Game Design & Development Story

Intro 리버싱을 하는 데 있어 흔히 "Art of Reversing is an API Hooking"이라는 말과 같이 API 후킹은 리버싱의 꽃이라 일컬어진다. 어떤 윈도우 응용프로그램을 개발하기 위해서 우리는 다양한 종류의 언어나 도구를 사용할 수가 있다. 이런 언어나 도구를 사용하여 개발하는 방법은 다르더라도 결국, 개발된 프로그램의 내부로 들어가면 윈도우 운영체제가 제공하는 API를 호출한다. 이러한 API는 사용자 영역뿐만 아니라 커널 영역에서도 Native API의 형태로 존재하기 때문에 API 후킹을 이해하는 것은 윈도우의 많은 부분을 조작할 수 있음을 의미한다. 따라서 이번 문서에서는 API 후킹에 대한 이해를 도모하며, 기본적인 후킹의 방법에 대해 이해하므로 다른 후킹 방법 또한 낯설지..

원문 : https://777bareman777.github.io/2020/01/14/WindowsAPIHookingUsingIAT/ 후킹 API 선정 어떤 작업을 할건지에 따라서 후킹 대상 API를 선정을 해야 합니다. 하지만 이것은 만만치 않은 작업입니다. 내가 조작하고 싶은 부분이 어떤 API를 통해서 작동되는지, 어떤 알고리즘을 통해서 작동되는지 파악하기 어렵기 때문입니다. 해당 부분은 개발/리버싱 경험이 많아야지 쉽게 선택할 수 있습니다. IAT 후킹 동작 원리 IAT는 프로그램에서 호출되는 API들의 실제 주소가 저장이 되는 영역입니다. IAT 후킹이란 IAT에 저장된 API들의 실제 주소 값을 주소를 바꾸는 것입니다. 정상적인 프로그램 같은 경우에는 본래 호출하고자 했던 API를 호출하고, ..

원문 : https://woounnan.tistory.com/92 1.원리 -SSDT 내에 존재하는 Native 함수는 ntoskrnl.exe 모듈 내에 존재. -SSDT를 검사하여, ntoskrnl.exe 외의 영역에 존재하는 함수주소가 존재할 경우 후킹되었다고 판단. 2.필요 요소 -ntoskrnl.exe 영역 주소 구하기 1)GetListOfModules:: ZwQuerySystemInformation의 2번째 인자를SystemModuleInformation로 주면 커널영역에 로드된 모든 모듈정보를 얻어올 수 있음. 2)DriverEntry:: 얻어진 모듈정보 중 모듈이름을 비교하여, ntoskrnl.exe 모듈을 찾음. 3)FindSSDTHook:: SSDT를 ntoskrnl.exe 영역과 비교...