[악성코드]DLL Injection

2018.04.19. 22:06

DLL Injection을 이용한 악성코드의 시나리오 흐름

1. 타겟 프로세스의 PID를 구함
2. PID를 이용해 프로세스의 핸들을 구함(Openprocess)
3. 타겟프로세스에 메모리를 할당(인젝션할 DLL의 크기만큼 할당, VirtualAlloc)
4. 할당된 메모리에 인젝션할 DLL을 씀(WriteProcessMemory)
5. 공격 프로세스에서 LoadLibrary API를 확인(GetmoduleHandle, GetprocAddress)
6. 타겟 프로세스의 스레드를 원격으로 실행(CreateRemoteThread)
7. 타겟 프로세스는 LoadLibrary를 호출하는 스레드를 실행
8. LoadLibrary인자로 받은 인잭션 DLL이 로드되면 DLLMain이 실행

공부하기 좋은 자료 : 

Injection 기법_20140417_공개 버전.pdf

다운로드 링크 => https://t1.daumcdn.net/cfile/tistory/21695C3453551E7610  - ASEC injection 분석 방법 정리되있는 PDF