logo

English

이곳의 프로그래밍관련 정보와 소스는 마음대로 활용하셔도 좋습니다. 다만 쓰시기 전에 통보 정도는 해주시는 것이 예의 일것 같습니다. 질문이나 오류 수정은 siseong@gmail.com 으로 주세요. 감사합니다.

[WINCE] IAT Hooking 방법과 소스 코드

by digipine posted Oct 29, 2017
?

Shortcut

PrevPrev Article

NextNext Article

Larger Font Smaller Font Up Down Go comment Print
?

Shortcut

PrevPrev Article

NextNext Article

Larger Font Smaller Font Up Down Go comment Print

IAT 수정을 통한 후킹 방식입니다. 현재 모듈 및 다른 모듈의 IAT까지 수정할 수 있습니다.

훌륭하신 sweetlilmre님의 소스를 토대로 Undocument 헤더와 샘플 프로젝트를 작성해 보았습니다.

x86에 대한 Kernal Data는 현재 작성중이므로 ARM 플랫폼에서만 사용가능합니다.

개발툴은 Embedded Visual C++ 4.0을 사용하였습니다.

sweetlilmre님의 원본 소스는 아래 링크를 따라가시면 됩니다.

http://forum.xda-developers.com/showthread.php?p=1968396 

IAT 후킹에 대해서

User-Mode Hooking

IAT(Import Address Table) Hooking: IAT 에 적혀있는 API 의 주소를 자신의 함수주소로 바꾸고 자신의 함수 끝에 다시 원래 API 주소로 돌려주는 방식. 가장 일반적으로 바이러스에서 사용하는 기법.

InlineFunction Hooking (Detour Hooking): 사용할 API 의 첫 5바이트를 자신의 함수주소로 Jmp 하는코드로 바꾸고 자신의 코드에서 다시 원래 API 의 바뀐 코드를 수정해주고 API 시작위치로 돌려주는 방식. IAT 후킹보다지능적이여서 찾아내기가 쉽지 않다. 요새 많이 등장한다.

Kernel-Mode Hooking (루트킷)

SSDT(SystemService Descriptor Table Modification): SSDT 가 가리키는 주소를 후킹 함수의 주소로 바꾸고그 함수 호출후 다시 원래 커널 API 의 주소로 돌려주는 기법. 50% 이상의 루트킷이 사용하는 기법. 이런 기법은 프로세스,파일의 은폐에 많이 사용됨.


DKOM(Direct Kernel Object Modification): 커널Object 를 직접 조작해서 실행되는 프로세스, 스레드, 서비스, 포트, 드라이버 및 핸들의 Entry 를실행리스트(PsActiveProcessHead, PsActiveModuleHead....)에서 감추는 기법.


SYSENTER:유저모드에서 시스템 호출로 넘어갈때 INT 2E(for Windows 2000)/ SYSENTER 를 사용하게 되는데 호출후시스템 서비스의 핸들러는 IA32_SYSENTER_EIP 라는 레지스터리에 저장된다. 커널 드라이버를 설치하여 해당 값을수정하여 루트킷을 호출하고 다시 원래 값으로 돌려주는 기법.


Filter Device Drivers: 시큐리티 제품의 하단에 filter device driver 로 등록하는 기법이다. 부트 타임에 로드됨으로써 다른 어떤 안티바이러스 제품보다 먼저 실행된다.


RuntimeDetour Patching: 커널 메모리를 직접 조작함으로써 그 메모리의 포인터가 루트킷을 가르키게 함으로써 커널 함수들을후킹하는 기법. 예를 들면 Exception 을 일으키고 Exception Handle 을 컨트롤하는 IDT 레지스터를 자신을가리키는 주소로 써줌으로써 후킹목적을 달성한다.


IRP table Modification: 디바이스드라이버가 네트웍 패킷을 처리하거나 파일을 쓸때 사용하는 I/O Request Packets을 제어하는 DispatchRoutine 은 DEVICE_OBJECT 구조체에 저장된다. 바이러스에서 사용하는 루트킷은IoGetDeviceObjectPointer 란 API를 사용하여 DEVICE_OBJECT 구조체에서 DRIVER_OBJECT의 위치를 선정해줄수 있다. 즉 다른 Original Driver Call 이 일어나기 전에 자신의 루트킷을 먼저 실행하여Call 결과를 조작한다.

 
WinCE_ARM_Hook.zip Download URL
https://drive.google.com/open?id=0B1HrfZ99uXGXblVkUGhaUEYwN2c
TAG •
?

List of Articles
No. Subject Author Date Views
41 [Windows] DOS 명령어 실행하고 결과 스트링 가져오는 샘플 코드 digipine 2017.11.02 15
40 VC++ UTF8 변환 관련 매크로 digipine 2017.11.02 11
39 C# 으로 구현한 화면 캡춰 클래스 1 digipine 2017.11.02 11
38 C# - 한글로된 폰트명 처리 방법 개선 (Font Name Localization) digipine 2017.11.02 2
37 [C#] StreamReader 에서의 한글 Encoding 문제 digipine 2017.10.29 2
36 [API Hooking] Dll Injection 하는 방법 digipine 2017.10.29 2
35 [WIN32] 파일 핸들로 파일 명 구하기 digipine 2017.10.29 2
34 [WIN32] Process ID로 HWND 구하기 digipine 2017.10.29 2
33 MS의 Hot Fix API의 유형 연구 digipine 2017.10.29 2
32 [WIN32] 실행 중인 프로세스를 외부에서 강제로 종료, 안전한 TerminateProcess digipine 2017.10.29 2
31 [WIN32] API Hook 정리 문서 digipine 2017.10.29 3
30 [WIN32, WINCE] 디스크 용량 구하는 방법 API GetDiskFreeSpaceEx digipine 2017.10.29 2
29 [WINCE] MulDiv 함수 구현 digipine 2017.10.29 2
28 [DirectShow] 화면 원본 비율유지 digipine 2017.10.29 2
27 [VC++, WInAPI] 폴더를 통채로 지우기, 서브 폴더 포함, DeleteAllFiles digipine 2017.10.29 4
26 [Win API]프로세스 아이디와 윈도우 핸들을 이용 파일명 구하기 digipine 2017.10.29 2
25 RegEnumKeyEx 함수 사용법 digipine 2017.10.29 2
24 [WINCE] Process, Thread API 함수 사용법 digipine 2017.10.29 3
23 [WINCE] 메모리카드 상태 감시 digipine 2017.10.29 2
» [WINCE] IAT Hooking 방법과 소스 코드 digipine 2017.10.29 3
Board Pagination Prev 1 2 3 Next
/ 3