반응형

Detour Library

 

n  MSDN Reaserch를 통해 배포되는 ApiHooking Library

n  Download Site

ü  http://research.microsoft.com/en-us/downloads/d36340fb-4d3c-4ddd-bf5b-1db25d03713d/default.aspx

 



반응형
반응형

Dependency Walker(depends.exe)Windows모듈의 Dependency를 보여주는 유용한 툴이다.

VisualStudio 6.0에는 기본으로 제공되었으나, 그 이후버전(정확히 어느버전인지 모른다)부터는 포함되어 있지 않다.

 

하지만 아래의 사이트에서 다운받을 수 있으니, 안심(?)해도 좋다.(64bit 포함)

 

http://www.dependencywalker.com

 

Download Version 2.2.6000 for x86 [610k]
Download Version 2.2.6000 for x64 [468k]

반응형
반응형

MS Office 임시파일 & 자동복구 파일

 

n  MS Office Word에서 임시 파일이 만들어지는 방식에 대한 설명

ü  http://support.microsoft.com/default.aspx?scid=kb%3bko%3bKR211632

임시 파일의 정의

임시 파일은 다른 목적으로 메모리를 늘리기 위해 정보를 임시로 저장하거나 프로그램이 특정 기능을 수행할 때 데이터 손실을 방지하기 위한 안전망의 역할을 하기 위해 만들어지는 파일입니다. 예를 들어, Word에서는 임시 파일을 만들어야 하는 위치와 시기를 자동으로 결정합니다. 임시 파일은 현재 Word 셰션 동안에만 존재합니다. Word가 정상적인 방법으로 종료되면 모든 임시 파일이 우선 닫힌 다음 삭제됩니다.

위로 가기

Word에서 임시 파일을 만드는 이유

속도:

문서를 모든 편집 내용과 함께 메모리에 보관하면서 실행 중인 다른 응용 프로그램과 함께 정렬, 끌기, 스크롤 등의 작업을 빠르게 수행할 수 있는 충분한 메모리가 없을 경우 Word에서는 코드에서 사용되고 있지 않은 부분이나 문서에서 편집되고 있지 않은 부분을 디스크로 옮깁니다. 이렇게 디스크의 임시 파일로 옮기면 텍스트 조작이나 문서에서 편집 중인 부분을 저장하는 데 사용할 수 있는 메모리가 늘어납니다.

데이터 무결성:

Word
에서는 임시 파일을 파일 저장 체계에서 발생한 시스템 오류로부터 보호하기 위한 "안전망"으로 사용합니다. Word에서는 먼저 임시 파일에 저장한 다음 해당 파일의 이름을 적절하게 바꾸는 방법을 통해 파일 작성 중에 발생할 수 있는 정전이나 네트워크 연결 끊김 같은 문제로부터 원본 파일의 데이터 무결성을 보호합니다.

위로 가기

임시 파일 유형

MS-DOS 기반 파일:

이 파일은 표준 MS-DOS 파일입니다.

문서 파일 기반 파일:

이 파일은 원래 소유자가 파일 유형을 몰라도 여러 프로그램에서 파일을 읽고 쓸 수 있다는 점에서 기존 MS-DOS 파일과 다릅니다. 이 외에도 문서 파일은 Word에서 파일과 디렉터리를 만들 수 있도록 하는 고유의 속성을 파일 내에 포함하고 있습니다. Word를 시작하면 ~wrfxxxx.tmp란 이름의 임시(직접) 문서 파일이 하나 만들어집니다. 이 파일은 처음 크기가 1,536바이트이며 이를 통해 문서 파일임을 알 수 있습니다. 이 임시 문서 파일은 이름 없는 문서에 포함된 모든 OLE 개체, 실행 취소 내용, 클립보드, 기본 형식이 문서 형식이 아닌 문서(: .txt, .rtf Word 2.0 문서) 등을 저장하는 데 사용됩니다. Word에서는 처리된 모드와 직접 모드라는 두 가지 모드를 사용하여 문서 파일을 열 수 있습니다. 이 두 모드에 대한 내용은 이 문서의 뒷부분에서 설명합니다.

처리된 문서 파일:

처리된 파일은 Word에서 열거나 쓸 수 있고 Microsoft Excel 등의 다른 프로그램에서 쓸 수 있지만 Word에서 해당 파일을 처음 열었을 때의 상태로 복원할 수 있는 권한도 계속 유지됩니다.

이렇게 하기 위해 문서 파일은 해당 파일이 열린 후 변경된 모든 내용의 유령 이미지(대개 ~dftxxxx.tmp)를 만듭니다. Word에서 변경 내용을 모두 보관할 경우 ~dftxxxx.tmp의 내용이 원본 파일과 병합되어 완전한 버전의 문서가 저장됩니다. 반대로 Word에서 모든 변경 내용을 삭제하면 ~dftxxxx.tmp가 삭제되고 원본 파일은 변경되지 않습니다. 모든 Word 기본 파일은 Word에서 처리된 파일을 사용하여 열리기 때문에 Temp 디렉터리에 유령 이미지가 만들어집니다. Word를 시작하면 Normal.dot가 대개 처리된 모드에서 열리고 이에 대해 dftxxxx.tmp라는 유령 파일이 만들어집니다. 예를 들어, 사용자가 파일을 저장하면 빠른 저장 기능이 이 두 파일을 병합합니다.

직접 저장:

Word
에서는 임시 문서 파일을 열 때와 다른 이름으로 저장 또는 완전 저장(빠른 저장이 아닌 저장) 중 하나를 수행할 때 직접 저장을 사용합니다. 이러한 종류의 파일은 메모리 소비가 적고 만들거나 열 때 유령 이미지가 만들어지지 않습니다.

위로 가기

Word에서 만들어지는 특정 파일

다음 표에서는 Word에서 만들어지는 특정 임시 파일 중 일부를 보여 줍니다.

표 축소표 확대

Word 시작 시 일반적으로 만들어지는 파일

크기

파일 이름

MS-DOS 기반 파일(4 파일 핸들 예약용)

0바이트

~wrf0000.tmp

MS-DOS 기반 스크래치 파일

0바이트

~mfxxxx.tmp

복합 파일 - 처리됨

0바이트

~dftxxxx.tmp

복합 파일 - 직접
(
이름 없는 비 Word/OLE 파일)

1536바이트

~wrf0001.tmp

표 축소표 확대

Word 복구 파일

파일 이름

자동 복구용 임시 파일

~wraxxxx.tmp

자동 복구

<docname>.asd의 자동 복구 저장

표 축소표 확대

기타 Word 임시 파일

파일 이름

다른 문서의 복사본

~wrcxxxx.tmp

Word 문서

~wrdxxxx.tmp

임시 문서 파일

~wrfxxxx.tmp

사전

~wrixxxx.tmp

클립보드

~wrlxxxx.tmp

매크로

~wrmxxxx.tmp

Word OLE 문서

~wroxxxx.tmp

스크래치 파일

~wrsxxxx.tmp

변환된(외부) 문서

~wrvxxxx.tmp

위로 가기

편집한 파일의 저장 체계 간단히 보기

표 축소표 확대

임시 파일 만들기

~wrdxxxx.tmp 만들기

임시 파일 쓰기

~wrdxxxx.tmp에 예제 데이터 저장

원본 파일 삭제

EXAMPLE.DOC 삭제

임시 파일을 대상 이름으로 이동

~wrdxxxx.tmp Example.doc로 이동

임시 파일을 저장된 파일과 같은 디렉터리에 넣으면 Word의 수행 속도가 상당히 향상됩니다. 임시 파일이 다른 곳에 있다면 MS-DOS COPY 명령을 사용하여 다른 디렉터리에 있는 임시 파일을 저장된 위치로 옮겨야 합니다. 그러나 Word에서는 임시 파일이 저장된 문서 파일과 같은 디렉터리에 저장되므로 MS-DOS MOVE 명령을 사용하여 빠르게 임시 파일을 저장된 문서로 지정할 수 있습니다.

위로 가기

Word에서 임시 파일을 만드는 시기와 위치

Word에서 임시 파일을 만드는 위치는 하드코드된 정보이므로 편집할 수 없습니다. 일반적으로 Word에서는 다음 데이터 유형에 대해 임시 파일을 만듭니다.

포함된 Word 개체(Temp 디렉터리):

Word
OLE 서버 프로그램의 역할을 할 경우 포함된 Word 개체는 Temp 디렉터리에 임시 파일로 저장됩니다.

OLE 2.0
은 추가 드라이브 저장 장치를 필요로 합니다. OLE 프로그램을 시작하면 Word에서는 데이터 복사본을 서버에 제공해야 합니다. 단일 프로그램 세션에서 OLE 2.0을 확장 사용하여 많은 양의 임시 저장본이 하드 드라이브에 누적되는 경우도 종종 있습니다.


스크래치 파일(Temp 디렉터리):

Word
에서는 RAM(Random Access Memory)이 부족할 때마다 Temp 디렉터리에 단일 임시 스크래치 파일을 만들어서 정보를 저장합니다. 이 스크래치 파일은 전역 시스템 메모리로부터 할당된 Word 내부 파일 캐시에서 스왑된 정보를 보유합니다. 스크래치 파일의 크기 범위는 64KB - 3.5MB입니다.

Word
의 기본 캐시 크기는 64KB입니다.

Word
의 캐시 크기를 늘리는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

212242 (http://support.microsoft.com/kb/212242/ ) Word 2000용 레지스트리에서 설정이 저장되는 위치

기록된 매크로(Temp 디렉터리):

Word
에서 사용자가 매크로를 기록하면 Windows Temp 디렉터리에 임시 파일이 만들어집니다.

변환된 파일(Temp 디렉터리):

Word
와 함께 제공되는 워드 프로세서 변환기는 RTF(서식 있는 텍스트) 형식으로 임시 파일을 만드는데, Word에서는 이를 사용하여 특정 변환기에 액세스합니다.

잠긴 파일(Temp 디렉터리):

잠긴 파일(다른 Word 창에 열려 있거나 네트워크 상의 다른 사용자가 이미 연 파일)을 열 경우 해당 파일의 복사본으로 작업할 수 있습니다. 이러한 복사본은 Windows Temp 디렉터리에 저장됩니다. 마찬가지로 문서에 연결된 서식 파일이 잠긴 경우에도 자동으로 해당 서식 파일의 복사본이 Temp 디렉터리에 만들어집니다. 잠긴 파일의 복사본은 원래 소유자의 파일을 자동으로 업데이트하지는 않습니다.

저장된 파일(저장된 파일과 같은 디렉터리):

파일 메뉴에서 저장을 누르면 다음 작업이 수행됩니다.

1.     편집된 문서 버전을 사용하여 새로운 임시 파일이 만들어집니다.

2.     임시 파일이 만들어진 후 이전 버전의 문서는 삭제됩니다.

3.     임시 파일의 이름은 이전 버전의 문서와 같은 이름으로 바뀝니다.

파일 간에 붙여 넣어진 텍스트(원본 파일과 같은 디렉터리):

Word
에서 문서 간에 복사 및 붙여 넣기를 수행하면 원본 파일과 같은 디렉터리에 임시 파일이 만들어질 수 있습니다(특히 원본 파일이 저장되거나 닫힌 경우). 이 임시 파일은 파일을 저장하기 전에 클립보드에서 참조한 정보를 나타냅니다. 이 임시 파일은 이전 파일 복사본의 이름을 임시 파일 이름으로 바꿈으로써 만들어집니다.

소유자 파일(원본 파일과 같은 디렉터리):

Word
에서 이전에 저장한 파일을 편집, 인쇄 또는 검토를 위해 열면 파일 확장명이 .doc이고 파일 이름은 물결표 "~", 달러 기호 "$" 및 원본 파일 이름의 나머지 부분으로 이루어진 임시 파일이 만들어집니다. 이 임시 파일은 파일을 연 사람의 로그온 이름을 보유하고 있으며 "소유자 파일"이라고 합니다.

네트워크에서 사용할 수 있지만 다른 사용자가 이미 연 파일을 열려고 하면 다음과 유사한 오류 메시지가 나타납니다. 메시지의 <user name>은 임시 파일에서 제공됩니다.

<user name>() 이 파일을 이미 열었습니다. 이 파일의 복사본을 만들어 사용하시겠습니까?

소유자 파일이 손상되었거나 손실된 경우에는 다음과 유사한 오류 메시지가 나타납니다.

다른 사용자가 이 파일을 이미 열었습니다. 이 파일의 복사본을 만들어 사용하시겠습니까?

참고 이 임시 파일은 원본 파일이 메모리에서 닫힐 때 자동으로 삭제됩니다.

자동 저장:

Word
자동 복구 저장 디렉터리:

자동 저장 시 만들어지는 임시 파일은 유효한 Temp 폴더가 있을 경우 이 폴더에 저장됩니다. 유효한 Temp 폴더가 없을 경우에는 문서가 저장된 폴더와 같은 폴더에 저장됩니다.

위로 가기

파일을 닫을 때 임시 파일의 위치

파일을 닫은 후에도 파일에 대한 연결을 유지해야 하는 경우가 종종 있습니다. 파일에서 클립보드로 텍스트를 복사한 경우가 이에 해당합니다. 사용자가 파일을 닫으면 Word에서 다음 작업이 수행됩니다.

·         클립보드로 복사한 선택 항목에 그림 또는 여러 개의 절이 포함되어 있지 않거나 선택 항목 크기가 크지 않으면 문서 조각이 스크래치 파일에 복사됩니다.

·         복사한 선택 항목에 그림 또는 여러 개의 절이 포함되어 있거나 파일이 플로피 디스크에 있으면 전체 파일이 Temp 디렉터리에 복사되고 포인터가 해당 위치로 이동합니다.

 


n  MS Office Word 2003에서 손실된 파일을 복구하는 방법

ü  http://support.microsoft.com/kb/827099

Microsoft Office Word 2003 문서는 특정 상황에서 손실될 수 있습니다. 예를 들어, Word를 강제로 종료시키는 오류가 발생하거나, 편집하는 동안 전원 공급이 끊기거나, 변경 내용을 저장하지 않고 문서를 닫은 경우 문서가 손실될 수 있습니다.

이 문서에서는 손실된 문서를 복구하는 방법을 단계별로 설명합니다.

참고 최근에 문서를 저장하지 않은 경우 전체 문서가 손실될 수 있습니다. 문서를 저장한 경우 마지막으로 저장한 후에 변경된 내용만 손실됩니다.

참고 일부 손실된 문서는 복구하지 못할 수 있습니다. 다음 방법을 아래에 나타난 순서대로 상황에 맞게 사용하십시오.

위로 가기

원본 문서 검색

1.     시작을 누른 다음 검색을 누릅니다.

2.     Microsoft Windows 탐색기의 왼쪽에 있는 검색 도우미에서 모든 파일 및 폴더를 누릅니다.

3.     전체 또는 일부 파일 이름: 상자에 찾을 파일 이름을 입력합니다.

4.     찾는 위치 상자에서 내 컴퓨터를 누른 다음 검색을 누릅니다.

5.     결과 창에 파일이 없으면 다음 단계를 수행하여 모든 Word 문서를 검색합니다.

6.     전체 또는 일부 파일 이름: 상자에 *.doc를 입력한 다음 검색을 누릅니다.

결과 창 상자에 파일에 없으면 휴지통을 확인합니다. 휴지통을 확인하려면 다음과 같이 하십시오.

1.     바탕 화면에서 휴지통을 두 번 누릅니다.

2.     보기 메뉴에서 자세히를 누릅니다.

3.     보기 메뉴에서 아이콘 정렬 순서를 누른 다음 삭제된 날짜를 누릅니다.

4.     파일을 스크롤합니다.

찾고 있는 문서를 발견하면 해당 문서를 마우스 오른쪽 단추로 누르고 복원을 누릅니다.

이렇게 하면 문서가 원래 위치로 돌아갑니다.

위로 가기

Word 백업 파일 검색

도구 메뉴에서 옵션을 누르고 저장 탭을 누르면 나타나는 백업 파일을 항상 만들기 설정이 선택되어 있으면 파일의 백업 복사본이 있을 수 있습니다. 이 파일을 찾으려면 다음과 같이 하십시오.

1.     손실된 파일을 마지막으로 저장한 폴더를 찾습니다.

2.     확장명이 .wbk인 파일을 검색합니다.

원본 폴더에 .wbk 파일이 없으면 다음 단계를 수행하여 컴퓨터에서 .wbk 파일을 검색합니다.

a.           시작을 누른 다음 검색을 누릅니다.

b.          Windows 탐색기의 왼쪽에 있는 검색 도우미에서 모든 파일 및 폴더를 누릅니다.

c.           전체 또는 일부 파일 이름: 상자에 *.wbk를 입력합니다.

d.          찾는 위치 상자에서 내 컴퓨터를 누른 다음 검색을 누릅니다.

"백업본" 뒤에 손실된 파일 이름이 오는 이름을 가진 파일을 찾으면 다음과 같이 하십시오.

e.         Word를 시작합니다.

f.            파일을 누른 다음 열기를 누릅니다.

g.          파일 형식 상자에서 모든 파일 (*.*)을 누르고 파일을 선택한 다음 열기를 누릅니다.

위로 가기

Word에서 파일 복구 시도

도구 메뉴에서 옵션을 누르고 저장 탭을 누르면 나타나는 자동 저장 간격 옵션이 선택되어 있으면 문서의 최신 변경 내용이 포함된 임시 자동 복구 파일이 만들어집니다. Word는 시작할 때마다 자동 복구 파일을 검색한 다음 찾은 파일을 모두 문서 복구 작업창에 표시합니다.

문서를 열 때 강제로 Word가 문서를 복구하도록 할 수도 있습니다. 이렇게 하려면 다음과 같이 하십시오.

1.     파일 메뉴에서 열기를 누릅니다.

2.     열기 대화 상자에서 Word 문서를 눌러 선택합니다.

3.     열기 단추에 있는 화살표를 누른 다음 열기 및 복구를 누릅니다.

문서 복구에 대한 자세한 내용은 도움말 메뉴에서 Microsoft Office Word 도움말을 누른 다음 검색 대상 상자에 복구를 입력합니다.

위로 가기

수동으로 자동 복구 파일 복구

자동 복구 파일을 검색하려면 다음과 같이 하십시오.

1.     시작을 누른 다음 검색을 누릅니다.

2.     Windows 탐색기의 왼쪽에 있는 검색 도우미에서 모든 파일 및 폴더를 누릅니다.

3.     전체 또는 일부 파일 이름: 상자에 *.ASD를 입력합니다.

4.     찾는 위치 상자에서 내 컴퓨터를 누릅니다.

5.     검색을 누릅니다.

확장명이 .asd인 파일을 찾으면 다음과 같이 하십시오.

a.         Word를 시작합니다.

b.          파일 메뉴에서 열기를 누릅니다.

c.           파일 형식 목록에서 모든 파일 (*.*)을 누릅니다.

d.          .asd 파일을 찾아 선택합니다.

e.           열기를 누릅니다.

f.            컴퓨터를 다시 시작하십시오.

g.          Word를 시작합니다.

Word가 자동 복구 파일을 찾으면 화면 왼쪽에 자동 복구 작업창이 열리고 손실된 문서가 document name [원본] 또는 document name [복구됨]으로 표시됩니다. 그러면 문서 복구 작업창에서 파일을 두 번 누르고 파일 메뉴에서 다른 이름으로 저장을 누른 다음 문서를 .doc 파일로 저장합니다.

참고 복구 창에 제대로 열리지 않은 자동 복구 파일이 있으면 이 문서의 "손상된 문서의 문제를 해결하는 방법" 절에서 손상된 문서를 여는 방법에 대한 자세한 내용을 참조하십시오.

위로 가기

임시 파일 검색

위의 모든 방법으로도 파일을 찾을 수 없으면 임시 파일을 복구해 봅니다. 이렇게 하려면 다음과 같이 하십시오.

1.     시작을 누른 다음 검색을 누릅니다.

2.     Windows 탐색기의 왼쪽에 있는 검색 도우미에서 모든 파일 및 폴더를 누릅니다.

3.     전체 또는 일부 파일 이름: 상자에 *.TMP를 입력합니다.

4.     찾는 위치 상자에서 내 컴퓨터를 누릅니다.

5.     언제 수정되었습니까?를 누릅니다.

6.     날짜 지정을 누르고 파일을 마지막으로 연 후에 경과된 기간을 포함하는 시작 날짜끝 날짜를 입력합니다.

7.     검색을 누릅니다.

8.     보기 메뉴에서 자세히를 누릅니다.

9.     보기 메뉴에서 아이콘 정렬 순서를 누른 다음 수정한 날짜를 누릅니다.

10.   파일을 스크롤하여 문서를 마지막으로 편집한 날짜 및 시간과 일치하는 파일을 찾습니다.

찾고 있는 문서를 발견하면 이 문서의 "손상된 문서의 문제를 해결하는 방법" 절에서 파일로부터 정보를 복구하는 방법에 대한 자세한 내용을 참조하십시오.

위로 가기

~ 파일 검색

일부 임시 파일 이름은 물결표(~) 기호로 시작합니다. 이러한 파일을 찾으려면 다음과 같이 하십시오.

1.     시작을 누른 다음 검색을 누릅니다.

2.     Windows 탐색기의 왼쪽에 있는 검색 도우미에서 모든 파일 및 폴더를 누릅니다.

3.     전체 또는 일부 파일 이름: 상자에 ~*.*를 입력합니다.

4.     찾는 위치 상자에서 내 컴퓨터를 누릅니다.

5.     언제 수정되었습니까?를 누릅니다.

6.     날짜 지정을 누르고 파일을 마지막으로 연 후에 경과된 기간을 포함하는 시작 날짜끝 날짜를 입력합니다.

7.     검색을 누릅니다.

8.     보기 메뉴에서 자세히를 누릅니다.

9.     보기 메뉴에서 아이콘 정렬 순서를 누른 다음 수정한 날짜를 누릅니다.

10.   파일을 스크롤하여 문서를 마지막으로 편집한 날짜 및 시간과 일치하는 파일을 찾습니다.

찾고 있는 문서를 발견하면 이 문서의 "손상된 문서의 문제를 해결하는 방법" 절에서 파일로부터 정보를 복구하는 방법에 대한 자세한 내용을 참조하십시오.

위로 가기

손상된 문서의 문제를 해결하는 방법

Word는 파일에 문제가 있는 것을 발견하면 손상된 문서를 자동으로 복구하려고 합니다. 또한 문서를 열 때 "강제로" Word가 문서를 복구하도록 할 수도 있습니다. 이렇게 하려면 다음과 같이 하십시오.

1.     파일 메뉴에서 열기를 누릅니다.

2.     파일 형식 목록에서 모든 파일 (*.*)을 누릅니다.

3.     열기 대화 상자에서 문서를 선택합니다.

4.     열기 단추에 있는 화살표를 가리킨 다음 열기 및 복구를 누릅니다.

문서 복구에 대한 자세한 내용을 보려면 도움말 메뉴에서 Microsoft Office Word 도움말을 누르고 복구를 입력한 다음 화살표를 눌러 나타나는 항목을 보십시오.

손상되었거나 열리지 않는 파일의 문제를 해결하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

826864 (http://support.microsoft.com/kb/826864/ ) 손상된 Word 문서의 문제를 해결하는 방법

290946 (http://support.microsoft.com/kb/290946/ ) Word 2002 Word 2003 "텍스트 복구" 변환기를 사용하여 파일에서 텍스트를 복구하는 방법

 


 

반응형
반응형

Win32 API에서는 이러한 정보를 구하는 방법을 제공하고 있지 않습니다. Windows Native API를 사용해야
해당 정보를 구할 수 있습니다. (ntdll.dll::ZwQueryObject(...))

백문이 불여일견.
해당 정보를 리턴하는 다음 코드를 공유합니다.
(코드가 좀 길어 보여서... "view plain"으로 보시면 수월할 겁니다.)

자료구조를 포함하는 헤더 파일입니다.
  1. #include <winternl.h>   
  2.   
  3. // ntdll::ZwQueryObject(...)의 prototype   
  4. typedef NTSTATUS (__stdcall *LPFN_ZwQueryObject)(IN HANDLE Handle, IN DWORD ObjectInformationClass, OUT PVOID ObjectInformation, IN ULONG ObjectInformationLength, OUT PULONG ReturnLength);   
  5.   
  6. // ntdll::ZwQueryObject(...)에서 쓰임   
  7. typedef struct tagPUBLIC_OBJECT_TYPE_INFORMATION   
  8. {   
  9.     UNICODE_STRING  TypeName;   
  10.     ULONG           Reserved[MAX_PATH];   
  11. } PUBLIC_OBJECT_TYPE_INFORMATION, *PPUBLIC_OBJECT_TYPE_INFORMATION;   
  12.   
  13. // ZwQueryObject를 통한 Kernel Object의 Type   
  14. typedef INT TYPE_KERNEL_OBJECT;   
  15. #define     TYPE_KERNEL_OBJECT_UNKNOWN                  0   
  16. #define     TYPE_KERNEL_OBJECT_TYPE                     1   
  17. #define     TYPE_KERNEL_OBJECT_DIRECTORY                2   
  18. #define     TYPE_KERNEL_OBJECT_SYMBOLICLINK             3   
  19. #define     TYPE_KERNEL_OBJECT_TOKEN                    4   
  20. #define     TYPE_KERNEL_OBJECT_PROCESS                  5   
  21. #define     TYPE_KERNEL_OBJECT_THREAD                   6   
  22. #define     TYPE_KERNEL_OBJECT_JOB                      7   
  23. #define     TYPE_KERNEL_OBJECT_DEBUGOBJECT              8   
  24. #define     TYPE_KERNEL_OBJECT_EVENT                    9   
  25. #define     TYPE_KERNEL_OBJECT_EVENTPAIR                10   
  26. #define     TYPE_KERNEL_OBJECT_MUTANT                   11   
  27. #define     TYPE_KERNEL_OBJECT_CALLBACK                 12   
  28. #define     TYPE_KERNEL_OBJECT_SEMAPHORE                13   
  29. #define     TYPE_KERNEL_OBJECT_TIMER                    14   
  30. #define     TYPE_KERNEL_OBJECT_PROFILE                  15   
  31. #define     TYPE_KERNEL_OBJECT_KEYEDEVENT               16   
  32. #define     TYPE_KERNEL_OBJECT_WINDOWSTATION            17   
  33. #define     TYPE_KERNEL_OBJECT_DESKTOP                  18   
  34. #define     TYPE_KERNEL_OBJECT_SECTION                  19   
  35. #define     TYPE_KERNEL_OBJECT_KEY                      20   
  36. #define     TYPE_KERNEL_OBJECT_PORT                     21   
  37. #define     TYPE_KERNEL_OBJECT_WAITABLEPORT             22   
  38. #define     TYPE_KERNEL_OBJECT_ADAPTER                  23   
  39. #define     TYPE_KERNEL_OBJECT_CONTROLLER               24   
  40. #define     TYPE_KERNEL_OBJECT_DEVICE                   25   
  41. #define     TYPE_KERNEL_OBJECT_DRIVER                   26   
  42. #define     TYPE_KERNEL_OBJECT_IOCOMPLETION             27   
  43. #define     TYPE_KERNEL_OBJECT_FILE                     28   
  44. #define     TYPE_KERNEL_OBJECT_WMIGUID                  29   
  45. #define     TYPE_KERNEL_OBJECT_FILTERCONNECTIONPORT     30   
  46. #define     TYPE_KERNEL_OBJECT_FILTERCOMMUNICATIONPORT  31   
  47. #define     TYPE_KERNEL_OBJECT_OTHER                    32  

Kernel Object Handle의 Type을 구하는 함수입니다.
  1. NTSTATUS GetHandleType(IN HANDLE hHandle, OUT TYPE_KERNEL_OBJECT *pnObject)   
  2. {   
  3.     NTSTATUS                        nRtnValue   = 0;   
  4.     HMODULE                         hModule     = NULL;   
  5.     LPFN_ZwQueryObject              pfn         = NULL;   
  6.     ULONG                           nSize       = 0;   
  7.     LPBYTE                          pBuf        = NULL;   
  8.     PPUBLIC_OBJECT_TYPE_INFORMATION pstInfo     = NULL;   
  9.     PUBLIC_OBJECT_TYPE_INFORMATION  stInfo      = {0,};   
  10.   
  11.     if (NULL == pnObject)   
  12.     {   
  13.         nRtnValue = STATUS_INVALID_PARAMETER;   
  14.         goto FINAL;   
  15.     }   
  16.   
  17.     (*pnObject) = TYPE_KERNEL_OBJECT_UNKNOWN;   
  18.   
  19.     // 만들어 놓은 아래 함수가 없다면,   
  20.     // hModule = ::LoadLibraryEx(TEXT("ntdll.dll"), NULL, LOAD_WITH_ALTERED_SEARCH_PATH);   
  21.     // 를 사용한다.   
  22.     hModule = LoadLibraryFromSystem(TEXT("ntdll.dll"));   
  23.     if (NULL == hModule)   
  24.     {   
  25.         nRtnValue = STATUS_OBJECT_PATH_NOT_FOUND;   
  26.         goto FINAL;   
  27.     }   
  28.   
  29.     pfn = (LPFN_ZwQueryObject)::GetProcAddress(hModule, "ZwQueryObject");   
  30.     if (NULL == pfn)   
  31.     {   
  32.         nRtnValue = STATUS_PROCEDURE_NOT_FOUND;   
  33.         goto FINAL;   
  34.     }   
  35.   
  36.     pstInfo = &stInfo;   
  37.     nRtnValue = (*pfn)(hHandle, 2, pstInfo, sizeof(stInfo), &nSize);    // 2 : ObjectTypeInformation   
  38.     if (STATUS_INFO_LENGTH_MISMATCH == nRtnValue)   
  39.     {   
  40.         pBuf = new BYTE[nSize];   
  41.         if (NULL == pBuf)   
  42.         {   
  43.             nRtnValue = STATUS_NO_MEMORY;   
  44.             goto FINAL;   
  45.         }   
  46.   
  47.         ZeroMemory(pBuf, sizeof(BYTE)*nSize);   
  48.         pstInfo = (PPUBLIC_OBJECT_TYPE_INFORMATION)pBuf;   
  49.   
  50.         nRtnValue = (*pfn)(hHandle, 2, pstInfo, nSize, &nSize);         // 2 : ObjectTypeInformation   
  51.     }   
  52.   
  53.     if (STATUS_SUCCESS != nRtnValue)   
  54.     {   
  55.         goto FINAL;   
  56.     }   
  57.   
  58.     if (NULL == pstInfo->TypeName.Buffer)   
  59.     {   
  60.         nRtnValue = STATUS_INVALID_PARAMETER;   
  61.         goto FINAL;   
  62.     }   
  63.   
  64.     // 빈도 많음   
  65.     if (0 == _tcsicmp(TEXT("Key"), pstInfo->TypeName.Buffer))   
  66.         (*pnObject) = TYPE_KERNEL_OBJECT_KEY;   
  67.     else if (0 == _tcsicmp(TEXT("File"), pstInfo->TypeName.Buffer))   
  68.         (*pnObject) = TYPE_KERNEL_OBJECT_FILE;   
  69.     else if (0 == _tcsicmp(TEXT("Thread"), pstInfo->TypeName.Buffer))   
  70.         (*pnObject) = TYPE_KERNEL_OBJECT_THREAD;   
  71.     else if (0 == _tcsicmp(TEXT("Directory"), pstInfo->TypeName.Buffer))   
  72.         (*pnObject) = TYPE_KERNEL_OBJECT_DIRECTORY;   
  73.     else if (0 == _tcsicmp(TEXT("Section"), pstInfo->TypeName.Buffer))   
  74.         (*pnObject) = TYPE_KERNEL_OBJECT_SECTION;   
  75.     else if (0 == _tcsicmp(TEXT("Event"), pstInfo->TypeName.Buffer))   
  76.         (*pnObject) = TYPE_KERNEL_OBJECT_EVENT;   
  77.     else if (0 == _tcsicmp(TEXT("Mutant"), pstInfo->TypeName.Buffer))   
  78.         (*pnObject) = TYPE_KERNEL_OBJECT_MUTANT;   
  79.     else if (0 == _tcsicmp(TEXT("Port"), pstInfo->TypeName.Buffer))   
  80.         (*pnObject) = TYPE_KERNEL_OBJECT_PORT;   
  81.     // 빈도 적음   
  82.     else if (0 == _tcsicmp(TEXT("KeyedEvent"), pstInfo->TypeName.Buffer))   
  83.         (*pnObject) = TYPE_KERNEL_OBJECT_KEYEDEVENT;   
  84.     else if (0 == _tcsicmp(TEXT("Token"), pstInfo->TypeName.Buffer))   
  85.         (*pnObject) = TYPE_KERNEL_OBJECT_TOKEN;   
  86.     else if (0 == _tcsicmp(TEXT("WindowStation"), pstInfo->TypeName.Buffer))   
  87.         (*pnObject) = TYPE_KERNEL_OBJECT_WINDOWSTATION;   
  88.     else if (0 == _tcsicmp(TEXT("Type"), pstInfo->TypeName.Buffer))   
  89.         (*pnObject) = TYPE_KERNEL_OBJECT_TYPE;   
  90.     else if (0 == _tcsicmp(TEXT("SymbolicLink"), pstInfo->TypeName.Buffer))   
  91.         (*pnObject) = TYPE_KERNEL_OBJECT_SYMBOLICLINK;   
  92.     else if (0 == _tcsicmp(TEXT("Process"), pstInfo->TypeName.Buffer))   
  93.         (*pnObject) = TYPE_KERNEL_OBJECT_PROCESS;   
  94.     else if (0 == _tcsicmp(TEXT("Job"), pstInfo->TypeName.Buffer))   
  95.         (*pnObject) = TYPE_KERNEL_OBJECT_JOB;   
  96.     else if (0 == _tcsicmp(TEXT("DebugObject"), pstInfo->TypeName.Buffer))   
  97.         (*pnObject) = TYPE_KERNEL_OBJECT_DEBUGOBJECT;   
  98.     else if (0 == _tcsicmp(TEXT("EventPair"), pstInfo->TypeName.Buffer))   
  99.         (*pnObject) = TYPE_KERNEL_OBJECT_EVENTPAIR;   
  100.     else if (0 == _tcsicmp(TEXT("Callback"), pstInfo->TypeName.Buffer))   
  101.         (*pnObject) = TYPE_KERNEL_OBJECT_CALLBACK;   
  102.     else if (0 == _tcsicmp(TEXT("Semaphore"), pstInfo->TypeName.Buffer))   
  103.         (*pnObject) = TYPE_KERNEL_OBJECT_SEMAPHORE;   
  104.     else if (0 == _tcsicmp(TEXT("Timer"), pstInfo->TypeName.Buffer))   
  105.         (*pnObject) = TYPE_KERNEL_OBJECT_TIMER;   
  106.     else if (0 == _tcsicmp(TEXT("Profile"), pstInfo->TypeName.Buffer))   
  107.         (*pnObject) = TYPE_KERNEL_OBJECT_PROFILE;   
  108.     else if (0 == _tcsicmp(TEXT("Desktop"), pstInfo->TypeName.Buffer))   
  109.         (*pnObject) = TYPE_KERNEL_OBJECT_DESKTOP;   
  110.     else if (0 == _tcsicmp(TEXT("WaitablePort"), pstInfo->TypeName.Buffer))   
  111.         (*pnObject) = TYPE_KERNEL_OBJECT_WAITABLEPORT;   
  112.     else if (0 == _tcsicmp(TEXT("Adapter"), pstInfo->TypeName.Buffer))   
  113.         (*pnObject) = TYPE_KERNEL_OBJECT_ADAPTER;   
  114.     else if (0 == _tcsicmp(TEXT("Controller"), pstInfo->TypeName.Buffer))   
  115.         (*pnObject) = TYPE_KERNEL_OBJECT_CONTROLLER;   
  116.     else if (0 == _tcsicmp(TEXT("Device"), pstInfo->TypeName.Buffer))   
  117.         (*pnObject) = TYPE_KERNEL_OBJECT_DEVICE;   
  118.     else if (0 == _tcsicmp(TEXT("Driver"), pstInfo->TypeName.Buffer))   
  119.         (*pnObject) = TYPE_KERNEL_OBJECT_DRIVER;   
  120.     else if (0 == _tcsicmp(TEXT("IoCompletion"), pstInfo->TypeName.Buffer))   
  121.         (*pnObject) = TYPE_KERNEL_OBJECT_IOCOMPLETION;   
  122.     else if (0 == _tcsicmp(TEXT("WmiGuid"), pstInfo->TypeName.Buffer))   
  123.         (*pnObject) = TYPE_KERNEL_OBJECT_WMIGUID;   
  124.     else if (0 == _tcsicmp(TEXT("FilterConnectionPort"), pstInfo->TypeName.Buffer))   
  125.         (*pnObject) = TYPE_KERNEL_OBJECT_FILTERCONNECTIONPORT;   
  126.     else if (0 == _tcsicmp(TEXT("FilterCommunicationPort"), pstInfo->TypeName.Buffer))   
  127.         (*pnObject) = TYPE_KERNEL_OBJECT_FILTERCOMMUNICATIONPORT;   
  128.     else  
  129.         (*pnObject) = TYPE_KERNEL_OBJECT_OTHER;   
  130.   
  131. FINAL:   
  132.   
  133.     if (NULL != pBuf)   
  134.     {   
  135.         delete [] pBuf;   
  136.         pBuf = NULL;   
  137.     }   
  138.   
  139.     if (NULL != hModule)   
  140.     {   
  141.         ::FreeLibrary(hModule);   
  142.         hModule = NULL;   
  143.     }   
  144.   
  145.     return nRtnValue;   
  146. }  


Kernel Object Handle의 Name을 구하는 함수입니다.
  1. NTSTATUS GetHandleObjectName(IN HANDLE hHandle, OUT LPTSTR lpszName, IN DWORD dwCchName)   
  2. {   
  3.     NTSTATUS                        nRtnValue   = 0;   
  4.     HMODULE                         hModule     = NULL;   
  5.     LPFN_ZwQueryObject              pfn         = NULL;   
  6.     ULONG                           nSize       = 0;   
  7.     LPBYTE                          pBuf        = NULL;   
  8.     PPUBLIC_OBJECT_TYPE_INFORMATION pstInfo     = NULL;   
  9.     PUBLIC_OBJECT_TYPE_INFORMATION  stInfo      = {0,};   
  10.   
  11.     if (NULL == lpszName)   
  12.     {   
  13.         nRtnValue = STATUS_INVALID_PARAMETER;   
  14.         goto FINAL;   
  15.     }   
  16.   
  17.     // 만들어 놓은 아래 함수가 없다면,   
  18.     // hModule = ::LoadLibraryEx(TEXT("ntdll.dll"), NULL, LOAD_WITH_ALTERED_SEARCH_PATH);   
  19.     // 를 사용한다.   
  20.     hModule = LoadLibraryFromSystem(TEXT("ntdll.dll"));   
  21.     if (NULL == hModule)   
  22.     {   
  23.         nRtnValue = STATUS_OBJECT_PATH_NOT_FOUND;   
  24.         goto FINAL;   
  25.     }   
  26.   
  27.     pfn = (LPFN_ZwQueryObject)::GetProcAddress(hModule, "ZwQueryObject");   
  28.     if (NULL == pfn)   
  29.     {   
  30.         nRtnValue = STATUS_PROCEDURE_NOT_FOUND;   
  31.         goto FINAL;   
  32.     }   
  33.   
  34.     pstInfo = &stInfo;   
  35.     nRtnValue = (*pfn)(hHandle, 1, pstInfo, sizeof(stInfo), &nSize);    // 1 : ObjectNameInformation   
  36.     if (STATUS_INFO_LENGTH_MISMATCH == nRtnValue)   
  37.     {   
  38.         pBuf = new BYTE[nSize];   
  39.         if (NULL == pBuf)   
  40.         {   
  41.             nRtnValue = STATUS_NO_MEMORY;   
  42.             goto FINAL;   
  43.         }   
  44.   
  45.         ZeroMemory(pBuf, sizeof(BYTE)*nSize);   
  46.         pstInfo = (PPUBLIC_OBJECT_TYPE_INFORMATION)pBuf;   
  47.   
  48.         nRtnValue = (*pfn)(hHandle, 1, pstInfo, nSize, &nSize);         // 1 : ObjectNameInformation   
  49.     }   
  50.   
  51.     if (STATUS_SUCCESS == nRtnValue)   
  52.     {   
  53.         StringCchCopy(lpszName, dwCchName, pstInfo->TypeName.Buffer);   
  54.     }   
  55.   
  56. FINAL:   
  57.   
  58.     if (NULL != pBuf)   
  59.     {   
  60.         delete [] pBuf;   
  61.         pBuf = NULL;   
  62.     }   
  63.   
  64.     if (NULL != hModule)   
  65.     {   
  66.         ::FreeLibrary(hModule);   
  67.         hModule = NULL;   
  68.     }   
  69.   
  70.     return nRtnValue;   
  71. }  


반응형
반응형

COM 응용 기술

n  Automation

ü  IDispatch 인터페이스를 통해 COM을 제어 

n  OLE Document

ü  IOleContainer, IOleObject 등의 인터페이스를 데이터를 공유하는 방법

n  OLE Clipboard

ü  IDataObject 인터페이스와 Clipboard를 통해 데이터를 주고 받는 방법 

n  Drag & Drop

ü  IDropTarget, IDropSource 등의 인터페이스를 이용하여, 데이터를 삽입하는 방법
놓고 전송하는 기술.
 

n  ActiveX Control

ü  일확장자가 OCX이며 OLE Control이라고도 부름.
일반적인 컨트롤처럼 사용될 수도 있으며, 웹페이지에도 삽입가능함.

 

 

반응형
반응형

Thread별로 관리되는 혹은 초기화 해주어야 하는 것들

 

n  Thread별로 관리되는 것들

u  CallStack

u  LastError Code – GetLastError()를 통해 리턴되는 Error코드는 Thread별로 관리된다.

 

n  Thread별로 초기화 해주어야 하는 것들

u  Com 초기화 함수 CoInitialize() Thread별로 호출해 주어야 한다.

u  MessageLoop Thread별로 동작한다.

ü  Thread를 생성 후, Thread함수에서 윈도우를 생성하고 Message-Loop를 넣지 않으면, 윈도우 메시지는 정상적으로 처리될 수 없다.(UI Thread라는 것이 있는 이유이다.)

 

또 뭐가 있을까나?

반응형

'Windows Programming' 카테고리의 다른 글

Dependency Walker(depends.exe)  (0) 2011.03.22
Kernel Object Handle의 정보(Type, Name) 구하기  (0) 2010.07.19
Shell_NotifyIcon, NOTIFYICONDATA struct Size  (1) 2010.03.03
레지스트리 감시  (0) 2010.02.26
Url parsing  (0) 2010.02.05

+ Recent posts