ActiveX 모니터링툴

COMSpy라고 ActiveX 취약점을 계속 연구하던 한 연구자가 나에게 알려 준 툴이 있다. 물론 그 당시 이미 COM 관련 DLL을 후킹하여 메쏘드와 인자들을 모니터링하는 방법을 이미 알고 있었지만 “proprietary code”이다.

COMSpy오픈소스로서 COM 내부가 어떻게 돌아 가는지, 후킹은 어떻게 하는지 조금 오래되고(마지막 업데이트가 99년) 복잡한 방법을 사용하기는 하지만 좋은 방향을 제시해 준다. 레지스트리를 수정해서 자기 자신의 dll을 후킹하려는 인터페이스에 등록해 놓고 프록싱을 하는 고전적인 방식의 후킹을 사용하고 있다.

Leave a Reply