악성코드분석소

  • 홈
  • 태그
  • 방명록

DLL 하이재킹 2

Proxy DLL Hijacking for kernel32.dll 삽질

서론 특정 바이너리에서 무조건 kernel32.dll을 로드할 것이고, kernel32.dll에 있는 함수들 중 createfile을 후킹한 후 나머지 함수들은 래핑하는 라이브러리를 만들고자 했다. Windows Dll Search Order에 따라 가능한 얘기인 줄 알았는데, kerenel32 하이재킹은 Dll search order이랑 거리가 먼 얘기였다. 암튼 이러한 삽질을 하면서 배운 내용들을 써본다. [*] Proxy Hijacking이란? 우리는 사용자가 원하는 특정 함수를 후킹해준다. 예를들어 사용자가 Kernel32.dll에 있는 'GetStringScripts'함수를 후킹하고싶다고 가정하자. 그러면 우리는 GetStringSciprt함수를 제외한 나머지 함수들을 랩핑만하면 된다. 이렇게 ..

ETC 2021.08.01

DLL Hijacking Concepts of Organizing

https://trustfoundry.net/what-is-dll-hijacking/ What is DLL Hijacking? - TrustFoundry What is DLL Hijacking? DLL Hijacking is a way for attackers to execute unexpected code on your machine. This means that if an attacker can get a file on your machine (by social engineering, remote control, etc.) that file could be executed when the u trustfoundry.net https://itm4n.github.io/windows-dll-hijackin..

ETC 2021.07.22
1
프로필사진

  • 분류 전체보기 (51)
    • Malware (14)
    • WindowsDriver (5)
    • ETC (21)
    • analysis TIP (2)
    • CTF (5)

Tag

악성코드 분석보고서, DLL 하이재킹, LAZARUS MALWARE, NalDrv.sys, 악성코드 분석, hfiref0x, 악성코드, DSE, Atombombing, lazarus, uac bypass, uac-bypass, Driver Signature Enforcement, DLL Hijacking, privilege escalation, Kernel Driver, windbg명령어, 윈도우 드라이버, 필터드라이버, uacbypass,

최근글과 인기글

  • 최근글
  • 인기글

최근댓글

공지사항

페이스북 트위터 플러그인

  • Facebook
  • Twitter

Archives

Calendar

  2025. 08  
일 월 화 수 목 금 토
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

방문자수Total

  • Today :
  • Yesterday :

Copyright © Kakao Corp. All rights reserved.

티스토리툴바

단축키

내 블로그

내 블로그 - 관리자 홈 전환
Q
Q
새 글 쓰기
W
W

블로그 게시글

글 수정 (권한 있는 경우)
E
E
댓글 영역으로 이동
C
C

모든 영역

이 페이지의 URL 복사
S
S
맨 위로 이동
T
T
티스토리 홈 이동
H
H
단축키 안내
Shift + /
⇧ + /

* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.