모해요

리버스 코드 엔지니어리버싱 도구 종류disassemblerdebugger - PE, script...development tool - assembly, c/c++ ...editor(viewer) - text, hex, resource, registry, string, PE ...monitoring tool - process, file, registry, network, message ...memory dumpclassifiercalculator - hex, binarycompare tool - text, hexpacker/unpackerencoder/decodervirtual machinedecompiler - C, VB, Delphi ...emulator 좋은 분석 도구 선택의 다섯 가지 기준도구 개수..

후킹 대상 API 후킹 대상이 되는 API는 주로 프로세스의 동작을 제어하거나 모니터링하는 데 사용됨. 예를 들어, wininet.dll의 InternetConnectW() API는 인터넷 연결을 설정하는 데 사용되며, 이를 후킹함으로써 특정 사이트로의 접속을 가로채거나 리디렉션할 수 있음. 또한, ntdll.dll의 ZwResumeThread()는 스레드를 재개하는 함수로, 이를 후킹하여 프로세스의 실행 흐름을 제어하거나 악성 스레드의 행동을 조작할 수 있음. 이러한 API 후킹을 통해 특정 웹사이트 접속을 차단하거나 리디렉션하고, 접속 관련 정보를 수집하는 등의 작업을 할 수 있음. IE 접속 제어의 경우, wininet.dll의 InternetConnectW()와 ntdll.dll의 ZwResume..

API코드 패치는 프로세스 메모리에 로딩된 라이브러리 이미지에서 후킹을원하는 API 코드 자체를 수정하는 방법API코드 패치는 프로세스 메모리에 로딩된 라이브러리 이미지에서 후킹을원하는 API 코드 자체를 수정하는 방법임API 후킹에서 가장 널리 사용되는 방법 왤까.. 대부분의 API를 후킹할 수 있으니까  API 후킹과 프로세스 은닉API 후킹의 기본API 후킹은 시스템 API 호출을 가로채 동작을 변조하거나 데이터를 필터링하는 기술이다.운영 체제는 API를 통해 시스템 정보를 제공하며, 후킹 기술을 사용하면 이러한 정보의 결과를 조작할 수 있다.ZwQuerySystemInformation API 후킹ZwQuerySystemInformation API는 시스템의 프로세스 정보를 반환하는 데 사용되는 대..