보안 소프트웨어는 Windows에서 노출된 API를 중단시키는 "API 후크"라는 방법을 사용하는 경우가 많습니다토토 베이 클라이언트 뷰도 이것을 사용합니다
"토토 사이트 추천 후크"는 Windows에서 노출하는 토토 사이트 추천입니다 예를 들어CreateProcessW 토토 사이트 추천호출되면 회사 제품의 코드를 실행하여 로그를 얻고 매개변수 내용을 확인하는 메소드입니다
구체적으로는 kernelbasedll에 게시된 CreateProcessW 토토 사이트 추천의 시작 부분을 다시 작성하고 회사 제품의 코드로 점프하여 구현되었습니다다음은 점프 명령으로 재작성되는 CreateProcessW의 시작을 보여줍니다
어셈블러 점프 명령어의 종류는 여러 가지가 있는데 이상하게도 각 회사의 보안 소프트웨어에서는 같은 종류의 점프 명령어(0xE9)를 사용하고 있습니다
왜?
그렇습니다다른 보안 소프트웨어와 호환성 문제를 일으킬 가능성이 낮기 때문입니다
토토 사이트 추천 후크가 처리를 완료한 후 비워진 원본 코드를 실행하고 다시 제자리에 놓아야 합니다돌아가는 곳은 점프 명령의 크기와 원래 어셈블러의 크기에 따라 결정됩니다
여러 보안 소프트웨어가 동일한 토토 사이트 추천에 연결되는 경우 점프 명령 길이가 다르면 치명적인 문제가 발생할 수 있습니다
점프 명령의 크기에 따라 복귀 위치가 달라지므로 멀리뛰기 명령을 쓰면 다시 쓴 부분으로 돌아가서 충돌이 발생합니다
반면에 짧은 점프 명령을 사용하면 해당 지점 이후의 모든 내용을 다시 작성하여 충돌이 발생합니다
"E9 XX XX XX XX"는 5바이트의 점프 명령어를 가지고 있어 사용하기 쉽고 호환성 문제를 피하는 효과가 있어 많은 제품에서 이 점프 명령어를 사용하고 있습니다
