Immunity Debugger Hard Hooking

일반적으로 hard 후킹하면 다들 생각하고 있는 것이 있죠. 맞습니다.

만약 kernel32.dll의 WinExec 함수를 하드후킹한다면 해당 함수 내부의 코드 5Byte를 jmp코드로 바꾸죠.
그리고 응용 프로그램에서 해당 함수가 호출되면 제가 만든 루틴으로 jmp문을 타고 들어오게 됩니다.
이 때부터 전 파라미터를 조작해버릴수도 있고 리턴 값을 조작해버릴 수도 있습니다.

예전엔 이 과정을 C로 테스팅해보고 실제로 사용도 해봤습니다.
만약 explorer.exe의 LoadLibrary 함수의 파라미터를 모니터링 할 때 순서입니다.

1. LoadLibrary를 하드후킹하는 코드를 작성하고 dll로 만든다.
2. dll injection을 사용해 해당 dll을 explorer.exe 프로세스에 injection한다.
3. 후킹이 성공되고 explorer에서 LoadLibrary가 호출 됬을 때
    dll 내부 Hook루틴에서는 파라미터들 값을 낚아챈다.
4. 낚아챈 값을 파일로 저장하거나 파이프 통신을 사용해 내 프로세스에서 그 결과를 출력한다.

이런식으로 작동하게 되죠.

하지만 이번엔 Immunity Debugger에서 python 스크립트를 사용해 디버깅 중 하드후킹을 수행해 특정 함수의 인자를 모니터링 해보는 것입니다.

 사실 요새 python을 공부해보고 있는 중입니다. 제가 정말 제대로 할줄 아는 언어가 C언어 말고는 없는것 같더군요. 그래서 무언가 하나라도 더 완벽하게 언어를 익히자라는 마음으로 시작해본 것이 python입니다. 제가 처음으로 python을 접해본 것이 wikidocs에서 "점프 투 파이썬" 을 읽어보며 공부했던것 뿐이고 실제로 적용해본 곳은 해킹대회에서 였습니다. 몇몇 해킹대회는 CTF(Capture The Flag) 방식으로 대회가 진행되는데 이때 특정 프로그램(데몬..)을 분석해 취약점을 찾아내고 해당 취약점을 공격하기 위한 payload를 작성해 상대 서버의 쉘을 따내야하는 것입니다. 이 때 payload를 작성 시 C로 하려니까 뭔가 코드 양도 많지고 복잡해지는 것 같더군요. 하지만 python으로 해보니 정말 쉽게 됬다는 것입니다.. 이때는 쫌 해킹대회만을 위한 python을 했지만 이제는 모든 개발을 python으로 해볼 생각입니다. ( C를 버리겠다는건 아니구요.. ㅎ ) 지금도 늦었지만 늦었다고 생각할 때 무언가를 또 시작해봐야겠더군요. 열혈강의 책도 샀구요 ㅠ_ㅠ.. 초보초보.. 앞으로 블로깅을 계속해 프로그래밍 글을 올릴 때면 되도록 python으로 올려야겠습니다.
 C로는 음악 플레이어, ODBC 연동한 관리 시스템, 커널 필터 드라이버를 사용한 키로거, 파일 시스템 필터 드라이버, 각종 해킹대회 문제출제, 간단한 디버거, File Carving Tool, 키젠, 스크린세이버, 바이러스 등등 다 만들어봤지만.. 이제 이런것들을 python으로..하려면..?! ㅠㅠ 언어에 익숙해지면 빨리 해볼수 있겠죠?? ^^? 그날을 꿈꾸며.. 열공하겠습니다.

Immunity Debugger에서는 immlib라는 아주 좋은 라이브러리를 제공해주는데 해당 라이브러리를 사용하면 짧은 코드로 후킹 작업을 할 수 있습니다. 일단 구현은 "파이썬 해킹 프로그래밍" 책을 보면서 구현해 보았고 후킹되는 함수는 달리해보았습니다.
 
 

Immunity Debugger를 보면 아래 command 창이 있습니다. 해당 창에서 windbg 명령어도 사용이 가능하며
위 그림과 같이 ! 를 붙히면 \PyCommands 폴더에 있는 python 스크립트를 실행할 수 있습니다. ( py 빼고 입력 )

이제 ezbeat.py 코드를 보기전에 
후킹 당할 프로그램 코드와 ( C언어 ..-_-; 방금 위에서 말해놓고!! ) 후킹 결과화면을 보겠습니다.
후킹은 WinExec 함수를 후킹하였고 모니터링 할 값은 파라미터 2개와 리턴 값입니다.
 

 

단순히 계산기와 메모장 하나씩 각각 다른 속성으로 띄워주는 프로그램입니다. 

실행 순서
1. 위 프로그램 Immunity Debugger에 붙힘
2. ezbeat.py 실행
3. 프로그램 실행
4. ezbeat.py 실행
5. log창 확인

해당 프로그램을 Immunity Debugger에 붙히고 ezbeat.py를 돌린 후 실행시켜보겠습니다.

성공적으로 후킹이 되었습니다.

log창을 확인 결과입니다.

훅이 2번 걸렸고 각각의 인자들은 저렇습니다.
그런데 첫번째 호출됬을 때 두번째 인자로 SW_NORMAL(0x01) 을 주었는데 왜 0x00으로 나왔냐..라고 궁금해하실 분들도 계실탠데.. 저도 왜 저런가 궁금해서 WinExec 함수 내부를 봐봤더니 

 

저 부분에서 두번째 인자가 1일경우 점프를 하게 되고 "EBP+0xC" 자리에 ESI(0x00) 값으로 채워지는 것을 확인했습니다.
그냥 그런가보다 하고 넘어가주세요...;; 

이제 ezbeat.py 코드를 보겠습니다.
# -*- coding: utf-8 -*- from immlib import * from libhook import * # 후킹하기 위해 해당 함수의 ret 명령의 주소를 찾아준다. def getRet(imm, allocaddr, max_opcodes = 500): addr = allocaddr for a in range(0, max_opcodes): # addr에 있는 값을 디스 어셈, 그 다음에 opCode 클래스에서 get 함수를 사용해 얻는 값은 다음 명령어 값 op = imm.disasmForward( addr , 1 ) # 그 다음 명령어가 "RETN" 인지 체크 if op.getDisasm().find("RETN") != -1: op = imm.disasmBackward( addr, 3) return op.getAddress() # 맞으면 그 주소 리턴 addr = op.getAddress() return 0x00 def main(args): imm = Debugger() Name = "ezbeat" # knowledge DB에서 Name 객체를 얻는다. fast = imm.getKnowledge(Name) # 얻기를 성공하면.. = 이미 후킹이 되어 있다면 if fast: # 후킹 함수가 호출돼 로깅 함수들이 호출되면 로깅 함수는 FastLogHook 객체가 만든 메모리 영역에 로깅한 정보를 저장한다. # 저장된 로깅 정보를 보려면 getAlloLog() 래퍼 함수를 이용. # getAlloLog() 함수는 메모리의 내용을 파싱해 다음과 같은 형태의 파이썬 리스트를 반환 # [(hook_address, (arg1,arg2,argN)), ... ] # list[0][0] => 후킹 된 주소 # list[0][1][0] => arg1 hook_list = fast.getAllLog() # 후킹된 함수의 주소를 얻어옴 FuncRetAddr = imm.getKnowledge("HookFuncNames") count = 0 for a in hook_list: imm.log("WinExec(0x%08x,0x%08x) - ret : 0x%08x" % (hook_list[count][1][0], hook_list[count][1][1], hook_list[count][1][2]), hook_list[count][0]) count += 1 return "[*] Hook hit Num : %d" % len(hook_list) # 실질적인 후킹 설정 작업을 진행하기 전에 디버거를 일시 정지 시킨다. imm.pause() FuncAddr = imm.getAddress("kernel32.WinExec") # 모듈 정보를 얻음 module = imm.getModule("kernel32.dll") # 모듈이 분석되지 않았으면 분석함 if not module.isAnalysed(): imm.analyseCode(module.getCodebase()) FuncRetAddr = getRet(imm,FuncAddr) #imm.log("RET address : 0x%08x" % FuncRetAddr) # knowledge DB에 후킹할 주소를 넣는다. imm.addKnowledge("HookFuncNames", FuncRetAddr) # 이제 실질적인 후킹 설정 작업을 수행한다. stdcall 함수 cdecl은 STDCALL 뺌 fast = STDCALLFastLogHook(imm) imm.log("Logging on WinExec 0x%08x" % FuncRetAddr) fast.logFunction(FuncRetAddr) # 원래의 명령을 점프 코드로 덮음 """ fast.logRegister(register) # 후킹 함수가 호출됐을 때 특정 레지스터의 값을 살펴볼 수 있음 fast.logDirectMemory(address) # 후킹 함수가 호출됐을 때 특정 메모리 주소의 데이터를 살펴볼 때 사용 fast.logBaseDisplacement(register,offset) # 스택의 파라미터 값을 참조하거나 레지스터로부터 특정 오프셋만큼 떨어진 곳의 데이터를 살펴볼 때 사용 """ # ret직전의 부근에서 후킹하기 때문에 EAX에는 리턴 값이 들어가 있고 # 함수 프롤로그는 했지만 JMP문에 의해 LEAVE가 사라져서 에필로그는 실행 안된 상태 fast.logBaseDisplacement("EBP",8) # 첫번째 인자 fast.logBaseDisplacement("EBP",0xC) # 두번째 인자 fast.logRegister("EAX") # 리턴 값 # 후킹 설정 fast.Hook() # 이후에 후킹 결과를 얻기 위해 후킹 객체를 저장한다. imm.addKnowledge(Name, fast, force_add = 1) return "[*] Success Hooked"

주석은 최대한 자세히 달아보았습니다. 
immlib 나 각 라이브러리에 있는 자세한 함수 설명은
http://debugger.immunityinc.com/Documentation/ 

이쪽으로 가시면 더욱 자세히 볼 수 있습니다.

이제 후킹 된 실제 어셈 코드를 봐보도록 하겠습니다. 
WinExec 후킹 전 코드 일부분입니다.

후킹 후 코드 일부분입니다.

잘 비교해 보시면 어떤 부분이 달라졌는지 알 수 있습니다.
원본 코드는 어디로..?;; 일단 JMP문을 따라 들어가보겠습니다.

열심히 분석해서 주석을 달아놨습니다.
즉, 위 코드를 전체적인 그림으로 봐보면

여기서 얻을 인자 같은 것은 python코드를 짜는 사람 마음이기 때문에 후킹 코드와 원하는 값 저장할 크기는 유동적입니다.
그리고 python 코드를 보시면 getAllLog() 함수를 사용해 메모리로부터 값을 가져온다고 했는데 바로
0x00000080위치에서 가져오는 것 입니다. 실제로 저 위치에 있는 리턴 값을 0x64로 바꿔보고 실행해보겠습니다.

그리고 제가 알던 후킹방법하고 다른 점은 JMP로 덮힌 코드를 후킹 코드 내부에서 실행한다는 것입니다.
음... 나머지는.. 다들 알아서 해보시면 알 수 있을 것입니다. 글을 쓰다 잠시.. 정신놓고 어딜 갔다와서 갑자기 이상하네요.ㅠㅠ

Immunity 디버거에서 파이썬을 실행시킬 땐 PyCommand를 사용하는데
PyCommand를 만들 때 기본적인 템플릿이 존재합니다.

첫번째는 파라미터를 받아들이는 main()함수를 정의
두번째는 문자열을 리턴해야 한다는 것

위 코드를 잘보면 main함수의 인자로 받을 수 있게끔 args를 써주었고 리턴도 하고 있는 것을 볼 수 있다.
이것을 잘 응용하면 더욱 편하게 디버깅을 할수 있을 것 같네요..