새로운 ZwResumeThread()함수 내용 - 원하는 dll을 자식 프로세스에 자동 injection 시켜주기 위해서
1. ZwQueryInformationThread()함수를 이용해서 현재 스레드의 정보를 읽어온다. 원래 ZwResumeThread의 인자가 자식 프로세스의 메인 스레드이다.
2. 1번에서 얻은 정보를 바탕으로 자식 프로세스의 PID를 얻어온다.
3. GetModuleFileName()을 통해 dll의 절대 주소를 얻어온다.
4. 그 dll의 경로를 바탕으로 dll을 인잭션 해준다.
5. 그런뒤에 정상적인 ZwResumeThread()를 실행시켜준다.
'윈도우' 카테고리의 다른 글
| 32 bit 와 64bit에 따른 cpu 종류 (0) | 2019.10.28 |
|---|---|
| 64bit 에서 32bit 파일, dll , 레지스트리 (0) | 2019.10.28 |
| 스텔스 프로세스 (0) | 2019.10.28 |
| API hooking (0) | 2019.10.24 |
| 윈도우 관련 볼 것들 (0) | 2019.10.24 |