Windbg. 시스템 서비스 디스패처 코드 살펴보기

Windows Internal 7th edition 136P 실습한 것을 작성하였습니다. 대부분은 책의 내용을 기반으로 작성되었습니다.

Self-Study 를 목적으로 포스팅하였으며, 해당책은 Windows Internal, 커널, Windbg 공부에 도움될 것으로 보입니다.

Windows Internals 7/e Vol.1 [마이크로소프트 윈도우 커널 공식 가이드]

http://acornpub.co.kr/book/windows-internals7-vol1 

Open Windbg

File - Open Executable

System32 폴더에서 notepad.exe - Open

Notepad 가 실행되고, Debugger는 최초 Breakpoint 지점에서 멈춥니다. 이미지 로더를 나타내는 Ldr로 시작하는 일부 함수도 볼 수 있습니다.

Notepad 의 메인 함수는 아직 실행되지 않았기 때문에, Notepad의 윈도우는 보이지 않습니다.

Ntdll.dll 내의 NtCreateFile 에 Breakpoint 를 설정합니다. (Debugger는 대소문자를 구분하지 않습니다.)

bp ntdll!ntcreatefile

g(go) 명령을 입력하거나 F5를 눌러 Notepad를 계속 실행하게 한다. Debugger는 즉시 멈추며 다음과 같은 출력을 보입니다.

 

책에서는 "ZwCreateFile이란 이름의 함수가 보인다. ZwCreateFile과 NtCreateFile은 User Mode에서 동일한 심볼을 가리킨다" 라고 설명되어 있습니다.

 

저는 ZwCreateFile = NtCreateFile 이라는 것으로 이해했습니다. 아래의 기술자료에서 instead of 로 설명되어 있습니다.

NtCreateFile function

https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/content/ntifs/nf-ntifs-ntcreatefile

u(unassembled) 명령을 입력하면 다음과 같은 명령어를 볼 수 있습니다.

 

책에서 이부분은 다음과 같이 설명되어 있습니다.

EAX 레지스터는 시스템 서비스 번호(이 경우 16진수 55)로 설정되어 있다. 이 값은 해당 OS에서의 시스템 서비스 번호다. syscall명령어는 프로세서를 커널 모드로 전환하게끔 하는 명령어로서, 여기서 EAX는 NTCreateFile Excutive Service를 선택하는 데 사용된다. 또한 SharedUserData 내의 오프셋 0X308에서 플래그(1)를 검사한다는 점도 주목하자(추가설명은 4장) 이 플래그가 설정되어 있다면 int 2Eh 명령어를 사용해 실행은 다른 경로로 이뤄진다.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------

IUM Application이 IumDll.dll 로 불리는 Ntdll.dll과 유사한 다른 바이너리를 이용할 수 있음을 '가상화 기반의 보안 아키텍쳐 개요' 절에서 설명되어 있습니다. 이 라이브러리는 시스템 호출을 포함하지만 이들의 인덱스는 다르다.

Windbg -File -Open Crash Dump

System32 폴더로 이동 -All Files 로 변경 iumdll.dll 선택 - Open

u iumdll!IumCrypto 

 

책에서 다음과 같이 설명되어 있습니다.

시스템 호출 인덱스의 상위비트가 설정되어 있고 SharedUserData 검사가 이뤄지지 않음에 주목하자. 안전한 시스템 호출로 불리는 syscall은 이런 유형의 시스템 호출에서 사용되는 명령어다.