Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (seongtaejeong at gmail.com)
홈페이지
첨부 파일
 

(시리즈 글이 5개 있습니다.)
디버깅 기술: 28. Windbg - 윈도우 핸들 테이블
; https://www.sysnet.pe.kr/2/0/935

디버깅 기술: 55. Windbg - 윈도우 핸들 테이블 (2)
; https://www.sysnet.pe.kr/2/0/1476

디버깅 기술: 151. Windows 10 - Process Explorer로 확인한 Handle 정보를 windbg에서 조회
; https://www.sysnet.pe.kr/2/0/12099

디버깅 기술: 168. windbg - 필터 드라이버 확인하는 확장 명령어(!fltkd)
; https://www.sysnet.pe.kr/2/0/12283

디버깅 기술: 204. Windbg - 윈도우 핸들 테이블 (3) - Windows 10 이상인 경우
; https://www.sysnet.pe.kr/2/0/13837




Windbg - 윈도우 핸들 테이블 (3) - Windows 10 이상인 경우

예전에는,

Windbg - 윈도우 핸들 테이블
; https://www.sysnet.pe.kr/2/0/935

Handle 테이블의 주소와, 그로부터 Handle 정보를 windbg를 통해 알아내는 것이 가능했는데요, 어느 순간 Handle 테이블에 있는 값의 Object Address 주소가 인코딩되기 시작해,

Windbg - 윈도우 핸들 테이블 (2)
; https://www.sysnet.pe.kr/2/0/1476

보이지 않게 되다가, (정확히 어떤 버전인지는 알 수 없으나, 적어도) Windows 10 22H2 이상부터는 Handle 테이블의 주소도 모호해졌습니다. 다시 한번 정리하는 의미로 한번 알아볼까요? ^^




자, 우선 원하는 프로세스를 하나 선정하고,

// Windows 10 x64 (10.0.19045)에서 Local Kernel Debug로 실행 + notepad.exe 하나 띄워 놓고!

lkd> !process 0 0 notepad.exe
PROCESS ffffd282e5c43080
    SessionId: 2  Cid: 1c60    Peb: b36d554000  ParentCid: 1438
    DirBase: 159851000  ObjectTable: ffffe00425998040  HandleCount: 255.
    Image: notepad.exe

결과에 나온 ObjectTable 주소를 덤프해 보면,

lkd> dt _HANDLE_TABLE ffffe00425998040
nt!_HANDLE_TABLE
   +0x000 NextHandleNeedingPool : 0x800
   +0x004 ExtraInfoPages   : 0n0
   +0x008 TableCode        : 0xffffe004`24cf9001
   +0x010 QuotaProcess     : 0xffffd282`e5c43080 _EPROCESS
   +0x018 HandleTableList  : _LIST_ENTRY [ 0xffffe004`23876318 - 0xffffe004`275b52d8 ]
   +0x028 UniqueProcessId  : 0x1c60
   +0x02c Flags            : 0
   +0x02c StrictFIFO       : 0y0
   +0x02c EnableHandleExceptions : 0y0
   +0x02c Rundown          : 0y0
   +0x02c Duplicated       : 0y0
   +0x02c RaiseUMExceptionOnInvalidHandleClose : 0y0
   +0x030 HandleContentionEvent : _EX_PUSH_LOCK
   +0x038 HandleTableLock  : _EX_PUSH_LOCK
   +0x040 FreeLists        : [1] _HANDLE_TABLE_FREE_LIST
   +0x040 ActualEntry      : [32]  ""
   +0x060 DebugInfo        : (null) 

원래는 TableCode의 주소가 Handle 테이블의 주소였는데, 뭔가 값이 이상합니다. 눈치채셨나요? ^^ 끝에 1이 붙어 있는 것인데요, 일반적인 정렬로 볼 수 없습니다.

그런데, 왠지 ^^ 저건 뭔가 offset은 아니고 flag 비슷한 값으로 쓰이는 듯하다는 느낌이 듭니다. 따라서 그냥 1을 절삭해 출력해 보면,

lkd> dq 0xffffe004`24cf9000 L4
ffffe004`24cf9000  ffffe004`253ff000 ffffe004`201ff000
ffffe004`24cf9010  00000000`00000000 00000000`00000000

만약 저게 Handle 테이블이었다면 첫 번째 16바이트가 0으로 채워졌어야만 하는데 예상치 않게 저런 값이 나왔습니다. 그렇다면 혹시 ffffe004`253ff000 값이 Handle 테이블이 아닐까요? ^^

lkd> dq ffffe004`253ff000
ffffe004`253ff000  00000000`00000000 00000000`00000000
ffffe004`253ff010  d282e5f8`0630fffb 00000000`001f0003
ffffe004`253ff020  d282e5f8`07b0fff9 00000000`001f0003
ffffe004`253ff030  d282e51a`d440fffb 00000000`00000001
ffffe004`253ff040  d282e620`b890ffd9 00000000`001f0003
ffffe004`253ff050  d282e4c6`8530ff8f 00000000`000f00ff
ffffe004`253ff060  d282e62e`01a0fffb 00000000`00100002
ffffe004`253ff070  d282e51a`e210fffb 00000000`00000001

오호~~~ 첫 번째 16바이트가 0이므로, 왠지 이번에는 제대로 들어온 것 같습니다. 그렇다면 저게 정말 올바른 핸들 테이블인지 비교를 위해 "Process Explorer"를 실행해 저 notepad.exe의 Handle을 조회했더니 다음과 같은 값이 나옵니다.

Handle     Object Address     Access
0x00000034 0xFFFFE00418928B00 0x00000003
0x00000040 0xFFFFD282E6273AF0 0x00100020
...[생략]...

보는 바와 같이 0x34, 0x40에 해당하는 Handle의 Access 정보가 나오는데요, 이것을 windbg에서 조회해 보면,

lkd> dq ffffe004`253ff000 + (0x34 / 4 * 0x10) L2
ffffe004`253ff0d0  e0041892`8ad0ffa3 00000000`00000003

lkd> dq ffffe004`253ff000 + (0x40 / 4 * 0x10) L2
ffffe004`253ff100  d282e627`3ac0fffb 00000000`00100020

정확히 일치합니다. ^^ 물론 우연일 수 있지만 다른 것들을 조회해 봐도 일치하는 것으로 봐서 일단 Handle 테이블의 위치는 저런 식으로 (현재는) 구할 수 있습니다.




물론 여전히 Object Address의 값은 인코딩돼 있어 구할 수 없습니다. 가령 Process Explorer에서 0x34 핸들의 주소가 0xFFFFE00418928B00인데, windbg의 출력은 e0041892`8ad0ffa3으로 나옵니다.

대신, 그냥 !handle 명령어를 사용해 구하는 것이 현재로서는 가장 편리할 것 같습니다. ^^

// _EPROCESS == ffffca88d229e080인 프로세스의 0x34 핸들을 조회

lkd> !handle 0x34 1 ffffca88d229e080

// 또는 현재 문맥이 동일하다면 _EPROCESS 생략 가능 
// .process /p ffffca88d229e080
// 로컬 커널 디버깅이 아닌 라이브 디버깅이라면 .process /i ffffca88d229e080

PROCESS ffffca88d229e080
    SessionId: 2  Cid: 1c30    Peb: e16ccdf000  ParentCid: 1438
    DirBase: 5e25f000  ObjectTable: ffffe004275b52c0  HandleCount: 290.
    Image: windbg.exe

Handle table at ffffe004275b52c0 with 290 entries in use

0034: Object: ffffe00418928b00  GrantedAccess: 00000003 (Protected) (Audit)

보는 바와 같이 Process Explorer의 값과 정확히 일치합니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]







[최초 등록일: ]
[최종 수정일: 12/3/2024]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13863정성태1/14/2025325Linux: 113. Linux - 프로세스를 위한 전용 SELinux 보안 문맥 지정
13862정성태1/13/2025233Linux: 112. Linux - 데몬을 위한 SELinux 보안 정책 설정
13861정성태1/11/2025672Windows: 276. 명령행에서 원격 서비스를 동기/비동기로 시작/중지
13860정성태1/10/2025740디버깅 기술: 216. WinDbg - 2가지 유형의 식 평가 방법(MASM, C++)
13859정성태1/9/2025820디버깅 기술: 215. Windbg - syscall 이후 실행되는 KiSystemCall64 함수 및 SSDT 디버깅
13858정성태1/8/2025854개발 환경 구성: 738. PowerShell - 원격 호출 시 "powershell.exe"가 아닌 "pwsh.exe" 환경으로 명령어를 실행하는 방법
13857정성태1/7/2025872C/C++: 187. Golang - 콘솔 응용 프로그램을 Linux 데몬 서비스를 지원하도록 변경파일 다운로드1
13856정성태1/6/2025923디버깅 기술: 214. Windbg - syscall 단계까지의 Win32 API 호출 (예: Sleep)
13855정성태12/28/20241440오류 유형: 941. Golang - os.StartProcess() 사용 시 오류 정리
13854정성태12/27/20241421C/C++: 186. Golang - 콘솔 응용 프로그램을 NT 서비스를 지원하도록 변경파일 다운로드1
13853정성태12/26/20241657디버깅 기술: 213. Windbg - swapgs 명령어와 (Ring 0 커널 모드의) FS, GS Segment 레지스터
13852정성태12/25/20241603디버깅 기술: 212. Windbg - (Ring 3 사용자 모드의) FS, GS Segment 레지스터파일 다운로드1
13851정성태12/23/20241515디버깅 기술: 211. Windbg - 커널 모드 디버깅 상태에서 사용자 프로그램을 디버깅하는 방법
13850정성태12/23/20241546오류 유형: 940. "Application Information" 서비스를 중지한 경우, "This file does not have an app associated with it for performing this action."
13849정성태12/20/20241562디버깅 기술: 210. Windbg - 논리(가상) 주소를 Segmentation을 거쳐 선형 주소로 변경
13848정성태12/18/20241797디버깅 기술: 209. Windbg로 알아보는 Prototype PTE파일 다운로드2
13847정성태12/18/20241699오류 유형: 939. golang - 빌드 시 "unknown directive: toolchain" 오류 빌드 시 이런 오류가 발생한다면?
13846정성태12/17/20241789디버깅 기술: 208. Windbg로 알아보는 Trans/Soft PTE와 2가지 Page Fault 유형파일 다운로드1
13845정성태12/16/20241985디버깅 기술: 207. Windbg로 알아보는 PTE (_MMPTE)
13844정성태12/14/20241860디버깅 기술: 206. Windbg로 알아보는 PFN (_MMPFN)파일 다운로드1
13843정성태12/13/20241877오류 유형: 938. Docker container 내에서 빌드 시 error MSB3021: Unable to copy file "..." to "...". Access to the path '...' is denied.
13842정성태12/12/20242306디버깅 기술: 205. Windbg - KPCR, KPRCB
13841정성태12/11/20242245오류 유형: 937. error MSB4044: The "ValidateValidArchitecture" task was not given a value for the required parameter "RemoteTarget"
13840정성태12/11/20242064오류 유형: 936. msbuild - Your project file doesn't list 'win' as a "RuntimeIdentifier"
13839정성태12/11/20242018오류 유형: 936. msbuild - error CS1617: Invalid option '12.0' for /langversion. Use '/langversion:?' to list supported values.
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...