www.reversecore.com

정말로 잘보았습니다 ㅎ

• reversecore 2010/07/10 14:29 댓글주소 | 수정 | 삭제

  감사합니다~ ^^

정말 좋은 포스팅 감사합니다 ^^
코드 인젝션을 체계적으로 정리해볼수 있어서 너무 갚지네요.. ^^
감사합니다~!

• reversecore 2010/07/10 14:29 댓글주소 | 수정 | 삭제

  네~ 질문 있으시면 올려주세요~
  감사합니다.

한번 꼭 다 봐야지 봐야지..하면서...계속 미루다가..방학이라서..
매일보고 있습니다..ㅎㅎ (analysis..부분만..거의 다 본듯..)

이렇게 좋은 자료를..날로 먹는거 같아서....

암튼..너무 감사합니다...

• reversecore 2010/07/28 16:53 댓글주소 | 수정 | 삭제

  땅콩님, 방문 감사드립니다. ^^

비밀댓글입니다

• reversecore 2010/08/01 22:41 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  비도덕적이고 불법적인 내용이 아니라면 제가 작은 도움을 드릴 수 도 있습니다.
  
  관련된 질문 있으시면 올려주세요~
  
  감사합니다.

비밀댓글입니다

• reversecore 2010/08/04 20:43 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  PE Viewer 제작이야 말로 PE Header 공부의 완성판이라고 할 수 있지요. ^^
  
  제가 예전에 Assembly 로 개발한게 있긴 한데요... 소스를 공개할만한 수준은 아니라서요...
  
  그때 저는 Microsoft 의 Dumpbin 유틸리티를 참고해서 콘솔버전으로 만들었습니다.
  
  다른 소스는 가지고 있는게 없네요~
  
  요령이라고 할것도 없지만...
  그냥 편하게 Dumpbin 이나 PEView 같이 기본적인 정보를 나열하는 식으로 만드시면 됩니다.
  
  dbghelp.dll 에 기본적인 API 함수가 지원되기는 하지만 그보다는 파일 매핑을 사용해 직접 구현하시는 방법을 추천드립니다.
  (기본적인 구조체는 winnt.h 에 잘 정의되어 있구요...)
  
  감사합니다.

8월 마소 강좌 코드 인젝션에 이끌러 이 홈페이지까지 왔다가 잘 보고 갑니다. 감사합니다~

• reversecore 2010/08/04 20:43 댓글주소 | 수정 | 삭제

  방문 감사드립니다. ^^

안녕하세요 ..공부하다가 막히는 부분이 있어서 .글을 올립니다.

사실은 데브피아에 글도 올려봤는데..답변이..없어서...이렇게 실례를 무릅쓰고...ㅜㅜ

요즘 디바이스를 공부중에 잇는 학생입니다.



ssdt 후킹을 해서 계산기를 프로세스를 종료를 못하게 했습니다..

(zwterminateprocess를 후킹했습니다..)



그런데..sdtrestore라는 http://www.security.org.sg/code/sdtrestore.html 여기서 받은걸로는 탐지를 못하는데

(sdtrestore의 원리는 ntoskrnl.exe에서 정보를 바로 읽어온다고 알고 있는데....)



하지만....icesword는 탐지를 했습니다..요 방법이 아주 궁금해서 글을 올립니다..



과연 icesword의 탐지 방법을 무엇인지......



답변 부탁드립니다. ㅎㅎ



(제 실행환경은 xp에 sp3 입니다.

• reversecore 2010/08/09 11:31 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  후킹 탐지 방법은 후킹 방법처럼 무수히 많이 있답니다.
  
  저도 icesword 를 본적이 있습니다. 세부 동작 원리까지는 자세히 모르지만 매우 치졸한(?) 방법을 많이 사용했을 것입니다. ^^
  
  무슨 뜻이냐면... 후킹 탐지 되지 않기 위해서 별의별 기발한 기법들이 동원되는데요... 이를 탐지하는 입장에서도 똑같이 희안하고 무식하지만 확실한 (full scan 같은) 방법들을 동원하는 것입니다.
  
  커널 후킹은 고급주제이며 향후 제 블로그에 자세히 다룰 예정입니다.
  
  감사합니다.

옙..답변 감사드립니다..........원리를 분석하고 싶은데..아직 내공이 너무 부족하네요..ㅜㅜ

빨리 블로그에서 글을 보았으면..좋겠습니다..ㅎㅎ

수고하세요..ㅎ

• reversecore 2010/08/24 22:08 댓글주소 | 수정 | 삭제

  네, 유저 모드 디버깅 설명을 완료하면 커널 모드 디버깅을 설명할 예정입니다. 감사합니다.

안녕 하세요!
저두 마소에서 관련글보다 여기 왔는데, 정말 글을 잘쓰시는 거 같아요!
코드인젝션편 보면서 그림과 올리디버거 사용방법등이 적절하게 나와 이해하기 좋았습니다.
앞으로도 좋은 내용 기대할게요 ^^

• reversecore 2010/08/24 22:08 댓글주소 | 수정 | 삭제

  재밌고 유익한 내용을 많이 올리도록 하겠습니다.
  
  감사합니다.

전 코드 인젝션에 대해 전혀 모르던 학생입니다ㅎㅎ
dll 로딩 원리를 알고싶어서 구글링 하다가 우연히 봤는데 왜이렇게 재밌게 보이는지..!!
요즘은 영상처리쪽 공부중인데요ㅎ 공부할 마음없었는데 기회되면 이분야도 해보고 싶네요!ㅋ
책도내신것같은데 꼭 봐봐야겠습니다
#덧, 좋은글 올려주셔서 감사합니다

• reversecore 2011/07/14 05:57 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  리버싱 분야도 매우 흥미있답니다.
  
  방문 감사드립니다. ^^~

좋은 글 감사합니다. 항상 잘 배우고 있습니다.
전 그동안은 코드 인젝션 할땐 DLL 인젝션과 병행 해서, 인젝션 코드에서 DLL의 함수를 call 하도록 간단하게 만들었었는데, 이렇게 함수 코드를 직접 집어넣는 방법도 괜찮네요.

• reversecore 2010/07/03 14:56 댓글주소 | 수정 | 삭제

  네, 상황에 맞게 적절히 선택해서 사용하시면 되는데요.
  보통은 DLL Injection 이 많이 쓰입니다.
  
  Code Injection 을 소개하는 이유는 리버싱에 대해 좀 더 깊이있는 공부를 해보자는 뜻입니다.
  
  감사합니다.

이런 보석같은 글에 리플이 없는게 아쉬워서 몇글자 적어봅니다;
해외 문서들을 보면서 궁금하고 또 상세한 설명이 아쉬웠던 부분들이
이 블로그에 있는 글들로 정말 많이 채워지는 기분이 드네요.
오늘도 잘 보고 물러갑니다. ( __)

• reversecore 2010/07/19 23:14 댓글주소 | 수정 | 삭제

  아, 감사합니다. ^^

1등 ^^
며칠전에 우연히 이 사이트에 들어왔다가 지금까지 궁금했던 것들 한꺼번에 배우고 있습니다.
앞으로도 좋은글 부탁드려요~

• reversecore 2010/06/25 10:29 댓글주소 | 수정 | 삭제

  네~ 감사합니다.
  
  궁금하신 점은 질문 올려주시구요~ @@~

windows 7에서는 "The token dows not have the specified privilege" 에러가 납니다
특별한 이유가 있을까요?

그래서 cmd.exe를 관리자로 실행하고 codeInjectio.exe 실행했더니 잘 됩니다
관리자로 실행하지 않으면 코드인젝션은 되지 않는건가요?

• reversecore 2011/06/03 21:08 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  네, 말씀하신대로 Vista, 7 에서는 그러한 에러가 자주 발생합니다. XP 보다 보안성이 강화되었기 때문입니다.
  
  시스템 프로세스가 아닌 같은 유저 환경에서 실행한 프로세스에는 인젝션이 가능합니다.
  
  감사합니다.

좋은 정보 감사합니다.

어느덧 Code Injection까지 무작정 따라 왔는데요.

실습용 CodeInjection.exe로는 잘 되는데
컴파일 해서 실행하면 에러가 나면서 notepad가 꺼집니다.

환경은 Winxp SP3, VS6.0입니다.

cpp파일을 그대로 컴파일 하고 좀 따라가보다 나니
dwSize = (DWORD)InjectCode - (DWORD)ThreadProc;
에서 dwSize가 5가 되는데 이것이 맞는건지 가르쳐주세요.

• reversecore 2011/10/28 01:17 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  dwSize 는 최소 ThreadProc() 함수 크기 이상으로 나와야 합니다. 아마 Debug 모드로 빌드 하신 것 같습니다. Release 모드로 빌드 해보시기 바랍니다.
  
  감사합니다.

와아~ 축구도 16강 진출해서 기쁜 마음에 들어와봤는데.. 글이 올라와서 있어서 더욱 기쁘네요!
역시나 좋은 강좌 잘 봤습니다.

제가 코드 인젝션을 응용해서 프로그램을 하나 만들어 볼건데.. 인젝션 시킬 Thread에서 API함수가 아닌 일반 함수(직접 만든 함수)를 사용해보려고 합니다.
막상 구현해보려니.. 상당히 난해하군요..ㅠㅠ
1. Thread에서 사용할 함수의 내부에서 사용된 모든 API함수 또한 넘겨진 구조체에 있는 값을 사용해야한다.
2. 해당 함수도 인젝션을 시키고 들어간 주소를 구조체에 담아야한다..;;
대충 이렇게 구현해야할 꺼같은데.. Code Injection을 사용해 API후킹을 한다면..-_-;;
구현하는데 쫌 시간이 걸리겠군요..ㅠㅠ

아 맞다.. 7월 5일날 입대(합격!)를 해야하는데 -_-;; 강좌를 다보고갈 수 있겠죠?? 하핫;;

• reversecore 2010/06/23 21:18 댓글주소 | 수정 | 삭제

  원리는 동일하기 때문에 알고 계신 내용을 곰곰히 생각해 보시면 충분히 해결하실 수 있으실 겁니다.
  
  Code Injection 기법 설명이 끝나면 바로 이어서 Code Injection 을 이용한 API Hooking 에 대한 강좌를 진행할 예정입니다.
  
  원하시는 바를 꼭 이루시기 바랍니다.
  
  감사합니다.

궁금한게 있는데요!!

컴파일을 하고나서 하면 CreateRemoteThread() fail : err_code = 5

이렇게 뜨는데요.

Error Lookup에서 찾아보니. 엑새스가 거부 되었습니다. 라고 나오는데

어떻게 해야되나요 ? 관리자 권한으로도 실행해 보앗는데.. 안되네요!

• reversecore 2011/01/03 01:03 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  이전 글에 소개된 CodeInjection.exe 를 사용해도 제대로 동작하지 않는지요? (http://www.reversecore.com/attachment/cfile21.uf@20491A014C1F87C766AA91.exe)
  
  에러 메시지만 보면 권한이 없는것 같은데요. 위에 첨부된 CodeInjection.zip 코드 그대로 하신것 맞으시죠? 블로그 본문에 있는 코드는 실제 코드를 간략하게 편집한 것입니다. 따라서 권한 상승 코드는 보여주지 않았지요. 첨부된 소스 코드에 해당 코드가 포함되어 있습니다.
  
  잘 안되시면 사용하시는 실행환경을 좀 알려주시기 바랍니다.
  
  저도 좀 더 다양한 PC 환경에서 테스트 해보도록 하겠습니다.
  
  감사합니다.

인젝션 함수에서 스레드 메모리 할당할때 스레드의 사이즈를 어떻게 구한건가요?
(dword)인젝션함수 - (dword)스레드 라고 되어잇는데 이러면 단지 주소값을뺀건데
자세한 설명부탁드림니다.

• reversecore 2011/02/18 22:27 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  네, 본문에는 문의하신 내용에 대한 설명이 부족하네요.
  
  인젝션 시킬 함수의 코드 크기를 구하면 되는건데요.
  
  일반적으로 C 언어 소스를 만들어 컴파일 하면 소스 순서대로 바이너리에 생성됩니다. 예를 들어 A(), B() C() 순으로 프로그래밍 되어있다면, 빌드된 바이너리에도 같은 순서대로 배치 된다는 뜻입니다.
  
  위 전체 코드를 받아보시면 ThreadProc() 함수 다음에 바로 InjectCode() 함수가 나타납니다.
  
  따라서 InjectCode - ThreadCode 는 ThreadCode() 함수의 크기로 볼 수 있는 것입니다.
  
  감사합니다.

비밀댓글입니다

• reversecore 2011/06/03 21:23 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  개념은 잡으신것 같습니다. 실제로 그 의미를 정확히 이해하셔야 합니다. 왜? 정교하게 계산된 어셈블리 코드를 인젝션 해야 하는지? 왜? 함부로 API 호출 코드를 인젝션 하기 어려운지? 에대한 이유를 아셔야 합니다.
  
  감사합니다.

.. 어렵군요 ! ㅠㅠ API 공부더하고와야하는가..

• reversecore 2011/07/19 21:57 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  위에 나온 내용은 사실 어렵습니다.
  
  기초 API Hooking 부터 차근차근 읽으시면 도움이 되실 것 같습니다.
  
  감사합니다.

정말 유익하게 보구 있습니다 ㅎㅎ

악성코드를 치료하는 용도로 code injection 방법을 사용하려고 하는데요.
악성 DLL이 특정 프로세스에 인젝션 되어 있는상태인데,
제가 FreeLibrary를 호출하는 코드를 인젝트함으로써, 악성 DLL를 강제로 언로드 시킬수 있을까요?ㅎ

• reversecore 2011/09/28 20:57 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  악성코드의 자체 보호 기능이 없고, 다른 객체(파일, 네트워크, etc)를 열고 있지 않다면...
  강제로 인젝션 된 DLL 은 FreeLibrary() 로 다 내릴 수 있습니다.
  
  감사합니다.

user32.dll 을 올렸는데 FreLibrary로 안내려줘도 괜찮은가요?
또 VirtualAlloc으로 할당된 메모리도 해제해야 될거 같고
메모장 종료되면 자동적으로 해제되는건가요?

• reversecore 2011/11/30 01:47 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  보통은 말씀하신대로 안쓰는 자원은 그때 그때 반환하는 것이 좋습니다.
  
  인젝션의 경우는 프로세스 종료 시 자동 해제되기 때문에 크게 신경쓰지 않는 것입니다. (필요하다면 이젝션 시켜서 자원을 반환하는 경우도 있습니다.)
  
  감사합니다.

재밌어요!!ㅎㅎ ^^

• reversecore 2010/06/22 23:28 댓글주소 | 수정 | 삭제

  재미를 느끼셨다니 저도 기쁘네요~ ^^
  
  감사합니다.

드디어 코드인젝션 강의가 시작됬군요!! 쭉 읽어보면서 빼먹거나 몰랐던 내용도 있을거 같아서 꼼꼼히 읽어보고 갑니다~! ^^ 다음 강의도 기대할께요~!

• reversecore 2010/06/22 23:31 댓글주소 | 수정 | 삭제

  Ezbeat 님께서는 이미 알고 계시는 내용이 되겠군요. ^^
  
  감사합니다.

CreateRemoteThread<> fail : err_code = 5
인젝션 차단된거같은대 흐음... 좋아할 일이겠지? 흠

Oh , 곰오디오보안이 노트페드보다 못하군요 ㅋ
곰오디오는 잘되네요 ㅋ

• reversecore 2011/07/19 21:58 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  아마 대부분의 프로세스에서는 DLL Injection 방어 기법이 없기 때문에 그대로 인젝션 될 것입니다.
  
  감사합니다.

비밀댓글입니다

일반적으로 ANSI 타입의 API들은 내부적으로 W타입을 Wrapping하는데요... CreateProcess는 그렇지 않군요. 신기하네요.. ^^a

• reversecore 2010/01/18 20:47 댓글주소 | 수정 | 삭제

  kuaaan님, 안녕하세요.
  
  블로그 방문해 주셔서 감사합니다.

좋은 글 많이 보고 갑니다. 계속 좋은 글 부탁드려요 ^^.. view on 열심히 눌렀습니다. ^^;;

• reversecore 2010/01/26 20:55 댓글주소 | 수정 | 삭제

  pico님, 감사합니다. ^^

항상 눈팅만 하다가 댓글 남깁니다.
정말 감사해요~

• reversecore 2010/01/26 20:55 댓글주소 | 수정 | 삭제

  고기님, 안녕하세요.
  방문 감사합니다.

VS옵션이 다른지.. reversecore님께서 올리신 소스를 제 VS에서 컴파일 시키면 에러가 많이 뜨더군요. 그냥 오류나는것을 보면 hook_by_code의 첫번째 인자를 넘겨줄 때
"ntdll.dll" 이것을 넘겨주는데 해당 타입은 char* 입니다. 하지만 함수 정의부분에서 보면 자료형을
LPCTSTR로 받고 있더군요. char*과 TCHAR* 타입이 달라서 오류가 쫘좌작 ;; 뜨네요 ㅜㅜ

VS에서 옵션을 어떻게 주고 컴파일을 하시는지 ;;

• reversecore 2010/04/23 23:10 댓글주소 | 수정 | 삭제

  아하~
  
  제가 블로그 초반에는 VS 6 에서 작성된 예제를 가져다 쓰는 경우가 많아서 multibyte 옵션으로 하다가...
  
  최근에는 unicode 옵션으로 하고 있습니다.
  
  위 stealth2.cpp 는 multibyte 용으로 작성되었네요. ^^
  
  VC++ 2008 의 프로젝트 속성 다이알로그에서 "일반\문자 집합" = "멀티바이트 문자 집합 사용" 으로 변경 후 컴파일 하시면 잘 될 것입니다.
  
  만약에 잘 안되시면 다시 연락주세요.
  프로젝트 파일을 보내드리겠습니다.
  
  감사합니다.

아 ^^; 전 유니코드 문자 집합 사용으로 되어있네요.. 음..컴파일은 되는데
전 이 옵션으로 코딩하는게 습관이 들어서 ..( 윤성우님이 쓰신 시스템 프로그래밍 책을 공부해서;.. ) 유니코드 문자 집합 사용 옵션으로 하고
소스짜도 큰 상관은 없죠?? ㅠ ㅠ

• reversecore 2010/04/25 22:58 댓글주소 | 수정 | 삭제

  네, 최근 추세는 전부 UNICODE 문자 집합을 사용하는 것입니다.
  컴파일러 디폴트 옵션이에요~~~ ^^

안녕하세요~ 유용한 정보 감사드립니다. 아직 테스트는 해보지 않았는데요 혹시 이 dll이 전역적으로 훅킹을 한다면 시스템에 부하가 걸리는건 아닌지 궁금해서요. 모든 프로세스가 생성될때마다 dll이 인젝션이 된다면 메모리 사용량도 늘어나는건 아닌지요?

• reversecore 2010/05/12 12:55 댓글주소 | 수정 | 삭제

  ohsung님, 안녕하세요.
  
  좋은 질문이십니다. ^^
  
  모든 후킹은 그만큼의 부하가 걸립니다. 다만 프로그래밍을 잘하면 그 부하가 미미하기 때문에 큰 문제는 없습니다만, 어디까지나 시스템의 안정성과 자원을 잘 고려하셔야 합니다.
  
  그리고 모든 프로세스에 DLL 이 인젝션 되면 말씀하신 대로 메모리 사용량이 그만큼 증가합니다. DLL 크기 * 인젝션 프로세스 개수 만큼 늘어나는 것은 아니구요. Windows 에서는 같은 DLL 의 경우 한번만 메모리에 전체를 로딩하고 프로세스 들에게는 매핑의 개념을 사용합니다. 쉽게 설명해서 코드 섹션은 다 같은 메모리를 보고 있게 매핑하고요, 데이타 섹션만 해당 프로세스 별로 새로 생성합니다.
  
  다른 질문 있으시면 올려주세요~
  
  감사합니다.

안녕하세요 정리를 깔끔하게 해놓으셔서 항상 잘보고 있습니다^^

reversecore님께서는 컴파일을 다 multibyte로 하시나봐요
저는 unicode를 사용하는데 수정할 일이 한두군데가 아니네요..ㅜㅜ
이상한데서 버그가 막 튀 나오고 ㅋ
DllMain에서 DLL_PROCESS_ATTACH, DETACH에 있는
hook_by_code를 모두 주석처리하면 인젝션까지는 되는데
주석을 하지 않으면 인젝션조차도 안되네요 ㅎㅎ
아무래도 이거 multibyte->unicode때문에 그런거 같은데
혹시 unicode기반으로 작성하신 소스코드는 없으신지요?
있다면 메일로좀 부탁드릴게요 ㅎㅎ

• reversecore 2010/05/20 18:09 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  최신 VC++ 에서는 디폴트 설정이 UniCode 라 몇몇 분들께서 컴파일 과정에 에러가 발생한다고 얘기를 해주셨습니다.
  
  위 소스에 대해서 조만간 UniCode 버젼도 같이 올려놓도록 하겠습니다.
  
  감사합니다.

좋은글 올려주셔서 감사합니다. 그런데 어떤 경우는 CreateProcess를 이용하지 않고 프로세스 생성이 되는 경우가 있는것 같네요. 예를들어 cmd.exe로 어떤 프로그램을 실행시켰는데 Process Explorer로 보면 그 프로그램에는 stealth.dll 이 로드되지 않는게 관찰되네요. 이후에 올려주신 ZwResumeThread를 이용한 버젼으로도 테스트해보았지만 결과는 마찬가지입니다. 혹시 이점에 대해서 해결책을 알고 계신가요?

• reversecore 2010/06/25 19:12 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  네, 위에서 언급한 대로 CreateProcess() 함수 내부에서 CreateProcessInternal() 를 호출하는데...
  만약 CreateProcessInternal() 를 직접 호출한다면 그 자식 프로세스에게는 후킹이 되지 않을 것입니다.
  
  이럴때는 CreateProcessInternal() 까지 후킹을 하시거나 다른 API 를 후킹하시면 됩니다.
  
  Advanced Global API Hooking (http://www.reversecore.com/77) 를 참고하시면 위 문제에 대한 해결이 가능할 것입니다.
  
  감사합니다.

• xss 2010/06/25 18:53 댓글주소 | 수정 | 삭제

  답변 감사드립니다만 말씀해주신대로 ZwResumeThread를 후킹하여도 같은 현상이 일어나고 있습니다.

• reversecore 2010/06/26 00:25 댓글주소 | 수정 | 삭제

  cmd.exe 를 간단히 살펴보니 CreateProcessW() 를 사용합니다. 위 stealth2.dll 에서 CreateProcessW() 를 후킹하고 있는데, 버그가 있는지 잘 안되는군요. 좀 더 테스트해본후 수정해야 겠네요...
  
  ZwResumeThread() 후킹 방식은 잘 됩니다.
  
  http://www.reversecore.com/79
  
  위 글에 소개된 InjDll.exe 를 이용해서 모든 프로세스(*)에 redirect.dll 을 인젝션 시켜주세요. 그러면 글로벌 후킹이 걸리게 됩니다. 그리고 cmd.exe 에서 notepad.exe 등을 실행하면 redirect.dll 이 인젝션 되어 있는 것을 확인하실 수 있습니다.
  
  * ZwResumeThread() 후킹 예제로 만든게 아직 redirect.dll 밖에 없군요.
  
  잘 안되시면 다시 질문해 주세요~
  
  감사합니다.

질문있습니다.
언인젝션은 어떻게 하나요?.
같은방법으로 FreeLibrary를 리모트스레드로 하면되나요?.
그런데 FreeLibrary는 LoadLibrary하고 프로토타입이 틀린데...

• reversecore 2010/08/01 22:44 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  LoadLibrary(), FreeLibrary(), ThreadProc() 모두 하나의 파라미터를 받는 다는데서 착안한 아이디어 입니다.
  
  관련된 내용은 아래 포스팅을 참조하시면 될것 같습니다.
  
  http://www.reversecore.com/44
  
  감사합니다.

안녕하세요.
이방법으로 dll인젝션을해 보았는데요.
explorer.exe에 인젝션을해서 createprocess를 후킹하고있습니다.
인젝션후에
opencapture.exe라는 캡쳐 프로그램(델파이로만들어짐)을 실행시키면
잘못된 연산으로 죽습니다.
그러나 가끔 실행될때가 있습니다.
dllmain에 attach/dettach 에 있는 로직을 다 지우고
시도 해도 opencapture.exe가 실행할떄 잘못된 연산으로 죽네요.

환경은
WINDOWSXP SP3 32BIT입니다.
디버거로 어셈블리를 따라가면,

콜스택은
> kernel32.dll!__SEH_prolog() + 0x1a バイト
OpenCapture.exe!00406120()
[下のフレームは間違っているか、または見つかりません。OpenCapture.exe に対して読み込まれたシンボルはありません。]
ntdll.dll!ExecuteHandler2@20() + 0x26 バイト
0012ffb0()

그리고 역어셈블은
ReleaseMutex@4:
7C8024B7 mov edi,edi
7C8024B9 push ebp
7C8024BA mov ebp,esp
7C8024BC push 0
7C8024BE push dword ptr [ebp+8]
7C8024C1 call dword ptr [__imp__NtReleaseMutant@8 (7C8014BCh)]
7C8024C7 test eax,eax
7C8024C9 jl _ReleaseMutex@4+19h (7C812891h)
7C8024CF xor eax,eax
7C8024D1 inc eax
7C8024D2 pop ebp
7C8024D3 ret 4
__SEH_prolog:
7C8024D6 push offset __except_handler3 (7C839AD8h)
7C8024DB mov eax,dword ptr fs:[00000000h]
7C8024E1 push eax
7C8024E2 mov eax,dword ptr [esp+10h]
7C8024E6 mov dword ptr [esp+10h],ebp
7C8024EA lea ebp,[esp+10h]
7C8024EE sub esp,eax
7C8024F0 push ebx
7C8024F1 push esi
7C8024F2 push edi
7C8024F3 mov eax,dword ptr [ebp-8]
7C8024F6 mov dword ptr [ebp-18h],esp
7C8024F9 push eax
7C8024FA mov eax,dword ptr [ebp-4]
7C8024FD mov dword ptr [ebp-4],0FFFFFFFFh
7C802504 mov dword ptr [ebp-8],eax
7C802507 lea eax,[ebp-10h]
7C80250A mov dword ptr fs:[00000000h],eax
7C802510 ret
__SEH_epilog:

7C8024F0 push ebx 에서 에러가 발생하는것으로 캐치됩니다.

나중에 zwresumethread를 후킹하는 강좌도 테스트 해보겠지만,
왜 됬다 안됬다 하는지 이유가 궁금합니다.
(DLL이 인젝션되어서 실행될떄가 있고, 아예 실행하면 잘못된 연산으로 죽을떄가 있다는뜻입니다.)
바쁘실텐데, 답변 부탁드립니다.
그럼이만.

• reversecore 2010/08/04 22:24 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  와~ 콜스택까지 올려주셨네요~ ^^
  
  저도 OpenCapture 를 잘 사용하는데요.
  위의 실습 파일을 가지고 조만간 테스트 해서 결과를 알려드리겠습니다.
  
  기본적으로 됐다 안됐다 하는 것은 대부분 프로그램 안정성 때문입니다. 유효하지 않은 메모리를 참조할 때 그렇습니다. 콜스택에서kernel32 의 SEH 주소를 가리키는 것을 보면 거의 잘못된 메모리 참조 때문일 것입니다.
  
  * 사용하시는 OpenCapture 의 정확한 버전을 알면 도움이 되겠습니다.
  
  * 여담인데요...
  전 처음에 제가 아는 분과 성함이 똑같아서 깜짝 놀랐는데요...
  생각해보니 그 분은 저보다 훨씬 실력이 뛰어나신 분이라서요...
  답변을 달아주시면 몰라도 질문을 올리지는 않으실꺼라 생각했답니다. ㅋ~
  
  감사합니다.

• reversecore 2010/08/04 22:31 댓글주소 | 수정 | 삭제

  제가 가진 XP SP3 에서 테스트 결과 충돌 증상은 없네요. (MS VirtualPC 환경입니다.)
  
  제 OpenCapture 버전은 1.4.3 입니다.
  
  나중에 리얼 환경에서 다시 테스트 해보도록 하겠습니다.
  
  * 사실 API 코드 패치 기반의 API 후킹은 그 자체로 좀 위험성이 있습니다. 프로세스 실행중에 동적으로 패치하는 방법이라서... 패치하려는 순간 다른 스레드가 그 코드를 실행하고 있다면??? 바로 충돌 나겠죠. Jeffrey Richter 는 자신의 책에서 이점을 분명히 밝혔죠. ^^
  
  감사합니다.

안녕하세요. 좋은 정보 많이 배우고 갑니다.

열심히 코딩해서 실행을 시켜 보았는데요. 함수 후킹은 아니구 모든 프로세스에 Injection 까지만 했을 때 일부 프로세스에만 Injection이 되는 현상이 나타납니다.

제 환경은 Win 7 64bit 또는 Win XP 32bit입니다. 혹시나 권한문제인가해서 둘다해보았지만 같은 현상이었습니다. dll은 dummy.dll을 사용했습니다. 이 포스팅에 있는 코드랑 다른 포스팅에 있는 Win 7 에서 RemoteThreadEx인가 사용하는 코드를 넣었습니다.

인젝션되는 프로세스는 보면 여기 스텔스 2번포스팅의 Process Explorer에 보이는 것처럼 svchost같은데는 전혀 안들어가구요 비쥬얼스튜디오나 네이트온같은곳에만 인젝션이 들어가네요.. 도대체 왜 이런지 넘 궁금합니다;

• reversecore 2010/08/28 00:36 댓글주소 | 수정 | 삭제

  WERT 님, 안녕하세요.
  
  svchost.exe 는 서비스로 동작하는 프로그램이지요.
  문의하신 글을 읽어보니 아마 특권(privilege) 문제가 아닌가 생각됩니다.
  
  http://www.reversecore.com/76
  
  위 포스트에 소개된 InjDll.exe 와 dummy.dll 을 가지고 테스트 해보시겠어요?
  
  InjDll.exe 에 특권을 조정하는 코드를 적용시켜 놓았습니다.
  
  관련 소스는 http://www.reversecore.com/75 에서 InjDll.cpp 의 SetPrivilege() 함수를 참고하시면 되겠습니다.
  
  감사합니다.

여기있는 코드들을 조합해서 Dll Injection을 해보았는데요. 훅을 설치할 경우 JMP코드를 삽입하는데 여기에 있는 hook_by_code에서 사용하는 방식은 32비트 밖에는 안되는 것 같습니다.

한가지 질문이 있는데 32Bit에서는 Jmp [절대주소] 방식으로 사용이 가능한데 64Bit에서는 Jmp를 쓰기위해서는 rax레지스터를 이용하거나 rsp를 이용하여야 하더라구요. 이런 방식이다보니 아무리 적어도 11byte쯤? 여러가지 방법이 있지만 대충 최소 그 정도 이상의 바이트를 필요로 하게 된다고 하는것 같습니다.

그래서 뭔가 해볼려고 하는데 혹시 어셈코드에 대응되는 바이너리를 쉽게 만드는 방법이 있는지 궁금합니다; mov rax, 주소; jmp rax <-- 요러한 코드를 만든다고 했을 때 이에 대응되는 바이너리는 어떻게 하면 알 수 있는건가요? Windbg로 Attach시킨다음에 a커맨드를 이용해서 위의 코드를 넣어볼려고 했는데 rax레지스터를 쓰는게 안되더라구요.. eax는 되던데;; 그래서 훅이 되는건지 안되는건지 확인도 못해보고 -_ㅜ;

하나 더 질문드리면.. 위처럼 훅으로 박아넣는 점프코드가 길어졌는데.. 이때 이 점프코드보다 길이가 짧은함수들은 훅이 절대 불가능한건가요??

본 컬럼 테스트를 하고 있습니다.
제가 타겟으로 삼은 프로그램은 실행 하다가 "WinExec"를 통해 다른 프로세스를 생성하고 죽습니다. (즉 자식을 낳고 바로 죽는 부모의 경우)
위 글에서 보면 "WinExec, ShellExecute... 등 도 내부적으로는 CreateProcess를 호출한다고 하였는데, 제 타겟에 대해 이를 체크해보면 WinExec를 통해 자식 프로세스를 생성하므로, 결과적으로는 CreateProcess에서 훅을 걸어보면 걸리지 않습니다. (WinExec에다 걸면 잘 걸리구요.)
그래서 제 생각에는 ZwResumeThread를 한번 사용해보고 싶습니다. 코드좀 주시면 감사하겠구요.
또 하나 걸리는 부분은 부모프로세스가 WinExec를 부르고 바로 죽기때문에 부모프로세스에 훅을 걸어놓은 CreateProcess를 탐지 할 수 없는 것일 수도 있을것 같은데, 이에 대해 관리자님 생각의 어떠신지 조언 부탁드립니다.

• reversecore 2010/12/10 16:04 댓글주소 | 수정 | 삭제

  안녕하세요. ReverseCore 입니다.
  
  답변이 늦어서 죄송합니다. @@~
  
  CreateProcess() 는 내부적으로 CreateProcessInternal() 을 호출합니다. 그리고 CreateProcessInternal() 내부에서 ntdll!ZwResumeThread() 를 호출하는 식입니다.
  (http://www.reversecore.com/78 글의 <Fig. 9> 밑의 설명을 참고하세요)
  
  WinExec() 는 CreateProcessInternal() 를 바로 호출합니다. 따라서 CreateProcess() 를 후킹해서는 효과가 없습니다.
  
  ZwResumeThread() 사용 코드는 http://www.reversecore.com/80 글을 참고하시면 될것 같습니다.
  
  감사합니다.

안녕하세요.
질문이 있어서 이렇게 글을 올립니다.
첨부되어 있는 프로그램으로 실행은 잘 되는데요
문제는 vs2008로 만들어진 프로그램들, 그리고 vs2008 툴 자체는 위 dll을 injection 시키면
프로그램 자체가 실행되지 않습니다.
vs2003이나, 그외 프로그램들은 잘 동작하는데 말이죠
ASLR기능 인가 찾아 보았지만 제 pc의 환경은 xp sp3환경이어서 문제가 되지는 않을 것 같습니다.
원래 vs2008관련되어서는 dll injection 기능이 동작하지 않는것인가요?
동작하게 하려면 어떻게 해야 할지요?

• reversecore 2011/04/20 10:41 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  지금 제 환경은 Win7 64bit, WinXP SP3 32bit 인데요.
  
  말씀하신 VS2008 은 없어서 Visual C++ 2008 Express (VCExpress.exe 프로세스)에 테스트 해본 결과 정상동작 하네요.
  
  VS2008 로 제작된 파일에 인젝션 시키면 동작 안한다고 하셨는데요.
  그 파일을 제게 보내주시면 테스트 해보겠습니다.
  
  실행 파일을 zip 압축 하신 후 확장자를 zipx 로 변경하셔서 아래 메일로 보내주시기 바랍니다.
  
  reversecore@gmail.com
  
  감사합니다.

스텔스 프로세스(2)에서 올려주셨던 HideProc.exe는 XP기반에서만 작동하는 것 같더라구요

윈도우 7(Enterprise 32bit)에서 vmware-vmx.exe라는 프로세스를 숨기기 하고 싶은데

이번에 포스팅에 올려주신 파일은 notepad.exe로 고정되어 있는것 같아서요

제가 임의의 프로세스를 숨기려면 어떤 부분을 수정해서 어떻게 컴파일 해야 하는건가요?

.exe와 .dll은 한번도 컴파일해보지 않아서...

또, 수정하려면 무조건 Visual Studio가 설치되어 있어야 하는건가요?

기초 지식 없이 이렇게 물어봐서 죄송합니다

가능하시다면 jjengae@nate.com 으로 메일 부탁드릴게요

• reversecore 2011/09/28 20:36 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  위 예제에서 은폐프로세스 이름은 notepad.exe 로 하드코딩 되어 있습니다.
  
  소스코드에서 "notepad.exe" 문자열을 "vmware-vmx.exe" 문자열로 수정 후 빌드 하시면 됩니다.
  
  Visual C++ 을 한번도 사용해보지 않으셨다면 조금 어려움이 있을 수 있습니다.
  
  감사합니다.

빌드를 해야된다고 하셔서 VS2008 설치했습니다.

"notepad.exe"를 수정해야 한다고 하시는건 "stealth2.cpp"에 있는 내용을 수정하고 빌드해야 된다는 말씀이시죠?

"HideProc2.cpp"는 "멀티 바이트 문자 집합" 설정하고 컴파일 했더니 debug폴더에 실행파일이 생성되더군요. 문제는 stealth2.cpp 파일입니다.

여차여차해서 stealth2.cpp 파일을 컴파일 하려고 프로젝트 생성시에 응용프로그램 종류에서 콘솔 응용프로그램 대신 "DLL"로 셋팅하고 멀티바이트 문자 집합으로 설정했더니 오류가 나지 않더군요.

근데 컴파일 후에 나타나는 창이 무엇인지 잘 모르겠습니다. "디버그 세션이 사용할 실행 파일"이라는 창이 뜨고 "실행 파일 이름"과 "프로젝트에 액세스할 수 있는 URL"을 입력하라고 하는데 그것을 무엇으로 해야할지 잘 모르겠습니다.

요약하자면 stealth2.cpp 파일을 어떻게 .dll로 컴파일하는지 좀 알려주시면 감사하겠습니다.

혹시 .dll로 컴파일하는 포스팅은 없는건가요? 시간 되신다면 vmware-vmx.exe로 적용하여 jjengae@nate.com으로 보내주시면 감사하겠습니다. ㅜㅜ

도움 주시면 감사하겠습니다.

글 보고 메일 발송하였는데요.

• jjengae 2011/09/30 11:38 댓글주소 | 수정 | 삭제

  관심 감사합니다.
  그런데 메일을 확인해보니 메일이 도착하질 않았네요..
  죄송하지만 다시한번 메일 보내주셨으면 감사하겠습니다

제발 누가 stealth2.cpp dll로 빌드하는 방법좀 알려주실 수 없나요 ....

안녕하셰요.
메일 확인하니 주소가 틀렸어요.
VS키고 dll프로젝트를 하나 창조하지요.
다음 dll main에서 stealth2.cpp를 코피하다놓고 빌드하면 되겠지요.

• jjengae 2011/10/08 00:58 댓글주소 | 수정 | 삭제

  전에 보내셨던 메일이 어떤 내용이었는지는 모르겠지만
  보낸메일함에서 전달로 다시한번 보내주실 수 없나요?
  
  그리구 제가 일반 콘솔 프로젝트는 많이 해봤는데
  dll은 컴파일을 하면 이상한 창이 하나 뜨더라구요
  "디버그 세션이 사용할 실행 파일"이라고...
  실례가 안된다면 프로젝트 생성부터 과정을 좀 자세하게 설명좀 부탁드릴 수 있을까요?

안녕하셰요.
VS를 켜시고 File/New/Project/Win32를 선택하시지요.
dll옵션을 체크하시고 empty를 선택하세요.
그렇게하군서 stealth2.cpp를 코피하다가 빌드하세요.
dll컴파일을 하구선 loadlibrary를 사용하셰야 디버그를 할수잇어요.

드디어 빌드를 완료했습니다.

그런데 아래와 같은 증상이 나타나면서 프로세스는 사라지지 않는데, 무엇이 문제인가요 ?

C:\Work>HideProc2.exe -hide stealth.dll
OpenProcess(968) failed!!!
OpenProcess(1572) failed!!!
OpenProcess(2296) failed!!!

와 정말 장하시네요.
근데 또 에러가 있군요.
오~~~~그거 권한문제때문같아요.
안녕하셰요.

father님 항상 조언 감사합니다.
덕분에 dll 빌드하는 방법을 알았네요.
전 항상 컴파일만 돌릴생각만 하고 안된다고 생각했었는데 빌드를 해야했군요.

reversecore님 이게 권한문제때문에 발생하는 에러인가요?
만약 권한문제라면 권한 문제는 어떻게 해결해야 하나요?

새해 복 많이 받으세요 ^^*

코어님도 복 많이받으세요 ^^*

• ReverseCore 2010/01/04 23:28 댓글주소 | 수정 | 삭제

  쵸밥님, 감사합니다.

잘 읽고 갑니다 ^^
코어님도 새해복 많이 받으세요~

• ReverseCore 2010/01/04 23:28 댓글주소 | 수정 | 삭제

  Vice님, 감사합니다.

항상 눈팅만 했지 글은 처음남기네요.^^ 정말 좋은 정보 감사합니다.
새해 복 많이 받으세요 ^^

• ReverseCore 2010/01/04 23:29 댓글주소 | 수정 | 삭제

  aaaa님, 감사합니다.
  자주 들러주세요.

좋은글 잘 읽었습니다. 코드 인라인패치 후킹이 이런거였구요..^^
제가 아직 후킹에 대해서 지식이 짧습니다..그런데 궁금한 점이 있습니다.

Zw나 Nt로 시작하는 커널 API를 전역 후킹하는데 SSDT후킹과 어떤 방법이 좋을까요?.
SSDT후킹은 몇번 해봤습니다.
코드패치해서 후킹하는 방법은 특정프로세스만 후킹할때 적당해 보이네요..
원격지에 스레드를 생성하는데 모든 프로세스를 검색해서 각각 dll를 모두 일일이 인젝션한다는게.
CPU부하가 크게 느껴집니다.

• ReverseCore 2010/01/04 23:38 댓글주소 | 수정 | 삭제

  뭉이님, 안녕하세요.
  
  제 생각에는 둘 다 쓰기 편한 방법이라서 작업 용도에 따라서 적절히 골라 사용하시면 될 것 같습니다.
  
  DLL Injection 의 CPU 부하는 DLL 의 기능에 따라 좀 차이가 나겠지요? ^^

오랫만에 들려보네요~
개인적으로 다른일을 하느라 요즘들어 이분야에 소홀해졌네요 ㅠ.ㅠ
주된 밥벌이 수단이 다른걸로 바뀌다보니 여지껏 알아온 지식들에 대해 소홀해지고, 그러다보니 정말 순식간에 까먹게 되네요 ㅡㅡ;;

• reversecore 2010/01/11 20:04 댓글주소 | 수정 | 삭제

  늅늅님, 안녕하세요.
  
  업무 분야가 바뀌셨나보군요.
  나중에라도 리버싱이 필요해 질때 잊지 말고 들러 주세요~ ^^
  
  감사합니다.

드뎌 3탄이 나왔군요 좋은 글 보고 갑니다. 하나 궁금한 게 있는데요.

dll로 삽입해서 메모리를 바꿀때 memcpy를 써야 하나요? WriteProcessMemory 써야하나요?
코드 영역과 데이터 영역에 따라 맞는걸로 써야 할까요?
VirtualProtect도 역시 코드 영역과 데이터 영역 모두 쓰기 권한을 꼭 주고, 값을 써야 하는지 궁금하네요^^

참 제 홈피에 그때 문의 드렷던 rand 후킹관련해서 테스트 해보고 올리긴 했는데요.
왜 전 IAT에 rand가 존재 하지 않을까요.

새해 복 많이 받으세요^^
- 새해 힘찬 마음으로 시작하고 있는데, 야근에 심신이 다시 지치고 있는 1인 다녀갑니다.

• reversecore 2010/01/17 02:46 댓글주소 | 수정 | 삭제

  mAn1aS님, 안녕하세요.
  
  memcpy 는 현재 프로세스 메모리에만 사용할 수 있고, WriteProcessMemory 는 다른 프로세스 메모리에도 사용할 수 있습니다.
  
  물론 두 경우 모두 메모리에 "쓰기" 속성이 없다면VirtualProtect 를 이용해서 "쓰기" 속성으로 바꿔놓아야 하지요.
  
  mAn1aS님도 새해 복 많이 받으세요~
  
  감사합니다.

와우 ~ 덕분에 좋은 정보 많이 얻어갑니다 :)

• reversecore 2010/03/09 07:30 댓글주소 | 수정 | 삭제

  와우:)님, 안녕하세요.
  
  좋은 정보가 되었다니 다행이네요.
  
  감사합니다.

질문 하나 드려보겠습니다 ^^;

소스를 보면 JMP해서 우리가 만든 함수로 점프를 하게 해주는데 그 때 함수 주소 구할때
만든 함수 주소 - 오리지널 함수 주소 - 5
이렇게 해주셨던데;; 왜 위 과정을 거쳐야만 제가 만든 함수 주소가 나오는 것일까요??;;

• reversecore 2010/04/23 23:04 댓글주소 | 수정 | 삭제

  Ezbeat님, 안녕하세요.
  
  FAR JMP 명령어는 E9 XXXX 의 instruction 으로 되어있으며, 저 XXXX 가 의미하는 내용은 현재 주소로부터 점프하려는 주소와의 상대거리 입니다.
  
  또한 -5 가 의미하는 내용은 FAR JMP 명령어 길이(5 바이트)를 보정해 주는 것이지요.
  
  그냥 편하게 Intel 개발자들이 명령어를 설계할때 그렇게 설계했다고 이해하고 외워버리세요~ ^^

아~;; 소스코드 수정해보면서 OPCODE봐보니..정말 상대거리군요.. 지금까지 왜 몰랐을까요..-_-;;ㅋ
아무튼 하나하나 알아가니 재미있군요..ㅋㅋ 이제 reversecore님이 쓰신 모든 코드는 이해가 끝났습니다 ㅋㅋ ㅜ ㅜ

여기서 DLL인젝션과 API후킹을 공부해서 어디서 응용해보지 하다가..ㅋ 올디에서 제 프로그램 Attach를 막아보자라는 생각으로
DebugActiveProcess함수 후킹을 해서 성공했습니다 ;;
뭐.. 구현은.. 올디가 Attach하려는 PID값과 제 프로세스 PID값 비교해서 같으면 PID값을 임의적으로 바꿔버리는 방법을 썼어요 ㅜㅜㅋ 화이팅입니다!! ㅜㅜ 글로벌 후킹은 또 잘 안되는군요..
다시 해봐야겠습니다 흐엉~ 오늘은 토요일..

• reversecore 2010/04/25 22:57 댓글주소 | 수정 | 삭제

  Ezbeat님, 안녕하세요.
  
  와~ 응용까지 성공하셨군요...
  
  리버싱에 대해 하나하나 배워가시고 재미까지 느끼셨다니...
  대단하세요~ 아무리 선생이 우수해도 배우는 사람이 노력하지 않으면 전혀 성과가 없기 마련인데, 열심히 하셨기 때문에 좋은 성과가 나타난것 같습니다.
  
  제가 이 블로그를 운영하는 목표가 Ezbeat 님덕에 이루어 졌군요.
  드디어 성공했습니다. ^^
  
  감사합니다. 화이팅~ ^^

질문 있습니다.

kernel32.dll이 export 하고 있는 API함수를 후킹하여 시작 주소를 수정하는 것은
어느 프로세스에서 실행되든 프로세스가 영향을 받는지 궁금합니다.

DLL의 경우 한 번만 메모리에 로딩되고 나머지 프로세스들은 그 DLL을 매핑하는 방식이라고 들어서 API함수가 후킹될 경우 모든 프로세스에 영향을 미칠 것 같은데 제 생각이 맞나요?

만약 맞다고 한다면 이 함수를 후킹하고 있는 프로세스에서는 NewZwQuerySystemInformation 함수의 주소가 있으니 제대로 동작하겠지만, 다른 프로세스에서는 주소가 틀려지니 NewZwQuerySystemInformation 함수를 DLL Injection 방법으로 삽입한 다음에 사용해야 하는 건가요?

• newbie 2010/07/22 18:53 댓글주소 | 수정 | 삭제

  안녕하세요 :)
  PE파일들은 CopyOnWrite방식을 사용하고 있습니다.
  즉 dll들이 메모리에 올라와있으면 모든 프로세스가 그것을 공유하지만
  한 프로세스가 그걸 수정해버리면 수정한 부분만 그 프로세스의 고유메모리 영역에 복사해줍니다.
  그럼 수정한 부분은 더 이상 공유되는 부분이 아닌 특정 프로세스의 영역이 되고 앞서 같은
  dll을 공유하고 있던 프로세스들은 아무런 영향을 받지 않게 됩니다.
  이해 되지 않는 부분이 있으면 reversecore님께서 좀더 자세한 설명을 해주시리라 생각됩니다 :)

• reversecore 2010/07/28 16:55 댓글주소 | 수정 | 삭제

  ^^ newbie 님의 정확하고 친절한 답변 너무 감사합니다.
  
  명쾌하게 설명하셔서 저도 같이 배웠습니다.
  
  감사합니다. ^^

안녕하세요? 좋은 정보 감사 드립니다.
hook_by_code부분이 64bit에서 제대로 동작하기 위해서는 아무래도 점프 주소 계산 부분이 변경되어야 할 듯 싶은데, 어떻게 바꾸어야 할지 전혀 감이 없네요.

혹시 관련 정보, 책등이 있으시면 알려주시면 너무 감사 하겠습니다.
종종 들리겠습니다. 감사 합니다. ^^

• reversecore 2010/11/18 16:30 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  64bit Native Mode 에서 API 후킹을 말씀하시는거죠?
  
  확장된 주소체계에서 CALL rel32 형태의 명령어 패치로는 원하는 모듈 주소로 갈 수 없는게 사실입니다. FF 로 시작하는 CALL r/m64 형태의 명령어를 써야 하지요.
  
  아직 직접 관련 자료를 찾아보지는 않았습니다만... x64 가 꽤 보급된만큼 어느정도 자료는 있을꺼라 생각됩니다. ^^
  
  감사합니다.

지금만들고 있는 프로그램에서 후킹을 사용해야하는 부분이 있어서 블로그를 참조하고 있습니다
그런데 코드를 보다가 궁금한점이 생겨서 몇가지만 질문하겠습니다
코드를 보다보면 PROC, FARPROC 이런게 보이는데 선언을 찾아보니
typedef int (_stdcall *PROC)()
typedef int (_stdcall *FARPROC)()
이렇게 되있더라구요
이 둘의 차이점이 무엇인가요? 똑같은 선언임에도 불구하고 두가지로 선언되어있는 이유가 호환성 때문인거 같은데, 각각 어떤용도로 쓰이는 것인지 모르겠습니다 ㅠ
그리고 ZwQuerySystemInformation를 가리키는 함수포인터가 FARPROC형으로 선언이되있던데 ZwQuerySystemInformation의 리턴형은 NTSTATUS이고 FARPROC의 리턴형은 int형인데 FARPROC으로 선언해준이유가 NTSTATUS 구조체를 가리키는 주소값이 어차피 int형이기 때문인가요?
또, typedef int (_stdcall *PROC)() 이런 선언같은 경우는 파라메터의 종류는 상관없이 모든 함수를 전부 가리킬수 있는건가요? 예를들어
int a(void);
int b(int);
int c(char,int,long);
PROC d=a;
PROC e=b;
PROC f=c;
이렇게해도 전부 괜찮은건가요?

• reversecore 2011/04/13 00:27 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  C언어 문법에 관련된 질문을 해주셨네요~
  
  FAR 혹은 L(LONG) 등의 접두어는 의미상 편하게 구분하기 위해서 정의하는 듯 합니다. 당연히 Windows API 설계자들이 정의한 것이겠구요... 나름대로 규칙을 만든 것이라고 봐야겠죠.
  
  C 언어 타입 캐스팅은 컴파일러 문법체크를 통과하기 위한 기교라고 할 수 있고요... 어셈으로 보면 자료형의 크기만 중요시 합니다. 포인터는 타입에 상관없이 무조건 4 byte (32bit 의 경우) 이런 식으로요.
  
  그리고 올려주신 코드로 해도 되는데요. VC++ 버전에 따라서 에러를 낼 소지가 있으므로 PROC d = (PROC)a; 식으로 해주시면 좋겠지요.
  
  감사합니다.

win32API( )를 myAPI( )로 hooking을 한 상태에서 win32API()을 호출해준다고 가정할때 해당 win32API( )를 unhook을 하고 호출하는 방식을 제시하셨는데요. 이경우에대한 문제점도 지적하셨고, 매번 myAPI함수 내에서 unhook() hook()을 호출해주는 코드는 좀 거추장 스럽다는 느낌이 들더라구요.
그래서 곰곰히 생각을 해보니 해당 win32API( )의 code block을 통째로 어딘가에 copy를 해두었다가 호출하는 방식이면 어떨까요? 예상되는 문제는 win32API()의 code block의 크기과 주소가 바뀌면서 생기는 side-effect인데요. 일단 test를 해보려 하니 win32API( )의 code block의 크기를 구하는 방법을 잘 모르겠더군요.
혹시 아이디어 있으십니까?

• 뤼챠드 2011/03/25 14:22 댓글주소 | 수정 | 삭제

  훔 여기 저기 뒤져보니 실행 code block을 copy하는 방식은 아니고, 일종의 wrapper 함수를 만들어 그 안에서 my api를 호출하는 방식으로 사용하는 것 같군요. wrapper안에서 hook() unhook()을 내부적으로 처리하고 sharing 문제도 CRITICAL_SECTION을 써서 해결하면 되더라군요.
  그런데 myAPI()를 호출하기 전에 각종 parameter와 return 처리를 하기 위해 asm으로 잔뜩 먼가를 하는데 잘 이해가 안되는 군요.
  API마다 parameter가 다른데 이를 하나의 wrapper로 해결하려니 먼가 꽁수를 쓰는 것 같습니다. 필요하시면 우연히 얻는 sample을 공유해드리면 해독하는 것을 도와주시면 어떠실까요 ^^

• reversecore 2011/04/13 00:47 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  제가 소개한 방법(5 byte 패치)은 말그대로 일반적인 상황에서 잘 돌 수 있는 방법입니다.
  
  저거 외에 7 byte 패치 방법이 있는데요, 후킹 함수내에서 hook()/unhook() 을 할 필요가 없습니다. 그런데 모든 API 에서 가능한 것은 아닙니다. 특히 ntdll 에서 서비스하는 native API 들은 7 byte 후킹이 불가능 하지요.
  
  말씀하신 대로 API 코드를 통째로 copy 해두는 방법도 있습니다만, relocation 이슈를 해결해야 하는 상황이 발생합니다. (근데 이방법은 ntdll 의 native API 들한테는 잘 먹힙니다. 코드가 매우 단순하거든요.)
  
  즉, 범용적인 간단한 방법이 바로 위에서 소개한 5 byte 패치 방법이지요. ^^
  
  감사합니다.

안녕하세요, 항상 올려주시는 글을 감사히 보며 배우는 초보입니다.

질문이 두 가지 있는데요..

hook_by_code와 unhook_by_code 에서 후킹할 API를 주소를 매번 구하는데요.. 이 과정을 처음에만 해주어서 얻은 주소를 계속 사용해도 문제가 없겠죠?? 괜찮을 것 같지만 혹시 제가 모르는 예외가 있을까 싶어서 여쭤봅니다.

다른 질문은 바로 위 댓글과 관련된 내용인데요.. 글에서 소개하신 5 byte 패치 방법은 일반적인 상황에서 잘 돌 수 있는 방법이라고 하셨는데.. 이 방법이 안먹힐 경우는 어떤 경우인지 알 수 있을까요??

또 그럴 경우에는 어떤 방법을 써서 후킹할 수 있는지 간단하게나마 알려주시면 감사하겠습니다. :)

• reversecore 2011/06/03 21:17 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  정확한 API 주소를 구하셨다면 저장해 놓고 사용하셔도 무방합니다.
  
  5 byte LONG JUMP 패치 방법은 범용적인 (잘 동작하는) 방법입니다. Win32 API 를 후킹할 때 이 방법이 안먹히는 경우는 아직 본 적이 없습니다. ^^
  
  2 byte SHORT JUMP 패치 방법도 있는데요. 점프 위치가 현재 기준 -128 ~ 128 으로 제한됩니다. 만약 Win32 API 라면 Kernel32.dll 등의 라이브러리 영역 내부입니다. 근처에 빈 영역이 거의 없기 때문에 의미있는 후킹 코드를 써놓기 어렵지요.
  
  7 byte 패치는 바로 2 byte SHORT JUMP 이후에 바로 5 byte LONG JUMP 를 하는 것입니다. kernel32.dll 의 코드를 잘 보시면 함수와 함수 사이에 최소 7 byte 의 빈 영역(NOP 또는 MOV EDI, EDI 명령어)을 보실 수 있습니다. 그곳에 7 byte 점프 코드를 설치하는 것이죠.
  
  감사합니다.

안녕하세요.
좋은 글 감사합니다.

한가지 질문이 있는데요...

VS6.0 에서 컴파일 하려고 하는데 NTSTATUS, SYSTEM_INFORMATION_CLASS 등이 문제네요.
이런것 들은 도대체 어디에 있는 건지 알 수가 없는데 좀 가르쳐 주세요.

행복하세요.

안녕하세요.
디버거님, 답변 궁금하시갔는데요.
NTSTATUS는 DDK를 태우면 되시는데요 VS2008,VS2010을 태우시고
쓰시면 되세요.
안녕하세요.

안녕하세요 ^^
덕분에 좋은 지식 많이 얻어가고 있습니다.
실력이 부족해서 구글링이나 웹사이트 뒤지면서 공부 하는데요~
아래 부분은 도저히 이해가 가지 않아서 질문 좀 드립니다.

숨길프로세스 정보를 찾아서 비교한 다음 같으면 숨기는거 같은데요~
!_strcmpi 하면은 같지 않으면 아래로 이동 하는것 같은데요~

그리고, pCur->NextEntryOffset == 0 는 연결리스트 마지막인거 같은데요~
아래 소스가 이해가 되지 않습니다. ㅜㅠ
조언 좀 부탁드립니다. 수고하세요~

if(!_strcmpi(szProcName, g_szProcName))
{
// 연결 리스트에서 은폐 프로세스 제거
if(pCur->NextEntryOffset == 0)
pPrev->NextEntryOffset = 0;
else
pPrev->NextEntryOffset += pCur->NextEntryOffset;
}
else
pPrev = pCur;

• reversecore 2011/10/28 00:41 댓글주소 | 수정 | 삭제

  안녕하세요.
  
  if(!_strcmpi(szProcName, g_szProcName)) 의 의미는 두 문자열이 같으면~ 이라는 뜻이구요.
  
  pCur->NextEntryOffset == 0 는 연결리스트의 마지막이 맞습니다. 현재 프로세스가 프로세스 연결 리스트의 마지막이라면 pPrev->NextEntryOffset = 0; 명령으로 앞의 프로세스를 연결리스트 마지막으로 설정하란 뜻입니다.
  
  감사합니다.

친절하신 답변 정말 감사드립니다. ^^
수고하세요~!

ㅎㅎ 이거 꿀같은 자료입니다... 공부열심히 해서 뒤따라 가도록 하겠습니다

블로그 아주 잘보고있습니다!

하나 의문점이있어서 댓글씁니다

if(!_strcmpi(szProcName, g_szProcName))
{
// 연결 리스트에서 은폐 프로세스 제거
if(pCur->NextEntryOffset == 0)
pPrev->NextEntryOffset = 0;
else
pPrev->NextEntryOffset += pCur->NextEntryOffset;
}

위 코드에서

pPrev->NextEntryOffset += pCur->NextEntryOffset;

이것을

pPrev->NextEntryOffset = pCur->NextEntryOffset;

이렇게 해서 pPrev 의 다음리스트의 주소를 pCur의 다음 리스트의 주소로 바꿔야하지않을까요?
현재 링크스리스트를 건너뛰는거라면...

제가 착각하고있는건가요?ㅎㅎ
어쨋든 제 프로젝트에 후킹기법이 많은 도움이되었습니다 감사합니다!