< 실행파일 외 DLL 코드 후킹 >
안녕하세요.
아랄 쿠소 연구실장입니다.
5월 4일자 업데이트 후부터 EXE 부분이 아닌 DLL 영역의 코드도 후킹이 가능하게 되었습니다.
위에 보시는 것 처럼 ‘모듈 선택’ 콤보 박스가 있습니다.
여기엔 현재 게임에 로드 된 DLL들을 보여줍니다.
[Absolute]를 선택하시면 ‘코드 주소’는 절대주소를 의미합니다.
우리가 지금 껏 써왔던 일반적인 후킹 주소지요.
즉, 0x00400000 부터 시작하는 실행모듈의 주소입니다.
만일, [Absolute]가 아닌 어떤 특정 모듈을 선택했다면, 코드 주소는 모듈 시작 주소로부터의 상대 주소를 의미합니다.
아래는 코나카나 라는 게임의 대사 출력 함수 입니다.
0x031C3590번지 함수는 EBX 레지스터로 텍스트를 전달 받네요.
(찾는 과정은 생략하였습니다.)
자, 그럼 0x031C3590를 후킹 주소로 쓸 수 있을까요?
보통 실행파일은 0x00400000번지에 올려지는데, 위의 주소는 뭔가 이상하군요.
위의 빨간색 사각형을 보시면 TEXTWORK라는 별도의 DLL이란 것을 확인할 수 있습니다.
이 DLL은 어디에 로드되어 있는지 볼까요?
Alt-E를 누르면 현재 로드 된 DLL들을 모두 볼 수 있답니다.
TEXTWORK 모듈을 찾으셨나요?
네, 이 모듈은 0x031C0000 번지에 로드되었습니다.
모듈의 시작점이 0x031C0000이고, 찾은 함수가 0x031C3590 이므로 우리는 텍스트 후킹 지점을 이렇게 표현할 수 있겠죠.
|
TEXTWORK가 로드 된 시작주소로부터 3590번지 |
자, 그럼 이제 아랄트랜스 주소 입력 창에 어떤 값을 넣는지 대충 눈치 채셨나요.
이렇게 하면 앞으로 TEXTWORK.FIL이 어느 주소에 로드 되든지 간에 항상 시작주소로부터 + 0x3590번지를 후킹합니다.
참고로 아랄트랜스 내부적으로는 TEXTWORK.FIL!0x3590 이런 식으로 표시를 합니다.
궁금한 점 있으면 언제든 질문 해 주세요.
감사합니다.