Kernel Driver 시작 시 127(The specified procedure could not be found.) 오류 메시지 발생
지난 글에서,
커널 메모리를 읽고 쓰는 NT Legacy driver와 C# 클라이언트 프로그램
; https://www.sysnet.pe.kr/2/0/12104
만든 KernelMemoryIO.sys 파일을 Windows 7에서 등록해 시작하려고 했더니 다음과 같은 오류가 발생합니다.
c:\temp> net start KernelMemoryIO
System error 127 has occurred.
The specified procedure could not be found.
경험 상, ^^ 해당 OS에서 지원하지 않는 API를 사용한 경우일 텐데요. depends.exe로 KernelMemoryIO.sys를 로드해 살펴보니 NTOSKRNL.EXE로부터 사용하는 API는 다음과 같았습니다.
DbgPrint
IoCreateDevice
IoCreateSymbolicLink
IoDeleteDevice
IoDeleteSymbolicLink
IofCompleteRequest
MmCopyMemory
결국 MmCopyMemory API가 원인이었는데,
MmCopyMemory function
; https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-mmcopymemory
문서에 보면 "Minimum supported client"가 "Available starting with Windows 8.1"로 나옵니다. 따라서 이런 경우에는 Windows 7을 지원하고 싶다면 유사한 API, 즉 RtlCopyMemory 정도로 바꿔주면 해결됩니다.
/*
// For Windows 7
deviceExtension->Position = ptr;
RtlCopyMemory(ioBuffer, deviceExtension->Position, outBufLength);
numberOfBytesTransferred = outBufLength;
*/
/*
// For Windows 8.1 or later
MM_COPY_ADDRESS address;
address.VirtualAddress = ptr;
MmCopyMemory(ioBuffer, address, outBufLength, MM_COPY_MEMORY_VIRTUAL, &numberOfBytesTransferred);
*/
정리하면, 만약 외부에서 구한 kernel driver가 127 오류로 시작하지 않는다면 해당 OS에서 지원하지 않는 것이므로 소스 코드가 있다면 다시 빌드를 하거나, 또는 자신의 운영체제를 driver가 지원하는 버전으로 업그레이드해야 합니다.
참고로, 지원하지 않는 API를 찾아내는 것은 depends.exe로도 가능하지만, 더 좋은 방법은 커널 드라이버의 프로젝트 속성 창에서 "Target OS Version"을 조정해 보는 것입니다.
위의 설정을 "Windows 7"로 맞추고 빌드하면 해당 OS에서 지원하지 않는 API를 사용한 모든 코드 지점에서 컴파일 오류가 발생하게 됩니다. (그러고 보니, Visual Studio에 WDK가 통합되면서 드라이버 개발 편의성이 꽤나 향상되었군요. ^^)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]