api hooking 정리  
what is api hooking?
api를 호출하는 것을 가로채어 개발자가 만든 프로그램의 함수가 처리할 수 있도록 하는 메커니즘
어떤 언어로 개발된 프로그램이라도 가능하며 dll에서 구현하여 제공되는 함수이면 hooking이 가능함.
디버깅, 트레이싱, 모니터링, 소스가 없는 프로그램의 기능 확장, 스파이웨어 및 크래킹에 사용됨
advantage  api functions monitoring  
api 호출시 발생하는 보이지 않는 특정 행위를 개발자가 추적할 수 있도록 도와주며 지나칠 수 있는 문제점들을 보고할 뿐 아니라 매개변수에 대한 종합적인 검증을 할 수 있다.
debugging and reverse engineering  peering inside operating system  
가끔 개발자들은 운영체제에 대해 이해하기를 갈망하고 디버거의 역할을 하게 된다.후킹은 문서화되지 않았거나 빈약하게 문서화된 api를 해석하는데 매우 유용하다.
extending originally offered functionalities  
기존의 응용 프로그램에 모듈을 삽입하여 기존에 제공되던 기능을 확장할 수 있다.
injecting techniques  registry  
hkey local machine\software\microsoft\windowsnt\currentversion\windows\appinit dlls에 등록된 dll 들은 현재의 로그인 세션 내에서 윈도우 기반의 어플리케이션이 실행될 때마다 로드 된다.하지만 이 방법은 user32.dll을 사용하는 어플리케이션에 대해서만 적용 가능하며, nt/2k 에서만 지원되는 메커니즘이다.또한 다음과 같은 단점을 가지고 있다.침투 과정을 활성/비활성시키기 위해서는 윈도우를 리부팅해야 한다.user32.dll을 사용하는 프로세서에 대해서만 가능하다.침투 과정을 전혀 제어할 수 없다.모든 gui 어플리케이션에 침투하게 되어 오버헤드를 유발한다.
system-wide windows hooking  
windows hooks를 이용하여 목표로 하는 프로세스에 dll을 침투시키는 방법이다.이 방법은 시스템이 수행하여야 하는 메시지의 처리 과정을 증가시키므로 전체 시스템의 성능을 확연하게 저하시킨다.
injecting dll by using createremotethread()  

createremotethread() 함수를 이용하여 목표로 하는 프로세스에 dll을 침투시키는 방법이다. thread 함수의 원형은 loadlibrary()와 같은 형태를 띄고 있다

따라서 createremotethread() 함수의 thread 함수로 loadlibrary() 함수를 넣어주고 스레드 매개변수로 dll 파일의 이름을 줄 경우 목표 프로세스 공간과 동일한 주소에 매핑되어 실행이 된다. 이 방법을 이용하여 침투하는 경우 반드시 고려해야 하는 중요한 사항이 하나있다

침투 어플리케이션이 목표로 하는 프로세스의 가상 메모리에서 작동하고 createremotethread()를 호출하기 전에 openprocess() api에 process all access 플래그를 매개변수로 넘겨주어 먼저 프로세스를 오픈하여야 한다. implanting through bho add-ins  
인터넷 익스플로러에 사용자 정의 코드를 침투시킬 필요가 있을 때 사용할 수 있다.bho는 com dll로 구현되며 적절하게 등록되기만 하면 ie가 실행될 때마다 ie가 iobjectwithsite 인터페이스를 구현한 모든 com 객체를 로드한다.
ms office add-ins  
bho와 유사하게 ms 오피스에 자신의 코드를 침투시키려면 ms 오피스 add-ins으로 구현되는 표준 메커니즘의 장점을 이용할 수 있다.
interception mechanisms  windows subclassing  
서브클래싱이란 윈도우 프로시저로 보내지는 메시지를 중간에 가로채는 프로그래밍 기법으로 이 기법의 단점은 서브클래싱이 하나의 특정 프로세스의 영역으로만 제한된다는 것이다.
proxy dll  
이 기술은 함수 포워더를 이용하여 구현하는 것이다.이 작업은 단순히 #pragma comment를 이용하여 구현할 수 있다.
code overwriting  spying by a debugger     (이하 생략)