WO2012023809A2

WO2012023809A2 - 훅 재진입 방지 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체

Info

Publication number: WO2012023809A2
Application number: PCT/KR2011/006062
Authority: WO
Inventors: 이형주
Original assignee: 주식회사 파수닷컴
Priority date: 2010-08-20
Filing date: 2011-08-18
Publication date: 2012-02-23
Also published as: US20130160033A1; US9098356B2; JP5579934B2; KR101052586B1; EP2608021A2; JP2013534346A; WO2012023809A3; EP2608021A4

Abstract

훅 재진입 방지 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체가 개시된다. 상태정보 관리 모듈은 훅 함수의 호출여부를 나타내는 상태정보 플래그를 설정하거나 해제한다. 재진입 방지 모듈은 훅 함수의 호출시 상태정보 플래그가 설정되어 있으면 훅 함수의 호출이 훅 레이어의 내부로부터 이루어진 것으로 판단하여 시스템 레이어로 값을 반환한다. 본 발명에 따르면, 훅 레이어와는 독립적인 진입/이탈 레이어로 기능함으로써 훅 레이어를 훅으로부터 안전하게 격리시킬 수 있게 되어 동적 API 후킹 시 훅 레이어 내의 훅 루틴의 수행과정에서 하위 함수의 원본 함수 재호출에 따른 훅 재진입을 방지할 있다.

Description

훅 재진입 방지 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체

본 발명은 훅 재진입 방지 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체에 관한 것으로, 보다 상세하게는, API 후킹시 함수의 호출 과정에서 훅의 재귀적인 진입을 방지하기 위한 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체에 관한 것이다.

API 훅(hook)은 일반적인 API 호출 과정에 대해 특정한 조작을 통하여 다른 위치로 함수의 호출 흐름을 우회시키는 기법을 통칭한다. 도 1 및 도 2에는 기본적인 호출 구조와 훅에 의한 API 필터링 과정이 각각 도시되어 있다. 도 2에 도시된 바와 같이 훅 함수 B는 원본 함수 A에 의한 목표 함수 C의 호출 과정에 개입한다. 이러한 훅 기법을 완성하기 위해 도입되는 훅 레이어는 훅의 영향을 받지 않아야 한다.

도 3에 도시된 바와 같은 훅 레이어의 이상적인 구조는 다수 함수에 대해서 훅 및 대체/필터링 처리를 가능하도록 지원할 수 있어야 하며, 훅 레이어 자체는 훅의 영향을 받지 않아야 한다. 이러한 구조를 지원하기 위해 훅 레이어는 훅 대상 API를 사용하지 않거나 훅 대상 API 원본 함수를 호출할 수 있는 주소를 명확히 알고 있어 필요시 훅 API 또는 원본 API를 선택적으로 호출할 수 있어야 한다. 훅 레이어가 훅 대상 API를 사용하지 않는 경우에 훅 레이어 내부에서의 동작은 API 훅과 무관하게 된다. 그러나 훅 레이어가 훅 대상 API를 사용하지 않도록 하는 것은 용이하지 않다. 즉 훅 레이어가 훅 대상 API를 사용하지 않기 위해서는 현실적으로 훅 대상 API와 하위 원본 함수에 대한 런타임 바이너리(run time binary)의 직접적인 연관이 없는 경우에만 가능하다. 따라서 이 기종 OS 플랫폼에서의 프로그램 동작을 지원하는 에뮬레이터를 구현하거나, 훅 API를 에뮬레이션해주는 형태로의 구현이 필요하기 때문에 이러한 방식은 훅 레이어의 구현에 적합하지 않다.

상술한 이유로 인해 기존에는 훅 레이어가 훅 대상 API 원본 함수를 호출할 수 있는 주소를 관리하도록 구현하고 있으며, 이에 더해 보조적인 방법들을 추가적으로 사용하여 훅 레이어가 훅의 영향을 받지 않도록 하고 있다. 이때 훅 대상 API 원본 함수를 호출할 수 있는 주소를 관리하는 형태로 훅 레이어를 구현하는 프로그래밍 방식은 API 훅의 기법에 따라 차이가 있다. 먼저, IAT 훅 등 API 호출자가 호출하는 함수 주소를 수정하는 경우에 훅 레이어에 속하는 *.exe, *.dll 등 런타임 모듈 단위로 훅 예외를 실행하여 훅 레이어 및 하위 레이어에 속하는 모듈에 대해서는 훅을 하지 않는 방식이 있다. 이러한 방식에 있어서 요구되는 조건은 얼마나 정확하게 훅 레이어에 속한 런타임 모듈을 식별할 수 있는가이다. 다음으로 훅 레이어에 속하는 모든 런타임 모듈이 훅 대상 API의 원본 함수를 호출할 수 있는 주소를 알고, 프로그램 단계에서 적절한 주소를 호출하도록 하여 훅 레이어를 구성하는 방식이 있다. 이 방식에서는 훅 레이어에 속한 모든 런타임 모듈에서 훅이 이루어지고 있는 API의 정확한 목록과 주소를 알고 있어야 한다.

그러나 현실적으로 이상적인 훅 레이어를 구성하기 위해 필요한 조건을 총족시킬 수 있는 관리/프로그래밍의 작성이 용이하지 않다는 문제가 있다. 일예로 모듈별 예외 처리를 하는 경우에 기능 확장에 따라 훅 레이어에 속한 런타임 모듈이 고정적이지 않을 가능성이 높다. 이러한 이유로 훅 레이어의 형상 관리 및 업데이트 관리의 문제가 부각될 수 밖에 없다. 또한 OS의 형태, 주요 및 하위 버전 구성에 따른 예외 모듈의 정보가 추가될 여지가 있으므로, OS의 패치에 대한 검증이 매우 중요하게 된다. 한편 원본 API의 주소를 직접 호출하는 방식의 경우에 훅 레이어 내의 제3자 모듈과 같이 소스의 수정이 불가능한 모듈에 대한 지원이 곤란하다는 문제가 있으며, 특히 훅 대상 API의 개수가 많아질 수록 프로그램이 난해해진다는 문제가 있다.

이상과 같은 문제점을 해결하기 위해 기존에는 개발자의 판단에 따라 파일 이미지의 경로, 파일이미지의 패턴, 전자 서명의 발급자의 패턴 등을 이용하여 예외 처리를 하고 있다. 이 경우 정확한 목록 관리에 대한 부담은 줄어드나, 신규 모듈의 추가 및 제3자 모듈, 훅 레이어의 하부 레이어 모듈에 대한 목록 관리에 대한 부담은 여전히 남아 있게 된다.

본 발명이 이루고자 하는 기술적 과제는, 동적 API 후킹시 하위 함수의 원본 함수 재호출에 의한 훅 재진입을 방지할 수 있는 장치를 제공하는 데 있다.

본 발명이 이루고자 하는 다른 기술적 과제는, 동적 API 후킹시 하위 함수의 원본 함수 재호출에 의한 훅 재진입을 방지하기 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.

상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 훅 재진입 방지 장치에 대한 바람직한 실시예는, 동적 API 후킹 시 후킹을 실행하기 위한 코드인 훅의 재귀적 실행으로 정의되는 훅의 재진입을 방지하기 위한 장치에 있어서, 상기 동적 API 후킹의 개시 시점에 호출되는 훅 함수의 호출여부를 나타내는 상태정보 플래그를 설정하거나 해제하는 상태정보 관리 모듈; 및 상기 훅 함수의 호출 시 상기 상태정보 플래그가 설정되어 있으면, 상기 훅 함수의 호출이 상기 훅의 실행과정에서 이루어진 것으로 판단하여 원래 실행이 요청된 프로그램을 실행하도록 하는 재진입 방지 모듈:을 구비한다.

상기의 다른 기술적 과제를 달성하기 위한, 본 발명에 따른 기록매체는, 동적 API 후킹 시 후킹을 실행하기 위한 코드인 훅의 재귀적 실행으로 정의되는 훅의 재진입을 방지하기 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 있어서, (a) 원본 함수 또는 상기 훅의 수행과정에서 실행되는 하위 함수에 의해 상기 동적 API 후킹의 개시 시점에 호출되는 훅 함수가 호출되면, 상기 훅 함수에 대응하는 함수 정보에 설정되어 있는 상태정보 플래그의 값을 확인하는 단계; 및 (b) 상기 상태정보 플래그 값이 설정되어 있지 않으면 상기 훅 함수의 호출이 상기 원본 함수에 의해 이루어진 것으로 판단하여 상기 상태정보 플래그의 값을 설정하고, 상기 상태정보 플래그 값이 설정되어 있으면 상기 훅 함수의 호출이 상기 훅의 실행과정에서 이루어진 것으로 판단하여 원래 실행이 요청된 프로그램을 실행하도록 하는 단계;를 가지는 훅 재진입 방지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 보유한다.

본 발명에 따른 훅 재진입 방지 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체에 의하면, 훅 레이어와는 독립적인 진입/이탈 레이어로 기능함으로써 훅 레이어를 훅으로부터 안전하게 격리시킬 수 있게 되어 동적 API 후킹 시 훅 레이어 내의 훅 루틴의 수행과정에서 하위 함수의 원본 함수 재호출에 따른 훅 재진입을 방지할 있다. 또한 응용 프로그램에서 훅 레이어로 진입하는 시작점에서 훅의 재진입 여부를 판단하는 구조를 취함으로써, 프로그램 작성시 훅 재진입 방지를 위한 별도의 코드를 작성하는 부담을 줄일 수 있다.

도 1 및 도 2는 각각 기본적인 호출 구조와 훅에 의한 API 필터링 과정을 도시한 도면,

도 3은 훅 레이어의 이상적인 구조를 도시한 도면,

도 4는 본 발명에 따른 훅 재진입 방지 장치에 대한 바람직한 실시예의 구성을 도시한 도면,

도 5는 상태정보 플래그의 값에 따른 재진입 방지 모듈(330)에 의한 API 호출 분기 과정을 도시한 도면,

도 6은 재진입 방지 모듈(330)에 의한 훅 재진입 방지 과정을 도시한 도면,

도 7 및 도 8은 각각 훅 재진입을 고려하지 않는 API 후킹 기법에서의 콜 스택 및 본 발명에 따른 콜 스택을 도시한 도면,

도 9는 본 발명에 따른 훅 재진입 방지 방법에 대한 바람직한 실시예의 수행과정을 도시한 흐름도,

도 10은 본 발명에 따른 훅 재진입 방지 장치 및 방법에서 훅 레이어 내부에서 생성되는 스레드가 존재하지 않는 경우의 수행과정을 도시한 도면,

도 11은 본 발명에 따른 훅 재진입 방지 장치 및 방법에서 훅 레이어 내부에서 생성되는 스레드가 존재하는 경우의 수행과정을 도시한 도면, 그리고,

도 12는 본 발명에 따른 훅 재진입 방지 장치 및 방법의 다른 실시예에 의한 훅 재진입 방지과정을 도시한 도면이다.

이하에서 첨부된 도면들을 참조하여 본 발명에 따른 훅 재진입 방지 장치 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체의 바람직한 실시예에 대해 상세하게 설명한다.

도 4는 본 발명에 따른 훅 재진입 방지 장치에 대한 바람직한 실시예의 구성을 도시한 도면이다.

도 4를 참조하면, 본 발명에 따른 훅 재진입 방지 장치에 대한 바람직한 실시예(400)는 상태정보 관리 모듈(410) 및 재진입 방지 모듈(420)을 구비한다.

상태정보 관리 모듈(410)은 어플리케이션의 원본 함수 호출에 따라 구동되는 훅 함수의 호출 시점에 상태정보 플래그의 값을 기초로 훅 함수의 호출 지점을 판단한다. 이때 원본 함수의 호출이 훅 레이어의 내부로부터 이루어진 것인지 아니면 훅 레이어의 외부로부터 이루어진 것인지를 식별할 수 있는 최소 단위를 설정할 필요성이 존재한다. 본 발명에서는 식별단위로 스레드(thread)를 사용하며, 그 이유는 다음과 같다. 모든 함수는 동작 시점에 하나의 스레드에 속하고, 임의 시점의 스레드 상의 함수는 훅 레이어의 내부와 외부 중 하나에 존재하며, 동시에 두 개의 상태를 가지거나 두 개의 상태에 모두 해당되지 않는 경우는 발생하지 않는다. 또한 훅 레이어의 내부에서 생성되는 스레드를 제외하면, 훅 레이어에 진입한 이후에 실행되는 모든 함수는 스레드 단위로 훅 레이어어 진입한 함수의 하위 함수이다. 이와 같은 상태정보 플래그의 값은 훅 함수에 대응하는 함수 정보에 설정되며, 메모리(330)에 저장된다. 이때 상태정보 플래그의 값은 스레드(thread) 별로 식별 가능한 전역 데이터 변수, 스레드 별로 정보관리가 가능한 스레드 지역 저장소(Thread Local Storage : TLS), 스레드 별로 정보관리가 가능한 정적 데이터 변수, 스레드 별로 정보관리가 가능한 기타 데이터 객체(예를 들면, Worker thread, Singleton obect 등) 등에 설정된다. 그리고 상태 정보 관리 모듈(410)은 해당 값이 저장되어 있는 메모리(430)에 상태정보 플래그 값을 설정하거나 해제하고, 재진입 방지 모듈(420)은 해당 값이 저장되어 있는 메모리(430)로부터 상태정보 플래그 값을 독출한다. 이를 위해 상태정보 플래그는 진입/퇴출 정보를 식별하기 위해 적어도 Boolean의 형태를 가져야 한다.

만약 훅 함수에 대응하는 함수 정보에 상태정보 플래그의 값이 설정되어 있지 않으면, 상태정보 관리 모듈(410)은 훅 함수가 훅 레이어의 외부로부터 호출된 것으로 판단하고 상태정보 플래그의 값을 설정한다. 이와 달리 훅 함수에 대응하는 함수 정보에 상태정보 플래그의 값이 설정되어 있으면, 상태정보 관리 모듈(410)은 훅 함수가 훅 레이어의 내부로부터 호출된 것으로 판단한다. 아울러 상태정보 관리 모듈(410)은 훅 루틴 상의 마지막 하위 함수의 실행에 의한 결과값이 시스템 레이어로 반환되면 훅 함수에 대응하는 함수 정보에 설정되어 있는 상태정보 플래그의 값을 해제한다.

재진입 방지 모듈(420)은 훅 함수의 재호출시 메모리(430)에 기록되어 있는 훅 함수에 대응하는 상태정보 플래그의 값을 기초로 훅 루틴의 실행과 훅 레이어의 이탈을 선택적으로 수행한다. 도 5에는 상태정보 플래그의 값에 따른 재진입 방지 모듈(420)에 의한 API 호출 분기 과정이 도시되어 있다. 도 5를 참조하면, 재진입 방지 모듈(420)은 어플리케이션(510)에서 훅 레이어(520)로 진입하는 시작점인 훅 함수가 진입점이며, 훅 레이어(520)에서 하위 레이어의 원본 API를 호출하여 시스템 레이어(530)로 나가는 위치가 이탈점이 된다. 이때 훅 레이어(520)에 대한 진입점은 훅 함수에 대한 호출점과 일치한다. 이탈점의 구현을 위해 프로그래밍 단계에서 명시적으로 원본 함수를 호출하는 구조는 앞서 언급한 바와 같이 모든 모듈에 대해서 구현되어야 하는 문제로 인해 본 발명에서는 진입점에서 함께 처리한다.

이상에서 설명한 본 발명에 따른 훅 재진입 방지 장치에 대한 바람직한 실시예(400)는 실행 단위에 대응하는 복수의 구성요소를 구비한다. 그러나 구현 형태에 따라 상태정보 관리 모듈(410) 및 재진입 방지 모듈(420)은 하나의 모듈로 통합될 수 있다. 이때 본 발명에 따른 훅 재진입 방지 장치는 시스템 레이어와 훅 레이어 사이에 위치하여 상태정보 플래그의 설정여부에 따라 훅 레이어 상의 훅 루틴을 수행하도록 하거나 시스템 레이어로 값을 반환하는 필터의 형태를 취한다.

도 6에는 재진입 방지 모듈(420)에 의한 훅 재진입 방지 과정이 도시되어 있다. 도 6을 참조하면, 호출자인 어플리케이션(610)이 시스템 레이어(620) 상의 원본 함수 H를 호출하면, 동적 API 후킹에 의해 훅 레이어(630) 자체의 훅 루틴(즉, 하위 함수인 H0, H1, H2, VC 등)이 수행된다. 이 과정에서 만약 하위 함수 VC가 원본 함수 H를 재차 호출하면, 훅 재진입을 고려하지 않는 API 후킹 기법에서는 도 7에 도시된 바와 같은 콜 스택에서 알 수 있듯이 H0, H1, H2, VC 등이 다시 실행되는 문제가 발생하게 된다. 이와 달리 본 발명에서는 상태정보 관리 모듈(410)이 훅 함수인 H0에 대응하는 함수 정보의 상태정보 플래그 값을 설정하고, 이후 하위 함수 VC가 원본 함수 H를 재차 호출함에 따라 훅 함수 H0가 호출되면 재진입 방지 모듈(420)은 훅 함수 H0의 상태정보 플래그 값을 확인한 후 시스템 레이어(620)로 값을 반환한다. 그리고 시스템 레이어(620)는 하위 함수 VC로 값을 반환하며, 따라서 VC가 호출된 이후에 계획되어 있는 훅 루틴에 따라 다음 하위 함수인 H3이 실행된다. 도 8에는 이와 같은 본 발명에 따른 훅 재진입 방지 절차의 수행시 콜 스택이 도시되어 있다.

도 9는 본 발명에 따른 훅 재진입 방지 방법에 대한 바람직한 실시예의 수행과정을 도시한 흐름도이다.

도 9를 참조하면, 어플리케이션(610)이 원본 함수를 호출함에 따라 구동되거나 하위 함수에 의한 호출에 의해 훅 함수가 호출되면(S900), 훅 재진입 방지 장치(400)는 훅 함수에 대응하는 함수 정보에 설정되어 있는 상태정보 플래그의 값을 확인한다(S910). 만약 상태정보 플래그 값이 설정되어 있지 않으면, 훅 재진입 방지 장치(400)는 훅 함수가 훅 레이어의 외부로부터 호출된 것으로 판단하고, 상태정보 플래그의 값을 설정한다(S920). 이 경우에는 훅 루틴에 따른 하위 함수들이 순차적으로 실행된다(S930). 이와 달리 상태정보 플래그 값이 설정되어 있으면, 훅 재진입 방지 장치(400)는 훅 함수가 훅 레이어의 내부로부터 호출된 것으로 판단하고, 시스템 레이어(620)로 값을 반환한다(S940). 따라서 이 경우에는 시스템 레이어(620)가 하위 함수 VC로 값을 반환하게 되며, 이어서 훅 루틴에 따라 다음 하위 함수가 실행된다(S930). 다음으로 훅 재진입 방지 장치(400)는 훅 루틴 상의 마지막 하위 함수의 실행에 의한 결과값이 입력되면(S950), 시스템 레이어(620)로 결과값을 반환한다(S960).

한편 상술한 바와 같은 본 발명에 따른 훅 재진입 방지 장치 및 방법에 대한 실시예는 외부로부터의 훅 레이어로의 최초 진입시 훅 함수에 대응하는 함수 정보의 상태정보 플래그값을 설정함으로써, 훅 루틴의 수행에 따라 훅 레이어의 외부로부터 훅 함수가 재호출되는 경우에 훅 함수에 대응하는 함수 정보의 상태정보 플래그값을 기초로 재진입을 방지할 수 있다. 그러나 상술한 바와 같은 본 발명에 따른 훅 재진입 방지 장치 및 방법에 대한 실시예는 훅 레이어 내부에서 생성된 스레드에 의해 훅 함수가 재호출되면 재진입방지 기능이 수행되지 않는 문제가 있다. 따라서 훅 레이어의 내부에서 생성되는 스레드에 대해서도 재진입 방지 기능을 제공하기 위해서는 스레드의 생성을 감시하고, 생성된 스레드에 대한 식별 플래그를 설정하는 구성을 추가적으로 구비하여야 한다.

도 10은 본 발명에 따른 훅 재진입 방지 장치 및 방법에서 훅 레이어 내부에서 생성되는 스레드가 존재하지 않는 경우의 수행과정을 도시한 도면이다. 도 10에 도시된 실시예는 파일 입출력을 감시하고 생성되는 파일 데이터를 암호화하는 훅 함수의 실행과정에서 훅 함수의 동작상황을 파일에 기록하기 위한 부가적인 로그 함수를 포함한다.

도 10을 참조하면, 어플리케이션(1010)이 데이터 쓰기 함수를 호출함에 따라 훅 함수가 호출되면(S1000), 훅 재진입 방지 장치(1020)는 원본 함수인 데이터 쓰기 함수에 대응하는 상태정보 플래그의 값(또는 훅 함수에 대응하는 상태정보 플래그의 값)을 설정한다(S1005). 다음으로 훅 레이어(1030) 내에 설정된 훅 루틴에 따라 데이터의 암호화 함수가 호출되고(S1010), 암호화 함수에 의해 데이터가 암호화된다(S1015). 그리고 훅 재진입 방지 장치(1020)는 훅 레이어(1030)로부터 암호화된 데이터를 수신하고(S1020), 암호화된 데이터를 시스템 레이어(1040)로 전달한다(S1025). 이어서 시스템 레이어(1040)는 메모리에 데이터를 기록한다(S1030). 한편 훅 레이어(1030) 내에 설정된 훅 루틴에 따라 로그 함수에 의해 데이터의 쓰기 동작에 대한 로그 데이터가 생성되고(S1035), 생성된 로그 데이터를 메모리에 쓰기 위한 데이터 쓰기 함수가 재호출된다(S1040). 이러한 데이터 쓰기 함수의 재호출에 의해 훅 함수 역시 재호출되며, 훅 재진입 방지 장치(1020)는 데이터 쓰기 함수에 대응하는 상태정보 플래그의 값(또는 훅 함수에 대응하는 상태정보 플래그의 값)을 확인한다(S1045). 앞서 S1005단계에서 데이터 쓰기 함수에 대응하는 상태정보 플래그의 값(또는 훅 함수에 대응하는 상태정보 플래그의 값)이 설정된 바 있으므로, 훅 재진입 방지 장치(1020)는 훅 루틴으로 진입하는 것을 차단하고 시스템 레이어(1040)로 로그 데이터를 전달한다(S1050). 이어서 시스템 레이어(840)는 메모리에 로그 데이터를 기록한다(S1055). 이상과 같은 동작에 의해 로그 함수에 의한 재진입이 방지됨으로써, 로그 데이터가 암호화되지 않고 평문으로 저장될 수 있다.

도 11은 본 발명에 따른 훅 재진입 방지 장치 및 방법에서 훅 레이어 내부에서 생성되는 스레드가 존재하는 경우의 수행과정을 도시한 도면이다. 도 11에 도시된 실시예는 파일 입출력을 감시하고 생성되는 파일 데이터를 암호화하는 훅 함수의 실행과정에서 훅 함수의 동작상황을 파일에 기록하기 위한 부가적인 로그 함수를 포함하며, 로그 함수는 내부적으로 Worker Thread LogThread에 로그 데이터를 전송한다. 이때 Worker Thread LogThread는 훅 레이어 내부에서의 입출력을 야기한다.

도 11을 참조하면, 먼저 훅 레이어(1130) 내부에서 Worker Thread LogThread가 생성된다(S1100). 다음으로 어플리케이션(1110)이 데이터 쓰기 함수를 호출함에 따라 훅 함수가 호출되면(S1105), 훅 재진입 방지 장치(1120)는 원본 함수인 데이터 쓰기 함수에 대응하는 상태정보 플래그의 값(또는 훅 함수에 대응하는 상태정보 플래그의 값)을 설정한다(S1110). 다음으로 훅 레이어(1130) 내에 설정된 훅 루틴에 따라 데이터의 암호화 함수가 호출되고(S1115), 암호화 함수에 의해 데이터가 암호화된다(S1120). 그리고 훅 레이어(1130)로부터 암호화된 데이터가 수신되면(S1125), 훅 재진입 방지 장치(1120)는 암호화된 데이터를 시스템 레이어(1140)로 전달한다(S1130). 이어서 시스템 레이어(1140)는 메모리에 데이터를 기록한다(S1135).

한편 훅 레이어(1130) 내에 설정된 훅 루틴에 따라 호출된 로그 함수가 데이터의 쓰기 동작에 대한 로그 데이터를 생성한다(S1140). 그리고 로그 함수는 훅 레이어(1130) 내에서 Worker Thread LogThread에 로그 데이터를 전송한다(S1145). 다음으로 Worker Thread LogThread는 훅 레이어(1130) 내에서 생성된 로그 데이터를 메모리에 쓰기 위해 데이터 쓰기 함수를 호출한다(S1150). 이러한 데이터 쓰기 함수의 재호출에 의해 훅 함수 역시 재호출되나, 훅 재진입 방지 장치(1120)는 데이터 쓰기 함수(또는 훅 함수)의 재호출이 훅 레이어(1130)의 외부로부터 진입이 아니기 때문에 재진입으로 인식하지 못하게 된다. 따라서 훅 재진입 방지 장치(1120)는 암호화 함수를 호출하며(S1155), 호출된 암호화 함수는 로그 데이터에 대한 암호화를 수행한다(S1160). 그리고 훅 레이어(1130)로부터 암호화된 로그 데이터를 수신하면(S1165), 훅 재진입 방지 장치(1120)는 수신된 암호화된 로그 데이터를 시스템 레이어(1140)로 전달한다(S1170). 이어서 시스템 레이어(1140)는 메모리에 데이터를 기록한다(S1175).

도 10 및 도 11을 참조하여 설명한 바와 같이 본 발명에 따른 훅 재진입 방지 장치 및 방법에 대한 실시예는 훅 레이어의 내부에서 생성된 스레드에 의해 원본 함수(또는 훅 함수)가 재호출되는 경우에 훅 재진입을 방지하지 못하는 문제가 있다. 이와 같은 문제를 해결하기 위해서는 스레드의 생성을 감지하는 구성요소가 추가적으로 필요하다.

도 12는 본 발명에 따른 훅 재진입 방지 장치 및 방법의 다른 실시예에 의한 훅 재진입 방지과정을 도시한 도면이다. 도 12에 도시된 훅 재진입 방지과정을 수행하는 장치는 도 3에 도시된 실시예의 구성요소에 더해 스레드 생성 감지 모듈을 구비한다.

도 12를 참조하면, 먼저 훅 재진입 방지 장치(1220)는 훅 레이어의 상태를 초기화하고(S1200), 훅 레이어(1230) 내부에서 Worker Thread가 생성된다(S1205). 그리고 훅 재진입 방지 장치(1220)는 Worker Thread를 생성하는 Parent Thread를 감시하여 Parent Thread의 상태가 훅 레이어(1230)의 내부인지 아니면 외부인지를 파악한다(S1210). 그리고 훅 재진입 방지 장치(1220)는 Parent Thead의 상태가 훅 레이어(1230)의 내부인 경우에 생성되는 Child Thread의 훅 레이어 설정정보에 Parent Thread의 설정정보를 상속한다(S1215). 이와 같은 동작은 스레드 생성 감지 모듈에 의해 수행된다. 이때 스레드 생성 감지 모듈은 훅 레이어(1230) 내부에서 스레드가 생성되는 시점에 Parent Thread의 상태정보를 "진입"으로 설정하거나 스레드의 생성 시점에 Parent Thread의 스택정보를 추적하여 특정한 스레드가 훅 레이어(1230)의 내부에서 생성되었는지 아니면 외부에서 생성되었는지를 감지한다. 또한 스레드 생성 감지 모듈은 스레드의 생성을 파악하기 위해 스레드 생성 API(예를 들어, Win32 시스템에서는 CreateThread, _beginthread, _beginthreadex 등)를 감시하여야 하며, 나아가 모든 스레드의 생성여부를 감시할 수 있어야 한다.

다음으로 어플리케이션(1210)이 데이터 쓰기 함수를 호출함에 따라 훅 함수가 호출되면(S1220), 훅 재진입 방지 장치(1220)는 원본 함수인 데이터 쓰기 함수에 대응하는 상태정보 플래그의 값(또는 훅 함수에 대응하는 상태정보 플래그의 값)을 설정한다(S1225). 다음으로 훅 레이어(1230) 내에 설정된 훅 루틴에 따라 데이터의 암호화 함수가 호출되고(S1230), 암호화 함수에 의해 데이터가 암호화된다(S1235). 그리고 훅 재진입 방지 장치(1220)는 훅 레이어(1230)로부터 암호화된 데이터를 수신하고(S1240), 암호화된 데이터를 시스템 레이어(1240)로 전달한다(S1245). 이어서 시스템 레이어(1040)는 메모리에 데이터를 기록한다(S1250).

한편 훅 레이어(1230) 내에 설정된 훅 루틴에 따라 호출된 로그 함수가 데이터의 쓰기 동작에 대한 로그 데이터를 생성한다(S1255). 그리고 로그 함수는 훅 레이어(1230) 내에서 Worker Thread LogThread에 로그 데이터를 전송한다(S1260). 다음으로 Worker Thread LogThread 함수는 훅 레이어(1230) 내에서 생성된 로그 데이터를 메모리에 쓰기 위해 데이터 쓰기 함수를 호출한다(S1265). 이때 데이터 쓰기 함수의 재호출에 의해 훅 함수 역시 재호출되며, 훅 재진입 방지 장치(1220)는 Worker Thread LogThread 함수의 훅 레이어 설정정보를 확인한다(S1270). 앞서 S1215단계에서 Worker Thread LogThread 함수의 설정정보가 "진입"으로 설정된 바 있으므로, 훅 재진입 방지 장치(1220)는 훅 루틴으로 진입하는 것을 차단하고 시스템 레이어(1240)로 로그 데이터를 전달한다(S1275). 이어서 시스템 레이어(1240)는 메모리에 로그 데이터를 기록한다(S1280). 이상과 같은 동작에 의해 로그 함수에 의한 재진입이 방지됨으로써, 로그 데이터가 암호화되지 않고 평문으로 저장될 수 있다.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.

이상에서 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.

Claims

동적 API 후킹 시 후킹을 실행하기 위한 코드인 훅의 재귀적 실행으로 정의되는 훅의 재진입을 방지하기 위한 장치에 있어서,

상기 동적 API 후킹의 개시 시점에 호출되는 훅 함수의 호출여부를 나타내는 상태정보 플래그를 설정하거나 해제하는 상태정보 관리 모듈; 및

상기 훅 함수의 호출 시 상기 상태정보 플래그가 설정되어 있으면, 상기 훅 함수의 호출이 상기 훅의 실행과정에서 이루어진 것으로 판단하여 원래 실행이 요청된 프로그램을 실행하도록 하는 재진입 방지 모듈:을 포함하는 것을 특징으로 하는 훅 재진입 방지 장치.
제 1항에 있어서,

상기 상태정보 플래그는 상기 훅 함수에 대응하여 스레드 별로 식별 가능한 전역 데이터 변수, 스레드 지역 저장소, 정적 데이터 변수 또는 데이터 객체에 기록되는 것을 특징으로 하는 훅 재진입 방지 장치.
제 1항 또는 제 2항에 있어서,

상기 훅의 실행과정에서 스레드가 생성되는 시점에 생성된 스레드의 상태정보를 설정하는 스레드 생성 감지 모듈을 더 포함하고,

상기 재진입 방지 모듈은 상기 스레드 생성 감지 모듈에 의해 상태정보가 설정되어 있는 스레드에 의해 상기 훅 함수가 호출되면, 상기 훅 함수의 호출이 상기 훅의 실행과정에서 이루어진 것으로 판단하는 것을 특징으로 하는 훅 재진입 방지 장치.
동적 API 후킹 시 후킹을 실행하기 위한 코드인 훅의 재귀적 실행으로 정의되는 훅의 재진입을 방지하기 위한 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 있어서,

(a) 원본 함수 또는 상기 훅의 수행과정에서 실행되는 하위 함수에 의해 상기 동적 API 후킹의 개시 시점에 호출되는 훅 함수가 호출되면, 상기 훅 함수에 대응하는 함수 정보에 설정되어 있는 상태정보 플래그의 값을 확인하는 단계; 및

(b) 상기 상태정보 플래그 값이 설정되어 있지 않으면 상기 훅 함수의 호출이 상기 원본 함수에 의해 이루어진 것으로 판단하여 상기 상태정보 플래그의 값을 설정하고, 상기 상태정보 플래그 값이 설정되어 있으면 상기 훅 함수의 호출이 상기 훅의 실행과정에서 이루어진 것으로 판단하여 원래 실행이 요청된 프로그램을 실행하도록 하는 단계;를 포함하는 것을 특징으로 하는 기록매체.
제 4항에 있어서,

상기 상태정보 플래그는 상기 훅 함수에 대응하여 스레드 별로 식별 가능한 전역 데이터 변수, 스레드 지역 저장소, 정적 데이터 변수 또는 데이터 객체에 기록되는 것을 특징으로 하는 기록매체.
제 4항 또는 제 5항에 있어서,

상기 훅의 실행과정에서 스레드의 상태정보를 설정하는 단계를 더 포함하고,

상기 (b)단계에서, 상기 상태정보가 설정되어 있는 스레드에 의해 상기 훅 함수가 호출되면, 상기 훅 함수의 호출이 상기 훅의 실행과정에서 이루어진 것으로 판단하는 것을 특징으로 하는 기록매체.