J & J - 정성태의 닷넷 이야기

사용자

메뉴

최근 덧글

[정성태] 그냥 RSS Reader 기능과 약간의 UI 편의성 때문에 사용...[이종효] 오래된 소프트웨어는 보안 위협이 되기도 합니다. 혹시 어떤 기능...[정성태] @Keystroke IEEE의 문서를 소개해 주시다니... +_...[손민수 (Keystroke)] 괜히 듀얼채널 구성할 때 한번에 같은 제품 사라고 하는 것이 아...[정성태] 전각(Full-width)/반각(Half-width) 기능을 토...[정성태] Vector에 대한 내용은 없습니다. Vector가 닷넷 BCL...[orion] 글 읽고 찾아보니 디자인 타임에는 InitializeCompon...[orion] 연휴 전에 재현 프로젝트 올리자 생각해 놓고 여의치 않아서 못 ...[정성태] 아래의 글에 정리했으니 참고하세요. C# - Typed D...[정성태] 간단한 재현 프로젝트라도 있을까요? 저런 식으로 설명만 해...

글쓰기

제목

이름

암호

전자우편

HTML

홈페이지

유형

내용

<div style='display: inline'>
<h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>windbg - 특정 Win32 API에서 BP가 안 걸리는 경우</h1>

이상하군요, windbg에서 bp가 안 걸립니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; bp advapi32!RegOpenKeyExW
Couldn't resolve error at 'advapi32!RegOpenKeyExW'
</pre>
 
문서상으로 보면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
RegOpenKeyExW function (winreg.h)
; <a target='tab' href='https://learn.microsoft.com/en-us/windows/win32/api/winreg/nf-winreg-regopenkeyexw'>https://learn.microsoft.com/en-us/windows/win32/api/winreg/nf-winreg-regopenkeyexw</a>
</pre>
 
분명히 advapi32.dll에 있는데요, 다음의 글에 따라 원인 파악을 해보겠습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
[windbg]IAT 테이블 이용해서 system function 찾기
; <a target='tab' href='https://kochuns.blogspot.com/2017/07/windbgiat-system-function.html'>https://kochuns.blogspot.com/2017/07/windbgiat-system-function.html</a>

Direct System Call - SysWhispers
 - Viewing the Import Address Table in Memory
; <a target='tab' href='https://im0s.com/2023-12-10-DirectSystemCalls/#viewing-the-import-address-table-in-memory'>https://im0s.com/2023-12-10-DirectSystemCalls/#viewing-the-import-address-table-in-memory</a>
</pre>
 
lm 명령어로 모듈 로딩 주소를 알아내고, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; lm
start end module name
00007ff7`c5a40000 00007ff7`c5aa6000 netcore_host (deferred) 
00007ff8`5c660000 00007ff8`5c672000 kernel_appcore (deferred) 
00007ff8`5ebe0000 00007ff8`5eea8000 KERNELBASE (pdb symbols) e:\symbols\kernelbase.pdb\5FB214A533D3CB127ADE9F509D0EACAD1\kernelbase.pdb
00007ff8`60b30000 00007ff8`60bdc000 ADVAPI32 (deferred) 
00007ff8`60be0000 00007ff8`60c9d000 KERNEL32 (deferred) 
00007ff8`60ca0000 00007ff8`60d3b000 sechost (deferred) 
00007ff8`60dc0000 00007ff8`60e5e000 msvcrt (deferred) 
00007ff8`60e60000 00007ff8`60f84000 RPCRT4 (deferred) 
</pre>
 
dh 명령어를 내리면 IAT 주소의 offset과 크기를 알 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; !dh 00007ff8`60b30000 /f

File Type: DLL
FILE HEADER VALUES
    8664 machine (X64)
       7 number of sections
15FD8D3B time date stamp Thu Sep 10 11:51:39 1981

...[생략]...
 77328 [ 14D8] address [size] of Import Address Table Directory
 8F2AC [ 1A0] address [size] of Delay Import Directory
 0 [ 0] address [size] of COR20 Header Directory
 0 [ 0] address [size] of Reserved Directory

/* 또는 보다 간단하게, windbg의 <a target='tab' href='https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/x--examine-symbols-'>x (Examine Symbols) 명령어</a>를 이용해,
0:000&gt; x /D /f kernel32!*
</pre>
 
(x64 환경이므로) 8바이트 단위로 심벌 풀이를 해보면 import 함수의 목록을 볼 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; dps 00007ff8`60b30000 + 77328 L14D8
00007ff8`60ba7328 00007ff8`60c02250 KERNEL32!ExpandEnvironmentStringsAStub
00007ff8`60ba7330 00007ff8`60bf5810 KERNEL32!MultiByteToWideCharStub
00007ff8`60ba7338 00007ff8`60bf7b60 KERNEL32!LocalFreeStub
...[생략]...
00007ff8`60ba79d0 00007ff8`5ec0c580 KERNELBASE!RegOpenKeyExW
00007ff8`60ba79d8 00007ff8`5ec0c860 KERNELBASE!RegQueryValueExW
00007ff8`60ba79e0 00000000`00000000
00007ff8`60ba79e8 00007ff8`5ecbc980 KERNELBASE!RegDeleteKeyValueA
00007ff8`60ba79f0 00007ff8`5ecbc9e0 KERNELBASE!RegSetKeyValueA
00007ff8`60ba79f8 00007ff8`5ec06880 KERNELBASE!RegSetKeyValueW
00007ff8`60ba7a00 00007ff8`5ec5c1b0 KERNELBASE!RegDeleteKeyValueW
00007ff8`60ba7a08 00000000`00000000
...[생략]...
</pre>
 
그런데... windbg의 버그일까요? KERNELBASE!RegOpenKeyExW 위치로 bp를 걸었더니, windbg가 엉뚱한 위치에 bp를 설정합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; bp KERNELBASE!RegOpenKeyExW
0:000&gt; bl
 0 e Disable Clear 00007ff8`5ec605c0 0001 (0001) 0:**** KERNELBASE!CancelProcessEapAuthPacket
</pre>
 
해당 심벌로 역어셈블을 하면 bp 설정할 때와 동일한 CancelProcessEapAuthPacket을 대상으로 합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; uf KERNELBASE!RegOpenKeyExW
KERNELBASE!CancelProcessEapAuthPacket:
00007ff8`5ec605c0 b87f000000 mov eax,7Fh
00007ff8`5ec605c5 c3 ret
</pre>
 
가만 보니까, KERNELBASE!CancelProcessEapAuthPacket 주소가 00007ff8`5ec605c0로 나오는데, 위에서 조사한 IAT에서의 KERNELBASE!RegOpenKeyExW 주소는 "00007ff8`60ba79d0"였습니다. 
 
그래서 직접 덤프해 보면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; uf 00007ff8`5ec0c580
KERNELBASE!RegOpenKeyExW:
00007ff8`5ec0c580 4883ec38 sub rsp,38h
00007ff8`5ec0c584 488b442460 mov rax,qword ptr [rsp+60h]
00007ff8`5ec0c589 488364242800 and qword ptr [rsp+28h],0
00007ff8`5ec0c58f 4889442420 mov qword ptr [rsp+20h],rax
00007ff8`5ec0c594 e817000000 call KERNELBASE!RegOpenKeyExInternalW (00007ff8`5ec0c5b0)
00007ff8`5ec0c599 4883c438 add rsp,38h
00007ff8`5ec0c59d c3 ret
</pre>
 
잘 나옵니다. 어쩔 수 없군요, 그냥 "bp KERNELBASE!RegOpenKeyExInternalW" 또는 "bp ADVAPI32!RegOpenKeyExWStub" 식으로 거는 것이 좋겠습니다. 
 
<hr style='width: 50%' /> 
 
참고로, "bp ADVAPI32!RegOpenKeyExW"도 마찬가지인데, 이 경우에도 KERNELBASE로 forward 되었지만 오류가 살짝 다릅니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:001&gt; bp KERNELBASE!RegGetValueW
Matched: 00007ff8`5ec0bef0 KERNELBASE!RegGetValueW (void)
Matched: 00007ff8`5ec605c0 KERNELBASE!RegGetValueW (void)
Ambiguous symbol error at 'KERNELBASE!RegGetValueW'
The breakpoint expression "KERNELBASE!RegGetValueW" evaluates to the inline function.
Please use bm command to set breakpoints instead of bp.
</pre>
 
출력 결과의 두 번째 항목의 주소(00007ff8`5ec605c0)는 RegOpenKeyExW 주소와 같습니다. 또한 IAT 덤프 결과를 보면 중간에 RegOpenKeyExW 관련해서 2개의 오류가 있는 것을 확인할 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
...[생략]...
00007ff8`60ba76c8 00007ff8`5ecbc870 KERNELBASE!RegKrnGetHKEY_ClassesRootAddress
00007ff8`60ba76d0 00007ff8`5ebfa3f0 KERNELBASE!lstrlenW
00007ff8`60ba76d8 00000000`00000000
00007ff8`60ba76e0 00007ff8`60eb6800*** Unable to resolve unqualified symbol in Bp expression 'KERNELBASE::RegGetValueW'.
 RPCRT4!I_RpcExceptionFilter
00007ff8`60ba76e8 00007ff8`60e695b0 RPCRT4!UuidToStringW
00007ff8`60ba76f0 00007ff8`60e68fd0 RPCRT4!UuidFromStringW
...[생략]...
00007ff8`60ba7770 00007ff8`60ec3580 RPCRT4!RpcBindingSetAuthInfoW
00007ff8`60ba7778 00000000`00000000
00007ff8`60ba7780 00007ff8`60cec140*** Unable to resolve unqualified symbol in Bp expression 'KERNELBASE::RegGetValueW'.
 sechost!QueryAllTracesA
00007ff8`60ba7788 00007ff8`60cec150 sechost!StartTraceA
...[생략]...
</pre>
 
암튼... 뭔가 총체적인 난국이군요, ^^; 꿰어 맞추려고 해도 설명이 안 됩니다. (혹시 아시는 분은 덧글 부탁드립니다. ^^) 
 
(업데이트: 2023-02-21) 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
The case of the mysterious "out of bounds" error from CreateUri and memmove
; <a target='tab' href='https://devblogs.microsoft.com/oldnewthing/20230220-00/?p=107848'>https://devblogs.microsoft.com/oldnewthing/20230220-00/?p=107848</a>
</pre>
위의 글에 보면 IVector::GetAt과 CreateUri가 완전히 동일한 코드를 가지고 있어 이름 풀이가 잘못되는 경우도 있는 것 같습니다. 하지만 RegOpenKeyExW와 CancelProcessEapAuthPacket의 경우에는 바이너리가 동일한 것은 아니어서,,, 위의 글에 해당하지는 않을 듯합니다.

<hr />[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

</div>

첨부파일

스팸 방지용 인증 번호

1867 (왼쪽의 숫자를 입력해야 합니다.)