인 경우, 제 블로그(ReverseCore)로 연결을 바꿔버립니다.

hook_by_code() / unhook_by_code() 에 대한 설명은 아래 포스트를 참고하시기 바랍니다.




NewZwResumeThread()

ntdll!ZwResumeThread() 의 후킹 함수인 NewZwResumeThread() 함수입니다.

NTSTATUS WINAPI NewZwResumeThread(HANDLE ThreadHandle, PULONG SuspendCount)
{
    NTSTATUS status, statusThread;
    FARPROC pFunc = NULL, pFuncThread = NULL;
    DWORD dwPID = 0;
    static DWORD dwPrevPID = 0;
    THREAD_BASIC_INFORMATION tbi;
    HMODULE hMod = NULL;
    char szModPath[MAX_PATH] = {0,};

    // call ntdll!ZwQueryInformationThread()
    hMod = GetModuleHandle("ntdll.dll");
    pFuncThread = GetProcAddress(hMod, "ZwQueryInformationThread");
    statusThread = ((PFZWQUERYINFORMATIONTHREAD)pFuncThread)
                   (ThreadHandle, 0, &tbi, sizeof(tbi), NULL);

    // Dll Injection to the new child process
    dwPID = (DWORD)tbi.ClientId.UniqueProcess;
    if ( (dwPID != GetCurrentProcessId()) && (dwPID != dwPrevPID) )
    {
        dwPrevPID = dwPID;

        // change privilege
        SetPrivilege(SE_DEBUG_NAME, TRUE);

        // get injection dll path
        GetModuleFileName(GetModuleHandle(STR_MODULE_NAME), 
                            szModPath, 
                            MAX_PATH);

        // call InjectDll()
        InjectDll(dwPID, szModPath);
    }

    // unhook
    unhook_by_code("ntdll.dll", "ZwResumeThread", g_pZWRT);

    // call ntdll!ZwResumeThread()
    pFunc = GetProcAddress(hMod, "ZwResumeThread");
    status = ((PFZWRESUMETHREAD)pFunc)(ThreadHandle, SuspendCount);

    // hook
    hook_by_code("ntdll.dll", "ZwResumeThread"
                   (PROC)NewZwResumeThread, g_pZWRT);

    return status;
}

NewResumeThread() 함수의 첫 번째 파라미터는 resume 시킬 스레드의 ThreadHandle 입니다. 지난번 설명에서 이 스레드는 바로 자식 프로세스의 메인 스레드라고 설명 드렸습니다.


따라서 NewResumeThread() 함수 초반부의 ZwQueryInformationThread() API 를 호출하는 이유는 바로 ThreadHandle 이 가리키는 스레드(자식 프로세스의 스레드) 가 소속된 자식 프로세스의 PID 를 얻기 위함입니다.

이렇게 ThreadHandle 파라미터를 이용하여 (지금 막 생성된) 자식 프로세스의 PID 를 얻어 내었습니다. 이 PID 를 이용하여 redirect.dll (후킹 DLL) 을 인젝션 시켜 줍니다. 해당 자식 프로세스는 메인 스레드가 실행되기도 전에 이미 redirect.dll 이 인젝션 되면서 자동으로 API 후킹이 걸리게 됩니다.

마지막으로 ntdll!ZwResumeThread() API 를 정상적으로 호출하여 자식 프로세스의 메인 스레드를 resume 시킵니다. 이제 자식 프로세스는 API 가 후킹된 채로 정상 실행됩니다. 



High-Level API Hooking vs Low-Level API Hooking

위의 ntdll!ZwResumeThread() API 후킹 방법은 단순히 kernel32!CreateProcess() API 를 후킹하는 것보다 더 강력하고 편리한 방법입니다. 왜냐하면 CreateProcess() 는 내부적으로 CreateProcessInternal() 을 호출합니다. 만약 프로그램에서 CreateProcessInternal() 을 직접 호출한다면 정상적인 후킹이 되지 않습니다. (차라리 CreateProcessInternal() 을 후킹하는 것이 더 좋은 방법입니다. – 좋은 방법을 가르쳐 주신 iwillhackyou 님께 감사드립니다.)

이런 식으로 Low-Level API (ntdll.dll 에서 제공되는 API) 를 후킹할수록 더 강력합니다. 하지만 대부분의 Low-Level API 들은 undocumented 되어 있으며, OS 버전에 따라 변경될 가능성이 존재합니다. 반면에 High-Level API (kernel32.dll 레벨 - documented) 들은 변경될 가능성이 없고 잘 문서화 되어 있기 때문에 안정적인 후킹이 가능합니다. 대신에 후킹 성능이 좀 떨어집니다.

따라서 High-Level API 후킹과 Low-Level API 후킹은 서로 일장 일단이 있기 때문에 상황에 맞게 적절히 선택하여 구현하시는 것이 현명한 방법입니다.


+---+

다음 강좌는 Code Injection 을 통한 API 후킹에 대한 내용입니다. 지금까지는 DLL 을 인젝션 시켜서 API 후킹을 진행하였지만, 짤막한 코드를 삽입시켜 동일한 기능을 구현하는 것입니다. DLL Injection 방법과 많은 차이점이 있으며, 이 또한 흥미로운 주제가 될 것입니다.


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (2)  (2) 2010/06/28
어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
Advanced Global API Hooking – IE 접속 제어 (1)  (21) 2010/03/29
DLL Injection in Windows 7 (3)  (32) 2010/02/23
DLL Injection in Windows 7 (2)  (15) 2010/02/21
API, CreateProcess, CreateProcessInternal, Global API Hooking, hook_by_code, IE, Internet Explorer, InternetConnect, it, kernel32.dll, NtCreateUserProcess, NtResumeThread, redirect, redirection, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, unhook_by_code, wininet.dll, ZwCreateUserProcess, ZwResumeThread, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 우회, 후킹
트랙백 0 : 댓글 27

Trackback Address :: http://www.reversecore.com/trackback/80 관련글 쓰기

  1. Ezbeat 2010/05/17 11:07 댓글주소 | 수정 | 삭제 | 댓글

    어느정도 dll injection과 api hooking은 개념이 제대로 잡혀서 보는데 별 무리는 없네요.
    Code Injection!! 기대하고있습니다 ^^

    한가지 질문드려봐도 될련지.. ;;ㅠㅠ
    대부분 dll injection을 하는 바이러스들을 보면 exe파일 하나에서 내부적으로 dll을 생성합니다.
    CreateFile을하고.. WriteFile을 하구요. 그런데 저도 한번 구현해 볼까 하고 쭉 만들던 중
    dll의 헥사 값을 넣어야되는데 문자열 크기가 너무 크다고 안들어가더라구요.
    "\x11\x22\x33~~" 이런식으로 넣었거든요.ㅠㅠ

    큰 dll파일의 모든 헥사값을 exe파일에 넣을려면.. 어떠한 방법이 있을까요??

    • reversecore 2010/05/17 22:31 댓글주소 | 수정 | 삭제

      Ezbeat님, 안녕하세요.

      악성코드 중에 내부에 또다른 PE 파일을 가지고 있다가 생성시키는 경우가 있습니다. AV 에서는 Dropper 라고 하는데요...

      이를 만들어 보신다는 얘기신지요???

      제가 방법을 알고는 있는데요, 제가 직접 그런 설명을 하기는 어려운 처지라는 것을 잘 이해해 주시리라 생각합니다. ^^

      감사합니다.

  2. iwillhackyou 2010/05/17 16:54 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    좋은 글 잘 보았습니다.

    그런데 코드에 한 가지 문제가 있어 보입니다. ^^

    Dll 엔트리 함수인 DllMain() 내부에서 DLL_PROCESS_ATTACH
    분기문 내부에 LoadLibrary를 사용하셨는데요...
    진입 함수 내부에서 다시 LoadLibrary를 호출하면 DeadLock에 걸릴 수 있습니다. 만약 위 코드가 정상적으로 수행되었다면 wininet이 이미 로드되어 있었기 때문인 것으로 추측됩니다.

    대부분 엔트리 함수에서는 동기화 오브젝트도 사용안하고 가능한 최소의 코드만 작성해야 합니다.
    저 같은 경우에는 위와 같이 별도의 dll을 로드해야 할 경우에는 대부분 스레드를 생성(dllmain 엔트리 함수가 종료된 뒤 실행되도록)해서 해당 로직을 진입함수 이후에 처리되도록 합니다.^^

    • iwillhackyou 2010/05/17 16:51 댓글주소 | 수정 | 삭제

      DLL Loader Lock에 관해서 잘 설명된 문서의 링크입니다.

      http://download.microsoft.com/download/a/f/7/af7777e5-7dcd-4800-8a0a-b18336565f5b/DLL_bestprac.doc

      엔트리함수에서 주의해야할 부분들이 상세히 나와있습니다.

    • reversecore 2010/05/22 20:55 댓글주소 | 수정 | 삭제

      iwillhackyou님, 안녕하세요.

      훌륭한 조언에 감사드립니다. ^^
      소개해 주신 문서도 잘 읽어봤습니다.

      과연 데드락 가능성이 있을 수 있겠네요. 거기까지는 미처 생각하지 못했습니다...

      사실 대부분의 악성코드는 DllMain() 에서 하고 싶은 짓을 다합니다. ^^ 물론 잘 작동하지요. 저도 그렇다는 것을 보여드리고 싶었던 것이구요.

      하지만 세심한 개발자는 언제나 만에 하나의 가능성도 고려하는 법이므로... 알려주신 대로 별도 스레드로 처리하는 것이 더욱 좋은 방법이 되겠습니다.

      제가 블로그를 운영하면서 좋은 점 중에 하나가 바로 이처럼 다른 훌륭한 분들의 조언을 듣고 미처 생각 못했던 내용들에 대해서 배우는 것입니다.

      감사합니다. ^^~

  3. xss 2010/06/28 18:24 댓글주소 | 수정 | 삭제 | 댓글

    좋은글 올려주셔서 감사합니다. 그런데 윈도우 XP에서 실행해보니 인젝션된 프로세스에서 프로그램을 실행시키면 (예를들어 explorer.exe에 인젝트 한다음에 시작메뉴의 실행에서 notepad.exe를 실행시킴) 프로그램이 아예 실행이 되지 않네요. 참고로 비스타와 윈도7에선 아주 정상적으로 작동합니다. 참고로 CreateRemoteThread 이후 WaitForSingleObject를 주석처리하면 프로그램은 정상적으로 실행되나 새로 실행된 프로그램에 DLL이 인젝션 되지 않네요.

    • reversecore 2010/06/29 22:59 댓글주소 | 수정 | 삭제

      네, 위 예제 코드는 Windows 7 에서 정상적을 실행되도록 되어있습니다. XP 에서 잘 돌기 위해서는 코드를 좀 수정해야 합니다. 위 내용에는 그런 디테일한 설명을 생략하였네요.

      제 기억이 맞다면 NewZwResumeThread() 함수 내부에서 InjectDll() 호출이 ((PFZWRESUMETHREAD)pFunc)(ThreadHandle, SuspendCount) 호출 이후로 와야 할겁니다.

      이렇게 되면 XP 에서는 상대방 프로세스의 메인 스레드가 실행된 직후 인젝션이 되는 것입니다. 위의 Win7 예제에서는 상대방 프로세스의 메인 스레드 실행 전에 인젝션 하는 것과 차이가 있지요.

      테스트 해보시고 잘 안되시면 다시 질문 올려주세요~ 제가 해드릴께요~

      감사합니다.

  4. Sale 2010/07/06 23:38 댓글주소 | 수정 | 삭제 | 댓글

    When redirect.cpp is compiled in VC++ 6.0 it won't inject using dllinj.exe.. It says FAILURE!!! every time.. While your compiled redirect.dll works just fine.. What could be the reason???

  5. xss 2010/07/07 00:08 댓글주소 | 수정 | 삭제 | 댓글

    답변 감사합니다 말씀하신대로 해보았으나 이상한 현상이 발생하였습니다. explorer.exe에만 inject시키면 (injdll explorer.exe -i dll.dll) 모든것이 정상적으로 작동하나 모든 프로세스에 inject시키면(injdll * -i dll.dll) 괴현상이 일어납니다. 바탕화면에 있는 프로그램을 클릭하여 실행시키면 대부분의 프로그램은 실행이 되지 않거나 어떤 프로그램은 실행은 되나 화면의 일부분이 랜더링되지 않습니다. 그런데 신기한것은 그 문제가 있는 프로그램을 다시 실행시키면 정상적으로 작동됩니다. 바탕화면에서 더블클릭하여 실행되는 프로그램은 모두 explorer.exe의 child process로 생성되는데 어떻게 이러한 일이 일어날수 있는지 정말 신기하네요.

    • xss 2010/07/07 04:02 댓글주소 | 수정 | 삭제

      문제점을 찾아보았더니 services.exe와 svchost.exe 같은 시스템 프로세스에 인젝션이 되면 위와같은 현상이 일어나네요. 신기한점은 비스타에서는 문제가 안되는데 XP에서만 문제가 됩니다.

    • reversecore 2010/07/10 14:28 댓글주소 | 수정 | 삭제

      global API Hooking 을 하실때는 매우 주의하셔야 합니다.
      DLL 에 문제가 있다면 시스템 전체가 먹통이 되지요.

      만약 아직도 문제가 해결되지 않았다면, dll.dll 파일을 저에게 보내주세요~ 제가 한번 봐드리겠습니다.

      감사합니다.

  6. Sale 2010/07/07 00:43 댓글주소 | 수정 | 삭제 | 댓글

    I did compile in Release configuration.. But every time it says failure!!!
    Here is the complete project file for VC6.0

    http://www.sendspace.com/file/jk2xwn

  7. 으덩 2010/07/15 12:23 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요~ 여기서 많이 배워가는 꼬꼬마 학생입니다^^;
    간단한 질문을 하고 싶어서요 ㅠ_ㅠ
    예제에서, NewInternetConnectW() 에서 4개의 사이트에만 접근을 못하게 하셨잖아요~
    근데 모~~~든 사이트에 못가게 하려면 어떻게 적어야 하나요?ㅠ_ㅠ

    교수님께서 사용하실 프로그램을 만들려고 하거든요~~
    컴퓨터로 시험볼때 학생들이 자기 홈페이지 말고는 다른곳으로 접근을 할 수 없게 하는 기능을
    넣고 싶어용..
    알려주세요 ㅠ0ㅠ))~~~

    • reversecore 2010/07/15 23:40 댓글주소 | 수정 | 삭제

      안녕하세요~

      그냥 리턴해버리시면 됩니다. ^^

      즉, InternetConnectW() 호출을 무시해버리는 거지요.

      근데 실전에서 사용하기는 좀 빈약한 프로그램인데요... 파폭, 크롬만 써도 접속 가능할텐데 말입니다. ^^

      사용하시기 전에 충분한 테스트가 필요할 것입니다.

      감사합니다.

    • 으덩 2010/07/16 16:17 댓글주소 | 수정 | 삭제

      아!! 그렇군요 !!!
      그런점은 생각도 못했네요 ^^aa
      덕분에 좀더 생각이 넓어지는것 같아용 ~~^^
      고맙습니다!!!

  8. somma 2010/07/29 17:50 댓글주소 | 수정 | 삭제 | 댓글

    구글 검색하다가 우연히 들어왔습니다.
    좋은글들 많이 읽었습니다.
    가볍지 않은 내용들인데도.. 참 쉽게 글을 잘쓰시는것 같아요.
    좋은글들 잘 보고 갑니다. :-)

    • reversecore 2010/08/01 22:45 댓글주소 | 수정 | 삭제

      안녕하세요. ^^

      somma 님 블로그는 저도 자주 들르면서 정보를 많이 참고하고 있습니다.

      방문 감사드립니다.

  9. shed00 2010/08/13 10:55 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 좋은 내용 올려주셔서 열심히 공부하고 있습니다 감사합니다 ^^

    다름이 아니라.. 위에 다른분께서도 질문하신 내용인데요..

    XP 에서 테스트중인데 위에서 말씀하신데로 이리저리 해봐도

    도저히 해결을 할수가 없네요 T^T

    XP 에서 explorer.exe 에 인젝션 시키고

    인터넷익스플로러를 실행시키면 redirect.dll 은 인젝션이 되어 있고

    주소창이나 메뉴, 탭 같은 부분은 렌더링이 되질 않구요.

    explorer 의 자식프로세스로 실행되는 다른프로그램들은

    실행이 되지 않는게 많습니다..

    몇몇 프로그램들은 실행이 되긴 하는데 redirect.dll 이 인젝션이 안되어 있구요..

    염치없지만 XP 버전좀 부탁드려도 될까요?

    좋은하루 되세요~

    • reversecore 2010/08/15 22:37 댓글주소 | 수정 | 삭제

      API 후킹은 (특히 Global API Hooking) OS, 사용자 환경을 많이 탑니다. 많은 테스트가 필요하지요.

      지금 쓰고 있는 책의 예제들은 XP 와 7 에서 잘 동작할 수 있도록 테스트 중입니다.

      그게 완성되면 이 블로그에도 올리겠습니다.

      감사합니다.

  10. J 2010/11/15 18:52 댓글주소 | 수정 | 삭제 | 댓글

    VC 2008 에서 빌드시
    error C2664: 'wvsprintfw' : 매개 변수 1을 'char [512]'에서 'LPWSTR'로 변환할 수 없습니다.
    변환하려면 reinterpret_cat, C 스타일 캐스트 또는 함수 스타일 캐스트가 필요합니다.
    라고 에러창이 뜹니다. 20개 가량 뜨는군요. ㅠㅠ;; 어떻게 해야하는지...
    검색해보니 char 를 wchar_t 로 변경해주라는데 고쳐봐도 안되는군요... 쩝.. ㅠㅠ;;;

    VC++ 2006을 깔고 해보니
    타입오류는 안나는데요
    syntax error 가 납니다
    indentifier 'DWORD_PTR' 뭔가 매우 초보적인 문제인듯한데
    모르겠습니다. ^^ㅎ

    • reversecore 2010/11/18 15:58 댓글주소 | 수정 | 삭제

      안녕하세요.

      프로젝트 설정 문제인데요...

      제가 Multibyte 로 세팅해서 예제 코드를 작성하다보니 많은 분들께서 빌드시 어려움을 호소하고 계십니다. (기본은 Unicode)

      마침 제가 책을 작업하면서 예제를 Unicode 로 전부 바꿔 버렸습니다. 이메일 주소를 남겨주시면 위 예제 프로젝트를 보내드리도록 하게습니다.

      감사합니다.

  11. 2011/01/30 15:26 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

Advanced Global API Hooking – IE 접속 제어 (3)

study 2010/05/07 00:26

Global API Hooking 예제를 실습하겠습니다.


본 내용을 읽기 전에 이전 포스트를 참고하세요. 같이 이어지는 내용입니다.



* 참고!
모든 소스 코드는 MS Visual C++ 2008 Express Edition 으로 개발 되었으며, Windows 7 32bit & IE 8 에서 테스트 되었습니다.



실습 예제 – IE 접속 제어
# 실습 내용

IE 프로세스의 특정 API 를 후킹 하여 국내 4 대 포탈 사이트(Naver, Daum, Nate, Yahoo)에 접속 시도할 때 www.reversecore.com 주소로 연결 시켜버립니다. 또한 IE 의 탭이 새로 생성되면서 동시에 프로세스가 추가되는 경우를 대비해서 Global API Hooking 기법을 사용하였습니다.

API 후킹은 redirect.dll 을 인젝션 시켜서 구현합니다. redirect.dll 은 아래 2 개의 API 를 후킹합니다.

wininet!InternetConnectW()   - IE 프로세스의 접속 주소를 제어하기 위해 후킹
ntdll!ZwResumeThread()       – Global API Hooking 구현을 위해 후킹

* Global API Hooking 에 대한 자세한 설명은 아래 글을 참고하세요.

#1. IE 실행

실습을 위해서 먼저 IE 를 실행시켜 주시기 바랍니다. 그리고 Process Explorer 를 이용하여 현재 실행중인 IE 프로세스의 구조를 살펴 보겠습니다.


<Fig. 1>

위 그림을 보시면 IE 프로세스는 부모-자식 관계로 실행되는 것을 알 수 있습니다. 부모 프로세스만 ntdll!ZwResumeThread() API 를 후킹해도 이후부터 생성되는 모든 IE 프로세스들은 자동으로 후킹됩니다.

#2. DLL Injection

redirect.dll 파일을 IE 프로세스(iexplore.exe) 에 인젝션 시킵니다. 


<Fig. 2>

Process Explorer 를 이용해서 IE 프로세스에 redirect.dll 파일이 정상적으로 인젝션 되었는지 확인합니다.


<Fig. 3 >

#3. 새로운 탭 생성

IE 에서 새로운 탭을 생성합니다.


<Fig. 4>

Process Explorer 를 이용해서 새로 생긴 탭과 연결된 프로세스(PID:3136)에 redirect.dll 이 제대로 인젝션 되었는지 확인합니다.


<Fig. 5>

ntdll!ZwResumeThread() API 후킹을 통한 Global API Hooking 이 성공하였습니다.

#4. 포탈 사이트 접속

IE 의 아무 탭에서 국내 4 대 포탈 사이트에 접속을 시도해 보세요.

www.naver.com
www.daum.net
www.nate.com
www.yahoo.com


<Fig. 6>

위 그림에서처럼 주소는 naver 지만 실제로는 ReverseCore 사이트가 연결되었습니다.

#5. DLL Ejection 

IE 프로세스에서 redirect.dll 을 내려보겠습니다.


<Fig. 7>

Process Explorer 를 이용하여 redirect.dll 가 정상적으로 ejection 되었는지 확인합니다.


<Fig. 8>

이제 다시 naver 에 접속해보면 이제는 정상적으로 접속하는 것을 확인하실 수 있습니다.


<Fig. 9>

#6. 추가 실습

위에 소개된 InjDll.exe 와 redirect.dll 파일을 이용해서 각자 좀 더 실습을 많이 해보시기 바랍니다. Global API Hooking 기법에 대한 개념을 확실히 이해하실 수 있으실 것입니다.

- 전체 프로세스 후킹
- explorer.exe 만 후킹 (이후 IE 실행)


+---+

실습 내용이 길어진 관계로 redirect.dll 파일의 소스 코드 설명은 다음 강좌에 하겠습니다. (조금 빨리 올리겠습니다.)


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

'study' 카테고리의 다른 글

어셈블리 언어를 이용한 Code Injection (1)  (0) 2010/06/27
Code Injection 기법 (3)  (7) 2010/06/24
Code Injection 기법 (2)  (14) 2010/06/23
Code Injection 기법 (1)  (8) 2010/06/22
Advanced Global API Hooking – IE 접속 제어 (4)  (27) 2010/05/17
Advanced Global API Hooking – IE 접속 제어 (3)  (10) 2010/05/07
Advanced Global API Hooking – IE 접속 제어 (2)  (10) 2010/04/25
Advanced Global API Hooking – IE 접속 제어 (1)  (21) 2010/03/29
DLL Injection in Windows 7 (3)  (32) 2010/02/23
DLL Injection in Windows 7 (2)  (15) 2010/02/21
DLL Injection in Windows 7 (1)  (8) 2010/02/20
API, CreateProcess, CreateProcessInternal, Global API Hooking, IE, Internet Explorer, InternetConnect, it, kernel32.dll, NtCreateUserProcess, NtResumeThread, redirect, redirection, Reverse Code Engineering, Reverse Engineering, ReverseCore, Reversing, wininet.dll, ZwCreateUserProcess, ZwResumeThread, 리버스 엔지니어링, 리버싱, 소프트웨어 역공학, 우회, 후킹
트랙백 0 : 댓글 10

Trackback Address :: http://www.reversecore.com/trackback/79 관련글 쓰기

  1. 철이 2010/05/08 20:00 댓글주소 | 수정 | 삭제 | 댓글

    유용한 정보 감사합니다 .

    ^^
    하루 빨리 커널 속으로 고고고 ^^;

  2. 철이 2010/05/08 20:00 댓글주소 | 수정 | 삭제 | 댓글

    유용한 정보 감사합니다 .

    ^^
    하루 빨리 커널 속으로 고고고 ^^;

  3. 타루다 2010/06/17 13:52 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.

    요즘 게임에서 사용할 간단한 매크로제작을 위해서 후킹을 공부중입니다.
    인터넷 검색을 통해서 이 블로그를 알게되었는데요, 많은 도움이 되고있습니다.

    좋은 강좌 감사드립니다.

  4. 2011/01/24 16:52 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011/01/25 23:10 댓글주소 | 수정 | 삭제

      안녕하세요.

      흠~ 저 혼자 분석은 가능합니다만...
      정보 공개는 어렵겠습니다.

      이유는 제가 하는 업무와 관련되고, 회사와도 약간이나마 관련이 있어서 그렇습니다. 양해 부탁 드립니다.

      하지만 리버싱을 열심히 공부하시다 보면 악성코드도 분석이 가능하게 될 것입니다. 어차피 같은 프로그램이니까요.

      감사합니다.

    • 2011/01/25 23:48 댓글주소 | 수정 | 삭제

      비밀댓글입니다

  5. 2011/03/15 20:14 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2011/03/16 21:36 댓글주소 | 수정 | 삭제

      안녕하세요.

      죄송하지만 그런 내용은 공개하기 어렵습니다.
      직접 찾아보시는 것이 좋을것 같습니다.

      감사합니다.

◀ PREV : [1] : [2] : [3] : [4] : [5] : NEXT ▶