DLL Injection...(1)

DLL Injection을 이해하기 전에 우선 hook에 대해서 공부해보자.

SPY++ : Windows OS의 Visual Studio에서 제공하는 대표적인 메세지 hook 프로그램

SetWindowsHookEX() API를 사용하면 Hook을 구현하는데 편하다.


HHOOK SetWindowsHookEx( int idHook, // hook type HOOKPROC lpfn, // hook procedure HINSTANCE hMod, // 위 hook procedure가 속해 있는 DLL 핸들 DWORD dwThreadId // hook을 걸고 싶은 thread의 ID );

hook procedure :  운영체제가 호출해주는 콜백함수

메시지 hook을 걸 때 hook procedure는 DLL 내부에 존재해야 하며, 그 DLL의 인스턴스 핸들이 바로 hMod이다.

dwThreadID : 0을 넣으면 글로벌 훅(Global Hook)이 설치되며, 실행 중인(그리고 향 후 실행될)모든 프로세스에 영향을 미친다.

KeyHook.dll : 프로시저(KeyboardProc)가 존재하는 DLL파일이다.

키보드 후킹 예제 : http://yokang90.tistory.com/60

Hookmain.cpp

// Hookmain.cpp : Defines the entry point for the console application. // #include "stdafx.h" //HookMain.cpp #include "stdio.h" #include "conio.h" #include "windows.h" #define DEF_DLL_NAME "keyhook.dll" #define DEF_HOOKSTART "HooKStart" #define DEF_HOOKSTOP "HookStop" typedef void (*PFN_HOOKSTART)(); typedef void (*PFN_HOOKSTOP)(); void main(){ HMODULE hDll = NULL; PFN_HOOKSTART HookStart = NULL; PFN_HOOKSTOP HookStop = NULL; char ch = 0; // KeyHook.dll 로딩 hDll = LoadLibraryA(DEF_DLL_NAME); if (hDll == NULL){ //LoadLibrary faild printf("LoadLibrary(%s) failed!!! [%d]", DEF_DLL_NAME, GetLastError()); } //export 함수 주소 얻기 HookStart = (PFN_HOOKSTART)GetProcAddress(hDll, DEF_HOOKSTART); HookStop = (PFN_HOOKSTOP)GetProcAddress(hDll, DEF_HOOKSTOP); //후킹 시작 HookStart(); //사용자가 'q'를 입력할 때까지 대기 printf("press 'q' to quit!\n"); while (_getch() != 'q'); // 후킹종료 HookStop(); // KeyHook.dll 언로딩 FreeLibrary(hDll); }

KeyHook.cpp

// KeyHook.cpp #include "stdio.h" #include "windows.h" #define DEF_PROCESS_NAME "notepad.exe" HINSTANCE g_hInstance = NULL; HHOOK g_hHook = NULL; HwND g_hWnd = NULL; BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved) { switch( dwReason ) { case DLL_PROCESS_ATTACH: g_hInstance = hinstDLL; break; case DLL_PROCESS_DETACH: break; } return TRUE; } LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam) { char szPath[MAX_PATH] = {0,}; char *p = NULL; if( nCode = 0 ) { //bit 31: 0 = key press, 1 = key release if( !(lParam & 0x80000000))//키보드가 눌렀다 떨어질 때 { GetModuleFileNameA(NULLm szPath, MAX_PATH); p = strtchr(szPath, '\\'); // 현재 프로세스 이름을 비교해서 만약 notepad.exe라면 // 메시지는 응용프로그램(혹은 다음 훅)으로 전달되지 않음 if( !_stricmp(p + 1, DEF_PROCESS_NAME)) return 1; } } // 일반적인 경우에는 CallNextHookEx()를 호출하여 // 응용 프로그램(혹은 다음 훅)으로 메시지를 전달함. return CallNextHookEx(g_hHook, nCode, wParam, lParam); } #ifdef __cplusplus extern "C" { #endif __declspec(dllexport) void HooKStart() { g_hHook = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstance, 0); } __declspec(dllexport) void HookStop() { if ( g_hHook ) { UnhookWindowsHookEx(g_hHook); g_hHook = NULL; } } #ifdef __cplusplus } #endif

Ollydbg로 dll 디버깅 할 땐

옵션 -> Break on new module(DLL)을 체크
그럼 Executable modules창을 통해 KeyHook.dll이 로딩되는 것을 확인 할 수 있다. 그 후 KeyHook.dll을 더블클릭하면 KeyHook.dll의 EP주소로 이동하게 된다.(Break on new module(DLL)의 체크를 해제해준다.)