Skip to content
조회 수 22529 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

DLL Injection은 어떻게 이루어지는가?

 

첫번째 - 레지스트리를 조작하는 방법

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs Windows의 많은 어플리케이션들이 user32.dll을 호출합니다.

이 DLL에는 창관리자를 호출하는 API 함수들이 있습니다. Windows가 기본적으로 GUI 환경이고 그 때문에 어플리케이션들도 user32.dll을 호출하기 마련이죠.

 

user32.dll은 LoadLibrary() 함수를  이용하여  AppInit_DLLs  안에  지정된  DLL들을  호출합니다.

 공격자가 이 레지스트리 값을 악의적으로 변경한다면 악성코드를 프로세스에 심을 수 있죠.

이 방법은 해당 레지스트리 값만 조사하면 금방 탐지될 수 있는 단점이 있습니다.

보통 정상적인 경우라면 위에서도 언급했듯이 값이 비어있기 때문이죠.

그렇더라도 레지스트리가 무엇인지 모르는 윈도우즈 사용자가 대부분이기 때문에 이것만으로도 꽤 치명적이라 할 수 있습니다.

 

두번째 - DLL 코드 자체를 변경하는 방법

Email-Worm.Win32.Warezov.nf 이라는 웜이 AppInit_DLLs 값을 변경하여 DLL Injection을 시도하는 한 예입니다.

이것은 이메일의 첨부파일이 실행되면 악성 DLL을 C:\WINDOWS\system32에 생성합니다.

그리고 AppInit_DLLs 값을 변경하여 이후에 user32.dll을 호출하는 프로세스에 악성 DLL을 삽입하죠.

 

 

세번째 - 윈도우 후킹함수를 이용하여 Injection

주고받는 메시지를 후킹할 수 있는 함수 SetWindowsHookEx() 함수에 삽입할 DLL의 Handler, 즉 주소와 함수의 주소를 인자로 넣음으로써 메모리에 올라간 프로세스에 삽입하게 됩니다.

SetWindowsHookEx (WH_KEYBOARD, KeyHookProc, hModule, NULL);

 

네번째 - CreatRemoteThread() 함수를 이용

CreatRemoteThread() 함수는 이름 그대로 쓰레드를 만드는 API 함수입니다.

 

 

로그인 후 댓글쓰기가 가능합니다.

?

List of Articles
번호 분류 제목 날짜 조회 수
360 컴퓨터잡담 맥변조 현상에 따른 조치방법(arp -a 실시간 감시) 2 20 file 2011.12.22 12272
359 AutoHotKey autohotkey) 맥어드레스 추출 2 2011.12.21 13558
358 Excel Excel) 엑셀 콤보박스 대화상자 목록지정하기 2011.12.21 26655
357 컴퓨터잡담 윈도우 기본 애플리케이션 명령어 2011.12.21 4515
356 컴퓨터잡담 DOS) 도스모드의 명령어 및 환경변수 확인하기 3 2011.12.18 6459
355 컴퓨터잡담 인터넷 시간만료에 따른 증상 및 대처방법 2 2 file 2011.12.18 6580
354 컴퓨터잡담 내컴퓨터 마우스 오른쪽 메뉴에서 명령어 추가하기 1 2011.12.18 4856
353 컴퓨터잡담 탐색기 속성 변경하여 특정 폴더 열기 3 2011.12.18 6427
352 컴퓨터잡담 IE) 익스플로러 속도 개선하기 file 2011.12.18 7414
351 컴퓨터잡담 윈도우7에서 xp처럼 쓸수있게 하는 방법 file 2011.12.17 11672
350 컴퓨터잡담 IE 훅킹 혹은 가로채기. 강좌 2 2011.12.17 13570
349 컴퓨터잡담 윈도우 오류보고(블루스크린) 해결 2011.12.17 4056
348 AutoHotKey 부팅완료 메시지 프로그램 file 2011.12.17 11019
347 컴퓨터잡담 윈도우7) 익스플로러 딜레이 막기 2011.12.17 7848
346 컴퓨터잡담 윈도우7(WINDOWS7) IPv6 제거방법 1 2011.12.17 17280
345 컴퓨터잡담 Microsoft .NET Framework 버전 2.0 재배포 가능 패키지(x86) 1 1 file 2011.12.15 4870
344 컴퓨터잡담 유튜브 동영상 다운로드 및 스마트폰, 탭에 맞게 표준포맷하기 2011.12.15 4530
343 컴퓨터잡담 한글입력이 안될때 의심해봐야 할 파일 imm32.dll 2011.12.14 5528
342 컴퓨터잡담 schtasks 예약된 작업의 스케쥴 3 2011.12.14 8701
341 컴퓨터잡담 IP초과로 인터넷이 안될때 2011.12.14 5520
Board Pagination Prev 1 ... 20 21 22 23 24 ... 39 Next
/ 39

http://urin79.com

우린친구블로그

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소