리버스코어 ReverseCore

안녕하세요.
질문이 있어서 이렇게 글을 올립니다.
첨부되어 있는 프로그램으로 실행은 잘 되는데요
문제는 vs2008로 만들어진 프로그램들, 그리고 vs2008 툴 자체는 위 dll을 injection 시키면
프로그램 자체가 실행되지 않습니다.
vs2003이나, 그외 프로그램들은 잘 동작하는데 말이죠
ASLR기능 인가 찾아 보았지만 제 pc의 환경은 xp sp3환경이어서 문제가 되지는 않을 것 같습니다.
원래 vs2008관련되어서는 dll injection 기능이 동작하지 않는것인가요?
동작하게 하려면 어떻게 해야 할지요?

스텔스 프로세스(2)에서 올려주셨던 HideProc.exe는 XP기반에서만 작동하는 것 같더라구요

윈도우 7(Enterprise 32bit)에서 vmware-vmx.exe라는 프로세스를 숨기기 하고 싶은데

이번에 포스팅에 올려주신 파일은 notepad.exe로 고정되어 있는것 같아서요

제가 임의의 프로세스를 숨기려면 어떤 부분을 수정해서 어떻게 컴파일 해야 하는건가요?

.exe와 .dll은 한번도 컴파일해보지 않아서...

또, 수정하려면 무조건 Visual Studio가 설치되어 있어야 하는건가요?

기초 지식 없이 이렇게 물어봐서 죄송합니다

가능하시다면 jjengae@nate.com 으로 메일 부탁드릴게요

빌드를 해야된다고 하셔서 VS2008 설치했습니다.

"notepad.exe"를 수정해야 한다고 하시는건 "stealth2.cpp"에 있는 내용을 수정하고 빌드해야 된다는 말씀이시죠?

"HideProc2.cpp"는 "멀티 바이트 문자 집합" 설정하고 컴파일 했더니 debug폴더에 실행파일이 생성되더군요. 문제는 stealth2.cpp 파일입니다.

여차여차해서 stealth2.cpp 파일을 컴파일 하려고 프로젝트 생성시에 응용프로그램 종류에서 콘솔 응용프로그램 대신 "DLL"로 셋팅하고 멀티바이트 문자 집합으로 설정했더니 오류가 나지 않더군요.

근데 컴파일 후에 나타나는 창이 무엇인지 잘 모르겠습니다. "디버그 세션이 사용할 실행 파일"이라는 창이 뜨고 "실행 파일 이름"과 "프로젝트에 액세스할 수 있는 URL"을 입력하라고 하는데 그것을 무엇으로 해야할지 잘 모르겠습니다.

요약하자면 stealth2.cpp 파일을 어떻게 .dll로 컴파일하는지 좀 알려주시면 감사하겠습니다.

혹시 .dll로 컴파일하는 포스팅은 없는건가요? 시간 되신다면 vmware-vmx.exe로 적용하여 jjengae@nate.com으로 보내주시면 감사하겠습니다. ㅜㅜ

도움 주시면 감사하겠습니다.

글 보고 메일 발송하였는데요.

제발 누가 stealth2.cpp dll로 빌드하는 방법좀 알려주실 수 없나요 ....

안녕하셰요.
메일 확인하니 주소가 틀렸어요.
VS키고 dll프로젝트를 하나 창조하지요.
다음 dll main에서 stealth2.cpp를 코피하다놓고 빌드하면 되겠지요.

안녕하셰요.
VS를 켜시고 File/New/Project/Win32를 선택하시지요.
dll옵션을 체크하시고 empty를 선택하세요.
그렇게하군서 stealth2.cpp를 코피하다가 빌드하세요.
dll컴파일을 하구선 loadlibrary를 사용하셰야 디버그를 할수잇어요.

드디어 빌드를 완료했습니다.

그런데 아래와 같은 증상이 나타나면서 프로세스는 사라지지 않는데, 무엇이 문제인가요 ?

C:\Work>HideProc2.exe -hide stealth.dll
OpenProcess(968) failed!!!
OpenProcess(1572) failed!!!
OpenProcess(2296) failed!!!

와 정말 장하시네요.
근데 또 에러가 있군요.
오~~~~그거 권한문제때문같아요.
안녕하셰요.

father님 항상 조언 감사합니다.
덕분에 dll 빌드하는 방법을 알았네요.
전 항상 컴파일만 돌릴생각만 하고 안된다고 생각했었는데 빌드를 해야했군요.

reversecore님 이게 권한문제때문에 발생하는 에러인가요?
만약 권한문제라면 권한 문제는 어떻게 해결해야 하나요?

질문있습니다.
1. 새로 생성(기존x)되는 하나의 모든 exe 프로세스만 감지(CreatePocess 함수)해서 후킹할려면 어떻게 하나요
2. 그리고 후킹후에 제가 원하는 프로세스 실행할려면
무슨 함수가 있어야하나요?
3. 디바이스 드라이버 파일에 dll파일을 로드시켜 사용할수 있나요??
...답변해주시면 정말 감사하겠습니다.

CreateRemoteThread() 가 잘 안먹히는 경우 어떻게 하는게 좋을까요?
Sleep(2000)을 넣으면 전역후킹이 되긴 하는데,
예를 들어 시작메뉴에서 프로그램을 시작시키면
시작메뉴에서 일정 시작 렉을 보이네요.
환경은 xp sp3를 깔았습니다.

게시글에 올려주신
HideProc2.exe 와 stealth2.dll를 다운받아서 실행해보면 아무 문제가 없는데
첨부하신 소스파일로 빌드해서 같은 방법으로 실행해보면 최초 인젝션 후에
실행하는 프로세스에 대해서는 프로세스은폐가 이루어 지지 않습니다.

또한 최초 인젝션 후에 작업관리자나 프로세스익스플로러를 두 번실행해야
그때부터 정상적으로 실행되네요.

확인부탁드릴께요.

번， 생각할 시간이 필요하다고 할 경우 하루만 생각할 시간을 주고 당장
골라

나도 용기가 없어서 아플 것 같아서 아무 말 못 하네요

잘보고 갑니다. 글을 참 깔끔하게 잘 쓰시네요.

안녕하세요. 현재 책을 도서관에서 빌려 보고있습니다. 한 가지 질문드릴게 있는데.
IE를 사용하며 파일 업로드 같은 행동을 할 때 FileDialog가 불려지는데, IE에 dll을 심은 후 이 FileDialog가 불려질 때마다 자동으로 메세지박스를 띄운다던지 행동을 취하고 싶습니다.
해서 Process Explorer로 살펴보았더니 FileDialog event명은 db!rwWriterEvent 더군요.
여기까지만 파악이되고 정작 이 event가 작동할 때 마다 어떻게 체크해야할 지 감이 잘 오지 않네요.

책의 어느 부분을 보면 도움이 될 까요 ?

여러 프로그램을 한꺼번에 후킹할려면 코드를

어떤식으로 수정해야좋을까요?

질문 하나 드려보겠습니다 ^^;

소스를 보면 JMP해서 우리가 만든 함수로 점프를 하게 해주는데 그 때 함수 주소 구할때
만든 함수 주소 - 오리지널 함수 주소 - 5
이렇게 해주셨던데;; 왜 위 과정을 거쳐야만 제가 만든 함수 주소가 나오는 것일까요??;;

아~;; 소스코드 수정해보면서 OPCODE봐보니..정말 상대거리군요.. 지금까지 왜 몰랐을까요..-_-;;ㅋ
아무튼 하나하나 알아가니 재미있군요..ㅋㅋ 이제 reversecore님이 쓰신 모든 코드는 이해가 끝났습니다 ㅋㅋ ㅜ ㅜ

여기서 DLL인젝션과 API후킹을 공부해서 어디서 응용해보지 하다가..ㅋ 올디에서 제 프로그램 Attach를 막아보자라는 생각으로
DebugActiveProcess함수 후킹을 해서 성공했습니다 ;;
뭐.. 구현은.. 올디가 Attach하려는 PID값과 제 프로세스 PID값 비교해서 같으면 PID값을 임의적으로 바꿔버리는 방법을 썼어요 ㅜㅜㅋ 화이팅입니다!! ㅜㅜ 글로벌 후킹은 또 잘 안되는군요..
다시 해봐야겠습니다 흐엉~ 오늘은 토요일..

질문 있습니다.

kernel32.dll이 export 하고 있는 API함수를 후킹하여 시작 주소를 수정하는 것은
어느 프로세스에서 실행되든 프로세스가 영향을 받는지 궁금합니다.

DLL의 경우 한 번만 메모리에 로딩되고 나머지 프로세스들은 그 DLL을 매핑하는 방식이라고 들어서 API함수가 후킹될 경우 모든 프로세스에 영향을 미칠 것 같은데 제 생각이 맞나요?

만약 맞다고 한다면 이 함수를 후킹하고 있는 프로세스에서는 NewZwQuerySystemInformation 함수의 주소가 있으니 제대로 동작하겠지만, 다른 프로세스에서는 주소가 틀려지니 NewZwQuerySystemInformation 함수를 DLL Injection 방법으로 삽입한 다음에 사용해야 하는 건가요?

안녕하세요? 좋은 정보 감사 드립니다.
hook_by_code부분이 64bit에서 제대로 동작하기 위해서는 아무래도 점프 주소 계산 부분이 변경되어야 할 듯 싶은데, 어떻게 바꾸어야 할지 전혀 감이 없네요.

혹시 관련 정보, 책등이 있으시면 알려주시면 너무 감사 하겠습니다.
종종 들리겠습니다. 감사 합니다. ^^

win32API( )를 myAPI( )로 hooking을 한 상태에서 win32API()을 호출해준다고 가정할때 해당 win32API( )를 unhook을 하고 호출하는 방식을 제시하셨는데요. 이경우에대한 문제점도 지적하셨고, 매번 myAPI함수 내에서 unhook() hook()을 호출해주는 코드는 좀 거추장 스럽다는 느낌이 들더라구요.
그래서 곰곰히 생각을 해보니 해당 win32API( )의 code block을 통째로 어딘가에 copy를 해두었다가 호출하는 방식이면 어떨까요? 예상되는 문제는 win32API()의 code block의 크기과 주소가 바뀌면서 생기는 side-effect인데요. 일단 test를 해보려 하니 win32API( )의 code block의 크기를 구하는 방법을 잘 모르겠더군요.
혹시 아이디어 있으십니까?

안녕하세요, 항상 올려주시는 글을 감사히 보며 배우는 초보입니다.

질문이 두 가지 있는데요..

hook_by_code와 unhook_by_code 에서 후킹할 API를 주소를 매번 구하는데요.. 이 과정을 처음에만 해주어서 얻은 주소를 계속 사용해도 문제가 없겠죠?? 괜찮을 것 같지만 혹시 제가 모르는 예외가 있을까 싶어서 여쭤봅니다.

다른 질문은 바로 위 댓글과 관련된 내용인데요.. 글에서 소개하신 5 byte 패치 방법은 일반적인 상황에서 잘 돌 수 있는 방법이라고 하셨는데.. 이 방법이 안먹힐 경우는 어떤 경우인지 알 수 있을까요??

또 그럴 경우에는 어떤 방법을 써서 후킹할 수 있는지 간단하게나마 알려주시면 감사하겠습니다. :)

안녕하세요.
디버거님, 답변 궁금하시갔는데요.
NTSTATUS는 DDK를 태우면 되시는데요 VS2008,VS2010을 태우시고
쓰시면 되세요.
안녕하세요.

안녕하세요.
좋은 글 감사합니다.

한가지 질문이 있는데요...

VS6.0 에서 컴파일 하려고 하는데 NTSTATUS, SYSTEM_INFORMATION_CLASS 등이 문제네요.
이런것 들은 도대체 어디에 있는 건지 알 수가 없는데 좀 가르쳐 주세요.

행복하세요.

안녕하세요 ^^
덕분에 좋은 지식 많이 얻어가고 있습니다.
실력이 부족해서 구글링이나 웹사이트 뒤지면서 공부 하는데요~
아래 부분은 도저히 이해가 가지 않아서 질문 좀 드립니다.

숨길프로세스 정보를 찾아서 비교한 다음 같으면 숨기는거 같은데요~
!_strcmpi 하면은 같지 않으면 아래로 이동 하는것 같은데요~

그리고, pCur->NextEntryOffset == 0 는 연결리스트 마지막인거 같은데요~
아래 소스가 이해가 되지 않습니다. ㅜㅠ
조언 좀 부탁드립니다. 수고하세요~

if(!_strcmpi(szProcName, g_szProcName))
{
// 연결 리스트에서 은폐 프로세스 제거
if(pCur->NextEntryOffset == 0)
pPrev->NextEntryOffset = 0;
else
pPrev->NextEntryOffset += pCur->NextEntryOffset;
}
else
pPrev = pCur;

친절하신 답변 정말 감사드립니다. ^^
수고하세요~!

ㅎㅎ 이거 꿀같은 자료입니다... 공부열심히 해서 뒤따라 가도록 하겠습니다

수고많으십니다.^^ SetPrivilege() 함수는 권한설정같은데 어떤역할을 하는지 궁금합니다...

안녕하세요 코님.
좋은글 정말 잘 읽고 많이 배웁니다.
한가지 질문이 있습니다.
팔극진님이 질문하셨던 NewZwQuerySystemInformation에서 말이지요.
만일 첫번째 프로쎄스가 stealth 프로쎄스여서 그것을 숨기자면 어찌 해야 할지요.
그리고 현재 코드에 버그가 있네요 첫번째 프로세스가 stealth프로세스면 동작은 물론 pPrev가 초기화되지 않은 상태에서 작동하므로 예상치 못할 버그를 발생시킬수 있을것 같습니다.
아무리 머리를 굴려도 첫번째 프로세스가 스텔스프로세스라면 어떻게 감춰야 할지 떠오르지 않네요.
일단은 다음과 같이 수정은 해놓았습니다.
if(pCur->NextEntryOffset == 0 && pPrev)
pPrev->NextEntryOffset = 0;
else
pPrev->NextEntryOffset += pCur->NextEntryOffset;

*((PWSTR)pCur->Reserved2[1]) = 0; //erase process name;

정확한 답변부탁드립니다.

답변감사합니다.
어떤 온라인 게임 클라이언트를 노는 사람들이 가능한 어떤 방법으로든 그게임의 써버 ip를 알지 못하게 하여 DDOS공격을 시도조차 못하게 하려고 합니다.
인터넷에 보니 DDOS공격 도구들이 Free로 나돌아 누구나 막 DDOS를 시도할수 있는 가능성이 높아서요. 프로가 아닌 사람들이 맘대로 공격하는것을 막으려고 합니다.

한가지 질문 더 드릴게요.
코어님의 코드를 다운하여 Win7에서 DLL Injection은 성공했습니다.
그런데 MFC Dialog형식으로 제가 만든 프로젝트에서 DLL Injection시에는 NtCreateThreadEx를 API후킹한 부분을 실행하다 BlueScreen이 나오는데 초보인 저로서는 원인이 무엇인지 감이 전혀 안오네요.
필요하시다면 저의 쏘스를 보내드릴수 있는데 원인해결 부탁드리고 싶습니다.
언제나 방문자님들에게 친절한 코어님께 감사드립니다.

안녕하세요.

되도록 구글신의 힘을 빌려서 혼자 해결해려 했지만 너무 어려워서 질문 올립니다.

Hookproc.cpp 의 내용을 쭉 읽다가 _EnableNTPrivilege 함수 부분에서 꽉 막혀버렸습니다.

읽어도 이해가 가질 않네요.... 혹시 이 함수의 내용이나 내부 함수에 대해서 설명 해 주시거나

링크가 있을까요...?

안녕하세요 프로그래밍 지식이 부족한 상황에서 선생님의 책을 사서 보고 있습니다
c를 잘 모르는데 리버싱을 공부 할 수 있나요 api를 잘 모르는데 공부 할 수있나요
서문에 적어주신 가장 많은 질문이라고 그에 대한답변을 적어 주신게 너무 좋게 들렸습니다 ㅠ
결론은 제가 프로그래밍을 잘몰라서요 ㅠㅠ
책에 보면 스텔스 프로세스 부분에 stealth2.dll 부터는 notepad를 자동으로 되게 하드코딩하셨자나요

그런식으로 그냥 hideproc2.exe -hide stealth2.dll 이것까지 다 하드코딩 하려면 어느부분을 수정하여야 하나 힌트 좀 구할수 잇을까요 ㅠ

공용대화상자를 후킹하려고 하는데요..
다음과 같이 코드를 작성하였는데요..
getopenfilename이 호출될때 메시지 박스를 띄우는 작업을 하고
있거든요.
그런데.. getopenfilename 후킹이 제대로 되기는 하는건지..
아니면 중간코드가 잘못되었는지..
후킹성공 메시지 박스가 뜨지 않네요
(제가 목표로 하려는건 열려있는 탐색기 디렉터리를 얻어와서,
그 디렉터리들 중 사용자가 원하는 것을 선택해서 그 위치에서
파일관련대화상자를 여는 겁니다)

소스 코드는 아래 저의 블로그에 임시로 올려놓았습니다.
http://blog.naver.com/siam18/170382475

dll 인젝션은 석기시대 유물.

오랫만에 1등하는것 같네요.ㅎㅎ
노트북이라... 대략 40개 이상의 프로세스들이 히히낙낙 거리고있는데...
웬지 무서운...
잘봤습니다~ > <//

아 코어님의 명강의 정말 많은도움 되고 있습니다.
나중에는 은폐 프로세스를 찾는 방법도 포스팅 해주셧으면 좋겠네요 ㅎㅎ

1편에 CreateRemoteThreaed방법으로 Injection을 쓴다고 Tech Map에 표시는 해두셨지만, 이유는 안나와 있어서요..

혹시 "SetWindowsHookEx쓰면 되는데... 저절로 해주는데.."라는 생각하실분들이 있을거 같네요..

아, 그리고 Tech Map들 보면 맨 우측 API부분에 CreateRemoteThread부분에 빨간색 친거 맨 아래에 쳐야 맞는거같은데.. 이전 것두 그런게 있고요//

사소한 것들이여서 언급안하고 넘어갈수도 있는 부분인데, 연재글을 읽는 입장으로서, 초보자입장으로서 염려되어 리플하나 남겨봅니다.. 심각하게 받아들이진 말아주세요///

마음과 몸은 이미 주말이네요..
일이 손에 안잡혀서 서핑중입니다ㅋㅋㅋ
아 갑자기 궁금한게 있는데요, CreateRemoteThread를 사용해서 32bit프로세스(32bit dll, 32bit injector)에서 64비트 프로세스로 인젝션이 가능한가요? SetWindowsHookEx는 어떨까요?

좋은 자료 잘보고 있습니다. 다음 글이 기다려 지는군요^^ 연말 잘보내세요

혹시 forum.exetools (EXETOOLS) 가입되어 있는 분 있나요 T^T?

W32Dasm Patch 3.0 final 이 그 홈페이지에 있길레 받고싶은데. .
영어가 너무 어려워서 가입을 못하네요 마지막에 무슨 코드를 쓰라는데 T^T..
구글 번역기 돌리며 몇시간을 시도해봤지만 실패네요 T^T..

http://forum.exetools.com/showthread.php?t=2396

요거 혹시 받는게 가능하신 분 있으면 tortlxkq@naver.com 으로 좀 보내주시겠어요 흑 T^T..

P.S 메리 그리숨엇수 하세요 ^^*

w32dasm 3.0 patch
http://tinyurl.com/ydwms9y
여기서 [W A S M . R U] 링크 들어가면 있습니다

흠.. 이거 64비트에서는 안되네요..

Windows XP SP3와 7에서 테스트 하셨다고 하셨는데

VMware로 SP3를 설치하고 하니깐 안되네요

혹시 방화벽 해제라던지 다른 변경을 해야 가능하고 그런가요:?

HideProc.exe -hide abc.exe d:\stealth.dll 을 하니,

OpenProcess<3976> failed!!!
OpenProcess<4040> failed!!!

tasklist 해보니,
V3LSvc.exe 3976 Console 0 2,276 K
V3LTray.exe 4040 Console 0 1,028 K

음,,, 안철수백신에는 숨겨지지가 않는군요,
안철수백신에 숨겨지지 않는것 뿐만아니라, tasklist로는 abc.exe가 보이네요.

백신이 설치되지 않은 다른PC에 해봤습니다.
결과는 잘됩니다.
tasklist로도 숨겨져 있네요.

제가 뭔가 잘 못하는건가 싶네요, ^^;

ㅎㅎㅎ;;
정상이군요.
백신도 숨겨지나 싶어서 궁금해서 물어봤습니다...
근데 신기하네요.

저는 랭귀지를 잘못해서 실제 적용은 못하겠네요.
ㅎㅎㅎ;;여튼 좋은구경하고 갑니다.
그리고, 제 홈피주소가 스팸이 되었더군요.
제가 이쪽으로 트래백을 잘못보낸적이 있는거 같습니다.
^^

hideproc.exe 실행시켜봤는데 0.5초만에 저절로 꺼지던데 왜 이런건가요?
윈도우xp 서비스팩2사용중입니다.

업계에서 어느 정도 일해야 저런 API까지 다 알고 그럽니까 ㅎ
요즘 윈도우 시스템 프로그래밍 책 보면서 틈틈히 블로그 글 보지만 언제나 봐도 신기하기도하고 어렵기도하고...

dll에 직접 훅을 걸거나... 이미 훅되어 있다면 32비트는 5바이트 64비트는 12바이트 점프한거나...
커널에서 훅을 걸거나...64비트는 커널 진입전 까지 코드를 복사해서 커널로 진입하거나... ssdt 보호모드에서 구경만 하거나... 잠이나 자거나...

혹시 이런방식으로 다른 프로그램도 숨길수잇는건가요? maplestory.exe같은 프로세스도

아.. 전체적으로 작업관리자, procxp와 같은 녀석들에게 dll을 삽입해서...
작업하는건가요..?! 제가 이해하고있는게 맞을까요..!? ㅎㅎ
오늘도 좋은글 감사합니다~ ^^*

잘 읽었습니다. +_+

항상 좋은 내용 잘보고 갑니다 '-'//

감사합니다~
Reversecore 님은 참 부지런 하십니다. ㅎㅎ
다음 것도 기대할게요~

작성하느라 수고 많으셨습니다... 나중에 하나로 묶어서 책으로 출간해도 전혀 손색이 없을 정도로 훌륭한 퀄리티네요...^^

앗.. 불과 며칠전에 공부했던 내용이군요!
다시 복습하는 의미로 읽었더니 머리에 쏙쏙 들어오네요. 감사합니다!!

감사합니다. 블로그 통해서 많이 배우고 있습니다.
바쁘시겠지만 한가지만 여쭤볼께요.
API 중 MapViewOfFile API를 코드패치 방식으로 후킹하려고 했는데...
5바이트에 JMP XXXX 쓰는 부분에서 항상 죽네요.
vs8.0 디버거로 돌려서 직접 디버깅해보면 정상작동하구요
직접 디버깅시 잘 되는걸로 봐서 사용자 권한 문제같은데요.
방법이 없을까요??

답변 감사드립니다. 말씀해주신 내용 잘 봤습니다.
그래서 MapViewOfFile API는 IAT 후킹하는 방식으로 바꾸니까 잘 됩니다.
다시 한번 감사드립니다.

아....제가 질문란에 올렸던 질문이 여기서 해결되는군요.......

사실 여기있는 모든 글들을 저장해서 두세번 보았는데 볼때마다 새롭네요 ㅡ.ㅜ

제가 후킹하려던 함수가 dll이 동적 로딩해서 IAT에 보이지 않았다는 사실을 뒤늦게 깨달았습니다..

이제 코드패치로 도전해보려고 하는데요 아 정말 주옥같은글 너무 감사합니다

도전 ㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱㄱ^^

강의 잘보고 있습니다! 그런데 한가지 궁금점이 있습니다.

CALL hook()을 호출하면 ZwQuerySystemInformation의 첫 5byte가 다시 JMP문으로 바뀔텐데

이걸 하는 이유가 나중에 또 호출할 일이 있을때를 대비하여 미리 만들어 놓는 건가요?

그럼 뒤에 나오는 수동으로 JMP XXXX의 XXXX를 구하는 방법은 처음 1번만 해주면 그 외에는

hook()함수로 자동으로 JMP XXXX로 설정되는건가여?

API Hooking - 계산기, 한글을 배우다 의 글이 갑자기 안보이는데,
그 뿐만 아니라 상당수 들이 많이 안보여요ㅠㅠ 무슨일이 있나요?

감사합니다.

궁금한 게 있는데 런타임에 API 코드를 수정하는 방법보다는 Code cave에 수행될 명령어를 미리 모두 적어 놓고 수행시키는 것이 더 편하지 않을까요? 그러면 어떤 시점에 임의의 코드를 끼워 넣는다는 점은 같을 텐데요...

DLL영역의 코드를 변경하면 다른 프로세스들도 모두 자동으로 적용되는거 아니였나요?? dll영역은 메모리상에 하나만 올라가고 모든 프로세스가 그 영역을 공유한다는 걸로 알고 있어서요...ㅠㅠ답변 부탁드립니다