KINUX STORY

Undocument Native API 중 BOOLEAN 형의 함수 인자

(키눅스) — Wed, 12 Mar 2008 21:27:25 +0900

Windows 에서 BOOL 형 과 BOOLEAN 형은 TRUE, FALSE를 구별하는 변수의 타입으로 사용되지만 서로 약간의 차이점이 존재합니다.
그것은 아래와 같이 선언됨에 따라서 BOOLEAN 으로 선언한 변수의 크기는 1바이트이며, BOOL 은 4바이트(32bit 시스템에서) 인 점입니다.

typedef unsigned char BOOLEAN
typedef int BOOL

일반적으로 프로그래밍을 할 경우에, 이 둘을 별로 구별하지 않고 사용하게 되는데요. 하지만 후킹(함수 포인터 변경 방식)을 하는 경우 원본 함수를 호출하려 할때 정확하지 않은 함수 인자를(즉, 사이즈가 다른) 사용하면 때때로 에러(ERROR_INVALID_PARAMETER)로 리턴 되는 경우가 있어 주의가 필요합니다.

특히, Windows 의 Undocument API 를 후킹하고자 할 때는 함수 프로토타입을 알수가 없어서 정확한 함수 인자를 알기가 어렵습니다.
이러한 Undocument API 함수의 프로토타입은 http://undocumented.ntinternals.net/ 와 Windows NT/2000 NATIVE API Reference 책을 참조하는게 보통입니다.

하지만 오늘 위 두 곳에서 정의한 함수 프로토타입이 틀릴 수도 있으므로 주의가 필요함을 알았습니다.

1. 우선 아래와 같은 함수를 확인하실 수 있습니다.

NTAPI
NtCreateNamedPipeFile(OUT PHANDLE NamedPipeFileHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
OUT PIO_STATUS_BLOCK    IoStatusBlock,
IN ULONG    ShareAccess,
IN ULONG    CreateDisposition,
IN ULONG    CreateOptions,
IN BOOLEAN    WriteModeMessage,
IN BOOLEAN    ReadModeMessage,
IN BOOLEAN    NonBlocking,
IN ULONG    MaxInstances,
IN ULONG    InBufferSize,
IN ULONG    OutBufferSize,
IN PLARGE_INTEGER DefaultTimeOut );

위 함수를 보시면 인자의 총 바이트 수는 47바이트(4Byte * 11 + 1Byte * 3) 입니다.
실제로 그런지 확인해 보겠습니다.

2. XP 에서 NtCreateNamedPipeFIle 의 SDT 의 인덱스는 2C 입니다.

0: kd> u ntdll!NtCreateNamedPipeFile
ntdll!NtCreateNamedPipeFile:
7c93d715 b82c000000    mov eax,2Ch
7c93d71a ba0003fe7f    mov edx,offset SharedUserData!SystemCallStub (7ffe0
300)
7c93d71f ff12    call    dword ptr [edx]
7c93d721 c23800    ret 38h

3. SDT(Service Descriptor Table)은 아래와 같이 4개의 멤버를 가지고 있습니다.

(1) System Service Dispatch Table Address
(2) CounterTable Address
(3) Service Limit
(4) System Service Parameter Table Address

이중 4번째 인자는 각 함수별 인자에 대한 정보가 있는 곳입니다.

4. 아래와 같이 SDT 에서 System Service Parameter Table Address 가 있는 위치를 확인합니다. 흠.. 0x80519fc4 네요

0: kd> dd nt!KeServiceDescriptorTable
80563500 804e68b0 00000000 0000011c 80519fc4
80563510 00000000 00000000 00000000 00000000
80563520 00000000 00000000 00000000 00000000
80563530 00000000 00000000 00000000 00000000
80563540 00000002 00002710 bf80c227 00000000
80563550 badefa80 f753d4a0 8a96b0f0 80711040
80563560 00000000 00000000 ffeced30 ffffffff
80563570 e0d48b70 01c883c9 00000000 00000000

5. 각 함수의 인자 값을 확인해면 아래와 같습니다.

0: kd> db 80519fc4
80519fc4 18 20 2c 2c 40 2c 40 44-0c 08 18 18 08 04 04 0c . ,,@,@D........
80519fd4 10 18 08 08 0c 04 08 08-04 04 0c 08 0c 04 04 20 ...............
80519fe4 08 10 0c 14 0c 2c 10 0c-0c 1c 20 10 38 10 14 20 .....,.... .8..
80519ff4 24 24 1c 14 10 20 10 34-14 08 0c 08 04 04 04 04 $$... .4........
8051a004 0c 08 28 04 1c 18 08 18-0c 18 08 18 0c 08 0c 04 ..(.............
8051a014 10 00 0c 10 28 08 08 10-1c 04 08 0c 04 10 08 00 ....(...........
8051a024 08 04 08 0c 28 08 04 10-04 04 0c 0c 28 04 24 28 ....(.......(.$(
8051a034 30 0c 0c 0c 18 0c 0c 0c-0c 30 10 0c 10 0c 0c 0c 0........0......

NtCreateNamedPipeFile 의 위치(인덱스)가 2C (십진수로 44) 인 곳을 확인해 보면 함수 인자의 총 합이 38 (십진수로 56) 임을 확인 할 수 있습니다.
즉, 함수 선언에 있는 것처럼 인자의 총 합이 47바이트(4Byte * 11 + 1Byte * 3) 가 아니라 56 바이트(통상 4Byte * 14) 이어야 합니다.
즉, BOOLEAN 형의 인자 세개가 잘못 된 것이며, 4Byte 타입으로 선언해야 합니다.

이러한 함수를 몇개 더 확인해 본 결과, 함수 선언중 BOOLEAN 인자로 되어 있는것은 전부 이렇게 인자 바이트 합이 일치하지 않았으며, BOOLEAN 타입을 4Byte 타입으로 바꾸어서(ULONG) 계산하면 일치함을 확인했습니다.
또한 이렇게 수정한 결과 후킹후 원본 함수 호출 시 ERROR_INVALID_PARAMETER 가 발생하지 않음을 확인했습니다.

위 내용에 대해서 2000 SP4, XP SP2 에 환경에서 확인해 보았습니다.

하이브리드 후킹

(키눅스) — Fri, 07 Mar 2008 21:21:23 +0900

루트킷에 보면 하이브리드 후킹에 대한 설명이 나와있습니다.
간단히 말해서 DLL Injection 없이 커널모드 에서 유저모드의 IAT(Import Address Table)을 바로 후킹하는 것입니다.

이 후킹 방식의 주요 포인트는 PsSetLoadImageNotifyRoutine() 함수를 이용하여 바이너리 이미지가 메모리로 로드되는 시점을 알 수 있다는 것과 KUSER_SHARED_DATA 영역이라 불리는 커널모드와 유저모드에서 동일한 물리 메모리 주소를 가리키는 영역을 이용한다는 것입니다.

NOTE : PsSetLoadImageNotifyRoutine 으로 등록한 콜백함수가 호출되는 시점이 이미지들이 로딩되는 프로세스와 같은 Process Context 인 점이 중요 합니다.

NOTE : 커널모드에서의 KUSER_SHARED_DATA : 0xFFDF0000 + 4K
유저모드에서의 KUSER_SHARED_DATA : 0x7FFE0000 + 4K

하지만 책에 있는 샘플을 그대로 동작시켰을때 정상적으로 후킹되지 않음을 알 수 있습니다.
이는 PsSetLoadImageNotifyRoutine 콜백 함수로 특정 DLL 이 로드 되었다고 알려진 시점에 바로 후킹에 들어갔기 때문입니다. 즉, DLL 이 로드 되었다고 해도 해당 DLL의 익스포트 함수를 어플리케이션의 IAT(PE Format 에서 OriginalFirstThunk 가 아닌 FirstThunk)에 적용하기 전 시점일수(거의 대부분) 있기 때문입니다.

요지는 루트킷 책의 샘플을 이용하여 하이브리드 후킹을 했을때 후킹이 안된 경우는 위 문제 때문일 것이라는... ^^; (이미 아시는 내용이시라면 Pass ~~ )

디버깅한 내용들을 스크린 샷으로 찍어서 설명 드렸으면 더 좋았을 텐데.. 귀차니즘으로 ^^;
아래는 하이브리드 후킹에 대해서 그림으로 간단히 요약해 본 것입니다.
(그림에 대한 설명은 루트킷 책을 참고하세요)

KUSER_SHARED_DATA

하이브리드 후킹

역시 말로 설명하는 것보다 글이나 그림은 어렵군요. ^^;

※ 지나가는 소리 : 루트킷 책 원서와 번역본 모두 PsSetImageLoadNotifyRoutine 함수라고 나와있네요. 오타이며, 정확한 함수명은 PsSetLoadImageNotifyRoutine 입니다. ^^;

서비스가 정적 로딩되어 있으면 OpenService() 실패?

(키눅스) — Wed, 13 Feb 2008 20:01:20 +0900

"정적 로딩으로 설정된 드라이버를 OpenService() 함수로 열었을때 정상적으로 열릴까?"

1. 드라이버를 정적로딩, 즉 Start Type을 SERVICE_SYSTEM_START(0x00000001)로 설정해 놓았습니다.

2. 부팅시에 드라이버가 로딩되었습니다.

3. 해당 드라이버(서비스)를 OpenService() 함수로 열었습니다. (왜 이런짓을 했어야 했는지 설명하기는 복잡해서 생략)

4. 저는 당연히 성공으로 리턴될 줄 알았는데 실패로 뜨는 군요
GetLastError() 값 : ERROR_SERVICE_DOES_NOT_EXIT
분명히 드라이버(서비스)는 로딩되어 있는데...

어쨌든 이러한 증상이 오히려 도움이 됐습니다만.. 혹시 이에 대해 설명해 주실 분 있으신지..

2008년 처음 포스팅인데 허접하네요... TT;

Visual Studio 2008 is now live on MSDN Subscriber Downloads

(키눅스) — Tue, 20 Nov 2007 09:25:23 +0900

Visual Studio 2008 정식 버전이 MSDN 구독자 다운로드 사이트에 떴네요.
늘 그렇듯이 지금은 영문판 Team System Architecture 판만 올라와 있는 상태입니다.
(다운로드 받아서 설치해 보고 싶지만.. 지금은 그럴 여유가 없다는..)

http://blogs.msdn.com/msdnsubscriptions/default.aspx

Visual Studio 2008 is now live on MSDN Subscriber Downloads

As of 0900 (PST) on Monday November 19, 2007.

You have two avenues to download the files you are entitled to

1. Top Subscriber Downloads (make sure to allow popups)

2. Suscriber Downloads and Product Keys link

Enjoy!

9X 에서 커널모드에서 프로세스 ID 얻기

(키눅스) — Tue, 20 Nov 2007 01:05:11 +0900

9X 용 드라이버 개발해 본지가 호랑이 담배 필적이라...아주 잊고 있었는데..
(조금)아는 분이랑 메신저 대화하다가.. 9X 커널모드에서 타 프로세스 ID 얻는 방법이 갑자기 궁금해졌습니다.
분명 2X 계열과는 틀렸었는데(커널모드에서 얻은 프로세스 ID와 유저모드의 프로세스 ID가 매치되지 않는)... '뭐였지?' 하면서 기억들 더듬 더듬...

1. 유저모드에서 얻은 자기 자신 프로세스 ID를 드라이버로 보냅니다.
2. 커널모드에서 1. 번에서 프로세스 ID를 보내온 프로세스(자기 자신) 핸들을 얻습니다.
- VWIN32_GetCurrentProcessHandle() 함수를 이용해서 유저모드(Ring 3) 프로세스 핸들을 얻습니다.
3. 1번의 유저모드의 프로세스 ID와 2번의 커널모드 프로세스 핸들을 '^' 연산을 해서 Obsfuscator를 얻습니다.
- 예) ULONG AppProcessID : 유저모드 프로세스 ID
PVOID ProcessHandle : 커널모드 프로세스 핸들
ProcessHandle = VWIN32_GetCurrentProcessHandle();
ULONG Obsfuscator = (ULONG)ProcessHandle ^ AppProcessID;
4. 이제 필터 드라이버(파일 시스템이든 TDI 레이어 이든)등에서 특정 연산을 호출하는 프로세스의 프로세스 ID는 해당 연산에서 얻어진 프로세스 핸들과 Obsfuscator를 '^' 연산을 통해 얻어질 수 있습니다.
- 예) PVOID CurrentProcessHandle = VWIN32_GetCurrentProcessHandle();
ULONG CurrentProcessID = (ULONG)CurrentProcessHandle ^ Obsfuscator;

요새는 거의 9X 용 드라이버를 개발하는 경우가 없으실테니 필요가 없는 내용일 것입니다.
더군다나 맞는지도 모르겠고.. 확인해볼 플랫폼이나 테스트 해 볼 9X용 드라이버도 없으니..

지금 돌이켜보면 9X 용 드라이버 개발할때가 참 색다른 맛이 있었던것 같네요.
WDM 이다 WDF 다 하면서 점점 드라이버 개발 진입이 쉬워지기는 하지만.. 그래도 나름 그때가 묘한 매력이 있었던것 같습니다.

Windows Internals, Fifth Edition

(키눅스) — Mon, 19 Nov 2007 22:37:19 +0900

'나올 때가 되지 않았을까..' 생각은 하고 있었는데.. 드디어 나오는 군요..
하지만 2008년 5월 28일이라.. 'Coming Soon' 이라고 하기에는.. ^^;

http://www.microsoft.com/mspress/books/12069.aspx

간만에 포스팅 치고는 허접한 정보입니다.(뒷북일수도..)

WINVER, _WIN32_WINNT, _WIN32_WINDOWS, _WIN32_IE 차이

(키눅스) — Thu, 20 Sep 2007 17:21:19 +0900

#define WINVER 0x0501
#define _WIN32_WINNT 0x0501
#define _WIN32_WINDOWS 0x0410
#define _WIN32_IE 0x0600

위와같은 버전 정의를 보면서 왜 이렇게 여러개를 만들어 놨을까 궁금한적 없으신지..
저 나름데로 WINVER는 NT 가 나오기 전에 사용되었던 것 같고, _WIN32_WINNT는 NT 개발하면서 만들어졌고.. 기존 헤더 파일들과의 호환성을 위해서 둘다 남겨두었을거라고 생각했었는데.. 대충 맞네요. ^^;

자세한 히스토리는 아래 사이트에서..
http://blogs.msdn.com/oldnewthing/archive/2007/04/11/2079137.aspx

TV 지르다..

(키눅스) — Thu, 20 Sep 2007 00:20:22 +0900

그동안 HD급 시스템을 바쳐주지 못하는 TV 때문에 맘 고생(?) 했엇는데.. 드디어 질렀습니다. LCD TV를 사기에는 부담이 되고 해서.. 그냥 완전평면 TV로 하나 장만했습니다.

[LG Slim HD급 일체형 TV 32FS4D]

[제품 설명]

-기존 브라운관 TV 대비 약 20cm 이상 얇아진 Slim한 디자인
-Slim Gun 테크놀로지를 이용한 세계 최소 두께 CPT채용
-디지털 방송수신기 일체형 HDTV
-최고의 수신율을 자랑하는 5세대 수신칩내장
-XD엔진 적용으로 선명한 화질 제공
-10W+10W 디지털 음성 출력 지원
-화면비율 16:9
-음성출력 10W + 10W
-100%디지털 영상 및 사운드 접속단자 HDMI
-단자 :AV입력,S-Video입력, 컴포넌트 입력x2, HDMI 단자, 디지털,AV출력

[제품 기능]

- 최고의 수신율을 자랑하는 5세대 수신칩
- XD 엔진적용
- 16:9 와이드 화면
- SRS TruSurround XT 10W+10W 음성출력
- 디지털 음성 출력 지원디지털 방송 안내 (EPG)
- HDMI단자 채용

화질 하나는 정말 끝내주는군요... 드디어 영화랑 게임 할 맛이 납니다. 이제 PS3만 지르면 되는건가.. ^^;
아래는 XBOX360 Ace Combat 6 데모 플레이 화면입니다.

RX-93-ν2 Hi-ν GUNDAM

(키눅스) — Mon, 17 Sep 2007 01:13:24 +0900

정말 간만에 프라모델을 조립했습니다.
구입한지는 한 4개월 이상 된것 같은데.. 이제껏 미루다 오늘 드디어 손을 대서 완성을 했습니다. 간만에 조립해서 그런지 조립시간이 꽤 길어졌습니다. (한 6시간 정도..)
개인적으로 MK-II 다음으로 가장 맘에 드는 건프라 입니다.
대부분 괜찮은것 같은데, 사출색도 괜찮고... 근데.. 자세를 잡기가 조금 힘이 드네요. FIN FUNNEL 때문에 뒤쪽에 무게중심이 있어서.. 살짝 자세를 잘못 잡으면 뒤로 벌러덩 ^^;

링크(21세기를 지배하는 네트워크 과학)

(키눅스) — Tue, 11 Sep 2007 22:21:04 +0900

저자 : 알버트 라즐로 바라바시

역자 : 강병남 외

출판사 : 동아시아

흠.... 책을 읽고난 느낌은 일단 어렵습니다. 꼭 장문의 논문 한편을 읽은 느낌이랄까... 현재 네트워크(인터넷.. 그중에서도 웹)가 어떻게 생겨났으며, 어떻게 진화하는지에 대한 수학,통계학,경제학,물히학 적인 접근을 통해 네트워크 및 현대 사회가 어떻게 이루어졌는지에 대해 분석한 책입니다.
초반에는 나름 따라가면서 아무튼 읽긴 있었는데 중후반으로 갈수록 제 머리의 한계를 느끼면서 겨우 겨우 다음페이지를 넘겼습니다.
다음에 또 다시 읽게 될지는 모르겠지만 그때는 좀 느낌이 다를지 모르겠습니다.

아무튼 네트워크가 무의미하게 연결되어 있는것 같지만 연결법칙은 있다는 것이며, 이런 분야에 관심이 있으신 분은 읽어보시면 좋을것 같습니다.