(연관된 글이 1개 있습니다.)
(시리즈 글이 4개 있습니다.)

디버깅 기술: 115. windbg - 덤프 파일로부터 PID와 환경변수 등의 정보를 구하는 방법
; https://www.sysnet.pe.kr/2/0/11478

.NET Framework: 876. C# - PEB(Process Environment Block)를 통해 로드된 모듈 목록 열람
; https://www.sysnet.pe.kr/2/0/12101

디버깅 기술: 153. C# - PEB를 조작해 로드된 DLL을 숨기는 방법
; https://www.sysnet.pe.kr/2/0/12105

디버깅 기술: 157. C# - PEB.ProcessHeap을 이용해 디버깅 중인지 확인하는 방법
; https://www.sysnet.pe.kr/2/0/12115

C# - PEB.ProcessHeap을 이용해 디버깅 중인지 확인하는 방법

아래의 글에 재미있는 내용이 있군요. ^^

Anti-Reversing Technique: PEB.ProcessHeap
; https://t0rchwo0d.github.io/windows/Windows-Anti-Reversing-Technique-PEB.ProcessHeap/

디버거가 연결된 경우 ProcessHeap의,

0:007> dt _PEB @$peb
ntdll!_PEB
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0x1 '' // IsDebuggerPresent function
   +0x003 BitField         : 0x84 ''
...[생략]...
   +0x028 SubSystemData    : 0x00007ffd`b5cfe120 Void
   +0x030 ProcessHeap      : 0x000001b0`39300000 Void
...[생략]...

Flags와 ForceFlags 값이 달라진다는 것입니다.

0:007> dt _HEAP
ntdll!_HEAP
   +0x000 Segment          : _HEAP_SEGMENT
   +0x000 Entry            : _HEAP_ENTRY
   +0x010 SegmentSignature : Uint4B
   +0x014 SegmentFlags     : Uint4B
   +0x018 SegmentListEntry : _LIST_ENTRY
   +0x028 Heap             : Ptr64 _HEAP
   +0x030 BaseAddress      : Ptr64 Void
   +0x038 NumberOfPages    : Uint4B
   +0x040 FirstEntry       : Ptr64 _HEAP_ENTRY
   +0x048 LastValidEntry   : Ptr64 _HEAP_ENTRY
   +0x050 NumberOfUnCommittedPages : Uint4B
   +0x054 NumberOfUnCommittedRanges : Uint4B
   +0x058 SegmentAllocatorBackTraceIndex : Uint2B
   +0x05a Reserved         : Uint2B
   +0x060 UCRSegmentList   : _LIST_ENTRY
   +0x070 Flags            : Uint4B
   +0x074 ForceFlags       : Uint4B
...[생략]...

사실 ProcessHeap이 가리키는 것은 Default Heap이기 때문에 전체 힙 목록은 예전에 설명한 대로,

windbg와 Win32 API로 알아보는 Windows Heap 정보 분석
; https://www.sysnet.pe.kr/2/0/12068

NumberOfHeaps, ProcessHeaps 필드의 값으로 알 수 있습니다.

0:000> dt _PEB @$peb ProcessHeap
ntdll!_PEB
   +0x030 ProcessHeap : 0x00000255`54510000 Void

0:000> dt _PEB @$peb NumberOfHeaps, ProcessHeaps
ntdll!_PEB
   +0x0e8 NumberOfHeaps  : 2
   +0x0f0 ProcessHeaps   : 0x00007ffb`64a43c40  -> 0x00000255`54510000 Void

0:000> dq /c1 0x00007ffb`64a43c40  L2
00007ffb`64a43c40  00000255`54510000
00007ffb`64a43c48  00000255`54410000

보는 바와 같이 ProcessHeaps의 첫 번째 엔트리가 PEB.ProcessHeap 값입니다. 위와 같은 조작을 KernelStructOffset 라이브러리를 이용해 코딩해 보면 다음과 같습니다.

IntPtr pebAddress = EnvironmentBlockInfo.GetPebAddress(out IntPtr tebAddress);

var pebOffset = DbgOffset.Get("_PEB");
var heapOffset = DbgOffset.Get("_HEAP");

if (pebOffset.TryRead<IntPtr>(pebAddress, "ProcessHeap", out IntPtr processHeapPtr) == false)
{
    return;
}

Console.WriteLine($"Default ProcessHeap: {processHeapPtr.ToInt64():x}");

IntPtr processHeapsPtr = pebOffset.GetPointer(pebAddress, "ProcessHeaps").ReadPtr();
if (pebOffset.TryRead<int>(pebAddress, "NumberOfHeaps", out int numberOfHeaps) == false)
{
    return;
}

Console.WriteLine($"Ptr of ProcessHeaps: {processHeapsPtr.ToInt64():x}");
Console.WriteLine($"Number of Heaps: {numberOfHeaps}");

for (int i = 0; i < numberOfHeaps; i++)
{
    IntPtr entryPtr = processHeapsPtr + (IntPtr.Size * i);
    IntPtr heapAddress = entryPtr.ReadPtr();

    Console.WriteLine($"[{i}] Heap: {heapAddress.ToInt64():x}");
}

/* 출력 결과

Default ProcessHeap: 13c0000
Ptr of ProcessHeaps: 7ffdba963c40
Number of Heaps: 6
[0] Heap: 13c0000
[1] Heap: fa0000
[2] Heap: 1730000
[3] Heap: 19b0000
[4] Heap: 3250000
[5] Heap: 3410000
*/

그리고, 각각의 heap에 대한 Flags, ForceFlags는 이렇게 구하면 됩니다.

for (int i = 0; i < numberOfHeaps; i++)
{
    IntPtr entryPtr = processHeapsPtr + (IntPtr.Size * i);
    IntPtr heapAddress = entryPtr.ReadPtr();

    Console.WriteLine($"[{i}] Heap: {heapAddress.ToInt64():x}");

    if (heapOffset.TryRead<int>(heapAddress, "Flags", out int flagsValue) == true)
    {
        Console.WriteLine($"\tFlags: {flagsValue:x}");
    }

    if (heapOffset.TryRead<int>(heapAddress, "ForceFlags", out int forceFlagsValue) == true)
    {
        Console.WriteLine($"\tForceFlags: {forceFlagsValue:x}");
    }
}

코딩이 완료되었으니 이제 테스트를 해봐야겠지요. ^^

우선, Visual Studio에서 F5 키를 눌러 "Start Debugging..."으로 시작하면 다음과 같이 결과가 출력됩니다.

// Visual Studio - F5 실행 시

Default ProcessHeap: d50000
Ptr of ProcessHeaps: 7ffdba963c40

Number of Heaps: 6
[0] Heap: d50000
        Flags: 2
        ForceFlags: 0
[1] Heap: 9d0000
        Flags: 8000
        ForceFlags: 0
[2] Heap: 1060000
        Flags: 1002
        ForceFlags: 0
[3] Heap: 1370000
        Flags: 1002
        ForceFlags: 0
[4] Heap: 2c70000
        Flags: 1002
        ForceFlags: 0
[5] Heap: 2b70000
        Flags: 41002
        ForceFlags: 0

/*
0x2 == HEAP_GROWABLE
0x1000 == (?)
0x8000 == HEAP_PSEUDO_TAG_FLAG
0x40000 == HEAP_CREATE_ENABLE_EXECUTE
*/

저 결과는 디버거 없이 실행했을 때와 동일한 것인데 따라서 Visual Studio는 Heap 구성에 별다른 영향을 끼치지 않고 있습니다. 반면, windbg는 다릅니다. "Open Executable..." 메뉴로 exe를 지정한 뒤 "g" 키를 눌러 실행하면 다음과 같이 플래그들이 구성됩니다.

Default ProcessHeap: 13c0000
Ptr of ProcessHeaps: 7ffdba963c40

Number of Heaps: 6
[0] Heap: 13c0000
        Flags: 40000062
        ForceFlags: 40000060
[1] Heap: fa0000
        Flags: 40008060
        ForceFlags: 40000060
[2] Heap: 1730000
        Flags: 40001062
        ForceFlags: 40000060
[3] Heap: 19b0000
        Flags: 40001062
        ForceFlags: 40000060
[4] Heap: 3250000
        Flags: 40001062
        ForceFlags: 40000060
[5] Heap: 3410000
        Flags: 40001062
        ForceFlags: 40000060

/*
0x2 == HEAP_GROWABLE
0x1000 == (?)
0x60 == 
    0x20 HEAP_TAIL_CHECKING_ENABLED
    0x40 HEAP_FREE_CHECKING_ENABLED
0x40000000 == HEAP_VALIDATE_PARAMETERS_ENABLED
*/

의도한 값이 나오는군요. (참고로, 중간에 attach시키면 소용 없습니다.) 재미있는 것은, 해당 프로세스 명(예제에서는 ConsoleApp1.exe)을 Image File Execution Options 레지스트리에 등록하면,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ConsoleApp1.exe

windbg에서 실행했을지라도 디버거가 없는 것처럼 Flags들의 값이 구성됩니다. 정리하면... windbg를 상당히 제한적으로 감지할 수 있는 방법입니다.

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]

디버깅 기술: 159. C# - 디버깅 중인 프로세스를 강제로 다른 디버거에서 연결하는 방법

[최초 등록일: 1/14/2020]
[최종 수정일: 1/14/2020]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
1152	정성태	10/20/2011	23789	.NET Framework: 251. string.GetHashCode는 hash 값을 cache 할까?
1151	정성태	10/18/2011	22706	Java: 13. 자바도 64비트에서 (2GB) OutOfMemoryException 예외가 발생할까?
1150	정성태	10/18/2011	29902	.NET Framework: 250. WPF - ComboBox의 SelectionChagned 이벤트	1
1149	정성태	10/16/2011	25601	.NET Framework: 249. WPF - d:DesignHeight 값을 구할 수 있을까?
1148	정성태	10/14/2011	31585	Java: 12. 자바에서 LINQ 사용? [7]
1147	정성태	10/13/2011	27511	.NET Framework: 248. 닷넷에서 지원되는 문자열 인코딩 이름 목록
1146	정성태	10/12/2011	33233	.NET Framework: 247. LINQ에서의 Max 기능 구현 [10]	1
1144	정성태	10/10/2011	28914	.NET Framework: 246. WCF - 서버 측에서의 유효한 Timeout 설정	1
1143	정성태	10/9/2011	34484	.NET Framework: 245. ASP.NET 서버 측 코드에서 페이스북 계정 연동하는 방법
1142	정성태	10/8/2011	34984	.NET Framework: 244. 윈도우 폼을 열고 닫는 것만으로 메모리 leak이 발생할까? [2]	1
1141	정성태	10/7/2011	33612	.NET Framework: 243. DataTable에 대해서 Dispose 메서드를 호출할 필요가 있을까? [4]	1
1140	정성태	10/6/2011	26776	.NET Framework: 242. 닷넷 개발자 입장에서 이해해 보는 자바의 서블릿, JSP
1138	정성태	10/1/2011	44916	Java: 11. 웹 로직에서 MS-SQL 서버 연결 [2]
1137	정성태	9/30/2011	30001	Java: 10. 닷넷 개발자가 설치해 본 Oracle WebLogic Server - 설치 및 기본 도메인 구성
1136	정성태	9/29/2011	25406	개발 환경 구성: 131. Visual Studio - ASP.NET의 Code-behind처럼 cs 파일을 그룹핑하는 매크로 함수 [2]	1
1135	정성태	9/29/2011	22855	오류 유형: 138. TF10216: Team Foundation services are currently unavailable
1134	정성태	9/27/2011	30302	.NET Framework: 241. C# 5.0에 새로 추가된 Caller Info 특성 [5]
1133	정성태	9/25/2011	33581	VC++: 54. C++로 만든 WinRT 프로그램 [2]
1132	정성태	9/24/2011	73056	Java: 9. 자바의 keytool.exe 사용법과 Tomcat의 SSL 통신 설정
1131	정성태	9/23/2011	29261	Java: 8. 닷넷 개발자가 구현해 본 자바 웹 서비스 (2)
1130	정성태	9/23/2011	37254	Java: 7. 닷넷 개발자가 구현해 본 자바 웹 서비스 (1)	2
1129	정성태	9/22/2011	28895	개발 환경 구성: 130. Hyper-V에 MS-DOS VM 만드는 방법 - MSDN 구독자 대상 [3]
1128	정성태	9/20/2011	29058	오류 유형: 137. KB2449742 보안 업데이트로 인한 충돌 문제 해결 - 두 번째 이야기
1127	정성태	9/19/2011	33148	Java: 6. Java에서 MySQL 사용 [2]
1126	정성태	9/18/2011	28268	Math: 3. "유클리드 호제법"과 "Bezout's identity" 구현 코드(C#)	1
1125	정성태	9/17/2011	26178	Windows: 54. Windows 8 개발자 Preview를 사용해 보고... [2]

AD BLOCK 해제 요청

C# - PEB.ProcessHeap을 이용해 디버깅 중인지 확인하는 방법