'PID'에 해당되는 글 2건

  1. 2010.01.06 [윈도우] 숨겨진 프로세스를 찾는 방법들
  2. 2009.09.04 실행중인 프로세스 디버깅 덤프 및 강제종료
2010.01.06 10:29

[윈도우] 숨겨진 프로세스를 찾는 방법들

 1. EPROCESS의 ActiveProcessLinks Linked List를 이용해서 Traverse.
 ( 왠만한 루트킷들은 이 값을 조작하므로 별로 소용없을지도 모르지만,
  ZwQuerySystemInformation()을 후킹하여 결과값을 조작하는 식으로 숨기는 경우는
  이 방법으로 손쉽게 찾아낼 수 있습니다. )

 2. ZwOpenProcess() Brute-Force Detection
 유효 PID인 0L부터 0xFFFFL까지 4의 배수들을 모두 Open해서 성공적으로 열어지는 프로세스를
 감지합니다. 단, 프로세스가 종료되었으나 핸들이 닫히지 않은 경우에도 Open되므로 추가적인
 확인이 필요합니다.

 3. PspCidTable Traverse
 Windows NT에는 PspCidTable이라는 Unexported Symbol이 존재하는데, 프로세스와 스레드에
 대한 개체 포인터들을 저장하고 있는 핸들 테이블의 일종입니다. 이를 트레버싱하여 숨겨진
 프로세스를 찾을 수도 있습니다.
 ( 개체 포인터만 저장되어있으므로, 포인터-0x18 한 값이 가리키는 OBJECT_HEADER 헤더의
 Type 필드가 PsProcessType인지 검사해줄 필요가 있습니다. )

 4. Process Handle Table Link Traverse
 EPROCESS에는 HandleTable 필드가 존재하고 이 안에는 링크드 리스트가 존재합니다.
 이 리스트를 이용해서 트레버싱하면 모든 EPROCESS를 찾을 수 있습니다.

 5. CSRSS.EXE의 Handle Table Traversing
 CSRSS.EXE 프로세스는 프로세스 시작을 커널에 통지하고 그 뒷처리를 하는 역할을 하기도 합니다.
 (BaseSetProcessCreateNotify라는 Unexported/Undocumented Symbol을 이용합니다.
 이 심볼 포인터를 후킹함으로써 User Mode에서 폴링(Polling) 과정 없이 프로세스 시작을
 감지하는 방법을 구현한 적이 있습니다. http://blog.naver.com/startgoora/130026875156 )
 때문에 CSRSS.EXE에는 모든 프로세스에 대한 핸들이 저장되어있습니다.

 * 참고적으로 이를 반대로 이용하여 NtOpenProcess()를 거치지 않고 프로세스를 여는 방법중의 하나로 NtQuerySystemInformation()으로 모든 핸들을 얻어온 후 NtDuplicateObject()를 사용하여 핸들을 복사할 수 있습니다.

 6. Memory Scanning
 Process 개체 이전에 붙는 OBJECT_HEADER로 Scan하는 방법입니다.
 http://vbdream.tistory.com/entry/Kernel-탐구-숨겨진-EPROCESS를-찾는-방법-1-Memory-Scanning
 에서 PoC(Proof-of-Concept) 코드로 올린 바가 있습니다.

 7. ETHREAD로 부터 프로세스 개체 얻기
 ETHREAD::ThreadsProcess 필드를 응용하면 EPROCESS의 Pointer를 취득할 수 있습니다.
 PspCidTable이나 링크드 리스트를 이용해서 ETHREAD를 구할 수 있습니다.
 그리고 EPROCESS의 UniqueProcessId가 조작되어도 ETHREAD::Cid를 이용하면
 원래 PID를 구할 수도 있습니다.

 8. PsSetCreateProcessNotifyRoutine()
 프로세스 생성과 종료에 대한 콜백을 등록할 수 있습니다.
 드라이버 로드시에 모든 프로세스를 얻어놓고 이 콜백에 의존하여 리스트를 빼거나 추가함으로써
 순수한 프로세스 리스트를 얻을 수가 있겠죠.
 (비슷한 것으로 PsSetCreateThreadNotifyRoutine와 PsSetLoadImageNotifyRoutine가 있습니다.)
 
 9. CSRSS.EXE::BaseSetProcessCreateNotify Hook
 위에서도 잠깐 언급하였으며 http://blog.naver.com/startgoora/130026875156 를 참고하세요.
 이 방법은 프로세스 시작만 감지할 수 있다는 단점이 있습니다.
 ( 뭐... CSRSS.EXE의 ZwClose를 후킹하면 될지도 모른다는 생각이 드는군요. :-) )


출처 : http://blog.naver.com/startgoora

Trackback 0 Comment 0
2009.09.04 18:14

실행중인 프로세스 디버깅 덤프 및 강제종료

간혹, 실행 중인 프로세스의 덤프 파일을 생성해야하는 경우가 있습니다.

보통, 비정상적으로 동작하는 프로그램이 있는데, 이를 디버깅 환경이 갖추어진 다른 시스템에서 버그를 찾아보려고 할 경우, 그 프로세스의 덤프 파일을 생성한 뒤 이를 디버깅 시스템으로 가져가기 위해 사용하곤 합니다.

실행 중인 프로세스의 덤프 파일을 생성하는 방법으로는 userdump 나 ADPlus 를 이용하는 방법 등 다양하게 있겠지만 NTSD (NT Symbolic Debugger) 를 이용하는 방법도 있습니다.

NTSD의 장점으로는 우선 XP를 비롯한 여러 윈도우에 기본으로 설치가 되어 있다는 점을 들 수 있습니다.
물론, 최신 버전을 설치한다면 추가된 기능들을 사용하는 것도 가능하겠지요.

또한 단순히 덤프 파일만 생성하는 기능을 가진 userdump 등과는 달리 원래 Debugger 이기 때문에 다양한 기능들을 활용하여 보다 입맛에 맞는 작업을 수행하는 것이 가능합니다.

다음은 가장 기본적인 형태로, 특정 프로세스의 덤프 파일을 저장하기 위한 명령어를 보여주고 있습니다.

ntsd -p %PID -c ".dump c:\process.dmp;.detach;q"

위에서 %PID 를 해당 프로세스의 PID 값으로 적어주면, 그 프로세스의 덤프가 c:\process.dmp 에 저장됩니다.

디버깅을 하다 보면, 프로세스가 살아 남아서 새로운 프로세스를 띄우는데 어려움을 겪거나 그러한 이유 때문에 다른 문제가 발생할 수 있습니다. 하지만 http://www.sysinternals.com과 같은 사이트에서 제공하는 ProcessExplorer를 이용하거나 작업관리자를 이용하면 실행중인 프로세스를 강제로 종료할 수 있습니다. 또는 ntsd(NT 커널 디버거)를 이용하여 프로세스를 강제 종료하는 방법도 있습니다.

일단 작업 관리자를 이용하여 해당 프로세스의 아이디를 얻어냅니다. 그리고 나서 ntsd -p [프로세스 ID]를 입력하여 ntsd를 해당 프로세스에 연결하여 디버깅을 시작합니다. ntsd는 프로세스에 연결한 다음 정지하게 되는데, 이 때 q를 입력하여 디버깅 작업을 중단하면, 실행되고 있던 프로세스도 함께 중지되어 버립니다. 대단하죠?

그런데 이 방법에도 문제가 있다고 하는군요. 예를 들어 해당 서비스가 loader lock에서 교착 상태(deadlock)에 있는 경우에는 해당 프로세스에 디버거를 연결할 수 없고, 이 때 q를 입력하더라도 디버거만 종료된다고 합니다. 따라서 이런 경우에는 ntsd를 이용하여 프로세스를 종료할 수 없게 됩니다.

이러한 문제를 해결해야 하는 경우가 있고, 또한 시스템 프로세스의 우선 순위등을 조절해야 하는 경우가 있을 수 있습니다. 예를 들어, msdtc와 같은 서비스가 CPU를 100%사용하고 있다면, 이 서비스를 죽이지 않고 우선순위를 낮추는 방법으로 문제를 해결할 수 있습니다.(이렇게 하는 이유는 해당 서비스를 죽이지 않고, 작업을 마칠 수 있도록 하기 위함입니다. 물론 그러면서 컴퓨터는 계속해서 사용할 수 있어야겠죠). 우선 순위를 조절하는 기능은 이미 작업관리자에 포함되어 있는데, 만약 여러분이 System으로 되어있는 서비스를 선택하여 마우스 오른쪽 버튼을 클릭하여 우선 순위를 바꾸려고 하면, 아마도 권한이 없기 때문에 작업을 완료할 수 없다는 오류 메시지를 받게 될 것입니다. 왜냐하면 msdtc는 NETWORK SERVICE로 실행되고 이 권한 때문에 접근할 수 없기 때문입니다.

그런 경우에는 해당 프로세스를 제어하는 프로그램이 SeDebugPrivilege 권한을 소유하고 있어야 하는데, 작업 관리자는 기본적으로 이 권한을 소유하고 있지 않습니다. 하지만 ntsd가 이 권한을 가지고 있고 ntsd로 디버깅된 프로그램(디버기)는 이 토큰을 상속받게 되어 작업 관리자도 똑같이 SeDebugPrivilege를 갖게 되는 것입니다. 이를 위해 다음과 같이 실행하면 됩니다.

ntsd taskmgr

이 상태로도 System 서비스의 우선 순위를 마음대로 바꿀 수 있지만,계속해서 ntsd가 실행된 상태이기 때문에 qd 명령을 입력하여 taskmgr은 실행 상태로 남겨둔채, ntsd만 종료하도록 연결을 해제할 수 있습니다. 이 작업은 다음과 같이 작동되게 할 수 있습니다.

ntsd -hd -c "qd" taskmgr

여기에서 -hd는 일반 힙(디버거에서 실행되는 디버기는 기본적으로 NT 디버그 힙을 사용하게 되는데, 이 힙은 느릴 뿐만 아니라 용량도 많이 차지한다)을 사용하도록 하기 위함이며, -c 옵션은 다음에 오는 명령을 첫번째 breakpoint에서 실행시키기 위함입니다. 만약 이 파일을 배치파일로 만들면 항상 무적인 작업 관리자를 만들 수 있는 것이죠.

여기서 이상한 일은 기본적으로 작업 관리자가 다른 프로세스를 종료하기 위해서 일시적으로 SeDebugPrivilege 권한을 획득하게 되는데, 시스템의 우선 순위를 바꿀 때에는 이 권한을 획득하지 않는다는 점입니다.


출처 : http://lwittgen.tistory.com/

Trackback 0 Comment 0