성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Roll A Lisp In C - Reading ; https...
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>C# - PEB.ProcessHeap을 이용해 디버깅 중인지 확인하는 방법</h1> <p> 아래의 글에 재미있는 내용이 있군요. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Anti-Reversing Technique: PEB.ProcessHeap ; <a target='tab' href='https://t0rchwo0d.github.io/windows/Windows-Anti-Reversing-Technique-PEB.ProcessHeap/'>https://t0rchwo0d.github.io/windows/Windows-Anti-Reversing-Technique-PEB.ProcessHeap/</a> </pre> <br /> 디버거가 연결된 경우 ProcessHeap의,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:007> <span style='color: blue; font-weight: bold'>dt _PEB @$peb</span> ntdll!_PEB +0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' +0x002 BeingDebugged : 0x1 '' // <a target='tab' href='https://docs.microsoft.com/en-us/windows/win32/api/debugapi/nf-debugapi-isdebuggerpresent'>IsDebuggerPresent function</a> +0x003 BitField : 0x84 '' ...[생략]... +0x028 SubSystemData : 0x00007ffd`b5cfe120 Void <span style='color: blue; font-weight: bold'>+0x030 ProcessHeap : 0x000001b0`39300000 Void</span> ...[생략]... </pre> <br /> Flags와 ForceFlags 값이 달라진다는 것입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:007> <span style='color: blue; font-weight: bold'>dt _HEAP</span> ntdll!_HEAP +0x000 Segment : _HEAP_SEGMENT +0x000 Entry : _HEAP_ENTRY +0x010 SegmentSignature : Uint4B +0x014 SegmentFlags : Uint4B +0x018 SegmentListEntry : _LIST_ENTRY +0x028 Heap : Ptr64 _HEAP +0x030 BaseAddress : Ptr64 Void +0x038 NumberOfPages : Uint4B +0x040 FirstEntry : Ptr64 _HEAP_ENTRY +0x048 LastValidEntry : Ptr64 _HEAP_ENTRY +0x050 NumberOfUnCommittedPages : Uint4B +0x054 NumberOfUnCommittedRanges : Uint4B +0x058 SegmentAllocatorBackTraceIndex : Uint2B +0x05a Reserved : Uint2B +0x060 UCRSegmentList : _LIST_ENTRY <span style='color: blue; font-weight: bold'>+0x070 Flags : Uint4B +0x074 ForceFlags : Uint4B</span> ...[생략]... </pre> <br /> 사실 ProcessHeap이 가리키는 것은 Default Heap이기 때문에 전체 힙 목록은 예전에 설명한 대로,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > windbg와 Win32 API로 알아보는 Windows Heap 정보 분석 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/12068'>http://www.sysnet.pe.kr/2/0/12068</a> </pre> <br /> NumberOfHeaps, ProcessHeaps 필드의 값으로 알 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>dt _PEB @$peb ProcessHeap</span> ntdll!_PEB +0x030 ProcessHeap : <span style='color: blue; font-weight: bold'>0x00000255`54510000</span> Void 0:000> <span style='color: blue; font-weight: bold'>dt _PEB @$peb NumberOfHeaps, ProcessHeaps</span> ntdll!_PEB +0x0e8 <span style='color: blue; font-weight: bold'>NumberOfHeaps : 2</span> +0x0f0 <span style='color: blue; font-weight: bold'>ProcessHeaps : 0x00007ffb`64a43c40</span> -> 0x00000255`54510000 Void 0:000> <span style='color: blue; font-weight: bold'>dq /c1 0x00007ffb`64a43c40 L2</span> 00007ffb`64a43c40 <span style='color: blue; font-weight: bold'>00000255`54510000</span> 00007ffb`64a43c48 <span style='color: blue; font-weight: bold'>00000255`54410000</span> </pre> <br /> 보는 바와 같이 ProcessHeaps의 첫 번째 엔트리가 PEB.ProcessHeap 값입니다. 위와 같은 조작을 <a target='tab' href='http://www.sysnet.pe.kr/2/0/12098'>KernelStructOffset</a> 라이브러리를 이용해 코딩해 보면 다음과 같습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > IntPtr <span style='color: blue; font-weight: bold'>pebAddress</span> = EnvironmentBlockInfo.GetPebAddress(out IntPtr tebAddress); var pebOffset = DbgOffset.Get("_PEB"); var heapOffset = DbgOffset.Get("_HEAP"); if (pebOffset.TryRead<IntPtr>(pebAddress, "<span style='color: blue; font-weight: bold'>ProcessHeap</span>", out IntPtr <span style='color: blue; font-weight: bold'>processHeapPtr</span>) == false) { return; } Console.WriteLine($"Default ProcessHeap: {processHeapPtr.ToInt64():x}"); IntPtr <span style='color: blue; font-weight: bold'>processHeapsPtr</span> = pebOffset.GetPointer(pebAddress, "<span style='color: blue; font-weight: bold'>ProcessHeaps</span>").ReadPtr(); if (pebOffset.TryRead<int>(pebAddress, "<span style='color: blue; font-weight: bold'>NumberOfHeaps</span>", out int <span style='color: blue; font-weight: bold'>numberOfHeaps</span>) == false) { return; } Console.WriteLine($"Ptr of ProcessHeaps: {processHeapsPtr.ToInt64():x}"); Console.WriteLine($"Number of Heaps: {numberOfHeaps}"); for (int i = 0; i < numberOfHeaps; i++) { IntPtr entryPtr = processHeapsPtr + (IntPtr.Size * i); IntPtr heapAddress = entryPtr.ReadPtr(); Console.WriteLine($"[{i}] Heap: {heapAddress.ToInt64():x}"); } /* 출력 결과 Default ProcessHeap: 13c0000 Ptr of ProcessHeaps: 7ffdba963c40 Number of Heaps: 6 [0] Heap: 13c0000 [1] Heap: fa0000 [2] Heap: 1730000 [3] Heap: 19b0000 [4] Heap: 3250000 [5] Heap: 3410000 */ </pre> <br /> 그리고, 각각의 heap에 대한 Flags, ForceFlags는 이렇게 구하면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > for (int i = 0; i < numberOfHeaps; i++) { IntPtr entryPtr = processHeapsPtr + (IntPtr.Size * i); IntPtr heapAddress = entryPtr.ReadPtr(); Console.WriteLine($"[{i}] Heap: {heapAddress.ToInt64():x}"); <span style='color: blue; font-weight: bold'>if (heapOffset.TryRead<int>(heapAddress, "Flags", out int flagsValue) == true) { Console.WriteLine($"\tFlags: {flagsValue:x}"); } if (heapOffset.TryRead<int>(heapAddress, "ForceFlags", out int forceFlagsValue) == true) { Console.WriteLine($"\tForceFlags: {forceFlagsValue:x}"); }</span> } </pre> <br /> 코딩이 완료되었으니 이제 테스트를 해봐야겠지요. ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 우선, Visual Studio에서 F5 키를 눌러 "Start Debugging..."으로 시작하면 다음과 같이 결과가 출력됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // Visual Studio - F5 실행 시 Default ProcessHeap: d50000 Ptr of ProcessHeaps: 7ffdba963c40 Number of Heaps: 6 [0] Heap: d50000 Flags: <span style='color: blue; font-weight: bold'>2</span> ForceFlags: <span style='color: blue; font-weight: bold'>0</span> [1] Heap: 9d0000 Flags: <span style='color: blue; font-weight: bold'>8000</span> ForceFlags: <span style='color: blue; font-weight: bold'>0</span> [2] Heap: 1060000 Flags: <span style='color: blue; font-weight: bold'>1002</span> ForceFlags: <span style='color: blue; font-weight: bold'>0</span> [3] Heap: 1370000 Flags: <span style='color: blue; font-weight: bold'>1002</span> ForceFlags: <span style='color: blue; font-weight: bold'>0</span> [4] Heap: 2c70000 Flags: <span style='color: blue; font-weight: bold'>1002</span> ForceFlags: <span style='color: blue; font-weight: bold'>0</span> [5] Heap: 2b70000 Flags: <span style='color: blue; font-weight: bold'>41002</span> ForceFlags: <span style='color: blue; font-weight: bold'>0</span> /* 0x2 == HEAP_GROWABLE 0x1000 == (?) 0x8000 == HEAP_PSEUDO_TAG_FLAG 0x40000 == HEAP_CREATE_ENABLE_EXECUTE */ </pre> <br /> 저 결과는 디버거 없이 실행했을 때와 동일한 것인데 따라서 Visual Studio는 Heap 구성에 별다른 영향을 끼치지 않고 있습니다. 반면, windbg는 다릅니다. "Open Executable..." 메뉴로 exe를 지정한 뒤 "g" 키를 눌러 실행하면 다음과 같이 플래그들이 구성됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Default ProcessHeap: 13c0000 Ptr of ProcessHeaps: 7ffdba963c40 Number of Heaps: 6 [0] Heap: 13c0000 Flags: <span style='color: blue; font-weight: bold'>40000062</span> ForceFlags: <span style='color: blue; font-weight: bold'>40000060</span> [1] Heap: fa0000 Flags: <span style='color: blue; font-weight: bold'>40008060</span> ForceFlags: <span style='color: blue; font-weight: bold'>40000060</span> [2] Heap: 1730000 Flags: <span style='color: blue; font-weight: bold'>40001062</span> ForceFlags: <span style='color: blue; font-weight: bold'>40000060</span> [3] Heap: 19b0000 Flags: <span style='color: blue; font-weight: bold'>40001062</span> ForceFlags: <span style='color: blue; font-weight: bold'>40000060</span> [4] Heap: 3250000 Flags: <span style='color: blue; font-weight: bold'>40001062</span> ForceFlags: <span style='color: blue; font-weight: bold'>40000060</span> [5] Heap: 3410000 Flags: <span style='color: blue; font-weight: bold'>40001062</span> ForceFlags: <span style='color: blue; font-weight: bold'>40000060</span> /* 0x2 == HEAP_GROWABLE 0x1000 == (?) 0x60 == 0x20 HEAP_TAIL_CHECKING_ENABLED 0x40 HEAP_FREE_CHECKING_ENABLED 0x40000000 == HEAP_VALIDATE_PARAMETERS_ENABLED */ </pre> <br /> 의도한 값이 나오는군요. (참고로, 중간에 attach시키면 소용 없습니다.) 재미있는 것은, 해당 프로세스 명(예제에서는 ConsoleApp1.exe)을 <a target='tab' href='http://www.sysnet.pe.kr/2/0/1586'>Image File Execution Options</a> 레지스트리에 등록하면, <br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ConsoleApp1.exe </pre> <br /> windbg에서 실행했을지라도 디버거가 없는 것처럼 Flags들의 값이 구성됩니다. 정리하면... windbg를 상당히 제한적으로 감지할 수 있는 방법입니다.<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
7728
(왼쪽의 숫자를 입력해야 합니다.)