반응형

Windbg Case by Case

 

n  Windbg vmware를 이용한 디버깅 환경 구축
[디버깅/WinDbg] - VMware WinDbg 이용한 커널 디버깅

n  브레이크 포인트에 조건을 걸어 보자
[디버깅/WinDbg] - [WinDbg] 조건부 브레이크 포인트

n  커널모드에서 특정 프로세스 디버깅
[디버깅/WinDbg] - Kernel 모드에서 특정 프로세스 디버깅하기

n  wow64환경에서 x86프로셋 디버깅
[디버깅/WinDbg] - WOW64 디버깅

n 메모리 엑세스 시점 잡기
[디버깅/WinDbg]ba(break on access) 메모리 엑세스 시점


 

반응형
반응형

조건부 breadkpoint

 

아래와 같은 코드를 포함한 TestApp.exe 프로그램이 있고, 지역변수 i의 값이 9999인 상황에 문제가 발생한다 가정해 보자.

void DoSomething( int iValue )

{

             static int iStaticValue = 0;

            

             iStaticValue = iValue;

}

 

void SomeFunction()

{

             int i = 0;

             for ( i = 0; i < 10000; i++ )

             {

                           DoSomething( i );

             }

}

 

이 경우 다음과 같은 선택이 가능할 것이다.

1.      해당 함수에 breakpoint를 걸고 9999번을 트레이스 한다.(설마?)

2.      i값을 디버깅 상태에서 수정해서 디버깅을 한다.(어디까지나 이건 가정이고 만들어낸 예시 코드니까 이경우엔 부가적인 문제가 있다고 치자 - 예시는 예시일 뿐, 꼬투리 잡지 말자~)

3.      다음과 같은 코드를 작성한 후, “int k = 0;”breakpoint를 걸어서 디버깅한다.

void SomeFunction()

{

             int i = 0;

             for ( i = 0; i < 10000; i++ )

             {

                           if ( i == 9999 )

                           {

                                        int k = 0;

                           }

                           DoSomething( i );

             }

}

아마 많은 개발자들이 이와 같은 방법으로 디버깅을 할 꺼라 생각된다.

 

하지만 이러한 상황이 Unload를 지원하지 않는 드라이버의 코드라면? 혹은 여러 모듈이 얽혀서 돌아가는 시스템의 일부라면 여간 성가신 작업이 아닐 수 없다.

 

바로 이러한 상황에 사용하면 편리한 것이 조건부 breakpoint이다.

 

위의 상황에 적용해 보자면 아래와 같은 설정이 되겠다.(SomeFunction breakpoint를 걸려면 주소를 써야하니 보기 편하게 DoSomething() breakpoint를 걸어본다)

bp TestApp!DoSomething ".if@@( iValue == 9999 ) {} .else {gc}"

breakpoint에서 멈춰진 후 iValue의 값을 보면 9999임을 알 수 있다.

 

그럼 조건부 breakpoint 문법에 대해 조금 자세히 살펴보자

bp FuncAddress “.if @@(Condition) { Commands } .elsif @@(Condition) { Commands } .else { Commands }”

n  @@( )
괄호안에는 C/C++타입의 코드를 사용할 수 있을 뿐만 아니라, 정확한 심볼이 있다면 변수의 이름도 사용 가능하다..

n  { Commands }

n  Breakpoint가 적중되었을때 실행될 Windbg Command를 입력한다.

n  메시지를 출력하려면 .echo String 을 쓴다

n  두개 이상의 명령을 사용하려면, ;로 각 명령어를 구분한다.

n  .else 조건(조건이 만족하지 않을 경우)에는 g 커맨드 대신 gc(Go from Conditional Breakpoint)를 사용한다.(gc대신 g를 사용하면 해당 함수를 한 줄씩 step trace하는 동안 해당 함수를 도달 했을때 다음 명령(F10)이 아니라 F5를 누른 것처럼 그냥 진행되어 버린다.)

n  bp FuncAddress ntimes
breakpoint를 설정하면 해당 breakpointntimes만큼 적중(?)되었을 때 breakpoint가 걸리게 된다.
- [ bp TestApp!DoSomthing 10 ]

 

* WinDbg 도움말 키워드 - 'Setting a Conditional Breakpoint' 

* 참고사이트

http://blogs.msdn.com/debuggingtoolbox/archive/2008/06/12/special-command-if-and-j-to-use-in-breakpoints-and-scripts.aspx

http://www.driveronline.org/bbs/view.asp?tb=tipbbs&no=91

반응형
반응형

‘Low’ Integrity level 프로세스 디버깅

 

Vista이후의 OS에는 “Integrity level”(이하 IL)이라는 것을 두어, 같은 사용자 권한으로 동작하는 프로세스라도 IL에 따라 자원 혹은 다른 프로세스에 대한 접근권한을 제어한다.

프로세스의 IL[System, High, Medium, Low] 네 가지 중 하나의 값을 가질 수 있는데, 특히 Low-IL의 경우, 로컬 리소스나 (Medium이상의 IL로 실행된) 다른 프로세스 대한 접근에 상당한 제한이 있다.

 

이 포스트에서는 Low-IL로 실행된 어플리케이션에서 출력하는 OutputDebugString DbgView.exe를 통해 확인 하는 내용에 대해 다룬다.

 

실제 이러한 디버깅 케이스는 흔히 발생하는 케이스는 아니나, Low level로 실행되는 어플리케션을 개발한 경우 이를 디버깅하거나, 기 작성된 Low level로 실행되는 어플리케이션에 injection되어 동작하는 모듈을 디버깅하는 경우 유용할 수 있다.

Low level로 실행되는 어플리케이션의 예를 들자면,

n  IE 8(보호모드)

n  Adobe Reader X

n  MS Office 2010(제한된 보기)

등을 들 수 있다.

 

Windows7에서 IE8을 실행 해 보면 아래와 같이, Medium-IL프로세스가 생성되고 그 프로세스의 자식으로 Low-IL프로세스가 생성된다.

 

 

IE를 통한 악성코드로부터 로컬 시스템을 보호화기 위한 조치로 생각되며(그래서 보호모드 라고 이름을 붙인듯), 자식으로 생성된 Low-IL프로세스는 대부분의 로컬 파일/폴더로의 접근이 제한된다. Low-IL로 실행된 경우에는 보는 것 처럼 Temp폴더 조차도 별도의 폴더로 설정되어 있음을 알수 있다.
[ Medium-IL]

[ Low-IL ]

  

BHO를 이용한 모듈이나 다른 방식으로 IE 8에 인젝션되어 동작하는 모듈을 개발했다고 생각해 보자.

이런한 경우, 일반적인 방법으로는 해당 모듈에서 호출한 OutputDebugString의 출력을 DbgView를 통해 볼수 없다. 여기서 일반적이라 함은 DbgView.exe를 그냥 실행시킨( Medium-IL) 경우를 의미한다.

그냥 파일 로그를 남기면 되지 않겠냐고? 그것 역시도 불가능 하다. Low-IL에서는 위에서 설명한 대로 대부분의 경로에 파일을 생성 할 수 없다. (위에서 살펴본 Temp폴더라면 파일 생성/쓰기가 가능하긴 하지만)

  
언젠가 웹서치를 하다가 DbgView가 공유메모리와 이벤트를 통해 OutputDebugString 출력을 디스플에이 한다고 본 기억이 있는데.....

DbgView Open하고 있는 객체들을 Process Exporer로 확인해 보면

DBWIN_BUFFER_READY, DBWIN_DATA_READY 등의 이벤트를 생성하고 있는 것을 볼 수 있다.

이를 통해 DbgViewOutputDebugString()의 출력을 공유 메모리등에 Write한 후, 상기 이벤트를 설정해 DbgView창에 출력한다고 유추해 볼수 있겠다. 


“Low-IL로 실행된 프로세스(IE8보호모드)가 Medium-IL로 실행된 DbgView의 이벤트 및 리소스에 접근 할수 없어 출력되지 않음정도로 이해하면 될 것 같다.

 

그러면 어떻게 하면 Low-IL로 실행된 프로세스가 출력하는 디버깅 메시지를 확인 할 수 있을까?

위의 내용을 정확히 이해 했다면 방법은 간단하다.

DbgView Low-IL로 실행시키면 된다는 거다. 물론 DbgView Low-IL로 정상적으로 실행되어 준다면

 

프로세스를 Low-IL로 실행시키는 것은 ProcessExplore를 이용하면 이 역시 어렵지 않다.


그리고 다행히도 DbgView.exe는 Low-IL에서도 잘 구동된다. 

(.. ProcessExplore가 없었다면, 어떻게 분석하고 디버깅 했으려나?)


자 이제 모든 준비는 끝났다.디버깅 하면 된다.

아주 간단한 결론이지만, 이방법을 찾지 못해 디버깅한다고 별 삽질을 다했으니 포스팅할 만한 가치는 있지않나? 싶다.

 

 

 

 

 

 

반응형

'Windows Programming > 디버깅' 카테고리의 다른 글

Windbg case by case  (0) 2011.07.08
[WinDbg] 조건부 브레이크 포인트  (1) 2011.07.08
[WinDbg] Kernel 모드에서 특정 프로세스 디버깅하기  (0) 2011.07.05
WOW64 디버깅  (0) 2011.06.27
WinDbg 명령어 정리  (0) 2011.06.21
반응형

 

Kernel 모드에서 특정 프로세스 디버깅하기

 

이번 포스트에서는 WinDbg Debugee OS에 연결 한 후(Kernel-Mode), TestApp.exe프로세스를 디버깅하는 절차에 대해 설명합니다.

 

n  디버깅 하려는 TestApp.exe EPROCESS 주소를 확인하기 !process 0 0 TestApp.exe명령을 입력합니다.


n  .process /i EPROCESS주소를 입력하여 해당 프로세스 컨텍스트로 이동합니다.
Context switching
을 위해 ‘g’를 입력하라고 하는군요. ‘g’를 입력해서 진행시키면 context가 변경된 후, 다시 break가 걸립니다.

 

n  TestApp.exe의 심볼을 로드하기 위해 .reload /user 명령을 입력합니다.

 

n  이제 디버깅 하려는 프로세스의 컨텍스트로 이동되었고 심볼도 로드되었으므로, 디버깅하려는 함수에 breakpoint를 설정합니다.

 

n  보시는 것처럼 TestApp OK버튼을 누르면, DoSomething에서 breakpoint가 걸리는 것을 확인 할 수 있습니다.

 

n  로드된 프로세스의 심볼을 언로드 하려면 .reload /u /user명령을 입력하시면 됩니다.

 

이후의 디버깅은 알아서~ 하시면 됩니다.



n  kernel-mode 디버깅 환경에서 특정 프로세스의 user function에 breakpoint 설정하는 방법

> bp /p @$proc KERNEL32!CreateThreadStub


n  user module list

> lmu

반응형
반응형

svchost.exe

 

 

작업관리자를 보면 svchost.exe프로세스가 다수 실행되어 있는 것을 볼 수 있습니다.

네이버나 기타 검색사이트에서 검색해보면

"svchost.exe가 여러개 떠 있다."
"svchost.exe가 cpu를 100% 잡아 먹는다"
라는 질문들을 많이 볼수 있습니다.

그럼 svchost.exe는 악성코드나 바이러스 같은 것일까요?
아닙니다. svchost.exe는 MS Windows의 시스템 프로세스중의 하나입니다.


전문적인 지식은 없지만, 위에 언급한 svchost.exe관련 문제는 svchost.exe자체의 문제라기 보다는 svchost.exe 이용(악용)한 바이이러스나 악성코드 때문이라고 볼 수 있을것 같습니다.


이 그럼 프로세스는 무슨 역할을 하는 것일까요?

svchost.exe의 속성을 한번 살펴보겠습니다.

 

"Host Process for Windows Services"라고 되어 있네요.

말그대로 Dll로 구현된 윈도우즈 서비스를 호스팅 하는 시스템 프로세스입니다.

프로그래밍 관점에서 보자면 svchost.exe "인자로 전달된 서비스에 대해, 관련 서비스가 구현된 Dll을 로드하여 해당 모듈의 ServiceMain()을 호출 해 준다"라고 생각하면 이해가 편할 듯 합니다.

 

그럼 실제로 어떤 식으로 구동되어 있는지 확인해 보겠습니다.

n  Process Explore를 이용해 svchost.exe가 호스팅 하고 있는 서비스들을 손쉽게 확인해 볼 수 있습니다.
아래의 이미지처럼 말이죠.
C:\Windows\system32\svchost.exe -k RPCSS

 

n  Services 탭에서 좀더 자세한 정보도 볼수 있습니다.(실제 서비스가 구현된 Dll정보도 볼수 있군요)
그리고 보시는 것처럼 한 개의 scvhost.exe에서 한 개 이상의 서비스를 호스팅 하고 있는 경우도 있습니다.
 


아래의 링크에 추가적인 정보가 있으니 참고하시기 바랍니다.


-------------------------------------------------------------------------------------------------------------------------------
 

http://support.microsoft.com/kb/314056


Svchost.exe 파일은 %SystemRoot%\System32 폴더에 있습니다. Svchost.exe는 시작할 때 레지스트리의 서비스 부분을 확인하여 로드해야 하는 서비스 목록을 구성합니다. 여러 개의 Svchost.exe 인스턴스가 동시에 실행될 수 있습니다. 각 Svchost.exe 세션마다 서비스 그룹을 포함할 수 있으므로 Svchost.exe가 시작되는 방법과 위치에 따라 각각 다른 서비스가 실행될 수 있습니다. 이러한 서비스 그룹을 통해 더 효과적으로 제어하고 더 쉽게 디버깅할 수 있습니다.

Svchost.exe 그룹은 다음 레지스트리 키에서 식별됩니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
이 키의 각 값은 별도의 Svchost 그룹을 나타내며 활성 프로세스를 볼 때 별도의 인스턴스로 표시됩니다. 각 값은 REG_MULTI_SZ 값에 해당하며 해당 Svchost 그룹 하에서 실행되는 서비스를 포함하고 있습니다. 각 Svchost 그룹은 Parameters 키에 ServiceDLL 값이 들어 있는 다음 레지스트리 키에서 추출되는 서비스 이름을 하나 이상 포함할 수 있습니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
Svchost에서 실행 중인 서비스의 목록을 보려면 다음과 같이 하십시오.
  1. Windows 작업 표시줄의 시작을 누른 다음 실행을 누릅니다.
  2. 열기 상자에 CMD를 입력한 다음 Enter 키를 누릅니다.
  3. Tasklist /SVC를 입력한 다음 Enter 키를 누릅니다.
Tasklist는 활성 프로세스의 목록을 표시합니다. /SVC 스위치는 각 프로세스의 활성 서비스 목록을 표시합니다. 프로세스에 대한 자세한 내용을 보려면 다음 명령을 입력한 후 Enter 키를 누릅니다.
Tasklist /FI "PID eq processID"(따옴표 포함)
다음 Tasklist 예제 출력은 실행 중인 Svchost.exe의 두 인스턴스를 보여 줍니다.
   Image Name         PID      Services
   ======================================================================== 
   System Process        0     N/A
   System                8     N/A    
   Smss.exe            132     N/A
   Csrss.exe           160     N/A
   Winlogon.exe        180     N/A
   Services.exe        208     AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
                               Eventlog,LanmanServer,LanmanWorkstation,
                               LmHosts,Messenger,PlugPlay,ProtectedStorage,
                               Seclogon,TrkWks,W32Time,Wmi
   Lsass.exe            220    Netlogon,PolicyAgent,SamSs 
   Svchost.exe          404    RpcSs 
   Spoolsv.exe          452    Spooler 
   Cisvc.exe            544    Cisvc 
   Svchost.exe          556    EventSystem,Netman,NtmsSvc,RasMan,
                               SENS,TapiSrv 
   Regsvc.exe           580    RemoteRegistry 
   Mstask.exe           596    Schedule 
   Snmp.exe             660    SNMP 
   Winmgmt.exe          728    WinMgmt 
   Explorer.exe         812    N/A
   Cmd.exe             1300    N/A
   Tasklist.exe        1144    N/A
				
이 예제의 두 그룹에 대한 레지스트리 설정은 다음과 같습니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs





반응형
반응형

Open/Save 파일폴더 경로얻기

 

 

폴더 경로 얻기

int CALLBACK BrowseCallbackProc(HWND hwnd, UINT uMsg, LPARAM /*lParam*/, LPARAM lpData);

 

BOOL BrowseForFolder( WCHAR *pwFolderPath, WCHAR *pwInitialFolder )

{

             LPMALLOC pMalloc = NULL;

             WCHAR wszDisplayName [MAX_PATH];

             BROWSEINFO bi;

             BOOL bRet = FALSE;

 

             ZeroMemory(&bi, sizeof(bi));

 

             if ( SUCCEEDED(::SHGetMalloc(&pMalloc)) )

             {           

                          bi.lpszTitle =_T("Title Text");    

                          // 선택된아이템을리턴받을버퍼(폴더명만)

                           bi.pszDisplayName = wszDisplayName; 

                           // Parent Window Handle;

                          bi.hwndOwner = NULL;                  

                           // Callback Function 주소

                          bi.lpfn = BrowseCallbackProc;                                      

                           // Callback Function으로전달한parameter

                          bi.lParam = (LPARAM)pwInitialFolder; 

                           bi.pidlRoot = NULL;

                          // BIF_USENEWUI - 새폴더생성+EditBox

                          // BIF_DONTGOBELOWDOMAIN - nework표시안함

                           bi.ulFlags = BIF_RETURNONLYFSDIRS;

                           bi.iImage = -1;

 

                           LPITEMIDLIST pidl = ::SHBrowseForFolder(&bi);

                           if (pidl != NULL)

                           {

                                        if ( ::SHGetPathFromIDList(pidl, pwFolderPath) ) // Get Item FullPath

                                        {

                                                     bRet = TRUE;

                                        }

 

                                        pMalloc->Free(pidl);

                           }

 

                           pMalloc->Release();

                           pMalloc = NULL;

             }

 

             return bRet;

}

 

int CALLBACK BrowseCallbackProc(HWND hwnd, UINT uMsg, LPARAM /*lParam*/, LPARAM lpData)

{

             if (uMsg == BFFM_INITIALIZED)

             {

                           //BROWSEINFO.lParam에서 설정 해준 값이 lpData로넘어온다.

                           // LPARAM으로 path를 넘겨주려면 WParamTRUE,

                           // PIDL을 넘겨주려면 FALSE로 넘겨준다.

                          if ( lpData )
                            
SendMessage
(hwnd, BFFM_SETSELECTION, (WPARAM)TRUE, (LPARAM)lpData);

             }

 

             return 0;

}

n  폴더선택창이 팝업될 때 기본 선택 경로를 설정하려면 BROWSEINFO.lpfn를 등록한 후, 위 예제의 BrowseCallbackProc 와 같이 처리하면 된다.

 

파일 경로 얻기

#include <commdlg.h>
BOOL
GetOpenFilePath( WCHAR *pwFilePath, WCHAR *pwInitialFolder )

{

             OPENFILENAME ofn;

 

             ZeroMemory(&ofn, sizeof(OPENFILENAME));

 

             ofn.lStructSize = sizeof(OPENFILENAME);

             ofn.hwndOwner = NULL;

             // File Filter

             ofn.lpstrFilter = L"Exe Files (*.exe)\0*.exe\0Dll Files (*.dll)\0*.dll\0\0";                     

             ofn.lpstrInitialDir = pwInitialFolder;      // InitialFolder

             ofn.lpstrFile = pwFilePath;     // Default FileName / Output FilePath

             ofn.nMaxFile = MAX_PATH; // The size, in characters, of the buffer pointed to by lpstrFile

             ofn.lpstrDefExt = NULL;           // The default extension

             ofn.lpstrTitle = L"파일을선택하세요"; // Title

             ofn.Flags = OFN_HIDEREADONLY | OFN_EXPLORER | OFN_OVERWRITEPROMPT;

 

             //if ( ::GetSaveFileName(&ofn) == FALSE ) Save 파일이름 얻기

             if ( ::GetOpenFileName(&ofn) == FALSE ) // - Open 파일이름 얻기

             {

                           DWORD dw = CommDlgExtendedError();

                  return FALSE;

             }

 

             return TRUE;

}

n  GetSaveFileName()/GetOpenFileName()함수의 상세 에러코드는 GetLastError()가 아닌 CommDlgExtendedError() API를 이용해 확인 해야 한다.

n  여기서 주의해야 할점은 OPENFILENAME.lpstrFile 필드는 디폴트 파일명을 셋팅하는데도 사용되며, 디폴트 파일명을 사용하지 않더라도 버퍼의 첫번째 문자는 널 문자로 설정되어야 한다.
그렇지 않을 경우, FNERR_INVALIDFILENAME(0x00003002)가 발생하여 다이얼로그 생성에 실패한다.(즉 해당 버퍼는 반드시 초기화 되어야 한다.)

 

 

 

Windows Vista 이후의 OS에서는 IFileDialog 인터페이스를 통해, 파일/폴더 이름 얻기가 가능하다.

MSDN에서 [Cmmon Item Dialog]을 키워드로 검색하거나 아래 링크를 확인해 보면 자세한 정보가 기술되어 있다.

n  http://msdn.microsoft.com/en-us/library/bb776913(v=VS.85).aspx

관련 샘플은 아래의 경로에서도 확인 가능하다.

n  C:\Program Files (x86)\Microsoft Visual Studio X.0\VC\atlmfc\src\mfc\dlgfile.cpp

 

반응형

+ Recent posts