비스타 x64 버전에서 서명되지 않은 드라이버 사용
이미 소식을 접하신 분들이 계실텐데요... Vista x64 버전에서는 "서명되지 않은 드라이버"를 사용할 수 없도록 강제화되었습니다. 개인적으로도 바람직한 선택이라고 여기고는 있지만, 기존에 있는 프로그램들을 그대로 사용하는 지금의 시기에서는 그러한 제약이 달갑지 않은 것이 사실입니다. 최대한 기존 실행 프로그램들에 대한 호환을 위해서는 부득이 "서명되지 않은 드라이버"를 로드해야 경우도 있을 테니, 이번에 한번 알아보도록 하겠습니다.
일단, 제가 알고 있는 방법으로는 3가지가 정도가 있는 것 같습니다.
1. 부팅시 F8 키로 시작 옵션 선택
가령 예를 들어서, "서명되지 않은 드라이버"와 연관된 프로그램이 어쩌다가 실행되어지는 프로그램이라면 그냥 간단하게, Vista 시작시에 "F8" 키를 눌러서 "Disable Driver Signature Enforcement" 메뉴를 선택하게 되면, 그 한번의 부팅에 대해서는 드라이버 서명 확인 작업을 하지 않게 됩니다. 물론, "언제나" 실행되어지는 경우라면 사정이 달라지죠? 매번 귀찮게 F8 키를 누르고 실행하는 것은 불편한 일인데다, 행여 실수로 그 과정을 지나치게 되면 다시 운영 체제를 재시작해야 하므로 ... 여간 귀찮은 작업이 아닐 수 없습니다.
2. BCDEdit.exe를 이용한 부팅 정보 수정
위의 1번에서 다뤘던 것과는 달리, 부팅 정보 자체를 수정해서 드라이버 서명을 검사하지 않도록 하는 방법이 bcdedit.exe 파일에 의해서 제공이 되어집니다.
bcdedit -set loadoptions DDISABLE_INTEGRITY_CHECKS
; http://forum.rightmark.org/post.cgi?id=post:6:942:27
간단하지요. ^^ 물론, 위와 같이 설정해 준 다음에는 재부팅을 해줘야 합니다.
3. 사용자가 해당 시스템 파일에 대해서 서명
이 부분은 사실 개인적으로 테스트를 해보았는데 잘 되지 않아서 설명을 확실하게 드릴 수는 없습니다. 만약 이 글을 읽는 분 중에서 제가 쓴 내용이 틀리는 경우 지적을 좀 해주셨으면 좋겠습니다.
마이크로소프트는, 드라이버 개발자들이 개발 과정에서 테스트 인증서를 사용하여 개발하는 것을 허용하고 있는데, 바로 그런 상황을 이용하여 드라이버 서명을 명시적으로 해줄 수가 있습니다. 대략 다음과 같은 순서로 여러분들이 사용하게될 드라이버에 대해 서명을 해줄수가 있겠습니다.
- 테스트 인증서 생성
- 드라이버 파일을 테스트 인증서로 서명
테스트 인증서는 "makecert.exe"를 이용해서 생성할 수 있습니다. makecert.exe 파일은 Platform SDK 또는 VS.NET을 설치하면 구할 수 있습니다. 예를 들어, VS.NET 2005의 경우에는 다음의 폴더에서 제공됩니다.
C:\Program Files (x86)\Microsoft Visual Studio 8\SDK\v2.0\Bin
makecert를 이용한 방법 이외에도, 인증서 서비스를 구동하고 있는 경우에는 "https://.../certsrv/certrqma.asp"로 제공되는 인증서 요청 페이지에서 "Type of Certificate Needed" 항목의 값을 "Code Signing Certificate"로 선택해서 인증서를 얻어낼 수도 있습니다. 이에 관해서는 다음의 토픽을 참고하십시오.
서비스를 위한 인증서 설치
; https://www.sysnet.pe.kr/2/0/429
인증서를 구했으니, 이제 해당 드라이버 파일을 서명해 주시면 됩니다. 이를 위해서
SignTool.exe가 제공되는 데, 이 프로그램 역시 Platform SDK 또는 VS.NET을 설치한 경우에 makecert.exe와 동일한 경로에서 구할 수 있습니다.
아래는 PFX 파일을 이용한 실행 옵션을 보여주고 있습니다.
signtool sign /f [PFX 파일] /p [암호] /v [대상 드라이버 파일명]
보통 인증서 파일을 "CER"로 받았을 텐데, 이 경우에 "내보내기" 등의 방법을 통해서 "PFX" 파일로 변환해 줍니다.이에 대해서는 다음의 토픽을 참고하십시오.
인증서 관리 - 내보내기/가져오기
; https://www.sysnet.pe.kr/2/0/392
실제로 실행해 보면 다음과 같은 식으로 출력이 되어집니다.
C:\test>signtool sign /f test.pfx /p test /v RTCore64.sys
The following certificate was selected:
Issued to: CodeSign
Issued by: w32.sysnet.pe.kr
Expires: 2008-03-12 12:41:11
SHA1 hash: 17D9F72DD6B1E4DA7FFD500484F84031D6842A32
Done Adding Additional Store
Attempting to sign: RTCore64.sys
Successfully signed: RTCore64.sys
Number of files successfully Signed: 1
Number of warnings: 0
Number of errors: 0
그런데, 위와 같이 해줬는데... ^^; 처음에 말씀드렸듯이 드라이버 파일이 여전히 로드가 안되었습니다. 음... 어떤 것을 틀린 걸까요? ^^
일단, 오늘은 "BCDEdit"로 하는 방법을 알게 된 것으로 만족해야 겠습니다.
[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]