Tag Archives: 커널 모드 후킹 ssdt 후킹

커널 모드 후킹 – SSDT 후킹

커널 모드 후킹 – SSDT 후킹 SSDT 후킹 역시 위 엔프로텍트를 이용하여 진행해 보도록 하겠다. 그럼 바로 분석에 들어가자. // 먼저 SSDT의 주소를 확인하기 위해 KeServiceDescriptorTable를 확인하자. 첫번째 메모리 주소가 SSDT는 위치이다. kd> dd KeServiceDescriptorTable 8055c220 804e46a8 00000000 0000011c 80512088 8055c230 00000000 00000000 00000000 00000000 8055c240 00000000 00000000 00000000 00000000 8055c250 00000000 00000000 00000000 00000000

Read More

커널 모드 후킹 – IRP 후킹

여기서는 현재 후킹이 되어 있는 상황에서 후킹을 확인하고 이를 해제하는 방법에 대해 진행하도록 하겠다. 커널 후킹 드라이버 코드를 내장하기에는 디바이스 개발도 필요한 부분으로, 이 영역을 추가하기에는 조금 무리가 있어 보인다. 그럼 IRP 후킹에 대해 분석을 진행해보자. 그럼 테스트를 위한 백신을 하나 설치해 보자. 이 책에서는 엔프로텍트(nProtect)에서 제공하는 게임 가드를 통해 진행하였다. 백신에 대한 취약점이 있는

Read More