함수 후킹을 위해 Windows 페이지 보호 메커니즘을 사용하는 방법에 대해 이야기해 보겠습니다.

요약

Guard Pages는 운영 체제의 메모리 보호 메커니즘으로, 메모리에 대한 불법적인 액세스를 감지하고 방지하는 데 사용됩니다. Windows 운영 체제에서 가드 페이지는 일반적으로 할당되지 않거나 액세스할 수 없는 메모리 페이지 끝에 위치합니다. Guard Pages의 주요 기능은 시스템의 보안을 강화하고 악성 프로그램이나 오류가 메모리에 액세스하는 것을 방지하여 잠재적인 위험과 보안 취약성으로부터 시스템을 보호하는 것입니다. Guard Pages를 사용하면 운영 체제는 메모리에 대한 불법적인 작업을 신속하게 발견하고 방지하여 시스템의 안정성과 보안을 보장할 수 있습니다.

프로그램이 가드 페이지에 액세스하려고 하면 운영 체제는 즉시 예외(일반적으로 액세스 위반 예외)를 인식하고 트리거합니다. 이 예외가 생성되면 프로그램이 적시에 메모리 액세스 오류를 감지한 다음 프로그램 종료 또는 오류 정보 기록과 같은 적절한 조치를 취하여 잠재적인 보안 취약점이 악용되는 것을 방지하는 데 도움이 됩니다. 이러한 방식으로 시스템은 메모리 액세스에 대한 제어를 유지하고 프로그램 작동의 안정성과 보안을 보장할 수 있습니다. 가드 페이지 설정은 시스템에 메모리 액세스를 모니터링하고 보호하는 효과적인 메커니즘을 제공하므로 잠재적인 문제를 적시에 발견하고 처리할 수 있어 시스템의 안정성과 보안이 향상됩니다. 예외 트리거링을 통해 프로그램은 오류 발생 시 신속하게 대응할 수 있어 심각한 결과를 초래할 수 있는 메모리 액세스 문제를 효과적으로 방지할 수 있습니다.

Guard Pages는 특정 메모리 영역에 대한 액세스를 모니터링하고 차단하기 위해 Windows Hooking에서 널리 사용됩니다. 이 기술을 통해 시스템 기능을 수정하거나 모니터링할 수 있어 소프트웨어 디버깅, 보안 연구, 악성 코드 분석 등의 영역에 대한 강력한 지원을 제공합니다. Guard Pages는 보호된 메모리에 대한 액세스를 감지하고 액세스가 발생할 때 적절한 핸들러를 트리거하는 기능을 갖추고 있습니다. 이 메커니즘은 무단 액세스 및 잠재적인 보안 취약성으로부터 중요한 데이터나 코드를 보호하는 데 유용합니다. 가드 페이지를 적절하게 구성하면 시스템의 보안과 안정성을 향상하고 시스템을 보장할 수 있습니다

구현 과정

전체 코드는 다음과 같습니다.

으아악

헤더 파일 부분:

코드는 각각 Windows API 및 표준 I/O 작업에 대한 기능과 정의를 제공하는 및 를 포함하여 필요한 헤더 파일을 포함하는 것으로 시작됩니다.

후크 기능:

이 코드는 Windows 애플리케이션에서 스레드를 생성하는 CreateThread API 함수를 가로채는 데 사용되는 후크 함수 후크를 정의합니다. 후크 기능 내에는 CreateThread 함수 호출을 요청하고 후크되었음을 나타내는 두 개의 메시지 상자가 표시됩니다. 이 코드에서는 원래 CreateThread 함수가 실제로 호출되지 않고 가로채어진다는 점에 유의해야 합니다.

예외 처리

AddVectoredExceptionHandler를 사용하여 핸들러 함수를 정의하고 예외 핸들러로 설정합니다. 이 함수는 예외, 특히 보호된 메모리 페이지에서 코드를 실행하려고 할 때 발생하는 예외인 STATUS_GUARD_PAGE_VIOLATION을 처리하도록 설계되었습니다. 예외 코드가 STATUS_GUARD_PAGE_VIOLATION이고 명령 포인터(Rip)가 CreateThread 함수를 가리키는 경우 메시지를 표시하고 후크 함수를 가리키도록 Rip을 수정합니다. CreateThread 함수를 호출하려는 모든 시도는 후크 함수로 리디렉션됩니다.

주요 기능

메인 함수 내부에는 old 변수가 선언되어 있지만 사용되지는 않습니다. param 변수를 5000으로 설정하고 AddVectoredExceptionHandler 함수를 호출하여 핸들러 함수를 예외 핸들러로 등록합니다. VirtualProtect를 사용하여 CreateThread 함수에 가드 페이지를 설정하십시오. 실행하려고 하면 핸들러 기능이 트리거됩니다. printf를 사용하면 CreateThread 함수의 주소가 표시됩니다. CreateThread를 사용하여 새 스레드가 생성되지만 스레드가 5000밀리초 동안 휴면 상태에 있기 때문에 실제 용도로 사용되지 않는 것 같습니다. 스레드가 끝날 때까지 기다린 후 "YEP!"을 인쇄합니다.

테스트

코드를 컴파일하고 실행하면 효과는 다음과 같습니다.

사진

위 내용은 함수 후킹을 위해 Windows 페이지 보호 메커니즘을 사용하는 방법에 대해 이야기해 보겠습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!