특정 프로세스를 감추는 은폐(stealth) 기법에 대해 설명하고, 예제 파일을 통해서 실습을 해보도록 하겠습니다.

 

<photo : mashleymorgan on flickr>


아래 내용은 이전 포스트에서 이어지는 내용입니다.
API Hooking – '스텔스' 프로세스 (1)



프로세스 은폐(stealth) 동작 원리 (User Mode)


프로세스 은폐(stealth)에 관한 내용은 이미 많은 정보가 공개되어 있습니다.
그 중에서 유저 모드(User Mode)에서 가장 널리 사용되는 "ntdll!ZwQuerySystemInformation() API 후킹 방법"에 대해서 살펴보겠습니다.

* 커널 모드의 프로세스 은폐 기법은 (유저 모드에 비해) 더 강력하고, 더 고급 기법입니다. 향후 제 블로그에서 자세히 다루도록 하겠습니다.


#1. 프로세스 은폐(stealth) 개념

스텔스 전투기는 레이다에 포착되지 않기 위해서 각종 첨단 과학을 동원하여 전투기 자체를 (기존 전투기와 다르게) 완전히 새롭게 개발 하였습니다. 즉, 작업 대상이 스텔스 전투기 자신입니다.

반면에 은폐 프로세스의 개념은 이와는 정반대입니다.
특정 프로세스를 은폐시키기 위해서 나머지 모든 프로세스들의 메모리에 침투하여 API 를 후킹합니다. 즉, 작업 대상은 다른 프로세스입니다.

은폐 프로세스의 개념을 스텔스 전투기의 설명에 적용해보면 아래와 같습니다.

그냥 일반 전투기를 띄워 보낸 후 모든 레이다를 고장내면(조작하면), 그 일반 전투기는 그 순간부터 스텔스 전투기가 되는 것과 같은 이치입니다.

이것이 바로 은폐(stealth) 프로세스의 개념입니다.


#2. 관련 API

프로세스(Process)는 커널 객체이기 때문에 (유저 모드 프로그램은) API 를 통해서만 접근이 가능합니다. 일반적으로 유저 모드에서 프로세스를 검색하기 위한 API 는 아래와 같이 2 종류가 있습니다.

HANDLE WINAPI CreateToolhelp32Snapshot(
    DWORD    dwFlags,
    DWORD    th32ProcessID
);

* 출처 : http://msdn.microsoft.com/en-us/library/ms682489(VS.85).aspx

BOOL EnumProcesses(
    DWORD*   pProcessIds,
    DWORD    cb,
    DWORD*   pBytesReturned
);

* 출처 : http://msdn.microsoft.com/en-us/library/ms682629(VS.85).aspx

위 2 가지 API 모두 내부적으로 ntdll!ZwQuerySystemInformation() API 를 호출합니다.

NTSTATUS ZwQuerySystemInformation(
    SYSTEM_INFORMATION_CLASS    SystemInformationClass,
    PVOID    SystemInformation,
    ULONG    SystemInformationLength,
    PULONG   ReturnLength
);

* 출처 : http://msdn.microsoft.com/en-us/library/ms725506(VS.85).aspx

ZwQuerySystemInformation() API 를 이용하여 실행중인 모든 프로세스들의 정보(구조체)를 연결 리스트 형태로 얻을 수 있습니다.

그 연결 리스트를 조작하면(리스트에서 빼내면) 해당 프로세스는 은폐 되는 것입니다.

따라서 유저 모드에서는 CreateToolhelp32Snapshot() 나 EnumProcess() API 를 후킹할 필요 없이  ZwQuerySystemInformation() API 하나만 후킹하면 확실하게 특정 프로세스를 은폐 시킬 수 있습니다.


#3. Global Hooking 개념

우리가 은폐하고자 하는 프로세스를 test.exe 라고 하겠습니다.
실행중인 ProcExp.exe (또는 taskmgr.exe) 프로세스의 ZwQuerySystemInformation() API 를 후킹 하면 ProcExp.exe 는 test.exe 를 찾지 못할 것입니다.

* ProcExp.exe = 프로세스 익스플로러, taskmgr.exe = 윈도우 작업 관리자

위와 같이 하면 ProcExp.exe(또는 taskmgr.exe) 프로세스 하나에 대해서 test.exe 가 은폐되었다고 말할 수 있습니다.

하지만 이 방법에는 두 가지 문제점 이 있습니다.

첫 번째 문제점은 후킹 대상 프로세스 개수 입니다.
프로세스 검색 유틸리티가 과연 이 두 가지뿐 일까요?
이들 외에도 수 많은 프로세스 검색 유틸리티가 있을 것이며, 사용자가 직접 만든 유틸리티도 있을 수 있습니다. 따라서 시스템에 실행중인 모든 프로세스를 후킹 해야만 내 프로세스가 은폐되었다고 확신할 수 있습니다.

두 번째 문제점은 새로 생성되는 프로세스입니다.
만약 사용자가 ProcExp.exe (또는 taskmgr.exe) 를 하나 더 실행하면 어떻게 될까요?
첫 번째 ProcExp.exe 프로스세는 이미 후킹이 되어 있으므로 test.exe 프로세스를 찾지 못하겠지만, 두 번째 실행된 ProcExp.exe 프로세스는 후킹 되지 않았으므로 test.exe 프로세스를 정상적으로 찾아 낼 것입니다.

이 두 가지 문제를 정리해 보면 우리는 test.exe 프로세스를 완전히 숨기기 위해서 시스템에 실행 중인 모든 프로세스의 ZwQuerySystemInformation() API 를 후킹해야 하며, 추가적으로 나중에 실행되는 모든 프로세스에 대해서도 똑 같이 후킹을 해줘야 합니다. (물론 자동으로 해줘야겠지요.)

이것이 바로 global hooking 의 개념입니다.
(이러한 global hooking 에 대해서는 뒷부분에서 따로 설명하도록 하겠습니다.)



실습


HideProc.exe

stealth.dll


HideProc.exe 는 실행중인 모든 프로세스에게 Stealth.dll 파일을 인젝션 시키는 역할을 합니다.
Stealth.dll 은 인젝션 된 프로세스의 ntdll!ZwQuerySystemInformation() API 를 후킹하는 역할을 합니다.

위 두 파일을 이용해서 notepad.exe 프로세스를 은폐시켜 보도록 하겠습니다.

* 참고!
위 실습 파일은 “global hooking – 새로운 프로세스”에 대한 대책이 없는 버전입니다.
따라서 HideProc.exe 실행 이후에 생성된 프로세스는 자동으로 후킹 되지 않습니다.
그에 대해서는 따로 설명 드릴 예정입니다. 참고하세요.



#1. notepad.exe, procexp.exe, taskmgr.exe 를 실행시켜 주세요.


#2. 아래와 같이 HideProc.exe 를 실행합니다.

<Fig. 1>

실행 파라미터에 대해서 간략히 설명 드리겠습니다.

-hide/-show : 은폐 시킬 때는 –hide, 은폐 해제 시에는 –show
process name : 은폐 시킬 프로세스 이름
dll path  : 인젝션 시킬 DLL 파일 경로


#3. 모든 프로세스에 stealth.dll 파일이 제대로 인젝션 되었는지 확인합니다.

Process Explorer 을 이용해서 stealth.dll 을 검색합니다.

<Fig. 2>

실행중인 모든 프로세스에 stealth.dll 파일이 인젝션 된 것을 확인 할 수 있습니다.

* 사실은 시스템 프로세스들(PID 0 & PID 4)에 대해서는 (시스템 안정성을 위해) 인젝션 시키지 않았습니다. (notepad.exe 프로세스 은폐에는 아무 상관 없습니다.)


#4. procexp.exe 와 taskmgr.exe 에서 notepad.exe 프로세스가 사라진걸 확인합니다.

<Fig. 3>

<Fig. 4>

위의 <Fig. 3> 과 <Fig. 4> 를 보시면 notepad.exe 프로세스가 분명히 실행 중이지만, procexp.exe 와 taskmgr.exe 에서 notepad.exe 프로세스가 사라진걸 확인하실 수 있습니다.

* 메모장의 윈도우가 보이기 때문에 프로세스가 완벽히 숨은 게 아니라고 생각하실 수 있겠습니다만, 우리의 목표는 프로세스 은폐이기 때문에 윈도우는 그냥 놔뒀습니다. 참고로 윈도우를 사라지게 하려면 SetWindowPos() API 등을 사용하시면 됩니다.


#5. notepad.exe 프로세스를 다시 보이도록 합니다.

HideProc.exe 를 –show 모드로 실행시킵니다. (stealth.dll 을 ejection 시켜줍니다.)

<Fig. 5>

procexp.exe 와 taskmgr.exe 에서 notepad.exe 프로세스가 정상적으로 보이는지 직접 확인해보시기 바랍니다.


다음 번에는 예제 소스 파일을 상세하게 분석해보도록 하겠습니다.

API Hooking – '스텔스' 프로세스 (3)


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

  1. RED_BIT 2009.12.17 08:19 신고 댓글주소 | 수정 | 삭제 | 댓글

    오랫만에 1등하는것 같네요.ㅎㅎ
    노트북이라... 대략 40개 이상의 프로세스들이 히히낙낙 거리고있는데...
    웬지 무서운...
    잘봤습니다~ > <//

    • ReverseCore 2009.12.17 18:46 신고 댓글주소 | 수정 | 삭제

      RED_BIT님, 안녕하세요.
      잘 보셨나요? ^^
      감사합니다.

    • 쵸밥 2010.01.16 11:17 신고 댓글주소 | 수정 | 삭제

      헐 ㅇㅁㅇ ,, 그러고 보니

      그간 신경 안쓰고 살았는데 프로세스가 48개네요 ,,
      (포멧한 직후,, 백신깔고 SP3설치하는중,,)

      노트북은 프로세스가 많은가 ㅇㅅ ㅇ,,

  2. hoon038 2009.12.18 00:31 신고 댓글주소 | 수정 | 삭제 | 댓글

    아 코어님의 명강의 정말 많은도움 되고 있습니다.
    나중에는 은폐 프로세스를 찾는 방법도 포스팅 해주셧으면 좋겠네요 ㅎㅎ

    • reversecore 2009.12.18 10:58 신고 댓글주소 | 수정 | 삭제

      hoon038님, 안녕하세요.

      말씀하신 은폐 탐지 방법도 재밌는 글이 될꺼 같네요 ^^

      사실 제가 쓰는 글 중에는 다른 분들의 의견, 아이디어가 반영된 부분이 많답니다. 다음 글을 쓸 때 도움으 많이 되지요~

      좋은 정보 감사드립니다.

  3. 개숭이 2009.12.18 11:04 신고 댓글주소 | 수정 | 삭제 | 댓글

    1편에 CreateRemoteThreaed방법으로 Injection을 쓴다고 Tech Map에 표시는 해두셨지만, 이유는 안나와 있어서요..

    혹시 "SetWindowsHookEx쓰면 되는데... 저절로 해주는데.."라는 생각하실분들이 있을거 같네요..

    아, 그리고 Tech Map들 보면 맨 우측 API부분에 CreateRemoteThread부분에 빨간색 친거 맨 아래에 쳐야 맞는거같은데.. 이전 것두 그런게 있고요//

    사소한 것들이여서 언급안하고 넘어갈수도 있는 부분인데, 연재글을 읽는 입장으로서, 초보자입장으로서 염려되어 리플하나 남겨봅니다.. 심각하게 받아들이진 말아주세요///

    • reversecore 2009.12.18 11:06 신고 댓글주소 | 수정 | 삭제

      개숭이님, 안녕하세요.

      네~ 지금 읽어 보니 과연 그렇군요. ^^
      처음 접하시는 분들은 그런 의문이 생기겠네요~

      TechMap 그림도 지적하신 내용이 맞습니다. ^^
      아래쪽 API 에 표시해야 하는데, 위쪽에 해버렸네요.

      좋은 지적 감사합니다.
      글의 완성도를 높이는데 도움을 주셔서 정말 감사드려요~

    • 개숭이 2009.12.18 11:13 신고 댓글주소 | 수정 | 삭제

      사실 제가
      reversecore님이 API Hooking 연재 진행중이실때
      계속 CreateRemoteThread만 쓰시네? 무슨이유일까? 이런생각을 했었거든요.. SetWindowsHookEx로 인젝션해서 API Hook하는 내용도 나올까 싶었는데 그후로 계속 CreateRemoteThread만 쓰셔서^^;;

    • reversecore 2009.12.18 11:23 신고 댓글주소 | 수정 | 삭제

      개숭이님, 제 블로그를 보고계셧군요. ^^

      SetWindowsHookEx 는 메시지 후킹 설명때 했었고, 자체적인 한계 때문에 개인적으로 CreateRemoteThread 를 선호 한답니다.

      다음번(마지막) API Hooking 실습예제도 CreateRemoteThread 를 썼는데요... ㅎㅎ
      말씀하신대로 SetWindowHookEx 로 변경 가능한지 확인해 보겠습니다.

      저도 이왕이면 다양한 방법을 많이 소개해 드리는 편이 좋다고 생각합니다.

      좋은 제안 감사드려요~ ^^

  4. 개숭이 2009.12.18 11:38 신고 댓글주소 | 수정 | 삭제 | 댓글

    마음과 몸은 이미 주말이네요..
    일이 손에 안잡혀서 서핑중입니다ㅋㅋㅋ
    아 갑자기 궁금한게 있는데요, CreateRemoteThread를 사용해서 32bit프로세스(32bit dll, 32bit injector)에서 64비트 프로세스로 인젝션이 가능한가요? SetWindowsHookEx는 어떨까요?

    • ReverseCore 2009.12.21 11:14 신고 댓글주소 | 수정 | 삭제

      개숭이님, 안녕하세요.
      답변이 늦었네요~

      전 아직 64bit 를 경험해보지 못해서 뭐라 말씀드리기 어렵네요 ^^

      32->32, 64->64 는 당연히 잘 되겠죠.
      32->64 만 확인해보면 되겠네요...

  5. mAn1aS 2009.12.23 10:18 신고 댓글주소 | 수정 | 삭제 | 댓글

    좋은 자료 잘보고 있습니다. 다음 글이 기다려 지는군요^^ 연말 잘보내세요

  6. 쵸밥 2009.12.26 04:47 신고 댓글주소 | 수정 | 삭제 | 댓글

    혹시 forum.exetools (EXETOOLS) 가입되어 있는 분 있나요 T^T?

    W32Dasm Patch 3.0 final 이 그 홈페이지에 있길레 받고싶은데. .
    영어가 너무 어려워서 가입을 못하네요 마지막에 무슨 코드를 쓰라는데 T^T..
    구글 번역기 돌리며 몇시간을 시도해봤지만 실패네요 T^T..

    http://forum.exetools.com/showthread.php?t=2396

    요거 혹시 받는게 가능하신 분 있으면 tortlxkq@naver.com 으로 좀 보내주시겠어요 흑 T^T..

    P.S 메리 그리숨엇수 하세요 ^^*

    • ReverseCore 2009.12.28 00:49 신고 댓글주소 | 수정 | 삭제

      쵸밥님, 안녕하세요.

      W32Dasm 을 찾으시는군요.
      해당 링크는 패치파일 이군요?

      이번에 OllyDbg2.0 Final Beta 가 출시되었는데,
      제작자가 DisAsm 을 크게 강화했다고 하니 참고하시기 바랍니다.

      감사합니다.

  7. Elephunk 2009.12.29 20:08 신고 댓글주소 | 수정 | 삭제 | 댓글

    w32dasm 3.0 patch
    http://tinyurl.com/ydwms9y
    여기서 [W A S M . R U] 링크 들어가면 있습니다

    • reversecore 2009.12.30 10:26 신고 댓글주소 | 수정 | 삭제

      ^^
      익살스런 링크입니다.

      Elephunk님, 감사합니다.

    • 쵸밥 2009.12.31 06:23 신고 댓글주소 | 수정 | 삭제

      ㅋㅋㅋ 너무 깜찍한 메시지ㅋㅋ
      이게 그리 어렵냐 이거 만드신건가요 ㅋㅋ
      넘넘 감사해요 ㅜ

      이렇게 금방 이런 페이지를 만들수도 있나보네요 ^^;;
      웹도 참 재밋는것 같네요 ㅋ 감사합니다 ^^*

      w32dasm patch 3.0 bratpatch3.zip 으로만 검색했는데 ㅜ
      그렇게 치니깐 많이 나오네요 감사합니다 ^^*
      웹페이지 너무 귀여워요 ^^*

  8. 지나가는이 2010.03.24 14:30 신고 댓글주소 | 수정 | 삭제 | 댓글

    흠.. 이거 64비트에서는 안되네요..

    • reversecore 2010.03.25 23:33 신고 댓글주소 | 수정 | 삭제

      지나가는이님, 안녕하세요.

      아~ 그렇군요.

      제 주변에 64bit 테스트 환경이 없어서 한번도 테스트 해보지 못했습니다.

      향후 환경이 갖춰지면 디버깅해서 수정하도록 하겠습니다.

      감사합니다.

  9. QhQh 2010.05.14 18:36 신고 댓글주소 | 수정 | 삭제 | 댓글

    Windows XP SP3와 7에서 테스트 하셨다고 하셨는데

    VMware로 SP3를 설치하고 하니깐 안되네요

    혹시 방화벽 해제라던지 다른 변경을 해야 가능하고 그런가요:?

    • QhQh 2010.05.14 18:41 신고 댓글주소 | 수정 | 삭제

      아 해결했습니다
      바탕화면에서 실행을 했었는데
      폴더명에 한글이 포함되면 안되는거였군요 ㅎㅎ
      괜한 삽질

      잘 보고 있습니다^^

    • reversecore 2010.05.17 01:57 신고 댓글주소 | 수정 | 삭제

      QhQh님, 안녕하세요.

      아마 한글이 문제가 아니라 띄어쓰기가 문제일것 같네요.

      C:\Documents and Settings\ReverseCore\바탕 화면>HideProc.exe -show notepad.exe "c:\Documents and Settings\ReverseCore\바탕 화면\stealth.dll"

      위와 같이 stealth.dll 경로를 따옴표("")로 묶어 주시면 정상적으로 작동 될 것입니다.

      잘 안되시면 다시 질문 올려 주세요~

      감사합니다.

  10. 김병화 2010.06.24 14:26 신고 댓글주소 | 수정 | 삭제 | 댓글

    HideProc.exe -hide abc.exe d:\stealth.dll 을 하니,

    OpenProcess<3976> failed!!!
    OpenProcess<4040> failed!!!

    tasklist 해보니,
    V3LSvc.exe 3976 Console 0 2,276 K
    V3LTray.exe 4040 Console 0 1,028 K

    음,,, 안철수백신에는 숨겨지지가 않는군요,
    안철수백신에 숨겨지지 않는것 뿐만아니라, tasklist로는 abc.exe가 보이네요.

    백신이 설치되지 않은 다른PC에 해봤습니다.
    결과는 잘됩니다.
    tasklist로도 숨겨져 있네요.

    제가 뭔가 잘 못하는건가 싶네요, ^^;

    • reversecore 2010.06.25 10:26 신고 댓글주소 | 수정 | 삭제

      위에 언급하신 내용은 매우 정상적인 결과입니다.

      V3 제품의 자체 프로세스 보호기법 때문에 OpenProcess() 에러가 발생한 것입니다. 이 경우 보통 방법으로는 해당 프로세스에 침투할 수 없습니다.

      이런류의 프로세스 메모리에 침투하는 방법이 여러가지 있긴 한데요...
      기법마다 껀껀이 설명드리기도 어렵고...
      악성코드에서 많이 쓰는 거라 설명하기도 거북한 상황입니다. ^^

      당분간은 보호 프로세스에 침투하는 방법에 대한 강좌는 계획에 없습니다.

      감사합니다.

  11. 김병화 2010.06.25 16:03 신고 댓글주소 | 수정 | 삭제 | 댓글

    ㅎㅎㅎ;;
    정상이군요.
    백신도 숨겨지나 싶어서 궁금해서 물어봤습니다...
    근데 신기하네요.

    저는 랭귀지를 잘못해서 실제 적용은 못하겠네요.
    ㅎㅎㅎ;;여튼 좋은구경하고 갑니다.
    그리고, 제 홈피주소가 스팸이 되었더군요.
    제가 이쪽으로 트래백을 잘못보낸적이 있는거 같습니다.
    ^^

  12. 안녕하세요 2010.07.15 04:48 신고 댓글주소 | 수정 | 삭제 | 댓글

    좋은 자료 잘 보고 있습니다 ~

    한가지 궁금한 점이 있는데요

    이게 윈도우 작업 관리자에서 프로세스 탭 에서는 사라지는데요

    응용 프로그램 탭 에는 그대로 있네요 ㅋ

    혹시 응용 프로그램 탭에서도 같이 없앨 수 있는 방법이 있을까요?

    • reversecore 2010.07.15 23:54 신고 댓글주소 | 수정 | 삭제

      네, 프로세스 목록에서만 감추기 때문에 윈도우는 그대로 보이는 것입니다.

      윈도우까지 같이 없애주시면 작업관리자의 응용프로그램 탭에서 사라집니다.

      윈도우 없애는 건 윈도우 메시지를 보내거나 관련 API 를 사용하면 쉽게 될 것입니다.

      위 예제는 API Hooking 을 위주로 작성한 거라 윈도우는 그대로 놔뒀습니다. 분명 윈도우는 있는데, 프로세스만 사라지는 현상을 보여주려고 말이지요.

      윈도우 감추기는 검색해 보시면 금방 찾으실 겁니다.

      감사합니다.

  13. 안녕하세요. 질문 2010.09.02 16:03 신고 댓글주소 | 수정 | 삭제 | 댓글

    hideproc.exe 실행시켜봤는데 0.5초만에 저절로 꺼지던데 왜 이런건가요?
    윈도우xp 서비스팩2사용중입니다.

    • ReverseCore 2010.09.04 16:43 신고 댓글주소 | 수정 | 삭제

      그렇게 동작하는게 정상입니다. ^^

      작업관리자에서 notepad.exe 가 안보인다면 성공입니다.
      (WinXP SP3 에서 테스트 하였습니다.)

      감사합니다.

  14. usrobj 2011.08.04 23:42 신고 댓글주소 | 수정 | 삭제 | 댓글

    업계에서 어느 정도 일해야 저런 API까지 다 알고 그럽니까 ㅎ
    요즘 윈도우 시스템 프로그래밍 책 보면서 틈틈히 블로그 글 보지만 언제나 봐도 신기하기도하고 어렵기도하고...

  15. 난나놔 2013.07.07 06:46 신고 댓글주소 | 수정 | 삭제 | 댓글

    dll에 직접 훅을 걸거나... 이미 훅되어 있다면 32비트는 5바이트 64비트는 12바이트 점프한거나...
    커널에서 훅을 걸거나...64비트는 커널 진입전 까지 코드를 복사해서 커널로 진입하거나... ssdt 보호모드에서 구경만 하거나... 잠이나 자거나...

  16. alfheimr 2017.02.03 01:02 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다


API Code Patch 를 통한 API Hooking 방법에 대해서 공부합니다.

또한 모든 프로세스를 후킹 하는 global hooking 방법에 대해서 살펴봅니다.

위 기법을 사용하여 특정 프로세스를 감추는 은폐(stealth) 기법에 대해 실습해 보겠습니다.



<photo : Rob Shenk on flickr>


* 은폐(Stealth) 프로세스를 리버싱 전문 용어로 루트킷(Rootkit) 이라고 합니다.
보통 루트킷이라고 하면 커널 모드 후킹을 통한 프로세스, 파일, 레지스트리 등의 은폐 기술을 지칭합니다. 루트킷은 본 포스트의 설명 범위를 벗어나기 때문에 편의상 스텔스 프로세스라고 하겠습니다. (루트킷에 대한 내용은 커널에 대한 방대한 기반 지식을 요구합니다. 향후 제 블로그에서 하나씩 살펴볼 계획입니다.)

* 본문 내용을 편하게 읽기 위해서는 아래의 배경지식이 필요합니다.
☞ DLL Injection (DLL Injection – 다른 프로세스에 침투하기
)
☞ API Hooking (API Hooking – 계산기, 한글을 배우다
)
☞ API Hooking (API Hooking - 리버싱의 '꽃')



Tech Map



<Fig. 1>

API Code Patch
기법을 위 TechMap 에서 빨간색으로 표시하였습니다.

이 기법은 API Hooking 에서 가장 널리 사용됩니다.


그 이유는 대부분의 user mode API 를 자유롭게 후킹 할 수 있기 때문입니다.

* IAT Hooking 기법은 후킹하려는 API 가 프로세스의 IAT 에 존재하지 않을 경우 후킹이 불가능한 반면에 "API Code Patch" 기법은 그러한 제약 조건이 없습니다.

덧붙여 대상 프로세스의 메모리를 자유롭게 사용하기 위해 DLL Injection 기법을 사용하였습니다. (다음 번 주제에서 DLL 파일이 아닌 Code 자체를 Injection 하는 고급 기법에 대해서 살펴볼 예정입니다.)



API Code Patch 동작 원리


API Code Patch 를 통한 API Hooking 기법의 동작 원리에 대해서 알아보겠습니다.

* IAT Hooking 방식과 비교해 살펴보시면 더 쉽게 이해 될 것입니다.
☞ API Hooking (API Hooking – 계산기, 한글을 배우다)


IAT Hooking 방식이 프로세스의 특정 IAT 값을 조작해서 후킹을 하는 방식이라면, Code Patch 방식은 실제 API 코드 시작 5 byte 값을 JMP XXXX 명령어로 변경하는 방식입니다.

후킹된 API 가 호출되면 (패치된) JMP XXXX 명령어가 실행되어 후킹 함수로 제어가 넘어옵니다.

아래 그림은 Process Explorer(procexp.exe) 프로세스에 stealth.dll 파일을 인젝션 시킨 후 ntdll!ZwQuerySystemInformation() API 를 후킹하는 방법을 설명하는 그림입니다.

먼저 후킹 되기 전의 정상적인 프로세스 메모리의 모습입니다.

<Fig. 2> 

(1) procexp.exe 의 00422CF7 주소의 CALL DWORD PTR DS:[48C69C] 명령어는 ntdll.ZwQuerySystemInformation() API 를 호출하고 있습니다. (48C69C 주소는 프로세스의 IAT 영역으로써 7C93D92E 값을 가지며, 이는 ntdll.ZwQuerySystemInformation() API 의 시작 주소입니다.)

(2) 해당 API 는 실행이 완료되면 호출 코드 다음 명령어 주소로 되돌아 갑니다.

이것은 매우 정상적인 상황의 API 호출 흐름입니다.

그럼 이제 API 가 후킹된 프로세스의 그림을 보시겠습니다.
stealth.dll 을 인젝션 하여 ntdll!ZwQuerySystemInformation() API 를 Code Patch 하였습니다.

<Fig. 3>

위 그림이 상당히 복잡하게 보입니다. 하나씩 차근차근 살펴보도록 하겠습니다.

먼저 stealth.dll 이 인젝션 되면서 ntdll!ZwQuerySystemInformation() API 를 후킹 하였습니다.

ntdll!ZwQuerySystemInformation() API 시작 주소(7C93D92E)의 5 byte 코드를 JMP 10001120 으로 덮어 써버린 것이죠. (5 byte 패치) 10001120 주소는 stealth!MyZwQuerySystemInformation() 함수 주소입니다.

이때 procexp.exe 코드에서 ntdll!ZwQuerySystemInformation() API 를 호출하면 코드 흐름은 아래 순서와 같습니다.

(1) 422CF7 주소에서 ntdll!ZwQuerySystemInformation() API 를 호출(7C93D92E)합니다.

(2) 7C93D92E 주소에 있는 패치된 코드 JMP 10001120 에 의해서 10001120 주소(후킹 함수)로 점프합니다. 1000116A 주소의 CALL unhook() 명령어에 의해서 ntdll!ZwQuerySystemInformation() API 시작 5 byte 는 원래대로 복원됩니다.

(3) 1000119B 주소의 CALL EAX(7C93D92E) 명령어에 의해서 원본 함수(ntdll!ZwQuerySystemInformation) 가 호출됩니다. (unhook 상태이기 때문에 정상적으로 실행됩니다.)

(4) ntdll!ZwQuerySystemInformation() 의 실행이 완료되면 7C93D93A 주소의 RETN 10 명령에 의해 stealth.dll 코드 영역(자신을 호출한 위치)으로 리턴됩니다. 그리고 10001212 주소의 CALL hook() 명령어에 의해서 ntdll!ZwQuerySystemInformation() API 를 다시 후킹합니다. (시작 5 byte 를 JMP 10001120 명령어로 패치함)

(5) stealth!MyZwQuerySystemInformation() 의 실행이 완료되면 10001233 주소의 RETN 10 명령에 의해서 procexp.exe 프로세스 코드 위치로 리턴됩니다.

처음에는 좀 어려운 듯 보여도 몇 번만 읽어보시면 금방 이해하실 수 있으실 겁니다.

Code Patch 방법의 장점은 프로세스에서 사용되는 어떤 API 라도 후킹할 수 있다는 것입니다. IAT Hooking 의 경우에는 후킹 가능한 API 가 제한 된다는 사실과 비교해 보세요. (비록 코드는 조금 더 복잡하지만 말이죠.)

Code Patch 방법에 있어서 제한 사항은 후킹하려는 API 코드의 길이가 최소 5 byte 보다 커야 한다는 것입니다만, 모든 API 의 코드 크기는 5 byte 보다 크기 때문에 사실상 제한이 없다고 보시면 됩니다.

* 주의!
코드 패치 방법은 말그대로 프로세스 메모리 공간에 매핑된 DLL 의 코드를 직접 수정하는 것입니다. 만약 프로세스의 다른 스레드에서 어떤 함수를 read 하고 있을때 코드 패치를 시도하면 어떻게 될까요? Access Violation 에러가 발생합니다. 따라서 이점을 유의 하셔야 합니다.

다음에는 스텔스 기법에 대한 원리와 실습 예제 파일을 가지고 직접 실습을 해보도록 하겠습니다.


API Hooking - '스텔스' 프로세스 (2)


ReverseCore

위 글이 도움이 되셨다면 추천(VIEW ON) 부탁 드려요~

  1. RED_BIT 2009.12.13 04:18 신고 댓글주소 | 수정 | 삭제 | 댓글

    아.. 전체적으로 작업관리자, procxp와 같은 녀석들에게 dll을 삽입해서...
    작업하는건가요..?! 제가 이해하고있는게 맞을까요..!? ㅎㅎ
    오늘도 좋은글 감사합니다~ ^^*

    • ReverseCore 2009.12.14 21:12 신고 댓글주소 | 수정 | 삭제

      RED_BIT님, 안녕하세요.

      네, 실행중인 모든 프로세스에 stealth.dll 을 인젝션 시킬겁니다.

      말씀하신대로 작업관리자, procexp 만 인젝션 시켜도 일반 사용자에게는 "스텔스" 처럼 보이겠지요. ^^

      감사합니다.

  2. 세의 2009.12.13 14:10 신고 댓글주소 | 수정 | 삭제 | 댓글

    잘 읽었습니다. +_+

  3. Sun2Day 2009.12.14 09:37 신고 댓글주소 | 수정 | 삭제 | 댓글

    항상 좋은 내용 잘보고 갑니다 '-'//

  4. BABOHA 2009.12.14 23:17 신고 댓글주소 | 수정 | 삭제 | 댓글

    감사합니다~
    Reversecore 님은 참 부지런 하십니다. ㅎㅎ
    다음 것도 기대할게요~

  5. Externalist 2009.12.15 20:58 신고 댓글주소 | 수정 | 삭제 | 댓글

    작성하느라 수고 많으셨습니다... 나중에 하나로 묶어서 책으로 출간해도 전혀 손색이 없을 정도로 훌륭한 퀄리티네요...^^

  6. Vice 2009.12.17 18:22 신고 댓글주소 | 수정 | 삭제 | 댓글

    앗.. 불과 며칠전에 공부했던 내용이군요!
    다시 복습하는 의미로 읽었더니 머리에 쏙쏙 들어오네요. 감사합니다!!

  7. 쭈욱 2010.02.18 14:28 신고 댓글주소 | 수정 | 삭제 | 댓글

    감사합니다. 블로그 통해서 많이 배우고 있습니다.
    바쁘시겠지만 한가지만 여쭤볼께요.
    API 중 MapViewOfFile API를 코드패치 방식으로 후킹하려고 했는데...
    5바이트에 JMP XXXX 쓰는 부분에서 항상 죽네요.
    vs8.0 디버거로 돌려서 직접 디버깅해보면 정상작동하구요
    직접 디버깅시 잘 되는걸로 봐서 사용자 권한 문제같은데요.
    방법이 없을까요??

    • reversecore 2010.02.19 23:46 신고 댓글주소 | 수정 | 삭제

      쭈욱님, 안녕하세요.

      제 글을 읽어보니 매우 중요한 "주의사항" 이 빠졌네요.

      바로 쭈욱님이 질문하신 내용인데요...

      코드 패치 방법은 말그대로 프로세스 메모리 공간에 매핑된 DLL 의 코드를 직접 수정하는 것입니다.

      만약 프로세스의 다른 스레드에서 어떤 함수를 read/write 하고 있을때 코드 패치를 시도하면 어떻게 될까요? 바로 에러 납니다.

      이 문제가 아니라면 해당 파일을 저에게 보내주시면 제가 살펴보겠습니다.

      확장자를 exex 또는 압축하셔서 zipx 등으로 변경해서 첨부해 주세요~

      감사합니다.

  8. 쭈욱 2010.02.22 16:11 신고 댓글주소 | 수정 | 삭제 | 댓글

    답변 감사드립니다. 말씀해주신 내용 잘 봤습니다.
    그래서 MapViewOfFile API는 IAT 후킹하는 방식으로 바꾸니까 잘 됩니다.
    다시 한번 감사드립니다.

    • reversecore 2010.02.23 01:52 신고 댓글주소 | 수정 | 삭제

      쭈욱님, 안녕하세요.

      다행히 IAT 후킹 방식을 잘 해결 하셨군요.

      나중에라도 코드 패치 방법을 연습삼아 시험해 보시기 바랍니다.

      감사합니다. ^^

  9. 울터치 2010.04.08 03:37 신고 댓글주소 | 수정 | 삭제 | 댓글

    아....제가 질문란에 올렸던 질문이 여기서 해결되는군요.......

    사실 여기있는 모든 글들을 저장해서 두세번 보았는데 볼때마다 새롭네요 ㅡ.ㅜ

    제가 후킹하려던 함수가 dll이 동적 로딩해서 IAT에 보이지 않았다는 사실을 뒤늦게 깨달았습니다..

    이제 코드패치로 도전해보려고 하는데요 아 정말 주옥같은글 너무 감사합니다

    도전 ㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱ^^

    • reversecore 2010.04.08 23:01 신고 댓글주소 | 수정 | 삭제

      울터치님, 안녕하세요.

      아, 벌써 문제의 원인을 파악하셨군요.

      궁금하신 점 있으시면 질문 올려주세요~

      감사합니다.

  10. 알려주세요 2012.06.27 21:40 신고 댓글주소 | 수정 | 삭제 | 댓글

    강의 잘보고 있습니다! 그런데 한가지 궁금점이 있습니다.

    CALL hook()을 호출하면 ZwQuerySystemInformation의 첫 5byte가 다시 JMP문으로 바뀔텐데

    이걸 하는 이유가 나중에 또 호출할 일이 있을때를 대비하여 미리 만들어 놓는 건가요?

    그럼 뒤에 나오는 수동으로 JMP XXXX의 XXXX를 구하는 방법은 처음 1번만 해주면 그 외에는

    hook()함수로 자동으로 JMP XXXX로 설정되는건가여?

  11. 게시물이 안보여요 2012.09.27 10:45 신고 댓글주소 | 수정 | 삭제 | 댓글

    API Hooking - 계산기, 한글을 배우다 의 글이 갑자기 안보이는데,
    그 뿐만 아니라 상당수 들이 많이 안보여요ㅠㅠ 무슨일이 있나요?

  12. 멍멍이 2013.10.22 13:58 신고 댓글주소 | 수정 | 삭제 | 댓글

    감사합니다.

  13. 무료 2017.02.13 05:43 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  14. 무료 2017.04.02 04:48 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  15. 코코넛냠냠 2018.03.27 16:38 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다


리버싱의 참 맛

column 2009.12.04 02:08


<photo : skedonk on flickr>

"끓을 만큼 끓어야 밥이 되지, 생쌀이 재촉한다고 밥이 되나."

윤오영님의 수필 [방망이 깎던 노인] 에 나오는 구절입니다.
필수적인 과정을 거쳐야 제대로 된 결과가 나온다는 뜻이지요.


리버싱을 제대로 하려면 공부해야 할 내용이 무척 많다는 것을 잘 아실 것입니다.
우리는 리버싱 공부에 시간과 노력을 쏟아야 합니다.

하지만 조급한 마음이 사람을 초조하게 만들고 반복된 실패를 참을 수 없게 만드는 것 같습니다.
리버싱을 하다 보면 매 순간마다 (내가 알지 못하는) '벽'에 부딪힙니다.
이러한 '벽'을 도전 과제로 삼고 극복하는 과정에서 희열이 느껴집니다.
제 생각에는 이게 바로 리버싱의 본질이 아닐까 생각합니다.

잘 안 된다고 스트레스 받지 마세요.
리버싱은 원래 "잘 안 되는 속성"을 가지고 있습니다.
마음을 편안하게 먹고 차근차근 정보를 수집하세요.
성공할 때까지 계속 시도해보는 겁니다.
머리 아프면 쉬었다 하세요.
중요한 건 포기하지 말고 꾸준히 하는 것입니다.

마치 퍼즐 조각을 맞추는 것과 같습니다.
해결 방법은 분명히 있습니다.
노력과 시간을 투자한다면 결국에는 성공할 수 있습니다.

어찌 보면 모든 엔지니어링의 본질적인 속성이 이와 같다고 생각됩니다.
결국 시간을 투자하고 노력할 수록 실력이 늘어나는 이치는 똑 같은 것이니까요.

"시간과 노력을 투자한 만큼 정직하게 실력이 쌓여간다."

전 이 맛에 리버싱을 하나 봅니다.

여러분은 어떠신가요?


+---+


요즘 과도한 업무에 심신이 많이 지쳤답니다.
피곤하고, 스트레스 받고, 시간에 쫓기면 사람은 초심을 잃게 되지요.
제 스스로 초심을 되새기고 목표를 향해 끊임없이 나아가고자 다짐하며 글을 올려봅니다.

ReverseCore

  1. 행인 2009.12.04 03:09 신고 댓글주소 | 수정 | 삭제 | 댓글

    .. 전 일주일에 3시간씩밖에 못퍼부어서 실력이 안늘어나는것 같습니당
    ㅠㅠ

  2. L4c0 2009.12.04 11:48 신고 댓글주소 | 수정 | 삭제 | 댓글

    예전에 방망이 깎던 노인.. 프로그래머 버젼이 유행했었죠.. 리버싱 버젼으로 한번.. 만들어보는것도 재미있겠네요 ㅋㅋ 아무튼 좋은말씀 잘 보구 갑니다. 리버싱을 취미로 시작했다보니 실력두 없고.. 다른것에 치여서 끈기를 가지고 하기가 힘드네요. 여기저기 관련 글을 읽기는 많이 읽지만 제가 직접 올리를 켜본게 얼마나 되었는지..

    • ReverseCore 2009.12.04 16:43 신고 댓글주소 | 수정 | 삭제

      zXEr님, 안녕하세요~

      다른 업무에 바쁘신가 봐요~

      꼭 리버싱 목적이 아니더라도 OS 동작 원리 같은 것들은 잘 공부해놓으면 개발 업무에도 크게 도움이 될 것입니다.

      감사합니다.

  3. RED_BIT 2009.12.04 15:49 신고 댓글주소 | 수정 | 삭제 | 댓글

    왠지 코드를 만들어내는 사람과의 싸움... 재밌는거 같아요,
    꼭 이길 필요는 없지만, 이기면 좋은...
    마치 전략게임을 하듯이 상대방의 전략을 파악하고 공략해나가는것이 정말 중요한 포인트가 아닐까 생각해요,
    그러면서 코드는 점점 더러워지는 경향을 뛰기는 하지만 정말 잘만든 코드는 아름답더라고요...
    더려운 코드가 필수적인 과정을 거치지 않고 막아내는데 급급한 코드라면... 아름다운 코드는 오랫경험을 바탕으로 만들어진 안티코드겠죠..

    • ReverseCore 2009.12.04 16:46 신고 댓글주소 | 수정 | 삭제

      RED BIT님, 안녕하세요.

      말씀하신대로 안티 디버깅기법을 연구하는 사람과 그걸 어떻게든 분석하려는 사람들의 전략 싸움은 정말 흥미롭죠.

      그런것들을 분석하는 과정에서 실력도 향상되고 말이죠.

      댓글을 읽어보니 RED BIT 님께서는 리버싱을 재밌게 즐기시는 분 같습니다.

      감사합니다.

  4. 철이 2009.12.05 00:32 신고 댓글주소 | 수정 | 삭제 | 댓글

    많은 반성하고 갑니다.

  5. HS 2009.12.05 01:03 신고 댓글주소 | 수정 | 삭제 | 댓글

    좋은글 잘 보고 갑니다..^^

  6. 늅늅 2009.12.07 09:05 신고 댓글주소 | 수정 | 삭제 | 댓글

    월요일 아침 상큼하게 리버스코어님 블로그로 시작합니다 ^ㅡ^*

  7. 못다한꿈 2009.12.07 22:58 신고 댓글주소 | 수정 | 삭제 | 댓글

    큰 힘이 되었습니다 앞으로 자주들릴께요!^_^

  8. lily marlene 2010.05.04 16:17 신고 댓글주소 | 수정 | 삭제 | 댓글

    개발은 잘 못하면서 리버싱만 할 줄 알게되면, 항상 남이 짜놓은 것만 바라보게 되는 치명적인 결점을 안게 됩니다. 창의력이 엉뚱한 쪽으로 발전할 것 같습니다.
    항상 개발과 리버싱은 병행해야한다고 생각합니다.

    • reversecore 2010.05.05 21:58 신고 댓글주소 | 수정 | 삭제

      lily marlene님, 안녕하세요.

      개발과 리버싱을 겸비하면 여러가지 장점이 무척 많지요.
      내 손에 꼭 맞는 툴을 직접 만들수도 있고요.
      다른 프로그램의 아쉬운 부분을 보강할 수도 있지요..

      저도 (가능하다면) 양쪽을 다 겸비하면 좋다고 생각합니다.

      좋은 말씀 감사합니다.

  9. 화이트해커로의도약 2011.01.31 17:03 신고 댓글주소 | 수정 | 삭제 | 댓글

    제가 이 블로그를 알게된 경위는 요즘 이대역 중***학원에 세미해커과정에 다니면서
    리버스 기초과정 중 crackme문제풀이를 풀다가 도무지 이해가 안가서 검색하던 중
    이렇게 좋은 불로그를 찾게 되었네요^^ 영자님이 꾸며놓으신 블로그 넘넘 좋아서 즐겨
    찾기에 등록해놓고 매일매일 공부하고 있답니다. 정말 감사하게 생각하고요...리버스 정말
    처음 접했을땐 외계언어처럼 풀리지 않는 수수께끼 같았는데 기초서 부터 조금씩 조금씩
    공부하다 보니 어느새 문제를 풀고 있는 나 자신을 발견하게 되었답니다. (crackme에 나오는
    명령어들 개념파악하는데 4일걸림 ㅠ.ㅠ) 그래도 다행인건 포기하지 않고 이해안되는곳을 15번
    정도 다시 읽고 생각하고 하니깐 신기하게도 이해가 되더라고요 ㅡ0ㅡ;; 좋은 자료 올려주신
    운영자님께 다시한번 감사의 말씀 드리면서 좋은글 읽고 갑니다. 자주자주 올께요^^*

    • reversecore 2011.02.09 22:03 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      칭찬 감사합니다. ^^

      화이트해커(보안전문가)가 되길 원하시는군요.

      공부 열심히 하셔서 꼭 바램을 이루시기 바랍니다.

      감사합니다.

  10. 반벽이 2012.04.04 00:10 신고 댓글주소 | 수정 | 삭제 | 댓글

    좋은글 감사합니다.
    리버서가 되고자 하는는 첫걸음에 선생님(?)의 블로그를 통해 정말 좋은 공부하고 있습니다.^^.


API Hooking - Tech Map

study 2009.09.29 06:39

API Hooking 에서 사용되는 각종 방법들에 대한 Tech Map 을 소개하고 간략한 설명을 하겠습니다.

API Hooking 의 기본 소개는 아래 글을 참고해주세요.

참고: API Hooking - 리버싱의 '꽃'



API Hooking Tech Map


아래 그림이 API Hooking 의 모든 기술적 범주를 포함하는 Tech Map 입니다.


<Fig. 1>

위 Tech Map 을 이용하면 그 동안 막연하게만 보였던 API 후킹이 (기술적으로) 단번에 파악됩니다.

API 후킹 작업을 할 때 상황에 맞게 위의 Tech Map 에서 적절한 기법을 골라서 적용하시면 됩니다. (가장 널리 사용되는 기법은 빨간색으로 표시하였습니다.)


[ Method – Object (what) ]

API 후킹 방식(Method)에 대한 대분류 입니다.

API 후킹 방식(Method)는 작업 대상(Object)에 따라서 크게 static 방식dynamic 방식으로 나눌 수 있습니다.

static 방식은 작업 대상(Object)이 ‘파일’이며, dynamic 방식은 작업 대상이 프로세스 ‘메모리’ 입니다.
일반적으로 API 후킹이라고 하면 dynamic 방식을 말하며, 매우 특수한 상황에서 static 방식을 사용할 때도 있습니다.

각각에 대한 설명은 아래의 표에 정리하였습니다.


<Fig. 2>

* static 방식은 여러 가지 단점 때문에 일반적으로 사용하기에 어려운 부분이 많이 있습니다. 다만 특수한 경우에 사용되기도 하므로 여기서는 소개 정도만 하고 넘어갑니다.


[ Location (where) ]

대상의 어느 부분을 공략(조작)해야 하는지에 대한 내용입니다.

일반적으로 3 군데의 공략 위치가 있습니다.

1) IAT

IAT 에 있는 API 주소를 후킹 함수 주소로 변경하는 방법입니다.

장점은 가장 단순하며, 구현 방법이 가장 쉽습니다.

단점으로는 IAT 에 없는데 프로그램에서 사용되는 API 들에 대해서는 후킹할 수 없습니다. (예: DLL 을 동적으로 로딩해서 사용하는 API)

2) Code

프로세스 메모리에 매핑된 시스템 라이브러리(*.dll)에서 API 의 실제 주소를 찾아가 코드를 직접 수정해버리는 방법입니다.

참고로 이 방법이 가장 널리 사용되는 방법이며, 구현에 있어서 아래와 같은 여러 가지 다양한 옵션이 있습니다.
 
- 처음 5 byte 를 JMP XXXXXXXX 명령어로 패치하는 방법
- 함수 일부를 덮어쓰는 방법
- 필요한 부분만 일부 변경하는 방법

3) EAT

DLL 의 EAT(Export Address Table) 에 기록된 API 의 시작 주소를 후킹 함수 주소로 변경하는 방법입니다.

개념은 간단하지만 코드 구현에 있어서 위 2) 번 방법이 더 간단하고 강력하므로 EAT 수정 방법은 잘 사용되지 않습니다.


[ Technique (How) ]

후킹 대상 프로세스 메모리에 침투하여 후킹 함수를 설치하는 구체적 기법(Technique)에 대한 내용입니다.

크게 Debug 와 Injection 기법으로 나눌 수 있으며, Injection 기법은 다시 Code 와 Dll 기법으로 나뉘어 집니다.

A) Debug

대상 프로세스를 디버깅하면서 API 후킹을 하는 방법입니다.

아마 이 말이 무슨 의미인지 이해가 잘 안 되는 분들이 계실 것입니다.
“그게 디버깅이지 무슨 API 후킹이야?” 하고 말이죠.

디버거(Debugger)는 디버깅 당하는 프로세스(Debuggee)에 대한 모든 권한(실행 제어, 메모리 액세스, 기타)을 가지기 때문에, Debuggee 의 프로세스 메모리에 후킹 함수를 자유롭게 설치 할 수 있습니다.

여기서 얘기하는 Debugger 는 일반적인 OllyDbg, Windbg, IDAPro 등이 아니라, 후킹을 위하여 사용자가 직접 제작한 프로그램입니다.
즉, 프로그램 내에서 Debug API 를 이용하여 대상 프로세스에 Attach 하고 (실행이 잠깐 멈춰진 상태에서) 후킹 함수를 설치합니다. 그 후 실행을 재개시키면 완벽한 API Hooking 이 이뤄지는 것입니다. (XP 이상의 시스템에서는 Debuggee 의 종료 없이 Debugger 를 Detach 시킬 수 도 있습니다.)

물론 기존 디버거(OllyDbg, Windbg, IDAPro)에 자동화 스크립트를 사용하여 API 후킹을 자동화 시키는 방법도 있습니다. (특히 Immunity Debugger 같은 경우 강력한 전용 Python 스크립트를 지원하고 있습니다.)

이 방식의 장점은 구현만 완벽하다면 (하나의 프로세스에 대한) 가장 강력한 후킹 방법입니다. API 후킹 뿐만 아니라 필요에 따라서 실행 흐름 까지도 완벽히 제어할 수 있습니다.

따라서 API 후킹 도중이라도 사용자가 Interactive 하게 프로그램의 실행을 멈추고 API 후킹을 추가/수정/제거 등의 작업을 할 수 있습니다. (다른 방식과 가장 큰 차이점입니다.)

단점은 Debugger 에 대한 지식(혹은 자동화 스크립트에 대한 지식)이 필요합니다. 또한 안정적인 동작을 위해서는 많은 테스트가 요구됩니다. 이와 같은 단점들 때문에 (강력함에도 불구하고) 범용적으로는 사용하기는 쉽지 않습니다.

B) Injection

Injection 기법은 해당 프로세스 메모리 영역에 침투하는 기술로써 Injection 대상에 따라 B-1) Code InjectionB-2) DLL Injection 으로 나눌 수 있습니다. 그 중에서 DLL Injection 기법이 가장 널리 사용됩니다.

DLL Injection 기법은 대상 프로세스로 하여금 강제로 사용자가 원하는 DLL file 을 로딩하게 만드는 기술입니다. (DLL Injection 에 대한 자세한 설명은 예전의 제 글을 참고하세요. DLL Injection - 다른 프로세스에 침투하기 (1))

Injection 할 DLL 에 미리 후킹 코드와 설치 코드를 만들고 DllMain() 에서 설치 코드를 호출해 주면 Injection 되는 순간에 API 후킹이 완료됩니다.

Code Injection 기법은 기존 DLL Injection 보다 좀 더 발전된 (복잡한) 기술이며, 주로 악성코드(바이러스, 쉘코드, 기타)에서 많이 사용됩니다. (DLL Injection 은 AV 제품에서 탐지가 잘 되므로, 악성 코드들은 좀 더 탐지하기 어려운 Code Injection 을 많이 시도하고 있습니다.)

Code Injection 기법의 구현방법은 상당히 까다로운 편입니다. 그 이유는 DLL Injection 처럼 완전한 형태의 PE 이미지가 아니라 실행 코드와 데이터만 Injection 된 상태에서 자신이 필요한 API 주소를 직접 구해서 사용해야 하며, 코드 내의 메모리 주소에 접근할 때 잘못된 주소를 액세스 하지 않도록 매우 주의해야 하기 때문입니다.

말로만 설명하면 어렵습니다. 나중에 코드를 보며 직접 실습을 해보도록 하겠습니다.
(직접 해보시면 왜 어렵다고 말씀 드렸는지 느낌이 팍 오실 것입니다.)

[ API ]

Tech Map 에 소개된 방법들을 실제로 구현하기 위해서 사용되는 API 들을 소개합니다.

한번씩 읽어 보시고 향후 실습할 때 사용법에 대해서 자세히 살펴보도록 하겠습니다.

참고로 위에 소개된 API 말고도 OpenProcess(), WriteProcessMemory(), ReadProcessMemory() API 들은 다른 프로세스 메모리에 접근하려고 할 때 항상 사용되는 API 들입니다.


+---+

설명이 많이 길었습니다.
다소 지루하시더라도 세부 기술 설명에 앞서 이러한 이론적인 설명은 꼭 필요합니다.

위와 같이 Tech Map 으로 전체 기술에 대해 이론적으로 잘 정리해 두면 기술에 대해서 더 잘 이해할 수 있고, 실전에서 (상황에 맞게) API Hooking 을 적용하기 쉬워집니다.

다음 번 포스트에서는 위 방법을 하나씩 실습해 보도록 하겠습니다. (static 방법에 대한 설명은 생략하겠습니다.) 각 경우에 대한 실습을 진행하면서 그때그때 필요한 설명은 자세히 추가하겠습니다.




ReverseCore


  1. 이승철 2009.09.30 11:07 신고 댓글주소 | 수정 | 삭제 | 댓글

    기대됩니다. ㅜㅜ 추석이 오기 전에 빨리 보고 싶네요 ㅜㅜ

    이번 추석은 리버싱과 함께

  2. 2009.10.01 17:04 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  3. 2009.10.02 01:28 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  4. nettok 2009.10.02 07:43 신고 댓글주소 | 수정 | 삭제 | 댓글

    좋은글 잘보고 갑니다.
    앞으로 자주 들러야겠네요 와방 기대됩니다 ^_^

  5. 2009.10.14 15:38 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  6. JWP Programs 2012.02.18 13:03 신고 댓글주소 | 수정 | 삭제 | 댓글

    DebugActiveProcess 를 이용하여 디버그를 하니
    프로세스가 얼어버리는데 어떻게 해결할 수 없을까요??

  7. gsndae 2012.08.21 23:09 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요. 코어님 덕분에 공부 잘 하고있습니다. 댓글은 처음달아 보네요. 여쭤보고 싶은게 있는데, location의 IAT주소를 변경하는 방법은 IAT에 없지만 사용되는 API를 대상으로는 사용할 수 없다고 하셨는데, 구체적으로 어떤 것들이 있나요??

  8. 2013.03.21 17:25 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

    • reversecore 2013.04.01 22:18 신고 댓글주소 | 수정 | 삭제

      안녕하세요.

      아, 죄송합니다.
      저도 최대한 글을 남겨두고 싶었습니다만...
      출판사와 책 구매자분들 때문에 삭제를 하였구요.

      위 본문에 링크를 없애지 못한건 제 실수입니다.
      (수정하였습니다.)

      감사합니다.




리버스 엔지니어링 분야에 대해 질문이 있으시면 아래의 댓글로 올려주세요. 역시 댓글로 답변을 올려드리겠습니다. 공개하기 어려운 내용은 '비밀글' 에 체크해주세요.

"비도덕적, 불법적" 인 내용은 답변 드릴 수 없음을 이해해 주시기 바랍니다.


댓글, 방명록, 이메일 등으로 많은 분들께서 여러 가지 질문들을 해주십니다.
그중에 정말 좋은 질문들이 많아서 여러분들과 공유하면 좋겠다고 생각하였습니다.

이제부터 저에게 들어오는 모든 질문과 답변들을 이곳으로 모을 것입니다.
앞으로 질문과 답변은 이곳에서 해주세요~

질문에 대한 답변은 저 뿐만 아니라 제 블로그에 오시는 모든 분들께서 하실 수 있습니다.
문제 해결을 위한 방법은 다양합니다. 저 말고도 다른 분들의 답변은 언제나 환영입니다.

"질문은 좋은 것 입니다. 많이 해주세요. ^^ "

* 댓글로 질문하기 어려운 내용들(긴내용, 첨부파일 등)은 제 이메일(reversecore@gmail.com)로 문의해 주세요.

* 댓글이 너무 많이 달리면 제가 질문/답변 빈 포스트를 또 올릴 겁니다. 그쪽으로 계속 질문 댓글 달아주시면 됩니다.

감사합니다.


ReverseCore



'q&a' 카테고리의 다른 글

질문/답변 코너입니다. (3)  (394) 2011.04.13
질문/답변 코너입니다. (2)  (250) 2010.01.28
질문/답변 코너입니다.  (295) 2009.09.21
    이전 댓글 더보기
  1. RCE 2013.12.31 09:57 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요
    리버싱 공부 중인 학생입니다.
    인라인 패치를 하고 있는데 책에 나와 있는데로가 아닌
    rdata 영역 또는 data 영역을 이용해서 패치하려는데 패치가 잘 안 되서 질문드립니다.
    401083의 JMP 영역은 XOR 7로 잘 바꾸어 주었는데
    아마도 패치 영역이 문제인 것 같습니다. 바꾸고 저장해도 다시 디버깅을 해보면
    패치했던 부분이 그대로 0000 으로 되어 있더군요
    제가 패치한 부분은
    rdata 영역일 때 메모리상 pointer to offset은 402000을 시작으로 402B38까지 rdata 내용, 그 뒤로
    402B38~403000을 Null 영역으로 계산하였고 그 중 패치는 402B38~402200사이에 했습니다.
    (Pointer To Rawdata : 800 / VirutalSize : 138 / SizeOfRawdata : 200)
    그런데 제대로 패치가 되지 않아 저의 계산이 틀린 것 같은데 어떻게 계산을 해서 Null영역에
    패치를 해야 하는지 궁금합니다.
    <data 영역일 경우 403000을 시작으로 40302C 까지 data 내용, 그 뒤로 40302C부터 404000까지
    Null 영역으로 잡고 패치했었습니다.>

  2. James 2014.01.05 22:36 신고 댓글주소 | 수정 | 삭제 | 댓글

    처음 공부시작하는학생입니다...
    올리디버거 글자크기가 너무 작아서요... 눈이 아픈데요
    Option의 Appearence의 Fonts를 들어가서 Font parameters의 change를 눌러 폰트사이즈를 변경해도 바뀌지가 않습니다..
    글자를 좀 크게볼수있는 방법이 있나요?

  3. choi 2014.01.19 11:20 신고 댓글주소 | 수정 | 삭제 | 댓글

    처음 리버싱을 공부하는 학생인데 공부하던 도중 IA-32 매뉴얼은 어디에서 얻을 수 있나요?

  4. galois 2014.02.02 13:59 신고 댓글주소 | 수정 | 삭제 | 댓글

    음 올리디버그로 헬로월드 디버깅 하는 예제를 책을보고 따라해볼려고 올리디버그를 다운받고 예제 HelloWorld.exe도 다운받아서 올디에서 파일을 여는데 이런 에러가 뜨네요.

    Unable locate to file " 파일 경로"

    이거는 어떻게 해결하나요??

    그리고 올리디버그를 관리자 계정에서 사용하는데 그냥 실행하면
    you do not have administrative rights on this computer ~~ 라는 메시지 박스가 뜨길래
    관리자 권한으로 실행을 해본 결과 메시지박스가 안뜨는 걸 알게 됬는데
    이렇게 사용하는게 맞는지요??

    질문 읽어주셔서 감사합니다.

  5. 2014.04.24 13:22 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  6. shiri 2014.06.25 12:34 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요

    Hello World! 리버싱을 해보려고 Ollydbg 110으로 실행을 했는데 CALL 0040270C는 안보이고

    774A01B8 895C24 08 MOV DWORD PTR SS:[ESP+8],EBX 이런게 먼저 나오네요...

    200버전으로 다시 실행해도 책에 있는 것처럼 나오지 않아서 책 따라하기가 힘들어요

    제 운영체제가 64비트인데 혹시 이것 때문인가요?

  7. ㅇㄹㄴㅇㅁㄹ 2014.07.12 22:33 신고 댓글주소 | 수정 | 삭제 | 댓글

    datadirectory export값이요.
    NT Header - optional header의 멤버를 설명하는 부분에선
    datadirectory[0]의 값, 그러니까 Export의 Size값과 RVA값이 모두 00 00 00 00, 00 00 00 00
    이라고 나오는데

    EAT를 설명하는 부분에선 Size=00 00 6d 19, RVA=00 00 26 2c라고 값이 바뀌어 있습니다.
    이유가 뭔가요.

  8. ㅇㄹㄴㅇㅁㄹ 2014.07.13 19:17 신고 댓글주소 | 수정 | 삭제 | 댓글

    아 위의 질문 취소입니다. 파일이 다른거였네여 ㅈㅅㅈㅅ

  9. 전국수석 2014.07.16 02:31 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요
    올해 5년차 Windows 개발자 입니다
    주로 C/C++ 사용해서 개발은 하고 있습니다 ~ 응용프로그램개발, 시스템 프로그래밍을 했습니다
    지금 분야를 보안개발이나 정보보안전문가로 가고 싶은데요
    현재 리버싱책을 사서 공부중인데요 IDA Pro 정품을 구매해서 제대로 공부해보고 싶습니다
    정품구매 요령하고 어디서 구매하는지 패키지가 얼마정도 하는지 좀 알려주세요
    감사합니다 ~

  10. 한숨만나온다 2014.07.22 07:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    저자분 블로그 관리 너무 안하시는것 같아요.
    리버싱이란게 생소하고, 변수가 많은 분야이기 때문에
    당연히 수많은 독자들이 수많은 질문을 할텐데, 그 부분을 생각지 못하고
    저자분 혼자 답변하겠다는 생각으로 메일과, 블로그에 QA게시판을 만들면...
    지금 저자분처럼 일일이 답변해주는거 포기하고, 블로그도 뜸하게 들어오게 되고
    덕분에 독자들만 개고생하는 결과가 나는거죠.
    윤성우님처럼 저자의 개입없이 독자들끼리 정보공유해서 해답을 찾을 수 있게끔
    커뮤니티 카페를 만들었다면 좋았을텐데 말입니다.
    다시 한번 윤성우님을 찬양하게 되는 부분입니다.

  11. 한숨만나온다 2014.07.22 07:53 신고 댓글주소 | 수정 | 삭제 | 댓글

    저자분 블로그 관리 너무 안하시는것 같아요.
    리버싱이란게 생소하고, 변수가 많은 분야이기 때문에
    당연히 수많은 독자들이 수많은 질문을 할텐데, 그 부분을 생각지 못하고
    저자분 혼자 답변하겠다는 생각으로 메일과, 블로그에 QA게시판을 만들면...
    지금 저자분처럼 일일이 답변해주는거 포기하고, 블로그도 뜸하게 들어오게 되고
    덕분에 독자들만 개고생하는 결과가 나는거죠.
    윤성우님처럼 저자의 개입없이 독자들끼리 정보공유해서 해답을 찾을 수 있게끔
    커뮤니티 카페를 만들었다면 좋았을텐데 말입니다.
    다시 한번 윤성우님을 찬양하게 되는 부분입니다.

  12. 2014.08.12 12:56 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  13. 애독자 2014.09.29 19:00 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요. 애독자이며, 정말 많은 도움을 받고있습니다. 감사합니다.
    다름 아니오라 한가지 궁금하게 있어서 질문하게 되었습니다.

    a.dll 에서 aaa라는 함수를 실행하면 그 함수안에서 c:\ccc 라를 폴더에서 ccc.ini 불러오고있습니다. 그런데 a.dll 은 제가 LoadLibrary로 실행중에 로드 하는 상황입니다.
    a.dll 의 aaa라는 함수에서 c:\ccc 라는 폴더 말고 c:\ccc\sub 라는 폴더로 수정하고싶은데,
    책에서 보면 별도의 exe를 만들어서 만들어서 pid를 얻고 그 다음 실행중에인젝션하는 것 같습니다.

    a.dll 자체를 수정해서 인젝션 따로 필요없이 하는 처리하는 방법은 없을까요?


  14. 좋아요 2014.10.28 22:31 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하십니까, 저자님의 ollydbg.ini 파일을 적용시킨 후, 실행하고 F7나 F8을 누르면
    다른 경고창으로 HelloWorld가 작동하지 않습니다 또는 중지되었습니다 따위의 오류가 발생합니다. 어떻게 해야됩니까??

  15. 이리x 2014.11.18 13:59 신고 댓글주소 | 수정 | 삭제 | 댓글

    리버싱의 핵심원리를 공부하다가 궁금증이 생겨서 문의 드립니다.
    어떻게 보면 아주 간단한거고, 어떻게 보면 아주 간단하지 않은 질문이지만요^^
    제가 궁금한것은 hooking의 기초, SetWindowsHookEx 함수입니다.
    (리버싱의 핵심원리 21장, 294~297페이지 소스를 같이 봐주시면 이해가 더 빠르실지도.. ㅎㅎ)
    소스 내용은 대충 이러합니다.
    콜백함수를 통해 메시지 발생 시(키보드 누르는 메시지 발생 시) notepad일 경우 메시지를 후킹하여 전달하지 않아 키보드 입력이 안되게 하는 알고리즘으로 되어 있습니다.

    자 여기서 질문입니다.
    1. 부모프로세스가 explorer인 notepad는 정상적으로 후킹이 됩니다. 후킹이 되어 키보드 입력이 되지 않는데요.. 하지만 부모프로세스가 ollydbg인 notepad에는 후킹이 되질 않습니다.(키보드 입력이 정상적으로 됩니다.) 또한 다른 컴퓨터에서 진행해도 똑같이 정상적으로 입력이 됩니다. 이유가 무엇일까요?
    2. process explorer를 보면 ollydbg의 자식 프로세스 notepad에는 dll을 클릭해도 아무것도 출력되지 않습니다. 그 이유는 무엇일까요?
    3. 정확하게 dll이 붙는 곳은 어디일까요?(이 질문을 하는 이유가 뭐냐면 hookmain 프로그램과 메모장, 그리고 스티커 메모장 실행 시 키보드 메시지를 발생시키자 keyhook.dll이 붙는 것을 확인할 수 있었습니다. -> 이 말은 콜백함수가 우선적으로 호출된 후 injection 된다는 얘기입니다. dll injection 코드가 정확하게 어딘지 모르겠네요.. 올리디버거로 분석하려고 해도 붙질 않으니.. ㅠㅠ) 콜백 함수가 실행되고 dllmain이 실행되는 걸까요..? 흠..
    그래서 제가 고민끝에 내린 추측은
    콜백함수나, dll injection 과정을 거칠때 ppid가 같아야한다?
    아니면 애초에 keyhook.dll이 로드되지 않았다??(process explorer를 볼 시 아무것도 출력이 되지 않아서..)
    dll이 정상적으로 injection 되지 않았기 때문에..?? 그 이유는..??
    이정도 입니다..
    혹여 이 부분을 실습하다가 안되신 분들 계시면 답변 부탁드리고, 아시는 내용이 있으면 댓글 부탁드립니다.

  16. 쉬리 2015.02.08 23:12 신고 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요. 지금 코드 인젝션을 공부하고 있습니다. InjectCode() 함수에서
    dwSize = (DWORD)InjectionCode - (DWORD)ThreadProc; 이 부분에서 질문이 있습니다.
    위의 코드가 MS Visual C++에서 사용되는 코드라면 다른 컴파일러를 사용했을땐 어떤식으로
    함수의 크기를 구하는지 알고싶습니다. 답변해주시면 감사하겠습니다.

  17. 2015.07.13 16:24 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  18. 2015.07.13 16:24 댓글주소 | 수정 | 삭제 | 댓글

    비밀댓글입니다

  19. 디디딛 2015.07.21 17:03 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다

  20. 김준영 2015.09.25 22:46 댓글주소 | 수정 | 삭제 | 댓글

    관리자의 승인을 기다리고 있는 댓글입니다





티스토리 툴바