1586,

41/80

Feverbear

http://www.twitter.com/yss21Hk

해킹기법들의 기본적인 개념::IPC 스니핑(IPC Sniffing),코드패치(Code patch)편.

http://www.hackerschool.org/HS_Boards/zboard.php?desc=desc&no=1548 [복사]

1.IPC스니핑(IPC Sniffing)

전편에 잠깐 언급했지만

통신환경에서 패킷을 가로채서 그 내용을 훔쳐보는 행위를 스니핑이라고 하는데,

이와 동일한 방법을 IPC(Inter-Process communications)에 적용해서

프로그램을 구성하고있는 프로세스들 사이의 중요한 데이터 교환을 확인할수있습니다

프로세스 사이에 데이터를 교환하기 위해서 사용되는 IPC 방법들은 상당히 다양하게

존재합니다.원격지의 PC와 통신하기 위해서 사용하는 소켓이 IPC에 사용될수있고

단순하게 클립보드도 IPC방법으로 사용됩니다.

이 외에도 파이프,com,RPC,DDE,WM_COPYDATA 메시지 등이 있습니다.

프로세스의 IPC방법에 따라서 다양한 접근방법이 있는데, IPC를 위해서

가장 많이 사용되는 방법이 파일 매핑(file mapping)입니다.

파일 매핑은 디스크에 존재하는 파일의 일부분을 프로세스의 가상 주소 공간으로

연결하는 작업을 수행합니다.

가장 큰 장점은 파일의 전체를 메모리에 올리는 방식이 아니라,사용되는

영역만 메모리에 올리고 사용되지 않는 영역은 디스크로 내리는 스왑(Swap)과정이

시스템에 의해서 이루어 진다는 것이다. PE파일 구조를 가지고 있는 실행파일(exe,

dll)과 스와프파일(swap file)로 불리는 시스템페이징파일이 이렇게 동작합니다.

사용자는 파일매핑을 생성 할 수 있으며 생성된 커널 객체를 통해서 접근하게됩니다.

2.코드패치(Code patch)

코드패치란 정상적인 명령어를 수정해서 원래의 구현에서는 발생할수없는

동작을 수행하도록 하는 방법입니당.

쉽게 말해서 실행 코드를 수정하는 것을 뜻하며

넓은 의미로 API후킹을 수행하기 위해서 API내부의 명령어를 수정하는 방법등도

코드패치의 확장이라고 볼수있습니다.

코드패치를 수행할 대상의 위치에 따라서 두가지 접근 방법이 있씁니다.

흔히 크랙으로 불리는 방법으로 디스크에 존재하는 파일의 코드를

직접 수정하는 방법과 실행시점에 메모리에 올라오는 모듈의 이미지의 코드를

수정하는 방법이 있습니다.

Hit : 8251 Date : 2010/08/28 03:49