Dual입니다. :p
http://zap.pe.kr 의
여리님(선경렬)님께서 만든 ksthb를 만들려고
어제부터 계속 고민해서 결국 비슷하게 구현 했습니다. (?)
먼저 ksthb란 무슨 프로그램인지 여리님이 쓰신
설명을 보도록 하죠.
------------------------------------------
이번 자료는 SDT에 관련된 기존 커널 해킹 문서들이 잘못되었음을 지적하고자 하여 만든 툴입니다. 정확히 말해 KiServiceTable 후킹에 관한 문서인데, 문서대로 하자면 서비스 테이블의 Entry를 수정함으로서 이 서비스를 요청하는 모든 스레드의 동작을 후킹할 수 있습니다. 하지만 이것이 성립하기 위해서는, 모든 스레드가 이 서비스 테이블을 사용해야 한다는 전제가 뒤따라야 하는데, 실제로 테스트 해 본 결과 이것은 임의로 수정이 가능했습니다. 즉, 스레드가 사용하는 SDT와 KiServiceTable을 임의로 제작된 테이블에 연결시키면 더이상 SDT 후킹은 동작하지 않는 것이죠. ksthb는 이 사실을 실제 확인시켜 주는 툴로, ksthb로 타겟팅된 프로세스가 MemoryDefender에 의해 어떤 영향도 받지 않는 모습을 스샷을 통해 확인 하실수 있습니다. ^^
------------------------------------------
라고 하셨습니다.
대략 정리해보면 KiServiceTable과 SDT를 따로 만들어
그것으로 연결 시키어 두면 기존의 Service Table Hooking이
작동되지 않게 된다 하는 애기입니다.
단 XP에서 밖에 사용할 수 없습니다.
(여기에는 몇가지 이유가 있습니다.)
기능은 ksthb와 100%동일 할겁니다.
재 프로그램은 XP에서만
테스트 되었습니다..
그래도 용량은 기존의 ksthb에 비해 훨씬 작은 편이죠 :p
인터페이스는 GUI입니다.
재 프로그램의 생김새는 대충 다음과 같습니다.
-----------------------------------------------
---------------------------------------------
Process Name에 적용하고자 하는 Process의 이름을
적고 Run 버튼을 누르면 됩니다.
소스 다운로드 :
No hay comentarios:
Publicar un comentario