C#으로 구현하는 Win32 API 후킹(예: Sleep 호출 가로채기)
예전에 C++를 이용한 방법을 소개했는데,
Detours 라이브러리를 이용한 Win32 API - Sleep 호출 가로채기
; https://www.sysnet.pe.kr/2/0/631
Win32 API 후킹 - Trampoline API Hooking
; https://www.sysnet.pe.kr/2/0/1231
이번에는 순수 C#만을 이용해 호출을 가로채 보겠습니다. ^^
코드를 작성하기 전에, Win32 API를 제공하는 측에서 어떤 식으로 동작하는지 잠시 살펴보겠습니다. 우선, API를 담고 있는 DLL이 시스템에 로딩될 때의 주소가 가변적이므로 해당 주소를 직접 "지정해서" 호출할 수 없다는 점을 알아야 합니다. 즉 아래와 같은 식으로,
// TestFunc 함수의 주소가 0x5000이라고 가정.
call 0x5000
컴파일러는 직접 "0x5000"을 가정하고 기계어 코드를 생성할 수 없습니다. 왜냐하면 DLL은 0x10000000에도 로드될 수 있고 0x10050000에도 로드될 수 있기 때문에 애당초 저런 식으로 주소를 확정할 수가 없는 것입니다. 이런 문제를 해결하기 위해 컴파일러는 다음과 같은 식으로 기계어 코드를 생성해 둡니다.
// kernel32.dll Sleep 함수의 EAT에 등록된 주소가 가리키는 위치의 기계어 코드
00007ffb`5dc1a0d0 48ff25c1d20500 jmp qword ptr [KERNEL32!_imp_Sleep (00007ffb`5dc77398)]
// rex.W jmp QWORD PTR [rip+0x0005d2c1]
// 48 ff 25 c1 d2 05 00
이와 함께 운영체제의 DLL Loader는 jmp 코드의 operand에 전달되는 주소에 있는 값을 로딩 시에 패치해 주므로 정상적으로 구현 코드가 있는 곳으로 jmp할 수 있는 것입니다. 이 때문에, 해당 함수를 호출하는 측의 모든 코드를 패치할 필요 없이, 위의 jmp가 참조하는 "주솟값"을 알아내고 그 주소에 담긴 "코드의 위치"를 우리가 만든 메서드의 주소로 치환하면 되는 것입니다.
이론에 맞춰 구현하는 것은 예전에 만들어 둔 WindowsPE 라이브러리에 Win32 DLL의 Export 함수 목록을 구하는 EnumerateExportFunctions에서 시작할 수 있습니다.
C# - 로딩된 Native DLL의 export 함수 목록 출력
; https://www.sysnet.pe.kr/2/0/12093
이를 이용해 kernel32.dll의 "실제 Sleep 함수로 jmp하는 코드"의 주솟값을 알아낼 수 있습니다.
// Install-Package WindowsPE
PEImage img = PEImage.FromLoadedModule("kernel32.dll");
foreach (var efi in img.EnumerateExportFunctions())
{
if (efi.Name == "Sleep")
{
IntPtr funcAddr = img.BaseAddress + (int)efi.RvaAddress;
// 예를 들어 funcAddr == 7ffb5dc1a0d0
}
}
windbg를 이용해 funcAddr의 주소를 덤프해 보면,
0:006> u 0x7ffb5dc1a0d0
Unmanaged code
00007ffb`5dc1a0d0 48ff25c1d20500 jmp qword ptr [KERNEL32!_imp_Sleep (00007ffb`5dc77398)]
00007ffb`5dc1a0d7 cc int 3
jmp의 operand 값으로 00000000`0005d2c1에 위치한 주솟값, 좀 더 정확히는 "jmp 명령어의 다음 주소 + 0x0005d2c1"의 주솟값인 00007ffb`5dc77398에 _imp_Sleep 함수의 코드 시작 주소가 담겨 있는 것을 확인할 수 있습니다.
자, 그럼 기계어 코드인 48ff25c1d20500으로부터 0x0005d2c1을 분리해서 구하면 되는데, 어림짐작으로 0x48(rex prefix) 0xff 0x25(absolute indirect jmp)이고 이후 4바이트가 0x0005d2c1의 역순이기 때문에 쉽게 추출해낼 수 있습니다. 또는
SharpDisasm을 이용해 정석적인 방법을 쓸 수도 있습니다.
byte[] code = img.ReadBytes(efi.RvaAddress, 1024);
var disasm = new SharpDisasm.Disassembler(code, mode, (ulong)funcAddr.ToInt64(), true);
foreach (var insn in disasm.Disassemble().Take(5))
{
switch (insn.Mnemonic)
{
case SharpDisasm.Udis86.ud_mnemonic_code.UD_Ijmp:
if (insn.Operands.Length == 1)
{
long value = insn.Operands[0].Value;
IntPtr jumpPtr = new IntPtr((long)insn.PC + value);
IntPtr targetPtr = new IntPtr(jumpPtr.ReadInt64());
Console.WriteLine($"Jump to 0x{targetPtr.ToInt64():x} at 0x{funcAddr.ToInt64():x}");
return targetPtr;
}
break;
}
}
다 끝났군요. ^^ 남은 작업은 가로채기 해서 대신 수행할 메서드의 주소를 "jumpPtr"의 위치에 써 주면 됩니다. 이 작업은 다음과 같은 식으로 간단하게 해결할 수 있습니다.
/*
public delegate void SleepDelegate(int milliseconds);
static SleepDelegate _org_Sleep;
public static void ManagedSleep(int milliseconds)
{
Console.WriteLine("ManagedSleep called: " + milliseconds);
_org_Sleep?.Invoke(milliseconds);
}
*/
SleepDelegate func = ManagedSleep;
IntPtr proxyFuncAddr = Marshal.GetFunctionPointerForDelegate(func);
jumpPtr.WriteInt64(proxyFuncAddr.ToInt64()); // WriteInt64는 확장 메서드
여기서 jumpPtr이 가리키는 곳의 메모리 섹션은 쓰기가 금지되어 있으므로
Win32 API 후킹 - Trampoline API Hooking에 따라 메모리 속성을 변경해야 합니다.
IntPtr hHandle = NativeMethods.OpenProcess(rights, false, pid);
if (NativeMethods.VirtualProtectEx(hHandle, address, new UIntPtr((uint)IntPtr.Size), PageAccessRights.PAGE_EXECUTE_READWRITE, out dwOldProtect) == true)
{
if (IntPtr.Size == 4)
{
address.WriteInt32(value.ToInt32());
}
else
{
address.WriteInt64(value.ToInt64());
}
NativeMethods.FlushInstructionCache(hHandle, address, new UIntPtr((uint)IntPtr.Size));
}
좀 복잡한가요? ^^ 그래서 위에서 설명한 내용을 정리해 다음의 github 프로젝트 및 NuGet에 올렸으니,
DotNetSamples/WinConsole/PEFormat/DetourFunc/
; https://github.com/stjeong/DotNetSamples/tree/master/WinConsole/PEFormat/DetourFunc
Install-Package DetourFunc -Version 1.0.0
다음과 같이 간단하게 사용할 수 있습니다.
using DetourFunc;
using System;
using System.Runtime.InteropServices;
public delegate void SleepDelegate(int milliseconds);
class Program
{
[DllImport("kernel32.dll")]
public static extern void Sleep(int milliseconds);
static void Main(string[] _)
{
using (var managed = MethodReplacer.Win32FuncWithManagedFunc<SleepDelegate>("kernel32.dll", "Sleep", ManagedSleep, out _org_Sleep))
{
Console.WriteLine(DateTime.Now + ": before - Sleep");
Sleep(5 * 1000);
Console.WriteLine(DateTime.Now + ": after - Sleep");
}
}
static SleepDelegate _org_Sleep;
public static void ManagedSleep(int milliseconds)
{
Console.WriteLine("ManagedSleep called: " + milliseconds);
_org_Sleep?.Invoke(milliseconds);
}
}
/* 출력 결과
2020-01-28 오후 11:24:45: before - Sleep
ManagedSleep called: 5000
2020-01-28 오후 11:24:50: after - Sleep
*/
기존 Sleep 함수의 주소까지 _org_Sleep에 반환해 주기 때문에 대신 수행하도록 지정된 ManagedSleep에서 "_org_Sleep" 함수도 호출하고 있습니다.
(
이 글의 첨부 파일은 DetourFunc 라이브러리를 이용한 예제 코드를 포함합니다.)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]