성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <div style='font-family: 맑은 고딕, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>NT Legacy 드라이버: 프로세스(EXE) 생성/제거 모니터링</div> <br /> 프로세스 생성/소멸에 대한 알림은 사용자 모드 프로그램에서도 쉽게 구현이 가능합니다. 일례로 WMI에서도 알림을 받을 수 있도록 폴링 이벤트를 걸어둘 수도 있고, 그 외에 DLL 후킹을 하거나, Appinit_Dlls로 구현할 수도 있을 것입니다.<br /> <br /> 그렇지만, 역시 프로그램을 해봐야 좀 실력이 늘기 때문에, 실습 겸 해서 이에 대한 기능을 드라이버 단에서 구현을 해보았습니다. 다행히도 힌트는 다음의 책에서 얻을 수 있었는데요.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > Windows 구조와 원리: OS를 관통하는 프로그래밍의 원리 정덕영 저 | 한빛미디어 ; <a target='_tab' href='http://www.yes24.com/24/goods/1956142'>http://www.yes24.com/24/goods/1956142</a> </pre> <br /> 187페이지에서 알려준 "PsSetCreateProcessNotifyRoutine"을 이용해서 프로세스(EXE) 생성 또는 제거 시마다 알림을 받을 수 있는 커널 드라이버를 제작해 보았습니다.<br /> <br /> 지난번, Port IO 예제보다 나름 한 단계 더 나아간 예제인데요. ^^ 다음과 같은 코드들이 더 추가되었습니다.<br /> <br /> <ul> <li>CreateFile 시마다 컨텍스트 정보를 보관할 수 있도록 FileObject 사용</li> <li>LIST_ENTRY / ExAllocatePool / ExFreePool를 이용하여 내부 자료 저장</li> <li>ObReferenceObjectByHandle / ObDereferenceObject 및 KeSetEvent를 이용하여 사용자 모드 프로그램에 이벤트 전달</li> </ul> <br /> 그 외에, 프로젝트 빌드 스크립트를 변경했습니다. 실제 예제를 작성하다 보니, 지난번에 작성했던 빌드 스크립트들이 터무니 없다는 생각이 들었는데요. 그래서, 이전에 써 놓았던 아래의 글을,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > Device Driver 응용 프로그램의 빌드 스크립트 ; <a target='_tab' href='http://www.sysnet.pe.kr/2/0/921'>http://www.sysnet.pe.kr/2/0/921</a> </pre> <br /> 보완하는 내용을 실었습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > Device Driver 응용 프로그램의 빌드 스크립트 - 두 번째 이야기 ; <a target='_tab' href='http://www.sysnet.pe.kr/2/0/936'>http://www.sysnet.pe.kr/2/0/936</a> </pre> <br /> 충분히 현실적으로 사용할 수 있도록! ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 코드를 잠깐 살펴보면, DriverEntry에서는 PsSetCreateProcessNotifyRoutine 호출과 FileObject 컨텍스트 정보를 연결해 두기 위한 LIST_ENTRY를 초기화합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath) { <b style='COLOR: blue'>PsSetCreateProcessNotifyRoutine</b>(ProcessCreateCallback, FALSE); // IRQL: PASSIVE_LEVEL <b style='COLOR: blue'>InitializeListHead</b>(&g_processListHead); // IRQL: Any level ... [생략: 나머지 코드는 이전의 <a target='_tab' href='http://www.sysnet.pe.kr/2/0/932'>Port IO 예제</a>와 유사]... return STATUS_SUCCESS; } </pre> <br /> DriverUnload에서는 당연히 이때 설정한 정보를 해제하고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > VOID DriverUnload( PDRIVER_OBJECT pDriverObject ) { PsSetCreateProcessNotifyRoutine(ProcessCreateCallback, TRUE); ... [생략]... } </pre> <br /> IRP_MJ_CREATE Dispatch 메서드에서는 FileObject 컨텍스트 정보에 KEVENT 개체와 생성/소멸되는 프로세스 정보를 연결 리스트로 보관할 수 있도록 메모리를 할당하고 초기화합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > NTSTATUS MajorCreate(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp) { PIO_STACK_LOCATION pStack = ::IoGetCurrentIrpStackLocation(pIrp); // IRQL: Any level PFILE_OBJECT pFileObject = pStack->FileObject; pFileObject->FsContext = <b style='COLOR: blue'>ExAllocatePool</b>(NonPagedPool, sizeof(ProcessListEntry)); // IRQL: <= DISPATCH_LEVEL ProcessListEntry *pProcessEntry = (ProcessListEntry *)(pFileObject->FsContext); pProcessEntry->pEvent = NULL; ::InitializeListHead(&(pProcessEntry->listHead)); <b style='COLOR: blue'>InsertHeadList</b>(&g_processListHead, pProcessEntry); // IRQL: Any level ... [생략]... return STATUS_SUCCESS; } </pre> <br /> 쌍을 이루는 IRP_MJ_CLOSE Dispatch 메서드에서는 Create에서 생성했던 문맥 정보와, 그 안에 보관되어 있던 프로세스 생성/소멸 정보에 할당된 메모리를 해제합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > NTSTATUS MajorClose(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp) { PIO_STACK_LOCATION pStack = ::IoGetCurrentIrpStackLocation(pIrp); PFILE_OBJECT pFileObject = pStack->FileObject; ProcessListEntry *pProcessEntry = (ProcessListEntry *)(pFileObject->FsContext); if (pProcessEntry->pEvent != NULL) // 파일 문맥 정보에 담긴 이벤트 개체에 대한 참조 횟수를 감소 { <b style='COLOR: blue'>ObDereferenceObject</b>(pProcessEntry->pEvent); // IRQL: <= DISPATCH_LEVEL pProcessEntry->pEvent = NULL; } // 응용 프로그램이 가져가지 못해 보관된 프로세스 생성/소멸 정보를 삭제 while (!IsListEmpty(&pProcessEntry->listHead)) // IRQL: Any level { ProcessItemListEntry *pItem = (ProcessItemListEntry *)::RemoveHeadList(&pProcessEntry->listHead); ExFreePool(pItem); // IRQL: <= DISPATCH_LEVEL } RemoveEntryList(pProcessEntry); // IRQL: Any level ExFreePool(pProcessEntry); ... [생략]... return ntStatus; } </pre> <br /> 이제 프로세스 생성/소멸 시마다 불려지는 콜백 메서드의 구현입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > VOID ProcessCreateCallback(IN HANDLE parentId, IN HANDLE processId, IN BOOLEAN Create) { PEPROCESS pParentProcess, pChildProcess; PsLookupProcessByProcessId(parentId, &pParentProcess); // IRQL: <= APC_LEVEL PsLookupProcessByProcessId(processId, &pChildProcess); PLIST_ENTRY pListPtr, pListHead; pListPtr = pListHead = &g_processListHead; // CreateFile.FileObject마다 새롭게 전달된 프로세스 정보를 넣어둔다. while (pListPtr->Flink != pListHead) { pListPtr = pListPtr->Flink; int entrySize = sizeof(ProcessItemListEntry); ProcessItemListEntry *pItem = (ProcessItemListEntry *)ExAllocatePool(NonPagedPool, entrySize); ...[생략: 프로세스 정보 구조체의 내용을 채운다.]... RtlStringCbCopyA(pItem->ChildName, ..., pChildProcess + PSOFFSET_IMAGEFILENAME); // IRQL: PASSIVE_LEVEL ProcessListEntry *pEntry = (ProcessListEntry *)pListPtr; ::InsertHeadList(&pEntry->listHead, pItem); } // 이벤트 Set pListPtr = pListHead = &g_processListHead; while (pListPtr->Flink != pListHead) { pListPtr = pListPtr->Flink; ProcessListEntry *pEntry = (ProcessListEntry *)pListPtr; ::<b style='COLOR: blue'>KeSetEvent</b>(pEntry->pEvent, 0, FALSE); // Wait == FALSE, IRQL <= DISPATCH_LEVEL } } </pre> <br /> IRP_MJ_DEVICE_CONTROL Dispatch 메서드에서는 IOCTL_SET_EVENT_HANDLE, IOCTL_GET_PROCESS_ENTRY 2가지의 명령어를 제공합니다. IOCTL_SET_EVENT_HANDLE에서는 사용자 모드의 Win32 EVENT 개체를 전달받아서 ObReferenceObjectByHandle 함수를 이용하여 커널모드로 변환하여, 이후에 ProcessCreateCallback 메서드가 불릴 때마다 사용자 모드 응용 프로그램에 이 사실을 알리기 위해 보관해 둡니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > case IOCTL_SET_EVENT_HANDLE: { ProcessListEntry *pProcessEntry = (ProcessListEntry *)irpSp->FileObject->FsContext; HANDLE userEventHandle = *(HANDLE *)pIrp->AssociatedIrp.SystemBuffer; ntStatus = <b style='COLOR: blue'>ObReferenceObjectByHandle</b>(userEventHandle, EVENT_ALL_ACCESS, *ExEventObjectType, UserMode, (PVOID *)&(pProcessEntry->pEvent), NULL); // IRQL: PASSIVE_LEVEL } pIrp->IoStatus.Information = 0; ntStatus = STATUS_SUCCESS; break; </pre> <br /> IRP_MJ_DEVICE_CONTROL Dispatch 메서드 자체는 IRQL <= DISPATCH_LEVEL에서 호출될 수 있지만, 여기서는 당연히 IOCTL_SET_EVENT_HANDLE 명령어가 사용자 모드에서 전달하는 것이므로, IRQL == PASSIVE_LEVEL에서만 호출 가능한 ObReferenceObjectByHandle 함수를 사용했습니다.<br /> <br /> 위와 같이 사용자 모드에서 Win32 EVENT 개체를 받아서, 이후에 프로세스 생성/소멸 시점이 되면 이벤트 개체를 Signal 상태로 만들어 사용자 모드의 대기 상태를 해제합니다. 활성화된 응용 프로그램은 다시 IOCTL_GET_PROCESS_ENTRY 명령어를 이용하여 프로세스 생성/소멸 정보를 한 번에 하나씩 가져갈 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; width: 800px; background-color: #fbedbb; overflow-x: scroll; font-family: Consolas, Verdana;' > case IOCTL_GET_PROCESS_ENTRY: { // 한 번 호출할 때마다 하나의 목록을 가져간다. ProcessListEntry *pProcessEntry = (ProcessListEntry *)irpSp->FileObject->FsContext; LIST_ENTRY *pList = (LIST_ENTRY *)&pProcessEntry->listHead; BOOLEAN isEmpty = IsListEmpty(pList); int entrySize = sizeof(ProcessItemListEntry) - sizeof(LIST_ENTRY); if (isEmpty == FALSE) { // 버퍼의 크기가 entrySize 크기보다 커야 함. if (outBufLength < entrySize) { <b style='COLOR: blue'>ntStatus = STATUS_BUFFER_TOO_SMALL</b>; pIrp->IoStatus.Information = 0; } else { ProcessItemListEntry *pItem = (ProcessItemListEntry *)::RemoveTailList(pList); // IRQL: Any level memcpy(ioBuffer, &pItem->cbSize, entrySize); pIrp->IoStatus.Information = entrySize; ::ExFreePool(pItem); } } } </pre> <br /> 개인적으로, 위에서 궁금한 점이 하나 있는데요. 보통 버퍼 용량이 모자라면 반환되는 ntStatus 값을 STATUS_BUFFER_TOO_SMALL로 설정하는 경우 Win32 응용 프로그램에서 GetLastError() 함수의 반환값으로 122(The data area passed to a system call is too small.) 오류 코드가 담깁니다. 그런데, 윈도우즈에서 제공되는 메서드들은 그런 경우에 out 파라미터로 필요한 버퍼 용량을 넘겨주게 되는데, 위에서 그 처리를 어떻게 할 수 있는지 궁금합니다. pIrp->IoStatus.Information에 필요한 버퍼 바이트 용량을 채워서 반환해도 Win32 응용 프로그램에서는 여전히 0 값만이 나오는데요... 음... 혹시 방법을 아시는 분은 댓글 부탁드립니다. ^^<br /> <br /> 자, 이렇게 해서 커널 드라이버 구현은 완료되었고, C# 응용 프로그램에서는 Port I/O 예제에서 했던 것처럼 손쉽게 Device Driver와 통신을 해서 프로세스 생성/소멸 정보를 받아보게 됩니다.<br /> <br /> 아래는 실제로 실행된 화면입니다.<br /> <br /> <img alt='process_event_ddk_sample_1.png' src='/SysWebRes/bbs/process_event_ddk_sample_1.png' /><br /> <br /> 보시는 것처럼 탐색기에서 메모장을 실행한 후, 종료한 것입니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 참고로, 이 예제에서는 어떠한 동기화 개체도 사용하지 않았습니다. 공부가 목적이었기 때문에 너무 자세히 구현하려니 시간이 너무 소모되어서 그냥 동기화는 포기했습니다. 그리고, 테스트는 Windows 2003 x86, Windows 2008 R2에서만 해봤는데 일단 잠시 동안의 테스트였지만 블루 스크린 없이 잘 실행이 되었습니다. ^^v<br /> <br /> <a target='_tab' href='http://www.sysnet.pe.kr/bbs/DownloadAttachment.aspx?fid=550&boardid=331301885'>첨부된 파일은 C# 사용자 프로그램과 VC++ 드라이버 소스</a>입니다. 혹시나 블루스크린이 뜰 만한 여지가 있는 곳을 발견하시면 지적을 부탁드립니다. ^^<br /> <br /><br /><hr /><span style='color: Maroon'>[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1821
(왼쪽의 숫자를 입력해야 합니다.)