SlideShare uma empresa Scribd logo

20110415 detour

Transferir como PPTX, PDF
S
Seongahn Kim

window api hook

Tecnologia
1 de 15
재미로 해보는 윈도우 후킹 아꿈사 김성안 <wakeup01@gmail.com>
윈도우 후킹 방법을 대략 살펴보고간단히 실습을 해볼까 해요.
윈도우 API 후킹
1. IAT 후킹 Import Address Table Import 주소를 보관하고 있는 테이블 IAT에 있는 API 주소를 변경하는 방법 IAT에 없는 API는 후킹이 불가능
2. EAT 후킹 Export Address Table Export 주소를 보관하고 있는 테이블 EAT에 있는 API 주소를 변경하는 방법
3. Detour 후킹 후킹 대상 함수의 처음 부분에 원하는 함수로 이동하는 Jump 명령을 삽입 원래 있던 명령은 Trampoline 영역에 보관 후킹 함수에서 Trampoline을호출하여 원래 함수 처리가 가능 Detours – MS Research
4. Debugging 디버깅을 하면서 API를 후킹하는 방법
5. SSDT후킹 System Service Descriptor Table Native API 주소를 보관하고 있는 테이블
6. IDT 후킹 Interrupt Descriptor Table 인터럽트를 핸들링할 주소를 보관하고 있는 테이블 IDT에 있는 인터럽트 처리 주소를 변경
7. IRP 후킹 Input/Output Request Packets MajorFunction테이블을 변경
윈도우 메시지 후킹
1. 윈도우 메시지 후킹 윈도우에서 제공하는 함수를 이용
시연
끝

Recomendados

Enjoy python! 변수, 조건문(파이썬 스터디, 발표자료)
Enjoy python! 변수, 조건문(파이썬 스터디, 발표자료)Enjoy python! 변수, 조건문(파이썬 스터디, 발표자료)
Enjoy python! 변수, 조건문(파이썬 스터디, 발표자료)Cherucy
 
国民健康栄養調査(2013年)
国民健康栄養調査(2013年)国民健康栄養調査(2013年)
国民健康栄養調査(2013年)Onominat Bros Inc., Japan, Wakayama City
 
Windows内核技术介绍
Windows内核技术介绍Windows内核技术介绍
Windows内核技术介绍jeffz
 
Reverse eningeering
Reverse eningeeringReverse eningeering
Reverse eningeeringKent Huang
 
Windows Kernel Debugging
Windows Kernel DebuggingWindows Kernel Debugging
Windows Kernel DebuggingThomas Roccia
 
About rootkit
About rootkitAbout rootkit
About rootkit용환 노
 
Memory forensics
Memory forensicsMemory forensics
Memory forensicsSunil Kumar
 
Introduction to windows kernel
Introduction to windows kernelIntroduction to windows kernel
Introduction to windows kernelSisimon Soman
 

Recomendados

Enjoy python! 변수, 조건문(파이썬 스터디, 발표자료)
Enjoy python! 변수, 조건문(파이썬 스터디, 발표자료)Enjoy python! 변수, 조건문(파이썬 스터디, 발표자료)
Enjoy python! 변수, 조건문(파이썬 스터디, 발표자료)Cherucy
 
国民健康栄養調査(2013年)
国民健康栄養調査(2013年)国民健康栄養調査(2013年)
国民健康栄養調査(2013年)Onominat Bros Inc., Japan, Wakayama City
 
Windows内核技术介绍
Windows内核技术介绍Windows内核技术介绍
Windows内核技术介绍jeffz
 
Reverse eningeering
Reverse eningeeringReverse eningeering
Reverse eningeeringKent Huang
 
Windows Kernel Debugging
Windows Kernel DebuggingWindows Kernel Debugging
Windows Kernel DebuggingThomas Roccia
 
About rootkit
About rootkitAbout rootkit
About rootkit용환 노
 
Memory forensics
Memory forensicsMemory forensics
Memory forensicsSunil Kumar
 
Introduction to windows kernel
Introduction to windows kernelIntroduction to windows kernel
Introduction to windows kernelSisimon Soman
 
コカコーラ
コカコーラコカコーラ
コカコーラSaki Kusakabe
 
Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott Sc0tt
 
Research Paper on Rootkit.
Research Paper on Rootkit.Research Paper on Rootkit.
Research Paper on Rootkit.Anuj Khandelwal
 
Windows io manager
Windows io managerWindows io manager
Windows io managerSisimon Soman
 
Anti-Forensic Rootkits
Anti-Forensic RootkitsAnti-Forensic Rootkits
Anti-Forensic Rootkitsamiable_indian
 
1029 滋賀大学「子どもたちとのコミュニケーションを考える」
1029 滋賀大学「子どもたちとのコミュニケーションを考える」 1029 滋賀大学「子どもたちとのコミュニケーションを考える」
1029 滋賀大学「子どもたちとのコミュニケーションを考える」 Yosuke Tanaka
 
野菜を食べない、関西と東海:今より食べれば長生きできる!
野菜を食べない、関西と東海:今より食べれば長生きできる!野菜を食べない、関西と東海:今より食べれば長生きできる!
野菜を食べない、関西と東海:今より食べれば長生きできる!Onominat Bros Inc., Japan, Wakayama City
 
DMP勉強会
DMP勉強会DMP勉強会
DMP勉強会Shoho Kozawa
 
【データアーティスト株式会社】5歳の娘でもわかるDMP
【データアーティスト株式会社】5歳の娘でもわかるDMP【データアーティスト株式会社】5歳の娘でもわかるDMP
【データアーティスト株式会社】5歳の娘でもわかるDMPSatoru Yamamoto
 
アドテク勉強会
アドテク勉強会アドテク勉強会
アドテク勉強会Shoho Kozawa
 
お金をかけないランディングページのつくりかた
お金をかけないランディングページのつくりかたお金をかけないランディングページのつくりかた
お金をかけないランディングページのつくりかたSatoru Yamamoto
 
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司schoowebcampus
 
0528 kanntigai ui_ux
0528 kanntigai ui_ux0528 kanntigai ui_ux
0528 kanntigai ui_uxSaori Matsui
 
カヤックコピー部のコピー講座
カヤックコピー部のコピー講座カヤックコピー部のコピー講座
カヤックコピー部のコピー講座コピーライターはせがわ てつじ
 
女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -Shoko Tanaka
 
コンテンツ作りの三原則
コンテンツ作りの三原則コンテンツ作りの三原則
コンテンツ作りの三原則INFOBAHN.inc(株式会社インフォバーン)
 
見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版MOCKS | Yuta Morishige
 
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Kim Daeun
 
캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Wonjun Hwang
 
Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Wonjun Hwang
 
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionMOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionKim Daeun
 

Mais conteúdo relacionado

Destaque

Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott Sc0tt
 
Research Paper on Rootkit.
Research Paper on Rootkit.Research Paper on Rootkit.
Research Paper on Rootkit.Anuj Khandelwal
 
Anti-Forensic Rootkits
Anti-Forensic RootkitsAnti-Forensic Rootkits
Anti-Forensic Rootkitsamiable_indian
 
1029 滋賀大学「子どもたちとのコミュニケーションを考える」
1029 滋賀大学「子どもたちとのコミュニケーションを考える」 1029 滋賀大学「子どもたちとのコミュニケーションを考える」
1029 滋賀大学「子どもたちとのコミュニケーションを考える」 Yosuke Tanaka
 
野菜を食べない、関西と東海:今より食べれば長生きできる!
野菜を食べない、関西と東海:今より食べれば長生きできる!野菜を食べない、関西と東海:今より食べれば長生きできる!
野菜を食べない、関西と東海:今より食べれば長生きできる!Onominat Bros Inc., Japan, Wakayama City
 
【データアーティスト株式会社】5歳の娘でもわかるDMP
【データアーティスト株式会社】5歳の娘でもわかるDMP【データアーティスト株式会社】5歳の娘でもわかるDMP
【データアーティスト株式会社】5歳の娘でもわかるDMPSatoru Yamamoto
 
アドテク勉強会
アドテク勉強会アドテク勉強会
アドテク勉強会Shoho Kozawa
 
お金をかけないランディングページのつくりかた
お金をかけないランディングページのつくりかたお金をかけないランディングページのつくりかた
お金をかけないランディングページのつくりかたSatoru Yamamoto
 
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司schoowebcampus
 
0528 kanntigai ui_ux
0528 kanntigai ui_ux0528 kanntigai ui_ux
0528 kanntigai ui_uxSaori Matsui
 
女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -Shoko Tanaka
 
見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版MOCKS | Yuta Morishige
 

Destaque (17)

コカコーラ
コカコーラコカコーラ
コカコーラ
 
Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott
 
Research Paper on Rootkit.
Research Paper on Rootkit.Research Paper on Rootkit.
Research Paper on Rootkit.
 
Windows io manager
Windows io managerWindows io manager
Windows io manager
 
Anti-Forensic Rootkits
Anti-Forensic RootkitsAnti-Forensic Rootkits
Anti-Forensic Rootkits
 
1029 滋賀大学「子どもたちとのコミュニケーションを考える」
1029 滋賀大学「子どもたちとのコミュニケーションを考える」 1029 滋賀大学「子どもたちとのコミュニケーションを考える」
1029 滋賀大学「子どもたちとのコミュニケーションを考える」
 
野菜を食べない、関西と東海:今より食べれば長生きできる!
野菜を食べない、関西と東海:今より食べれば長生きできる!野菜を食べない、関西と東海:今より食べれば長生きできる!
野菜を食べない、関西と東海:今より食べれば長生きできる!
 
DMP勉強会
DMP勉強会DMP勉強会
DMP勉強会
 
【データアーティスト株式会社】5歳の娘でもわかるDMP
【データアーティスト株式会社】5歳の娘でもわかるDMP【データアーティスト株式会社】5歳の娘でもわかるDMP
【データアーティスト株式会社】5歳の娘でもわかるDMP
 
アドテク勉強会
アドテク勉強会アドテク勉強会
アドテク勉強会
 
お金をかけないランディングページのつくりかた
お金をかけないランディングページのつくりかたお金をかけないランディングページのつくりかた
お金をかけないランディングページのつくりかた
 
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司
分かりやすく、使いやすいデザインを生み出す工夫 先生:池田 拓司
 
0528 kanntigai ui_ux
0528 kanntigai ui_ux0528 kanntigai ui_ux
0528 kanntigai ui_ux
 
カヤックコピー部のコピー講座
カヤックコピー部のコピー講座カヤックコピー部のコピー講座
カヤックコピー部のコピー講座
 
女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -女子の心をつかむUIデザインポイント - MERY編 -
女子の心をつかむUIデザインポイント - MERY編 -
 
コンテンツ作りの三原則
コンテンツ作りの三原則コンテンツ作りの三原則
コンテンツ作りの三原則
 
見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版見やすいプレゼン資料の作り方 - リニューアル増量版
見やすいプレゼン資料の作り方 - リニューアル増量版
 

Último

Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Kim Daeun
 
캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Wonjun Hwang
 
Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Wonjun Hwang
 
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionMOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionKim Daeun
 
A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)Tae Young Lee
 

Último (6)

Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
 
캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)
 
Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)
 
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionMOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
 
A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)
 

20110415 detour

  • 1. 재미로 해보는 윈도우 후킹 아꿈사 김성안 <wakeup01@gmail.com>
  • 2. 윈도우 후킹 방법을 대략 살펴보고간단히 실습을 해볼까 해요.
  • 3.
  • 5. 1. IAT 후킹 Import Address Table Import 주소를 보관하고 있는 테이블 IAT에 있는 API 주소를 변경하는 방법 IAT에 없는 API는 후킹이 불가능
  • 6. 2. EAT 후킹 Export Address Table Export 주소를 보관하고 있는 테이블 EAT에 있는 API 주소를 변경하는 방법
  • 7. 3. Detour 후킹 후킹 대상 함수의 처음 부분에 원하는 함수로 이동하는 Jump 명령을 삽입 원래 있던 명령은 Trampoline 영역에 보관 후킹 함수에서 Trampoline을호출하여 원래 함수 처리가 가능 Detours – MS Research
  • 8. 4. Debugging 디버깅을 하면서 API를 후킹하는 방법
  • 9. 5. SSDT후킹 System Service Descriptor Table Native API 주소를 보관하고 있는 테이블
  • 10. 6. IDT 후킹 Interrupt Descriptor Table 인터럽트를 핸들링할 주소를 보관하고 있는 테이블 IDT에 있는 인터럽트 처리 주소를 변경
  • 11. 7. IRP 후킹 Input/Output Request Packets MajorFunction테이블을 변경
  • 13. 1. 윈도우 메시지 후킹 윈도우에서 제공하는 함수를 이용
  • 15.