성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
[정성태] 만드실 수 있습니다. 단지, Unity 엔진 내의 스크립트와 W...
[공진영] 안녕하세요 좋은글 감사합니다. 현재 제가 wpf로 관제 모...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>C# - PEB를 조작해 로드된 DLL을 숨기는 방법</h1> <p> 지난 글에서,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C# - PEB(Process Environment Block)를 통해 로드된 모듈 목록 열람 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/12101'>http://www.sysnet.pe.kr/2/0/12101</a> </pre> <br /> 로드된 DLL들이 PEB.Ldr.InMemoryOrderModuleList에 이중 연결 리스트로 보관되어 있다고 설명했었습니다. 그렇다면, 당연히 그 연결을 끊으면 로드된 DLL을 숨기는 것도 가능합니다.<br /> <br /> 간단하게 구현해 볼까요? ^^ 우선 <a target='tab' href='http://www.sysnet.pe.kr/2/0/12101'>_PEB, _PEB_LDR_DATA</a>를 가져온 후,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // Install-Package KernelStructOffset _PEB peb = EnvironmentBlockInfo.GetPeb(); _PEB_LDR_DATA ldrData = _PEB_LDR_DATA.Create(peb.Ldr); </pre> <br /> 해당 모듈의 연결 리스트 항목(_LDR_DATA_TABLE_ENTRY)을 구해,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > _LDR_DATA_TABLE_ENTRY dllLink = ldrData.Find("ole32.dll"); </pre> <br /> 흔하게 알려진 이중 링크드 리스트의 끊는 방법을 _LIST_ENTRY에 적용하시면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > _LIST_ENTRY* pNext = (_LIST_ENTRY*)dllLink.Flink.ToPointer(); _LIST_ENTRY* pPrev = (_LIST_ENTRY*)dllLink.Blink.ToPointer(); IntPtr thisLink = pNext->Blink; _LIST_ENTRY* thisItem = (_LIST_ENTRY*)thisLink.ToPointer(); thisItem->Blink = IntPtr.Zero; thisItem->Flink = IntPtr.Zero; pNext->Blink = new IntPtr(pPrev); pPrev->Flink = new IntPtr(pNext); </pre> <br /> 끝입니다. ^^ 실제로 끊기 전과 후에 Process.GetCurrentProcess().Modules을 열람해 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > foreach (ProcessModule pm in Process.GetCurrentProcess().Modules) { if (pm.FileName.EndsWith("ole32.dll", StringComparison.OrdinalIgnoreCase) == true) { // ... 끊기 전에는 실행되지만, 끊은 후에는 실행되지 않음. } } </pre> <br /> 결과를 확인할 수 있습니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 참고로, tasklist 같은 명령행 도구들도 PEB를 이용해 모듈을 열람한다는 것을 이번 실습을 통해 확인할 수 있습니다. 일례로 ole32.dll에 대한 연결을 끊기 전과 후의 출력을 비교할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // 끊기 전 C:\temp><span style='color: blue; font-weight: bold'>tasklist /FI "PID eq 19328" /M</span> Image Name PID Modules ========================= ======== ============================================ HideModule.exe 17628 ntdll.dll, MSCOREE.DLL, KERNEL32.dll, KERNELBASE.dll, ADVAPI32.dll, msvcrt.dll, sechost.dll, RPCRT4.dll, mscoreei.dll, SHLWAPI.dll, combase.dll, ucrtbase.dll, bcryptPrimitives.dll, GDI32.dll, win32u.dll, gdi32full.dll, msvcp_win.dll, USER32.dll, IMM32.DLL, kernel.appcore.dll, VERSION.dll, clr.dll, ucrtbase_clr0400.dll, VCRUNTIME140_CLR0400.dll, psapi.dll, mscorlib.ni.dll, <span style='color: blue; font-weight: bold'>ole32.dll</span>, clrjit.dll, System.ni.dll // 끊은 후 C:\temp><span style='color: blue; font-weight: bold'>tasklist /FI "PID eq 19328" /M</span> Image Name PID Modules ========================= ======== ============================================ HideModule.exe 19328 ntdll.dll, MSCOREE.DLL, KERNEL32.dll, KERNELBASE.dll, ADVAPI32.dll, msvcrt.dll, sechost.dll, RPCRT4.dll, mscoreei.dll, SHLWAPI.dll, combase.dll, ucrtbase.dll, bcryptPrimitives.dll, GDI32.dll, win32u.dll, gdi32full.dll, msvcp_win.dll, USER32.dll, IMM32.DLL, kernel.appcore.dll, VERSION.dll, clr.dll, VCRUNTIME140_CLR0400.dll, ucrtbase_clr0400.dll, psapi.dll, mscorlib.ni.dll, clrjit.dll, System.ni.dll </pre> <br /> 반면 Sysinternals 등의 도구(listdlls.exe나 process explorer.exe)에서는 PEB의 InMemoryOrderModuleList를 사용하지 않으므로 모든 DLL들이 열거됩니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 이쯤에서 한 가지 더 설명해야 하는데 ^^ 모듈 목록은 PEB.Ldr.InMemoryOrderModuleList뿐만 아니라 PEB.Ldr.InLoadOrderModuleList에도 보관하고 있습니다. (원래는 필드 이름이 의미하는 대로 구분이 있었던 것 같지만 Windows 10에서 테스트해 보면 목록 순서가 동일하게 출력됩니다.) 따라서 좀 더 잘 숨기고 싶다면 InLoadOrderModuleList에서도 연결을 끊어주는 작업이 필요합니다.<br /> <br /> 현재 이러한 기능을 추가해 KernelStructOffset을 업데이트했고 따라서 다음과 같은 식의 코드로 링크 연결을 끊거나 재연결할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > _PEB peb = EnvironmentBlockInfo.GetPeb(); _PEB_LDR_DATA ldrData = _PEB_LDR_DATA.Create(peb.Ldr); string moduleName = "ole32.dll"; FindModules(moduleName); DllOrderLink hiddenModuleLink = null; try { hiddenModuleLink = ldrData.<span style='color: blue; font-weight: bold'>HideDLL</span>(moduleName); FindModules(moduleName); } finally { if (hiddenModuleLink != null) { ldrData.<span style='color: blue; font-weight: bold'>UnhideDLL</span>(hiddenModuleLink); } } </pre> <br /> 또한 InLoadOrderModuleList, InMemoryOrderModuleList 필드의 목록을 다음의 코드로 열람할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > foreach (var item in ldrData.<span style='color: blue; font-weight: bold'>EnumerateLoadOrderModules</span>()) { Console.WriteLine("\t" + item.FullDllName.GetText()); } foreach (var item in ldrData.<span style='color: blue; font-weight: bold'>EnumerateMemoryOrderModules</span>()) { Console.WriteLine("\t" + item.FullDllName.GetText()); } </pre> <br /> 이 글의 완전한 예제 코드는 github에 올려 두었습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > DotNetSamples/WinConsole/PEFormat/HideModule/ ; <a target='tab' href='https://github.com/stjeong/DotNetSamples/tree/master/WinConsole/PEFormat/HideModule'>https://github.com/stjeong/DotNetSamples/tree/master/WinConsole/PEFormat/HideModule</a> </pre> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1776
(왼쪽의 숫자를 입력해야 합니다.)