WeZZ 's 공간292 시너지 툴 사용법 http://blog.naver.com/eleccom/130020859213 2009. 7. 21. Inject your code to a Portable Executable file http://www.codeproject.com/KB/system/inject2exe.aspx#PEMakerDownloadLink1 2009. 6. 9. Detours 에서 Detoured.dll 제거하기 Detours 라이브러리는 현존하는 API 후킹 라이브러리중에 가장 뛰어나고 가장 심플한 후킹 라이브러리이다. 또한, 고급후킹방법과 최고레벨의 후킹기술을 보여주는 샘플도 함께제공한다. 무엇보다 VC++ 을 하는 사람한테는 델파이의 매드훅라이브러리가 부럽지 않게 해줄 정도의 완벽한 후킹라이브러리이다. 이것을 해커들도 알고있으므로 1.5 버전 부터 해커들의 책에 자주등장하였다. 이 Detours 라이브러리의 처음 배포시점의 이미지와 설명법이 rootkit 책에서 조차 인용되고있을 정도로 유명한 라이브러리이다. 이 라이브러리의 응용법은 무궁무진하다. 다만, 고급으로 사용하려면 그만큼의 많은 연습과 노력이 필요하다. 여기까지 라이브러의 설명을 마치고 1.5 버전과 최신버전의 2.1 버전에서 발생하는 문제를 해결.. 2009. 4. 30. Detours 라이브러리를 이용 Detours 라이브러리를 이용한 Win32 API - Sleep 호출 가로채기 엄밀히, 가로채기 자체는 이미 Detours 라이브러리에서 모두 해주기 때문에 이 글의 제목은 오히려 "Detours 소개" 라고 하는 것이 더 낫겠습니다. 그럼, 한 단계씩 살펴볼까요? ^^ 우선, 다운로드를 받으셔야 합니다. ^^ 다음의 경로에서. Microsoft Research Detours Package - DetoursExpress.msi (ver 2.1) ; http://research.microsoft.com/research/downloads/Details/d36340fb-4d3c-4ddd-bf5b-1db25d03713d/Details.aspx 보시는 것처럼, "Microsoft Research" 의 어느 팀에.. 2009. 4. 30. [WDK]unlinkInCsrss /* .text:75AD52D3 _CsrLockProcessByClientId@8 proc near ; CODE XREF: CsrCreateRemoteThread(x,x)+2Fp .text:75AD52D3 .text:75AD52D3 arg_0 = dword ptr 8 .text:75AD52D3 arg_4 = dword ptr 0Ch .text:75AD52D3 .text:75AD52D3 8B FF mov edi, edi .text:75AD52D5 55 push ebp .text:75AD52D6 8B EC mov ebp, esp .text:75AD52D8 53 push ebx .text:75AD52D9 56 push esi .text:75AD52DA 57 push edi .text:75AD52DB BF A0.. 2009. 4. 11. csrsrv.dll 의 CsrRootProcess조사하여 숨겨진 프로세스 탐지 기법 lucid7님의 블로그를 통하여 csrss 프로세스의 unexport 구조체를 통하여 숨겨진 프로세스를 탐지하는 법을 알게 되었다. 물론 루트킷사이트에서 제일먼저 보긴했지만, lucid7님이 번역하셔서 쉽게 이해할 수 있었다. "csrss는 유저영역의 통제자로써 활동하기때문에 모든 Win32 프로세스들이 생성시 csrss에 알려야만 한다. csrss.exe는 csrsrv.dll의 노출되지않은 심벌(Unexported symbol)인 CsrRootProcess을 통해서 생성된 프로세스정보들을 관리한다." 이 점에 착안하여 루트킷 디텍터를 만들 수 있다는 것이 요지이다. 이기법은 Win2k부터 win2008까지 모두 사용가능하다고 한다. 또한 유저모드에서 동작하므로 드라이버가 필요없다. 다음 내용은 위 내용.. 2009. 4. 11. 이전 1 ··· 28 29 30 31 32 33 34 ··· 49 다음