Programming/Kernel / Driver2008. 12. 3. 10:56

디바이스 드라이버 후킹 - 2

이번에는 직접 후킹드라이버의 기본 프레임을 작성해 보겠습니다.
 

여러분이 WDM에 어느정도 기본 지식이 있다는 가정하에 진행되겠습니다.


아래는 일반적인 드라이버의 엔트리 부분입니다.
 

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{
    UINT i;
 
    UNREFERENCED_PARAMETER (RegistryPath);
 
    for (i = 0 ; i <= IRP_MJ_MAXIMUM_FUNCTION ; i++)
        DriverObject->MajorFunction[i] = OnStubDispatch;
 
   
    DriverObject->MajorFunction [IRP_MJ_CREATE] = CreateHandler;
    DriverObject->MajorFunction [IRP_MJ_CLOSE] = CloseHandler;
    DriverObject->MajorFunction [IRP_MJ_PNP] = PNPHandler
    DriverObject->MajorFunction [IRP_MJ_POWER] = PowerHandler;
    DriverObject->MajorFunction [IRP_MJ_INTERNAL_DEVICE_CONTROL] = ControlHandler;
   
 
    DriverObject->DriverUnload = OnUnload;
    DriverObject->DriverExtension->AddDevice = AddDevice;
 
    return STATUS_SUCCESS;
}
 
하지만 우리가 시도하려는 후킹드라이버는 드라이버 엔트리를 진입하기는 하지만 정상적인 시작이 아니기 때문에
대부분의 함수 포인터를 채울 필요가 없습니다.
 
DriverObject->MajorFunction[IRP_MJ_CLOSE] = DrvClose;
DriverObject->DriverUnload = DrvUnload;
 
를 남기고 모두 지워 버리세요. SCM을 이용해서 드라이버를 생성시키고 시작하는 과정에는
IRP_MJ_CREATE, DriverObject->DriverExtension->AddDevice 함수포인터에 접근하지 않습니다.

그리고 드라이버엔트리에 직접 IoCreateDevice 으로 디바이스를 생성시킵니다.
 
 
한가지 재미있는 점은 드라이버엔트리는 DSP = 0 , Ring 0 의 권한을 가지고 있습니다.
때에 따라서 악명높은 CIH바이러스와 같이 바이오스를 지워버릴수도 직접 제어 할 수도 있습니다.
 
이야기를 다시 돌려서 생성시킨 장치는 IoCreateSymbolicLink로 등록 시킵니다.
 
 
 
이제 드라이버를 다시 작성하면
 
 
 
const WCHAR devicename[]=L"\\Device\\HookDriver";
const WCHAR devicelink[]=L"\\DosDevices\\HOOKDRIVER";
 
 
NTSTATUS DriverEntry(IN PDRIVER_OBJECT  DriverObject, IN PUNICODE_STRING RegistryPath)
{
    PDEVICE_OBJECT devobject = 0;
    UNICODE_STRING devlink,devname;
 
    RtlInitUnicodeString(&devname,devicename);
    RtlInitUnicodeString(&devlink,devicelink);
 
    IoCreateDevice(DriverObject, 256, &devname, FILE_DEVICE_UNKNOWN, 0, FALSE, &devobject);
    IoCreateSymbolicLink(&devlink,&devname);
 
    DriverObject->MajorFunction[IRP_MJ_CLOSE] = DrvClose;
    DriverObject->DriverUnload = DrvUnload;
 
    return STATUS_SUCCESS;
}
 
void DrvUnload(IN PDRIVER_OBJECT driver)
{
    UNICODE_STRING devlink;
 
    RtlInitUnicodeString(&devlink,devicelink);
 
    IoDeleteSymbolicLink(&devlink);
    IoDeleteDevice(driver->DeviceObject);
}
 
NTSTATUS DrvClose(IN PDEVICE_OBJECT device,IN PIRP Irp)
{
    Irp->IoStatus.Information=0;
    Irp->IoStatus.Status=0;
    IoCompleteRequest(Irp,IO_NO_INCREMENT);
 
    return 0;
}
 
과 같이 작성이 되겠습니다. 이제 후킹드라이버의 기본 프레임이 완성되었습니다.
 
드라이버 작성내용은 되도록 DDK관련 문서를 참고하셔서 보시는 편이 도움이 되십겁니다.

출처 : 데브피아

Posted by skensita
Programming/Kernel / Driver2008. 12. 3. 10:53

디바이스 드라이버 후킹 - 1

후킹은 프로그램 기술중에서 가장 멋진기술입니다.

하지만 일반적인 후킹(SetWindowsHookEx)은 윈도우가 제공하는 범위내에서 가능한것들이고 때때로 그것보다
아래 단계에서 후킹을 하고싶을때가 있는데 특히 Filemon이나 Packet sniffer 같은 멋진 프로그램들은
SetWindowsHookEx 가지고는 구현 불가능합니다. 여러분이 후킹에 목말라 있다면

좀 더 이 글을 읽어서 자신이 원하는 해답을 얻기를 바랍니다.


필요한 것


Visual Studio
Driver Development Kit


디바이스장치에 접근하는 방법은 몇가지가 있습니다. 필터 드라이버를 작성하는것과 드라이버를 후킹하는것인데
여기에서는 필터드라이버에 관한 내용은 다루지 않습니다. 필터드라이버는 현재 WDM책마다 최소한 한번 이상은
다루기 때문에 필터드라이버를 작성하시려면 책을 추천해 드립니다.

저는 윈도우 API중에서 SCM(Service control manager)을 이용해서 드라이버를 후킹하고 지우는 방법을 골랐는데
이유는 간단합니다. 재부팅이 무척 싫고 작업시간도 배로 늘어나기 때문에, 필터드라이버는 설치하면 재부팅을 해야합니다.


아래는 SCM을 이용해 드라이버를 등록하고 제거 하는방법이다.

BOOL CDeviceControlDlg::CreatDevice(char* sc_name, char* sc_path)
{
        SC_HANDLE hSCMan = NULL;
        SC_HANDLE hService = NULL;

        if((hSCMan = OpenSCManager(0, 0, SC_MANAGER_ALL_ACCESS)) == 0)
        {
                TRACE("서비스를 열수 없습니다.");
                return FALSE;
        }

        if((hService = CreateServiceA(hSCMan, sc_name, sc_name, SC_MANAGER_ALL_ACCESS, SERVICE_KERNEL_DRIVER,
                SERVICE_DEMAND_START, SERVICE_ERROR_NORMAL, sc_path, 0, 0, 0, 0, 0)) == 0)
        {
                if(GetLastError() == ERROR_SERVICE_EXISTS)
                        TRACE("이미 설치되어있습니다.\n");
                else if(GetLastError() == ERROR_SERVICE_MARKED_FOR_DELETE)
                        TRACE("서비스가 제거되도록 설정되어 있어 생성불가.\n");

                CloseServiceHandle(hSCMan);
                return FALSE;
        }

        StartService(hService, 0, 0);
        TRACE("설치완료\n");
        CloseServiceHandle(hService);
        CloseServiceHandle(hSCMan);
        return TRUE;
}

BOOL CDeviceControlDlg::UnloadDevice(char* sc_name)
{
        DWORD dwError = ERROR_SUCCESS;
        SC_HANDLE hSCMan = NULL;
        SC_HANDLE hService = NULL;
        SERVICE_STATUS serviceStatus;

        if((hSCMan = OpenSCManager(0, 0, SC_MANAGER_ALL_ACCESS)) == 0)
        {
                TRACE("서비스를 열수 없습니다.");
                return FALSE;
        }

        if((hService = OpenServiceA(hSCMan, sc_name, SERVICE_ALL_ACCESS)) == 0)
        {
                TRACE("서비스가 설치되지 않았습니다.\n");
                CloseServiceHandle(hSCMan);
                return FALSE;
        }

        ControlService(hService,SERVICE_CONTROL_STOP,&serviceStatus);

        if(DeleteService(hService) == 0)
        {
                if(GetLastError() == ERROR_SERVICE_MARKED_FOR_DELETE)
                        TRACE("서비스가 이미 제거 설정되었습니다.\n");
        }
        else
            TRACE("서비스가 제거되었습니다. 프로그램을 종료해야합니다.\n");

        CloseServiceHandle(hSCMan);
        return TRUE;
}


SCM을 이용해서 디바이스를 등록하는 과정은 약간의 제약이 있는데 한개의 프로세스 스레드에서
서비스를 제거시 바로 제거되는것이 아니라 서비스 제거 마킹만 할뿐 실질적으로 프로세스를 종료해야
서비스가 제대로 제거됩니다. 제거 마킹상태에서는 다시 서비스가 생성되지 않습니다.

또 주목해야할 부분은

CreateServiceA(hSCMan, sc_name, sc_name, SC_MANAGER_ALL_ACCESS, SERVICE_KERNEL_DRIVER,
                SERVICE_DEMAND_START, SERVICE_ERROR_NORMAL, sc_path, 0, 0, 0, 0, 0))

이 부분에서 5 번째와 6번째 파라메터 부분

5번째는 커널드라이버이기 때문에 당연히 SERVICE_KERNEL_DRIVER
라고 넣었겠지만 6번째는 어째서 SERVICE_AUTO_START를 사용하지 않고

SERVICE_DEMAND_START 넣은후에 StartService(hService, 0, 0); 서비스 시작을 해야만 하였는가...

그 부분에 대해서는 아직 내공이 부족해서 답을 얻지 못했는데
다만 SERVICE_AUTO_START 를 했을경우 드라이버 엔트리포인트에 진입하지 못한다는것을 확인 했기 때문에
이 글을 읽는 분들이라면 이 같은 실수는 하지 않길 바랍니다.


사용자 삽입 이미지


이제 윈도우 DDK에서 제공되는 Device Tree라는 툴로 후킹 드라이버가 성공적으로 올라간것을 확인할수 있습니다.

출처 : 데브피아

Posted by skensita
Programming/Win32 API2008. 12. 3. 10:52

정밀한 타이머 - QueryPerformanceCounter 와 QueryPerformanceFrequency 사용법

먼저 QueryPerformanceFrequency로 1초에 몇회인지를 구합니다.
그런 다음 QueryPerformanceCounter로 현재의 카운트를 구합니다.
Counter를 Frequency로 나누면 초단위의 경과 시간이 됩니다.

LARGE_INTEGER freq, start, end;
unsigned lapse;

QueryPerformanceFrequency(&freq);
QueryPerformanceCounter(&start);
 
//경과시간을 측정할 작업을
//이부분에서 하고

QueryPerformanceCounter(&end);

lapse = (unsigned) ((end.QuadPart - start.QuadPart)/freq.QuadPart);

//lapse에는 초단위의 경과 시간이 저장됨.
 
Posted by skensita
Programming/Kernel / Driver2008. 12. 3. 10:10

SetWindowsHookEx()를 이용한 DLL Injection을 막을 수 있는 방법은 없을까?!

※ 참고 : 이 글은 "User32!SetWindowsHookExA/W 를 후킹하지 않는다" 와 "오직 커널 레벨에서만 막는다(?)"는 가정하에 작성되었습니다.


보통 메시지 훅을 할 때는, User32.dll에 Export 되어있는 SetWindowsHookExA/SetWindowsHookExW 라는 API를 이용합니다.

[물론 아닌 경우도 있겠지만, 적어도 저는 이걸 이용합니다!]


이 API를 이용해서 DLL을 Injection을 할 수도 있습니다.

아래와 같은 경우죠.


DLL InjectTarget.dll의 Export된 함수인 MsgProc를 HOOKPROC로 사용하는 경우

INT WINAPI WinMain(HINSTANCE hInst, HINSTANCE hPrevInst, LPSTR lpCmdLine, INT nCmdShow)

{

      PVOID hHook;

      PVOID AddressOfFunction=(PVOID)GetProcAddress(LoadLibrary("injectTarget.dll"), "MsgProc");

      hHook=(PVOID)SetWindowsHookEx(......, AddressOfFunction, ......);

      ......중략......

}


그런데, 이상한 것은, SetWindowsHookExA/SetWindowsHookExW는 다른 함수와는 달리, 프로세스에 별다른 접근을 하지 않고

바로 SYSENTER를 합니다.

그리하여, 프로세스를 숨겨버린다 해도 SetWindowsHookEx()를 막기는 힘듭니다.

심지어 자기자신을 숨기고, KeAttachProcess/KeStackAttachProcess마저 후킹하는 nProtect마저도

SetWindowsHookEx()를 이용한 DLL Injection은 막지 못하였습니다. [지금은 바뀌었는지 모르겠지만]

필자는 프로세스를 보호하기 위해 커널 모드에서 PsLookupXxx 루틴과 KeXxxAttachProcess 루틴, 심지어는 ObXxx 루틴까지 후킹을 했으나

윈도우 프로세스의 경우 SetWindowsHookEx를 막아낼 수 없었습니다.


그 이유를 지금부터 알아보기 위해, SetWindowsHookExA/W를 차차 살펴보기로 합시다.


USER32!SetWindowsHookExA를 보면......

사용자 삽입 이미지


USER32!SetWindowsHookExW를 보면......

사용자 삽입 이미지


위와 같이, USER32.DLL의 SetWindowsHookA/W는 내부적으로 USER32.DLL::SetWindowsHookExAW를 호출합니다.


이제는 SetWindowsHookExAW를 보면......

사용자 삽입 이미지


SetWindowsHookAW는 USER32!_SetWindowsHookEx를 호출하는군요.


이어서 _SetWindowsHookEx를 봅시다.

사용자 삽입 이미지


_SetWindowsHookEx는 결과적으로 USER32!NtUserSetWindowsHookEx를 호출합니다.

아마도 USER32!NtUserSetWindowsHookEx는 NTDLL!NtXxx 루틴과 비슷한 일을 하는것으로 예상됩나다.


드디어, NtUserSetWindowsHookEx를 보는군요.

사용자 삽입 이미지


자 이것을 전부 정리(?) 해 보면,

SetWindowsHookExA/SetWindowsHookExW->SetWindowsHookExAW->_SetWindowsHookEx->NtUserSetWindowsHookEx 순이 되는군요.

그렇다면, Win32K!NtUserSetWindowsHookEx를 확인해 봐야겠군요.


자, Win32K!NtUserSetWindowsHookEx를 봅시다.

사용자 삽입 이미지


자, 보이십니까???

Win32K!NtUserSetWindowsHookEx는 내부적으로 Internal 함수인 Win32k!zzzSetWindowsHookEx를 호출합니다.


Win32k!zzzSetWindowsHookEx를 한번 보면......

사용자 삽입 이미지

여기서는 별다른 특별한 것은 보이지 않았습니다.


다음 장을 봅시다.

사용자 삽입 이미지

으으으음. AddHmodDependency()라...... 웬지 이 함수를 보면 뭔가 알 수 있을 것 같기도 한데.......

계속해서 봅시다.

사용자 삽입 이미지

으음.....zzzJournalAttach같은 내부함수도 보이는군요.

그나저나, 이 함수는 어디서 끝나는 걸까요.....하악하악

사용자 삽입 이미지

드디어 끝났습니다! [zzzSetWindowsHookEx가 이리 길줄이야......OTL]

으음....수많은 내부함수들이 보이는군요.

그나저나, 코드가 상당히 길어 분석이 좀 까다롭게 되었군요.


어쩔 수 없이, W2K 소스 참조.

PHOOK zzzSetWindowsHookEx(
    HANDLE hmod,
    PUNICODE_STRING pstrLib,
    PTHREADINFO ptiThread,
    int nFilterType,
    PROC pfnFilterProc,
    DWORD dwFlags)
{
    ACCESS_MASK amDesired;
    PHOOK       phkNew;
    TL          tlphkNew;
    PHOOK       *pphkStart;
    PTHREADINFO ptiCurrent;

    /*
     * Check to see if filter type is valid.
     */
    if ((nFilterType < WH_MIN) || (nFilterType > WH_MAX)) {
        RIPERR0(ERROR_INVALID_HOOK_FILTER, RIP_VERBOSE, "");
        return NULL;
    }

    /*
     * Check to see if filter proc is valid.
     */
    if (pfnFilterProc == NULL) {
        RIPERR0(ERROR_INVALID_FILTER_PROC, RIP_VERBOSE, "");
        return NULL;
    }

    ptiCurrent = PtiCurrent();

    if (ptiThread == NULL) {
        /*
         * Is the app trying to set a global hook without a library?
         * If so return an error.
         */
         if (hmod == NULL) {
             RIPERR0(ERROR_HOOK_NEEDS_HMOD, RIP_VERBOSE, "");
             return NULL;
         }
    } else {
        /*
         * Is the app trying to set a local hook that is global-only?
         * If so return an error.
         */
        if (!(abHookFlags[nFilterType + 1] & HKF_TASK)) {
            RIPERR0(ERROR_GLOBAL_ONLY_HOOK, RIP_VERBOSE, "");
            return NULL;
        }

        /*
         * Can't hook outside our own desktop.
         */
        if (ptiThread->rpdesk != ptiCurrent->rpdesk) {
            RIPERR0(ERROR_ACCESS_DENIED,
                   RIP_WARNING,
                   "Access denied to desktop in zzzSetWindowsHookEx - can't hook other desktops");

            return NULL;
        }

        if (ptiCurrent->ppi != ptiThread->ppi) {
            /*
             * Is the app trying to set hook in another process without a library?
             * If so return an error.
             */
            if (hmod == NULL) {
                RIPERR0(ERROR_HOOK_NEEDS_HMOD, RIP_VERBOSE, "");
                return NULL;
            }

            /*
             * Is the app hooking another user without access?
             * If so return an error. Note that this check is done
             * for global hooks every time the hook is called.
             */
            if ((!RtlEqualLuid(&ptiThread->ppi->luidSession,
                               &ptiCurrent->ppi->luidSession)) &&
                        !(ptiThread->TIF_flags & TIF_ALLOWOTHERACCOUNTHOOK)) {

                RIPERR0(ERROR_ACCESS_DENIED,
                        RIP_WARNING,
                        "Access denied to other user in zzzSetWindowsHookEx");

                return NULL;
            }

            if ((ptiThread->TIF_flags & (TIF_CSRSSTHREAD | TIF_SYSTEMTHREAD)) &&
                    !(abHookFlags[nFilterType + 1] & HKF_INTERSENDABLE)) {

                /*
                 * Can't hook console or GUI system thread if inter-thread
                 * calling isn't implemented for this hook type.
                 */
                 RIPERR1(ERROR_HOOK_TYPE_NOT_ALLOWED,
                         RIP_WARNING,
                         "nFilterType (%ld) not allowed in zzzSetWindowsHookEx",
                         nFilterType);

                 return NULL;
            }
        }
    }

    /*
     * Check if this thread has access to hook its desktop.
     */
    switch( nFilterType ) {
    case WH_JOURNALRECORD:
        amDesired = DESKTOP_JOURNALRECORD;
        break;

    case WH_JOURNALPLAYBACK:
        amDesired = DESKTOP_JOURNALPLAYBACK;
        break;

    default:
        amDesired = DESKTOP_HOOKCONTROL;
        break;
    }

    if (!RtlAreAllAccessesGranted(ptiCurrent->amdesk, amDesired)) {
         RIPERR0(ERROR_ACCESS_DENIED,
                RIP_WARNING,
                "Access denied to desktop in zzzSetWindowsHookEx");

         return NULL;
    }

    if (amDesired != DESKTOP_HOOKCONTROL &&
        (ptiCurrent->rpdesk->rpwinstaParent->dwWSF_Flags & WSF_NOIO)) {
        RIPERR0(ERROR_REQUIRES_INTERACTIVE_WINDOWSTATION,
                RIP_WARNING,
                "Journal hooks invalid on a desktop belonging to a non-interactive WindowStation.");

        return NULL;
    }

#if 0
    /*
     * Is this a journal hook?
     */
    if (abHookFlags[nFilterType + 1] & HKF_JOURNAL) {
        /*
         * Is a journal hook of this type already installed?
         * If so it's an error.
         * If this code is enabled, use PhkFirstGlobalValid instead
         *  of checking phkStart directly
         */
        if (ptiCurrent->pDeskInfo->asphkStart[nFilterType + 1] != NULL) {
            RIPERR0(ERROR_JOURNAL_HOOK_SET, RIP_VERBOSE, "");
            return NULL;
        }
    }
#endif

    /*
     * Allocate the new HOOK structure.
     */
    phkNew = (PHOOK)HMAllocObject(ptiCurrent, ptiCurrent->rpdesk,
            TYPE_HOOK, sizeof(HOOK));
    if (phkNew == NULL) {
        return NULL;
    }

    /*
     * If a DLL is required for this hook, register the library with
     * the library management routines so we can assure it's loaded
     * into all the processes necessary.
     */
    phkNew->ihmod = -1;
    if (hmod != NULL) {

#if defined(WX86)

        phkNew->flags |= (dwFlags & HF_WX86KNOWNDLL);

#endif

        phkNew->ihmod = GetHmodTableIndex(pstrLib);

        if (phkNew->ihmod == -1) {
            RIPERR0(ERROR_MOD_NOT_FOUND, RIP_VERBOSE, "");
            HMFreeObject((PVOID)phkNew);
            return NULL;
        }

        /*
         * Add a dependency on this module - meaning, increment a count
         * that simply counts the number of hooks set into this module.
         */
        if (phkNew->ihmod >= 0) {
            AddHmodDependency(phkNew->ihmod);
        }
    }

    /*
     * Depending on whether we're setting a global or local hook,
     * get the start of the appropriate linked-list of HOOKs.  Also
     * set the HF_GLOBAL flag if it's a global hook.
     */
    if (ptiThread != NULL) {
        pphkStart = &ptiThread->aphkStart[nFilterType + 1];

        /*
         * Set the WHF_* in the THREADINFO so we know it's hooked.
         */
        ptiThread->fsHooks |= WHF_FROM_WH(nFilterType);

        /*
         * Set the flags in the thread's TEB
         */
        if (ptiThread->pClientInfo) {
            BOOL fAttached;

            /*
             * If the thread being hooked is in another process, attach
             * to that process so that we can access its ClientInfo.
             */
            if (ptiThread->ppi != ptiCurrent->ppi) {
                KeAttachProcess(&ptiThread->ppi->Process->Pcb);
                fAttached = TRUE;
            } else
                fAttached = FALSE;

            ptiThread->pClientInfo->fsHooks = ptiThread->fsHooks;

            if (fAttached)
                KeDetachProcess();
        }

        /*
         * Remember which thread we're hooking.
         */
        phkNew->ptiHooked = ptiThread;

    } else {
        pphkStart = &ptiCurrent->pDeskInfo->aphkStart[nFilterType + 1];
        phkNew->flags |= HF_GLOBAL;

        /*
         * Set the WHF_* in the SERVERINFO so we know it's hooked.
         */
        ptiCurrent->pDeskInfo->fsHooks |= WHF_FROM_WH(nFilterType);

        phkNew->ptiHooked = NULL;
    }

    /*
     * Does the hook function expect ANSI or Unicode text?
     */
    phkNew->flags |= (dwFlags & HF_ANSI);

    /*
     * Initialize the HOOK structure.  Unreferenced parameters are assumed
     * to be initialized to zero by LocalAlloc().
     */
    phkNew->iHook = nFilterType;

    /*
     * Libraries are loaded at different linear addresses in different
     * process contexts.  For this reason, we need to convert the filter
     * proc address into an offset while setting the hook, and then convert
     * it back to a real per-process function pointer when calling a
     * hook.  Do this by subtracting the 'hmod' (which is a pointer to the
     * linear and contiguous .exe header) from the function index.
     */
    phkNew->offPfn = ((ULONG_PTR)pfnFilterProc) - ((ULONG_PTR)hmod);

#ifdef HOOKBATCH
    phkNew->cEventMessages = 0;
    phkNew->iCurrentEvent  = 0;
    phkNew->CacheTimeOut = 0;
    phkNew->aEventCache = NULL;
#endif //HOOKBATCH

    /*
     * Link this hook into the front of the hook-list.
     */
    phkNew->phkNext = *pphkStart;
    *pphkStart = phkNew;

    /*
     * If this is a journal hook, setup synchronized input processing
     * AFTER we set the hook - so this synchronization can be cancelled
     * with control-esc.
     */
    if (abHookFlags[nFilterType + 1] & HKF_JOURNAL) {
        /*
         * Attach everyone to us so journal-hook processing
         * will be synchronized.
         * No need to DeferWinEventNotify() here, since we lock phkNew.
         */
        ThreadLockAlwaysWithPti(ptiCurrent, phkNew, &tlphkNew);
        if (!zzzJournalAttach(ptiCurrent, TRUE)) {
            RIPMSG1(RIP_WARNING, "zzzJournalAttach failed, so abort hook %#p", phkNew);
            if (ThreadUnlock(&tlphkNew) != NULL) {
                zzzUnhookWindowsHookEx(phkNew);
            }
            return NULL;
        }
        if ((phkNew = ThreadUnlock(&tlphkNew)) == NULL) {
            return NULL;
        }
    }

    UserAssert(phkNew != NULL);

    /*
     * Later 5.0 GerardoB: The old code just to check this but
     *  I think it's some left over stuff from server side days.
    .* Let's assert on it for a while
     * Also, I added the assertions in the else's below because I reorganized
     *  the code and want to make sure we don't change behavior
     */
    UserAssert(ptiCurrent->pEThread && THREAD_TO_PROCESS(ptiCurrent->pEThread));

    /*
     * Can't allow a process that has set a global hook that works
     * on server-side winprocs to run at background priority! Bump
     * up it's dynamic priority and mark it so it doesn't get reset.
     */
    if ((phkNew->flags & HF_GLOBAL) &&
            (abHookFlags[nFilterType + 1] & HKF_INTERSENDABLE)) {

        ptiCurrent->TIF_flags |= TIF_GLOBALHOOKER;
        KeSetPriorityThread(&ptiCurrent->pEThread->Tcb, LOW_REALTIME_PRIORITY-2);

        if (abHookFlags[nFilterType + 1] & HKF_JOURNAL) {
            ThreadLockAlwaysWithPti(ptiCurrent, phkNew, &tlphkNew);
            /*
             * If we're changing the journal hooks, jiggle the mouse.
             * This way the first event will always be a mouse move, which
             * will ensure that the cursor is set properly.
             */
            zzzSetFMouseMoved();
            phkNew = ThreadUnlock(&tlphkNew);
            /*
             * If setting a journal playback hook, this process is the input
             *  provider. This gives it the right to call SetForegroundWindow
             */
            if (nFilterType == WH_JOURNALPLAYBACK) {
                gppiInputProvider = ptiCurrent->ppi;
            }
        } else {
            UserAssert(nFilterType != WH_JOURNALPLAYBACK);
        }
    } else {
        UserAssert(!(abHookFlags[nFilterType + 1] & HKF_JOURNAL));
        UserAssert(nFilterType != WH_JOURNALPLAYBACK);
    }



    /*
     * Return pointer to our internal hook structure so we know
     * which hook to call next in CallNextHookEx().
     */
    DbgValidateHooks(phkNew, phkNew->iHook);
    return phkNew;
}

음......단순한 구조체 조작만 하는 것 같지는 않아보이고

AddHmodDependency(), HMAllocObject(), ... 등이 뭔가를 하는 것 같은데 말이죠.

음 어쨌거나, SetWindowsHookEx()는 유저 모드에서는 물론, 커널 모드에서도 객체를 직접 수정하거나 Win32K의 또다른 내부함수를 호출하는 것이었기 때문에

SetWindowsHookEx()를 막을 수 없었던 것 같습니다.

HOOK 구조체를 초기화해도, 이미 Inject된 DLL이 언로드될것 같지는 않고 말이죠.

또한, 후킹되었다면 WIN32K!zzzUnhookWindowsHookEx()를 호출하는 방법도 있겠지만, 이 방법은 일단

zzzUnhookWindowsHookEx의 주소를 얻어와야 하므로, 굉장히 어렵습니다.

지금으로서는 Win32K!NtUserSetWindowsHookEx를 후킹하거나, Win32K!zzzSetWindowsHookEx를 후킹하는 수밖에 없는 것 같습니다.

(UserMode Hook은 제외)


Win32K!NtUserSetWindowsHookEx에서 Win32K!zzzSetWindowsHookEx를 호출하므로, 주소를 얻기는 쉽습니다.

실제로 제가 Win32K!zzzSetWindowsHookEx를 후킹해서 쓰고 있으나, 아직까지 별 문제는 일어나지 않았습니다.

[출처] SetWindowsHookEx()를 이용한 DLL Injection을 막을 수 있는 방법은 없을까?!

Posted by skensita
Programming/Win32 API2008. 12. 3. 10:07

[API] 시스템 종료 API에 관해서 알아보자.

제가 중점적으로 설명하려는 API는 다음과 같습니다.

ExitWindowsEx

InitiateSystemShutdown

NtShutdownSystem

 

먼저, ExitWindowsEx() 에 관하여 알아봅시다.

이 함수는 성공시 TRUE, 실패시 FALSE를 반환합니다.

WINUSERAPI

BOOL

WINAPI

ExitWindowsEx(

    DWORD dwFlags,

    DWORD dwReserved);

 

dwFlags에는 일반적으로 다음과 같은 상수들이 들어갑니다.

EWX_LOGOFF : 시스템을 로그오프시킨다.
EWX_SHUTDOWN : 시스템을 종료시킨다. (전원이 꺼지지 않는경우도 있다)
EWX_REBOOT : 시스템을 재시작시킨다.
EWX_FORCE : 이 옵션이 들어가면 실행중인 프로그램을 강제종료한다
EWX_POWEROFF : 이 옵션이 들어가면 전원을 완전히 끈다.
그리고, 이 상수들은 조합해서 쓸 수도 있습니다.

예를 들면, "실행중 프로그램을 강제종료시키고 시스템을 종료하고 싶다" 면,

dwFlags에는 EWX_SHUTDOWN | EWX_FORCE가 들어가면 되는 것입니다.

 

dwReserved에는 0xFFFFFFFF가 들어가는 것 같습니다.

헤더 파일에도 정의된 것이 있긴 있는것 같습니다.

#define ExitWindows(dwReserved, Code) ExitWindowsEx(EWX_LOGOFF, 0xFFFFFFFF)

자 이번에는 InitiateSystemShutdown()에 대해 알아보겠습니다.

이 함수는 호출시 프로세스 winlogon.exe에 시스템 종료 Message가 담긴 창을 띄워서

시스템 종료까지의 남은 시간을 표시해 줍니다. 남은 시간이 0:00:00이 되면, 시스템은 종료됩니다.

성공시 TRUE, 실패시 FALSE를 반환합니다.

여기서부터 나오는 함수는, Windows 9x는 지원하지 않습니다!!!!

WINADVAPI
BOOL
WINAPI
InitiateSystemShutdownA(
    IN LPSTR lpMachineName,
    IN LPSTR lpMessage,
    IN DWORD dwTimeout,
    IN BOOL bForceAppsClosed,
    IN BOOL bRebootAfterShutdown);

lpMachineName : 종료할 컴퓨터의 이름으로 보여집니다. 일반적으로 NULL

lpMessage : 시스템 종료시 띄울 Message

dwTimeout : 시스템 종료까지의 시간(초)

bForceAppsClosed : 시스템 종료시 프로그램을 강제종료할 것인가의 여부.

bRebootAfterShutdown : 시스템 종료 후에 재부팅 할것인지의 여부

또한, 이 함수로 시작된 시스템 종료는, 시스템 종료까지의 시간이 만기되기 전에 취소할 수 있는데,

이 역할을 하는 함수가 AbortSystemShutdown()입니다.

WINADVAPI

BOOL

WINAPI

AbortSystemShutdownA(

    IN LPSTR lpMachineName);

lpMachineName : 위의 설명과 같다.

 

이제는 좀 특별한 API인 NtShutdownSystem() 에 대해 알아보겠습니다.

이 함수는 다른 함수와는 좀 달리, 설정 저장 없이, 바로 시스템을 종료시킵니다.

성공시 STATUS_SUCCESS를 반환합니다.

STATUS_SUCCESS는 다음으로 정의됩니다:

#define STATUS_SUCCESS            (NTSTATUS)0

NTSYSAPI

NTSTATUS

NTAPI

NtShutdownSystem(

    IN SHUTDOWN_ACTION ShutdownAction);

ShutdownAction : 종료방법(말하자면 옵션).

SHUTDOWN_ACTION은 enum으로 되어있습니다.

typedef enum _SHUTDOWN_ACTION {
    ShutdownNoReboot,
    ShutdownReboot,
    ShutdownPowerOff
} SHUTDOWN_ACTION, *PSHUTDOWN_ACTION;
ShutdownNoReboot : 시스템을 종료하나, 재시작하지 않는다. (전원은 꺼지지 않는 것 같다.)

ShutdownReboot : 시스템을 재시작한다.

ShutdownPowerOff : 시스템 종료 후 전원을 끈다. 만일 하드웨어가 이 기능을 지원하지 않으면,  ShutdownReboot를 수행한다.

 

하지만, Windows NT/2K/XP/... 등에서 이를 사용하기 위해서는 Shutdown 권한이 있어야 합니다.

따라서, 권한을 얻어야 하는데, 그 일을 하는 함수가 바로, NTDLL.DLL의 RtlAdjustPrivilege()입니다.

OpenProcessToken()->LookupPrivilegeValue()->AdjustTokenPrivileges() 를 하는 방법도 있지만,

여기에서는 글이 약간 길어지므로 이 글에서는 다루지 않도록 하겠습니다.

NTSYSAPI

NTSTATUS

NTAPI

RtlAdjustPrivilege(

    ULONG Privilege,
    BOOL bEnable,
    BOOL bIsCurrentThread,
    PULONG PreviousPrivilege);
Privilege : LookupPrivilegeValue()로 얻어온 권한의 값(좀 설명이 애매하군요). Index.

bEnable : 권한을 설정할것인지의 여부. 일반적으로 TRUE.

bIsCurrentThread : 현재 쓰레드에 대하여인지의 여부. (테스트 결과, FALSE를 선택하면 프로세스 전체에 대해서인것 같다.)

일반적으로 FALSE.

PreviousPrivilege : 이전의 권한이 이 인자로 넘어온다.

예를 들어서, Debug 권한을 얻고 싶으면

ULONG PreviousPrivilege;

RtlAdjustPrivilege(20, TRUE, FALSE, &PreviousPrivilege)

를 해주면 될겁니다.

 

이상으로, 시스템 종료에 관한 몇몇 API와 그 쓰임에 대해 알아보았습니다.

[출처] [API] 시스템 종료 API에 관해서 알아보자.

invalid-file

Posted by skensita
Programming/Win32 API2008. 12. 3. 10:05

DLL Injection

DLL Injection - 참고

Posted 2007/06/19 14:16, Filed under: Study/Computer Science
================================================================================
Title : DLL Injection

Author : proXima
Contact : proxima ]at[ postech.ac.kr
Date : 2006/11/15 - 2006/11/15
================================================================================

2부에서 DLL Injection에 대해 간단하게 언급했었다. 이번 글에서는 DLL Injection이 무엇인지, 어떤 방법으로 이루어질 수 있는지를 알아보도록 하자.

일단, DLL Injection이 무엇인지부터 간단하게 알아보는 것이 좋을 것 같다.
단어 그대로 해석해 보자면, DLL Injection이라는 것은 'DLL 주입'이라는 뜻을 가지는데, 그냥 이 말만 가지고는 뜻이 명확하지가 않다. DLL을 주입한다고? 그게 무슨 뜻이지?

1. DLL을 주입하다
다들 알고 있겠지만(몰랐다면 앞으로 알면 좋다), 프로세스는 실행파일 하나만 메모리에 달랑 올린다고 실행이 되는 것이 아니라, 실행에 필요한 동적 라이브러리들을 같이 메모리에 올려야만 실행이 가능하다. DLL이라는 것은 Windows에서 제공하는 동적 라이브러리 형태로서, 리눅스에서의 .so 파일과 같은 역할을 한다고 보면 된다.
방금 설명했듯이, 동적 라이브러리도 프로세스의 메모리 공간에 올라가게 되는데, 디버거를 통해 확인해 보면 아마 보통 ntdll.dll, kernel32.dll, user32.dll 등의 dll 파일들이 프로세스의 실행파일 이미지와 같이 메모리에 올라가 있는 것을 확인할 수 있을 것이다.
DLL은 실행파일과 비슷하다. 그 자체로 실행파일이 되지 않는다는 것을 제외한다면, 파일의 내부는 실행파일과 다른 점이 없다. (.exe 파일도 함수를 export할 수 있다.)
그러면 DLL을 다른 프로세스에 주입한다는 게 무슨 뜻인가 하면... 다른 프로세스의 메모리 공간에 내가 만든 DLL을 매핑한다는 뜻이다. 하지만 단순이 메모리에 DLL을 매핑하는 것이 다는 아니다. DLL이 로드될 때 자동으로 실행되는 DllMain 에서 내가 원하는 코드를 '다른 프로세스 내에서' 실행시킬 수도 있다. 바로 이게 핵심이다.
DLL Injection을 통해 내가 원하는 코드를 '다른 프로세스 내에서' 실행시킬 수 있다.


2. 이게 어째서 가능한가
앞에서 이것저것 설명했었지만, 이게 가능한 이유는 Windows가 다음와 같은 환경을 제공해 주기 때문이다.
1) 런타임에 동적으로 DLL 파일을 로드할 수 있다.
2) 다른 프로세스의 메모리 공간에 데이터를 쓸 수 있다.
3) 다른 프로세스에서 함수를 실행시킬 수 있다
4) DLL이 로드될 때 로드된 DLL 파일 내의 DllMain 함수가 실행된다!


3. DLL Injection을 발생시키는 과정
Windows에서는 프로세스가 런타임에 동적으로 DLL 파일을 로드하도록 해 주는 LoadLibrary라는 함수가 있다. 그리고 다른 프로세스에서 그 LoadLibrary를 실행할 수가 있다. 그렇다면 내가 DLL을 만든 뒤에 그 DLL을 다른 프로세스에서 LoadLibrary를 통해 로드하도록 하면, 내가 만든 DLL을 주입할 수 있는 것이다.
그렇다면 어떻게 다른 프로세스에서 함수를 실행시킬 수 있을까? 바로 CreateRemoteThread라는 함수를 이용하는 것이다. CreateRemoteThread는 다른 프로세스 내에 새로운 쓰레드를 생성시키는데, 그 생성된 쓰레드로 하여금 어떤 함수를 실행하게 할 것인지를 인자로 넘길 수 있다.
그렇기 때문에 CreateRemoteThread를 이용하여 LoadLibrary를 실행하게 한다면, 내가 만든 DLL의 DllMain이 실행된다.
하지만 넘어가야 하는 난관이 조금 있는데, 일단 CreateRemoteThread와 LoadLibrary의 프로토타입을 보자.


 HANDLE CreateRemoteThread(  HANDLE hProcess,
  LPSECURITY_ATTRIBUTES lpThreadAttributes,
  SIZE_T dwStackSize,
  LPTHREAD_START_ROUTINE lpStartAddress,
  LPVOID lpParameter, 
  DWORD dwCreationFlags,  
  LPDWORD lpThreadId
 );
 
 HMODULE LoadLibrary(
   LPCTSTR lpFileName
 );
 
  
프로토타입을 보면서 조금 더 설명을 하자면, DLL Injection이 가능한 이유는, LoadLibrary가 인자를 '단 하나'만 받기 때문이다. CreateRemoteThread는 쓰레드를 새로 만들면서 쓰레드로 실행되는 함수에게 인자를 하나 넘길 수 있는데, LoadLibrary는 아주 다행스럽게 인자를 '단 하나'만 받는다.

하지만, LoadLibrary를 실행하기 위해서는 '로드할 DLL 파일명'을 LoadLibrary의 인자로 넘겨주어야 한다. 그렇다면 다른 프로세스의 메모리 공간에 내가 원하는 '로드할 DLL 파일명'을 써 넣어야 하는데, 그것은 이 전에 쓴 글인 'Controlling Memory Space of Other Process'에서 언급했듯이, Windows 에서 제공해 주는 API들을 사용해서 가능하게 할 수 있다.

그렇다고 하더라도 가장 큰 문제가 있는데, 그게 무엇인가 하면 바로 LoadLibrary의 주소는 '타겟 프로세스'의 가상메모리 상에서의 주소여야 한다는 점이다. 알고 있다시피, DLL들은 프로그램이 실행될 때마다 다른 메모리 주소에 매핑될 수 있는데, 그것 때문에 타겟 프로세스의 LoadLibrary가 어떤 주소에 위치하는지를 모른다면 이것은 말짱 꽝이 될 수도 있다.
그래도 이걸 해결하는 방법이 있다. 다른 프로세스의 메모리를 읽어 kernel32.dll 이 그 프로세스의 어느 메모리 주소에 위치하는지 알아내고, 그 kernel32.dll 이 export하는 함수들을 읽으면서 LoadLibrary의 주소가 어디 있는지 알아낼 수 있다. 뭐 그 밖에도 다른 방법도 있을 수 있지만, 지금은 이게 문제가 되지 않는다. 왜냐하면...

서로 다른 프로세스라도 kernel32.dll 은 가상메모리 상에서 거의 항상 같은 메모리 주소에 매핑되기 때문에, 그냥 내 프로세스의 LoadLibrary 주소를 넘기면 된다.


4. 코드를 짜 보자


 HANDLE hProcess;
 hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
 
 LPVOID pFileName;
 pFileName = HeapAlloc(NULL, strlen(fileName)+1, MEM_COMMIT, \
                              PAGE_READWRITE);
 
 WriteProcessMemory(hProcess, pFileName, fileName, strlen(fileName)+1, \
                    &nWritten);
 
 HANDLE hRemoteThread;
 hRemoteThread = CreateRemoteThread(hProcess, NULL, 0, \
                                    (LPTHREAD_START_ROUTINE)LoadLibrary,
                                    pFileName, 0, NULL);
 
 CloseHandle(hRemoteThread);
 CloseHandle(hProcess);
  

이제 DLL Injection 을 할 수가 있게 됐다. 내가 DLL을 만들어서 다른 프로세스에 넣어보자. 실제로 스피드핵의 경우 timeGetTime 함수를 뺏는 역할을 하는 DLL을 프로세스에 주입함으로써 빠르게 돌아가게 하는 방법도 사용하는 프로그램도 있다.

다른 프로세스의 내부에 내가 원하는 코드를 집어넣는다는 것은 굉장히 강력할 수 있다. 때문에 악용될 경우 큰 피해가 날 수도 있는데, 아무쪼록 좋은 곳에 사용하길 바란다.
Posted by skensita
Programming/Win32 API2008. 12. 3. 10:04

[API] 프로세스 목록 얻어오기.

음......이번에는 프로세스 목록을 얻어오는 방법에 대해서 아주~간단히 알아보도록 하겠습니다.

프로세스 목록을 얻어오는 방법 중 간단히 2가지를 소개하자면,

첫째로, CreateToolhelp32Snapshot/Process32First/Process32Next 를 이용하는 간단한 방법입니다.

둘째로, NtQuerySystemInformation을 이용하는 방법이 있으나, 이 방법을 추가하면 코드가 약간 길어지므로 나중에 설명하겠습니다. [NT/2K/XP/2K3/Vista/...에서만 호환]

 

여기에서 소개하려는 주요 API는 다음과 같습니다. [Win9x에서도 호환됩니다.]

 

CreateToolhelp32Snapshot

Process32First

Process32Next

 

자, CreateToolhelp32Snapshot() 에 관해 알아봅시다.

이 API는 스냅샷 핸들을 얻어오는 역할을 합니다.

성공시 "올바른" 핸들을 반환합니다.

(잘못된 핸들로 취급되는 예:핸들 값이 NULL인 경우, 혹은 INVALID_HANDLE_VALUE(0xFFFFFFFF))

그리고 이렇게 얻어진 핸들의 사용이 끝나면, 다시 CloseHandle() API를 이용하여 핸들을 닫아주는게 좋습니다.

WINBASEAPI

HANDLE

WINAPI

CreateToolhelp32Snapshot(

     IN DWORD th32Flags,

     IN DWORD th32ProcessID);

th32Flags : TH32CS_SNAPPROCESS, TH32CS_SNAPMODULE, ...등의 상수가 있는데,

프로세스 목록을 얻으려면 TH32CS_SNAPPROCESS를, 모듈 목록을 얻으려면 TH32CS_SNAPMODULE, ....등을 넣으면 되는것 같습니다. 이 외에도 TH32CS_SNAPTHREAD, TH32CS_SNAPHEAPLIST가 있습니다.

이 상수를 이용해 얻어진 핸들은 일반적으로, Xxx32First/Xxx32Next 루틴으로 목록을 얻어올 수 있습니다.

예를 들어서, TH32CS_SNAPPROCESS를 인자로 사용하였다면, Process32First()/Process32Next() 루틴으로 목록을 얻어올 수 있는 것입니다.

th32ProcessID : 이 인자는 "여기에서는" 0을 줘도 무방합니다. 제 생각에는 Toolhelp32ReadProcessMemory() API와 관련이 있는 인자이기도 하지 않을까 싶군요. 여기에 유효한 Process ID를 인자로 주면 해당 Process ID에 해당하는 Process의 정보를 얻어 올 수 있지 않을까도 싶고요.

 

이제는 Process32First/Process32Next 에 관해 알아보겠습니다.

Process32First는 오직 첫번째 프로세스의 정보만을 가져옵니다.

그리고 Process32Next는 다음 프로세스가 없을 때까지 찾아서 다음 프로세스를 찾으면 정보를 가져오고, TRUE를 반환합니다.

인자는 똑같습니다.

둘 다, 성공시 TRUE를, 실패시 혹은 더이상 프로세스가 없을 시에는 FALSE를 반환합니다.

WINBASEAPI

BOOL

WINAPI

Process32First(

     IN HANDLE hSnapshot,

     OUT PPROCESSENTRY32 lpProcessEntry32Info);

WINBASEAPI

BOOL

WINAPI

Process32Next(

     IN HANDLE hSnapshot,

     OUT PPROCESSENTRY32 lpProcessEntry32Info);

hSnapshot : CreateToolhelp32Snapshot() 로 얻어온 "올바른" 스냅샷 핸들.

lpProcessEntry32Info : PROCESSENTRY32 의 포인터형. 만일 성공시 이 인자로 프로세스 정보가 넘어옵니다.

Process32First() 호출시, PROCESSENTRY32 구조체에는 반드시 PROCESSENTRY32::dwSize에 sizeof(PROCESSENTRY32) 를 넣어줘야 합니다.

 

으음 그리고 이것은 보너스.

이 API는 핸들을 닫는 역할을 하며, 성공시 TRUE, 실패시 FALSE를 반환합니다.

WINBASEAPI

BOOL

WINAPI

CloseHandle(

    IN HANDLE hHandle);

hHandle : OpenProcess()/OpenFile()/CreateFile()/CreateToolhelp32Snapshot()/CreateFileMapping()/OpenFileMapping().... 등을 이용해서 얻어진 핸들. (FindWindow()로 얻어진 윈도우 핸들이나 GDI Object 등등은 포함되지 않습니다!)

 

이상 프로세스 목록을 얻는 데 필요한 API에 대해 대강 알아보았으므로, 한번 짜보겠습니다.

 

#include <stdio.h>
#include <windows.h>
#include <tlhelp32.h>
void PrintProcessList()
{
   HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
   if(hSnapshot)
   {
        PROCESSENTRY32 ProcessEntry32;
        BOOL bProcessFound;
        ProcessEntry32.dwSize=sizeof(PROCESSENTRY32);
        bProcessFound=Process32First(hSnapshot, &ProcessEntry32);
        while(bProcessFound)
        {
             printf("%s [%d]\n", ProcessEntry32.szExeFile, ProcessEntry32.th32ProcessID);
             bProcessFound=Process32Next(hSnapshot, &ProcessEntry32);
        }
        CloseHandle(hSnapshot);
    }
}
void main()
{
     PrintProcessList();
}

 

어떤가요? 코드가 생각보다 짧지 않나요?

어쨌거나 이상으로, 프로세스 목록을 얻어오는 간단한 방법에 대해서 알아보았습니다.

[출처] [API] 프로세스 목록 얻어오기.

Posted by skensita
Programming2008. 12. 1. 15:48

Application 프로그래밍시 알아두어야 할 지식들

www.debuglab.com 에서 있는 자료들입니다.


이 자료를 정리하신 분은 서우석이라는 분인데..정말 대단하다라는 생각이 듭니다.

어쩜 이렇게 정리를 잘 하셨을까.. 부럽다는 생각만 드는군요..ㅡㅡ



-------------------------------------------------------------------

Home

lastest update : 2001.08.06






Posted by skensita
Programming/Win32 API2008. 12. 1. 15:46

[API] lstrcpyn 과 strncpy

이 역시 생각지도 못한 버그를 만들어 오랫동안 골치를 썩였기에 여러분은 이러지 마시라고 올립니다.

LPTSTR lstrcpyn(
 LPTSTR lpString1,  // destination buffer
 LPCTSTR lpString2, // string
 int iMaxLength     // number of characters to copy ★
);

★ 중요한 건 3번째 인자인데 예를 들면
   lstrcpyn(buf, "abcdef", 3); 하면 buf 는 "abc"가 아니라 "ab" 가 된다는 것입니 다.
   즉 주석에는 number of characters to copy 라고 되어있지만 ★ 이 안에 null 을 위한 갯수가 포함되어있음을 주의해야 합니다.

★ 이 세번째 인자는, 주석을 읽어보면 얼핏 "몇 글자를 copy할 것인가" 를 말하는 것처럼 보이지만,
   이보다는 buffer의 한계를 넘어 copy되지 못하도록 보호벽을 치는 의미이므로,
   copy할 문자열이 아닌 "buffer의 사이즈"와 연관지어 생각해야 합니다.
- 다음과 같이 사용.
      CHAR buf[256];
      lstrcpyn(buf, "복사할 문자열", 256); // 자동으로 NULL을 고려하여 실제로 255개 까지만 copy됨.

★ 참고로 표준 c runtime library 의 strncpy 는 이렇지 않음.
   strncpy(buf, "abcdef", 3); 하면 buf 는 "abc" 임.
- 이 경우는 다음과 같이 사용.
      char   buf[256];
      strncpy(buf, "복사할 문자열", 255); // buf가 포함할 수 있는 최대 길이 - 1 (NULL 고려해 주어야 함)
Posted by skensita
Programming/Win32 API2008. 12. 1. 15:44

[API] 부모 프로세서 죽이기

데브피아의 이승규 님의 글을 허락도 없이 퍼왔습니다. (__)ㅋ

---------------------------------------------------------


쩝...유닉스랑은 부모와 자식관계가 참 거시기 하네요... 그냥 함 만들어 봤습니다. GetCurrentProcessId같은것들은 있는데 왜 이건 안만들어서 절 귀찮게 하는지 모르겠네요..-_-;
 
#include <Tlhelp32.h>
 
// 부모 프로세스 아이디
DWORD GetParentProcessId()
{
    HANDLE          hProcessSnap    = NULL;
    PROCESSENTRY32  pe32            = {0};
    DWORD           pid             = GetCurrentProcessId();
   
 
    hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSnap == INVALID_HANDLE_VALUE)   {
        return FALSE;
    }
 
    pe32.dwSize = sizeof(PROCESSENTRY32);
 
    if (Process32First(hProcessSnap, &pe32))    {
        DWORD Code = 0;
        do{        
            if(pe32.th32ProcessID != pid) {
                continue;
            }           
            CloseHandle (hProcessSnap);
            return pe32.th32ParentProcessID;
        } while (Process32Next(hProcessSnap, &pe32));
    }
    CloseHandle (hProcessSnap);
    return 0;
}
 
// 부모프로세스 핸들
HANDLE GetParentProcessHandle()
{
    DWORD       dwParentProcessId;
    dwParentProcessId = GetParentProcessId();
    return OpenProcess (PROCESS_ALL_ACCESS, FALSE, dwParentProcessId);          
}
 
// 부모프로세스 끝나기 기다리기
void WaitForParentProcess(DWORD dwTimeout)
{
    HANDLE hParentProcess;
 
    hParentProcess = GetParentProcessHandle();
 
    if ( hParentProcess != NULL )
    {
        WaitForSingleObject(hParentProcess, dwTimeout);
        CloseHandle(hParentProcess);
 
        return ;
    }
}
 
// 부모 프로세스 죽이기
void TerminateParentProcess()
{
    HANDLE hParentProcess;
 
    hParentProcess = GetParentProcessHandle();
 
    if ( hParentProcess != NULL )
    {
        if (TerminateProcess(hParentProcess, 0))
        {
            CloseHandle(hParentProcess);
            return;
        }
 
        return ;
    }
}

주석으로 막아 놓은 것은 찾고자 하는 프로세스의 이름으로 프로세스를 찾아 그것의 상태를 보고 싶을때 쓸수 있습니다


SendMessageTimeout 대신 IsHungAppWindow라는 함수를 쓸 수 있다는 글을 어느 분이 쓰신것 같은데 저는 그 함수가 어느 헤더에 정의 되어져 있는지 알 수 가 없더군요

혹시 아시는 분 계시면 답글 달아 주시면 감사하겠습니다


위의 루틴은 비교적 쉬우니까 초보 분들도 이해 하시는데 어려움이 없을것 같네요


코딩은 쉽게 쉽게 짜여 졌으면 하는 바램으로 글을 올립니다

주석으로 막아 놓은 것은 찾고자 하는 프로세스의 이름으로 프로세스를 찾아 그것의 상태를 보고 싶을때 쓸수 있습니다


---------------------------------------------------------------------------------------

좋음 2004-06-17 13:49:00 user32.dll에 있는 함수죠... 문서화 되지 않은 함수입니다. 따라서 문서에 나와있지 않고
헤더에도 없죠... BOOL WINAPI IsHungAppWindow(HWND hwnd); 입니다. 직접 LoadLibrary해서
사용하시면 됩니다.		 신영진
(hacsyj)
궁금 2004-06-18 09:01:00 문서화 되지 않은 함수인가요?
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/winui/WinUI/WindowsUserInterface/Windowing/Windows/WindowReference/WindowFunctions/IsHungAppWindow.asp		 배토
(batmask)
좋음 2004-06-18 10:35:00 msdn에서 발췌
Function Information
Header Declared in Winuser.h, include Windows.h
Import library User32.lib
Minimum operating systems Windows 2000		 심준석
(stonesim@hotmail.com)
좋음 2004-07-08 09:27:00 CreateToolhelp32Snapshot 으로 열린 핸들은 CloseToolhelp32Snapshot을 이용해
닫으라는군요. CloseHandle을 쓰면 메모리 leak이 있답니다. ^^
CloseHandleh(ProcessSnap) => CloseToolhelp32Snapshot(ProcessSnap)		 배토
(batmask)
좋음 2004-07-13 16:45:00 CloseToolhelp32Snapshot은 VC7에서는 찾을 수가 없습니다. 김회대
(k5022)
좋음 2004-07-13 16:50:00 IsHungAppWindow은 다음과 같은 형식으로 사용하면 됩니다.
typedef BOOL (WINAPI *PROCISHUNGAPPWINDOW) (HWND);

PROCISHUNGAPPWINDOW IsHungAppWindow;
HMODULE hUser32 = GetModuleHandle("user32");
IsHungAppWindow = (PROCISHUNGAPPWINDOW)GetProcAddress(hUser32,"IsHungAppWindow");		 김회대
(k5022)


Posted by skensita

티스토리툴바