GGunGs.COM

어떤 프로그램 크랙을 위해서 특정 파일을 받아서 실행하고 나서 크랙도 안되고

윈도우 사용중에  불특정하게 계속 블루스크린이 떠서 Crash Dump 파일을 분석했다.

볼것도 없이 GTHOOK.sys 파일의 문제였다.



구글신께 물어보니 루트킷 -_-;; ㅎㄷㄷ

[SSDT HOOK / Hooking]    <\??\C:\WINDOWS\system32\drivers\GTHOOK.sys>

바로 찾아서 삭제하고 레지스트리의 서비스도 지워주니까 바로 정상 작동하였다.

요즘엔 크랙도 조심해서 써야 겠다.

-- 추가 --

이놈의 모체가 있었다. server.exe라는 파일로 Windows방안에 있었다.

무려 RemoteStorage라는 이름으로 서비스를 돌고있었고, 이놈이 계속 GTHOOK.sys를 생성하고 등록하고 있었다.

윈속 DLL을 가지고 어디로 연결을 해서 정보를 다른곳으로 보내는 것 같았다.

192.168.1.2 라는 문자열까지만 확인했는데, 설마 내부망으로 -,.-

Minifilter 드라이버의 유저모드에서 \WINDDK\inc\ddk, \WINDDK\inc\api 를 추가하고도 Fillterxxx 함수를 사용할때 다음의 에러가 발생한다면

error C3861: 'FilterConnectCommunicationPort': 식별자를 찾을 수 없습니다.

stdafx.h 등에 선언되어있는 윈도우 버전 선언을 잘보자.

필터 매니저가 WinXP 서비스팩 2 부터 동작하기 때문에 그보다 높은 버전을 입력하거나 선언부분을 지우면 된다.

fltUser.h에 보면 다음과 같은 부분이 있다.

//

// IMPORTANT!!!!!

//

// This is how FltMgr was released (from oldest to newest)

// xpsp2, (srv03, w2ksp5), LH

//



//

//  The defines items that are part of the filter manager baseline

//



#define FLT_MGR_BASELINE (((OSVER(NTDDI_VERSION) == NTDDI_WIN2K) && (SPVER(NTDDI_VERSION) >= SPVER(NTDDI_WIN2KSP4))) || \

                          ((OSVER(NTDDI_VERSION) == NTDDI_WINXP) && (SPVER(NTDDI_VERSION) >= SPVER(NTDDI_WINXPSP2))) || \

                          ((OSVER(NTDDI_VERSION) == NTDDI_WS03)  && (SPVER(NTDDI_VERSION) >= SPVER(NTDDI_WS03SP1))) || \

                          (NTDDI_VERSION >= NTDDI_VISTA))



//

//  This defines items that were added after XPSP2 was released.  This means

//  they are in Srv03 SP1, W2K SP5, and Longhorn

//



#define FLT_MGR_AFTER_XPSP2 (((OSVER(NTDDI_VERSION) == NTDDI_WIN2K) && (SPVER(NTDDI_VERSION) >= SPVER(NTDDI_WIN2KSP4))) || \

                             ((OSVER(NTDDI_VERSION) == NTDDI_WINXP) && (SPVER(NTDDI_VERSION) >  SPVER(NTDDI_WINXPSP2))) || \

                             ((OSVER(NTDDI_VERSION) == NTDDI_WS03)  && (SPVER(NTDDI_VERSION) >= SPVER(NTDDI_WS03SP1))) || \

                             (NTDDI_VERSION >= NTDDI_VISTA))



//

//  This defines items that only exist in longhorn or later

//



#define FLT_MGR_LONGHORN (NTDDI_VERSION >= NTDDI_VISTA)

예를 들어 WTL 8 에서 생성한 코드에서

#define WINVER  0x0500
#define _WIN32_WINNT 0x0501
#define _WIN32_IE 0x0501
#define _RICHEDIT_VER 0x0200

부분을

#define WINVER  0x600
#define _WIN32_WINNT 0x0601
#define _WIN32_IE 0x0501
#define _RICHEDIT_VER 0x0200

바꾸어 주면된다. 윈도 2000 서비스팩 5에서도 필터매니저가 동작하나 보다.

Minifilter를 사용할때 유저모드 어플리케이션에서 FilterSendMessage로 필터로 메세지를 보내고 받을때

HRESULT
WINAPI
  FilterSendMessage(
    IN HANDLE  hPort,
    IN LPVOID  lpInBuffer OPTIONAL,
    IN DWORD  dwInBufferSize,
    IN OUT LPVOID  lpOutBuffer OPTIONAL,
    IN DWORD  dwOutBufferSize,
    OUT LPDWORD  lpBytesReturned
    ); 

lpInBuffer과 dwInBufferSize를 NULL, 0 으로 잡고 필터에 메세지를 보냈더니 리턴되는 HRESULT 값에 E_INVALIDARG 값으로 에러가 리턴되어 왔다. 분명히 WDK문서를 봐도 NULL이 될수 있다고 하는데 이상하다.

그래서 아무문자나 InBuffer에 입력하고 그 문자열 길이를 dwInBufferSize에 넣어주니 잘 동작한다.

검색해보니 나랑 비슷한 사례가 있다.

https://www.osronline.com/ShowThread.cfm?link=128683

WTL 8.0을 이용해서 개발하는 유저모드 어플리케이션에서 WDK 6001.18001 버전의 헤더파일이 필요해서

C:\WinDDK\6001.18001\inc\ddk 디렉토리를 포함디렉토리에 추가하고 빌드를 하니다음과 같은

오류가 났다.

1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6513) : error C2061: 구문 오류 : 식별자 '__RPC__in'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6516) : error C2061: 구문 오류 : 식별자 '__RPC__deref_out_opt'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6519) : error C2061: 구문 오류 : 식별자 '__RPC__in'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6522) : error C2061: 구문 오류 : 식별자 '__RPC__deref_out_opt'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6525) : error C2061: 구문 오류 : 식별자 '__RPC__in'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6528) : error C2061: 구문 오류 : 식별자 '__RPC__deref_out_opt'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6531) : error C2061: 구문 오류 : 식별자 '__RPC__in'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6534) : error C2061: 구문 오류 : 식별자 '__RPC__deref_out_opt'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6537) : error C2061: 구문 오류 : 식별자 '__RPC__in'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6540) : error C2061: 구문 오류 : 식별자 '__RPC__deref_out_opt'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6543) : error C2061: 구문 오류 : 식별자 '__RPC__in'
1>c:\winddk\6001.18001\inc\ddk\mshtml.h(6543) : fatal error C1003: 오류 수가 100개를 초과했습니다. 컴파일을 중지합니다.

처음에는 mshtml.h에서 문제가 있는거 같아서 삭제를 해보고 수정도 해보고 했는데 좀더 근원적인 문제가 없을까 해서 뒤져봤지만 별 소득이 없었다. 그런중에 이것저것 시행착오를 거치다가

C:\WinDDK\6001.18001\inc\api 디렉토리를 포함디렉토리에 추가했더니 오류가 사라졌다.

원본 : http://www.themssforum.com/Drivers/File-System-104809/

Will not work on x64 Vista/2008, also note that NtReadFile hook will not catch
paging IO.
- Maxim Shatskih, Windows DDK MVP

Using a SSDT hook driver for this is incredibly irresponsible. First as Max
pointed out, it will not work for X64, and it will not catch paging I/O.
Also, getting these right is harder than one thinks, and is likely to
destabilize the system. Also, the driver will immediately be flagged as
MALWARE. Following such a path for file operations that are easily
catchable with approved ways, is beyond stupid.
- Don Burn (MVP, Windows DDK)

This can be done with a mini-filter and Microsoft provides one FileSpy that
meets most of the OP's needs. Get the WDK and take a look.

I don't think SSDT hook driver look like malware. Too many HIPS
software are using this technology.
Mini-filter driver maybe is the best way to done this case.

And some not all of these are special cased in the MALWARE detection.
Bottom lime is you cannot hook and unhook safely and it is a damaging
practice that hopefully Microsoft will block in 32 bit someday as well as 64
bit.

결국은 미니 필터 드라이버, WDK에 새로 추가된 미니필터 드라이버를 공부해 보도록 해야겠다.

자료가 별로 없는게 단점이지만 WDK에 minifilter예제들이 있으므로 그걸참고로 해야할듯 -ㅁ-;

Adobe AIR가 SQLite및 File 함수를 지원하지만 정작 파일 실행은 하지 못한다.
예제로 배우는 Flex3 책에는 AIRConnect라는 AIR와 MFC를 연동한 부분이 있지만, 그 프로그램은 같은 파일을 반복적으로 쓰고,
또 검사해야하야 하기때문에, 빠른 응답을 기대할 수 없어서 소켓을 이용하여 Win32 어플리케이션과 통신을 하는 방법을 이용했다.

서버가 Socket Accepct를 하는 부분은 다음과 같다.

Win32

while(true) {

	//접속을 기다림

	hClntSock = accept(hServSock,(SOCKADDR*)&clntAddr,&clntAddrSize);

	if(hClntSock == INVALID_SOCKET) {

		MessageBox(m_hWnd,"ACCEPT 에러.","에러",NULL);

	}

	

	memset(message,0,BUFSIZE);

	

	// 클라이언트와 통신

	while((strLen = recv(hClntSock,message,BUFSIZE,0)) != 0) {

		int rs = (int)ShellExecute(NULL, "open", message, 

			NULL,NULL, SW_SHOW);

		sprintf_s(retMsg, "%d", rs);

		send(hClntSock,retMsg,3,0);

	}

	closesocket(hClntSock);

}

여기서는 AIR에서 파일명을 던지면, Win32어플리케이션에서 무조건 실행을 시키도록 했다.
전체 파일은 첨부파일을 참고면 된다.
Win32 어플리케이션 (여기서는 WTL이용) 에서 서버소켓을 생성하고 AIR에서 이제 이벤트가 발생할때마다 Win32어플리케이션으로 통지를 한다.

AIR

var socket:Socket = new flash.net.Socket();

socket.addEventListener(Event.CONNECT, function(event:Event) :void  {

	socket.writeMultiByte(temp.label,"euc-kr");

	socket.flush();

});

	

socket.addEventListener(IOErrorEvent.IO_ERROR, 

function(event:Event) : void {

	mx.controls.Alert.show(event.toString());

	socket.close();

});

	

socket.addEventListener(ProgressEvent.SOCKET_DATA, 

function(event:ProgressEvent) : void {

	var str:String = socket.readMultiByte(3, "euc-kr");

	if(int(str) < 32) {

		mx.controls.Alert.show("파일 실행 에러 입니다. 에러 : " + str);

	}

	socket.close();

});

	

socket.connect("127.0.0.1",8000);

AIR 에서는 소켓으로 로컬로 접속하여 메세지를 보내고 결과값을 받는다. 여기서는 ShellExecute의 리턴값을 받는다.
에러처리를 AIR에서 하기위해서 이다. ( ShellExecute가 32보다 작은값을 리턴하면 에러이다. )

readMultiByte 일반 MultiByte String을 읽어와서 UTF-8로 변경해서 리턴한다. 이함수는 읽어올 데이터의 길이를 정해주어야 하는데, 틀릴경우 익셉션이 발생하므로 미리 프로토콜을 지정하는 것이 좋다.

ZwDeleteFIle(NtDeleteFile) 이라는 함수가 있어서 파일 삭제가 될때 이 ZwDeleteFile이라는 함수가 불리어 질것이라고 예상을 하여 ZwDeleteFIle함수를 후킹하였으나 DbgPrint로 뿌리니 아무런 반응이 없어서, 인터넷을 찾는 도중 원인을 알아냈다.

http://www.rohitab.com/discuss/index.php?showtopic=29037

This should be interesting for you(Windows Nt/2000 Native Api Reference By Gary Nebbett):
"There are alternative methods of deleting a file, and the Win32 DeleteFile function uses ZwSetInformationFile with a FileInformationClass of
FileDispositionInformation."

간단하게 말해서 Win32의 파일 삭제 함수는 ZwSetInformation으로 FileInformationClass 정보가 FileDispostionInformation면 삭제되는 것이다.

대략적으로 소스코드를 보면

NTSTATUS NewZwSetInformationFile(
	IN HANDLE  FileHandle,
	OUT PIO_STATUS_BLOCK  IoStatusBlock,
	IN PVOID  FileInformation,
	IN ULONG  Length,
	IN FILE_INFORMATION_CLASS  FileInformationClass
)
{
	NTSTATUS rc;

	rc = ((ZWSETINFORMATIONFILE)(OldZwSetInformationFile)) (
		FileHandle,
		IoStatusBlock,
		FileInformation,
		Length,
		FileInformationClass
	);
	
	if(FileInformationClass == FileDispositionInformation) {
		DbgPrint("Deleted File");

	}
	return rc;
}

이렇게 처리하면 된다.

WTL 설치

1. http://wtl.sf.net 에 가서 WTL최신버전인 8.0을 받아서, 압축을 푼다.

2. WTL 방의 AppWiz의 setup80.js 파일을 수정한다. 8.0 이라고 되어있는 부분을 모두 9.0으로 바꾼다.
2. http://scarletblue.net/78 에 수정된 setup90.js 가 있음 참고

3. setup80.js 를 실행하여 AppWizard를 설치한다.

4. WTL설치디렉토리의 include방을 Visual Studio C++ 디렉토리 환경에 추가한다.


5. AppWizard가 설치되어 마법사를 이용항 WTL 프로젝트를 생성할 수 있다.

WTL Helper 설치

WTL 개발시에 없어서는 안될(?) 아주 유용한 WTL Helper 를 설치해본다. VS 2005에서는 SP1 패치가 필요했다.

2008에서는 소스를 수정해서 재 컴파일을 하는 방법이 코드프로젝트에 올라왔지만, 누군가가 패치를 한 DLL을 올려놓아서
편하게 가능하다.

http://wmdevelopers.blogspot.com/2008/07/installing-wtl-helper-in-vs-2008.html 에 방법이 있다.

기존의 WTL Helper 실행파일을 받아서 인스톨 한후에 WtlHelper9.dll을 저기서 다운받은후 regsvr32를 통해 등록해 주는 방법이다.

WTL 관련 자료

WTL Document
http://www.viksoe.dk/code/wtldoc.htm

강좌
http://jacking75.cafe24.com/WTL/Index.htm

http://hanburn.tistory.com/3

하지만...

WtlWiz(Visual Studio에서 WTL Wizard 확장) 이 2008용이 없어서 WtlHelper의 모든 기능을 쓸 수 없다.

단적으로 다이얼로그에서 컨트롤에대한 이벤트를 바로 지정해 넣을 수가 없다.

그래서 결국 2005를 깔고 프로그래밍 중이다.

WDK 파일 받기

https://connect.microsoft.com 에 회원 가입후에

연결 디렉터리 에서 개발도구에 Windows Driver Kit (WDK), Windows Logo Kit (WLK) and Windows Driver Framework (WDF) 를 찾는다.

Windows Driver Kit (WDK), Windows Logo Kit (WLK) and Windows Driver Framework (WDF) 가입 후에 다운로드 받으면 된다.


WDK 와 Visual Studio 2008 연동

http://blog.naver.com/process3.do?Redirect=Log&logNo=20035804966


Visual Studio 2008에서 WDK IntelliSense 활성화 하기

http://blog.naver.com/process3.do?Redirect=Log&logNo=20050455898

간단한 웹사이트를 만들 일이 있어서 Ruby on Rails 에 대한 감각도 익힐 겸해서 CakePHP를 써서 프로그래밍을 하게 되었다.

다른 프레임워크와 마찬가지로 CakePHP역시 초기에 학습시간이 든다.
처음 Scaffolding을 써보고 CRUD를 바로 보여주는 것에 깜짝 놀랐다.

bake(make + baker(cake를 만드는) 인 듯) 를 이용하면 간단하게 DB에 맞는 Model, View, Controller를 각각 생성할 수 있으며, Model관계 Validation 등 다양한 옵션으로 각각을 생성 할 수 있다.
나 역시 예전에 프레임워크들에 대해서 많이 생각하고 직접 PHP에 관련된 데이터 처리 부분에 관해서 고심을 하였으나, CakePHP를 써보고 아 이거구나 하고 번뜩 느끼게 되었다.

테이블간 연관을 맺는것도 매우쉬위서 bake를 통하면 대부분다 적용가능하고 MVC로 분리 되어잇기때문에, 각 요소가 바뀌더라도 서로 영향을 부는 부분이 적다.

더욱더 많은 자료는 cakePHP공식 홈페이지에 가면 많다.
그리고 한국 포럼도 있고, 개발 가이드를 한글로 번역을 해놓으신 고마운 분들이 있다.