후킹에 대한 방어전략이 있을까요?

질문 게시판

후킹에 대한 방어전략이 있을까요?

1 hoddding 4 3677 2020.07.22 17:00

작동방식을 확인해보면
찾고자 하는 주소값의 opcode를 변경하여 원하는 값으로 설정하는것으로 보이는데요
혹시 이러한 경우를 예상하고 방어를 하는 코딩방식이 있을까요?

(아직 구조를 완벽하게 이해를 못해서 제대로 설명을 하지 못해 죄송합니다.ㅠㅠ)

4 Comments

2 charlie 2020.07.22 22:46

코드 영역에 대한 무결성 검증을 해도 될 것 같고, frida나 xposed 같이 많이 사용하는 프로세스 탐지 등이 있을 것 같네용.

1 hoddding 2020.07.22 23:03

답변 감사합니다 ^^
코드 영역에 대한 무결성 검증이라 하면 특정 함수나 변수 단위에서의 검증을 말씀하시는건가요?

1 CORSE 2020.09.11 00:43

코드 영역에 대한 무결성 검증이라하는것은 특정 함수에 대한 OP CODE에 대한 CRC를 검증하는것입니다.
GetMoney라는 함수가 있다고 가정을한다면
해당 함수가 후킹이 되지 않은 상태라면 당연히 EP나 RET 부분에 후킹을 목적으로하는 JMP OP CODE가 없을것입니다.

근데 후킹을 해버리면 해당 함수의 EP, RET부분에 JMP코드가 새로 쓰여집니다. 이걸 이용해서 OP CODE에 대해 CRC(무결성)검증을 하는것입니다.

1 CORSE 2020.09.11 00:44

무결성 검증을 하는 부분은 실행압축 기법을 사용해서 숨겨놔야할것입니다.

로그인한 회원만 댓글 등록이 가능합니다.

이전 다음 목록