반응형
DLL 이젝션 (DLL Ejection)은 프로세스에 강제로 삽입한 DLL을 빼네는 기법입니다.
기본 동작원리는 CreateRemoteThread API를 이용한 DLL 인젝션(Injection)의 동작 원리와 같습니다.
DLL 이젝션의 동작원리
CreateRemoteThread() API를 이용한 DLL인젝션의 동작원리는 아래와 같습니다
대상 프로세스로 하여금 LoadLibraray() API를 호출하도록 만드는 것
마찬가지로 DLL 이젝션의 동작원리도 아래와 같이 간단합니다.
대상프로세스로 하여금 FreeLibrary() API를 호출하도록 만드는 것
즉 CreateRemoteThread() 의 lpStartAddress 파라미터에 FreeLibrary() API주소를 넘겨주고, lpParameter 파라미터에 이젝션할 DLL의 HANDLE을 넘겨주면 됩니다.
반응형
댓글