개발

컴퓨터는 숫자를 저장할때 우리들이 사용하는 10진수(decimal)을 사용하지 않는다. true- false의 반복인 0 1 0 1 1 1 1 0 1 1 1 0 0 이런식으로 저장을 한다. Binary , 즉, 2진수이다. 그렇다면 9.6875라는 수는 어떻게 저장할까? 일단 보면, 정규 표현(normalized form)이 존재한다. 32비트 중에 가장 최상위 왼쪽 비트(MSB)는 부호 비트이다. 1로 세트 되어 있으면 음수이고, […]

디바이스 드라이버를 공부하면서 가장 어려운 것이 있다. “왜 이런 구조이지? 왜 기존의 프로그램 구조랑 다르지?” 제약도 많이 존재한다. BSOD의 압박, 기본적인 드라이버를 작성할때 조건이 몇가지 있다. 일단은 DriverEntry() 가 존재해야한다. DriverEntry()는 Main() 함수랑 같다. DriverEntry() 안에서 Dispatch 루틴을 작성해야한다. 그리고 Unload() 루틴도 작성해야한다. 등록을 했으면 리소스를 반납해야한다. 그리고 MAKEFILE과 SOURCES 파일이 필요하다. 이렇게 알았으면 코드를

요즘 각종 번역서들이 마음에 안들어서 DDK와 WDK 문서를 보면서 공부를 하고 있다. 영어긴 한데, 거부감없이 보니까 영 거리가 멀진 않은것 같다. 익숙해지면 영어도 늘고 좋겠지,, – _-; 일단 정리해보면, Queuing을 한다. 왜냐? 비동기적으로 처리해야하면 큐에 쌓아놓았다가 처리해야한다. 그러기위해서 Queuing을 해야하는데, 일단 내용을 보면 이렇다. Force Pending I/O Requests The Force Pending I/O Requests option randomly

앞서 말한 동기화 문제 와 StartPacket() 함수 처리 방법을 알아보자, 일단 함수 이름을 보면 디바이스 함수들이 무엇을 하는지 알 수 있다. 간단하게 잘라서 보면, Io 로 시작하는것은 I/O Manager가 관리하는 함수이다. 그리고 Ke 는 Kernel Execute 이다. 이렇게 보면 함수 이름은 어절 그대로 해석하면, 정확한 답을 얻을 수 있다. 동기화 문제가 디바이스 커널 단에서는 더욱

이때까지 WDM 드라이버만 공부하다가 갑자기 legacy 드라이버쪽으로 방향을 틀었습니다. 이유인 즉슨, WDM은 Filesystem Driver와 그다지 큰 상관이 없다는것, 젠장입니다. 아무튼 파일시스템 책을 뒤져가면서 공부를 하고 있는데,, 일단 FAT에 대해서 알아보면, FAT는 File Allocation Table로서 리눅스에서 사용하고 있습니다. 윈도우즈는 NTFS죠, FAT12는 12비트 클러스터 식별자를 사용하여 한 파티션은 최대 212(4,096)개의 클러스터를 가질 수 있습니다. Windows 2000은 512바이트에서

스핀 락은 참 오묘한 문제이다. 하지만 알고 보면 간단한 로직으로 해결할 수 있다!!  일단 동기화 문제에 직면하게 되면, ( 멀티 프로세서 ) 우리가 익히 알고 있는 세마포어(Semaphore)같은 방법을 사용해서 락킹(Locking)을 해야한다. 이것을 제대로 해주지 않는다면 데드락(DeadLock)에 빠지게된다.  데드락은 운영체제때 들었을 것이다. 여러 스레드가 임계영역(Critical Section)에 들어가기 위해서, 경쟁을 할 것이다.  하나의 스레드가 스핀락을 사용하고 있을

DRIVER_OBJECT와 DEVICE_OBJECT 구조체는 중요하다. 두개가 헷갈려 하는 경우도 많은데, 일단 DRIVER_OBJECT는 함수포인터로 구성되어 있다. 나머지 필드는 직접 수정을 하면 안되는 부분도 있다. typedef struct _DRIVER_OBJECT   {      CSHORT Type;      CSHORT Size;      PDEVICE_OBJECT DeviceObject;      ULONG Flags;      PVOID DriverStart;      ULONG DriverSize;      PVOID DriverSection;      PDRIVER_EXTENSION DriverExtension;    

리소스 오브젝트 공부를 하다 보면, APC란게 많이 나온다. 일단 APC_LEVEL이라고, PASSIVE_LEVEL과 DISPATCH_LEVEL 사이에 존재하는 상수값 2의 APC가 존재한다.  그렇다면 APC란게 정확하게 무엇인지 알아보자!!@! APC( Asynchronous Procedure Call )  APC는 스레드를 위한 제어 흐름에 영향을 미칠 수 있는 방법으로, 특정 스레드를 목표로 해야한다. 모든 디바이스 컨텍스트는 실행이 될때 어느 스레드에서 실행이 될지 모른다, 스레드가 생성하고 그

일단 DriverExtension에 대해서 알아보면, typedef struct _DRIVER_EXTENSION   {        PDRIVER_OBJECT DriverObject;        LONG * AddDevice;        ULONG Count;        UNICODE_STRING ServiceKeyName;        PIO_CLIENT_EXTENSION ClientDriverExtension;        PFS_FILTER_CALLBACKS FsFilterCallbacks;   } DRIVER_EXTENSION, *PDRIVER_EXTENSION;   <TEXTAREA class=”cpp” style=”DISPLAY: none” name=code rows=10 cols=60>typedef struct _DRIVER_EXTENSION { PDRIVER_OBJECT DriverObject; LONG *

제일 처음에 책을 읽으면서, 왜 DISPATCH_LEVEL에서 페이징이 불가능할까? 책에서는 모두 당연하다는 듯이 non-paged 메모리에 있어야 한다고 했다. 그리고는 전역변수에 동기화 객체를 선언했다. 참 알쏭달쏭했다. 전역변수 영역이 왜 페이징이 안되는가, 그리고 왜 DISPATCH_LEVEL에서는 페이징이 허용 안되는가? 이제 궁금증이 풀린 것 같다. 다음 코드를 보자. 이병오씨의 “윈도우 파일 시스템” 책에 있는 코드이다. view plaincopy to clipboardprint? //스핀

요즘 영어 공부가 더 재밌는,, 아아,, ㅠ_ㅠ  각설하고,,  C/ C++ 프로그래머나 Device Driver 작성을 하는 프로그래머에게 있어서 운영체제의 메모리 관리는 아주 중요한 부분이다.  뭐 비주얼 베이직이나 C#같은 걸 하는 사람들은 몰라도 상관없다, 충분한 메모리가 확보되면 아무런 문제도 일어나지 않기 때문이다.  그중 Windows 환경에서 프로그래밍을 하는 프로그래머들은 Windows 메모리 관리의 핵심인 가상 메모리와 페이징에 대해서 잘

내가 왜 Lookaside List를 찾고 공부하고 있는 지는 모르겠지만,, 스케쥴표에 할일을 보니, Lookaside List 공부? 라는게 적혀있었다.  흐음, 그제나 저제나 한번 알아볼까나,   일단 Zone 영역을 알아보자, Zone 영역은 Windows NT 3.51 이전 버전에서 고정된 크기의 메모리 할당과 해제를 효율적으로 관리하기 위해서 Windows NT 실행부가 지원하는 구조체 이다.  요약하면, Lookaside List나 Zone 영역은 Microsoft가 메모리

SFilter를 사용하고자 하면, 종류가 다르다. 2000 버전에서 사용하는 SFilter는 정적 로딩이고, XP버전으로 새로나온 SFilter는 동적 로딩도 가능하다. 다들 그냥 Filemon으로 동적 후킹을 하는 경우가 많다. 그것도 좋은 방법 이지만 볼륨관련작업을 하기 위해서는 SFilter도 접근해보는게 좋다. Sfilter에서 드라이버와 통신하기 위해서는 심벌릭 링크를 생성해야한다.   /**           심볼릭 링크를 생성하는 루틴    

폴더를 감추는 방법은 다양하다. 다양하지만 정형화된 방법으로 인해서 더이상 아이디어가 나오지 못하는 형편이다,,큭 일단 XP의 상황에서 IRP_MJ_DIRECTORY_CONTROL의 MAJOR IRP가 날라오면, MINOR로 IRP_MN_QUERY_DIRECTORY이다. 이때 여기에 감추는 루틴을 작성하면 된다. 근데 XP와 VISTA는 사용하는 Class가 다르다는 것이다,, – _-; 삽질끝에 알았는데, XP의 경우 폴더 목록 요청시 Class가 FileBothDirectoryInforamation이고, Vista의 경우에는 FileIdBothDirectoryInformation을 사용하더라,, 췌   NTSTATUS InitializeHiddenFileList()  

Filemon과 SFilter를 예로 들어서 설명하자, 일단 Filemon은 동적 필터 드라이버이다. SFilter와는 다르게 재부팅을 요하는 만큼의 작업은 필요가 없다. 단지 파일의 입출력을 감시할뿐, 이정도의 기능이라면 SDT 후킹을 해서 구현할 수도 있을 것 같다, 하지만 내부적으로 엄청나게 잘짜놨겠지, – _-; 일단 DriverEntry()를 보면 다음과 같은 루틴이 존재한다. 파일 시스템 필터 드라이버를 작성하다보면, Fast I/O에 대해서 많이 보게

요약 loadTOCNode(1, ‘summary’); 다음은 Windows NT 장치 드라이버들을 만들기 위한 정보 입니다. 나타난 정보는 모든 기술에 적용됩니다. 이것은 드라이버 문제를 해결하기 위한 점검 목록으로도 사용될 수 있습니다. 아래에 기술된 정보를 효과적으로 사용하기 위해서 Windows NT 구조에 대한 기본 지식과 일부 장치 드라이버 개발 경험이 필요합니다. 장치 드라이버 개발에 대한 추가 정보를 보시려면 MSDN Professional 멤버쉽을

NTSTATUS    STDCALL   ObOpenObjectByName(     POBJECT_ATTRIBUTES ObjectAttributes,     POBJECT_TYPE ObjectType,     PVOID ParseContext,     KPROCESSOR_MODE AccessMode,     ACCESS_MASK DesiredAccess,     PACCESS_STATE PassedAccessState,     PHANDLE Handle     )   {      UNICODE_STRING RemainingPath;      PVOID Object = NULL;      NTSTATUS Status;        DPRINT(“ObOpenObjectByName()\n”);      

필터 드라이버를 등록할때 레코그나이져(인식기)가 사용된다. 일단 지금 필터를 등록하는데 앞으로 등록되는 VDO보다는 지금 등록되어 있는 VDO에 기존의 필터를 붙이는게 중요하다, 백신을 보면 재부팅을 안하고 필터를 다 붙이는 기술을 지니고 있다. 이것은 OSR에서 만든 레코그나이저를 사용하는 듯한데,, 일단 A사의 V백신 및 N사의 P백신을 보면 필터 드라이버를 붙이는 모습을 볼 수 있다. 기본적으로 디바이스 트리에 FsRec라는 게

What Happened? To understand this bugcheck code, it’s first necessary to understand what a “page fault” is. If you’re not completely sure you understand this concept, read the article So, Exactly What Is A Page Fault here at OSR Online. The Windows Memory Manager reserves pre-defined ranges of kernel virtual address space for specific uses.

Prefix Component ———Cc ——————-Cache manager Cm Configuration manager Ex Executive support routines FsRtl File system driver run-time library Hal Hardware abstraction layer Io I/O manager Ke Kernel Ks Kernel Streaming Lpc Local procedure call Lsa Local security authentication Mm Memory manager Nt Windows system services (most of which are exported as Windows functions) Ob Object