저별이의 초보 코딩

*아래 내용은 동아리 활동으로서 정리한 것이므로 코드 역시 제공받아 사용하였습니다.*

*배운 것을 바탕으로 정리한 것이므로 오류가 있을 수도 있습니다.*

*사진이 파일에 있는데 복사가 안되어 단순히 글로만 설명합니다.*

후킹?

다른 프로세스에 걸려 해당 프로세스의 정보를 얻어오거나 변경하는 기술. 한마디로 도청이라고 할 수 있다

키보드 후킹?

키보드로 치는 것을 가져오거나 변경하는 악성 코드 ==> 개인 정보 탈취 가능

이를 위한 프로그램

ollydbg, PEview, IDA free, Process Explorer, visual Studio c++

-키보드 후킹 정식 실습-

visual studio c++을 이용한 실습

HookMain과 keyhook에 대한 코드를 먼저 받아서 솔루션에 각각 만들어준다.

HookMain은 c++ 프로젝트로 생성, keyhook의 경우에는 dll로 반드시 만들어주어야한다.

--------------------------------

생성을 한 후 메모장을 연다.

파일을 실행 시키지 않은 채로 메모장의 상태는 정상적으로 입력이 된다.

만약 파일을 실행시키고 메모장을 써보게 되면 더이상 메모장에 입력이 되지 않는 다는 것을 활용할 수 있다.

왜 실행이 안될까?

HookMain이 실행되어 keyhook가 연동이 되었고 결과적으로 메모장을 실행 시켰을 때 입력을 막는다

이제 Hookmain.exe를 이용해서 실행을 해보자

이건 visual studio가 안됐을 경우때문에 제공받은 것인데 똑같은지 확인하기 위해서 진행하였다.

역시나 visual studio와 같은 결과를 도출하는 것을 확인할 수 있다.

이제 본격적인 분석 과정을 진행해보자

다양한 방식으로 확인을 진행하였는데 첫번째로 진행한 것은 Process Explorer을 이용하였다.

1. Process Explorer을 이용한 확인

Hookmain.exe 파일을 실행하고 process Explorer을 열어보았다. 잘 찾아보면 Hookmain.exe 파일이 실행되고 있다는 것을 확인 가능하다.

그리고 여기에 연결되어있는 keyhook를 확인 해보면 된다. 클릭을 해서 이제 창을 아래에 볼 수 있는데 여기서 keyhook.dll이 있는 것을 확인할 수 있다. 이 방식을 통해 keyhook와 hookmain이 연결되어 있는 것을 확인하는 것이다.

두번째로는 ollydbg를 이용해서 확인할 수 있다.

2. ollydbg를 이용한 확인

ollydbg에서 한번 확인해보자

파일 열기를 통해 Hookmain.exe을 열어준 후에 option-debugging options- events를 누르게 되면 ‘break on new module’이라는 글자를 발견할 수 있다. 이것을 체크하고 확인을 눌러준다. 이후 F9키를 연달아 누르면서 keyhook를 확인하다보면 dll이 어디있는지 확인이 가능하다. 내기준으로는 10001587에 있는 것처럼 보였다.

세번째로는 IDA free를 이용하였다. 이 프로그램은 어떻게 연결 구성이 되어있는지 보기 쉽게 되어있다고 하였다.

3. IDA free를 이용한 확인

IDA free를 이용해서 확인해보고자 한다.

이렇게 파일을 열면 뜨게 되는데 dll파일형태인 keyhook를 찾아보자

너무 많은 정보들이 있으므로 한눈에 찾기 어렵다. 그래서 text search 기능을 이용하였다. search에 dll를 입력해서 검색을 해보면 결과적으로 두개의 주소가 있는 것으로 보인다. 그래서 여기서 하나를 클릭해보면 dll이 있는 구성을 발견하게 되고 여러가지를 볼 수 있다.

여기서 keyhook.dll파일이 구성되어 있다는 것을 확인할 수 있다.

여기까지가 동아리 악성코드 실습의 첫번째를 완성하였다. 키후킹이기도 하고 처음 하는 것이기 때문에 여러프로그램을 통해 볼 수 있다는 사실과 한개의 결과를 여러번 확인할 수 있었다. 컴퓨터에서 exe를 할때 키후킹 걸릴때마다 계속 응답없음이 떠서 종료와 실행을 반복하긴 했지만 그래도 결과적으로는 한번씩 해볼 수 있었다.  조금 어렵긴 하다. 전공생이 아니라 구체적으로 배우지 않았기 때문이다. 그래도 첫번째 것은 어려운 것은 아니여서 할만했던 것 같다. 앞으로도 이렇게 꾸준히 해야겠다. 필요한 것은 검색하면서!!!!

이 내용들에 대해서 부족한 사진과 관련해서는 메일로 별도로 알리는게 좋을 것 같다. 코드내용들도 있고 내 개인정보도 있기 때문이다. abby0616@naver.com 으로 메일을 주면 간단하게라도 답해줄 수 있을 것이라고 생각한다. 자세하게는 잘 모르지만.....

다음 악성코드 포스팅은 2주차로 진행했던 스파이웨어-keylogger을 포스팅하도록 하겠다.