치트엔진은 게임 해킹을 위한 도구이지만 frida 사용이 힘든 환경에서 frida로 Window Socket을 후킹하여 메모리를 변조하는 것과 같은 원리로 메모리를 변조할 수 있다. 먼저 메모리를 변조할 프로세스에 붙어준다. 스캐닝 옵션에서 Type 설정을 해주어야하는데 보통 문자열 변조로 많이 진단을 하는 만큼 String으로 바꿔준 다음 스캔을 해주면 쉽다 카카오톡에 QR 요청을 하고 문자열 검색 시 메모리 내 검색되는 것을 볼 수 있다 value를 바꾸면 변조된 메모리로 전송되기 때문에 QR요청이 정상적으로 진행이 되지않는다. 좀더 확실하게 정말 변조가 된 것이지 확인하기 위해 Frida로 패킷을 보면 실제로 pilsner라는 문자열의 값들이 hyotwo로 변조되어 통신이 이루어지는 것을 볼 수 있..

게임 해킹에서 대표적으로 사용되는 도구는 치트엔진(CheatEngine)이다. https://www.cheatengine.org/ Cheat Engine Cheat Engine Trouble installing/running Cheat Engine? Check out the known github issue here on how to solve it, or join the cheat engine patreon Read before download: You must be 18 years or older, or deemed an adult, to install Cheat Engine. Cheat engine www.cheatengine.org 나도 메모리가 뭔지도 모르던 초등학생 시절에 사용해본 적이 있으니..

모의해킹을 하면 HTTP 프로토콜로 통신을 하는 웹/모바일 뿐만 아니라 그보다 아래 레이어에서 통신을 하는 CS프로그램도 종종 진단을 해야하는 경우가 생긴다. 이럴 경우 평범한 HTTP 프록시 도구를 사용해서 데이터를 변조하는 등의 진단은 불가능한데 이 때 Frida를 이용해서 진단을 수행할 수 있다. 원리는 간단하다 윈도우에서 HTTP 통신을 포함한 모든 TCP/IP 네트워크 통신은 Window Socket을 통해서 요청과 응답을 주고 받는다. 그 통신을 도와주는 파일이 WS2_32.dll 파일이다. 이 라이브러리 파일을 통해 데이터를 주고받는 다면 라이브러리 파일을 후킹해서 HTTP 프로토콜로 이루어지는 통신이 아니더라도 그 내용을 볼 수 있다. frida로 이 라이브러리를 후킹하는 방법은 아래 코드..

어떤 프로그램을 실행할 때 거의 필수적으로 참조하는 것이 동적 라이브러리 파일인 DLL이다. DLL파일은 C, C++ 언어로 만들어져 개발자가 의도한 기능들을 수행하는데 이 DLL파일을 공격자가 악의적인 코드로 제작하여 프로그램이 실행될 때 참조하게 만듬으로써 공격자가 원하는 기능이 수행되게 되는 것을 DLL 하이재킹(DLL Hijacking)이라고 한다. 만약 test.exe 프로그램을 실행할 때 A.dll 파일을 참조해야한다면 A.dll 파일을 참조하기 위해서 시스템은 지정된 경로에서 dll 파일을 찾고 만약 그곳에 없다면 다양한 디렉터리를 조회하며 A.dll을 찾게된다. 그 때 프로그램이 어떤 디렉터리를 조회하는지 확인하여 악의적인 코드가 담긴 A.dll을 넣어준다. 먼저, 프로그램이 참조하는 dl..