'2011/05'에 해당되는 글 2건

  1. 2011.05.28 flower
  2. 2011.05.17 __ClientLoadLibrary

flower

Snap 2011. 5. 28. 19:45


Posted by hazeyun

댓글을 달아 주세요

KernelCallbackTable에 존재하는 __ClientLoadLibrary의 경우
SetWindowsHookEx를 이용한 dll injection시 호출되어지고
내부에서 LoadLibraryExW를 호출하여 dll를 로드하게 되어있다.

SetWindowsHookEx를 통한 dll인젝션 차단의 경우 LoadLibraryExW를 모니터링 하여
user32에서 호출되었는지 확인하는 것으로 차단할 수 있다고
많은 블로그들에 나와있는 이유가 여기에 있다.

Posted by hazeyun

댓글을 달아 주세요