DLL 9

DLL 시리즈 #7 NONAME을 이용한 CLASS 포인터 반환

NONAME을 이용한 CLASS 포인터 반환 1. NONAME을 이용한 CLASS 포인터 반환 개념 NONAME 기술을 이용해 DLL에서 클래스를 반환하는 방법은 함수 이름 대신 Ordinal을 사용하여 클래스를 생성하고, 그 포인터를 반환하는 방식입니다. 이 방법은 DLL 내에서 객체의 포인터를 외부로 안전하게 전달하며, 보안을 강화할 수 있습니다. 특히, 메모리 관리 측면에서 클래스 객체의 할당과 해제를 모두 DLL에서 처리해야 안전하게 사용할 수 있습니다. 2. DLL 클래스 포인터 반환 구조 DLL 내에서 클래스 객체를 생성하고, 그 포인터를 반환합니다. NONAME 방식으로 함수 이름을 숨기고, 외부에..

개발/윈도우 2024.09.12

DLL 시리즈 #6 EXPORT NONAME 방법

DLL EXPORT 방법 중 NONAME 기술 1. NONAME 기술이란? NONAME 기술은 DLL에서 함수나 변수를 이름 대신 번호(ordinal)로 export하는 방식입니다. 이 방법을 사용하면 DLL 크기를 줄이고, 보안을 강화할 수 있지만, 사용성과 유지보수 측면에서 어려움이 있을 수 있습니다. 2. NONAME 기술의 장점 DLL 크기 감소: 함수 이름을 저장할 필요가 없기 때문에, DLL 파일의 크기가 조금 줄어듭니다. 대규모 API나 많은 함수가 있는 DLL에서 유리합니다. 보안 강화: 함수 이름이 노출되지 않으므로, 공격자가 함수 이름을 기반으로 공격하는 것을 어렵게 만들 수 있습니다. DLL의 API가..

개발/윈도우 2024.09.12

DLL 시리즈 #5 DLL EXPORT 취약점(후킹)

DLL EXPORT의 문제점 (후킹에 대한 위험) 1. 후킹(Hooking)이란? 후킹은 운영 체제나 프로그램의 API 호출 흐름을 가로채는 기술로, 특정 함수 호출이나 메시지 처리를 가로채어 조작하거나 다른 기능을 수행하도록 할 수 있습니다. 후킹은 프로그램의 정상적인 흐름을 변경해 악성 코드를 실행하거나 데이터를 탈취하는 등 여러 가지 보안 위협을 일으킬 수 있습니다. API 후킹: 프로그램이 호출하는 API 주소를 변경해 공격자가 원하는 코드가 실행되도록 하는 방법. DLL 후킹: DLL의 함수 호출을 가로채는 방식으로, 프로그램이 DLL 내 특정 함수를 호출할 때 이를 가로채 공격자의 코드를 실행하도록 유도. ..

개발/윈도우 2024.09.12

DLL 시리즈 #4 위성 DLL 취약점

위성 DLL 로드 취약점 1. 위성 DLL 로드 취약점이란? 위성 DLL 로드 취약점(Satellite DLL Load Vulnerability)은 응용 프로그램이 특정 언어 리소스나 플러그인과 같은 위성 DLL을 로드할 때 발생할 수 있는 보안 문제입니다. 위성 DLL은 프로그램의 실행 파일과 같은 경로에 있거나, 특정 경로에서 로드됩니다. 이 취약점을 악용하면, 공격자는 악성 DLL을 시스템에 배치하여 응용 프로그램이 이를 로드하게 만들 수 있습니다. 2. 위성 DLL 로드 취약점의 유형 DLL 하이재킹(DLL Hijacking): 프로그램이 특정 DLL을 로드할 때, 시스템의 경로 탐색 순서에 따라 악성 D..

개발/윈도우 2024.09.12

DLL 시리즈 #3 명시적(동적)링크 의 문제점

동적 링크에 대한 문제점1. DLL 지옥 (DLL Hell)DLL Hell은 여러 응용 프로그램이 동일한 DLL을 공유할 때 발생하는 문제입니다. 주로 다음과 같은 경우에 발생합니다:버전 충돌: 응용 프로그램이 특정 버전의 DLL을 요구하지만, 다른 응용 프로그램에서 DLL을 업데이트하거나 덮어씌우면 기존 프로그램이 비정상적으로 동작하거나 충돌할 수 있습니다.의존성 관리 문제: 응용 프로그램이 실행되기 위해 필요한 모든 DLL을 정확히 찾지 못하거나 누락된 경우, 프로그램이 정상적으로 실행되지 않을 수 있습니다.2. 보안 문제DLL 하이재킹 (DLL Hijacking): 시스템이 DLL을 로드할 때, 의도된 DLL이 아닌 악성 DLL이 먼저 로드될 수 있습니다. 공격자는 악성 DLL을 시스템 경로에 배치..

개발/윈도우 2024.09.12

DLL 시리즈 #2 명시적 연결 vs 묵시적 연결

DLL 명시적 연결 vs 묵시적 연결1. 묵시적 연결 (Implicit Linking)묵시적 연결은 프로그램이 실행될 때, 자동으로 DLL이 로드되는 방식입니다. 즉, 프로그램 시작 시 필요한 모든 DLL이 자동으로 메모리에 로드됩니다. 이를 위해서는 컴파일 시점에 DLL의 함수 시그니처가 필요하며, .lib 파일을 링크해야 합니다.묵시적 연결 코드 예시// main.cpp#include #include "MyDLL.h" // DLL에서 제공하는 헤더 파일int main() { // 묵시적 연결로 DLL의 함수를 호출 int count = GetCount(); std::cout 2. 명시적 연결 (Explicit Linking)명시적 연결은 프로그램이 실행된 후에, 필요할 때 DLL을 동..

개발/윈도우 2024.09.12

DLL 시리즈 #1 개념

1. DLL이란?DLL (Dynamic Link Library)의 정의DLL(동적 링크 라이브러리)은 프로그램이 실행되는 동안 동적으로 로드되어 사용할 수 있는 코드, 데이터, 또는 리소스 집합을 담고 있는 파일입니다. 여러 프로그램에서 공통으로 사용하는 기능을 제공할 수 있도록 설계되었으며, 특정 응용 프로그램이나 프로세스에서 필요할 때만 로드되어 메모리 효율을 높일 수 있습니다. 일반적으로 .dll 확장자를 가지며, Windows 운영 체제에서 주로 사용됩니다.DLL의 주요 특징코드의 재사용성: DLL을 사용하면 여러 프로그램이 동일한 기능을 공유하고, 중복된 코드를 여러 번 작성할 필요가 없습니다. 예를 들어, 동일한 기능을 제공하는 코드가 여러 응용 프로그램에 필요하다면, 해당 코드를 각각의 프로..

개발/윈도우 2024.09.12

DLL INJECTION

DLL 인젝션(DLL Injection)은 다른 프로세스의 주소 공간에 동적으로 라이브러리(DLL 파일)를 삽입하는 기술입니다. 이 방법은 주로 소프트웨어 개발과 디버깅, 리버스 엔지니어링, 또는 때때로 보안 테스트에 사용됩니다. 하지만, 악의적 목적으로 사용될 수도 있기 때문에 책임감 있는 사용이 중요합니다.DLL 인젝션의 기본 원리DLL 인젝션을 수행하는 과정은 일반적으로 다음 단계를 포함합니다:대상 프로세스 식별: 인젝션을 수행할 프로세스의 식별자(Process ID, PID)를 얻습니다.메모리 할당: 대상 프로세스의 주소 공간에 새로운 메모리를 할당합니다. 이 메모리는 DLL 경로를 저장하는 데 사용됩니다.DLL 경로 작성: 할당된 메모리에 DLL의 경로를 씁니다.리모트 스레드 생성: Create..

개발/윈도우 2024.04.22
반응형