윈도우NT Version 6 이상의 커널부터 UAC가 도입되었고, 이때부터 모든 실행파일은 실행할 때 권한체크를 거치게 된다.

일반적으로 EXE파일이 실행될 때 요구되는 권한은 3가지가 존재한다.

asInvoker : Parent Process의 토큰을 그대로 따라간다. 빌드할 때 기본적으로 설정되어져 있는 UAC Manifest 값이다. 보통 일반적인 어플리케이션의 평범한 실행을 할때 요구되는 권한이다.

highestAvailable : 현재 로그인 된 유저의 권한을 따라간다. 예를 들어 현재 로그인 된 유저가 슈퍼관리자라면, 슈퍼관리자의 권한으로 실행하고, 일반 사용자라면 일반 사용자의 권한으로 실행한다.

requireAdministrator : 실행되기 위해서는 무조건 관리자 권한이 필요하다.

오늘 삽질을 좀 하다가, asInvoker UAC Manifest를 가진 프로세스에서 requireAdministrator UAC Manifest를 가진 프로세스를 실행을 해보려고 했다.

CreateProcess를 이용해서 실행하려고 했는데 실패하면서 GetLastError로  에러코드 740을 내뱉는다.

에러코드 740의 내용을 참조해보았더니 다음과 같았다.

권한 상승이 필요하단다.

생각을 해보니 asInvoker 권한만을 가진 프로세스가 requireAdmin 권한을 필요로 하는 프로세스를 정상적으로 실행시키는것이 말이 안되었다. 졸개가 왕에게 명령하는꼴 아닌가?

그런데 어디선가 찾아보니 CreateProcess 대신에 Shell API인 ShellExecute를 사용해서 실행시키면 된다고 한다.

그래서 코드를 좀 고쳤다.

실행을 해보니 asInvoker.exe에서 requireAdmin.exe 프로세스를 정상적으로 실행할 수 있었다.

물론 ShellExecute를 이용해서다.

 이때 권한 상태를 보니 아래와 같았다.

 asInvoker.exe는  Elevated 되지 않은 상태이다.

requireAdmin.exe는  Elevated 된 상태이다.

Non-elevated Process에서 실행을 하는데, 자식이 Elevated 될수가 있단 말인가? OS자체에서 그냥 권한을 띄워주는건가?

부모 자식 관계를 살펴보니 아래와 같았다.

ShellAPI로 실행했기 때문에, 부모 자식 관계가 없을줄 알았는데 requireAdmin은 asInvoker의 자식 관계로 생성되었다.

ShellExecute는 내부적으로 어떻게 구현되어져 있길래, 이러한 실행이 가능해지는거지?

ShellAPI에 대해서 좀 조사해봐야 될것 같다.

 얼마전, 윈도우8 RTM이 MSDN/TechNet을 통해서 배포가 되어서, 설치를 해보았다. 

나의 첫번째 관심사는 시스템콜의 추가/삭제 여부였는지라, ntoskrnl.exe의 Export Table을 바로 까보았다.

시스템콜을 변경 유무를 살펴만 봐도, 해당 OS가 어떤 부분을 중점으로 개발이 진행되었는지, 유추정도는 할수 있으리라 생각했기 때문이다. 또한 커널 드라이버 개발때도 이러한 API들이 있구나, 하고 약간은 도움이 될것으로 생각된다.

* 아래 비교는  

Windows 8 Enterprise x64  <> Windows 7 Ultimate SP1 x64 

간의 비교임을 알려드립니다.

Removed System Calls on Windows 8 x64

Executive

ExUpdateLicenseData

I/O Manager

IoSetOplockKeyContext (Existed on Windows 8 x86)

Kernel Core

KeUpdateSystemTime

Process and Threads

PsSetJobUIRestrictionsClass

Transaction Manager

TmpIsKTMCommitCoordinator

Added System Calls on Windows 8 x64

Background Manager (?) (Can be related to BSOD?)

BgkDisplayCharacter

BgkGetConsoleState

BgkGetCursorState

BgkSetCursor

Cache Control

CcAddDirtyPagesToExternalCache

CcCopyReadEx

CcCopyWriteEx

CcDeductDirtyPagesFromExternalCache

CcFlushCacheToLsn

CcIsThereDirtyLoggedPages

CcRegisterExternalCache

CcScheduleReadAheadEx

CcSetAdditionalCacheAttributesEx

CcSetLogHandleForFileEx

CcSetLoggedDataThreshold

CcSetReadAheadGranularityEx

CcUnmapFileOffsetFromSystemCache

CcUnregisterExternalCache

CcZeroDataOnDisk

Configuration Manager

CmCallbackGetKeyObjectIDEx

CmCallbackReleaseKeyObjectIDEx

Executive

ExBlockOnAddressPushLock

ExBlockPushLock

ExCompositionSurfaceObjectType

ExGetFirmwareEnvironmentVariable

ExNotifyBootDeviceRemoval

ExQueryFastCacheAppOrigin

ExQueryFastCacheDevLicense

ExQueryTimerResolution

ExQueryWnfStateData

ExRealTimeIsUniversal

ExRegisterBootDevice

ExSetFirmwareEnvironmentVariable

ExSubscribeWnfStateChange

ExTimedWaitForUnblockPushLock

ExTryQueueWorkItem

ExUnsubscribeWnfStateChange

ExWaitForUnblockPushLock

File System

FsRtlAcquireEofLock

FsRtlAcquireHeaderMutex

FsRtlAreThereWaitingFileLocks

FsRtlCheckLockForOplockRequest

FsRtlDismountComplete

FsRtlGetFileNameInformation

FsRtlGetIoAtEof

FsRtlGetSectorSizeInformation

FsRtlGetSupportedFeatures

FsRtlInitializeEofLock

FsRtlIsSystemPagingFile

FsRtlIssueDeviceIoControl

FsRtlKernelFsControlFile

FsRtlMdlReadEx

FsRtlPrepareMdlWriteEx

FsRtlPrepareToReuseEcp

FsRtlQueryCachedVdl

FsRtlQueryKernelEaFile

FsRtlReleaseEofLock

FsRtlReleaseFileNameInformation

FsRtlReleaseHeaderMutex

FsRtlSetKernelEaFile

FsRtlTryToAcquireHeaderMutex

FsRtlUpdateDiskCounters

HyperVisor Library (?)

HvlGetLpIndexFromApicId

HvlPerformEndOfInterrupt

HvlQueryActiveHypervisorProcessorCount

HvlQueryActiveProcessors

HvlQueryHypervisorProcessorNodeNumber

HvlQueryProcessorTopology

HvlQueryProcessorTopologyCount

HvlQueryProcessorTopologyHighestId

HvlRegisterInterruptCallback

HvlRegisterWheaErrorNotification

HvlUnregisterInterruptCallback

HvlUnregisterWheaErrorNotification

BSOD Screen

InbvNotifyDisplayOwnershipChange

I/O Manager

IoBoostThreadIo

IoClearActivityIdThread

IoClearReservedDependency

IoCompletionObjectType

IoCopyDeviceObjectHint

IoCreateStreamFileObjectEx2

IoCreateSystemThread

IoDecrementKeepAliveCount

IoGetActivityIdIrp

IoGetActivityIdThread

IoGetDeviceInterfacePropertyData

IoGetInitiatorProcess

IoGetOplockKeyContextEx

IoIncrementKeepAliveCount

IoInitializeMiniCompletionPacket

IoIsActivityTracingEnabled

IoIsInitiator32bitProcess

IoIsValidIrpStatus

IoPropagateActivityIdToThread

IoQueueWorkItemToNode

IoRegisterBootDriverCallback

IoRegisterIoTracking

IoReportInterruptActive

IoReportInterruptInactive

IoReserveDependency

IoResolveDependency

IoSetActivityIdIrp

IoSetActivityIdThread

IoSetDeviceInterfacePropertyData

IoSetMasterIrpStatus

IoSynchronousCallDriver

IoTransferActivityId

IoTryQueueWorkItem

IoUnregisterBootDriverCallback

IoUnregisterIoTracking

IoVolumeDeviceToGuid

IoVolumeDeviceToGuidPath

Kernel Debugger

KdLogDbgPrint

Kernel Core

KeDispatchSecondaryInterrupt

KeForceEnableNx

KeGetNextTimerExpirationDueTime

KeHwPolicyLocateResource

KeInitializeSecondaryInterruptServices

KeInitializeSpinLock (Not existed on Windows 8 x86)

KeLoadMTRR

KeQueryEffectivePriorityThread

KeQueryInterruptTimePrecise

KeQuerySystemTimePrecise

KeQueryTotalCycleTimeThread

KeStallWhileFrozen

KeSweepLocalCaches

KeUpdateTime

KeUpdateTimeAssist

KeWriteProtectPAT

Unknown prefix

KseQueryDeviceData

KseQueryDeviceDataList

KseQueryDeviceFlags

KseRegisterShim

KseRegisterShimEx

KseSetDeviceFlags

KseUnregisterShim

Memory Manager

MmAllocateContiguousNodeMemory

MmAllocateMdlForIoSpace

MmAllocateNodePagesForMdlEx

MmAreMdlPagesCached

MmGetMaximumFileSectionSize

MmIsDriverSuspectForVerifier

MmMapViewInSessionSpaceEx

MmMapViewInSystemSpaceEx

MmMdlPageContentsState

MmPrefetchVirtualAddresses

NT System Calls (NT prefix)

NtSetCachedSigningLevel

NtSetInformationVirtualMemory

Object Manager

ObDuplicateObject

ObReferenceObjectSafe

ObReferenceObjectSafeWithTag

ObWaitForMultipleObjects

ObWaitForSingleObject

Power Manager

PoAllProcessorsDeepIdle

PoFxActivateComponent

PoFxCompleteDevicePowerNotRequired

PoFxCompleteIdleCondition

PoFxCompleteIdleState

PoFxIdleComponent

PoFxNotifySurprisePowerOn

PoFxPowerControl

PoFxProcessorNotification

PoFxRegisterCoreDevice

PoFxRegisterDevice

PoFxRegisterPlugin

PoFxRegisterPluginEx

PoFxRegisterPrimaryDevice

PoFxReportDevicePoweredOn

PoFxSetComponentLatency

PoFxSetComponentResidency

PoFxSetComponentWake

PoFxSetDeviceIdleTimeout

PoFxStartDevicePowerManagement

PoFxUnregisterDevice

PoGetProcessorIdleAccounting

PoInitiateProcessorWake

PoLatencySensitivityHint

PoNotifyDisableDynamicTick

PoNotifyVSyncChange

PoRegisterCoalescingCallback

PoSetUserPresent

PoUnregisterCoalescingCallback

PoUserShutdownCancelled

Process and Threads

PsChargeProcessWakeCounter

PsCreateSystemThreadEx

PsDereferenceKernelStack

PsGetProcessCommonJob

PsGetProcessSignatureLevel

PsGetThreadExitStatus

PsIsDiskCountersEnabled

PsQueryProcessAttributesByToken

PsQueryTotalCycleTimeProcess

PsReferenceKernelStack

PsReleaseProcessWakeCounter

PsUpdateDiskCounters

Runtime Library

RtlAddAtomToAtomTableEx

RtlAddResourceAttributeAce

RtlCheckPortableOperatingSystem

RtlCheckTokenCapability

RtlCheckTokenMembership

RtlCheckTokenMembershipEx

RtlCopyBitMap

RtlCrc32

RtlCrc64

RtlCreateAtomTableEx

RtlCreateHashTableEx

RtlCreateUserThread

RtlCultureNameToLCID

RtlDecompressBufferEx

RtlDeleteElementGenericTableAvlEx

RtlEqualWnfChangeStamps

RtlExtractBitMap

RtlGenerateClass5Guid

RtlGetAppContainerNamedObjectPath

RtlIsUntrustedObject

RtlLCIDToCultureName

RtlNumberOfClearBitsInRange

RtlNumberOfSetBitsInRange

RtlOpenCurrentUser

RtlQueryInformationAcl

RtlQueryPackageIdentity

RtlQueryRegistryValuesEx

RtlQueryValidationRunlevel

RtlRbInsertNodeEx

RtlRbRemoveNode

RtlSetControlSecurityDescriptor

RtlSetPortableOperatingSystem

Security

SeAccessCheckFromStateEx

SeAuditingAnyFileEventsWithContextEx

SeAuditingFileEventsWithContextEx

SeCreateClientSecurityEx

SeCreateClientSecurityFromSubjectContextEx

SeGetLogonSessionToken

SeQuerySecureBootPolicyValue

SeSecurityAttributePresent

SeSystemDefaultSd

SeTokenFromAccessInformation

Transaction Manager

TmRequestOutcomeEnlistment

TmSinglePhaseReject

Windows Hardware Error Architecture

WheaRegisterInUsePageOfflineNotification (Not existed on Windows 8 x86)

WheaUnregisterInUsePageOfflineNotification (Not existed on Windows 8 x86)

NT System Calls (ZW prefix)

ZwAlpcConnectPortEx

ZwCreateWnfStateName

ZwDeleteWnfStateData

ZwDeleteWnfStateName

ZwFlushBuffersFileEx

ZwQuerySystemEnvironmentValueEx

ZwQueryWnfStateData

ZwQueryWnfStateNameInformation

ZwSetCachedSigningLevel

ZwSetInformationKey

ZwSetInformationVirtualMemory

ZwSetSystemEnvironmentValueEx

ZwUnlockVirtualMemory

ZwUpdateWnfStateData

Standard Library

bsearch_s

  근 4달여만에 새로운 주제로 블로깅을 하려니 약간 낯선점이 많다. 그래도 이렇게 블로깅을 하려고 한 이유는 어떤 프로그램의 문제점을 알리기 위해서이다.

  최근 해외에 잠시 여행을 다녀왔는데, 그때도 원격으로 컴퓨터를 컨트롤하기 위해서 컴퓨터를 4일동안 켜두었다. 그런데 한 이틀정도 지나서 컴퓨터에 원격으로 접속을 해보니, 아래와 같은 메시지가 떠 있었다.

"컴퓨터의 메모리가 부족합니다."

참고로 컴퓨터의 사양은 아래와 같다.

CPU : Intel Core i7 2670QM 2.2Ghz (Turbo Boost 3.1Ghz)

RAM : TeamGroup DDR3 1333Mhz 8Gb * 2 = 16Gb

VGA : NVIDIA Geforce GT 540M  GDDR3 2048Mb

O/S : MS Windows 7 SP1 x64

  가만히 생각을 해보니, 필자가 윈도우NT/2000기반의 완전한 32비트 운영체제로 넘어오고나서, "메모리가 부족합니다" 라는 메시지를 본적이 기억에도 없는것 같은데, 몇일전에 이 메시지를 보고야 만것이다. 더군다나, 메모리를 16기가로 업그레이드한지 그리 오래되지 않았는데, 메모리 부족 메시지를 보고야 만것이다!  이 메시지를 처음 보고나서,  메모리가 쪼달리나? 싶어서,  보드만 지원된다면 16Gb메모리를 버리고, 32Gb 메모리를 달고 싶었으나, 샌디브릿지 모바일 플랫폼 최대 지원용량은 16Gb기 때문에 아쉬움이 밀려왔다.(?)

  어쨌든 16Gb Physical Memory 환경에서 아무런 작업도 없는 Idle 상태에서 메모리 부족 메시지가 떴다는것은 분명 어떠한 프로그램에서 메모리 할당 후 해제를 해주지 않아서 이러한 문제가 발생했을 가능성이 높다고 판단해서 얼른 작업관리자를 열어서 확인을 해보았다.

 자! 작업관리자로 가만히 살펴보니, Memory Commit으로 정렬해서 살펴보았지만 크게 메모리 누수라 할만큼 사이즈가 크게 잡힌 프로세스는 보이지 않았다. 그래서 핸들을 기준으로 정렬해보니,  oemmice.exe 라는 녀석이 당당하게도 윈도우NT 커널을 제치고 1등으로 핸들을 잡아먹고 있었다. 지금 이 글을 쓰는 시점에서도 oemmice.exe의 핸들은 2개씩 차곡차곡 쌓이고 있다. 시스템의 메모리는 내가 다 독차지 해버리겠다!!   라고 말하면서 메모리를 다 갉아먹는 벌레같이 보일 정도이다.

( 참고 : 컴퓨터를 이틀동안 켜놓았더니  oemmice.exe가 잡아먹는 핸들의 갯수는 무려 3만2천개였으며, 

Physical Memory 사용량은 99%였음 )

  도저히 저 프로그램이 뭐 길래, 어떤 부분에서 핸들을 오픈하고 닫지않는지를 살펴보기 위해서 Process Hacker를 이용해서 내부를 살펴보았다. 

  핸들 리스트를 살펴보니, 레지스트리 키가 계속 2개씩 오픈되고 있음을 확인할 수 있었다. 현재 프로그램의 흐름상 저것이 닫힐일은 절대 없는것이다. 지금 이 글을 쓰는 시점에도 계속 2개씩 열리고 있다.

 저 핸들이 도대체 뭘 하는것인가, 궁금해서 속성을 살펴보았다.

Reference 카운트도 1임을 보면, 여러곳에서 참조를 해서 사용하고 있는것도 아니다. 즉, 단발성으로 Open - Use - Close 형식으로 작성되어져 있을것이다.

  그럼 이제 저 문자열로 레지스트리 키가 오픈된다는것은 알았으니 , RegOpenKey 또는 RegOpenKeyEx 등의 API로 저 경로의 레지스트리를 오픈할것이기 때문에,  API와 문자열을 바탕으로 프로그램의 속을 훑어보았다.

  위 부분은 SCX-1750 Series라는 키와 SCX-1770F Series 라는 키가 오픈될때 사용되는 루틴이다. 사실 SCX-1750과 SCX-1770F라 두 문자열에서 하나의 서브루틴을 사용하는 형태로 프로그램을 짜면 될텐데, 두 문자열이 각각의 루틴을 가지고 있었다. 어쨌든 루틴을 살펴보면, 앞서 언급한 문자열을 파라메터로 넘기면서 RegOpenKeyExA를 호출하고 있음을 확인할 수 있다. 여기까지는 아주 정상적으로 보였다. RegOpenKeyExA가 성공하면 0x00000000 성공이라는 리턴을 뱉을것이고, TEST EAX,EAX를 거친 뒤, JE 점프문에서 점프를 해서 아래로 실행이 쭉쭉 될것이다. 

이제 JE점프문을 따라가보자.

  잉? 앞서 RegOpenKeyExA를 성공하고 JE점프문을 따라서 그대로 내려왔는데, 또 똑같은 파라메터를 전달하면서 RegOpenKeyExA를 호출하고 있다!  즉, 결과적으로 RegOpenKeyExA가 두번 호출되고나서, 아래에서 RegSetValueExA를 이용해서 원하는 작업을 수행한 뒤, RegCloseKey를 수행해서 핸들을 닫는것이다.

즉 수행 루틴은 다음과 같다.

RegOpenKeyExA   ->  RegOpenKeyExA -> RegSetValueExA -> RegCloseKey

이 루틴은 다음과 같은 두 키를 대상으로 두번씩 반복적으로 진행된다.

HKLM\SOFTWARE\Wow6432Node\Samsung\DigitalImaging\CIPToolbox\Samsung SCX-1750 Series

HKLM\SOFTWARE\Wow6432Node\Samsung\DigitalImaging\CIPToolbox\Samsung SCX-1770F Series

이거 아무리 봐도 개발자가 개발하다가 귀찮아서 Copy & Paste를 했거나, 실수로 못봤을 가능성이 크다.

이 프로그램의 정체가 도대체 뭔가 싶어서 바이너리 정보를 살펴봤더니, 다음과 같았다.

 잉? 삼성 디지털 이미징?  생각해보니, 필자는 현재 삼성 SCX-1490W 라는 잉크젯 복합기를 사용중이다. 그럼 SCX-1490W 프린터를 사용하는 사람은 죄다 이 프로그램이 시스템 메모리에 상주하고 있을텐데, 죄다 이런 현상을 겪고 있는건가?

근데 생각해보니 나는 SCX-1490W 모델을 쓰고있는데,  레지스트리 핸들은 왜 SCX-1750 시리즈와 SCX-1770F 시리즈가 열리고 있는거지? 내가 저 프린터 모델을 쓰고 있는것도 아닌데? 아하! 이 프로그램을 여러 모델에서 돌려쓰고 있을 것이다. 그러면...이 문제는 SCX-1490W만의 문제가 아닌, 여러 프린터 모델에도 해당되는 문제일 것이다.

더 큰 문제는 Oemmice 프로그램이 윈도우 시작시 자동실행되고 있다는점이다.

Oemmice Application이라고 떡하니 이름을 올리고 있다!   그렇다면 윈도우 부팅때부터 야금야금 메모리를 잡아먹을 것이다.

핸들 누수는 심각한 문제로 판단되어져서, 프로그램에 임의로 패치를 해야될 필요가 있다. 

(원래는 삼성에서 개선해줘야 하는 문제이다.)

RegOpenKeyExA 가 두번 호출되는것을, 한번 호출되는 형태로 바꿔주어야 될것이다.

따라서 두번째 호출되는 RegOpenKeyExA는 NOP처리를 해주어야 한다.

결론적으로, 패치할 부분은 아래 두군데 이다. (SCX-1750, SCX-1770F 두군데.)

패치를 수행했더니 핸들 테이블이 아래와 같이 아주 깨끗한 상태임을 확인할 수 있었다.

아래는 패치된 파일이다. (만약을 대비해서 원본파일을 백업해두고 덮어씌울것을 권장한다.)

덮어씌울때는 작업관리자에서 oemmice.exe를 강제종료 시킨 뒤, 파일을 교체하고 다시 실행하면 된다.

oemmice.exe

아울러, 삼성에서도 이 문제를 인지하고 프로그램을 개선해야될것이다.