반응형 Programming24 SetUnhandledExceptionFilter를 이용한 AntiDebugging 최근에 발견된 악성코드에서 SetUnhandledExceptionFilter를 이용한 Anti Debugging기법이 있어 끄적여본다.우선 SetUnhandledExceptionFilter에 대해 알아보자. ※SetUnhandledExceptionFilter란? After calling this function, if an exception occurs in a process that is not being debugged, and the exception makes it to the unhandled exception filter, that filter will call the exception filter function specified by the lpTopLevelExceptionFilter p.. 2018. 4. 10. [SYSENTER Hooking] ZwOpenProcess/ ZwTerminateProcess 모니터링 요즘 바빠서 공부를 잘못했는데 시간을 내서 진행해보았습니다. 내용이 약간 두서없더라도 이해해주세요.추후 수정하겠습니다. 루트킷진행하면서 SysEnter Hooking을 통한 프로세스 모니터링을 진행해보았습니다. 먼저 SysEnter를 통한 커널진입을 간단히 보겠습니다. ※ SYSENTER 커널진입 : 자세한 내용은 SSDT Hook을 참조 ①User Level에서 eax에 Service Num과 edx에 Parameter 프레임포인터를 저장한 뒤 커널모드 진입합니다. ② msr : 0x176에 있는 KiFastCallEntry주소를 EIP로 가져와 실행합니다. ③ SSDT를 참조하여 함수를 호출합니다. ※SYSENTER Hook의 함수호출 전체적인 그림 : Hook은 원래의 KiFastCallEntry가.. 2017. 7. 20. [Driver]프로세스/DLL로드 및 소멸 모니터링 프로그래밍 이번에는 유투브 강의를 통해 간단하게 배운 프로세스/DLL로드 및 소멸 모니터링하는 프로그램을 코딩해보았습니다. 개발하게 된 Driver는 PsSetCreateProcessNotifyRoutine와 PsRemoveLoadImageNotifyRoutine를 통하여 진행되었습니다. 우선, 프로세스 생성및 소멸에 관련된 정보를 얻기위해 다음의 함수를 사용합니다. ※ PsSetCreateProcessNotifyRoutine함수 - Windows는 위 함수를 통하여 드라이버에 전달을 프로세스가 생성/소멸될때 SetCreateProcessNotifyRoutine가 CallBack Routine에 추가합니다. NTSTATUS PsSetCreateProcessNotifyRoutine( _In_ PCREATE_PROCE.. 2017. 7. 6. SSDT후킹(SSDT Hooking)!! 파일삭제 거부 프로그램! 정말 오래된 기술인 SSDT후킹을 이용해서 파일삭제 불가 프로그램 만들어보았습니다!! 다른 블로그에서 기재된 내용을 이용하여 진행해보았습니다. SSDT후킹은 Native API Table인 SSDT에서 함수의 주소를 제작된 함수의 주소로 바꾸는 기술입니다. ssdt 참조 : http://jeep-shoes.tistory.com/7 제작되는 프로그램은 ZwOpenFile을 후킹하였습니다. void memprotect_off() { __asm { cli // clear Interrupt push eax mov eax, cr0 and eax, 0xfffeffff mov CR0, eax pop eax } } void memprotect_on() { __asm { push eax mov eax, CR0 or ea.. 2017. 6. 6. 이전 1 2 3 4 5 6 다음 반응형
