Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
VC++: 56. Win32 API 후킹 - Trampoline API Hooking [링크 복사], [링크+제목 복사],
조회: 38643
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
[WindowsFormsApplication1.zip]    
(연관된 글이 4개 있습니다.)
(시리즈 글이 17개 있습니다.)
VC++: 36. Detours 라이브러리를 이용한 Win32 API - Sleep 호출 가로채기
; https://www.sysnet.pe.kr/2/0/631

.NET Framework: 187. 실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선
; https://www.sysnet.pe.kr/2/0/942

디버깅 기술: 40. 상황별 GetFunctionPointer 반환값 정리 - x86
; https://www.sysnet.pe.kr/2/0/1027

VC++: 56. Win32 API 후킹 - Trampoline API Hooking
; https://www.sysnet.pe.kr/2/0/1231

VC++: 57. 웹 브라우저에서 Flash만 빼고 다른 ActiveX를 차단할 수 있을까?
; https://www.sysnet.pe.kr/2/0/1232

VC++: 58. API Hooking - 64비트를 고려해야 한다면? EasyHook!
; https://www.sysnet.pe.kr/2/0/1242

개발 환경 구성: 419. MIT 라이선스로 무료 공개된 Detours API 후킹 라이브러리
; https://www.sysnet.pe.kr/2/0/11764

.NET Framework: 883. C#으로 구현하는 Win32 API 후킹(예: Sleep 호출 가로채기)
; https://www.sysnet.pe.kr/2/0/12132

.NET Framework: 890. 상황별 GetFunctionPointer 반환값 정리 - x64
; https://www.sysnet.pe.kr/2/0/12143

.NET Framework: 891. 실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선 - 두 번째 이야기
; https://www.sysnet.pe.kr/2/0/12144

디버깅 기술: 163. x64 환경에서 구현하는 다양한 Trampoline 기법
; https://www.sysnet.pe.kr/2/0/12148

.NET Framework: 895. C# - Win32 API를 Trampoline 기법을 이용해 C# 메서드로 가로채는 방법
; https://www.sysnet.pe.kr/2/0/12150

.NET Framework: 896. C# - Win32 API를 Trampoline 기법을 이용해 C# 메서드로 가로채는 방법 - 두 번째 이야기 (원본 함수 호출)
; https://www.sysnet.pe.kr/2/0/12151

.NET Framework: 897. 실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선 - 세 번째 이야기(Trampoline 후킹)
; https://www.sysnet.pe.kr/2/0/12152

.NET Framework: 898. Trampoline을 이용한 후킹의 한계
; https://www.sysnet.pe.kr/2/0/12153

.NET Framework: 900. 실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선 - 네 번째 이야기(Monitor.Enter 후킹)
; https://www.sysnet.pe.kr/2/0/12165

.NET Framework: 968. C# 9.0의 Function pointer를 이용한 함수 주소 구하는 방법
; https://www.sysnet.pe.kr/2/0/12409



Win32 API 후킹 - Trampoline API Hooking

마침, 1월 달 '마이크로소프트웨어' 기사에 보니 '다시 보는 후킹 기법'이 나왔더군요. ^^

다시 보는 후킹 기법
; http://www.imaso.co.kr/?doc=bbs/gnuboard.php&bo_table=article&wr_id=39157

마지막 부분의 "리스트 2 - IAT 후킹 동작 방식을 알아보는 예제"를 보면 (정상 동작은 하겠지만) 소스 코드 중간에 MessageBox 주소 계산을 0x30C4라는 상수값으로 넣어둔 것을 볼 수 있습니다. 이러면... 테스트 하는 환경에 따라 달라질 수 있기 때문에 일단 실습은 포기하고.

혹시나 싶어서, 검색을 해보았더니... 오호~~~ "Trampoline API Hooking"이라는 재미있는 방식이 나돌고 있습니다.

Intercepting System API Calls
; http://software.intel.com/en-us/articles/intercepting-system-api-calls/

(와~~~ 글쓴이가 "Seung-Woo Kim"라는 한국사람입니다. ^^)

일단, 위의 글에 공개된 InterceptAPI 소스 코드를 복사하고 다음과 같이 사용해 보았습니다.

HMODULE WINAPI TrampolineLoadLibraryW(__in wchar_t * lpFileName);
HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName);

HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName)
{
    ::OutputDebugString(lpFileName);
    return TrampolineLoadLibraryW(lpFileName);
}

HMODULE WINAPI TrampolineLoadLibraryW(__in  wchar_t *lpFileName)
{
  double  a;
  double  b;
  
  a = 0.0;
  b = 1.0;
  a = a / b;

  return NULL;
}

BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset);

void fnIntercept()
{
    InterceptAPI2("kernel32.dll", "LoadLibraryW", (DWORD)&NeoLoadLibraryW, (DWORD)&TrampolineLoadLibraryW, 5);
}

그런데, 제 컴퓨터(Windows 7 x64)에서는 오류가 발생했습니다.

BYTE *pbTargetCode = (BYTE *) dwAddressToIntercept; 
BYTE *pbReplaced = (BYTE *) dwReplaced; 
BYTE *pbTrampoline = (BYTE *) dwTrampoline; 
 
// Change the protection of the trampoline region 
// so that we can overwrite the first 5 + offset bytes. 
VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_WRITECOPY, &dwOldProtect);  <=== 예외 발생

예외 메시지는 그 유명한 AV(Access Violation)! 

Unhandled exception at 0x0fc716b7 (Intercept.dll) in Win32App.exe: 0xC0000005: Access violation.

감이 오시죠? ^^

DEP 옵션이 켜져 있었기 때문에 발생한 것으로, 역시나 Visual C++ EXE 프로젝트에서 /NXCOMPAT:NO 옵션을 주면 위의 코드가 정상적으로 동작하는 것을 확인할 수 있었습니다.



하지만, DEP 옵션을 끄는 것은 그다지 바람직한 방법은 아닙니다. 혹시 DEP 옵션을 건드리지 않고 해결할 수는 없을까요?

이를 해결하려고 마이크로소프트웨어에 실렸던 "다시 보는 후킹 기법" 기사와 비교를 해보았습니다. 가만 보니까, VirtualProtect의 옵션값이 다르더군요.

VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_WRITECOPY, &dwOldProtect);
 * PAGE_WRITECOPY ==> PAGE_EXECUTE_READWRITE

아하... 그래서 반영을 해보았는데, 애석하게도 첫 번째 VirtualProtect의 사용은 정상적으로 실행이 되는 반면, 마지막의 VirtualProtect에서는 그와 같이 바꿔도 AV 오류가 여전히 발생했습니다.

VirtualProtect((void *) dwAddressToIntercept, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
==> Unhandled exception at 0x75c7432f in Win32App.exe: 0xC0000005: Access violation.

음~~~, 할 수 없이 웹 검색을 해보았습니다. 어느 글에서인가... VirtualProtectEx 함수를 이용하라는 글이 나오더군요. 그래서, 다음과 같이 변경을 해주니... 오~~~ 정말 동작이 됩니다. ^^

HANDLE hHandle = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE , FALSE, ::GetCurrentProcessId());
VirtualProtectEx(hHandle, (void *) dwAddressToIntercept, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);



위에 공개된 Trampoline API 후킹의 아쉬운 점이라면 x64에 대한 지원이 추가되지 않았다는 점입니다. 우선, 소스 코드에는 포인터 주소를 DWORD로 다루고 있기 때문에 x64에서는 모두 적합하지 않은 주소를 가리키게 됩니다. 게다가 JMP 문의 주소 지정이 x86과 x64에서 달라지는 데요. 이에 대해서는 다음의 글을 참고하십시오.

API Hooking: x64 Trampolines 
; http://maliciousattacker.blogspot.com/2008/10/api-hooking-x64-trampolines.html

그리고, 또 한 가지 문제가 있습니다. x64에서는 VirtualProtect로 변경된 페이지일지라도 직접적인 메모리 쓰기가 지원되지 않습니다. Trampoline API 후킹 소스의 "*pbTargetCode++ = 0xE9;"와 같은 라인들은 모두 AV 예외가 발생해 버리는데요. 이를 방지하기 위해서는 WriteProcessMemory를 사용해야만 합니다.

*pbTrampoline++ = 0xE9;
==> 
    BYTE writeByte = 0xE9;
    WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, &writeByte, 1, &BytesWritten);
    pbTrampoline++;

일단... x64에 대한 지원은 미뤄두고 WriteProcessMemory 정도만을 반영한 소스 코드를 첨부했으니 참고하십시오. ^^

압축을 해제하면 아래와 같이 나오고,

  • Win32App: C++ EXE 프로젝트 (테스트용)
  • WindowsFormsApplication1: C# 윈폼 프로젝트 (테스트용)
  • InterceptCOM: C++ Win32 DLL 프로젝트 (Trampoline API 후킹 방식을 이용한 LoadLibrary 가로채기가 구현된 예제)

2개의 EXE 테스트 프로젝트는 '프로젝트 생성시의 기본 소스' 코드이고 단지 InterceptCOM DLL에서 노출시켜주는 fnInterceptCOM 함수를 호출하는 일밖에 하지 않습니다. 주요 소스 코드는 "InterceptCOM.cpp" 파일이고, 내용을 아래에 실어두었으니 굳이 프로젝트 받기가 귀찮은 분들은 아래의 내용을 Copy&Paste해서 사용해도 되겠습니다.

HMODULE WINAPI TrampolineLoadLibraryW(__in wchar_t * lpFileName);
HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName);

HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName)
{
    ::OutputDebugString(lpFileName);
    return TrampolineLoadLibraryW(lpFileName);
}

HMODULE WINAPI TrampolineLoadLibraryW(__in  wchar_t *lpFileName)
{
  double  a;
  double  b;
  
  a = 0.0;
  b = 1.0;
  a = a / b;

  return NULL;
}

BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset);

INTERCEPTCOM_API void fnInterceptCOM()
{
    InterceptAPI2("kernel32.dll", "LoadLibraryW", (DWORD)&NeoLoadLibraryW, (DWORD)&TrampolineLoadLibraryW, 5);
}

BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset) 
{ 
    DWORD dwOldProtect = 0; 
    DWORD dwAddressToIntercept = (DWORD)GetProcAddress(GetModuleHandleA((char*)c_szDllName), (char*)c_szApiName); 
 
    BYTE *pbTargetCode = (BYTE *) dwAddressToIntercept; 
    BYTE *pbReplaced = (BYTE *) dwReplaced; 
    BYTE *pbTrampoline = (BYTE *) dwTrampoline; 
 
    HANDLE hHandle = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE , FALSE, ::GetCurrentProcessId());

    VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_EXECUTE_READWRITE, &dwOldProtect); 

    SIZE_T BytesWritten;

    for (int i = 0; i < offset; i ++)
    {
        WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, pbTargetCode, 1, &BytesWritten);
        pbTrampoline ++;
        pbTargetCode ++;
    }
 
    pbTargetCode = (BYTE *) dwAddressToIntercept; 
 
    BYTE writeByte = 0xE9;
    WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, &writeByte, 1, &BytesWritten);
    pbTrampoline++;
 
    int writeInt = (pbTargetCode+offset) - (pbTrampoline + 4); 
    WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, &writeInt, 4, &BytesWritten);

    VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_EXECUTE, &dwOldProtect); 
 
    VirtualProtect((void *) dwAddressToIntercept, 5, PAGE_WRITECOPY, &dwOldProtect); 
 
    writeByte = 0xE9;
    WriteProcessMemory(hHandle,(LPVOID) pbTargetCode, &writeByte, 1, &BytesWritten);
    pbTargetCode++;

    writeInt = pbReplaced - (pbTargetCode +4); 
    WriteProcessMemory(hHandle,(LPVOID) pbTargetCode, &writeInt, 4, &BytesWritten);

    VirtualProtectEx(hHandle, (void *) dwAddressToIntercept, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
 
    FlushInstructionCache(GetCurrentProcess(), NULL, NULL);

    CloseHandle(hHandle);
 
    return TRUE; 
}



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]
[연관 글]





[최초 등록일: ]
[최종 수정일: 9/15/2024]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


2013-06-17 01시48분
전략 서신: API 후킹을 할 때에 생각해야 할 것들…
; http://www.jiniya.net/wp/archives/11276
정성태
2013-08-07 06시55분
x64의 경우에는 단순 점프만으로 안되는데요. 다음의 글에서 매우 자세하게 설명되어 있습니다. ^^

Windows x64 binary 모듈 단위 이동
; http://ezbeat.tistory.com/453
정성태
2013-12-11 02시12분
Mhook, an API hooking library, V2.2
; http://codefromthe70s.org/mhook22.aspx
정성태
2015-08-31 04시31분
Debugging walkthrough: Access violation on nonsense instruction, episode 3
; https://devblogs.microsoft.com/oldnewthing/20150828-00/?p=91711
정성태
2020-07-15 09시55분
정성태
... 181  182  183  184  185  186  187  188  189  190  191  192  193  [194]  195  ...
NoWriterDateCnt.TitleFile(s)
91정성태11/14/200518705VC++: 12. VS.NET 2005 VC++ Debug: Expression: ( (state != ST_INVALID ) )
90정성태1/27/200519516.NET Framework: 22. Debug: The underlying connection was closed: Unable to connect to the remote server.
89정성태1/26/200523998VC++: 11. Delay Loaded DLL
87정성태1/23/200517592VS.NET IDE: 18. VS.NET 2005 Beta 1 - VC++ 프로젝트에서 Connection Point 구현시 버그
88정성태1/23/200517313    답변글 VS.NET IDE: 18.1. VS.NET 2003 : VC++ 프로젝트에서 Connection Point 추가시에도 버그
86정성태1/23/200523015.NET Framework: 21. Code Snippet - Enum과 관련된 다양한 형변환 [1]
85정성태1/23/200521190스크립트: 4. Windows 2003에서 BHO(Browser Helper Objects) 동작 안하는 현상 [1]
83정성태1/18/200526333.NET Framework: 20. System.AccessViolationException 예외가 발생한 한 예.
82정성태1/3/200519796VS.NET IDE: 17. Windows 운영 - 특정 사용자 또는 그룹에 대해서 파일 공유 접근 금지
79정성태1/20/200527751기타: 8. DELL Latitude D800 노트북 컴퓨터의 PC Beep 소음(!) 문제.
78정성태12/27/200420100VS.NET IDE: 16. MS 제품 관련 사용되는 TCP/IP 포트 열거파일 다운로드1
77정성태12/27/200420360VS.NET IDE: 15. Virtual CD-ROM Control Panel - ISO 이미지를 CD-ROM 드라이브처럼 접근하게 해주는 EXE 프로그램 [1]파일 다운로드1
76정성태12/27/200421415VS.NET IDE: 14. VPN 접속시 IP를 고정적으로 할당받는 방법 [1]
75정성태12/27/200417645VS.NET IDE: 13. VS.NET 2005 Beta 1 - Portfolio Explorer 에 등록된 Team Server 항목 삭제 방법
84정성태1/19/200518522    답변글 VS.NET IDE: 13.1. VS.NET 2005 Beta 1 : Team Server 에 등록된 포트폴리오 프로젝트 삭제 방법
74정성태12/26/200419108VS.NET IDE: 12. [시나리오] VS.NET 2005 Team Foundation Server을 Virtual Server에 설치 [1]
80정성태12/31/200418449    답변글 VS.NET IDE: 12.1. Client Tier, 즉 VS.NET 2005가 설치된 컴퓨터도 ActiveDirectory에 참여를 해야 합니다.
81정성태12/31/200420320    답변글 VS.NET IDE: 12.2. Tier 컴퓨터를 모두 영문으로 재구성
109정성태3/4/200515546    답변글 VS.NET IDE: 12.3. [보완] MS 공식 아티클 - Installing the December CTP Release of Visual Studio Team System
73정성태11/14/200517369.NET Framework: 19. VS.NET 2005 Team Foundation Server 설치오류 - 26204 예외
72정성태12/26/200418826.NET Framework: 18. .NET Framework 2.0 Beta 설치 후에 Windows SharePoint Service 오류 [1]
136정성태3/31/200518699    답변글 .NET Framework: 18.1. Windows Sharepoint Services 를 설치한 이후 ASP.NET 오류 문제
71정성태12/26/200417064VS.NET IDE: 11. SQL Server 2005 Beta 2 를 네트워크 드라이브로부터 설치시 오류
70정성태12/26/200419880VS.NET IDE: 10. WSS 설치 후 localhost 접근 보안 오류
69정성태12/5/200416961VS.NET IDE: 9. 다른 컴퓨터(방화벽 설치)에 설치된 SQL Server에 통합 인증을 할 때 필요한 포트
68정성태10/31/200421940.NET Framework: 17. Win32_NTLogEvent를 c#에서 wmi 쿼리할 때..에러..
... 181  182  183  184  185  186  187  188  189  190  191  192  193  [194]  195  ...