RootKit

More documents

Recommendations

Info

다음은 RemoteThread를 만들고 원하는 함수를 실행시킨다. // Start execution of remote GetSASWnd() hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE) pGetSASWndRemote, pDataRemote, 0 , &dwThreadId); 다음은 위의 방법과 마찬가지로 DLL의 실행이 끝나길 기다린 후 종료 시킨다. // Wait for GetSASWnd() to terminate and get return code (SAS Wnd handle) WaitForSingleObject(hThread, INFINITE); GetExitCodeThread(hThread, (PDWORD) &hSASWnd); 여기까지가 WriteProcessMemory와 CreateRemoteThread를 이용한 DLL Injection 부분이다. 사실 누락된 내용도 많지만 누락된 내용은 다양한 문서와 완성되어 공개된 프로그램들이 많으니 그걸 보고 해도 될 것 같다. 이와 같은 방법으로 작업관리자를 막거나 프로그래머가 원하는 어떤 키를 막는 것이 가능 하다.
B. FilterDriver i. 필터드라이버란? 위에서 설명했던 것과 같이 윈도우에는 KernelMode가 있다. 그 모드에서 하는 Hooking을 할 수 있는 방법 중 하나가 FilterDriver 이다. 먼저 필터 드라이버를 간단하게 설명 하자면 l WDM(Windows Driver Model)은 계층 드라이버 아키텍처를 갖는다. l 여러 개의 계층으로 이루어진 드라이버 사이에 새로운 드라이버를 끼워 넣을 수 있다. l 거의 모든 하드웨어 장치는 그것을 지원하기 위한 드라이버 체인이 존재한다. l 가장 낮은 계층의 드라이버는 하드웨어 장치와 버스를 직접 처리하고, 가장 높은 계층은 데이터를 구조화 한다. 무슨 말인가 하면 윈도우의 드라이버는 여러 개의 층으로 되어 있으며, 층 사이에 원하는 드라이버를 끼워 넣을 수 있다. 그리고 드라이버들은 체인으로 묶여있고 그 체인이 있음으로 해서 제어를 쉽게 하고 개발자의 수고를 덜 수 있다. 이 그림을 필터 드라이버를 형상화 한 그림이다. i8042prt라는 드라이버가 가장 상 위에 있으며 그 체인으로 밑에 여러 개의 드라이버들이 묶여있는 것이 보인다. 가 장 아래에 있는 낮은 계층의 드라이버는 하드웨어 장치와 버스를 직접 처리하며, 가장 높은 계층은 데이터를 구조화 한다. 필터 드라이버를 더 세부적으로 나눌 수 있다.
Page 1 and 2: RootKit Univ.Chosun HackerLogin : J
Page 3 and 4: 1. 루트킷이란? 루트킷에
Page 5 and 6: 만 사용할 수 있는 명령이
Page 7 and 8: 첫 번째 인자는 후킹을 수
Page 9 and 10: ii. VirtualAllocEx & CreateRemoteTh
Page 11 and 12: eturn 0; strcpy(strrchr(szLibPath,
Page 13: 사용할 프로시저나 함수의
Page 17 and 18: 특정한 요청이 왔을 때 윈
Page 19 and 20: 위 코드가 그러한 동작을
Page 21 and 22: } if( !strcmp( tempProcessName, pro
Page 23: 6. 참고 자료 DevPia(Driver 마

RootKit

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?