바이러스들을 많이 분석해보면 알겠지만 explorer.exe같은 곳에 dll injection을 하는 경우가 허다합니다.
dll injection을 하려면 당연히 dll파일이 존재해야겠지요.
하지만 바이러스들을 보면 exe파일 달랑 하나!
그러면 저 exe파일에서 dll 파일을 Drop시킨 다는 것인데.. 정말 그 큰 파일을 어떻게 Drop시킬지 궁금했었습니다.
하지만 그게 가능하니 바이러스들이 사용하고 있는 점이구요.
그래서 저도 구현을 해보기로 마음을 먹었습니다. 아이디어는 Zero-Day Exploit 코드에서 얻었습니다.
그래서 이제는 dll파일만 만들면 바로 코드에 적용시킬수 있도록 알맞게 코드 변형해주는 자동화된 툴을 만들어서 사용하고있습니다.
이제 제가 만든 DLL을 Drop시키는 영상을 보시겠습니다. 해당 파일의 작동방법은 이렇습니다.
1. exe파일을 실행시킨다.
2. C:\에 Anti_Attach.dll 파일을 Drop시킨다.
3. Drop된 dll파일은 OLLYDBG가 켜지면 OLLYDBG에 Injection된다.
4. dll은 내부적으로 DebugActiveProcess함수를 후킹하면서 나의 프로세스를 Attach하려고 하면 Attach를 막아버린다.
영상을 보시겠습니다. ( Ctrl + 마우스 휠로 브라우져 크기 조절 하시고 보시면 됩니다. )
영상 다운 받기 :
DLL _ Drop.zip
악용 가능성이 충분히 있군요. 다들 바이러스 조심합니다.~!!!
※ 쫌만 생각하면 충분히 구현하실 수 있을 것입니다.
'My Study > Programming&Theory' 카테고리의 다른 글
| BSOD에러 창 띄우기 (2) | 2010.06.04 |
|---|---|
| GFlags를 사용해 힙 영역 문제점 탐지 (0) | 2010.06.01 |
| 소켓 프로그래밍을 이용한 파일 전송 (3) | 2010.05.19 |
| 알약 프로세스 죽이기 (10) | 2010.05.07 |
| 예외처리 메커니즘 (0) | 2010.04.29 |
