티스토리 뷰

Reversing/Concept

[Reversing] x64 IAT Hooking을 이용한 NotePad WriteFile API Hooking실습 (C언어)

ch4njun 2020. 4. 13. 16:57
반응형
이번 포스팅에서는 x64 환경에서 IAT Hooking을 통해 Microsoft에서 제공되는 Notepad 프로그램의 WriteFile API를 후킹하는 실습을 진행해본다. WriteFile API는 파일을 저장할 때 호출되는 API 이다.

이 때 저장되는 내용을 MessageBoxA API로 띄우도록 해당 API를 Hooking해보도록 한다.

 

[ IAT64.dll ]

 

여기서 WriteFile이 존재하는 DLL을 api-ms-win-core-file-l1-1-0.dll으로 지정했는데 PE 구조를 살펴본 결과 IAT 상에 저 DLL에 WriteFile API가 존재하기 때문에 저렇게 했다.

 

그러나, 노트북으로 할 때는 KERNEL32.dll 이기 때문에 다시 수정해서 진행했다.

( 반드시 PE구조를 살펴본 후 진행하도록 하자 )

 

 

코드에 대한 설명은 이전 포스팅을 참고하도록 하자.

 

[Reversing] x64 IAT Hooking을 이용한 API Hooking (C언어)

 

ch4njun.tistory.com

 

 

 

실습

 

당연히 x64 프로그램대상으로 진행하기 때문에 x64 으로 컴파일을 진행한다.

 

반응형

'Reversing > Concept' 카테고리의 다른 글

[Reversing] x64 IAT Hooking을 이용한 API Hooking (C언어)  (0) 2020.04.13
[Reversing] x32 IAT Hooking을 이용한 API Hooking (C언어)  (0) 2020.04.09
[Reversing] x64 Trampoline API Hooking을 이용한 메모장 실습  (0) 2020.03.17
[Reversing] Trampoline API Hooking 전체코드.  (0) 2020.03.14
[Reversing] x86 환경 5Byte 패치를 통한 Trampoline API Hooking  (0) 2020.03.14
반응형
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG
more
«   2024/05   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
글 보관함