API Hooking

📌 API Hooking이란?

Win32 API를 후킹하는 기술을 API 후킹이라고 한다.
= Win32 API 호출을 중간에서 가로채서 제어권을 획득하는 것

📢 API이란?

사용자 애플리케이션이 시스템 커널에 접근을 요청하기 위한 방법, Windows에서는 Win32 API를 제공한다.

📢 정상 API 호출 vs Hooking API 호출

정상적인 호출은 API를 호출하면 그 API가 담겨 있는 DLL에서 API가 호출된다.

Hooking API 호출은 DLL Injection 기술로 hook.dll을 프로세스 메모리 공간에 삽입한다. 그리고 kernel32!CreateFile()를 hook!MyCreateFile()로 후킹하였다. 이렇게 되면 CreateFile API를 실행할 때마다 MyCreateFile이 실행된다.

---

📌 API Hooking Tech Map

📢 Static vs Dynamic

Static	Dynamic
파일	메모리
프로그램 실행 전	프로그램 실행 후
최초 한 번	실행될 때마다
특수한 상황	일반적인 경우
Unhook 불가능	프로그램 실행 중에 Unhook 가능

Hooking 방식에 따른 분류로 작업 대상에 따라 Static 방식과 Dynamic 방식으로 나눌 수 있다. 참고로 Static 방식은 API Hooking 방식에서 잘 쓰이지 않는다고 한다.

📢 Location

공략 위치를 의미한다.
1. IAT

• IAT에 있는 API 주소를 후킹 함수 주소로 변경하는 방법
• 장점 : 단순하며 쉽게 구현 할 수 있다.
• 단점 : IAT에 없는 프로그램에서 사용되는 API들에 대해서는 후킹 할 수 없다. (= DLL을 동적으로 로딩하는 경우)

2. Code
   • API의 실제 주소를 찾아 코드를 직접 수정하는 방법
3. EAT
   • EAT에 기록된 API 시작 주소를 후킹 함수 주소로 변경하는 방법

📢 Technique

구체적인 기법을 의미한다.
1. Debug

• 디버거는 디버기에 모든 권한을 가지고 있기 때문에, 디버기의 모든 프로세스 메모리에 후킹 함수를 자유롭게 설치할 수 있다.
• 자동화 스크립트를 사용하여 API Hooking을 자동화하는 방법도 있지만, 디버거에 대한 지식과 안정적인 동작을 위한 많은 테스트가 요구된다.

2. Injection
   1. DLL Injection
      • 인젝션 할 DLL에 미리 후킹 코드와 설치 코드를 만들고 DllMain 함수에서 설치 코드를 호출하면, 인젝션되는 순간 Hooking 완료
   2. Code Injection
      • 실행 코드와 데이터만 인젝션된 상태에서 자신이 필요한 API 주소를 직접 구해서 사용해야 한다.