VC++: 36. Detours 라이브러리를 이용한 Win32 API - Sleep 호출 가로채기
; https://www.sysnet.pe.kr/2/0/631

.NET Framework: 187. 실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선
; https://www.sysnet.pe.kr/2/0/942

디버깅 기술: 40. 상황별 GetFunctionPointer 반환값 정리 - x86
; https://www.sysnet.pe.kr/2/0/1027

VC++: 56. Win32 API 후킹 - Trampoline API Hooking
; https://www.sysnet.pe.kr/2/0/1231

VC++: 57. 웹 브라우저에서 Flash만 빼고 다른 ActiveX를 차단할 수 있을까?
; https://www.sysnet.pe.kr/2/0/1232

VC++: 58. API Hooking - 64비트를 고려해야 한다면? EasyHook!
; https://www.sysnet.pe.kr/2/0/1242

개발 환경 구성: 419. MIT 라이선스로 무료 공개된 Detours API 후킹 라이브러리
; https://www.sysnet.pe.kr/2/0/11764

.NET Framework: 883. C#으로 구현하는 Win32 API 후킹(예: Sleep 호출 가로채기)
; https://www.sysnet.pe.kr/2/0/12132

.NET Framework: 890. 상황별 GetFunctionPointer 반환값 정리 - x64
; https://www.sysnet.pe.kr/2/0/12143

.NET Framework: 891. 실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선 - 두 번째 이야기
; https://www.sysnet.pe.kr/2/0/12144

디버깅 기술: 163. x64 환경에서 구현하는 다양한 Trampoline 기법
; https://www.sysnet.pe.kr/2/0/12148

.NET Framework: 895. C# - Win32 API를 Trampoline 기법을 이용해 C# 메서드로 가로채는 방법
; https://www.sysnet.pe.kr/2/0/12150

.NET Framework: 896. C# - Win32 API를 Trampoline 기법을 이용해 C# 메서드로 가로채는 방법 - 두 번째 이야기 (원본 함수 호출)
; https://www.sysnet.pe.kr/2/0/12151

.NET Framework: 897. 실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선 - 세 번째 이야기(Trampoline 후킹)
; https://www.sysnet.pe.kr/2/0/12152

.NET Framework: 898. Trampoline을 이용한 후킹의 한계
; https://www.sysnet.pe.kr/2/0/12153

.NET Framework: 968. C# 9.0의 Function pointer를 이용한 함수 주소 구하는 방법
; https://www.sysnet.pe.kr/2/0/12409

Win32 API 후킹 - Trampoline API Hooking

마침, 1월 달 '마이크로소프트웨어' 기사에 보니 '다시 보는 후킹 기법'이 나왔더군요. ^^

다시 보는 후킹 기법
; http://www.imaso.co.kr/?doc=bbs/gnuboard.php&bo_table=article&wr_id=39157

마지막 부분의 "리스트 2 - IAT 후킹 동작 방식을 알아보는 예제"를 보면 (정상 동작은 하겠지만) 소스 코드 중간에 MessageBox 주소 계산을 0x30C4라는 상수값으로 넣어둔 것을 볼 수 있습니다. 이러면... 테스트 하는 환경에 따라 달라질 수 있기 때문에 일단 실습은 포기하고.

혹시나 싶어서, 검색을 해보았더니... 오호~~~ "Trampoline API Hooking"이라는 재미있는 방식이 나돌고 있습니다.

Intercepting System API Calls
; http://software.intel.com/en-us/articles/intercepting-system-api-calls/

(와~~~ 글쓴이가 "Seung-Woo Kim"라는 한국사람입니다. ^^)

일단, 위의 글에 공개된 InterceptAPI 소스 코드를 복사하고 다음과 같이 사용해 보았습니다.

HMODULE WINAPI TrampolineLoadLibraryW(__in wchar_t * lpFileName);
HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName);

HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName)
{
    ::OutputDebugString(lpFileName);
    return TrampolineLoadLibraryW(lpFileName);
}

HMODULE WINAPI TrampolineLoadLibraryW(__in  wchar_t *lpFileName)
{
  double  a;
  double  b;
  
  a = 0.0;
  b = 1.0;
  a = a / b;

  return NULL;
}

BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset);

void fnIntercept()
{
    InterceptAPI2("kernel32.dll", "LoadLibraryW", (DWORD)&NeoLoadLibraryW, (DWORD)&TrampolineLoadLibraryW, 5);
}

그런데, 제 컴퓨터(Windows 7 x64)에서는 오류가 발생했습니다.

BYTE *pbTargetCode = (BYTE *) dwAddressToIntercept; 
BYTE *pbReplaced = (BYTE *) dwReplaced; 
BYTE *pbTrampoline = (BYTE *) dwTrampoline; 
 
// Change the protection of the trampoline region 
// so that we can overwrite the first 5 + offset bytes. 
VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_WRITECOPY, &dwOldProtect);  <=== 예외 발생

예외 메시지는 그 유명한 AV(Access Violation)!

Unhandled exception at 0x0fc716b7 (Intercept.dll) in Win32App.exe: 0xC0000005: Access violation.

감이 오시죠? ^^

DEP 옵션이 켜져 있었기 때문에 발생한 것으로, 역시나 Visual C++ EXE 프로젝트에서 /NXCOMPAT:NO 옵션을 주면 위의 코드가 정상적으로 동작하는 것을 확인할 수 있었습니다.

---

하지만, DEP 옵션을 끄는 것은 그다지 바람직한 방법은 아닙니다. 혹시 DEP 옵션을 건드리지 않고 해결할 수는 없을까요?

이를 해결하려고 마이크로소프트웨어에 실렸던 "다시 보는 후킹 기법" 기사와 비교를 해보았습니다. 가만 보니까, VirtualProtect의 옵션값이 다르더군요.

VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_WRITECOPY, &dwOldProtect);
 * PAGE_WRITECOPY ==> PAGE_EXECUTE_READWRITE

아하... 그래서 반영을 해보았는데, 애석하게도 첫 번째 VirtualProtect의 사용은 정상적으로 실행이 되는 반면, 마지막의 VirtualProtect에서는 그와 같이 바꿔도 AV 오류가 여전히 발생했습니다.

VirtualProtect((void *) dwAddressToIntercept, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
==> Unhandled exception at 0x75c7432f in Win32App.exe: 0xC0000005: Access violation.

음~~~, 할 수 없이 웹 검색을 해보았습니다. 어느 글에서인가... VirtualProtectEx 함수를 이용하라는 글이 나오더군요. 그래서, 다음과 같이 변경을 해주니... 오~~~ 정말 동작이 됩니다. ^^

HANDLE hHandle = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE , FALSE, ::GetCurrentProcessId());
VirtualProtectEx(hHandle, (void *) dwAddressToIntercept, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect); 

---

위에 공개된 Trampoline API 후킹의 아쉬운 점이라면 x64에 대한 지원이 추가되지 않았다는 점입니다. 우선, 소스 코드에는 포인터 주소를 DWORD로 다루고 있기 때문에 x64에서는 모두 적합하지 않은 주소를 가리키게 됩니다. 게다가 JMP 문의 주소 지정이 x86과 x64에서 달라지는 데요. 이에 대해서는 다음의 글을 참고하십시오.

API Hooking: x64 Trampolines 
; http://maliciousattacker.blogspot.com/2008/10/api-hooking-x64-trampolines.html

그리고, 또 한 가지 문제가 있습니다. x64에서는 VirtualProtect로 변경된 페이지일지라도 직접적인 메모리 쓰기가 지원되지 않습니다. Trampoline API 후킹 소스의 "*pbTargetCode++ = 0xE9;"와 같은 라인들은 모두 AV 예외가 발생해 버리는데요. 이를 방지하기 위해서는 WriteProcessMemory를 사용해야만 합니다.

*pbTrampoline++ = 0xE9;
==> 
    BYTE writeByte = 0xE9;
    WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, &writeByte, 1, &BytesWritten);
    pbTrampoline++;

일단... x64에 대한 지원은 미뤄두고 WriteProcessMemory 정도만을 반영한 소스 코드를 첨부했으니 참고하십시오. ^^

압축을 해제하면 아래와 같이 나오고,

• Win32App: C++ EXE 프로젝트 (테스트용)
• WindowsFormsApplication1: C# 윈폼 프로젝트 (테스트용)
• InterceptCOM: C++ Win32 DLL 프로젝트 (Trampoline API 후킹 방식을 이용한 LoadLibrary 가로채기가 구현된 예제)

2개의 EXE 테스트 프로젝트는 '프로젝트 생성시의 기본 소스' 코드이고 단지 InterceptCOM DLL에서 노출시켜주는 fnInterceptCOM 함수를 호출하는 일밖에 하지 않습니다. 주요 소스 코드는 "InterceptCOM.cpp" 파일이고, 내용을 아래에 실어두었으니 굳이 프로젝트 받기가 귀찮은 분들은 아래의 내용을 Copy&Paste해서 사용해도 되겠습니다.

HMODULE WINAPI TrampolineLoadLibraryW(__in wchar_t * lpFileName);
HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName);

HMODULE WINAPI NeoLoadLibraryW(__in wchar_t *lpFileName)
{
    ::OutputDebugString(lpFileName);
    return TrampolineLoadLibraryW(lpFileName);
}

HMODULE WINAPI TrampolineLoadLibraryW(__in  wchar_t *lpFileName)
{
  double  a;
  double  b;
  
  a = 0.0;
  b = 1.0;
  a = a / b;

  return NULL;
}

BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset);

INTERCEPTCOM_API void fnInterceptCOM()
{
    InterceptAPI2("kernel32.dll", "LoadLibraryW", (DWORD)&NeoLoadLibraryW, (DWORD)&TrampolineLoadLibraryW, 5);
}

BOOL InterceptAPI2(const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced, DWORD dwTrampoline, int offset) 
{ 
    DWORD dwOldProtect = 0; 
    DWORD dwAddressToIntercept = (DWORD)GetProcAddress(GetModuleHandleA((char*)c_szDllName), (char*)c_szApiName); 
 
    BYTE *pbTargetCode = (BYTE *) dwAddressToIntercept; 
    BYTE *pbReplaced = (BYTE *) dwReplaced; 
    BYTE *pbTrampoline = (BYTE *) dwTrampoline; 
 
    HANDLE hHandle = OpenProcess(PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE , FALSE, ::GetCurrentProcessId());

    VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_EXECUTE_READWRITE, &dwOldProtect); 

    SIZE_T BytesWritten;

    for (int i = 0; i < offset; i ++)
    {
        WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, pbTargetCode, 1, &BytesWritten);
        pbTrampoline ++;
        pbTargetCode ++;
    }
 
    pbTargetCode = (BYTE *) dwAddressToIntercept; 
 
    BYTE writeByte = 0xE9;
    WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, &writeByte, 1, &BytesWritten);
    pbTrampoline++;
 
    int writeInt = (pbTargetCode+offset) - (pbTrampoline + 4); 
    WriteProcessMemory(hHandle,(LPVOID) pbTrampoline, &writeInt, 4, &BytesWritten);

    VirtualProtect((void *) dwTrampoline, 5+offset, PAGE_EXECUTE, &dwOldProtect); 
 
    VirtualProtect((void *) dwAddressToIntercept, 5, PAGE_WRITECOPY, &dwOldProtect); 
 
    writeByte = 0xE9;
    WriteProcessMemory(hHandle,(LPVOID) pbTargetCode, &writeByte, 1, &BytesWritten);
    pbTargetCode++;

    writeInt = pbReplaced - (pbTargetCode +4); 
    WriteProcessMemory(hHandle,(LPVOID) pbTargetCode, &writeInt, 4, &BytesWritten);

    VirtualProtectEx(hHandle, (void *) dwAddressToIntercept, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
 
    FlushInstructionCache(GetCurrentProcess(), NULL, NULL);

    CloseHandle(hHandle);
 
    return TRUE; 
} 

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 2/8/2012]
[최종 수정일: 12/8/2023]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com