본문 바로가기
Programming/Security Programming

[Win32 / C] ntdl.dlll의 InlinHook탐지

by Winduck 2017. 5. 6.
반응형

이번에는 유저레벨악성코드에서 이루어지는 InlineHook에 대한 탐지 로직을 짜보았습니다. 

함수의 원코드와 로드된 API의 코드가 같은지 판별합니다. 이를 통하여 후킹이 이루어졌는데 아닌지를 판별합니다.  

다음은 후킹이 걸린 프로세스들의 모습을 툴을 통하여 탐지한 모습입니다.

 


앞전에 공부했던 프로세스의 모듈검색코드로 메모리상의 ntdll.dll의 주소를 찾아 EAT를 파싱하여 원래의 값과 비교하였습니다.

프로그램실행결과!!! 성공적으로 후킹을 탐지하는 것을 볼 수 있었습니다.






반응형

댓글