2. Direct Kernel Object Manipulation(DKOM)_유저모드 프로세스에서 디바이스 드라이버로의 통신

IOCTL(I/O Control Code) 값은 IRP_MJ_DEVICE_CONTROL 또는 IRP_MJ_INTERNAL_DEVICE_CONTROL_IRP를 통해 전달된다.

일반적인 IOCTL은 다음과 같은 헤더 파일에 정의된다.

// ioctlcmd.h // 유저모드 코드와 드라이버 코드는 모두 이 헤더 파일을 임포트해서 사용한다. #define FILE_DEV_DRV 0x00002a7b // 유저 모드 프로세스와 드라이버가 같이 사용할 IOCTL 정의 // 유저 모드 프로세스는 DeviceIOControl() 함수를 이용해서 IOCTL을 드라이버에게 전달한다. #define IOCTL_DRV_INIT (ULONG) CTL_CODE(FILE_DEV_DRV, 0x01, METHOD_BUFFERED, FILE_WRITE_ACCESS) #define IOCTL_DRV_VER (ULONG) CTL_CODE(FILE_DEV_DRV, 0x01, METHOD_BUFFERED, FILE_WRITE_ACCESS) #define IOCTL_TRANSFER_TYPE (_iocontrol) (_iocontrol & 0x3)

위 코드에서 IOCTL_DRV_INIT, IOCTL_DRV_VER을 보면 METHOD_BUFFERED 전달 방식을 이용하는데 이 방식은 I/O 매니저가 유저 스택에서 커널 스택으로 전달할 데이터를 복사한다.

다음은 드라이버에 대한 핸들을 구하고, 유저 모드 코드가 초기화를 수행하도록 명령하는 IOCTL을 드라이버에게 전달하는 코드이다.

#include <windows.h> #include <stdio.h> #include <string.h> #include <winioctl.h> #include "fu.h" #include "..\SYS\ioctlcmd.h" int main(void) { gh_Device = INVALID_HANDLE_VALUE; //루트킷 드라이버 핸들 // 이곳에서 드라이버의 핸들을 구한다 if(!DeviceIoControl (gh_Device, IOCTL_DRV_INIT, NULL, 0, NULL, 0, &d_bytesRead, NULL)) { fprintf(stderrm, "Error Initializing Driver. \n"); } }

다음 코드의 rootkitDispatch는 유저모드 프로그램이 DeviceIoControl 함수를 이용해 드라이버로 IOCTL을 전달했을 때 발생하는

const WCHAR deviceLinkBuffer[] = L"\\DosDevices\\msdirectx"; const WCHAR deviceNameBuffer[] = L"\\Device\\msdirectx"; NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS ntStatus; UNICODE_STRING deviceNameUnicodeString; UNICODE_STRING deviceLinkUnicodeString; // 디바이스 오브젝트의 이름과 심볼릭 링크를 세팅한다. RtlInitUnicodeString (&deviceNameUnicodeString, deviceNameBuffer); RtlInitUnicodeString (&deviceLinkUnicodeString, deviceLinkBuffer); // 디바이스를 생성한다. ntStatus = IoCreateDevice ( DriverObject, 0, // 드라이버 익스텐션 &deviceNameUnicodeString, // 디바이스 이름 FILE_DEV_DRV, 0, TRUE, &g_RootkitDevice); if(! NT_SUCCESS(ntStatus)) { DebugPrint(("Failed to create device!\n")); return ntStatus; } // 심볼릭 링크를 생성한다. ntStatus = IoCreateSymbolicLink (&deviceLinkUnicodeString, &deviceNameUnicodeString ); if(! NT_SUCCESS(ntStatus)) { IoDeleteDevice (DriverObject -> DeviceObject); DebugPrint("Failed to create symbolic link!\n"); return ntStatus; } // IRP_MJ_Device_CONTRL을 처리하기 위한 IRP 핸들러 함수 주소를 세팅 DriverObject->MajorFunction[IRP_MJ_Device_CONTRL] = RootkitDispatch; ... }

이 부분에 대해서는 간단하게 코드만 확인하고 , DKOM을 은닉하는 법에 대해서 알아보도록 하겠다.

더 자세한 내용은 '루트킷 윈도우 커널 조작의 미학'을 참조 하도록 하세요.