J & J - 정성태의 닷넷 이야기

사용자

메뉴

최근 덧글

[정성태] 그냥 RSS Reader 기능과 약간의 UI 편의성 때문에 사용...[이종효] 오래된 소프트웨어는 보안 위협이 되기도 합니다. 혹시 어떤 기능...[정성태] @Keystroke IEEE의 문서를 소개해 주시다니... +_...[손민수 (Keystroke)] 괜히 듀얼채널 구성할 때 한번에 같은 제품 사라고 하는 것이 아...[정성태] 전각(Full-width)/반각(Half-width) 기능을 토...[정성태] Vector에 대한 내용은 없습니다. Vector가 닷넷 BCL...[orion] 글 읽고 찾아보니 디자인 타임에는 InitializeCompon...[orion] 연휴 전에 재현 프로젝트 올리자 생각해 놓고 여의치 않아서 못 ...[정성태] 아래의 글에 정리했으니 참고하세요. C# - Typed D...[정성태] 간단한 재현 프로젝트라도 있을까요? 저런 식으로 설명만 해...

글쓰기

제목

이름

암호

전자우편

HTML

홈페이지

유형

내용

<div style='display: inline'>
<h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>Win32 API 금지된 함수 - IsBadXxxPtr 유의 함수들이 안전하지 않은 이유</h1>

관련 함수들(<a target='tab' href='https://learn.microsoft.com/en-us/windows/win32/api/winbase/nf-winbase-isbadreadptr'>IsBadReadPtr</a>, <a target='tab' href='https://learn.microsoft.com/en-us/windows/win32/api/winbase/nf-winbase-isbadwriteptr'>IsBadWritePtr</a>, IsBadCodePtr, IsBadHugeReadPtr, IsBadHugeWritePtr, IsBadReadPtr, IsBadStringPtr, IsBadWritePtr)에 대해 아래의 문서를 보면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Warning C28720
; <a target='tab' href='https://learn.microsoft.com/en-us/windows-hardware/drivers/devtest/28720-banned-api-usage-use-updated-function-replacement'>https://learn.microsoft.com/en-us/windows-hardware/drivers/devtest/28720-banned-api-usage-use-updated-function-replacement</a>
</pre>
 
금지된 API라고 나옵니다. 이에 대한 자세한 설명을 아래의 글에서 하고 있는데요, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
IsBadXxxPtr should really be called CrashProgramRandomly
; <a target='tab' href='https://devblogs.microsoft.com/oldnewthing/20060927-07/?p=29563'>https://devblogs.microsoft.com/oldnewthing/20060927-07/?p=29563</a>
</pre>
 
일례로 IsBadXxxPtr 함수들이 문제가 되는 경우는 하필 "Guard" 페이지를 가리킬 때라고 합니다. Guard 속성을 가진 페이지를 IsBadXxxPtr로 확인하려는 경우, 당연히 메모리 접근에 대한 예외가 발생하게 되는데 특별히 Guard Page 접근인 경우에 한해 STATUS_GUARD_PAGE_VIOLATION(0x80000001) 예외가 발생합니다. 문제는, 이 예외가 단 한 번 발생한다는 점입니다. 결국 그 한 번의 기회를 IsBadXxxPtr이 소비해 버린 것입니다. 
 
원래는 STATUS_GUARD_PAGE_VIOLATION 예외가 발생하면, 커널에 구현된 기본 예외 핸들러가 동작한다고 합니다. 그 코드는 현재의 페이지에 대한 Guard 속성을 제거하고 다음 페이지를 (reserve 상태로부터) commit 시킨 후 다시 Guard 속성을 넣어둡니다. 
 
따라서, 위와 같은 처리를 할 수 있는 단 한 번의 기회를 IsBadXxxPtr 접근으로 인해 날려 버리면, 이후 정상적인 스택 접근이 발생했을 때 Access Violation 예외를 얻게 됩니다. 
 
<hr style='width: 50%' /> 
 
그런데 정말 저 시나리오에서 문제가 발생할까요? Guard 페이지를 사용하는 예제를 보면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Creating Guard Pages
; <a target='tab' href='https://learn.microsoft.com/en-us/windows/win32/memory/creating-guard-pages'>https://learn.microsoft.com/en-us/windows/win32/memory/creating-guard-pages</a>
</pre>
 
해당 Guard 페이지를 접근하면 자동으로 (커널 내의 예외 핸들러에 의해) commit이 됩니다. 따라서 IsBadXxxPtr 함수로 Guard 페이지를 접근해도 사실 그다지 문제 될 것이 없습니다. 실제로 ^^ 테스트를 해볼까요? 
 
지난 글에서 작성한, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
C# - VMMap처럼 스택 메모리의 reserve/guard/commit 상태 출력
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/13174'>https://www.sysnet.pe.kr/2/0/13174</a>
</pre>
 
코드를 이용하면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
GetCurrentThreadStackLimits(out ulong stackLowLimit, out ulong stackHightLimit);

for (ulong page = stackLowLimit; page &lt; stackHightLimit; page += 0x1000)
{
 Console.Write($"{IsBadReadPtr((nuint)page, 0x1000)},");
}
</pre>
 
스레드 스택 전체에 걸쳐 4KB씩 IsBadReadPtr 테스트를 할 수 있습니다. 결과를 보면 대충 이렇게 나오는데요, 
 
<div style='BACKGROUND-COLOR: #ccffcc; padding: 10px 10px 5px 10px; MARGIN: 0px 10px 10px 10px; FONT-FAMILY: Malgun Gothic, Consolas, Verdana; COLOR: #005555'>
BaseAddress: 0x76f0200000 ~ 0x76f036a000, Size: 1448 KB, MEM_RESERVE, , 
BaseAddress: 0x76f036a000 ~ 0x76f036f000, Size: 20 KB, MEM_COMMIT, , PAGE_READWRITE, PAGE_GUARD 
BaseAddress: 0x76f036f000 ~ 0x76f0380000, Size: 68 KB, MEM_COMMIT, , PAGE_READWRITE, 
 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1, 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1, 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1, 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1, 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1, 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1, 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1, 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1, 
1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,
</div> 
 
Bad가 아닌 경우, 즉 접근 가능한 메모리라면 0을 출력하는데, 그 수가 22개, 하나 당 4KB니까 88KB는 접근이 가능한 영역으로 나옵니다. 위의 경우 20KB 크기의 PAGE_GUARD를 포함한 PAGE_READWRITE 영역이 88KB니까 정확하게 일치합니다. 다른 영역은 <a target='tab' href='https://devblogs.microsoft.com/oldnewthing/20240201-00/?p=109346'>MEM_RESERVE</a> 영역으로 commit되지 않았으므로 IsBadReadPtr가 true를 반환하고 있습니다. 
 
결국 위와 같이 모든 스택의 영역, 심지어 PAGE_GUARD 영역까지 모두 IsBadReadPtr로 접근했지만 이후 스택을 사용하는 코드에는 아무런 지장이 없습니다. 일례로 위와 같이 접근해 본 후 다음과 같이 스택을 사용하는 메서드를 호출해 보면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
AllocStack(0x150000); // 1,376,256 바이트 할당

private static unsafe void AllocStack(nuint lp)
{
    int size = (int)lp.ToUInt32();
    byte* buffer = stackalloc byte[size];

for (int i = 0; i &lt; size; i++)
 {
 buffer[i] = (byte)i;
 }
}
</pre>
 
딱히 예외도 발생하지 않고, 심지어 Guard 처리까지 된 메모리 변화를 확인할 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
BaseAddress: 0xe05a600000 ~ 0xe05a629000, Size: 164 KB, MEM_RESERVE, ,
BaseAddress: 0xe05a629000 ~ 0xe05a62e000, Size: 20 KB, MEM_COMMIT, , PAGE_READWRITE, PAGE_GUARD
BaseAddress: 0xe05a62e000 ~ 0xe05a780000, Size: 1352 KB, MEM_COMMIT, , PAGE_READWRITE,
</pre>
 
결국 IsBadReadPtr로 인한 문제는 발생하지 않은 것입니다. 
 
<hr style='width: 50%' /> 
 
그럼 뭐가 문제일까요? ^^ 이에 대한 힌트를 아래의 글에서 얻을 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
A closer look at the stack guard page
; <a target='tab' href='https://devblogs.microsoft.com/oldnewthing/20220203-00/?p=106215'>https://devblogs.microsoft.com/oldnewthing/20220203-00/?p=106215</a>
</pre>
 
<div style='BACKGROUND-COLOR: #ccffcc; padding: 10px 10px 5px 10px; MARGIN: 0px 10px 10px 10px; FONT-FAMILY: Malgun Gothic, Consolas, Verdana; COLOR: #005555'>
The default exception handler deals with the exception by looking to see if the address lies in the current stack’s guard page region.
</div> 
 
그렇습니다. 현재의 스레드 스택은 IsBadReadPtr로 접근하는 경우 문제가 없지만, 만약 그 API로 다른 스레드의 Guard 페이지를 접근하면 상황이 달라집니다. 
 
따라서 별도의 스레드를 하나 더 만들고, 그 스레드의 Guard 영역을 알아낸 후, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
/*
 Thread t = new Thread(threadFunc);
 t.IsBackground = true;
 t.Start();
*/

[threadFunc-Thread]
region: 0x289ed00000 ~ 0x289ee72000, Size: 1480 KB, MEM_RESERVE,
region: 0x289ee72000 ~ 0x289ee75000, Size: 12 KB, MEM_COMMIT, PAGE_READWRITE, PAGE_GUARD
region: 0x289ee75000 ~ 0x289ee80000, Size: 44 KB, MEM_COMMIT, PAGE_READWRITE,
</pre>
 
Main Thread에서 0x289ee72000 ~ 0x289ee75000에 해당하는 영역을 IsBadReadPtr로 접근 후, threadFunc의 스택 사용을 해보면 이제 비정상 종료가 발생합니다. 
 
이때의 이벤트 로그를 보면 다음과 같은 2개의 항목을 볼 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Log Name: Application
Source: Application Error
Date: 2022-12-27 오후 12:02:22
Event ID: 1000
Task Category: Application Crashing Events
Level: Error
Keywords: 
User: TESTPC\testusr
Computer: TESTPC
Description:
Faulting application name: ConsoleApp1.exe, version: 1.0.0.0, time stamp: 0x634eda42
Faulting module name: unknown, version: 0.0.0.0, time stamp: 0x00000000
Exception code: 0xc0000005
Fault offset: 0x00007ffb9053cbc5
Faulting process id: 0x0x3E74
Faulting application start time: 0x0x1D90530CB044833
Faulting application path: E:\ConsoleApp1\bin\Debug\net7.0\ConsoleApp1.exe
Faulting module path: unknown
Report Id: f4670e5d-c540-4188-a429-14c2f7af28ed
Faulting package full name: 
Faulting package-relative application ID: 
</pre>
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Log Name: Application
Source: Windows Error Reporting
Date: 2022-12-27 오후 12:02:24
Event ID: 1001
Task Category: None
Level: Information
Keywords: 
User: TESTPC\testusr
Computer: TESTPC
Description:
Fault bucket 1645473425782732294, type 4
Event Name: APPCRASH
Response: Not available
Cab Id: 0

Problem signature:
P1: ConsoleApp1.exe
P2: 1.0.0.0
P3: 634eda42
P4: StackHash_2264
P5: 0.0.0.0
P6: 00000000
P7: c0000005
P8: PCH_85_FROM_unknown+0x0000000000000000
P9: 
P10:

Attached files:
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER.76e87983-6ca8-4978-8127-7772e93f9346.tmp.dmp
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER.ee08c1cb-0aff-4647-885b-aa189fdae820.tmp.WERInternalMetadata.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER.fc61971f-ac1f-41b1-a0f6-c227d44dca6f.tmp.csv
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER.68ffa735-7c0d-404a-b8f9-383f07768b73.tmp.txt
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER.3b9ea7a5-67ff-42c8-9457-70e88fd1c0f7.tmp.xml

These files may be available here:
\\?\C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_ConsoleApp1.exe_e080991d1c119c52fcdcf8056fd3c94245fb34a_44c3bb71_0100cf69-ec81-4d09-b4ef-87c6d19b47da

Analysis symbol: 
Rechecking for solution: 0
Report Id: f4670e5d-c540-4188-a429-14c2f7af28ed
Report Status: 268435456
Hashed bucket: 01aa1feaa293331bc6d5e55cd71ff606
Cab Guid: 0
</pre>
 
정리하면, 커널 내의 기본 핸들러는 STATUS_GUARD_PAGE_VIOLATION에 대해 현재 스레드의 스택에 대해서만 Guard 처리를 할 수 있는 것입니다. 
 
(<a target='tab' href='https://www.sysnet.pe.kr/bbs/DownloadAttachment.aspx?fid=1988&boardid=331301885'>첨부 파일은 이 글의 예제 코드를 포함</a>합니다.) 
 
<hr style='width: 50%' /> 
 
참고로, 현재 스레드인 경우 <a target='tab' href='https://www.sysnet.pe.kr/2/0/13174#thread_size'>스택의 메모리 위치를 알려면 GetCurrentThreadStackLimits</a>를 사용할 수 있습니다. 그렇다면 다른 스레드의 스택 위치는 어떻게 알 수 있을까요? 
 
아마도 이에 대해서는 TEB를 접근해야만 가능할 듯합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
TEB
; <a target='tab' href='http://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FNT%20Objects%2FThread%2FTEB.html'>http://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FNT%20Objects%2FThread%2FTEB.html</a>

.NET System.Threading.Thread 개체에서 Native Thread Id를 구할 수 있을까?
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/1244'>https://www.sysnet.pe.kr/2/0/1244</a>

.NET System.Threading.Thread 개체에서 Native Thread Id를 구하는 방법 - 두 번째 이야기
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/1724'>https://www.sysnet.pe.kr/2/0/1724</a>

.NET x64 응용 프로그램에서 Teb 주소를 구하는 방법
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/1388'>https://www.sysnet.pe.kr/2/0/1388</a>
</pre>
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:032&gt; dt _TEB
ntdll!_TEB
 +0x000 NtTib : _NT_TIB
 +0x038 EnvironmentPointer : Ptr64 Void
 ...[생략]...

0:032&gt; dt _NT_TIB
ntdll!_NT_TIB
 +0x000 ExceptionList : Ptr64 _EXCEPTION_REGISTRATION_RECORD
 +0x008 StackBase : Ptr64 Void
 +0x010 StackLimit : Ptr64 Void
 +0x018 SubSystemTib : Ptr64 Void
 +0x020 FiberData : Ptr64 Void
 +0x020 Version : Uint4B
 +0x028 ArbitraryUserPointer : Ptr64 Void
 +0x030 Self : Ptr64 _NT_TIB
</pre>
 
마지막으로, Guard 페이지를 사용하지 않고 reserve 메모리를 점차로 commit하는 방법도 있습니다. 이에 대해서는 아래의 글에서 예제 코드와 함께 설명하고 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
Reserving and Committing Memory
; <a target='tab' href='https://learn.microsoft.com/en-us/windows/win32/Memory/reserving-and-committing-memory'>https://learn.microsoft.com/en-us/windows/win32/Memory/reserving-and-committing-memory</a>

// 리눅스와의 비교
Allocating Memory on Linux and Windows
; <a target='tab' href='https://www.codeproject.com/Articles/1255908/Allocating-Memory-on-Linux-and-Windows'>https://www.codeproject.com/Articles/1255908/Allocating-Memory-on-Linux-and-Windows</a>
</pre>

<hr />[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

</div>

첨부파일

스팸 방지용 인증 번호

1461 (왼쪽의 숫자를 입력해야 합니다.)