실습 예제 프로그램의 소스를 분석하면서 "Code Patch" 방식의 API Hooking 에 대하여 알아 보도록 하겠습니다.

<stealth.cpp 코드 일부>


본 내용은 이전 포스트에서 이어지는 내용입니다.
API Hooking – '스텔스' 프로세스 (2)


* 참고!
모든 소스 코드는 MS Visual C++ 2008 Express Edition 으로 개발 되었으며, Windows XP SP3 환경에서 테스트 되었습니다.



HookProc.exe


HideProc.cpp


HookProc.exe 는 실행중인 모든 프로세스에 특정 DLL 파일을 Injection/Ejection 시켜주는 프로그램 입니다. 기존의 InjectDll.exe 프로그램에 모든 프로세스를 검사하는 기능을 추가한 거라고 생각하시면 됩니다.

대부분의 인젝션 코드는 기존의 InjectDll.cpp 와 같습니다. 아래 링크를 참고해 주세요.
DLL Injection – 프로세스에 침투하기 (2)


# InjectAllProcess()

새로 추가된 InjectAllProcess() 함수에 대해서 설명하겠습니다. 이 함수에서 실행중인 모든 프로세스를 검색하여 각각 DLL Injection/Ejection 을 수행합니다.

BOOL InjectAllProcess(int nMode, LPCTSTR szDllPath)
{
    DWORD                   dwPID = 0;
    HANDLE                  hSnapShot = INVALID_HANDLE_VALUE;
    PROCESSENTRY32          pe;

    // Get the snapshot of the system
    pe.dwSize = sizeof(PROCESSENTRY32);
    hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPALL, NULL);

    // find process
    Process32First(hSnapShot, &pe);
    do
    {
        dwPID = pe.th32ProcessID;

        // 시스템의 안정성을 위해서
        // PID 가 100 보다 작은 시스템 프로세스에 대해서는
        // DLL Injection 을 수행하지 않는다.

        if( dwPID < 100 )
            continue;

        if( nMode == INJECTION_MODE )
            InjectDll(dwPID, szDllPath);
        else
            EjectDll(dwPID, szDllPath);
    }while( Process32Next(hSnapShot, &pe) );

    CloseHandle(hSnapShot);

    return TRUE;
}

CreateToolhelp32Snapshot() API 를 이용해서 시스템에 실행중인 모든 프로세스 리스트를 얻어내고 Process32First() 와 Process32Next() API 를 이용해서 PID 를 구합니다.

HANDLE WINAPI CreateToolhelp32Snapshot(
  __in  DWORD dwFlags,
  __in  DWORD th32ProcessID
);

* 출처 : http://msdn.microsoft.com/en-us/library/ms682489(VS.85).aspx

BOOL WINAPI Process32First(
  __in     HANDLE hSnapshot,
  __inout  LPPROCESSENTRY32 lppe
);

* 출처 : http://msdn.microsoft.com/en-us/library/ms684834(VS.85).aspx

BOOL WINAPI Process32Next(
  __in   HANDLE hSnapshot,
  __out  LPPROCESSENTRY32 lppe
);

* 출처 : http://msdn.microsoft.com/en-us/library/ms684836(VS.85).aspx


* 주의!
미리 HideProc.exe 프로세스의 권한(특권)을 상승시켜 놓아야 전체 프로세스의 리스트를 정확하게 얻을 수 있습니다. HideProc.cpp 에서는 main() 함수에서 미리 _EnableNTPrivilege() 함수를 호출하고 이 함수 내부에서 AdjustTokenPrivileges() API 를 이용해서 권한을 얻습니다.

PID 를 구했으면 모드(INJECTION / EJECTION)에 따라 InjectDll() / EjectDll() 함수를 호출합니다.

한가지 특이한 점은 PID 값이 100 보다 작다면, 그 프로세스는 작업하지 않고 그냥 통과합니다. 그 이유는 시스템의 안정성을 위해서 시스템 프로세스(PID = 0, 4, 8, … ) 에게는 DLL Injection 하지 않는 것입니다. (이런 PID 값은 Windows XP 에 대해서 경험적으로 얻은 값으로써 다른 Windows 버전에서는 시스템 프로세스의 PID 값이 달라 질 수 있습니다.)



stealth.dll


stealth.cpp


# SetProcName()

먼저 export 함수인 SetProcName() 을 살펴보겠습니다.

// global variable (in sharing memory)
#pragma comment(linker, "/SECTION:.SHARE,RWS")
#pragma data_seg(".SHARE")
    char g_szProcName[MAX_PATH] = {0,};
#pragma data_seg()

// export function
#ifdef __cplusplus
extern "C" {
#endif
__declspec(dllexport) void SetProcName(LPCTSTR szProcName)
{
    strcpy_s(g_szProcName, szProcName);
}
#ifdef __cplusplus
}
#endif

위 코드를 보시면 “.SHARE” 이름의 공유 메모리 섹션을 만들고 g_szProcName 버퍼를 생성합니다. 그리고 export 함수인 SetProcName() 에 의해서 은폐 시키고 싶은 프로세스 이름을 g_szProcName 에 저장시킵니다. (SetProcName() 함수는 HookProc.exe 에서 호출됩니다.)

* 참고
g_szProcName 버퍼를 공유 메모리 섹션에 만들면 stealth.dll 이 모든 프로세스에게 인젝션 될 때 간단하게 은폐 프로세스 이름을 공유 시킬 수 있는 장점이 있습니다. (향후 프로그램을 더 발전 시켜서 동적으로 은폐 프로세스를 다른 걸로 변경시킬 수도 있습니다.)



# DllMain()

그럼 DllMain() 함수를 살펴볼까요?

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    char            szCurProc[MAX_PATH] = {0,};
    char            *p = NULL;

    // #1. 예외처리
    // 현재 프로세스가 HookProc.exe 라면 후킹하지 않고 종료
    GetModuleFileName(NULL, szCurProc, MAX_PATH);
    p = strrchr(szCurProc, '\\');
    if( (p != NULL) && !_stricmp(p+1, "HideProc.exe") )
        return TRUE;

    switch( fdwReason )
    {
        // #2. API Hooking
        case DLL_PROCESS_ATTACH :
        hook_by_code("ntdll.dll", "ZwQuerySystemInformation",
                     (PROC)NewZwQuerySystemInformation, g_pOrgBytes);
        break;

        // #3. API Unhooking
        case DLL_PROCESS_DETACH :
        unhook_by_code("ntdll.dll", "ZwQuerySystemInformation",
                       g_pOrgBytes);
        break;
    }

    return TRUE;
}

DllMain() 은 보시다시피 매우 간단합니다.

먼저 문자열 비교를 통해 프로세스 이름이 "HookProc.exe" 라면 API 후킹하지 않도록 예외처리를 해둡니다. 모든 프로세스를 정확히 검색하기 위해서 HookProc.exe 자신은 후킹 당하면 안되겠죠? (후킹 당하면 HookProc.exe 자신도 은폐 프로세스를 볼 수 없고, stealth.dll 을 인젝션 시킬 수 없기 때문입니다.)

그리고 DLL_PROCESS_ATTACH 이벤트에 hook_by_code() 함수로 API 를 후킹하고, DLL_PROCESS_DETACH 이벤트에 unhook_by_code() 함수로 API 후킹을 해제 시킵니다.


# hook_by_code()

코드 패치를 이용하여 API 를 후킹하는 hook_by_code() 함수 입니다.

BOOL hook_by_code(LPCTSTR szDllName, LPCTSTR szFuncName, PROC pfnNew, PBYTE pOrgBytes)
{
    FARPROC pfnOrg;
    DWORD dwOldProtect, dwAddress;
    BYTE pBuf[5] = {0xE9, 0, };
    PBYTE pByte;

    // 후킹대상 API 주소를 구한다
    pfnOrg = (FARPROC)GetProcAddress(GetModuleHandle(szDllName), szFuncName);
    pByte = (PBYTE)pfnOrg;

    // 만약 이미 후킹되어 있다면 return FALSE
    if( pByte[0] == 0xE9 )
        return FALSE;

    // 5 byte 패치를 위하여 메모리에 WRITE 속성 추가
    VirtualProtect((LPVOID)pfnOrg, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);

    // 기존코드 (5 byte) 백업
    memcpy(pOrgBytes, pfnOrg, 5);

    // JMP 주소계산 (E9 XXXX)
    // => XXXX = pfnNew - pfnOrg - 5
    dwAddress = (DWORD)pfnNew - (DWORD)pfnOrg - 5;
    memcpy(&pBuf[1], &dwAddress, 4);

    // Hook - 5 byte 패치(JMP XXXX)
    memcpy(pfnOrg, pBuf, 5);

    // 메모리 속성 복원
    VirtualProtect((LPVOID)pfnOrg, 5, dwOldProtect, &dwOldProtect);

    return TRUE;
}

hook_by_code() 함수 파라미터 소개입니다.

LPCTSTR szDllName  : [IN] 후킹하려는 API 가 포함된 DLL 파일 이름
LPCTSTR szFuncName : [IN] 후킹하려는 API 이름
PROC pfnNew        : [IN] 사용자가 제공한 후킹함수 주소
PBYTE pOrgBytes    : [OUT] 원본 5 byte 를 저장시킬 버퍼 – 나중에 unhook 에서 사용됨

동작원리에서 설명 드렸듯이 hook_by_code() 함수의 기능은 원본 API 코드 시작부분의 5 byte 를 "JMP XXXX" 명령어로 변경하는 것입니다.

참고 API Hooking – '스텔스' 프로세스 (1)

소스 코드가 간단하여 주석을 보시면 대부분 쉽게 이해가 되는 내용입니다만, 중간의 점프 주소 계산 부분은 리버싱에서 매우 중요한 내용이기 때문에 자세히 살펴보도록 하겠습니다.

Intel x86 (IA-32) Instruction Format 에 따르면 JMP 명령어의 Op Code(Operation Code) 는 'E9' 입니다. 그리고 뒤에 4 byte 값이 이어집니다.

즉, JMP 명령어의 Op Code 는 "E9 XXXX" 형태가 됩니다.

문제는 XXXX 의 값이 JMP 할 절대 주소 값이 아니라, 현재 JMP 명령어 에서부터 JMP 할 위치까지의 상대 거리입니다. 이것은 아래의 공식으로 구할 수 있습니다.

XXXX = 점프할 주소 – 현재 명령어 주소 - 5

마지막에 5 를 더 빼주는 이유는 JMP 명령어 자체 길이 5 byte 를 보정해 주는 것입니다.

예를 들어 402000 주소의 JMP 명령어에서 401000 주소로 가고 싶을 때는 "E9 00104000" 이라고 쓰는 것이 아니고, 위 계산 공식대로 적용해서 XXXX 값을 구해야 합니다.

XXXX = 401000 – 402000 – 5 = FFFFEFFB

따라서 이 JMP 명령어의 Op Code 는 "E9 FBEFFFFF" 입니다.

OllyDbg 의 [Assemble] 또는 [Edit] 기능으로 확인해 보시기 바랍니다.


<Fig. 1>

* 참고 1
JMP 말고 short JMP 명령이 있습니다. 말 그대로 짧은 거리를 점프 할 때 쓰이는 명령어로 Op Code 는 "EB X" 입니다. (명령어 크기 2 byte)
OllyDbg 에서 'EB' 명령어도 테스트 해보시기 바랍니다.

* 참고 2
위와 같이 상대 거리 를 계산해서 JMP 명령어를 써주는 것이 좀 불편해 보일 수 있습니다.
물론 다른 명령어를 써서 절대 주소로 JMP 할 수 도 있습니다.

예1) PUSH + RET 
  68 00104000    PUSH 00401000
  C3             RETN

예2) MOV + JMP
  B8 00104000    MOV EAX, 00401000
  FFE0           JMP EAX


* 참고 3
32bit 주소 계산 하실 때 Windows 계산기는 좀 불편합니다.
다양한 기능이 있는 32bit Calculator v1.7 by cybult 를 추천합니다.

* 향후 x86 Op Code Map 을 해석하는 방법에 대해서 글을 올리도록 하겠습니다.


실제로 hook_by_code() 함수에 의해서 ZwQuerySystemInformation() API 가 후킹 되기 전/후의 모습을 디버거를 통하여 살펴 보도록 하겠습니다. (해당 프로세스는 procexp.exe 입니다.)

먼저 API 후킹 전의 ZwQuerySystemInformation() API 코드 입니다.

<Fig. 2>

ZwQuerySystemInformation() 주소는 7C93D92E 이며, 명령어 코드는 아래와 같습니다.

7C93D92E    B8 AD000000     MOV EAX, 0AD


이제 stealth.dll 이 인젝션 되면서 hook_by_code() 함수에 의해서 API 가 후킹된 이후의 코드입니다.

<Fig. 3>

ZwQuerySystemInformation() 코드 시작 명령어가 아래와 같이 변경 되었습니다. (정확히 5 byte)

7C93D92E    E9 ED376C93     JMP 10001120

10001120 주소는 바로 후킹 함수 NewZwQuerySystemInformation() 의 주소입니다.
그리고 E9 뒤의 4 byte (936C37ED) 값은 바로 위에서 설명 드린 계산 공식에 의해서 구할 수 있습니다. (한번씩 직접 해보시기 바랍니다.)


# unhook_by_code() 

후킹을 해제하는 unhook_by_code() 코드 입니다.

BOOL unhook_by_code(LPCTSTR szDllName, LPCTSTR szFuncName, PBYTE pOrgBytes)
{
    FARPROC pFunc;
    DWORD dwOldProtect;

    // API 주소 구한다
    pFunc = GetProcAddress(GetModuleHandle(szDllName), szFuncName);

    // 원래 코드 (5 byte)를 덮어쓰기 위해 메모리에 WRITE 속성 추가
    VirtualProtect((LPVOID)pFunc, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);

    // Unhook
    memcpy(pFunc, pOrgBytes, 5);

    // 메모리 속성 복원
    VirtualProtect((LPVOID)pFunc, 5, dwOldProtect, &dwOldProtect);

    return TRUE;
}

Unhook 의 동작원리는 원래 코드의 5 byte 를 복원해 주는 것입니다.
코드가 단순하므로 설명은 주석으로 대체 합니다.


# NewZwQuerySystemInformation()

마지막으로 후킹함수 NewZwQuerySystemInformation() 에 대해서 살펴볼 시간입니다.

하지만 그전에 먼저 ntdll!ZwQuerySystemInfomation() API 에 대해서 알아야 합니다.

NTSTATUS WINAPI ZwQuerySystemInformation(
  __in       SYSTEM_INFORMATION_CLASS SystemInformationClass,
  __inout    PVOID SystemInformation,
  __in       ULONG SystemInformationLength,
  __out_opt  PULONG ReturnLength
);

typedef struct _SYSTEM_PROCESS_INFORMATION {
    ULONG NextEntryOffset;
    ULONG NumberOfThreads;
    BYTE Reserved1[48];
    PVOID Reserved2[3];
    HANDLE UniqueProcessId;
    PVOID Reserved3;
    ULONG HandleCount;
    BYTE Reserved4[4];
    PVOID Reserved5[11];
    SIZE_T PeakPagefileUsage;
    SIZE_T PrivatePageCount;
    LARGE_INTEGER Reserved6[6];
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;

* 출처 : http://msdn.microsoft.com/en-us/library/ms725506(VS.85).aspx

간단히 설명해서 SystemInformationClass 파라미터에 SystemProcessInformation (5) 으로 세팅하고 ZwQuerySystemInformation() API 를 호출하면 SystemInformation [inout] 파라미터에 SYSTEM_PROCESS_INFORMATION 구조체 단방향 연결 리스트(single linked list)의 시작 주소가 얻어집니다.

바로 이 구조체 연결 리스트에 실행중인 모든 프로세스들의 정보가 담겨 있습니다.

따라서 프로세스 은폐를 구현하려면 은폐하고 싶은 프로세스에 해당하는 리스트 멤버를 찾아서 리스트 연결을 끊어 버리면 됩니다.

아래 NewZwQuerySystemInformation() 코드를 살펴 보면서 실제로 어떤식으로 구현되었는지 알아보겠습니다.

NTSTATUS WINAPI NewZwQuerySystemInformation(
                SYSTEM_INFORMATION_CLASS SystemInformationClass,
                PVOID SystemInformation,
                ULONG SystemInformationLength,
                PULONG ReturnLength)
{
    NTSTATUS status;
    FARPROC pFunc;
    PSYSTEM_PROCESS_INFORMATION pCur, pPrev;
    char szProcName[MAX_PATH] = {0,};

    // 작업 전에 unhook
    unhook_by_code("ntdll.dll", "ZwQuerySystemInformation", g_pOrgBytes);

    // original API 호출
    pFunc = GetProcAddress(GetModuleHandle("ntdll.dll"),
                           "ZwQuerySystemInformation");
    status = ((PFZWQUERYSYSTEMINFORMATION)pFunc)
              (SystemInformationClass, SystemInformation,
              SystemInformationLength, ReturnLength);

    if( status != STATUS_SUCCESS )
        goto __NTQUERYSYSTEMINFORMATION_END;

    // SystemProcessInformation 인 경우만 작업함
    if( SystemInformationClass == SystemProcessInformation )
    {
        // SYSTEM_PROCESS_INFORMATION 타입 캐스팅
        // pCur 는 single linked list 의 head

        pCur = (PSYSTEM_PROCESS_INFORMATION)SystemInformation;

        while(TRUE)
        {
            // wide character => multi byte 변환
            WideCharToMultiByte(CP_ACP, 0, (PWSTR)pCur->Reserved2[1],
                                -1, szProcName, MAX_PATH, NULL, NULL);

            // 프로세스 이름 비교
            // g_szProcName = 은폐 하려는 프로세스 이름
            // (=> SetProcName() 에서 세팅됨)

            if(!_strcmpi(szProcName, g_szProcName))
            {
                // 연결 리스트에서 은폐 프로세스 제거
                if(pCur->NextEntryOffset == 0)
                    pPrev->NextEntryOffset = 0;
                else
                    pPrev->NextEntryOffset += pCur->NextEntryOffset;
            }
            else  
                pPrev = pCur;

            if(pCur->NextEntryOffset == 0)
                break;

            // 연결 리스트의 다음 항목
            pCur = (PSYSTEM_PROCESS_INFORMATION)
                    ((ULONG)pCur + pCur->NextEntryOffset);
        }
    }

__NTQUERYSYSTEMINFORMATION_END:

    // 함수 종료전에 다시 API Hooking
    hook_by_code("ntdll.dll", "ZwQuerySystemInformation",
                 (PROC)NewZwQuerySystemInformation, g_pOrgBytes);

    return status;
}

위 NewZwQuerySystemInformation() 함수의 구조를 간단히 설명 드리면 아래와 같습니다.

- 언훅(unhook) ZwQuerySystemInformation()
- ZwQuerySystemInformation() 호출
- SYSTEM_PROCESS_INFORMATION 구조체 연결 리스트를 검사하면서 은폐 프로세스 찾음
- 은폐 프로세스를 찾으면 리스트에서 제거
- 훅(hook) ZwQuerySystemInformation()


NewZwQuerySystemInformation() 코드의 중간쯤 while() 문을 보시면 SYSTEM_PROCESS_INFORMATION 구조체 연결 리스트를 검사하면서 프로세스 이름(pCur->Reserved2[1])을 비교합니다. (프로세스 이름은 Unicode 문자열이기 때문에 간단히 ASCII 로 변경 후 strcmp_i() 함수를 사용했습니다.)

...
// wide character => multi byte 변환
WideCharToMultiByte(CP_ACP, 0, (PWSTR)pCur->Reserved2[1],
-1, szProcName, MAX_PATH, NULL, NULL);

// 프로세스 이름 비교
// g_szProcName = 은폐 하려는 프로세스 이름
// (=> SetProcName() 에서 세팅됨)

if(!_strcmpi(szProcName, g_szProcName))
{
...

함수의 동작 원리만 이해하시면 (주석과 함께) 코드를 보시는데 어려움이 없으실 걸로 생각합니다.


다음 번에는 Global API Hooking 에 대해서 배워보도록 하겠습니다.

API Hooking – '스텔스' 프로세스 (4)


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

저작자 표시 비영리 변경 금지
신고
    이전 댓글 더보기
  1. Ezbeat 2010.04.24 17:25 신고 댓글주소 | 수정 | 삭제 | 댓글

    아~;; 소스코드 수정해보면서 OPCODE봐보니..정말 상대거리군요.. 지금까지 왜 몰랐을까요..-_-;;ㅋ
    아무튼 하나하나 알아가니 재미있군요..ㅋㅋ 이제 reversecore님이 쓰신 모든 코드는 이해가 끝났습니다 ㅋㅋ ㅜ ㅜ

    여기서 DLL인젝션과 API후킹을 공부해서 어디서 응용해보지 하다가..ㅋ 올디에서 제 프로그램 Attach를 막아보자라는 생각으로
    DebugActiveProcess함수 후킹을 해서 성공했습니다 ;;
    뭐.. 구현은.. 올디가 Attach하려는 PID값과 제 프로세스 PID값 비교해서 같으면 PID값을 임의적으로 바꿔버리는 방법을 썼어요 ㅜㅜㅋ 화이팅입니다!! ㅜㅜ 글로벌 후킹은 또 잘 안되는군요..
    다시 해봐야겠습니다 흐엉~ 오늘은 토요일..

    • reversecore 2010.04.25 22:57 신고 댓글주소 | 수정 | 삭제

      Ezbeat님, 안녕하세요.

      와~ 응용까지 성공하셨군요...

      리버싱에 대해 하나하나 배워가시고 재미까지 느끼셨다니...
      대단하세요~ 아무리 선생이 우수해도 배우는 사람이 노력하지 않으면 전혀 성과가 없기 마련인데, 열심히 하셨기 때문에 좋은 성과가 나타난것 같습니다.

      제가 이 블로그를 운영하는 목표가 Ezbeat 님덕에 이루어 졌군요.
      드디어 성공했습니다. ^^

      감사합니다. 화이팅~ ^^

  2. Somebody 2010.07.22 10:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    질문 있습니다.

    kernel32.dll이 export 하고 있는 API함수를 후킹하여 시작 주소를 수정하는 것은
    어느 프로세스에서 실행되든 프로세스가 영향을 받는지 궁금합니다.

    DLL의 경우 한 번만 메모리에 로딩되고 나머지 프로세스들은 그 DLL을 매핑하는 방식이라고 들어서 API함수가 후킹될 경우 모든 프로세스에 영향을 미칠 것 같은데 제 생각이 맞나요?

    만약 맞다고 한다면 이 함수를 후킹하고 있는 프로세스에서는 NewZwQuerySystemInformation 함수의 주소가 있으니 제대로 동작하겠지만, 다른 프로세스에서는 주소가 틀려지니 NewZwQuerySystemInformation 함수를 DLL Injection 방법으로 삽입한 다음에 사용해야 하는 건가요?

    • newbie 2010.07.22 18:53 신고 댓글주소 | 수정 | 삭제

      안녕하세요 :)
      PE파일들은 CopyOnWrite방식을 사용하고 있습니다.
      즉 dll들이 메모리에 올라와있으면 모든 프로세스가 그것을 공유하지만
      한 프로세스가 그걸 수정해버리면 수정한 부분만 그 프로세스의 고유메모리 영역에 복사해줍니다.
      그럼 수정한 부분은 더 이상 공유되는 부분이 아닌 특정 프로세스의 영역이 되고 앞서 같은
      dll을 공유하고 있던 프로세스들은 아무런 영향을 받지 않게 됩니다.
      이해 되지 않는 부분이 있으면 reversecore님께서 좀더 자세한 설명을 해주시리라 생각됩니다 :)

    • reversecore 2010.07.28 16:55 신고 댓글주소 | 수정 | 삭제

      ^^ newbie 님의 정확하고 친절한 답변 너무 감사합니다.

      명쾌하게 설명하셔서 저도 같이 배웠습니다.

      감사합니다. ^^

  3. 토터스 2010.11.17 21:03 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요? 좋은 정보 감사 드립니다.
    hook_by_code부분이 64bit에서 제대로 동작하기 위해서는 아무래도 점프 주소 계산 부분이 변경되어야 할 듯 싶은데, 어떻게 바꾸어야 할지 전혀 감이 없네요.

    혹시 관련 정보, 책등이 있으시면 알려주시면 너무 감사 하겠습니다.
    종종 들리겠습니다. 감사 합니다. ^^

    • reversecore 2010.11.18 16:30 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      64bit Native Mode 에서 API 후킹을 말씀하시는거죠?

      확장된 주소체계에서 CALL rel32 형태의 명령어 패치로는 원하는 모듈 주소로 갈 수 없는게 사실입니다. FF 로 시작하는 CALL r/m64 형태의 명령어를 써야 하지요.

      아직 직접 관련 자료를 찾아보지는 않았습니다만... x64 가 꽤 보급된만큼 어느정도 자료는 있을꺼라 생각됩니다. ^^

      감사합니다.

  4. 안녕하세요 2011.01.20 04:20 신고 댓글주소 | 수정 | 삭제 | 댓글

    지금만들고 있는 프로그램에서 후킹을 사용해야하는 부분이 있어서 블로그를 참조하고 있습니다
    그런데 코드를 보다가 궁금한점이 생겨서 몇가지만 질문하겠습니다
    코드를 보다보면 PROC, FARPROC 이런게 보이는데 선언을 찾아보니
    typedef int (_stdcall *PROC)()
    typedef int (_stdcall *FARPROC)()
    이렇게 되있더라구요
    이 둘의 차이점이 무엇인가요? 똑같은 선언임에도 불구하고 두가지로 선언되어있는 이유가 호환성 때문인거 같은데, 각각 어떤용도로 쓰이는 것인지 모르겠습니다 ㅠ
    그리고 ZwQuerySystemInformation를 가리키는 함수포인터가 FARPROC형으로 선언이되있던데 ZwQuerySystemInformation의 리턴형은 NTSTATUS이고 FARPROC의 리턴형은 int형인데 FARPROC으로 선언해준이유가 NTSTATUS 구조체를 가리키는 주소값이 어차피 int형이기 때문인가요?
    또, typedef int (_stdcall *PROC)() 이런 선언같은 경우는 파라메터의 종류는 상관없이 모든 함수를 전부 가리킬수 있는건가요? 예를들어
    int a(void);
    int b(int);
    int c(char,int,long);
    PROC d=a;
    PROC e=b;
    PROC f=c;
    이렇게해도 전부 괜찮은건가요?

    • reversecore 2011.04.13 00:27 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      C언어 문법에 관련된 질문을 해주셨네요~

      FAR 혹은 L(LONG) 등의 접두어는 의미상 편하게 구분하기 위해서 정의하는 듯 합니다. 당연히 Windows API 설계자들이 정의한 것이겠구요... 나름대로 규칙을 만든 것이라고 봐야겠죠.

      C 언어 타입 캐스팅은 컴파일러 문법체크를 통과하기 위한 기교라고 할 수 있고요... 어셈으로 보면 자료형의 크기만 중요시 합니다. 포인터는 타입에 상관없이 무조건 4 byte (32bit 의 경우) 이런 식으로요.

      그리고 올려주신 코드로 해도 되는데요. VC++ 버전에 따라서 에러를 낼 소지가 있으므로 PROC d = (PROC)a; 식으로 해주시면 좋겠지요.

      감사합니다.

  5. 뤼챠드 2011.03.23 23:01 신고 댓글주소 | 수정 | 삭제 | 댓글

    win32API( )를 myAPI( )로 hooking을 한 상태에서 win32API()을 호출해준다고 가정할때 해당 win32API( )를 unhook을 하고 호출하는 방식을 제시하셨는데요. 이경우에대한 문제점도 지적하셨고, 매번 myAPI함수 내에서 unhook() hook()을 호출해주는 코드는 좀 거추장 스럽다는 느낌이 들더라구요.
    그래서 곰곰히 생각을 해보니 해당 win32API( )의 code block을 통째로 어딘가에 copy를 해두었다가 호출하는 방식이면 어떨까요? 예상되는 문제는 win32API()의 code block의 크기과 주소가 바뀌면서 생기는 side-effect인데요. 일단 test를 해보려 하니 win32API( )의 code block의 크기를 구하는 방법을 잘 모르겠더군요.
    혹시 아이디어 있으십니까?

    • 뤼챠드 2011.03.25 14:22 신고 댓글주소 | 수정 | 삭제

      훔 여기 저기 뒤져보니 실행 code block을 copy하는 방식은 아니고, 일종의 wrapper 함수를 만들어 그 안에서 my api를 호출하는 방식으로 사용하는 것 같군요. wrapper안에서 hook() unhook()을 내부적으로 처리하고 sharing 문제도 CRITICAL_SECTION을 써서 해결하면 되더라군요.
      그런데 myAPI()를 호출하기 전에 각종 parameter와 return 처리를 하기 위해 asm으로 잔뜩 먼가를 하는데 잘 이해가 안되는 군요.
      API마다 parameter가 다른데 이를 하나의 wrapper로 해결하려니 먼가 꽁수를 쓰는 것 같습니다. 필요하시면 우연히 얻는 sample을 공유해드리면 해독하는 것을 도와주시면 어떠실까요 ^^

    • reversecore 2011.04.13 00:47 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      제가 소개한 방법(5 byte 패치)은 말그대로 일반적인 상황에서 잘 돌 수 있는 방법입니다.

      저거 외에 7 byte 패치 방법이 있는데요, 후킹 함수내에서 hook()/unhook() 을 할 필요가 없습니다. 그런데 모든 API 에서 가능한 것은 아닙니다. 특히 ntdll 에서 서비스하는 native API 들은 7 byte 후킹이 불가능 하지요.

      말씀하신 대로 API 코드를 통째로 copy 해두는 방법도 있습니다만, relocation 이슈를 해결해야 하는 상황이 발생합니다. (근데 이방법은 ntdll 의 native API 들한테는 잘 먹힙니다. 코드가 매우 단순하거든요.)

      즉, 범용적인 간단한 방법이 바로 위에서 소개한 5 byte 패치 방법이지요. ^^

      감사합니다.

  6. BM 2011.06.02 10:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요, 항상 올려주시는 글을 감사히 보며 배우는 초보입니다.

    질문이 두 가지 있는데요..

    hook_by_code와 unhook_by_code 에서 후킹할 API를 주소를 매번 구하는데요.. 이 과정을 처음에만 해주어서 얻은 주소를 계속 사용해도 문제가 없겠죠?? 괜찮을 것 같지만 혹시 제가 모르는 예외가 있을까 싶어서 여쭤봅니다.

    다른 질문은 바로 위 댓글과 관련된 내용인데요.. 글에서 소개하신 5 byte 패치 방법은 일반적인 상황에서 잘 돌 수 있는 방법이라고 하셨는데.. 이 방법이 안먹힐 경우는 어떤 경우인지 알 수 있을까요??

    또 그럴 경우에는 어떤 방법을 써서 후킹할 수 있는지 간단하게나마 알려주시면 감사하겠습니다. :)

    • reversecore 2011.06.03 21:17 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      정확한 API 주소를 구하셨다면 저장해 놓고 사용하셔도 무방합니다.

      5 byte LONG JUMP 패치 방법은 범용적인 (잘 동작하는) 방법입니다. Win32 API 를 후킹할 때 이 방법이 안먹히는 경우는 아직 본 적이 없습니다. ^^

      2 byte SHORT JUMP 패치 방법도 있는데요. 점프 위치가 현재 기준 -128 ~ 128 으로 제한됩니다. 만약 Win32 API 라면 Kernel32.dll 등의 라이브러리 영역 내부입니다. 근처에 빈 영역이 거의 없기 때문에 의미있는 후킹 코드를 써놓기 어렵지요.

      7 byte 패치는 바로 2 byte SHORT JUMP 이후에 바로 5 byte LONG JUMP 를 하는 것입니다. kernel32.dll 의 코드를 잘 보시면 함수와 함수 사이에 최소 7 byte 의 빈 영역(NOP 또는 MOV EDI, EDI 명령어)을 보실 수 있습니다. 그곳에 7 byte 점프 코드를 설치하는 것이죠.

      감사합니다.

  7. jjengage_father CPP 2011.10.11 20:33 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    디버거님, 답변 궁금하시갔는데요.
    NTSTATUS는 DDK를 태우면 되시는데요 VS2008,VS2010을 태우시고
    쓰시면 되세요.
    안녕하세요.

  8. 디버거 2011.10.13 11:55 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    좋은 글 감사합니다.

    한가지 질문이 있는데요...

    VS6.0 에서 컴파일 하려고 하는데 NTSTATUS, SYSTEM_INFORMATION_CLASS 등이 문제네요.
    이런것 들은 도대체 어디에 있는 건지 알 수가 없는데 좀 가르쳐 주세요.

    행복하세요.

  9. 팔극진 2011.10.19 15:50 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 ^^
    덕분에 좋은 지식 많이 얻어가고 있습니다.
    실력이 부족해서 구글링이나 웹사이트 뒤지면서 공부 하는데요~
    아래 부분은 도저히 이해가 가지 않아서 질문 좀 드립니다.

    숨길프로세스 정보를 찾아서 비교한 다음 같으면 숨기는거 같은데요~
    !_strcmpi 하면은 같지 않으면 아래로 이동 하는것 같은데요~

    그리고, pCur->NextEntryOffset == 0 는 연결리스트 마지막인거 같은데요~
    아래 소스가 이해가 되지 않습니다. ㅜㅠ
    조언 좀 부탁드립니다. 수고하세요~

    if(!_strcmpi(szProcName, g_szProcName))
    {
    // 연결 리스트에서 은폐 프로세스 제거
    if(pCur->NextEntryOffset == 0)
    pPrev->NextEntryOffset = 0;
    else
    pPrev->NextEntryOffset += pCur->NextEntryOffset;
    }
    else
    pPrev = pCur;

    • reversecore 2011.10.28 00:41 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      if(!_strcmpi(szProcName, g_szProcName)) 의 의미는 두 문자열이 같으면~ 이라는 뜻이구요.

      pCur->NextEntryOffset == 0 는 연결리스트의 마지막이 맞습니다. 현재 프로세스가 프로세스 연결 리스트의 마지막이라면 pPrev->NextEntryOffset = 0; 명령으로 앞의 프로세스를 연결리스트 마지막으로 설정하란 뜻입니다.

      감사합니다.

  10. 팔극진 2011.10.31 14:51 신고 댓글주소 | 수정 | 삭제 | 댓글

    친절하신 답변 정말 감사드립니다. ^^
    수고하세요~!

  11. Midkiz 2011.11.07 11:00 신고 댓글주소 | 수정 | 삭제 | 댓글

    ㅎㅎ 이거 꿀같은 자료입니다... 공부열심히 해서 뒤따라 가도록 하겠습니다

  12. kimpilgu 2012.05.09 18:11 신고 댓글주소 | 수정 | 삭제 | 댓글

    수고많으십니다.^^ SetPrivilege() 함수는 권한설정같은데 어떤역할을 하는지 궁금합니다...

  13. HongJi 2012.06.19 23:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 코님.
    좋은글 정말 잘 읽고 많이 배웁니다.
    한가지 질문이 있습니다.
    팔극진님이 질문하셨던 NewZwQuerySystemInformation에서 말이지요.
    만일 첫번째 프로쎄스가 stealth 프로쎄스여서 그것을 숨기자면 어찌 해야 할지요.
    그리고 현재 코드에 버그가 있네요 첫번째 프로세스가 stealth프로세스면 동작은 물론 pPrev가 초기화되지 않은 상태에서 작동하므로 예상치 못할 버그를 발생시킬수 있을것 같습니다.
    아무리 머리를 굴려도 첫번째 프로세스가 스텔스프로세스라면 어떻게 감춰야 할지 떠오르지 않네요.
    일단은 다음과 같이 수정은 해놓았습니다.
    if(pCur->NextEntryOffset == 0 && pPrev)
    pPrev->NextEntryOffset = 0;
    else
    pPrev->NextEntryOffset += pCur->NextEntryOffset;

    *((PWSTR)pCur->Reserved2[1]) = 0; //erase process name;

    정확한 답변부탁드립니다.

    • reversecore 2012.06.23 01:05 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      네, 코드상으로 보니 pPrev 를 초기화 하지 않았고, 사용함에 있어서도 유효한 포인터인지 검증하지 않았네요.

      좋은 지적 감사합니다. ^^~

      감사합니다.

  14. 2012.06.20 00:20 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2012.06.23 01:08 신고 댓글주소 | 수정 | 삭제

      온라인 게임 클라이언트 말씀이신가요?
      게임 클라이언트가 실행되는 IP 를 숨기고 싶으시다고요?
      DDoS 공격을 위해서요? (그 반대인가요?)
      어쨌든 제가 약간 우려되는 부분이네요~ @@~

  15. HongJi 2012.06.25 10:41 신고 댓글주소 | 수정 | 삭제 | 댓글

    답변감사합니다.
    어떤 온라인 게임 클라이언트를 노는 사람들이 가능한 어떤 방법으로든 그게임의 써버 ip를 알지 못하게 하여 DDOS공격을 시도조차 못하게 하려고 합니다.
    인터넷에 보니 DDOS공격 도구들이 Free로 나돌아 누구나 막 DDOS를 시도할수 있는 가능성이 높아서요. 프로가 아닌 사람들이 맘대로 공격하는것을 막으려고 합니다.

  16. HongJi 2012.06.25 10:47 신고 댓글주소 | 수정 | 삭제 | 댓글

    한가지 질문 더 드릴게요.
    코어님의 코드를 다운하여 Win7에서 DLL Injection은 성공했습니다.
    그런데 MFC Dialog형식으로 제가 만든 프로젝트에서 DLL Injection시에는 NtCreateThreadEx를 API후킹한 부분을 실행하다 BlueScreen이 나오는데 초보인 저로서는 원인이 무엇인지 감이 전혀 안오네요.
    필요하시다면 저의 쏘스를 보내드릴수 있는데 원인해결 부탁드리고 싶습니다.
    언제나 방문자님들에게 친절한 코어님께 감사드립니다.

  17. 알려주세요 2012.07.01 21:04 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.

    되도록 구글신의 힘을 빌려서 혼자 해결해려 했지만 너무 어려워서 질문 올립니다.

    Hookproc.cpp 의 내용을 쭉 읽다가 _EnableNTPrivilege 함수 부분에서 꽉 막혀버렸습니다.

    읽어도 이해가 가질 않네요.... 혹시 이 함수의 내용이나 내부 함수에 대해서 설명 해 주시거나

    링크가 있을까요...?

  18. 인찡 2012.10.23 01:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요 프로그래밍 지식이 부족한 상황에서 선생님의 책을 사서 보고 있습니다
    c를 잘 모르는데 리버싱을 공부 할 수 있나요 api를 잘 모르는데 공부 할 수있나요
    서문에 적어주신 가장 많은 질문이라고 그에 대한답변을 적어 주신게 너무 좋게 들렸습니다 ㅠ
    결론은 제가 프로그래밍을 잘몰라서요 ㅠㅠ
    책에 보면 스텔스 프로세스 부분에 stealth2.dll 부터는 notepad를 자동으로 되게 하드코딩하셨자나요

    그런식으로 그냥 hideproc2.exe -hide stealth2.dll 이것까지 다 하드코딩 하려면 어느부분을 수정하여야 하나 힌트 좀 구할수 잇을까요 ㅠ

    • reversecore 2012.10.23 21:41 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      HideProc2.cpp 파일의 _tmain() 을 아래와 같이 변경하시면 됩니다.

      int _tmain(int argc, TCHAR* argv[])
      {
      int nMode = INJECTION_MODE;

      // change privilege
      SetPrivilege(SE_DEBUG_NAME, TRUE);

      // Inject(Eject) Dll to all process

      InjectAllProcess(nMode, L"stealth2.dll");

      return 0;
      }


      stealth2.dll 파일을 %SYSTEM% 폴더에 복사하는것 잊지 마시구요.

      감사합니다.

  19. 셔벳클록 2012.11.06 21:41 신고 댓글주소 | 수정 | 삭제 | 댓글

    공용대화상자를 후킹하려고 하는데요..
    다음과 같이 코드를 작성하였는데요..
    getopenfilename이 호출될때 메시지 박스를 띄우는 작업을 하고
    있거든요.
    그런데.. getopenfilename 후킹이 제대로 되기는 하는건지..
    아니면 중간코드가 잘못되었는지..
    후킹성공 메시지 박스가 뜨지 않네요
    (제가 목표로 하려는건 열려있는 탐색기 디렉터리를 얻어와서,
    그 디렉터리들 중 사용자가 원하는 것을 선택해서 그 위치에서
    파일관련대화상자를 여는 겁니다)

    소스 코드는 아래 저의 블로그에 임시로 올려놓았습니다.
    http://blog.naver.com/siam18/170382475

    • reversecore 2012.11.07 06:20 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      comdlg32.GetOpenFileName 에는 ASCII 버전과 UNICODE 버전이 있습니다.

      한번 GetOpenFileNameA (또는 GetOpenFileNameW) 로 후킹해 보시기 바랍니다. ^^~

      감사합니다.

  20. 난나놔 2013.07.07 06:55 신고 댓글주소 | 수정 | 삭제 | 댓글

    dll 인젝션은 석기시대 유물.





티스토리 툴바