Trampoline을 이용한 후킹의 한계
지난 글에서,
C# - Win32 API를 Trampoline 기법을 이용해 C# 메서드로 가로채는 방법
; https://www.sysnet.pe.kr/2/0/12150
코드를 구현하면서 Sleep이 아닌, SleepEx API를 예로 들었습니다. 왜냐하면, (x64 환경에서) Sleep의 경우는 함수의 Body 구현이 다음과 같이 SleepEx로의 실행만 변경하는 JMP 문으로 이뤄졌기 때문입니다.
KERNELBASE!Sleep:
00007ffc`f22e6880 33d2 xor edx,edx // 기본적으로 bAlertable 인자를 false로 설정해, SleepEx를 호출
00007ffc`f22e6882 e909000000 jmp KERNELBASE!SleepEx (00007ffc`f22e6890)
00007ffc`f22e6887 cc int 3
...[16바이트 정렬까지 cc 반복]...
이것이 왜 문제가 되는지 살펴볼까요? ^^ 지난 글에서,
C# - Win32 API를 Trampoline 기법을 이용해 C# 메서드로 가로채는 방법 - 두 번째 이야기 (원본 함수 호출)
; https://www.sysnet.pe.kr/2/0/12151
이미 설명했지만, 원본 메서드는 우회를 위한 메서드로 JMP 패치될 것이고,
KERNELBASE!Sleep:
00007ffc`f22e6880 e90b17c98a jmp 00007ffc`7cf77f90
00007ffc`f22e6885 0000 add byte ptr [rax],al
00007ffc`f22e6887 cc int 3
00007ffc`f22e6888 cc int 3
이로 인해 영향받는 원본 함수의 진입 코드를 나중에 호출하기 위해 (또한 이후의 원본 코드로 JMP할 코드와 함께) 별도의 메모리에 다음과 같은 식으로 적재해 둘 것입니다.
00000000`006b0000 33d2 xor edx,edx
00000000`006b0002 e909000000 jmp 00000000`006b0010
00000000`006b0007 48b887682ef2fc7f0000 mov rax,offset KERNELBASE!Sleep+0x7 (00007ffc`f22e6887)
00000000`006b0011 ffe0 jmp rax
00000000`006b0013 0000 add byte ptr [rax],al
00000000`006b0015 0000 add byte ptr [rax],al
00000000`006b0017 0000 add byte ptr [rax],al
그런데, JMP (0xe9) 코드는 현재의 RIP 주소를 기준으로 점프할 변위를 4바이트로 가지고 있으므로, 이것이 "KERNELBASE!Sleep" 기준으로는 정확히 SleepEx의 위치를 가리키는 반면,
KERNELBASE!Sleep:
00007ffc`f22e6880 33d2 xor edx,edx
00007ffc`f22e6882 e909000000 jmp KERNELBASE!SleepEx (00007ffc`f22e6890)
// ...[생략]...
새롭게 백업이 된 "00000000`006b0000" 주소를 기준으로는 "00000000`006b0010" 위치로 점프하기 때문에 대부분의 경우 AccessViolationException 예외가 떨어지게 됩니다.
Unhandled Exception: System.AccessViolationException: Attempted to read or write protected memory. This is often an indication that other memory is corrupt.
at ConsoleApp1.Program.Replaced_TestMethod(Int32 milliseconds)
at ConsoleApp1.Program.Sleep(Int32 milliseconds)
at ConsoleApp1.Program.Main(String[] _)
이 문제를 해결하려면, 당연히 백업이 될 원본 코드에 대해 변위값을 갖는 명령어가 있는 경우 그 값을 보정해야만 합니다. 예를 들어, Sleep의 경우에는,
00000000`006b0000 33d2 xor edx,edx
00000000`006b0002 e909000000 jmp 00000000`006b0010
00000000`006b0007 48b887682ef2fc7f0000 mov rax,offset KERNELBASE!Sleep+0x7 (00007ffc`f22e6887)
00000000`006b0011 ffe0 jmp rax
0xe9 다음의 4바이트 "rel32" 값을 현재 00000000`006b0007 주소를 기준으로 원래 호출하려고 했던 KERNELBASE!SleepEx의 주소인 00007ffc`f22e6890까지의 변위로 맞춰야 합니다. 그런데 여기서도 문제가 있습니다. 기존 함수에서는 "JMP rel32"로 처리할 수 있었지만 새롭게 할당받은 함수의 백업 주소에서는 "00007ffc`f22e6890" 주소까지 +/- 2GB의 한계를 넘기 때문에 "MOV/JMP" 코드로 변경해 줘야 합니다.
Sleep의 경우 위와 같은 처리만 해주면 정상 동작시킬 수 있습니다. 하지만, 여전히 100% 동작시킬 수 있다고는 장담할 수 없습니다. 왜냐하면 JMP 구문은 이외에도 JZ, JNZ,... 등으로 다양한 코드가 있기 때문에 그것들도 모두 처리해야 합니다. 그래도 끝이 아닙니다. 가령 원본 함수에서 백업된 코드 영역으로, 즉 마이너스 변위를 갖는 JMP 코드가 있다면 그것 또한 정상적인 동작을 하지 않게 됩니다. 결론적으로 봤을 때 Trampoline 패치는 100% 안전을 보증할 수는 없는 것입니다. (그래도 많은 경우, "원본 함수"를 호출할 필요 없이 "가로채기"만 필요하다면 제약이 그나마 덜합니다.)
그런저런 이유로 인해, 가능하다면 trampoline보다는 더 안전한 Export/Import Address 테이블에 대한 패치라던지, IL 메서드의 경우 "
실행 시에 메서드 가로채기 - CLR Injection: Runtime Method Replacer 개선 - 두 번째 이야기" 글에서 다룬 NetMethodReplacer.ReplaceMethod 정도의 기능으로 해결하는 것이 권장할 수 있는 방법입니다.
결국 "
x64 환경에서 구현하는 다양한 Trampoline 기법" 글의 가장 마지막에 소개했던 덧글 내용으로 이야기가 돌아갑니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]