성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] VT sequences to "CONOUT$" vs. STD_O...
[정성태] NetCoreDbg is a managed code debugg...
[정성태] Evaluating tail call elimination in...
[정성태] What’s new in System.Text.Json in ....
[정성태] What's new in .NET 9: Cryptography ...
[정성태] 아... 제시해 주신 "https://akrzemi1.wordp...
[정성태] 다시 질문을 정리할 필요가 있을 것 같습니다. 제가 본문에...
[이승준] 완전히 잘못 짚었습니다. 댓글 지우고 싶네요. 검색을 해보...
[정성태] 우선 답글 감사합니다. ^^ 그런데, 사실 저 예제는 (g...
[이승준] 수정이 안되어서... byteArray는 BYTE* 타입입니다...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>ZwTerminateProcess로 프로세스를 종료하는 Device Driver 프로그램</h1> <p> 예전에 프로세스를 종료할 수 없었다는 글을 쓴 적이 있는데요.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 윈도우 8 - WmiPrvSE.exe 프로세스가 CPU 소비하는 현상 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/1474'>http://www.sysnet.pe.kr/2/0/1474</a> </pre> <br /> 이번에도 또 그런 현상이 발생했는데, 지난 번과는 달리 taskhost.exe로 바뀐 차이만 있습니다. Process Explorer로 보니 명령행이 "C:\Windows\System32\taskhost.exe Time"로 되어 있습니다. 뭐... ^^; 별로 해볼게 없습니다.<br /> <br /> 어쨌든, 강제 종료가 안되니 답답하기만 한데 그래서 혹시나 있을 다음번 현상을 위해 ZwTerminateProcess를 호출하는 NT Legacy driver를 만들어 봤습니다. 일단, 뼈대는 예전에 만들어 둔 PortIo를 기반으로 했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > NT Legacy 드라이버를 이용하여 C#에서 Port 입출력 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/932'>http://www.sysnet.pe.kr/2/0/932</a> </pre> <br /> ZwTerminateProcess 호출 예제는 다음의 글에 있으니 이를 참고해서,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C++ Kernel Mode ZwTerminateProcess ; <a target='tab' href='http://forum.sysinternals.com/c-kernel-mode-zwterminateprocess_topic21887.html'>http://forum.sysinternals.com/c-kernel-mode-zwterminateprocess_topic21887.html</a> </pre> <br /> 다음과 같이 IOCTL_WRITE_PROCESSID를 만들어 두었습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > case IOCTL_WRITE_PROCESSID: if (inBufLength >= 4) { DbgPrint("Write - 0x%x\n", LongBuffer[0]); HANDLE ProcessHandle = NULL; OBJECT_ATTRIBUTES ObjectAttributes; CLIENT_ID ClientId; ObjectAttributes.Length = sizeof(OBJECT_ATTRIBUTES); ObjectAttributes.RootDirectory = NULL; ObjectAttributes.ObjectName = NULL; ObjectAttributes.Attributes = OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE; ObjectAttributes.SecurityDescriptor = NULL; ObjectAttributes.SecurityQualityOfService = NULL; ClientId.UniqueThread = 0; ClientId.UniqueProcess = (HANDLE)LongBuffer[0]; NTSTATUS NtStatus = ZwOpenProcess( &ProcessHandle, PROCESS_ALL_ACCESS, &ObjectAttributes, &ClientId); if (NtStatus == STATUS_SUCCESS) { NtStatus = ZwTerminateProcess( ProcessHandle, STATUS_SUCCESS); if (NtStatus) KdPrint((" [!] Could not to terminate process...\n")); } } else { ntStatus = STATUS_BUFFER_TOO_SMALL; } pIrp->IoStatus.Information = 0; /* Output Buffer Size */ ntStatus = STATUS_SUCCESS; break </pre> <br /> 디바이스 드라이버의 클라이언트 격인 C# 프로그램에서는 해당 프로그램을 다음과 같이 변경해 줄 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > ===== Program.cs ===== using System; using System.Diagnostics; namespace PortIOSample { class Program { static void Main(string[] args) { Console.WriteLine("Version 1.4"); Process[] notepadPids = Process.GetProcessesByName("notepad"); using (PortIOLib portIoLib = new PortIOLib(true)) { foreach (Process proc in notepadPids) { Console.WriteLine(proc.Id.ToString("x") + ": " + portIoLib.Terminate(proc.Id)); } } } } } ===== PortIOLib.cs ===== public bool Terminate(int processId) { if (fileHandle == null || fileHandle.IsInvalid == true) { return false; } byte[] inBuffer = BitConverter.GetBytes(processId); int pBytesReturned; return Kernel32.DeviceIoControl(fileHandle, IOCTL_WRITE_PROCESSID, inBuffer, inBuffer.Length, inBuffer, inBuffer.Length, out pBytesReturned, IntPtr.Zero); } </pre> <br /> 자, 이제 준비가 되었군요. ^^ 다시 한번 종료되지 않는 프로세스가 나온다면 이걸로 한번 해봐야겠습니다. ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 참고로, 설치는 되었지만 net start 명령에서 이렇게 오류가 발생한다면?<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\TestApp><span style='color: blue; font-weight: bold'>net start portio</span> System error 577 has occurred. Windows cannot verify the digital signature for this file. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source. </pre> <br /> 다음의 글을 참고만 하시고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > How to fix “Windows cannot verify the digital signature for this file” error in Windows 8.1, 8, 7 & Vista. ; <a target='tab' href='http://www.wintips.org/how-to-fix-windows-cannot-verify-the-digital-signature-for-this-file-error-in-windows-8-7-vista/'>http://www.wintips.org/how-to-fix-windows-cannot-verify-the-digital-signature-for-this-file-error-in-windows-8-7-vista/</a> </pre> <br /> 아래의 명령을 관리자 권한으로 실행시킨 후 재부팅해 주시면 됩니다. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > bcdedit /set testsigning on </pre> <br /> 그런데, 위의 명령도 이런 식으로 오류가 발생하는 경우가 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > D:\TestApp><span style='color: blue; font-weight: bold'>bcdedit /set testsigning on</span> An error has occurred setting the element data. The value is protected by Secure Boot policy and cannot be modified or deleted. </pre> <br /> 아래의 글을 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > An error has occurred setting the element data. The value is protected by Secure Boot policy and cannot be modified or deleted ; <a target='tab' href='http://techibee.com/sysadmins/an-error-has-occurred-setting-the-element-data-the-value-is-protected-by-secure-boot-policy-and-cannot-be-modified-or-deleted/2058'>http://techibee.com/sysadmins/an-error-has-occurred-setting-the-element-data-the-value-is-protected-by-secure-boot-policy-and-cannot-be-modified-or-deleted/2058</a> </pre> <br /> BIOS에 "SecureBoot" 옵션이 켜져 있어서 그렇다고 하니, 이를 꺼둔 후 명령을 실행하고 다시 켜주시면 됩니다. (도대체 재부팅을 몇번이나??? ^^;)<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1813
(왼쪽의 숫자를 입력해야 합니다.)