2007년 09월 27일

API Hooking 시리즈


예전에 작성한 문서입니다.
잊어버리고 있었는데...다시 살펴보니 틀린 곳이 꽤 있군요.
틀린 곳이 Critical 하지는 않기에 그냥 올립니다. -_-;
소스가 정리안되었을 수도 있으니 지지분하더라도 참고 봐주세요 ㅠ_-
(옛날에 정리해서 올렸는데 서버가 없어져버린 듯 하네요ㅜ_ㅜ)

[Windows_Hook] 1.Introduce.pdf
  문서 : Introduce.pdf
  소스 : 소스 없음

[Windows_Hook] 2.Sub_Classing.pdf
  문서 : Sub_Classing.pdf
  소스 : KeyboardHook.zip
  서브 클래싱에 대한 개념을 완전히 잘못 설명했군요 ㅋ; 서브 클래싱의 정의는 다른 곳을 참고하시기 바랍니다. -_-;

[Windows_Hook] 3.Debug_Technique.pdf
  문서 : Debug_Technique.pdf
  소스 : DebugAPI.zip  SimpleCS.zip

[Windows_Hook] 4.CreateRemoteThread.pdf
  문서 : CreateRemoteThread.pdf
  소스 : Windows_Hook.zip

API Hooking 시리즈의 4번째는 SSDT Hooking, 5번째는 프로세스 감추기 로 이 블로그의 앞에 작성되어 있습니다.
해당 글을 참고하세요~

by lucid7 | 2007/09/27 18:19 | Windows | 트랙백 | 핑백(1) | 덧글(16)

트랙백 주소 : http://lucid7.egloos.com/tb/1496999
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Linked at 빌게이츠가 부를때까지 -_- .. at 2008/01/03 15:05

... 그가든보낸트랙백보낸핑백블로거뉴스 7. 내이글루 명예의 전당 내이글루는 개설한지 526일이 되었습니다. 내이글루의 첫 포스트는 칭키즈칸 가장 많이 읽힌 글은 API Hooking 시리즈 (10월부터 집계) 가장 적게 읽힌 글은 록키 발보아 (10월부터 집계) 내이글루에 가장 덧글을 많이 쓴 사람은 희나람 ... more

Commented by 래발 at 2007/09/27 20:20
하하!! 감사 합니다^^;

얼마전에 왔다 갔던 블로그 였는데.. -_-;

아무튼 다시 열공 할 수 있겠네요 .. 좋은 문서 감사합니다 ㅋㅋ
Commented by lucid7 at 2007/09/28 09:56
사실 인터넷에 있는 좋은 문서들을 짜집기한 거 밖에 안됩니다. 부끄럽습니다. *-_-*
Commented by ss1 at 2007/09/29 00:47
잘 보고 갑니다^^

문서 정리 정말 감사합니다~
Commented by lucid7 at 2007/09/30 13:07
감사합니다. (__)
Commented by uptx at 2007/09/30 20:52
위대한 큐 형님 만나러 왔다가 위대한 문서 보고 댓글 달아 놓습니다.
어흑. 내공 전수 좀 해주세요.
만나서 *-_-*
Commented by lucid7 at 2007/10/01 09:37
일전에 도와주셔서 감사합니다. 밥 살께요~ 건너오세요 이쪽으로 ㅋ
Commented by NRM at 2007/10/17 10:12
감사합니다 ㅠㅠ
Commented by n0fate at 2007/11/08 09:39
내공의 힘이 여기까지 느껴지는거 같습니다.=_+

좋은 자료 감사합니다 :)
Commented by lucid7 at 2007/11/09 09:56
과찬이십니다. 저 내공없습니다. -_-;
Commented by EXSO at 2008/05/19 00:25
문서 잘봤습니다 ^^.
한가지 질문좀 하겟습니다.
혹시 ring3에서 전역적으로 api 훅을 할수있는 방법이 없을까요?
제 머리로는 dll을 바꿔치기 하는방법이나, 모든 프로세스의 메모리를 수정하거나 그런방법밖에
생각하지 못하겠네요ㅠㅠ
Commented by lucid7 at 2008/05/19 09:16
이 페이지에 올라온 문서들은 모두 ring3에서 하는 방법들인데요? -_-;
Commented by EXSO at 2008/05/19 12:15
예 압니다. 제가 질문드린것은 현재 문서에서 다룬것들은 하나의 프로세스를 대상으로 하지만,
하나의 프로세스가 아닌 API hook을 모든 프로세스에 한번에 설치하는 방법이 없을까 질문드린겁니다 ㅎㅎ;
Commented by lucid7 at 2008/05/20 09:53
exso님이 생각하시는 것으로는(dll injection, 모든 프로세스 메모리 수정 외) DKOM밖에 없겠는데요? 대부분의 DRM, 매체제어 프로그램들이 이 방법을 사용합니다만 이 방법 역시 ring3 only라고 하기에는 살짝 무리가 있네요.
IDT, SDT hook으로 모든 API를 바꾸는 건 좀 낭비인것 같고 탐지도 잘되고;; IAT Hook역시 dll 바꿔치기 하는 방법과 비슷하니 논외로 되겠고..pspcidtable은 ring0이고....-_-;; 잘 모르겠습니다.(_ _) 그냥 setwindowshookex 말고는 조건을 만족하는 답이 떠오르지 않네요 ㅠㅠ
Commented by EXSO at 2008/05/21 15:46
감사합니다. ^^ 결국은 ring3 만으로는 좀 무리가 있네요. 답변 많은 도움 됬습니다
Commented by 시미 at 2008/06/04 21:04
잘 볼겠습니다~ 감사합니다. ^_^
Commented by B at 2009/08/07 21:21
와 짱입니다 ㅎㅎㅎ

:         :

:

비공개 덧글

◀ 이전 페이지 다음 페이지 ▶