| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- IAT Hooking
- apphelp.dll
- 포너블
- 윈도우 커널
- 네트워크 바이트 오더
- C언어 패킷캡쳐
- Windows Kernel Driver
- 해킹
- windows kernel debugging
- 바이트 오더
- 개발 환경 준비
- hacking
- vcruntime.dll
- packet capture
- 개발하기
- Msvcrt.dll
- vcruntime140.dll
- 시스템해킹
- ucrtbase.dll
- Network Byte Order
- pcap packet
- pwnable
- Windows
- arudino
- Windows Kernel Debug
- pcap packet capture
- 윈도우 커널 디버깅
- Windows Kernel
- HackCTF
- 윈도우 커널 드라이버
- Today
- Total
목록2022/04/27 (2)
미친해커
[Reversing] Trampoline(Inline) Hooking x86 Step 0 Trampoline Hooking Trampoline Hooking 이란 타겟 API의 상위 n바이트를 jmp 어셈블리로 패치하여 후킹하는 기법을 말한다. Trampoline Hooking은 x86과 x64에서의 기술 구현 방법이 미세하게 다르다. 그렇기 때.. crazyhacker.tistory.com 저번 포스팅에서 간단히 Trampoline Hooking의 원리에 대해 공부했다. 이번 포스팅부터는 본격적으로 후킹을 하기 위해 사용할 함수들을 알아볼 생각이다. How to get MessageBoxA address #include #include int main(int argc, char *argv[]) { PV..
[Reversing] Trampoline(Inline) Hooking x86 Step 0
Trampoline Hooking Trampoline Hooking 이란 타겟 API의 상위 n바이트를 jmp 어셈블리로 패치하여 후킹하는 기법을 말한다. Trampoline Hooking은 x86과 x64에서의 기술 구현 방법이 미세하게 다르다. 그렇기 때문에 위 설명에서 n바이트라고 하였다. How to Trampoline Hooking from x86 system x86 시스템에서의 후킹 방법은 다음과 같다. 타겟 API의 상위 5바이트를 jmp 어셈블리로 패치하여 후킹한다. 여기서 5바이트인 이유는 x86 시스템은 주소체계가 4바이트이기 때문에 1바이트는 opcode 나머지 4바이트는 점프할 주소이다. (4바이트 jmp 어셈블리의 opcode는 0xE9 이다) 그렇다면 만약 우리가 점프하고 싶은 ..