Q&A
- CreateProcess FileMapping내부가 궁금하네요..
바쁘실텐데 이렇게 도와주셔서 감사합니다.
먼저, 저희 프로젝트에 대해서 다시한번 차근 차근 설명해 드릴게요.
프로젝트 인원은 총 7명이고,
기간은 지난 10월 23일 부터 오는 1월 23일 까지입니다.
현재 발표일까지는 10일이 남아있습니다.
주제는 "소프트웨어 보안 솔루션"으로서 다음과 같은 그림을 갖습니다.
2. ( 개발사 )
+-----------+
| 인증 서버 |
+-----------+
1. ( 개발사 ) | 3. ( 웹 )
+-----------------+ | +-----------------+
| 1차 암호화 도구 | | | 2차 암호화 모듈 |
+-----------------+ | +-----------------+
| ㅣ |
| 4. ( 사용자 ) | |
| +--------------------+ |
| | 인증, 복호화 모듈 | |
+--> |----------------------| |
| 암호화 실행 이미지| <----+
+--------------------+
[ 보안 시나리오 ]
1. 개발사에서 "1차 암호화 도구"를 사용하여 개발이 완료된 소프트웨어의
실행파일을 암호화 합니다. 암호화 과정은 다음과 같습니다.
a. 지정된 실행파일을 PE Header를 제외하고 암호화 합니다.
b. 암호화 된 실행파일의 앞쪽에 "인증, 복호화 모듈"을 병합합니다.
즉, 파일 하나가 2개의 실행 이미지를 포함하여 위쪽 그림의 4번과
같은 형태를 띄게 됩니다.
암호화 된 실행파일을 포함하여 개발사는 기존과 동일한 방식으로 소프
트웨어를 패키지화하여 배포합니다.
2. 소프트웨어를 구입한 사용자는 설치과정을 거친 후, 실행을 시도 합니다.
그림의 2번과 같은 형태를 가지는 실행파일을 실행하게 되면 시스템은
아래쪽의 암호화 된 이미지를 실행하지 못하고, 위쪽의 "인증, 복호화
모듈"(이하 "인증모듈")을 실행하게 됩니다. 그 이유는 아래 그림의 PE
이미지 구조에 있습니다.
+-------------------------------------+
| 인증, 복호화 모듈의 PE Header |
|--------------------------------------|
| ... |
|=====================|
| 암호화 실행 이미지의 PE Header |
|---------------------------------------|
| ... |
+-------------------------------------+
실행 파일을 소위 더블클릭하게 되면 시스템의 실행파일로더(Loader32)가
파일을 매핑하게 되고 파일의 가장 앞쪽에 위치한 4K 바이트의 PE Header
를 읽게 됩니다. PE Header에는 자신의 실행 파일 이미지에 대한 모든 정
보가 기록되어 있고, 그 정보에는 파일상의 위치와 크기가 포함되므로 위
와 같은 상황에서는 인증모듈만이 실행되는 것입니다.
실행된 인증모듈은 인증 과정을 거치는데 문제가 있을 경우, 개발사의 웹
사이트에 접속하게 됩니다. 접속된 웹사이트에서 사용자는 개발사가 제공
하는인증 과정을 거치게 됩니다.
3. 웹사이트는 ".NET SmartClient" 기반의 "2차 모듈"을 실행합니다.
실행된 2차모듈은 Serial을 가지고 1차 암호화 된 실행파일을
한번 더 암호화 합니다.
4. 성공적인 인증 과정 이후, 사용자가 소프트웨어를 실행하게 되면 자동적으
인증모듈이 실행되게 되고, 실행된 인증모듈은 우선 2차 암호화를 해제 합
니다. 복호화 후에 얻은 Serial값 1차 암호화 된
실행 이미지를 가지고 다음의 작업을 순서적으로 합니다.
a. 사용자 컴퓨터의 MAC Address를 알아내고, Serial을 이용해 DB의
MAC Address값과 비교합니다. 값이 다를 경우, 실행을 중단 합니다.
b. 위의 증 작업에 이상이 없으면 실행 이미지의 1차 암호화를 해제하고
완전히 복호화 된 실행 이미지를 프로세스화하여 실행합니다.
[ 문제점 ]
프로젝트 진행의 가장 큰 문제점은 바로 위 글의 마지막 과정인 4의 b에 있습
니다. 바로, 실행된 인증 모듈과 같은 파일 내에 위치한 암호화 된 실행 이미
지를 보안에 아무런 문제없이 프로세스화 하는 것인데요. 다음의 그림으로 설
명이 가능합니다.
VAS (가상화 영역)
실행파일 +-------------+ 2G
+--------------------+ | |
| 인증, 복호화 모듈 | MMF | |
| -------------------- | ----------> | -------------|
| 암호화 실행 이미지| | 실행 이미지 |
+--------------------+ ----------> | ------------- |
| |
+------ -------+ 0
파일의 앞쪽에 위치한 인증모듈이 실행되어 뒤쪽의 암호화 된 실행 이미지를
가상화 영역에 매핑(MMF:Memory Mapped File) 하는 방법은 기본적으로 제공
되는 WIN32 API로서는 불가능한 일입니다. 실행파일을 프로세스화 해주는 함
수인 "CreateProcess()"는 인자로 파일의 경로를 받기 때문에 이와 같은 경우
에 앞쪽의 암호화 모듈이 다시 실행될 뿐입니다.
이 문제를 해결하기 위해 저희가 할 수 있는 것은 다음과 같습니다.
1. CreateProcess()의 내부 작동을 파악하고, 개입할 수 있는 부분을 찾아서
수정을 가해 로더가 파일의 뒤쪽에 위치한 실행 이미지를 프로세스화 하게
만듭니다.
2. NativeApihooking 사용(ReActOS)
3. CreateProcess()와 동일한 기능을 하지만 파일 경로가 아닌 실행 이미지의
시작 주소로 동작하는 함수를 만듭니다.
위의 방안 중 3번은 저희가 할수 없는 영역으로 이미 간주하였고, 1,2번의 경우
는 다음의 시나리오를 생각하고 있으나 불확실한 요소가 많습니다.
1. 병합된 파일의 경로를 받아 CreateProcess()가 호출됩니다.
2. CreateProcess() 내부에서 실행파일을 매핑하기 위해 함수를 호출합니다.
3. 호출된 함수는 결국 File I/O를 위해 Device Driver에 IRP(I/O Request Pa
cket)을 보내게 되고, 전송된 IRP를 중간에서 가로채기 위해 File Filter
Driver를 작성하게 껴 넣게 됩니다.
4. File Filter Driver로 들어온 IRP의 내용을 분석하고 수정하여 매핑된 파
일의 위치와 크기를 앞쪽의 인증 모듈에서 뒤쪽의 실행 이미지로 수정합니
다.
5. 수정된 주소와 크기로 파일매핑이 이루어 지고, 자연스럽게 인증 모듈이 아
닌 실행 이미지가 실행되게 됩니다.
[ 정리 ]
여기 까지가 저희 프로젝트가 가진 문제이며, 저희가 가진 지식이 너무나 협
소해서 File Filter Driver에 관한 시나리오가 현실적으로 구현 가능한 것인
지에 대한 확신 없이, 3명의 인원이 Device Driver를 공부하고 나머지 4명이
그 외의 것을 공부하고 있습니다. CreateProcess 의 FileMapping내부라도 자세히
알고 싶습니다.
먼저, 저희 프로젝트에 대해서 다시한번 차근 차근 설명해 드릴게요.
프로젝트 인원은 총 7명이고,
기간은 지난 10월 23일 부터 오는 1월 23일 까지입니다.
현재 발표일까지는 10일이 남아있습니다.
주제는 "소프트웨어 보안 솔루션"으로서 다음과 같은 그림을 갖습니다.
2. ( 개발사 )
+-----------+
| 인증 서버 |
+-----------+
1. ( 개발사 ) | 3. ( 웹 )
+-----------------+ | +-----------------+
| 1차 암호화 도구 | | | 2차 암호화 모듈 |
+-----------------+ | +-----------------+
| ㅣ |
| 4. ( 사용자 ) | |
| +--------------------+ |
| | 인증, 복호화 모듈 | |
+--> |----------------------| |
| 암호화 실행 이미지| <----+
+--------------------+
[ 보안 시나리오 ]
1. 개발사에서 "1차 암호화 도구"를 사용하여 개발이 완료된 소프트웨어의
실행파일을 암호화 합니다. 암호화 과정은 다음과 같습니다.
a. 지정된 실행파일을 PE Header를 제외하고 암호화 합니다.
b. 암호화 된 실행파일의 앞쪽에 "인증, 복호화 모듈"을 병합합니다.
즉, 파일 하나가 2개의 실행 이미지를 포함하여 위쪽 그림의 4번과
같은 형태를 띄게 됩니다.
암호화 된 실행파일을 포함하여 개발사는 기존과 동일한 방식으로 소프
트웨어를 패키지화하여 배포합니다.
2. 소프트웨어를 구입한 사용자는 설치과정을 거친 후, 실행을 시도 합니다.
그림의 2번과 같은 형태를 가지는 실행파일을 실행하게 되면 시스템은
아래쪽의 암호화 된 이미지를 실행하지 못하고, 위쪽의 "인증, 복호화
모듈"(이하 "인증모듈")을 실행하게 됩니다. 그 이유는 아래 그림의 PE
이미지 구조에 있습니다.
+-------------------------------------+
| 인증, 복호화 모듈의 PE Header |
|--------------------------------------|
| ... |
|=====================|
| 암호화 실행 이미지의 PE Header |
|---------------------------------------|
| ... |
+-------------------------------------+
실행 파일을 소위 더블클릭하게 되면 시스템의 실행파일로더(Loader32)가
파일을 매핑하게 되고 파일의 가장 앞쪽에 위치한 4K 바이트의 PE Header
를 읽게 됩니다. PE Header에는 자신의 실행 파일 이미지에 대한 모든 정
보가 기록되어 있고, 그 정보에는 파일상의 위치와 크기가 포함되므로 위
와 같은 상황에서는 인증모듈만이 실행되는 것입니다.
실행된 인증모듈은 인증 과정을 거치는데 문제가 있을 경우, 개발사의 웹
사이트에 접속하게 됩니다. 접속된 웹사이트에서 사용자는 개발사가 제공
하는인증 과정을 거치게 됩니다.
3. 웹사이트는 ".NET SmartClient" 기반의 "2차 모듈"을 실행합니다.
실행된 2차모듈은 Serial을 가지고 1차 암호화 된 실행파일을
한번 더 암호화 합니다.
4. 성공적인 인증 과정 이후, 사용자가 소프트웨어를 실행하게 되면 자동적으
인증모듈이 실행되게 되고, 실행된 인증모듈은 우선 2차 암호화를 해제 합
니다. 복호화 후에 얻은 Serial값 1차 암호화 된
실행 이미지를 가지고 다음의 작업을 순서적으로 합니다.
a. 사용자 컴퓨터의 MAC Address를 알아내고, Serial을 이용해 DB의
MAC Address값과 비교합니다. 값이 다를 경우, 실행을 중단 합니다.
b. 위의 증 작업에 이상이 없으면 실행 이미지의 1차 암호화를 해제하고
완전히 복호화 된 실행 이미지를 프로세스화하여 실행합니다.
[ 문제점 ]
프로젝트 진행의 가장 큰 문제점은 바로 위 글의 마지막 과정인 4의 b에 있습
니다. 바로, 실행된 인증 모듈과 같은 파일 내에 위치한 암호화 된 실행 이미
지를 보안에 아무런 문제없이 프로세스화 하는 것인데요. 다음의 그림으로 설
명이 가능합니다.
VAS (가상화 영역)
실행파일 +-------------+ 2G
+--------------------+ | |
| 인증, 복호화 모듈 | MMF | |
| -------------------- | ----------> | -------------|
| 암호화 실행 이미지| | 실행 이미지 |
+--------------------+ ----------> | ------------- |
| |
+------ -------+ 0
파일의 앞쪽에 위치한 인증모듈이 실행되어 뒤쪽의 암호화 된 실행 이미지를
가상화 영역에 매핑(MMF:Memory Mapped File) 하는 방법은 기본적으로 제공
되는 WIN32 API로서는 불가능한 일입니다. 실행파일을 프로세스화 해주는 함
수인 "CreateProcess()"는 인자로 파일의 경로를 받기 때문에 이와 같은 경우
에 앞쪽의 암호화 모듈이 다시 실행될 뿐입니다.
이 문제를 해결하기 위해 저희가 할 수 있는 것은 다음과 같습니다.
1. CreateProcess()의 내부 작동을 파악하고, 개입할 수 있는 부분을 찾아서
수정을 가해 로더가 파일의 뒤쪽에 위치한 실행 이미지를 프로세스화 하게
만듭니다.
2. NativeApihooking 사용(ReActOS)
3. CreateProcess()와 동일한 기능을 하지만 파일 경로가 아닌 실행 이미지의
시작 주소로 동작하는 함수를 만듭니다.
위의 방안 중 3번은 저희가 할수 없는 영역으로 이미 간주하였고, 1,2번의 경우
는 다음의 시나리오를 생각하고 있으나 불확실한 요소가 많습니다.
1. 병합된 파일의 경로를 받아 CreateProcess()가 호출됩니다.
2. CreateProcess() 내부에서 실행파일을 매핑하기 위해 함수를 호출합니다.
3. 호출된 함수는 결국 File I/O를 위해 Device Driver에 IRP(I/O Request Pa
cket)을 보내게 되고, 전송된 IRP를 중간에서 가로채기 위해 File Filter
Driver를 작성하게 껴 넣게 됩니다.
4. File Filter Driver로 들어온 IRP의 내용을 분석하고 수정하여 매핑된 파
일의 위치와 크기를 앞쪽의 인증 모듈에서 뒤쪽의 실행 이미지로 수정합니
다.
5. 수정된 주소와 크기로 파일매핑이 이루어 지고, 자연스럽게 인증 모듈이 아
닌 실행 이미지가 실행되게 됩니다.
[ 정리 ]
여기 까지가 저희 프로젝트가 가진 문제이며, 저희가 가진 지식이 너무나 협
소해서 File Filter Driver에 관한 시나리오가 현실적으로 구현 가능한 것인
지에 대한 확신 없이, 3명의 인원이 Device Driver를 공부하고 나머지 4명이
그 외의 것을 공부하고 있습니다. CreateProcess 의 FileMapping내부라도 자세히
알고 싶습니다.
0
COMMENTS
(NOTICE) You must be logged in to comment on this post.
-
- 이호진
- 2007.01.18 02:51
- 0 COMMENTS
- /
- 0 LIKES
-
- sulonge
- •
- 2007.01.18 00:24
- 1 COMMENTS
- /
- 0 LIKES
-
Marek•2007.01.18 06:45안녕하세요 TBlock은 TObject형을 소스 상단(type내부)에 아래와 같이 사용자가 정의한 Object이고요 TBl...
-
- 최광희
- •
- 2007.01.17 22:22
- 1 COMMENTS
- /
- 0 LIKES
-
착한천사•2007.01.21 04:04착한천사 김경록입니다.. 흠.. 이건 단지 syntax문제인 것 같네요.. syntax를 어떻게 사용하느냐의 문제...
-
- 신철우
- •
- 2007.01.16 04:01
- 1 COMMENTS
- /
- 0 LIKES
-
이중철•2007.01.16 09:04글쎄요 VC++로 만들어진 프로그램이 MFC42.DLL 없이 동작하는지 궁금하네요 VC++로 작성된 소스를 Stati...
-
- 델초보
- 2007.01.16 02:45
- 0 COMMENTS
- /
- 0 LIKES
-
- 양선호
- •
- 2007.01.16 01:15
- 3 COMMENTS
- /
- 0 LIKES
-
Marek•2007.01.16 22:06서버는 DataSetProvider가 있을 것이고 마이다스를 통해서 Data를 받아 오는 것은 Client의 ClientDataSet...
-
양선호•2007.01.17 02:46Marek 님 답변에 감사 합니다. ^^ 그런데 지금 방식선 그게 안돼는군요.. 마이다스랑 연결을 하는 모...
-
Marek•2007.01.17 18:23Client프로그램에는 ClientDataSet이 없다는 의미인가요? 그러다면 Client모듈에는 어떤 Component를 사용...
-
- 델팡
- •
- 2007.01.15 04:40
- 1 COMMENTS
- /
- 0 LIKES
-
Marek•2007.01.15 21:56컴포년트 설치후 Library에 dcu가 포함된 폴더의 Path를 설정해 주시지 않으신것 같습니다. 상단메뉴중 To...
-
- 별의금화
- 2007.01.15 03:52
- 0 COMMENTS
- /
- 0 LIKES
-
- 황재훈
- •
- 2007.01.13 04:28
- 2 COMMENTS
- /
- 0 LIKES
-
남충희•2007.01.25 10:03외부의 웹브라우저에 연결만되면 될것 같네요. 아래의 소스는 현재 열린 웹브라우저에 접근하는 소스...
-
박성준•2007.01.26 00:09제가 한번해볼려고 아래와 같이 소스코드를 작성했더니 [Error]Unit1.pas [27]: Function needs result ty...
-
- 문준영
- •
- 2007.01.13 01:24
- 1 COMMENTS
- /
- 0 LIKES
-
Marek•2007.01.15 22:35인터넷에 duckbarcode라는 freeware를 사용하시면 code39 뿐만 아니라 Interleaved2of5도 인쇄할 수 있습...
-
- 이강석
- 2007.01.13 01:15
- 0 COMMENTS
- /
- 0 LIKES
-
- 최광희
- 2007.01.12 20:57
- 0 COMMENTS
- /
- 0 LIKES
-
- 장성배
- 2007.01.12 20:09
- 0 COMMENTS
- /
- 0 LIKES
바쁘실텐데 이렇게 도와주셔서 감사합니다. 먼저, 저희 프로젝트에 대해서 다시한번 차근 차근 설명해 드릴게요. 프로젝트 인원은 총 7명이고, 기간은 지난 10월 23일 부터 오는 1월 23일 까지입니다. 현재 발표일까지는 10일이 남아있습...
-
- 박진수
- •
- 2007.01.12 01:16
- •
- 2 COMMENTS
- /
- 0 LIKES
-
최용일•2007.01.17 22:54안녕하세요. 최용일입니다. EnumWindows 쓸 필요없습니다. FindWindow, FindWindowEx, GetDlgItem만 이...
-
박진수•2007.01.23 08:59답변주신것 보고 깨달음을 얻었습니다. 너무 감사합니다. 미약한 소스나마 저같은 사람을 위해 ...
-
- 김완용
- •
- 2007.01.12 00:09
- •
- 1 COMMENTS
- /
- 0 LIKES
-
김완용•2007.02.02 00:03레지스트리 편집기에 가서 HKEY_USERS\S-1-5-21-57989841-1592454029-725345543-1003\Software\Borland\BD...
-
- 최광희
- 2007.01.11 22:40
- 0 COMMENTS
- /
- 0 LIKES
-
- 문의득
- •
- 2007.01.11 21:00
- 1 COMMENTS
- /
- 0 LIKES
-
일그니•2007.01.11 22:01에러코드에는 별다른게 없네요 현상 : ORA-3114 Error( not connected to ORACLE )가 발생 원인 : ORACL...
-
- 박찬민
- •
- 2007.01.11 20:49
- 1 COMMENTS
- /
- 0 LIKES
-
Marek•2007.01.11 22:07안녕하세요. 에러 Exception C000001D은 Delphi error라기 보다는 Windows 또는 CPU error입니다. ...
-
- 문대성
- •
- 2007.01.10 22:47
- 1 COMMENTS
- /
- 0 LIKES
-
문대성•2007.01.11 18:31위 문제는 해답을 찾았습니다. 원인은 BDE 엔진 때문이였습니다. BDE의 속성에 BLOB 사이즈라는 녀석...
-
- 엠피쓰리
- 2007.01.10 19:33
- 0 COMMENTS
- /
- 0 LIKES
