[C++] DLL Injection 을 활용한 다른 프로세스의 코드 강제 삽입 - Whitmem
[C++] DLL Injection 을 활용한 다른 프로세스의 코드 강제 삽입
Develop History
2024-04-14 08:30 게시 1da7742983ad21d3416c
0
0
269
이 페이지는 외부 공간에 무단 복제할 수 없으며 오직 있는 그대로 게시되며 부정확한 내용을 포함할 수 있습니다. 법률이 허용하는 한 가이드 라인에 맞춰 게시 내용을 인용하거나 출처로 표기할 수 있습니다.
This page is not to be distributed to external services; it is provided as is and may contain inaccuracies.
코드 강제 삽입
대상 프로세스의 PID 번호에 대해서 OpenProcess로 Handle을 얻은 뒤 LoadLibrary 메서드를 통해서 강제로 인젝션을 시도합니다.
인젝팅 될 프로세스 구현
물론 현재 시중에 존재하는 프로그램을 인젝션 시도하는 것은 엄연히 불법 행위로, 직접 만든 소프트웨어에 작업을 수행합니다.
대상 프로세스
이 프로세스는 1초에 한 번씩 카운팅하고 화면상에 출력하는 소프트웨어입니다.
DLL
이 DLL 은 삽입되면 삽입된 프로세스 안에서 Injected To DestinationProcess ...! 메시지를 띄우고 0.1초 단위로 별개 숫자를 출력하는 역할을 합니다.
DLL
이 파일은 DLL로 컴파일합니다.
컴파일
Injector
원하는 프로세스와 DLL을 입력하면 대상 프로세스에 DLL을 강제로 주입해주는 인젝터 소프트웨어 입니다.
인젝터
결과적으로 3개의 프로그램이 존재합니다.
3개 프로그램
일반 상황
일반적으로 대상 프로세스가 동작되고 있는 상황에서 번호가 매겨지며 출력됩니다. 이 프로세스에 DLL을 인젝트 해보겠습니다.
설명
인젝션
대상 프로세스에서 인젝션되어 새 해킹된 프로세스가 실행됨을 알 수 있습니다.
OpenProcess()
먼저 pid로 대상 프로세스를 열고 대상 프로세스의 핸들을 가져옵니다.
VirtualAllocEx()
해당 대상 프로세스 핸들을 통해서 대상 프로세스에 메모리 공간을 할당합니다.
WriteProcessMemory()
해당 대상 프로세스 핸들을 통해서 대상 프로세스 메모리 공간에 dll의 위치 정보를 씁니다.
GetModuleHandle(), GetProcAddress()
GetModuleHandle() 을 통해서 kernel32.dll 의 모듈 정보를 불러오고, HMODULE 핸들과 GetProcAddress 을 통해서 LoadLibrary 의 함수 포인터를 가져옵니다.
CreateRemoteThread()
대상 프로세스에서 LoadLibrary 함수 포인터와 DLL 메모리 주소를 활용하여 원격으로 라이브러리 로드를 실행하면 대상 프로세스에서 DLL이 로드되고 진입점이 수행됩니다.
댓글 0개
댓글은 일회용 패스워드가 발급되며 사이트 이용 약관에 동의로 간주됩니다.
확인
Whitmemit 개인 일지 블로그는 개인이 운영하는 정보 공유 공간으로 사용자의 민감한 개인 정보를 직접 요구하거나 요청하지 않습니다. 기본적인 사이트 방문시 처리되는 처리 정보에 대해서는 '사이트 처리 방침'을 참고하십시오. 추가적인 기능의 제공을 위하여 쿠키 정보를 사용하고 있습니다. Whitmemit 에서 처리하는 정보는 식별 용도로 사용되며 기타 글꼴 및 폰트 라이브러리에서 쿠키 정보를 사용할 수 있습니다.
이 자료는 모두 필수 자료로 간주되며, 사이트 이용을 하거나, 탐색하는 경우 동의로 간주합니다.