Internet Explorer_Hidden 윈도우 보호하기 (IE Web Control Message Hooking)

대상 PID에서 IE Web Control을 사용할 때,
EndTask나 WM_CLOSE 전송 공격으로 해당 PID를 무력화 혹은 강제 종료 시킬 수 있습니다.

다음과 같은 방식이면 공격할 수 있습니다.
static DWORD g_dwTargetPID = XXXXX; // 공격할 PID 기입 static BOOL g_bForce = FALSE; static BOOL g_bQuery = FALSE; static BOOL g_bWmClose = FALSE; BOOL CALLBACK EnumWindowProc(HWND hWnd, LPARAM lParam); VOID Kill(VOID) { // 전역 변수 써서 context NULL 임... ㅋㅋ ::EnumWindows(EnumWindowProc, NULL); } BOOL CALLBACK EnumWindowProc(HWND hWnd, LPARAM lParam) { DWORD dwPID = 0; TCHAR szClassName[MAX_PATH] = {0,}; LONG lStyle = 0; CString strMsg; ::GetWindowThreadProcessId(hWnd, &dwPID); if (dwPID != g_dwTargetPID) { return TRUE; } ::GetClassName(hWnd, szClassName, MAX_PATH); if (0 != _tcsicmp(szClassName, TEXT("Internet Explorer_Hidden")) { // 만일 아래를 주석 처리하면, UI(즉, 한개 이상의 HWND가 관리)가 있는 경우, // 프로세스가 강제 종료됨. return TRUE; } // 아래의 두개의 공격 방식이 있다. // EndTask가 더 강력하다. // EndTask 공격~!!! // g_bForce가 TRUE이면 더 강력한 공격~!!! EndTask(hWnd, TRUE, g_bForce); // WM_CLOSE 공격~!!! ::SendMessage(hWnd, WM_CLOSE, 0, 0); // Keep going return TRUE; }

만일, 이런 공격을 방어하고자 한다면,
WM_CLOSE를 Skip 하도록 코딩하면 됩니다.
즉, OnClose()에서 기본 함수 호출을 하지 않도록 하는 것입니다.

허나, Internet Explorer_Hidden 같은 경우에는,
OS에서 생성하고 관리하기 때문에,
WM_CLOSE를 Skip 하려면 Internet Explorer_Hidden의 WNDPROC을 subclassing 해야 합니다.

다음과 같이 subclass을 하면 되니 참고하시기 바랍니다.
물론, 여기에서는 WM_CLOSE 방어이지만,
다른 응용도 가능하니, 도움이 되리라 생각됩니다.

전체적인 흐름은,

1. 실행 Process에서 WM_CREATE Hook
2. Internet Explorer_Hidden가 생성되는 것을 포착
3. 새로운 WNDPROC으로 subclassing
4. 해당 함수에서 WM_CLOSE를 무시함

과 같습니다.

수정될 Class는 theApp이 해당됩니다. 즉, CWinApp 입니다. (물론 다른 class에서 사용해도 됩니다.)

아래 부분을 theApp의 header 파일에 추가합니다.
///////////////////////////////////////////////////// // About IE Hook Functions and value public: VOID HookIE(); VOID UnHookIE(); private: static LRESULT CALLBACK IEHookFunc(int code, WPARAM wParam, LPARAM lParam); static LRESULT fn_new_wndproc_IE(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam); TCHAR m_szClassName[MAX_PATH]; CWPSTRUCT* m_lpWp; WNDPROC m_old_wndproc_IE; HHOOK m_hHookFuncIE;

그리고 아래 부분은 theApp의 생성자에 추가합니다.
m_hHookFuncIE = 0; m_lpWp = NULL; m_old_wndproc_IE = NULL; ZeroMemory(m_szClassName, sizeof(m_szClassName));  

마지막으로, 아래 부분을 theApp의 C++ 파일에 추가합니다.
// Internet Explorer_Hidden HWND의 새로운 WNDPROC LRESULT CXXXXApp::fn_new_wndproc_IE(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam) { if (WM_CLOSE == message) { // WM_CLOSE만 방어~!!! // 정상적인 .exe 종료시에도 일반적으로 WM_CLOSE는 안들어 오더라. // 즉, WM_CLOSE가 수신되었다는 것은 공격이나, PC 종료등등... 인데, // 뭐 항상 WM_CLOSE를 씹어도 좋을 듯 하다. return 0; } // 그 이외는 기존 함수로 전달한다. return ::CallWindowProc(theApp.m_old_wndproc_IE, hWnd, message, wParam, lParam); } // Current Process의 전체 Window Message 수신 Hook 함수 LRESULT CALLBACK CXXXXApp::IEHookFunc(int code, WPARAM wParam, LPARAM lParam) { // 어차피 단일 쓰레드로 수신되기 때문에, theApp 으로 접근하여 호출해도 무방하다. theApp.m_lpWp = (CWPSTRUCT*)lParam; // WM_CLOSE에 대해서만 조사한다. if (theApp.m_lpWp->message == WM_CREATE) { // hwnd에 대한 Class 이름을 구한다. ::GetClassName(theApp.m_lpWp->hwnd, theApp.m_szClassName, MAX_PATH); if (0 == _tcsicmp(TEXT("Internet Explorer_Hidden"), theApp.m_szClassName)) { // Internet Explorer_Hidden 클래스 이름을 가지는 윈도우가 생성되었다. // 해당 윈도우 HWND가 WM_CLOSE 처리되면, // IE Control이 더이상 동작하지 않게 된다. // 따라서, 자체 보호 개념으로 해당 HWND를 보호해야 한다. // Internet Explorer_Hidden의 HWND를 구했으니, // Hook을 종료하자. // Hook을 종료하니 안되었다. // 프로그램 종료때까지 Hook을 유지하도록 하자. // theApp.UnHookIE(); // 이제 Internet Explorer_Hidden의 WNDPROC을 훔치자. theApp.m_old_wndproc_IE = (WNDPROC)::GetWindowLongPtr(theApp.m_lpWp->hwnd, GWLP_WNDPROC); if (NULL != theApp.m_old_wndproc_IE) { // 기존 Internet Explorer_Hidden의 WNDPROC을 CXXXXApp::fn_new_wndproc_IE로 옮겨버린다. ::SetWindowLongPtr(theApp.m_lpWp->hwnd, GWLP_WNDPROC, (LONG_PTR)CXXXXApp::fn_new_wndproc_IE); } } } // 기본 Window Hook 함수로 전달한다. return ::CallNextHookEx(theApp.m_hHookFuncIE, code, wParam, lParam); } // Internet Explorer_Hidden Window 생성까지 현재 프로세스에 대해 Window Message Hook이 걸리고, // Internet Explorer_Hidden의 WNDPROC을 fn_new_wndproc_IE로 redirect한다. // 그 이후엔 Hook을 종료한다. VOID CXXXXApp::HookIE() { // 현재 프로세스에 대해서만 Message Hook 한다. m_hHookFuncIE = ::SetWindowsHookEx(WH_CALLWNDPROC, CXXXXApp::IEHookFunc, (HINSTANCE)NULL, ::GetCurrentThreadId()); } VOID CXXXXApp::UnHookIE() { if (NULL != m_hHookFuncIE) { ::UnhookWindowsHookEx(m_hHookFuncIE); m_hHookFuncIE = NULL; } }

그러면, Internet Explorer_Hidden Window의 WNDPROC이 fn_new_wndproc_IE로 redirect됩니다.
현재는 WM_CLOSE를 무시하도록 했는데, 더 다른 응용도 가능하겠죠?

이제 마지막으로, InitInstance에서 윈도우 생성전에 HookIE()를 호출하고,
ExitInstance에서 UnHookIE()를 호출하면 완료됩니다.