Hỏi về Dll injection và API hook

lelelov3

W-------
11/03/2015
4
33 bài viết
Hỏi về Dll injection và API hook
Cho mình hỏi đây là 2 quá trình tách biệt hay nối tiếp nhau: tức là phải có Dll injection mới có API hook. Dll injection mình đã tạm hiểu, còn API hook hãy còn mù mờ. Vậy API hook chính xác là gì ạ, bạn nào có thể giải thích cho mình với
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
API hook chuẩn hơn được gọi là IAT hook được hiểu là: Tìm địa chỉ một hàm của một tiến trình và chuyển hướng đến code của mình.
Một ví dụ: Hook hàm CreateFile trong explorer.exe: Thì cần tìm được địa chỉ hàm CreateFile trong tiến trình explorer. Cần chèn được code của mình vào một vùng nhớ trong explorer và chuyển địa chỉ hàm CreateFile sang vùng code của mình
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
API hook chuẩn hơn được gọi là IAT hook được hiểu là: Tìm địa chỉ một hàm của một tiến trình và chuyển hướng đến code của mình.
Một ví dụ: Hook hàm CreateFile trong explorer.exe: Thì cần tìm được địa chỉ hàm CreateFile trong tiến trình explorer. Cần chèn được code của mình vào một vùng nhớ trong explorer và chuyển địa chỉ hàm CreateFile sang vùng code của mình
Mục đích của nó là gì bạn, VD như malware cũng hay sử dụng API hook
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mã độc thì sử dụng rất nhiều cách: DLL cũng có, IAT cũng có..., thường thì DLL dễ code hơn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
API hook chuẩn hơn được gọi là IAT hook được hiểu là: Tìm địa chỉ một hàm của một tiến trình và chuyển hướng đến code của mình.
Một ví dụ: Hook hàm CreateFile trong explorer.exe: Thì cần tìm được địa chỉ hàm CreateFile trong tiến trình explorer. Cần chèn được code của mình vào một vùng nhớ trong explorer và chuyển địa chỉ hàm CreateFile sang vùng code của mình
Ý là mình hỏi mục trên, sử dụng hàm được hook để làm gì, bạn có thể cho VD cụ thể
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Ý là mình hỏi mục trên, sử dụng hàm được hook để làm gì, bạn có thể cho VD cụ thể
Hook đối với mã độc thì nhiều mục đích lắm.
Ví dụ 1: Hook MSG windows để keylogger chẳng hạn
VÍ dụ 2 Hook IAT: Virus lây file dùng hook IAT để hook vào Explorer.exe để biết được đang copy file nào để lây nhiễm vào file đó....
Ví dụ 3: Hook DLL: tấn APT rất hay sử dụng ẩn giấu dưới dạng phần mềm hợp pháp như các phần mềm AV...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Comment
Bên trên