NT Legacy 드라이버: 프로세스(EXE) 생성/제거 모니터링
프로세스 생성/소멸에 대한 알림은 사용자 모드 프로그램에서도 쉽게 구현이 가능합니다. 일례로 WMI에서도 알림을 받을 수 있도록 폴링 이벤트를 걸어둘 수도 있고, 그 외에 DLL 후킹을 하거나, Appinit_Dlls로 구현할 수도 있을 것입니다.
그렇지만, 역시 프로그램을 해봐야 좀 실력이 늘기 때문에, 실습 겸 해서 이에 대한 기능을 드라이버 단에서 구현을 해보았습니다. 다행히도 힌트는 다음의 책에서 얻을 수 있었는데요.
Windows 구조와 원리: OS를 관통하는 프로그래밍의 원리
정덕영 저 | 한빛미디어
; http://www.yes24.com/24/goods/1956142
187페이지에서 알려준 "PsSetCreateProcessNotifyRoutine"을 이용해서 프로세스(EXE) 생성 또는 제거 시마다 알림을 받을 수 있는 커널 드라이버를 제작해 보았습니다.
지난번, Port IO 예제보다 나름 한 단계 더 나아간 예제인데요. ^^ 다음과 같은 코드들이 더 추가되었습니다.
- CreateFile 시마다 컨텍스트 정보를 보관할 수 있도록 FileObject 사용
- LIST_ENTRY / ExAllocatePool / ExFreePool를 이용하여 내부 자료 저장
- ObReferenceObjectByHandle / ObDereferenceObject 및 KeSetEvent를 이용하여 사용자 모드 프로그램에 이벤트 전달
그 외에, 프로젝트 빌드 스크립트를 변경했습니다. 실제 예제를 작성하다 보니, 지난번에 작성했던 빌드 스크립트들이 터무니 없다는 생각이 들었는데요. 그래서, 이전에 써 놓았던 아래의 글을,
Device Driver 응용 프로그램의 빌드 스크립트
; https://www.sysnet.pe.kr/2/0/921
보완하는 내용을 실었습니다.
Device Driver 응용 프로그램의 빌드 스크립트 - 두 번째 이야기
; https://www.sysnet.pe.kr/2/0/936
충분히 현실적으로 사용할 수 있도록! ^^
코드를 잠깐 살펴보면, DriverEntry에서는 PsSetCreateProcessNotifyRoutine 호출과 FileObject 컨텍스트 정보를 연결해 두기 위한 LIST_ENTRY를 초기화합니다.
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)
{
PsSetCreateProcessNotifyRoutine(ProcessCreateCallback, FALSE); // IRQL: PASSIVE_LEVEL
InitializeListHead(&g_processListHead); // IRQL: Any level
... [생략: 나머지 코드는 이전의 Port IO 예제와 유사]...
return STATUS_SUCCESS;
}
DriverUnload에서는 당연히 이때 설정한 정보를 해제하고,
VOID DriverUnload( PDRIVER_OBJECT pDriverObject )
{
PsSetCreateProcessNotifyRoutine(ProcessCreateCallback, TRUE);
... [생략]...
}
IRP_MJ_CREATE Dispatch 메서드에서는 FileObject 컨텍스트 정보에 KEVENT 개체와 생성/소멸되는 프로세스 정보를 연결 리스트로 보관할 수 있도록 메모리를 할당하고 초기화합니다.
NTSTATUS MajorCreate(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp)
{
PIO_STACK_LOCATION pStack = ::IoGetCurrentIrpStackLocation(pIrp); // IRQL: Any level
PFILE_OBJECT pFileObject = pStack->FileObject;
pFileObject->FsContext = ExAllocatePool(NonPagedPool, sizeof(ProcessListEntry)); // IRQL: <= DISPATCH_LEVEL
ProcessListEntry *pProcessEntry = (ProcessListEntry *)(pFileObject->FsContext);
pProcessEntry->pEvent = NULL;
::InitializeListHead(&(pProcessEntry->listHead));
InsertHeadList(&g_processListHead, pProcessEntry); // IRQL: Any level
... [생략]...
return STATUS_SUCCESS;
}
쌍을 이루는 IRP_MJ_CLOSE Dispatch 메서드에서는 Create에서 생성했던 문맥 정보와, 그 안에 보관되어 있던 프로세스 생성/소멸 정보에 할당된 메모리를 해제합니다.
NTSTATUS MajorClose(IN PDEVICE_OBJECT pDeviceObject, IN PIRP pIrp)
{
PIO_STACK_LOCATION pStack = ::IoGetCurrentIrpStackLocation(pIrp);
PFILE_OBJECT pFileObject = pStack->FileObject;
ProcessListEntry *pProcessEntry = (ProcessListEntry *)(pFileObject->FsContext);
if (pProcessEntry->pEvent != NULL) // 파일 문맥 정보에 담긴 이벤트 개체에 대한 참조 횟수를 감소
{
ObDereferenceObject(pProcessEntry->pEvent); // IRQL: <= DISPATCH_LEVEL
pProcessEntry->pEvent = NULL;
}
// 응용 프로그램이 가져가지 못해 보관된 프로세스 생성/소멸 정보를 삭제
while (!IsListEmpty(&pProcessEntry->listHead)) // IRQL: Any level
{
ProcessItemListEntry *pItem = (ProcessItemListEntry *)::RemoveHeadList(&pProcessEntry->listHead);
ExFreePool(pItem); // IRQL: <= DISPATCH_LEVEL
}
RemoveEntryList(pProcessEntry); // IRQL: Any level
ExFreePool(pProcessEntry);
... [생략]...
return ntStatus;
}
이제 프로세스 생성/소멸 시마다 불려지는 콜백 메서드의 구현입니다.
VOID ProcessCreateCallback(IN HANDLE parentId, IN HANDLE processId, IN BOOLEAN Create)
{
PEPROCESS pParentProcess, pChildProcess;
PsLookupProcessByProcessId(parentId, &pParentProcess); // IRQL: <= APC_LEVEL
PsLookupProcessByProcessId(processId, &pChildProcess);
PLIST_ENTRY pListPtr, pListHead;
pListPtr = pListHead = &g_processListHead;
// CreateFile.FileObject마다 새롭게 전달된 프로세스 정보를 넣어둔다.
while (pListPtr->Flink != pListHead)
{
pListPtr = pListPtr->Flink;
int entrySize = sizeof(ProcessItemListEntry);
ProcessItemListEntry *pItem = (ProcessItemListEntry *)ExAllocatePool(NonPagedPool, entrySize);
...[생략: 프로세스 정보 구조체의 내용을 채운다.]...
RtlStringCbCopyA(pItem->ChildName, ..., pChildProcess + PSOFFSET_IMAGEFILENAME); // IRQL: PASSIVE_LEVEL
ProcessListEntry *pEntry = (ProcessListEntry *)pListPtr;
::InsertHeadList(&pEntry->listHead, pItem);
}
// 이벤트 Set
pListPtr = pListHead = &g_processListHead;
while (pListPtr->Flink != pListHead)
{
pListPtr = pListPtr->Flink;
ProcessListEntry *pEntry = (ProcessListEntry *)pListPtr;
::KeSetEvent(pEntry->pEvent, 0, FALSE); // Wait == FALSE, IRQL <= DISPATCH_LEVEL
}
}
IRP_MJ_DEVICE_CONTROL Dispatch 메서드에서는 IOCTL_SET_EVENT_HANDLE, IOCTL_GET_PROCESS_ENTRY 2가지의 명령어를 제공합니다. IOCTL_SET_EVENT_HANDLE에서는 사용자 모드의 Win32 EVENT 개체를 전달받아서 ObReferenceObjectByHandle 함수를 이용하여 커널모드로 변환하여, 이후에 ProcessCreateCallback 메서드가 불릴 때마다 사용자 모드 응용 프로그램에 이 사실을 알리기 위해 보관해 둡니다.
case IOCTL_SET_EVENT_HANDLE:
{
ProcessListEntry *pProcessEntry = (ProcessListEntry *)irpSp->FileObject->FsContext;
HANDLE userEventHandle = *(HANDLE *)pIrp->AssociatedIrp.SystemBuffer;
ntStatus = ObReferenceObjectByHandle(userEventHandle, EVENT_ALL_ACCESS, *ExEventObjectType, UserMode,
(PVOID *)&(pProcessEntry->pEvent), NULL); // IRQL: PASSIVE_LEVEL
}
pIrp->IoStatus.Information = 0;
ntStatus = STATUS_SUCCESS;
break;
IRP_MJ_DEVICE_CONTROL Dispatch 메서드 자체는 IRQL <= DISPATCH_LEVEL에서 호출될 수 있지만, 여기서는 당연히 IOCTL_SET_EVENT_HANDLE 명령어가 사용자 모드에서 전달하는 것이므로, IRQL == PASSIVE_LEVEL에서만 호출 가능한 ObReferenceObjectByHandle 함수를 사용했습니다.
위와 같이 사용자 모드에서 Win32 EVENT 개체를 받아서, 이후에 프로세스 생성/소멸 시점이 되면 이벤트 개체를 Signal 상태로 만들어 사용자 모드의 대기 상태를 해제합니다. 활성화된 응용 프로그램은 다시 IOCTL_GET_PROCESS_ENTRY 명령어를 이용하여 프로세스 생성/소멸 정보를 한 번에 하나씩 가져갈 수 있습니다.
case IOCTL_GET_PROCESS_ENTRY:
{
// 한 번 호출할 때마다 하나의 목록을 가져간다.
ProcessListEntry *pProcessEntry = (ProcessListEntry *)irpSp->FileObject->FsContext;
LIST_ENTRY *pList = (LIST_ENTRY *)&pProcessEntry->listHead;
BOOLEAN isEmpty = IsListEmpty(pList);
int entrySize = sizeof(ProcessItemListEntry) - sizeof(LIST_ENTRY);
if (isEmpty == FALSE)
{
// 버퍼의 크기가 entrySize 크기보다 커야 함.
if (outBufLength < entrySize)
{
ntStatus = STATUS_BUFFER_TOO_SMALL;
pIrp->IoStatus.Information = 0;
}
else
{
ProcessItemListEntry *pItem = (ProcessItemListEntry *)::RemoveTailList(pList); // IRQL: Any level
memcpy(ioBuffer, &pItem->cbSize, entrySize);
pIrp->IoStatus.Information = entrySize;
::ExFreePool(pItem);
}
}
}
개인적으로, 위에서 궁금한 점이 하나 있는데요. 보통 버퍼 용량이 모자라면 반환되는 ntStatus 값을 STATUS_BUFFER_TOO_SMALL로 설정하는 경우 Win32 응용 프로그램에서 GetLastError() 함수의 반환값으로 122(The data area passed to a system call is too small.) 오류 코드가 담깁니다. 그런데, 윈도우즈에서 제공되는 메서드들은 그런 경우에 out 파라미터로 필요한 버퍼 용량을 넘겨주게 되는데, 위에서 그 처리를 어떻게 할 수 있는지 궁금합니다. pIrp->IoStatus.Information에 필요한 버퍼 바이트 용량을 채워서 반환해도 Win32 응용 프로그램에서는 여전히 0 값만이 나오는데요... 음... 혹시 방법을 아시는 분은 댓글 부탁드립니다. ^^
자, 이렇게 해서 커널 드라이버 구현은 완료되었고, C# 응용 프로그램에서는 Port I/O 예제에서 했던 것처럼 손쉽게 Device Driver와 통신을 해서 프로세스 생성/소멸 정보를 받아보게 됩니다.
아래는 실제로 실행된 화면입니다.
보시는 것처럼 탐색기에서 메모장을 실행한 후, 종료한 것입니다.
참고로, 이 예제에서는 어떠한 동기화 개체도 사용하지 않았습니다. 공부가 목적이었기 때문에 너무 자세히 구현하려니 시간이 너무 소모되어서 그냥 동기화는 포기했습니다. 그리고, 테스트는 Windows 2003 x86, Windows 2008 R2에서만 해봤는데 일단 잠시 동안의 테스트였지만 블루 스크린 없이 잘 실행이 되었습니다. ^^v
첨부된 파일은 C# 사용자 프로그램과 VC++ 드라이버 소스입니다. 혹시나 블루스크린이 뜰 만한 여지가 있는 곳을 발견하시면 지적을 부탁드립니다. ^^
[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]