성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
[정성태] 만드실 수 있습니다. 단지, Unity 엔진 내의 스크립트와 W...
[공진영] 안녕하세요 좋은글 감사합니다. 현재 제가 wpf로 관제 모...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>Win32 API 후킹 - Trampoline API Hooking</h1> <p> 마침, 1월 달 '마이크로소프트웨어' 기사에 보니 '다시 보는 후킹 기법'이 나왔더군요. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 다시 보는 후킹 기법 ; http://www.imaso.co.kr/?doc=bbs/gnuboard.php&bo_table=article&wr_id=39157 </pre> <br /> 마지막 부분의 "리스트 2 - IAT 후킹 동작 방식을 알아보는 예제"를 보면 (정상 동작은 하겠지만) 소스 코드 중간에 MessageBox 주소 계산을 0x30C4라는 상수값으로 넣어둔 것을 볼 수 있습니다. 이러면... 테스트 하는 환경에 따라 달라질 수 있기 때문에 일단 실습은 포기하고.<br /> <br /> 혹시나 싶어서, 검색을 해보았더니... 오호~~~ "Trampoline API Hooking"이라는 재미있는 방식이 나돌고 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Intercepting System API Calls ; http://software.intel.com/en-us/articles/intercepting-system-api-calls/ (와~~~ 글쓴이가 "Seung-Woo Kim"라는 한국사람입니다. ^^) </pre> <br /> 일단, 위의 글에 공개된 InterceptAPI 소스 코드를 복사하고 다음과 같이 사용해 보았습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > HMODULE WINAPI TrampolineLoadLibraryW(__in wchar_t * lpFileName); HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName); HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName) { ::OutputDebugString(lpFileName); return TrampolineLoadLibraryW(lpFileName); } HMODULE WINAPI TrampolineLoadLibraryW(__in wchar_t *lpFileName) { double a; double b; a = 0.0; b = 1.0; a = a / b; return NULL; } BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset); void fnIntercept() { InterceptAPI2("kernel32.dll", "LoadLibraryW", (DWORD)&NeoLoadLibraryW, (DWORD)&TrampolineLoadLibraryW, 5); } </pre> <br /> 그런데, 제 컴퓨터(Windows 7 x64)에서는 오류가 발생했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > BYTE *pbTargetCode = (BYTE *) dwAddressToIntercept; BYTE *pbReplaced = (BYTE *) dwReplaced; BYTE *pbTrampoline = (BYTE *) dwTrampoline; // Change the protection of the trampoline region // so that we can overwrite the first 5 + offset bytes. <span style='color: blue; font-weight: bold'>VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_WRITECOPY, &dwOldProtect); <=== 예외 발생</span> </pre> <br /> 예외 메시지는 그 유명한 AV(Access Violation)! <br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Unhandled exception at 0x0fc716b7 (Intercept.dll) in Win32App.exe: 0xC0000005: Access violation. </pre> <br /> 감이 오시죠? ^^<br /> <br /> <a target='tab' href='http://www.sysnet.pe.kr/2/0/773'>DEP</a> 옵션이 켜져 있었기 때문에 발생한 것으로, 역시나 Visual C++ EXE 프로젝트에서 /NXCOMPAT:NO 옵션을 주면 위의 코드가 정상적으로 동작하는 것을 확인할 수 있었습니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 하지만, DEP 옵션을 끄는 것은 그다지 바람직한 방법은 아닙니다. 혹시 DEP 옵션을 건드리지 않고 해결할 수는 없을까요?<br /> <br /> 이를 해결하려고 마이크로소프트웨어에 실렸던 <a target='tab' href='http://www.imaso.co.kr/?doc=bbs/gnuboard.php&bo_table=article&wr_id=39157'>"다시 보는 후킹 기법"</a> 기사와 비교를 해보았습니다. 가만 보니까, VirtualProtect의 옵션값이 다르더군요.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > VirtualProtect((void *) dwTrampoline, 5+offset, <span style='color: blue; font-weight: bold'>PAGE_WRITECOPY</span>, &dwOldProtect); * <span style='color: blue; font-weight: bold'>PAGE_WRITECOPY ==> PAGE_EXECUTE_READWRITE</span> </pre> <br /> 아하... 그래서 반영을 해보았는데, 애석하게도 첫 번째 VirtualProtect의 사용은 정상적으로 실행이 되는 반면, 마지막의 VirtualProtect에서는 그와 같이 바꿔도 AV 오류가 여전히 발생했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > VirtualProtect((void *) dwAddressToIntercept, 5, <span style='color: blue; font-weight: bold'>PAGE_EXECUTE_READWRITE</span>, &dwOldProtect); ==> Unhandled exception at 0x75c7432f in Win32App.exe: 0xC0000005: Access violation. </pre> <br /> 음~~~, 할 수 없이 웹 검색을 해보았습니다. 어느 글에서인가... VirtualProtectEx 함수를 이용하라는 글이 나오더군요. 그래서, 다음과 같이 변경을 해주니... 오~~~ 정말 동작이 됩니다. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > HANDLE hHandle = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE , FALSE, ::GetCurrentProcessId()); <span style='color: blue; font-weight: bold'>VirtualProtectEx</span>(hHandle, (void *) dwAddressToIntercept, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect); </pre> <br /> <hr style='width: 50%' /><br /> <br /> 위에 공개된 <a target='tab' href='https://www.sysnet.pe.kr/2/0/12148'>Trampoline API 후킹의 아쉬운 점이라면 x64에 대한 지원이 추가</a>되지 않았다는 점입니다. 우선, 소스 코드에는 포인터 주소를 DWORD로 다루고 있기 때문에 x64에서는 모두 적합하지 않은 주소를 가리키게 됩니다. 게다가 JMP 문의 주소 지정이 x86과 x64에서 달라지는 데요. 이에 대해서는 다음의 글을 참고하십시오.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > API Hooking: x64 Trampolines ; <a target='tab' href='http://maliciousattacker.blogspot.com/2008/10/api-hooking-x64-trampolines.html'>http://maliciousattacker.blogspot.com/2008/10/api-hooking-x64-trampolines.html</a> </pre> <br /> 그리고, 또 한 가지 문제가 있습니다. x64에서는 VirtualProtect로 변경된 페이지일지라도 직접적인 메모리 쓰기가 지원되지 않습니다. Trampoline API 후킹 소스의 "*pbTargetCode++ = 0xE9;"와 같은 라인들은 모두 AV 예외가 발생해 버리는데요. 이를 방지하기 위해서는 WriteProcessMemory를 사용해야만 합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > *pbTrampoline++ = 0xE9; ==> BYTE writeByte = 0xE9; <span style='color: blue; font-weight: bold'>WriteProcessMemory</span>(hHandle,(LPVOID) pbTrampoline, &writeByte, 1, &BytesWritten); pbTrampoline++; </pre> <br /> 일단... x64에 대한 지원은 미뤄두고 <a target='tab' href='http://www.sysnet.pe.kr/bbs/DownloadAttachment.aspx?fid=689&boardid=331301885'>WriteProcessMemory 정도만을 반영한 소스 코드를 첨부</a>했으니 참고하십시오. ^^<br /> <br /> 압축을 해제하면 아래와 같이 나오고,<br /> <br /> <ul> <li>Win32App: C++ EXE 프로젝트 (테스트용)</li> <li>WindowsFormsApplication1: C# 윈폼 프로젝트 (테스트용)</li> <li>InterceptCOM: C++ Win32 DLL 프로젝트 (Trampoline API 후킹 방식을 이용한 LoadLibrary 가로채기가 구현된 예제)</li> </ul> <br /> 2개의 EXE 테스트 프로젝트는 '프로젝트 생성시의 기본 소스' 코드이고 단지 InterceptCOM DLL에서 노출시켜주는 fnInterceptCOM 함수를 호출하는 일밖에 하지 않습니다. 주요 소스 코드는 "InterceptCOM.cpp" 파일이고, 내용을 아래에 실어두었으니 굳이 프로젝트 받기가 귀찮은 분들은 아래의 내용을 Copy&Paste해서 사용해도 되겠습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > HMODULE WINAPI TrampolineLoadLibraryW(__in wchar_t * lpFileName); HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName); HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName) { ::OutputDebugString(lpFileName); return TrampolineLoadLibraryW(lpFileName); } HMODULE WINAPI TrampolineLoadLibraryW(__in wchar_t *lpFileName) { double a; double b; a = 0.0; b = 1.0; a = a / b; return NULL; } BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset); INTERCEPTCOM_API void fnInterceptCOM() { InterceptAPI2("kernel32.dll", "LoadLibraryW", (DWORD)&NeoLoadLibraryW, (DWORD)&TrampolineLoadLibraryW, 5); } BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset) { DWORD dwOldProtect = 0; DWORD dwAddressToIntercept = (DWORD)GetProcAddress(GetModuleHandleA((char*)c_szDllName), (char*)c_szApiName); BYTE *pbTargetCode = (BYTE *) dwAddressToIntercept; BYTE *pbReplaced = (BYTE *) dwReplaced; BYTE *pbTrampoline = (BYTE *) dwTrampoline; <span style='color: blue; font-weight: bold'>HANDLE hHandle = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE , FALSE, ::GetCurrentProcessId()); VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_EXECUTE_READWRITE, &dwOldProtect); </span> SIZE_T BytesWritten; for (int i = 0; i < offset; i ++) { WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, pbTargetCode, 1, &BytesWritten); pbTrampoline ++; pbTargetCode ++; } pbTargetCode = (BYTE *) dwAddressToIntercept; BYTE writeByte = 0xE9; WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, &writeByte, 1, &BytesWritten); pbTrampoline++; int writeInt = (pbTargetCode+offset) - (pbTrampoline + 4); WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, &writeInt, 4, &BytesWritten); VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_EXECUTE, &dwOldProtect); VirtualProtect((void *) dwAddressToIntercept, 5, PAGE_WRITECOPY, &dwOldProtect); writeByte = 0xE9; WriteProcessMemory(hHandle,(LPVOID) pbTargetCode, &writeByte, 1, &BytesWritten); pbTargetCode++; writeInt = pbReplaced - (pbTargetCode +4); WriteProcessMemory(hHandle,(LPVOID) pbTargetCode, &writeInt, 4, &BytesWritten); <span style='color: blue; font-weight: bold'>VirtualProtectEx(hHandle, (void *) dwAddressToIntercept, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);</span> FlushInstructionCache(GetCurrentProcess(), NULL, NULL); CloseHandle(hHandle); return TRUE; } </pre> <br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1235
(왼쪽의 숫자를 입력해야 합니다.)