STATUS_INVALID_CID (0xC000000B) OpenProcess를 호출하면 0xC000000B를 반환하며 실패하는 해킹툴이 발견되었습니다. 다음과 같이 NtOpenProcess 시스콜 이후에 실패하고 있으며, 이를 봤을 때 커널 레벨에서 조작된 것을 추측할 수 있습니다. 해당 값은 MS-ERREF 문서에 나와있는데 클라이언트 ID...

OpenProcess TerminateProcess, Read/WriteProcessMemory, CreateRemoteThread 등 외부 프로세스를 제어하기 위해서는 OpenProcess를 통한 핸들 획득이 필요합니다. 운영체제에서는 사용자로부터 이러한 접근 행위를 방지하고자 커널 레벨의 보호 기능이 구현되어 있습니다. 일부 시스템 프로세스에는 ...

STATUS_INVALID_IMAGE_FORMAT (0xC000007B) 해킹툴 분석 중 특정 프로세스에 스레드 생성을 전부 차단해버리는 재밌는 녀석을 발견했습니다. 해킹툴이 적용되면 OpenProcess(PROCESS_ALL_ACCESS)를 통해 정상적인 핸들을 획득했더라도 CreateThread, RemoteCreateThread, NtCreate...

Invalid Certificate 최근 들어, 유효하지 않은 형태로 서명된 해킹툴이 많이 보이고 있습니다. 아래 사진은 게임 메모리를 조작하는 DLL 파일인데 ‘Microsoft Corporation’으로 서명되어 있습니다. 이러한 가짜 서명은 안티치트를 우회하는 목적으로 사용되며, 주로 유저 레벨에서 동작하는 실행 파일(exe, dll)에서 발...