4sterisk 님의 블로그

APC(Asynchronous Procedure Call) 이란, Windows Thread 가 대기 상태에서 사용자 정의 함수를 실행할 수 있는 메커니즘 입니다.이 기능을 이용해 타겟 스레드 컨텍스트에서 쉘코드를 실행시키는 기법이 APC Injection 입니다.APC(Asynchronous Procedure Call)모든 Thread가 APC function을 실행할 수 있는 것은 아닙니다.Alertable state에 있는 Thread만 APC function을 실행할 수 있습니다.Alertable state thread 는 대기 상태의 Thread를 의미합니다. Thread가 alertable state에 들어가면 Alertable thread queue에 들어가고, queue된 APC funct..

Process, Thread Enumeration은 Injection 같은 기법을 수행할 때 필수적입니다.Process EnumerationBOOL GetRemoteProcessHandle(IN LPWSTR szProcessName, OUT DWORD* dwProcessId, OUT HANDLE* hProcess) { HANDLE hSnapShot = NULL; PROCESSENTRY32 Proc = { .dwSize = sizeof(PROCESSENTRY32) }; hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL); if (hSnapShot == INVALID_HANDLE_VALUE) { printf("\t[!] CreateToolhel..

API Hooking 을 진행하는데 있어 여러가지 methods 가 있지만, 오늘은 Custom Structure를 이용해 API hooking을 해보겠습니다.Custom Structuretypedef struct _HookSt { PVOID pFunctionToHook; PVOID pFunctionToRun; BYTE pOriginalBytes[TRAMPOLINE_SIZE]; DWORD dwOldProtection;} HookSt, *PHookSt;우선, 보다 쉽게 구현하기 위해 structure를 만들어 줍니다.PVOID pFunctionToHook - hooking할 function의 주소입니다.PVOID pFunctionToRun - 실행할 function의 주소입니다.BYTE OriginalBy..