성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>C#으로 구현하는 Win32 API 후킹(예: Sleep 호출 가로채기)</h1> <p> 예전에 C++를 이용한 방법을 소개했는데,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Detours 라이브러리를 이용한 Win32 API - Sleep 호출 가로채기 ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/631'>https://www.sysnet.pe.kr/2/0/631</a> Win32 API 후킹 - Trampoline API Hooking ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/1231'>https://www.sysnet.pe.kr/2/0/1231</a> </pre> <br /> 이번에는 순수 C#만을 이용해 호출을 가로채 보겠습니다. ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 코드를 작성하기 전에, Win32 API를 제공하는 측에서 어떤 식으로 동작하는지 잠시 살펴보겠습니다. 우선, API를 담고 있는 DLL이 시스템에 로딩될 때의 주소가 가변적이므로 해당 주소를 직접 "지정해서" 호출할 수 없다는 점을 알아야 합니다. 즉 아래와 같은 식으로,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // TestFunc 함수의 주소가 0x5000이라고 가정. call 0x5000 </pre> <br /> 컴파일러는 직접 "0x5000"을 가정하고 기계어 코드를 생성할 수 없습니다. 왜냐하면 DLL은 0x10000000에도 로드될 수 있고 0x10050000에도 로드될 수 있기 때문에 애당초 저런 식으로 주소를 확정할 수가 없는 것입니다. 이런 문제를 해결하기 위해 컴파일러는 다음과 같은 식으로 기계어 코드를 생성해 둡니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // kernel32.dll Sleep 함수의 EAT에 등록된 주소가 가리키는 위치의 기계어 코드 00007ffb`5dc1a0d0 48ff25c1d20500 jmp qword ptr [KERNEL32!_imp_Sleep (00007ffb`5dc77398)] // rex.W jmp QWORD PTR [rip+0x0005d2c1] // 48 ff 25 c1 d2 05 00 </pre> <br /> 이와 함께 운영체제의 DLL Loader는 jmp 코드의 operand에 전달되는 주소에 있는 값을 로딩 시에 패치해 주므로 정상적으로 구현 코드가 있는 곳으로 jmp할 수 있는 것입니다. 이 때문에, 해당 함수를 호출하는 측의 모든 코드를 패치할 필요 없이, 위의 jmp가 참조하는 "주솟값"을 알아내고 그 주소에 담긴 "코드의 위치"를 우리가 만든 메서드의 주소로 치환하면 되는 것입니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 이론에 맞춰 구현하는 것은 예전에 만들어 둔 WindowsPE 라이브러리에 Win32 DLL의 Export 함수 목록을 구하는 EnumerateExportFunctions에서 시작할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C# - 로딩된 Native DLL의 export 함수 목록 출력 ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/12093'>https://www.sysnet.pe.kr/2/0/12093</a> </pre> <br /> 이를 이용해 kernel32.dll의 "실제 Sleep 함수로 jmp하는 코드"의 주솟값을 알아낼 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // Install-Package WindowsPE PEImage img = PEImage.FromLoadedModule("kernel32.dll"); foreach (var efi in img.EnumerateExportFunctions()) { if (efi.Name == "Sleep") { IntPtr <span style='color: blue; font-weight: bold'>funcAddr</span> = img.BaseAddress + (int)efi.RvaAddress; // 예를 들어 funcAddr == 7ffb5dc1a0d0 } } </pre> <br /> windbg를 이용해 funcAddr의 주소를 덤프해 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:006> <span style='color: blue; font-weight: bold'>u 0x7ffb5dc1a0d0</span> Unmanaged code 00007ffb`5dc1a0d0 <span style='color: blue; font-weight: bold'>48ff25c1d20500</span> jmp qword ptr [KERNEL32!_imp_Sleep (<span style='color: blue; font-weight: bold'>00007ffb`5dc77398</span>)] 00007ffb`5dc1a0d7 cc int 3 </pre> <br /> jmp의 operand 값으로 00000000`0005d2c1에 위치한 주솟값, 좀 더 정확히는 "jmp 명령어의 다음 주소 + 0x0005d2c1"의 주솟값인 00007ffb`5dc77398에 _imp_Sleep 함수의 코드 시작 주소가 담겨 있는 것을 확인할 수 있습니다.<br /> <br /> 자, 그럼 기계어 코드인 48ff25c1d20500으로부터 0x0005d2c1을 분리해서 구하면 되는데, 어림짐작으로 0x48(rex prefix) 0xff 0x25(absolute indirect jmp)이고 이후 4바이트가 0x0005d2c1의 역순이기 때문에 쉽게 추출해낼 수 있습니다. 또는 <a target='tab' href='https://www.sysnet.pe.kr/2/0/12127#sharpdisasm'>SharpDisasm을 이용해</a> 정석적인 방법을 쓸 수도 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > byte[] code = img.ReadBytes(efi.RvaAddress, 1024); var disasm = new SharpDisasm.Disassembler(code, mode, (ulong)funcAddr.ToInt64(), true); foreach (var insn in disasm.Disassemble().Take(5)) { switch (insn.Mnemonic) { case SharpDisasm.Udis86.ud_mnemonic_code.<span style='color: blue; font-weight: bold'>UD_Ijmp</span>: if (insn.Operands.Length == 1) { long value = insn.Operands[0].Value; IntPtr <span style='color: blue; font-weight: bold'>jumpPtr</span> = new IntPtr((long)<span style='color: blue; font-weight: bold'>insn.PC + value</span>); IntPtr <span style='color: blue; font-weight: bold'>targetPtr</span> = new IntPtr(jumpPtr.ReadInt64()); Console.WriteLine($"Jump to 0x{targetPtr.ToInt64():x} at 0x{funcAddr.ToInt64():x}"); return targetPtr; } break; } } </pre> <br /> 다 끝났군요. ^^ 남은 작업은 가로채기 해서 대신 수행할 메서드의 주소를 "jumpPtr"의 위치에 써 주면 됩니다. 이 작업은 다음과 같은 식으로 간단하게 해결할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > /* public delegate void SleepDelegate(int milliseconds); static SleepDelegate _org_Sleep; public static void ManagedSleep(int milliseconds) { Console.WriteLine("ManagedSleep called: " + milliseconds); _org_Sleep?.Invoke(milliseconds); } */ SleepDelegate func = ManagedSleep; IntPtr proxyFuncAddr = Marshal.GetFunctionPointerForDelegate(func); <span style='color: blue; font-weight: bold'>jumpPtr.WriteInt64(proxyFuncAddr.ToInt64());</span> // WriteInt64는 확장 메서드 </pre> <br /> 여기서 jumpPtr이 가리키는 곳의 메모리 섹션은 쓰기가 금지되어 있으므로 <a target='tab' href='https://www.sysnet.pe.kr/2/0/1231'>Win32 API 후킹 - Trampoline API Hooking</a>에 따라 메모리 속성을 변경해야 합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > IntPtr hHandle = NativeMethods.OpenProcess(rights, false, pid); if (NativeMethods.<a target='tab' href='https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualprotectex'>VirtualProtectEx</a>(hHandle, address, new UIntPtr((uint)IntPtr.Size), PageAccessRights.PAGE_EXECUTE_READWRITE, out dwOldProtect) == true) { if (IntPtr.Size == 4) { address.WriteInt32(value.ToInt32()); } else { address.WriteInt64(value.ToInt64()); } NativeMethods.<a target='tab' href='https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-flushinstructioncache'>FlushInstructionCache</a>(hHandle, address, new UIntPtr((uint)IntPtr.Size)); } </pre> <br /> <hr style='width: 50%' /><br /> <br /> 좀 복잡한가요? ^^ 그래서 위에서 설명한 내용을 정리해 다음의 github 프로젝트 및 NuGet에 올렸으니,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > DotNetSamples/WinConsole/PEFormat/DetourFunc/ ; <a target='tab' href='https://github.com/stjeong/DotNetSamples/tree/master/WinConsole/PEFormat/DetourFunc'>https://github.com/stjeong/DotNetSamples/tree/master/WinConsole/PEFormat/DetourFunc</a> </pre> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Install-Package DetourFunc -Version 1.0.0 </pre> <br /> 다음과 같이 간단하게 사용할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > using DetourFunc; using System; using System.Runtime.InteropServices; public delegate void SleepDelegate(int milliseconds); class Program { [DllImport("kernel32.dll")] public static extern void Sleep(int milliseconds); static void Main(string[] _) { using (<span style='color: blue; font-weight: bold'>var managed = MethodReplacer.Win32FuncWithManagedFunc<SleepDelegate>("kernel32.dll", "Sleep", ManagedSleep, out _org_Sleep)</span>) { Console.WriteLine(DateTime.Now + ": before - Sleep"); Sleep(5 * 1000); Console.WriteLine(DateTime.Now + ": after - Sleep"); } } static SleepDelegate _org_Sleep; <span style='color: blue; font-weight: bold'>public static void ManagedSleep(int milliseconds)</span> { Console.WriteLine("ManagedSleep called: " + milliseconds); _org_Sleep?.Invoke(milliseconds); } } /* 출력 결과 2020-01-28 오후 11:24:45: before - Sleep ManagedSleep called: 5000 2020-01-28 오후 11:24:50: after - Sleep */ </pre> <br /> 기존 Sleep 함수의 주소까지 _org_Sleep에 반환해 주기 때문에 대신 수행하도록 지정된 ManagedSleep에서 "_org_Sleep" 함수도 호출하고 있습니다.<br /> <br /> (<a target='tab' href='https://www.sysnet.pe.kr/bbs/DownloadAttachment.aspx?fid=1546&boardid=331301885'>이 글의 첨부 파일은 DetourFunc 라이브러리를 이용한 예제 코드를 포함</a>합니다.)<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1727
(왼쪽의 숫자를 입력해야 합니다.)