1. 2013. 7. 29. 09:24 Library/Document
DLL 인젝션으로 많이 알려져있는 기법 이죠

Dinamic Link Library 인젝션 과정 입니다
  1. OpenProcess
  2. VirtualAllocEx
  3. GetModuleHandleW Kernel32.dll
  4. GetProcAddress LoadLibraryW
  5. WriteProcessMemory
  6. CreateRemoteThreadEx

고급 Dinamic Link Library 인젝션 과정 입니다
  1. CreateProcess Suspended
  2. VirtualAllocEx
  3. GetModuleHandleW Ntdll.dll
  4. GetProcAddress LdrLoadDll
  5. WriteProcessMemory
  6. CreateRemoteThreadEx

고급 인젝션의 경우 프로세스 시작루틴을 가기전에 인젝션 함으로
프로그램 원천 코드를 조작 할 수 있습니다

아래 과정을 따르게 됩니다
라이브러리가 로드된경우 임포트 테이블을 먼저 읽어오게 되고 API 후킹이 가능한 상태가 되구요
이후에 임포트 테이블 참조는 중첩로드되지 않고 이미 로드된걸을 사용하게됩니다

CreateProcess
Suspended
NewThread - DLL Injection
Import Table
Hook API or Memory Patch
NtResumeProcess
System EntryPoint
Import Table
Program EntryPoint
Posted by Nightly Luna
,
® © Tanny Tales
/ rss