KernelCallbackTable에 존재하는 __ClientLoadLibrary의 경우
SetWindowsHookEx를 이용한 dll injection시 호출되어지고
내부에서 LoadLibraryExW를 호출하여 dll를 로드하게 되어있다.

SetWindowsHookEx를 통한 dll인젝션 차단의 경우 LoadLibraryExW를 모니터링 하여
user32에서 호출되었는지 확인하는 것으로 차단할 수 있다고
많은 블로그들에 나와있는 이유가 여기에 있다.

Posted by hazeyun
,