Microsoft Word - hook7.doc

Similar documents
Microsoft PowerPoint - 09-CE-5-윈도우 핸들

개요 1. 후킹이란? 후킹의정의.. 2 후킹의종류 2 앞으로 후킹프로그램을위한사전지식들 Window 에서 data 입력과정.. 3 DLL ( Dynamic Link Library ).. 4 메시지후킹을위해필요한지식들 5 3. 후킹프로그램제작에필요한 API

Microsoft Word - hook8.doc

04장 메시지 처리 유형

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft Word - hook3.doc

Microsoft Word - hook5.doc

1장 윈도우 프로그래밍 들어가기

Microsoft Word - hook4.doc

<4D F736F F F696E74202D20C1A63034B0AD202D20C7C1B7B9C0D3B8AEBDBAB3CABFCD20B9ABB9F6C6DBC0D4B7C2>

MFC 프로그래밍

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

Microsoft Word - hook1.doc

UI TASK & KEY EVENT

<4D F736F F F696E74202D203031C0E520C0A9B5B5BFEC20C7C1B7CEB1D7B7A1B9D620B1E2C3CA5FBFB5B3B2C0CCB0F8B4EB205BC8A3C8AF20B8F0B5E55D>

슬라이드 1

Microsoft PowerPoint - 04windows.ppt

A Hierarchical Approach to Interactive Motion Editing for Human-like Figures

Lab 3. 실습문제 (Single linked list)_해답.hwp

Microsoft PowerPoint - chap01-C언어개요.pptx

IS119_Message.Hooking_이성재.hwp

Microsoft PowerPoint - 09-CE-14-리스트콤보박스

PowerPoint 프레젠테이션

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

API 매뉴얼

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Chapter 4. LISTS

학습목표 함수프로시저, 서브프로시저의의미를안다. 매개변수전달방식을학습한다. 함수를이용한프로그래밍한다. 2

Lab 4. 실습문제 (Circular singly linked list)_해답.hwp

var answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");

UI TASK & KEY EVENT

Windows 8에서 BioStar 1 설치하기

5장 MFC기반 다지기

PowerPoint Presentation

금오공대 컴퓨터공학전공 강의자료

PowerPoint Template

슬라이드 1

<33372DC0A9B5B5BFECC7C1B7CEB1D7B7A1B9D62E687770>

Microsoft Word - src.doc

JAVA 프로그래밍실습 실습 1) 실습목표 - 메소드개념이해하기 - 매개변수이해하기 - 새메소드만들기 - Math 클래스의기존메소드이용하기 ( ) 문제 - 직사각형모양의땅이있다. 이땅의둘레, 면적과대각

슬라이드 1

Microsoft PowerPoint - chap06-5 [호환 모드]

윈도우즈 프로그래밍

Microsoft PowerPoint - e pptx

Microsoft PowerPoint - chap13-입출력라이브러리.pptx

Microsoft Word - hook9.doc

<322EBCF8C8AF28BFACBDC0B9AEC1A6292E687770>

System Recovery 사용자 매뉴얼

1

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

11장 포인터

Chapter #01 Subject

Microsoft PowerPoint - hci2-lecture1.ppt

행자부 G4C

Chapter 4. LISTS

윈도우 프로그래밍

DLL(Dynamic Linked Library)

윈도우 프로그래밍의 개념

1

Visual Basic 반복문

PowerPoint Presentation

Microsoft Word - PLC제어응용-2차시.doc

JAVA PROGRAMMING 실습 08.다형성

Convenience Timetable Design

Microsoft PowerPoint - chap06-2pointer.ppt

Install stm32cubemx and st-link utility

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

InsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

4S 1차년도 평가 발표자료

윈도우즈 프로그래밍

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

chap 5: Trees

게임 기획서 표준양식 연구보고서

Frama-C/JESSIS 사용법 소개

Microsoft PowerPoint - ch09 - 연결형리스트, Stack, Queue와 응용 pm0100

ISP and CodeVisionAVR C Compiler.hwp

VISLAB 박제강 1. 시작하기전에영상관련알고리즘을개발하는과정에서작성한프로그램을테스트하고피드백하는작업은빈번하게발생한다. 이때기존콘솔 (Console) 형태로작성된프로그램의경우테스트작업을유동적으로조절할수없기때문에작업의효율이떨어진다. 반면 GUI(Graphical Use

Microsoft PowerPoint - hci2-lecture1.ppt

gnu-lee-oop-kor-lec06-3-chap7

윈도우즈프로그래밍(1)

03_queue

. 스레드 (Thread) 란? 스레드를설명하기전에이글에서언급되는용어들에대하여알아보도록하겠습니다. - 응용프로그램 ( Application ) 사용자에게특정서비스를제공할목적으로구현된응용프로그램을말합니다. - 컴포넌트 ( component ) 어플리케이션을구성하는기능별요

Microsoft PowerPoint - chap03-변수와데이터형.pptx

ActFax 4.31 Local Privilege Escalation Exploit

Secure Programming Lecture1 : Introduction

17장 클래스와 메소드

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

12 강. 문자출력 Direct3D 에서는문자를출력하기위해서 LPD3DXFONT 객체를사용한다 LPD3DXFONT 객체생성과초기화 LPD3DXFONT 객체를생성하고초기화하는함수로 D3DXCreateFont() 가있다. HRESULT D3DXCreateFont

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

BMP 파일 처리

1장. 유닉스 시스템 프로그래밍 개요

DBMS & SQL Server Installation Database Laboratory

UI TASK & KEY EVENT

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

API 매뉴얼

쉽게 풀어쓴 C 프로그래밍

슬라이드 1

Transcription:

개발자를위한윈도우후킹테크닉 WH_SHELL 훅을사용해다른프로세스윈도우서브클래싱하기 Win32 플랫폼에서는컨텍스트문제로다른프로세스에존재하는윈도우를서브클래싱 하기가쉽지않다. WH_CBT 훅과 WH_SHELL 훅을통해서이러한작업을하는방법을 살펴본다. 또한브라우저 URL 하이재커와팝업제거프로그램을만드는방법을살펴본다. 목차 목차...1 필자소개...1 연재가이드... 오류! 책갈피가정의되어있지않습니다. 연재순서... 오류! 책갈피가정의되어있지않습니다. 필자메모...2 Intro...3 다른프로세스윈도우서브클래싱...3 WH_CBT 훅...4 WH_SHELL 훅...6 브라우저 URL 하이재커...8 서브클래싱스택... 13 팝업킬러... 15 도전과제... 16 참고자료... 16 필자소개 신영진 pop@jiniya.net, http://www.jiniya.net " 너는네세상어디에있느냐? 너에게주어진몇몇해가지나고몇몇날이지났는데, 그래너는네세상어디쯤에와있느냐?" 2006 년도이제몇달남지않았다. 후회가되지않는한해를보내기란버그없는프로그램을만드는것만큼힘든일인것같다.

연재가이드 운영체제 : 윈도우 2000/XP 개발도구 : 마이크로소프트비주얼스튜디오 2003 기초지식 : C/C++, Win32 프로그래밍응용분야 : 팝업제거프로그램, 브라우저 URL 하이재커 연재순서 2006. 05 키보드모니터링프로그램만들기 2006. 06 마우스훅을통한화면캡쳐프로그램제작 2006. 07 메시지훅이용한 Spy++ 흉내내기 2006. 08 SendMessage 후킹하기 2006. 09 Spy++ 클론 imspy 제작하기 2006. 10 저널훅을사용한매크로제작 2006. 11 WH_SHELL 훅을사용해다른프로세스윈도우서브클래싱하기 2006. 12 WH_DEBUG 훅을이용한훅탐지방법 2007. 01 OutputDebugString 의동작원리 필자메모 이번달샘플로소개된 URL 하이재커는처음에는 WH_CBT 훅으로작성했다가 WH_SHELL 훅으로변경했다. 훅 DLL 만교체하면되는간단한작업이었다. 그런데신기한것이 WH_SHELL 훅으로변경하고나서 HSHELL_WINDOWCREATED 가전혀호출되지않는것이었다. 필자는몇시간동안모든코드를찍어보면서 WH_SHELL 훅을디버깅했다. 훅 DLL 디버깅과구글검색을반복하기를수시간문제가훅 DLL 에있지않음을알게되었다. 문제의원인은훅프로시저를설치하던메인프로그램의코드에서 WH_CBT 를 WH_SHELL 로고치지않았던것이었다. 필자가최고의디버깅덕목으로여기는것에는두가지가있다. 냉정함과상상력이그것이다. 냉정하게어디서문제가발생했는지상상한다면대부분의문제는쉽게해결된다. 하지만이번사례에서필자는냉정함을잃었고지엽적인문제에집착함으로써결과적으로상당한시간을허비했다. 따라서디버깅을할때에는늘냉정한마음으로문제의원인을분석해야한다. 만약냉정해지기가힘든상황이라면해당문제를잠시잊고휴식을취하는것이좋다. 냉정함을잃은상태에서문제를해결하기는굉장히어렵기때문이다. 2/16 페이지

Intro 윈도우개발자가특정컨트롤의기능을확장시키기위해서가장자주사용하는기술은서브클래싱이다. 주로고객의 UI 욕구를충족시키기위해서이러한기법이많이사용된다. 이미지로된버튼, 이미지가삽입된리스트컨트롤등이대표적인예라할수있겠다. 하지만이러한것들은늘자신의프로그램내에서만동작하도록국한된다. SetWindowLong 을통해서해당윈도우의메시지프로시저를교체하더라도해당프로시저의주소는자신의기준이지다른프로세스의기준이아니기때문이다. 그렇다면다른프로그램의윈도우를서브클래싱할수는없을까? 물론할수있다. 메신저플러스팩등이대표적이라고할수있다. 다른프로세스윈도우서브클래싱 다른프로세스의윈도우를서브클래싱하지못하는가장큰이유는컨텍스트가다르기때문이다. 이문제를해결하기위해서사용되는방법은여러가지가있다. 직접적으로해결하는방법은 Dll injection 을사용하는것이다. 하지만이방법의경우복잡하고생각해야할것이많다. 간단하게는우리가이제껏사용해왔던훅을이용하면된다. 훅을다른스레드에걸경우해당스레드컨텍스트에서훅프로시저가수행되기때문이다. 훅을사용하는방법은두가지단점을가지고있다. 첫째는훅 DLL 이다른컨텍스트에서로드되고해제되는시점이애매모호하다는점이다. 이과정은전적으로시스템에서제어하기때문이다. 둘째는 USER32.DLL 을사용하지않는프로그램들 ( 대표적으로콘솔프로그램 ) 에는사용할수없다는점이다. 우리는서브클래싱을할것이기때문에두번째단점은문제가되지않는다. 또한첫번째단점의경우는 WH_CBT 나 WH_SHELL 훅을사용함으로써어느정도커버가된다. 훅 DLL 은해당훅프로시저가처음으로호출될때로드된다. 키보드훅은해당스레드에서처음으로키보드메시지가발생하는시점에, 마우스훅은해당스레드에서처음으로마우스메시지가발생하는시점에훅 DLL 이해당컨텍스트에서로드된다. WH_CBT 나 WH_SHELL 훅은윈도우의생성 / 소멸 / 활성화등을감지하는역할을하기때문에훅프로시저중에는가장먼저다른프로세스에서로드된다는점이특징이다. 훅 DLL 의로드지연이가장적고윈도우의활동을감시하기때문에서브클래싱에사용하기에가장적합한훅이다. 박스 1 DLL Injection 3/16 페이지

DLL injection 이란 DLL 을다른프로세스의주소공간으로침투시키는방법을말한다. 일반적으로프로그램에서필요한 DLL 을 LoadLibrary 함수를사용해서로드한다. DLL injection 의핵심은다른프로세스에서자신의 DLL 을강제로 LoadLibrary 하도록만드는것이다. 이렇게함으로써해당 DLL 의코드가침투한프로세스와동일한주소공간에서수행되도록할수있다. 실제구현방법이궁금한독자분들은 "Programming Applications for Microsoft Windows" 를참고하도록하자. WH_CBT 훅 WH_CBT 훅은컴퓨터베이스드트레이닝에사용되기위해서고안된훅이다. 이훅의주된역할은윈도우의생성 / 파괴 / 이동 / 활성화등을검사하는일이다. 훅함수의원형은아래와같다. LRESULT CALLBACK CBTProc(int ncode, WPARAM wparam, LPARAM lparam); code [ 입력 ] 훅프로시저가호출된이유를알리는코드값이다 (< 표 1> 을참고 ). 0 보다 작은경우에는훅프로시저를수행하지않고 CallNextHookEx 를호출한후바로리턴해야 한다. 표 1 code 값의의미코드값의미 HCBT_ACTIVATE 윈도우가활성화된경우다. HCBT_CLICKSKIPPED 마우스메시지가시스템메시지에서제거된경우다. 윈도우가생성된경우다. 이훅프로시저는 WM_CREATE, WM_NCCREATE 메시지가윈도우에전달되기이전에호출된다. 훅프로시저에서 0 이아닌값을리턴할경우해당윈도우는생성되지않는다. CreateWindow 함수는 NULL 을리턴한다. 0 을리턴할경우에는정상적으로윈도우가생성된다. HCBT_CREATEWND 이훅프로시저가수행되는시점에윈도우는생성되었으나, 최종크기, 위치, 부모윈도우등은결정되지않은상태다. 이상태에서훅프로시저는해당윈도우로메시지를전송할수있으나, 해당윈도우의 WM_CREATE, WM_NCCREATE 프로시저가아직수행되지않은단계라는것을알아야한다. CBT_CREATEWND 구조체의 hwndinsertafter 값을 4/16 페이지

변경함으로써생성될윈도우의 z-order 를변경할수있다. HCBT_DESTROYWND 윈도우가파괴된경우다. HCBT_KEYSKIPPED 키보드메시지가시스템메시지큐에서제거된경우다. HCBT_MINMAX 윈도우가최소화 / 최대화가된경우다. HCBT_MOVESIZE 윈도우가옮겨지거나크기가변경된경우다. 시스템메시지큐로부터 WM_QUEUESYNC 메시지를 HCBT_QS 전달받은경우다. HCBT_SETFOCUS 윈도우가키보드포커스를가지게된경우다. HCBT_SYSCOMMAND 시스템명령 (WM_SYSCOMMAND) 이수행되는경우다. wparam, lparam code 값에따라서다른값이넘어온다 (< 표 2> 참고 ) 표 2 code 값에따른 wparam 및 lparam 정보 code wparam lparam HCBT_ACTIVATE 활성화된윈도우핸들 CBTACTIVATESTRUCT 구조체포인터 HCBT_CLICKSKIPPED 마우스메시지가제거되었는지를 MOUSEHOOKSTRUCT 구조체나타내는플래그포인터 HCBT_CREATEWND 생성된윈도우핸들 CBT_CREATEWND 구조체포인터 HCBT_DESTROYWND 파괴될윈도우핸들 사용안함 HCBT_KEYSKIPPED 가상키코드 WM_KEYDOWN, WM_KEYUP 메시지의 lparam 값 ( 반복횟수, 스캔코드등을포함 ) HCBT_MINMAX 최대 / 최소화된윈도우핸들 하위워드는 ShowWindow 플래그가저장되어있다 (SW_SHOW, SW_HIDE 등 ). 상위워드는사용되지않는다. HCBT_MOVESIZE 이동 / 크기변경된윈도우핸들 변경된영역을담고있는 RECT 구조체포인터 HCBT_QS 사용안함 사용안함 HCBT_SETFOCUS 포커스를얻은윈도우핸들 포커스를잃은윈도우핸들 시스템커맨드 (SC_CLOSE, 해당시스템커맨드에대한 HCBT_SYSCOMMAND SC_HOTKEY, ) lparam 정보 5/16 페이지

wparam 과 lparam 에사용되는대부분의구조체와정보가이제껏소개한것이기때문에 새로나오는구조체에대한정보만살펴보도록하자. 아래는 HCBT_ACTIVATE 인경우에 LPARAM 으로전달되는 CBTACTIVATESTRUCT 구조체의원형과필드별설명이다. typedef struct BOOL fmouse; // 마우스에의해서활성화되었는지를나타내는플래그 HWND hwndactive; // 활성화된윈도우핸들 CBTACTIVATESTRUCT, *LPCBTACTIVATESTRUCT; 아래는 HCBT_CREATEWND 인경우에 LPARAM 으로전달되는 CBT_CREATEWND 구조체의원형과필드별설명이다. HCBT_CREATEWND 인경우에윈도우는생성되었으나각종정보가아직설정되지않은단계다. 이단계에서는 GetWindowText 등으로윈도우의텍스트를구할수없다. 윈도우명을구하기위해서는 lpcs 필드내에있는 lpszname 을참조해서구해야한다. typedef struct LPCREATESTRUCT lpcs; // WM_CREATE 메시지의 LPARAM 으로전달되는윈도우생성정보 HWND hwndinsertafter; // z-order 상에생성될윈도우보다먼저위치될윈도우핸들 CBT_CREATEWND, *LPCBT_CREATEWND; 리턴값 : code 값이 HCBT_CLICKSKIPPED, HCBT_KEYSKIPPED, HCBT_QS 인경우는리턴값이 무시된다. 그외의경우에는 0 을리턴할경우해당작업이정상적으로처리되고, 1 을리턴 할경우해당작업이취소된다. WH_SHELL 훅 WH_SHELL 훅은쉘이벤트가발생할때호출되는훅이다. WH_CBT 훅과비슷하게윈도우의 생성 / 소멸 / 활성화를감지하는기능이있다. 하지만 WH_CBT 와는달리모두탑레벨 윈도우의변화만감지하기때문에호출빈도가낮다. 따라서좀더효율적이라할수있다. LRESULT CALLBACK CBTProc(int ncode, WPARAM wparam, LPARAM lparam); code [ 입력 ] 훅프로시저가호출된이유를알려주는코드값이다 (< 표 3> 을참고 ). 0 보다 작은경우에는훅프로시저를수행하지않고 CallNextHookEx 를호출한후바로리턴해야 한다. 표 3 code 값의의미 코드값 의미 6/16 페이지

HSHELL_ACCESSIBILITYSTATE Windows 2000/XP: accessibility 상태가변경되었음. HSHELL_ACTIVATESHELLWINDOW 쉘메인윈도우가활성화되어야하는경우다. Windows 2000/XP: 사용자의입력이벤트에의해서 WM_APPCOMMAND 가발생한경우다. HSHELL_APPCOMMAND WM_APPCOMMAND 는볼륨조절등의추가적인키입력을처리하는메시지다. HSHELL_GETMINRECT 윈도우가최소화 / 최대화된경우다. 키보드언어가변경되거나새로운키보드레이아웃이 HSHELL_LANGUAGE 로드된경우다. 태스크바에있는윈도우타이틀이새로그려지는 HSHELL_REDRAW 경우다. 사용자가태스크리스트를선택한경우다. 테스트해본 HSHELL_TASKMAN 결과 Ctrl + Esc 키를누른경우훅프로시저가호출되었다. 시작버튼을눌렀을때엔호출되지않는다. HSHELL_WINDOWACTIVATED 탑레벨윈도우의활성화상태가변경된경우다. 탑레벨윈도우가생성된경우다. 이훅이호출되는 HSHELL_WINDOWCREATED 시점에윈도우는생성된상태다. 탑레벨윈도우가파괴된경우다. 이훅이호출되는 HSHELL_WINDOWDESTROYED 시점에윈도우는존재한다. Windows XP: 탑레벨윈도우가대체 (replaced) 된 HSHELL_WINDOWREPLACED 경우다. 실제로훅프로시저가호출되는시점에관한문서정보고애매한점도있고, 일부는문서의내용과호출되는시점이달랐다. XP 컴퓨터에서테스트해본결과 code 값이 HSHELL_ACTIVATESHELLWINDOW, HSHELL_WINDOWREPLACED 로호출되는경우는없었다. HSHELL_GETMINRECT 는최소화될때는호출되었으나, 최대화될경우에는호출되지않았다. HSHELL_TASKMAN 은 Ctrl + Esc 를누른경우호출되었다. 반면마우스로시작버튼을클릭한경우에는호출되지않았다. HSHELL_ACCESSIBILITYSTATE 는필터키, 고정키등의설정이변경될때호출되었고, HSHELL_APPCOMMAND 는볼륨조절등의키보드를누른경우에호출되었다. wparam, lparam < 표 4> 참고 표 4 code 값에따른 wparam 및 lparam 정보 code wparam lparam 7/16 페이지

HSHELL_ACCESSIBILITYSTATE 상태가변경된 accessibility 기능을나타낸다. ACCESS_FILTERKEYS, ACCESS_MOUSEKEYS, ACCESS_STICKYKEYS 중하나의값을가진다. 사용안함. HSHELL_ACTIVATESHELLWINDOW 사용안함. 사용안함. HSHELL_APPCOMMAND WM_APPCOMMAND 가전달된원래윈도우핸들. 사용안함. HSHELL_GETMINRECT 최대화 / 최소화된윈도우핸들. RECT 구조체포인터. HSHELL_LANGUAGE 윈도우핸들. 키보드레이아웃핸들. HSHELL_REDRAW 새로그려질윈도우핸들. 플래시되는경우에는 TRUE, 그렇지않은경우에는 FALSE. HSHELL_TASKMAN 사용안함. 사용안함. HSHELL_WINDOWACTIVATED 활성화된윈도우핸들. 풀스크린모드인경우 TRUE, 아닌경우 FALSE. HSHELL_WINDOWCREATED 생성된윈도우핸들. 사용안함. HSHELL_WINDOWDESTROYED 파괴된윈도우핸들. 사용안함. HSHELL_WINDOWREPLACED 대체될윈도우핸들. 새로운윈도우핸들. 리턴값 : code 값이 HSHELL_APPCOMMAND 인경우엔 1 을, 아닌경우엔 0 을리턴해야한다. 브라우저 URL 하이재커 이번시간에우리가 WH_SHELL 훅을사용해만들어볼프로그램은브라우저 URL 하이재커다. 작업을간단하게하기위해서 " 마이크로소프트 " 란하나의키워드만검사하도록한다. 주소창에 " 마이크로소프트 " 가입력될경우 http://www.imaso.co.kr 로이동시키면된다. 우리는이작업을 WH_SHELL 훅을통해서브라우저의 URL 입력상자를서브클래싱해서구현할것이다. 박스 2 하이재킹하이재킹 (hijacking) 또한후킹의일종이라고할수있다. 하이재킹은주로실행경로를 8/16 페이지

중간에가로채서다른경로로변경시키는것을의미한다. 브라우저의 URL 하이재커가가장많이알려져있다. URL 하이재커는특정키워드가 URL 주소에입력될경우다른주소로이동시키거나자사의검색엔진결과를출력하도록만든다. 물론이러한 URL 하이재커외에도하이재킹대상에따라서다양한종류의하이재커가있다. URL 하이재커를만들기위해서우리가가장먼저해야할일은브라우저의주소창을찾는일이다. 주소창을찾는가장손쉬운방법은윈도우의계층구조를조사하는것이다. < 화면 1> 에는 Internet Explorer 의주소창에대한윈도우계층구조가나타나있다. 선택된부분이실제우리가서브클래싱할에디터상자다. 화면 1 브라우저주소창의윈도우계층구조 < 리스트 1> 에는위정보를사용해서주어진탑레벨윈도우로부터주소창을찾아서리턴하는함수가나와있다. 주소창이없는경우엔 NULL 이리턴된다. Spy++ 제작할때사용했던 GetWindow 함수를사용해서구현되어있다. 좀더엄밀히구현한다면 GetWindow 의리턴값이 NULL 인경우바로 NULL 을리턴하도록처리해야한다. 여기서는구현의핵심만보이기위해서그러한에러처리부분을생략했다. 리스트 1 윈도우주소창을찾는함수 HWND GetAddressBarWnd(HWND hwnd) 9/16 페이지

TCHAR buf[max_path]; GetClassName(hwnd, buf, sizeof(buf)); if(_tcsicmp(buf, "IEFrame")!= 0) return NULL; hwnd = GetWindow(hwnd, GW_CHILD); // #32770 대화상자 hwnd = GetWindow(hwnd, GW_HWNDNEXT); // WorkerW hwnd = GetWindow(hwnd, GW_CHILD); // ReBarWindow32 hwnd = GetWindow(hwnd, GW_CHILD); // ToolbarWindow32 hwnd = GetWindow(hwnd, GW_HWNDNEXT); // ComboBoxEx32 hwnd = GetWindow(hwnd, GW_CHILD); // ToolbarWindow32 hwnd = GetWindow(hwnd, GW_HWNDNEXT); // ComboBox hwnd = GetWindow(hwnd, GW_CHILD); // Edit GetClassName(hwnd, buf, sizeof(buf)); if(_tcsicmp(buf, "Edit")!= 0) return NULL; return hwnd; 주소창을찾았으면다음으로할일은서브클래싱을해야한다. 서브클래싱작업의경우여러곳에서반복적으로사용되기때문에함수셋을정의해두면나중에도다시사용할수있다. < 리스트 2> 에는이러한서브클래싱작업을도와줄함수셋이나와있다. 서브클래싱을할경우이전주소를저장해야한다. 주소를전역맵으로저장하는대신에간단하게윈도우프로퍼티를사용해서구현했다. 서브클래싱을할때에프로퍼티를설정하고해제할때에프로퍼티를삭제하는방식이다. 그리고서브클래싱을할때에주의해야할점은유니코드윈도우인지를판단해서서브클래싱을해야한다는점이다. IsWindowUnicode 함수를사용해서유니코드윈도우인지를판별해서매칭되는정확한함수를사용해서서브클래싱을해야한다. 그렇지않을경우문자열메시지에서오류가발생할수있다. 리스트 2 서브클래싱관련함수들 #define SUBCLASS_PROP TEXT("SubClassData") typedef struct _SUBCLASSDATA HWND hwnd; WNDPROC oldproc; SUBCLASSDATA, *PSUBCLASSDATA; // 윈도우의서브클래스구조체를구해온다. PSUBCLASSDATA GetSubclassData(HWND hwnd) PSUBCLASSDATA data = (PSUBCLASSDATA) GetProp(hwnd, SUBCLASS_PROP); 10/16 페이지

if(!data) return NULL; if(data->hwnd!= hwnd) return NULL; return data; // 윈도우를서브클래싱한다. BOOL SubclassWindow(HWND hwnd, WNDPROC fn) PSUBCLASSDATA data = new SUBCLASSDATA; data->hwnd = hwnd; data->oldproc = (WNDPROC) GetWindowLongPtr(hwnd, GWL_WNDPROC); SetProp(hwnd, SUBCLASS_PROP, data); if(iswindowunicode(hwnd)) SetWindowLongPtrW(hwnd, GWL_WNDPROC, (LONG_PTR) fn); else SetWindowLongPtrA(hwnd, GWL_WNDPROC, (LONG_PTR) fn); return TRUE; // 서브클래싱을해제한다. BOOL UnSubclassWindow(HWND hwnd) PSUBCLASSDATA data = GetSubclassData(hwnd); if(!data) return FALSE; if(iswindowunicode(hwnd)) SetWindowLongPtrW(hwnd, GWL_WNDPROC, (LONG_PTR) data->oldproc); else SetWindowLongPtrA(hwnd, GWL_WNDPROC, (LONG_PTR) data->oldproc); RemoveProp(hwnd, SUBCLASS_PROP); return TRUE; // 서브클래싱된윈도우인지체크한다. BOOL IsWindowSubclassed(HWND hwnd) PSUBCLASSDATA data = GetSubclassData(hwnd); if(!data) return FALSE; return TRUE; 이제주소창을서브클래싱한프로시저를작성하면된다. < 리스트 3> 에그코드가 나와있다. 특별한내용은없다. 엔터키가눌린경우내용을검사해서 " 마이크로소프트 " 라면 11/16 페이지

http://www.imaso.co.kr 로대체하는것과 WM_DESTROY 인경우에는서브클래싱을 복원시키는것이전부다. 리스트 3 새로운주소창프로시저 LRESULT CALLBACK UrlHijackProc(HWND hwnd, UINT msg, WPARAM w, LPARAM l) PSUBCLASSDATA data = (PSUBCLASSDATA) GetProp(hwnd, SUBCLASS_PROP); if(!data) return DefWindowProc(hwnd, msg, w, l); if(msg == WM_KEYDOWN && w == VK_RETURN) TCHAR buf[max_path] = 0,; GetWindowText(hwnd, buf, sizeof(buf)); if(_tcscmp(buf, TEXT(" 마이크로소프트 ")) == 0) // 하이재킹 SetWindowText(hwnd, "http://www.imaso.co.kr"); else if(msg == WM_DESTROY) UnSubclassWindow(hwnd); return CallWindowProc(data->oldProc, hwnd, msg, w, l); 이제 WH_SHELL 훅프로시저를살펴보자. < 리스트 4> 에훅프로시저의전문이나와있다. 우리는 HSHELL_WINDOWACTIVATED 를사용해서서브클래싱을하도록했다. 이렇게해야후킹되기이전의주소창까지서브클래싱을할수있기때문이다. HSHELL_WINDOWCREATED 를사용하면이전에생성된윈도우는서브클래싱할수없다. 박스 3 IME 완료상태에디터상자의입력문자열의한글조합상태가완료되지않은상태에서에디터의내용을변경하는경우조합중인글자가찌꺼기로남는경우가있다. 이러한경우에는에디터의내용을변경하기전에 IME 조합상태를취소하거나완료시킬필요가있다. 이전텍스트의내용이필요없는경우라면아래와같이 IME 조합상태를취소함으로써그런문제를없앨수있다. HIMC imc = ImmGetContext(hwnd); ImmNotifyIME(imc, NI_COMPOSITIONSTR, CPS_CANCEL, 0); ImmReleaseContext(hwnd, imc); 12/16 페이지

리스트 4 훅프로시저 LRESULT CALLBACK SubclassProc(int code, WPARAM w, LPARAM l) if(code < 0) return CallNextHookEx(NULL, code, w, l); if(code == HSHELL_WINDOWACTIVATED) HWND hwnd = GetAddressBarWnd((HWND) w); if(hwnd &&!IsWindowSubclassed(hwnd)) // 하이재킹 SubclassWindow(hwnd, UrlHijackProc); return 0; 이제모든작업이끝났다. 위의함수를가진 DLL 을만들고, SubclassProc 을전역 WH_SHELL 훅으로설치만하면된다. 화면 2 URL 하이재커실행화면 이번달샘플로제작된 URL 하이재커를실행하면 < 화면 2> 와같은윈도우가나타난다. 훅시작버튼을누르면주소창의 URL 을하이재킹한다. 훅종료를누르면해당훅을 종료한다. 서브클래싱스택 서브클래싱은가장원시적인방법의후킹이기때문에서브클래싱한순서에따라서스택과같은구조가생기게된다. 이렇게여러단계의서브클래싱이걸린경우는제거하는데생각을많이해야한다. 그렇지않으면잘못된연산오류나프로그램오동작을일으킬수 13/16 페이지

있기때문이다. < 그림 1> 에는네개의프로시저가서브클래싱을한경우의구조를 보여주고있다. 1 번이오리지널메시지핸들러이고, 그것을 2,3,4 번이순차적으로 서브클래싱했다고생각하면된다. 그림 1 서브클래싱스택 위와같은경우에 2 번프로시저가서브클래싱을끝내려고한다고생각을해보자. 아무런처리없이빠진경우는두번째그림과같이된다. 3 번이 2 번을참조하곤있지만그곳은더이상합법적인공간이아닌것이다. 따라서 GPF 가발생한다. 일반적인서브클래싱해제루틴처럼자신이가지고있는주소로복원시킨경우는세번째그림처럼된다. 이경우는자신보다나중에후킹한 3,4 번프로시저의추가기능이동작을하지않는다는문제가발생한다. 이러한문제를우아하게해결한방식이최종그림과같은형태다. 이방식은자신이빠지지않고메모리에자신의메시지핸들러를남겨두는것이다. 그리곤자신은단지메시지를포워딩시키는기능만해준다. 이경우에단점으론메모리낭비를들수있다. 불필요하게포워딩을위한메모리를차지하고있는셈이기때문이다. 그렇다면네번째그림과같이구현하기위해서는어떻게해야할까? 여러가지방법이있지만가장손쉬운방법은서브클래싱프로시저를훅프로시저가있는 DLL 이아닌별도의 DLL 에두는방법이다. 이렇게한후에훅 DLL 에서서브클래싱을할때에해당서브클래싱 DLL 을로드해서해당프로시저를사용하면된다. 프로그램이종료되더라도훅 DLL 만시스템이제거하기때문에서브클래싱 DLL 은계속메모리에상주한상태가된다. 이러한방법외에도프로그램종료를지연시키는방법을사용할수도있다. 사용자에게현재다른프로그램이사용하고있기때문에종료할수없다는메시지를보내는것이다. 이경우는서브클래싱카운터등을공유변수로두고추적해서메시지를출력하면된다. 하지만이방법도강제종료시에는속수무책이다. 14/16 페이지

팝업킬러 팝업은한때브라우저의문제로여겨지던시절이있었다. 하지만요즘필자는팝업이더이상브라우저속에서만벌어지는일이아님을뼈저리게느끼고있다. 필자의삶에가장큰충격을준사실은넥슨의카트라이더에삽입된팝업이다. 얼마전부터넥슨의카트라이더게임을하고나면 < 화면 3> 와같은광고화면이나타난다. 여기에더심각한사실은클로즈버튼또한없다는것이다. 광고가끝나고나면클로즈버튼이생긴다. 실제로 alt+f4 등의단축키를모르는사람들은이러한팝업에속수무책일수밖에없다. 이것이비단넥슨만의문제는아니다. 랜섬웨어의대부분이악성코드도아닌것을치료하라는팝업을계속띄운다. 이러한브라우저밖의팝업을차단하는데 WH_CBT 훅은강력한역할을한다. 화면 3 넥슨광고팝업 위의넥슨광고를차단하는훅프로시저가 < 리스트 5> 에나와있다. 이번에는윈도우 생성을차단해야하기때문에 HCBT_CREATEWND 를검사했다. 이경우에팝업생성을 취소하기위해서는간단하게 TRUE 를리턴해주면된다. 리스트 5 넥슨광고팝업을제거하는 CBT 훅프로시저 LRESULT CALLBACK PopupBlockerProc(int code, WPARAM w, LPARAM l) if(code < 0) return CallNextHookEx(NULL, code, w, l); if(code == HCBT_CREATEWND) HWND hwnd = (HWND) w; TCHAR classname[max_path] = 0,; // 생성될윈도우의클래스명을구한다. GetClassName(hwnd, classname, sizeof(classname)); 15/16 페이지

// 넥슨팝업이면생성을취소시킨다. if(_tcsicmp(classname, "NexonADBallon") == 0) return TRUE; return 0; 도전과제 이번달은여러분에게풍성한도전과제를내줄수있을것같다. 더러는유용한것도있기때문에한번씩꼭만들어보도록하자. 명심해야할사실은눈으로읽은사실은여러분의지식이아니라는점이다. 필자가몇년간코딩을하면서느낀점은실제로자신이입력하고문제를해결했을때진정으로자신의지식이된다는점이다. 1. 제공되는샘플은서브클래싱종료문제를해결하지않은버전이다. 이것을위에서제시된우아한방법으로종료되도록수정해본다. 훅프로시저를설치하고, 인터넷익스플로러를실행한다음훅프로그램을종료해서문제가없으면된다. 2. 위의문제를종료를지연시키도록만들어본다. 사용자가종료하려고하면다른프로그램에서사용하고있다고알려주는것이다. 3. URL 하이재킹을좀더쓸모있게만들어본다. 여러개의 URL 을검사해서사용자가매칭시킨곳으로이동시키도록만들어본다. 4. 팝업킬러를좀더유용하게만들어본다. 이전에 Spy++ 제작에서배운윈도우탐색방식을사용해서사용자가팝업을실시간으로추가할수있고, 추가된팝업을모두제거하는형태로프로그램을제작해본다. 참고자료 참고자료 1. Jeffrey Richter. <<Programming Applications for Microsoft Windows (4/E)>> Microsoft Press 참고자료 2. 김상형, <<Windows API 정복 >> 가남사참고자료 3. 김성우, << 해킹 / 파괴의광학 >> 와이미디어참고자료 4. http://www.codeguru.com/cpp/w-p/win32/messagebox/article.php/c4541/ WH_CBT 훅을사용해서메시지박스위치를변경하는방법 16/16 페이지