Systems Internals 뉴스레터 1권, 1호
1999년 4월 14일 - 이번 호에서:
SYSTEMS INTERNALS의 새로운 소식
- Windows 9x용 볼륨 ID
- EFSD 덤프
- Compaq Alpha용 ListDLL
- "부팅 프로세스 내부, 2부"
- 나의 4월 Windows NT Magazine 기사
- 정당하게 출처를 밝히지 않음
- 별로 새롭지 않은 것들
내부 뉴스
- Win2K 드라이버 검증 도구
- Boot.ini 사용한 Y2K 테스트
향후 예정 사항
- Win2K의 대기 중인 스핀 잠금
- Tokenmon
스폰서: WINTERNALS 소프트웨어
Systems Internals 뉴스레터는 Winternals Software가 후원하며 웹(http://www.winternals.com.)에서 제공됩니다. Winternals Software는 Windows NT/2K용 고급 시스템 도구의 선도적인 개발업체이자 제공업체입니다. Winternals 소프트웨어 제품에는 Windows NT 4.0용 FAT32, ERD Commander(Windows NT용 부팅 디스크 기능) 및 NTRecover가 포함됩니다.
여러분, 안녕하세요.
Systems Internals 뉴스레터의 첫 번째 기사에 오신 것을 환영합니다. 제 뉴스레터가 약 일주일 전에 발표된 이후 이미 1000명의 구독자를 확보했다고 말하게 되어 기쁩니다.
뉴스레터에서 제 목표는 Systems Internals에 나오는 새로운 유틸리티와 기사에 대한 정보를 적시에 제공하고 Systems Internals 웹 사이트에 적절한 포럼이 없는 Windows 내부에 대한 정보를 제공하는 것입니다. 뉴스레터에 대한 의견이나 제안 사항이 있으면 mark@....로 연락하여 저에게 알려주세요. 또한 뉴스레터에 관심이 있는 사람에게 뉴스레터를 전달해 주세요. 구독, 구독 취소 또는 구독 수정에 대한 지침은 뉴스레터 끝에 제공됩니다.
감사합니다!
-Mark
SYSTEMS INTERNALS의 새로운 소식
WINDOWS 9X용 볼륨 ID
Windows NT 및 Windows 9x에서는 "label" 명령을 사용하여 논리 드라이브 또는 플로피 디스크의 레이블을 변경할 수 있지만 드라이브를 포맷할 때 임의로 할당하는 볼륨 ID를 변경할 수 있는 방법은 제공하지 않습니다. Systems Internals 사이트에서 1년 넘게 Windows NT용으로 제공되었던 VolumeID 프로그램이 이제 막 Windows 9x로 포팅되었습니다. 이 애플릿을 사용하면 하드 드라이브와 플로피 디스크의 볼륨 ID를 원하는 대로 변경할 수 있습니다.
VolumeID는 애플리케이션이 파일 시스템을 우회하여 논리 드라이브와 Win9x의 물리적 드라이브(플로피 디스크)를 직접 읽고 쓸 수 있도록 하는 API를 사용합니다. Windows NT/2K에서 VolumeID는 일반 ReadFile 및 WriteFile을 사용하여 원시 드라이브 데이터에 액세스합니다. 요령은 액세스하려는 볼륨의 이름을 지정하는 방법에 있습니다. Microsoft 기술 자료 문서 Q100027에서 Windows NT/2K의 애플리케이션에서 물리적 또는 논리적 드라이브에 액세스하는 방법을 찾을 수 있습니다. 논리 드라이브에 대한 Windows 9x 액세스의 경우 Microsoft 기술 자료 문서 Q174569에 제공된 예제 코드를 기반으로 코드를 작성할 수 있습니다. Windows 9x의 애플리케이션에서 직접 플로피 드라이브 액세스를 수행해야 하는 경우 MSDN에 문서화되어 있는 Win32 IOCTL VWIN32_DIOC_DOS_INT13을 사용하세요.
http://www.sysinternals.com/misc.htm.에서 VolumeID 다운로드
EFSDUMP
Windows 2000은 Microsoft의 기본 제공 파일 암호화 기술인 Encrypting File System의 데뷔 버전이 될 것입니다. EFS에는 암호화된 파일에 액세스할 수 있도록 등록된 사용자와 해당 파일에 대한 복구 에이전트로 등록된 사용자를 확인할 수 있는 QueryUsersOnEncryptedFile을 포함하여 암호화된 파일을 조작하기 위한 여러 가지 새로운 API가 제공됩니다. 저는 시스템에서 암호화된 파일에 대한 이 정보를 쉽게 볼 수 있는 EFSDump라는 작은 프로그램을 작성했습니다.
EFS API에 대해 이야기하는 동안 4월의 MSDN에 문서화되지 않은 새로운 API가 많이 있습니다. 이는 Windows 2000 릴리스 주기의 후반 단계에서 매우 혼란스러운 일입니다. 특히 OpenEncryptedFileRaw, ReadFileEncryptedRaw, WriteFileEncryptedRaw 및 CloseEncryptedFileRaw(모두 Win2K의 ADVAPI32.DLL에서 내보냄)는 모두 현재 문서화되지 않았습니다. 암호화된 파일을 백업하고자 하는 모든 애플리케이션에서 이러한 API를 사용해야 합니다. 즉, Microsoft가 해당 API에 대한 정보를 선별된 파트너에게만 전달하거나 백업 소프트웨어 회사가 결국 공개 문서화할 때 제품을 공개하기 위해 안간힘을 써야 합니다. 한 가지 확실한 것은 Windows 2000의 NTBACKUP 프로그램 개발자가 이미 API 문서에 액세스할 수 있다는 것입니다. Win2K 베타 3의 NTBACKUP은 API를 적극적으로 사용하고 있습니다.
EFS internals에 관심이 있다면 Windows NT Magazine의 "NT 내부" 칼럼에서 EFS에 대한 6월/7월 2부작 시리즈를 확인하세요. 이 기사에서는 FEK(파일 암호화 키)와 사용자 EFS 키가 저장되는 위치, NTFS, EFS 드라이버 및 LSASRV(Local Security Authority Subsystem Server)에서 암호화 프로세스가 수행되는 방법 및 암호 해독이 작동하는 방법에 대해 설명합니다.
http://www.sysinternals.com/misc.htm.에서 전체 소스 코드가 포함된 EFSDump 다운로드
COMPAQ ALPHA용 ListDLL
Systems Internals의 Alpha에서 사용할 수 있는 유틸리티의 수는 계속 증가하고 있습니다. 가장 최근에 추가된 것은 실행 중인 프로세스에 대한 DLL 정보를 볼 수 있는 명령줄 유틸리티인 ListDLLs입니다. My HandleEx 도구를 사용하면 이 정보뿐만 아니라 프로세스가 열린 핸들(파일, 프로세스, 스레드, 동기화 개체)에 대한 정보도 볼 수 있지만 HandleEx는 GUI 도구이므로 항상 편리한 것은 아닙니다(예: 배치 파일 내에서 실행할 수 없음).
일반적인 Systems Internals 유틸리티의 x86 버전과 해당 알파 버전의 다운로드 비율이 궁금하십니까? 약 20:1로, 설치된 Alpha NT 사용자 기반의 업계 추정치를 전체 NT 시장의 5%로 면밀히 추적합니다.
http://www.sysinternals.com/alpha.htm.에서 ListDLL 및 HandleEx를 포함한 기타 Alpha 포트를 다운로드할 수 있습니다.
"부팅 프로세스 내부, 2부"
Windows NT Magazine의 1월 "NT Internals" 칼럼은 이제 Windows NT Magazine 웹 사이트를 통해 온라인으로 볼 수 있습니다. Systems Internals의 Publications 페이지에서 Part 1 및 이전 "NT Internals" 열과 이에 대한 링크를 찾을 수 있습니다. http://www.sysinternals.com/publ.htm.
MY APRIL WINDOWS NT 잡지 기사
또한 Windows NT Magazine 4월호 "Linux and the Enterprise"에 실린 특집 기사도 꼭 읽어 보세요. 저는 Linux 2.2 커널 및 네트워크 서버 애플리케이션("엔터프라이즈" 애플리케이션)과 관련하여 궁극적으로 이 버전의 Linux 커널이 성능 면에서 NT 및 기타 UNIX 변종과 정면으로 경쟁하는 것을 방지할 몇 가지 중요한 문제를 밝힙니다.
정당하게 출처를 밝히지 않음
이와 관련하여 최근에 출시된 D.H. Brown(분석 회사)이 엔터프라이즈 운영 체제로서의 Linux 기능에 대해 들어본 적이 있을 것입니다. 이 보고서의 작성자는 지난 1월 누군가가 Linux 커널 Usenet 뉴스 그룹에 공개적으로 게시한 제 이메일에서 많은 부분을 "차용"한 것으로 밝혀졌습니다. 보고서에 액세스하여 Linux 및 멀티프로세서에 대한 페이지(44 및 45)를 읽고(보고서를 공개적으로 사용할 수 없음 - 상당한 금액에 구입해야 함), Deja News에서 제 이메일을 읽으시면 작은 세부 사항까지 바로 유사한 내용을 볼 수 있습니다.
별로 새롭지 않은 것들
저는 뉴스레터의 이 섹션을 사용하여 귀하가 알지 못하는 Systems Internals 사이트의 최근 변경 내용을 알리거나 사이트에서 제공되는 것보다 유틸리티에 대한 자세한 정보를 제공합니다. 예를 들어 몇 주 전에 Filemon v4.1을 출시했습니다. Filemon의 이 버전은 Windows NT/2K에서 명명된 파이프와 메일 슬롯 활동을 모두 모니터링할 수 있습니다. Named Pipes 및 Mailslots가 파일 시스템 드라이버로 구현되기 때문에 이를 지원하는 데 필요한 코드의 향상은 상대적으로 미미했습니다. 어려운 부분(지루한)은 Filemon이 표시할 수 있도록 이러한 특수 파일 시스템이 지원하는 개인 IOCTL(I/O 제어 명령)을 파악하는 것이었습니다. http://www.sysinternals.com/filemon.htm.에서 Filemon(Windows NT/2K 및 Windows 9x에서 작동)을 다운로드할 수 있습니다.
Filemon이 내부적으로 작동하는 방식에 대해 자세히 알아보려면 "Inside NT Utilities"라는 제목의 2월 Windows NT Magazine "NT Internals" 칼럼을 참조하세요. 이 문서에서는 Filemon, Regmon, NTFSDOS, NewSID 및 HandleEx를 사용하는 방법을 설명하고 작동 방식에 대해 조금 알려줍니다.
INTERNALS 뉴스
WINDOWS 2000 드라이버 검증 도구
Windows 2000 베타 3에서는 드라이버 검증 도구라는 매우 강력한 디바이스 드라이버 개발 지원을 도입하고 있습니다. 이 도구는 커널의 코드와 함께 작동하여 이전에는 불가능했던 방식으로 드라이버를 제어하고 커널 모드 규칙을 준수하도록 실행합니다. 버그가 있는 장치 드라이버는 NT가 불안정한 운영 체제라는 많은 사람들의 평판에 가장 크게 기여했으며, 이 도구는 드라이버 작성자가 사용자보다 먼저 버그를 찾도록 도와줌으로써 그러한 평판을 복구하는 것을 목표로 합니다.
여러 유형의 미묘한 문제는 일상적인 운전자 테스트(긴박한 시장 출시 기간 제약 하에서 수행되는 가장 일반적인 유형의 테스트)를 통과할 수 있으며, 심각한 스트레스 테스트를 통과할 수도 있습니다. 일반적인 드라이버 문제의 한 유형은 "상승된 IRQL"(높은 인터럽트 우선 순위)에서 페이징된 메모리에 액세스하는 드라이버입니다. 드라이버가 액세스하는 메모리가 액세스 시점에 물리적으로 존재하는 경우(페이징 파일로 페이징되지 않은 경우) 불법 액세스가 검색되지 않습니다. 이 규칙을 위반하는 드라이버를 야생의 사용자에게 공개하면 블루 스크린 충돌이 발생합니다.
일반적인 드라이버 프로그래밍 오류의 또 다른 유형은 개발자가 페이징 및/또는 비페이징 메모리를 항상 사용할 수 있다는 가정하에 코드를 작성하는 것입니다. 즉, 할당에 대한 반환 값을 확인하지 않습니다. 풀이 부족하고 드라이버가 NULL 버퍼 주소를 받으면 드라이버는 시스템을 블루 스크린으로 역참조합니다. 풀 소진은 드문 경우지만 시스템 관리자에게 블루 스크린을 제공해야 하는 것은 아닙니다. 관련 메모리 버그는 드라이버가 할당한 버퍼 외부에서 읽거나 쓰는 버퍼 오버런 또는 언더런입니다.
드라이버 검증 도구는 드라이버가 로드될 때 드라이버(예: KeRaiseIrql, KeAcquireSpinLock)의 IRQL을 조작하는 모든 함수에 대한 호출을 해당하는 검증 커널 함수(VerifierKeRaiseIrql, VerifierKeAcquireSpinLock)로 대체하여 IRQL 문제를 해결합니다. IRQL이 DISPATCH_LEVEL 이상으로 올라갈 때마다 검증 도구 코드는 내부 메모리 관리자 함수인 MmTrimAllPageableSystemMemory()을(를) 호출하여 물리적 메모리에서 모든 페이징된 데이터를 강제로 제거합니다. 따라서 드라이버가 페이징 가능한 데이터 또는 DISPATCH_LEVEL 이상의 코드에 액세스하지 않는 IRQL 규칙을 위반하는 순간 메모리 관리자는 존재하지 않는 페이지에 액세스하려는 시도를 검색하고 블루 스크린을 발생시킵니다. 이를 통해 개발자는 충돌을 디버깅하고 드라이버가 결함 스택에 있는 것을 볼 수 있으므로 드라이버가 문 밖으로 나가기 전에 이러한 유형의 버그를 신속하게 잡을 수 있습니다.
드라이버 검증 도구는 드라이버가 표준 커널 버전 대신 확인자 메모리 기능을 호출하도록 확인할 드라이버의 가져오기 테이블을 패치하여 메모리 사용 테스트를 수행합니다. 예를 들어 ExAllocatePool에 대한 호출은 VerifierAllocatePool에 대한 호출로 대체됩니다. 검증 도구는 개발자가 메모리 버그를 신속하게 찾는 데 도움이 되는 두 가지 기술을 사용합니다. 첫 번째는 가드 페이지(가드 페이지는 유효하지 않은 페이지임)가 버퍼 끝 바로 뒤에 배치되는 특수 메모리 풀을 사용한다는 것입니다. 또한 버퍼가 할당된 페이지 중 버퍼보다 앞선 부분은 서명으로 채워집니다. 버퍼 끝을 넘어 페이지 내에 있는 오버런은 가드 페이지에서 잘못된 페이지 오류를 발생시키므로 즉시 검색됩니다. 서명이 변경되기 때문에 드라이버가 메모리 할당을 해제할 때 버퍼 앞의 데이터 수정과 관련된 언더런이 검증 도구에 의해 검색됩니다.
비어 있지 않은 풀을 항상 기대하는 드라이버는 "메모리 오류 주입"을 사용하여 검증 도구에 의해 크래시를 생성하도록 속일 것입니다. 드라이버의 풀 할당에 무작위로 실패하도록 검증 도구를 구성할 수 있습니다.
IRP(I/O 요청 패킷) 일관성, 시스템 및 드라이버 코드 페이지의 읽기 전용 보호를 포함하여 드라이버 검증 도구가 확인하는 몇 가지 다른 오류 유형이 있습니다.
장치 드라이버 개발자인 경우 검증 도구를 테스트하면 자신, 회사 및 NT 커뮤니티에 도움이 될 것입니다. 드라이버 검증 도구에 액세스하는 즉시 Win2K와 호환되는 NT 4.0 드라이버도 테스트해야 합니다(대부분의 개발자는 4월 말 또는 5월에 MSDN의 Win2K 베타 3 배송과 함께 이 드라이버를 받게 됩니다).
자세한 내용은 드라이버 검증 도구를 참조하세요.
BOOT.INI를 사용한 Y2K 테스트
Systems Internals 웹 사이트를 자주 확인한다면 문서화되지 않은 새로운 Win2K BOOT.INI 스위치인 /YEAR를 이미 알고 있을 것입니다. 스위치가 NT 4.0 서비스 팩 4에서도 지원된다고 웹 사이트에서 언급하지 않았습니다. 이 스위치를 사용하면 NT와 NT 시스템의 모든 소프트웨어가 다른 연도라고 생각하도록 속일 수 있습니다. 예를 들어 /YEAR=2001은 시스템이 1999년이 아닌 2001년으로 인식하게 합니다. 따라서 이 스위치는 모든 수준의 소프트웨어에서 Y2K 문제를 테스트하는 데 이상적이며 BIOS 시계를 수동으로 재설정하는 대신(예: 시계 애플릿을 통해) 스위치를 사용하는 이점은 변경이 일시적이며 다음 경우에만 활성화된다는 것입니다. BOOT.INI 줄에 스위치가 있는 설치로 부팅합니다. 이렇게 하면 BOOT.INI에서 기존 부트 라인을 가져와서 복제하고 /YEAR 스위치를 추가하는 것만으로 특별한 Y2K 설치를 쉽게 만들 수 있습니다.
향후 예정 사항
몇 주 후에 다음 뉴스레터를 기대하세요. 다음에 제공할 내부 정보는 Windows 2000이 전역 스핀락에 사용하는 새로운 유형의 스핀 잠금인 대기 중인 스핀 잠금에 대한 것입니다. 다음은 Windows 2000에 존재하는 글로벌 스핀 잠금입니다.
- KiDispatcherLock: 스케줄러 데이터베이스 잠금
- KiContext-SwapLock: 트레드 스왑 잠금
- MmPfnLock: 물리적 페이지 프레임 데이터베이스 잠금
- MmSystemSpaceLock: 커널 모드 주소 공간 잠금
- CcMasterSpinLock: 캐시 관리자의 글로벌 스핀 잠금
- CcVacbSpinLock: 캐쉬 관리 프로그램의 매핑 배열 잠금
Windows 2000 커널은 NT 4.0처럼 이러한 전역 잠금에 일반 커널 스핀 잠금(KeAcquireSpinLock, KeReleaseSpinLock)을 사용하는 대신 대기 중인 스핀 잠금(KeAcquireQueuedSpinLock, KeReleaseQueuedSpinLock)을 사용합니다. 이러한 잠금에는 SMP에서 버스 활동을 최소화하는 몇 가지 흥미로운 속성이 있습니다. 다음 시간에는 queued spinlock이 어떻게 구현되는지 알려드리겠습니다.
Systems Internals에서 곧 출시될 Tokenmon은 또 다른 모니터링 도구입니다. Tokenmon은 로그인, 로그아웃, 권한 사용 및 가장을 포함하여 시스템의 모든 토큰 관련 활동에 대한 자세한 정보를 표시합니다.
Systems Internals 뉴스레터를 읽어 주셔서 감사합니다.
발행일: 1999년 4월 14일 수요일 오후 7:16 by ottoh