카카오톡 PC 버전 실행 시 개발자 컴퓨터에서 Themida 오류 나는 문제
어느 순간 작업을 하다 보면 카카오톡 PC 버전이 사라지는 경우가 있습니다. 다시 실행해 보면 다음과 같은 오류 창이 뜨면서 진행이 안되는데요.
A monitor program has been found running in your system.
Please, unload it from memory and restart your program.
딱히 현재 실행되고 있는 프로세스 목록을 봐도 역공학에 사용되는 도구라고 할 수 있는 프로그램이 없기 때문에 왜 이런 오류가 발생하는지 알 수가 없었는데요. 검색을 해보니 다음의 글이 나옵니다.
Process Monitor & Themida
; http://forum.sysinternals.com/process-monitor-themida_topic28022.html
그러고 보니... 어쩌다 Procmon.exe를 실행할 일이 있었는데 카카오톡이 실행되지 않는 경우와 묘하게 겹쳤던 것 같습니다.
"
Process Monitor & Themida" 글에 보면 procmon20.sys(또는 procmon23.sys) 드라이버가 로드되어 있어서 그렇다고 하는데, 문제는 이것이 procmon.exe를 종료한 후에도 여전히 로드되어 있다는 데 있습니다.
이 드라이버가 실행되어 있는지에 대한 여부를 알아내는 과정이 재미있습니다. 일단, "Device Manager" 관리도구에서 제공되는 "Non-Plug and Play Drivers" 노드에도 procmon 드라이버는 나오지 않습니다. 참고로, Windows 8에서는 심지어 "Non-Plug and Play Drivers"를 보여주는 것조차 제거되었습니다. 이 때문에 말이 많더군요. ^^
Troubleshooting? You don't need that!
; http://channel9.msdn.com/Forums/Coffeehouse/Troubleshooting-You-dont-need-that#cb52e3156d17943a58b68a05100e121bc
어쨌든, 다른 방법을 찾아보다가 sysinternal의 LoadOrder도 실행해 보았는데요. 역시 procmon 드라이버는 보이지 않습니다.
LoadOrder v1.0
; https://docs.microsoft.com/en-us/sysinternals/downloads/loadorder
최종적으로 확인할 수 있었던 것은 바로 다음의 도구를 통해서였습니다.
DriverView v1.45 - Loaded Windows Drivers List
; http://www.nirsoft.net/utils/driverview.html
실제로 테스트 VM에서 DriverView를 통해 procmon.exe를 실행/종료한 다음 확인해 보니 다음과 같이 로드된 것을 확인할 수 있었습니다.
아쉽게도 DriverView는 드라이버를 언로드할 수 있는 기능까지는 제공하지 않습니다. 하지만 언로드 기능을 제공한다고 해도 procmon은 불가능한 것으로 보입니다. 검색을 해봐도 procmon 드라이버를 제거하는 방법이 안 나옵니다.
어쩔 수 없습니다. 재부팅이 안전합니다. ^^
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]