Windows - STARTUPINFO의 cbReserved2, lpReserved2 멤버 사용자 정의
원래 STARTUPINFO의 문서를 보면,
STARTUPINFOA structure (processthreadsapi.h)
; https://learn.microsoft.com/en-us/windows/win32/api/processthreadsapi/ns-processthreadsapi-startupinfoa
cbReserved2, lpReserved2 2개의 필드에 대해 내부적으로 CRT에서 사용하고 있으니 0, nullptr만 허용한다고 나옵니다.
cbReserved2
Reserved for use by the C Run-time; must be zero.
lpReserved2
Reserved for use by the C Run-time; must be NULL.
사실 이게 재미있는 면이 있는데요, 엄밀히 프로세스 간에는 포인터 전달이 의미가 없습니다. 그런데 lpReserved2가 가리키는 데이터를 cbReserved2만큼 넘기겠다고 하는 것인데요, 결국 저렇게 지정한 데이터는 윈도우 운영체제 측에서 호출 프로세스의 공간에 있는 데이터를 대상 프로세스의 메모리 공간에 cbReserved2만큼 복사해 넘겨주는 작업을 대행하고 있는 것입니다. (나름 운영체제도 열일하고 있는 것입니다. ^^)
혹시, 저 데이터를 사용자가 임의로 사용하는 것이 가능할까요? 이에 대해 검색해 보면 이런 문서가 나오는데요,
Undocumented CreateProcess
; https://is.muni.cz/el/1433/jaro2010/PB167/um/cv5/undocumented_CreateProcess.pdf
"Pass arbitrary data to a child process!" 내용에 보면 임의로 저 값을 쓰는 방법이 나옵니다. 이와 관련해 직접 예제를 구성해 확인해 볼까요? ^^
우선, 일반적인 Console Application 프로젝트를 만든 후
GetStartupInfo로
STARTUPINFO를 확인해 보면,
// ConsoleApplication2.exe
#include <iostream>
#include <Windows.h>
int main(int argc, char** argv)
{
STARTUPINFOW si;
GetStartupInfoW(&si);
printf("ConsoleApplication2: %d, %p\n", si.cbReserved2, si.lpReserved2);
}
// 실행 결과 (대개의 경우, 명령행에서 실행하든, 탐색기에서 실행하든!)
// ConsoleApplication2: 0, 0000000000000000
실행했을 때, 기본적으로는 cbReserved2, lpReserved2가 모두 0, nullptr로 나옵니다. 저 값이 있는 경우를 확인하려면, 당연히 CreateProcess를 사용하는 측에서 해당 필드에 값을 채워서 전달해야 합니다.
테스트를 위해, 부모 프로세스가 될 콘솔 응용 프로그램을 다음과 같이 작성해 줍니다.
// ConsoleApplication1.exe
#include <iostream>
#include <Windows.h>
int main()
{
std::cout << "Hello ConsoleApplication1!\n";
PROCESS_INFORMATION pi = { 0, };
STARTUPINFOW si = { 0, };
BYTE data[4] = { 0xff, 0xff, 0xff, 0xff };
si.cbReserved2 = 4;
si.lpReserved2 = data;
wchar_t buffer[1024] = L"ConsoleApplication2.exe";
si.cb = sizeof(STARTUPINFOW);
if (!CreateProcessW(NULL, buffer, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi))
{
printf("CreateProcess failed (%d).\n", GetLastError());
return 0;
}
WaitForSingleObject(pi.hProcess, INFINITE);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
}
크기를 4로 설정해 자식 프로세스에 쓰레기 값을 담아 전달했는데요, 이렇게 하고 실행하면 화면에는 "Hello ConsoleApplication1!"만 나오고, "ConsoleApplication2.exe"의 실행 결과가 안 나올 것입니다. 이때 이벤트 로그를 보면,
Faulting application name: ConsoleApplication2.exe, version: 0.0.0.0, time stamp: 0x66cfb8eb
Faulting module name: ucrtbase.dll, version: 10.0.22621.3593, time stamp: 0x10c46e71
Exception code: 0xc0000409
Fault offset: 0x000000000007e008
Faulting process id: 0x0x9ECC
Faulting application start time: 0x0x1DAF9A7EA409387
Faulting application path: c:\temp\ConsoleApplication1\x64\Debug\ConsoleApplication2.exe
Faulting module path: C:\WINDOWS\System32\ucrtbase.dll
Report Id: de6a3081-16d3-44fd-8e55-1473bcdcdf03
Faulting package full name:
Faulting package-relative application ID:
이런 식으로 crash 보고가 나오는데요, 모듈 이름이 ucrtbase.dll입니다. 즉, CRT 라이브러리에서 cbReserved2, lpReserved2에 담긴 값을 역직렬화하는 과정 중에 쓰레기 값으로 인해 crash가 발생한 것입니다.
그런데, PDF 문서에서는 "no C-runtime support"로 ConsoleApplication2 프로젝트를 작성하면,
C/C++ - CRT(C Runtime) 함수에 의존성이 없는 프로젝트 생성
; https://www.sysnet.pe.kr/2/0/13722
(테스트 실수입니다. no run time인 경우, ucrtbase.dll은 올라오지 않습니다. Windows Loader가 사용하지도 않습니다.)
저 crash가 나오지 않을 것처럼 설명하고 있습니다.
하지만, 실제로 해보면 여전히 비정상 종료가 발생합니다. 그 이유는, CRT 라이브러리(ucrtbase.dll)를 단순히 EXE에서 로딩하지는 않더라도 그전에 Windows의 Loader 단계에서 로드하기 때문입니다. 이것을 Windbg로 확인할 수 있는데요, Ctrl + E 키를 눌러 ConsoleApplication2.exe를 로드해 보면,
************* Path validation summary **************
...[생략]...
Executable search path is:
ModLoad: 00007ff6`dea30000 00007ff6`deb32000 conhost.exe
ModLoad: 00007ffe`6d890000 00007ffe`6daa7000 ntdll.dll
ModLoad: 00007ffe`6c500000 00007ffe`6c5c4000 C:\WINDOWS\System32\KERNEL32.DLL
ModLoad: 00007ffe`6ad30000 00007ffe`6b0dd000 C:\WINDOWS\System32\KERNELBASE.dll
ModLoad: 00007ffe`6b3b0000 00007ffe`6b44a000 C:\WINDOWS\System32\msvcp_win.dll
ModLoad: 00007ffe`6b290000 00007ffe`6b3a1000 C:\WINDOWS\System32\ucrtbase.dll
(dc54.9468): Break instruction exception - code 80000003 (first chance)
ntdll!LdrpDoDebuggerBreak+0x30:
00007ffe`6d96c084 cc int 3
(분명히 아직 실행 전인데도, 즉 그저 EXE를 로드한 단계에서조차) 저렇게 ucrtbbase.dll이 로드된 것을 확인할 수 있습니다. 따라서 어떻게 해도 CRT 측의 cbReserved2, lpReserved2 해석 코드가 실행되고 결국 crash가 발생합니다.
해당 문서에서 CRT가 사용하는 lpReserved2의 구조는 다음과 같다고 합니다.
DWORD count;
BYTE flags[count];
HANDLE handles[count];
// in memory these are layed out sequentially:
[ count ][ flags... ][ handles... ]
이를 이용해 count를 0으로 설정하면 CRT는 단순히 그 이후의 데이터 해석을 안 하게 되는데, 바로 이 점을 이용해 사용자가 임의로 데이터 전달을 할 수 있다고 합니다.
가령, 부모 프로세스 측에서는 이렇게 설정하고,
BYTE data[] = { 0, 0, 0, 0, 'H', 'e', 'l', 'l', 'o', '\0'};
si.cbReserved2 = 10;
si.lpReserved2 = data;
자식 프로세스에서는 다음과 같이 해석하면 됩니다.
#include <Windows.h>
int mainCRTStartup()
{
STARTUPINFOW si;
GetStartupInfoW(&si);
char buffer[1024];
int length = wsprintfA(buffer, "%d, %s\n", si.cbReserved2, si.lpReserved2 + 4);
{
HANDLE hOutput = ::GetStdHandle(STD_OUTPUT_HANDLE);
if (hOutput != INVALID_HANDLE_VALUE)
{
DWORD dwWritten = 0;
::WriteConsoleA(hOutput, buffer, length, &dwWritten, nullptr);
}
}
return 0;
}
결국, (
Windows Loader로 인해 로딩되는) ucrtbase.dll은 count == 0인 lpReserved2의 데이터를 무시할 테고, 사용자 코드에서는 (si.lpReserved2 + 4) 이후의 영역을 접근해 (si.cbReserved2 - 4) 바이트만큼의 데이터를 사용할 수 있게 됩니다. 참고로 이렇게 전달 가능한 데이터는 64K라고 합니다.
(
첨부 파일은 이 글의 예제 코드를 포함합니다.)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]