Reversing-General API Hooking
API Hooking에서 가장 핵심적인 사항은 바로 후킹 대상 API를 선정하는 것입니다.
이번 포스팅에는 Explorer.exe를 다룰건데, 작업전 간단히 '예상'을 해보면 소켓 라이브러리(ws2_32.dll) 혹은 MS에서 제공하는 인터넷 관련 라이브러리(wininet.dll, winhttp.dll)들을 후킹하면 될 것 같습니다.
저는 후자로 진행하겠습니다.(이 책에서도 후자로 진행하였기 때문..)
IE를 하나 띄었는데 부모 프로세스 밑에 자식 프로세스가 실행 된 것을 볼 수가 있었고, Wininet.dll를 로딩하고 있었습니다. Wininet.dll에서 제공하는 API중에 InternetConnet()라는 API(출처:MSDN)가 있습니다. 함수 이름 그대로 어떤 웹 사이트에 접속하려고 할 때 사용하는 API입니다.
HINTERNET InternetConnect(
__in HINTERNET hInternet,
__in LPCTSTR lpszServerName, //접속 URL
__in INTERNET_PORT nServerPort,
__in LPCTSTR lpszUsername,
__in LPCTSTR lpszPassword,
__in DWORD dwService,
__in DWORD dwFlags,
__in DWORD_PTR dwContext
);
Wininet.InternetConnect() API가 후킹 대상 API로 적절한지 검증해보겠습니다.
시연을 성공으로 하고 포스팅 글을 쓰려고 스샷을 찍으려 다시 실습하려했는데
attach가 되질 않습니다...
원인을 빨리 찾아서 일반적인 API 후킹 실습을 보여드리겠습니다. 되다가 갑자기 안되니까 당황 스럽네요....
출처and참초: 리버싱 핵심원리
About the Author
0 개의 댓글