20110415 detour

1,195 views

Published on

window api hook

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,195
On SlideShare
0
From Embeds
0
Number of Embeds
25
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

20110415 detour

  1. 1. 재미로 해보는 윈도우 후킹<br />아꿈사<br />김성안<br /><wakeup01@gmail.com><br />
  2. 2. 윈도우 후킹 방법을 대략 살펴보고간단히 실습을 해볼까 해요.<br />
  3. 3.
  4. 4. 윈도우 API 후킹<br />
  5. 5. 1. IAT 후킹<br />Import Address Table<br />Import 주소를 보관하고 있는 테이블<br />IAT에 있는 API 주소를 변경하는 방법<br />IAT에 없는 API는 후킹이 불가능<br />
  6. 6. 2. EAT 후킹<br />Export Address Table<br />Export 주소를 보관하고 있는 테이블<br />EAT에 있는 API 주소를 변경하는 방법<br />
  7. 7. 3. Detour 후킹<br />후킹 대상 함수의 처음 부분에 원하는 함수로 이동하는 Jump 명령을 삽입<br />원래 있던 명령은 Trampoline 영역에 보관<br />후킹 함수에서 Trampoline을호출하여 원래 함수 처리가 가능<br />Detours – MS Research<br />
  8. 8. 4. Debugging<br />디버깅을 하면서 API를 후킹하는 방법<br />
  9. 9. 5. SSDT후킹<br />System Service Descriptor Table<br />Native API 주소를 보관하고 있는 테이블<br />
  10. 10. 6. IDT 후킹<br />Interrupt Descriptor Table<br />인터럽트를 핸들링할 주소를 보관하고 있는 테이블<br />IDT에 있는 인터럽트 처리 주소를 변경<br />
  11. 11. 7. IRP 후킹<br />Input/Output Request Packets<br />MajorFunction테이블을 변경 <br />
  12. 12. 윈도우 메시지 후킹<br />
  13. 13. 1. 윈도우 메시지 후킹<br />윈도우에서 제공하는 함수를 이용<br />
  14. 14. 시연<br />
  15. 15. 끝<br />

×