4.5. api hooking(Trampoline #2)

좀 더 유연한 Trampoline방식과 조금 다른 방식의 소스이다. 원래의 함수를 이어붙인 이전방식과 달리 매번 후킹을 해제했다가 다시거는 방식이다.
후킹된 함수들을 관리하기위해 후킹 관련 정보를 담은 구조체를 추가하였다.

앞서본 Trampoline처럼 기본구현 방식은 14byte(jmp코드)를 덮어씌우는 방식으로 동일하다. 후킹함수내에서 …

4.5. api hooking(Trampoline)

Trampoline은 IAT 방식과 달리 많이 복잡해졌다. 32비트와 달라진점 에서 잠깐 설명했었듯이 64bit에서는 함수의 시작이 정형화되어있지 않다.

32bit MessageBoxA 함수

; 32bit stdcall 정형화된 함수시작 (5byte)
mov edi,edi
push ebp
mov ebp,esp

64bit MessageBoxA 함수

; 64bit fastcall 

4.5. api hooking(IAT)

마찬가지로 32비트와 크게 다르지 않다. 이전 예제처럼 fastcall함수콜 방식에서 파라메터 설정하는 부분과 메모리주소(포인터)의 크기가 dword가 아닌 qword이라는 점만 제외하면 똑같으니 이 부분만 확인하면서 훑어보자.

apihook_64.asm

option casemap:none
;option frame:auto

include D:\WinInc208\Include\windows.inc
;include D:\WinInc208\Include\user32.inc
;include 

4.4. DLL Injection(WinHook)

함수(WinHook)를 이용한 injection이기 때문에 32비트와 크게 달라진 부분이 없다. 달라진 부분만 설명하도록 하겠다.

injector_64.asm

option casemap:none

include D:\WinInc208\Include\windows.inc
;include D:\WinInc208\Include\user32.inc
;include D:\WinInc208\Include\kernel32.inc

printf PROTO :qword
getchar PROTO

SetVictim proto, lpszVictim:dword
StartHook proto
EndHook proto

includelib kernel32.lib

4. 64비트

4.1. 32비트와 달라진점

레지스터들이 64bit(8byte)이다. 기존 32비트 레지스터와 구분하기위해 명칭이 달라졌다. e대신 r로 시작한다. rax, rbx, rcx, rdx, rbp, rsp

기존의 e로 시작하는(eax등)의 레지스터도 그대로 사용한다. 예를들어 rax의 하위 32비트는 eax이다.

r8, r9, r10, r11, …

이번엔 Trampoline 기법을 이용한 api hooking을 살펴보도록 하겠다.

뜻은 어릴때 뛰어놀던 “방방이” 인거 같은데 왜이런 명칭인지는 모르겠다. ㄲㄲ

5byte patch 라고도 한다. 32비트 프로그램에서 함수의 시작부분은 거의 항상

mov edi, edi
push ebp
mov ebp, esp

이렇게 시작하는데 이 부분이 …