/
[MIP-2] [EventMon] Windows 2003 x64에서는 ExtMirr 이벤트를 후킹하지 못함

[MIP-2] [EventMon] Windows 2003 x64에서는 ExtMirr 이벤트를 후킹하지 못함

Owned by 양희덕
Last updated: 2015/11/16

Subject
[EventMon] Windows 2003 x64에서는 ExtMirr 이벤트를 후킹하지 못함

APPLIES TO:
Windows 2003 x64
MCCS 3.1


SYMPTOMS
ExtMirr의 이벤트를 훅킹하지 못함.
다른 로그는 후킹함.


CAUSE

DK 에서 event log를 남길때 로그의 message 내용 text는 C:\Windows\system32\drivers\ExtMirr.sys 에서 얻어온다.
이것을 load 하기 위해
HMODULE hParameterModule = ::LoadLibraryEx(ParamModulePath, 0, LOAD_LIBRARY_AS_DATAFILE); // MCCSKEY-261
을 호출하는데 이것의 실패하여 HMODULE 값을 구하지를 못한다.
이것은 x64 에서 drivers의 경로들이 system32가 아닌 SysWOW64로 Redirection 되어 있기 때문이다.
따라서 C:\Windows\system32\drivers\ExtMirr.sys 이라고 명시적으로 경로를 주어도 C:\Windows\SysWOW64\drivers\ExtMirr.sys 를 찾기 때문이다.
현재 DataKeeper 7.0.2를 Windows 2003 x64에서 설치시에는 C:\Windows\SysWOW64\drivers\ 경로에 ExtMirr.sys가 존재 하지 않는다.
이것을 해결하기 위해서는 Wow64DisableWow64FsRedirection() 으로 redirection 기능을 중단한 후 하면 가능하다.
windows 2008 x64에서는 여지껏 이 문제가 보고 되지 않았는데 테스트 해봐야 겠다."


SOLUTION

Fixed MCCS 3.2

 

Related content

[MIP-468] 미러 디스크 활성화 안됨
[MIP-468] 미러 디스크 활성화 안됨
MCCS Service Desk Knowledge Base
More like this
[MIP-328] Windows 2008 R2에서의 네트워크 주소 추가시 서브넷 마스크 초기값 변경안되는 문제
[MIP-328] Windows 2008 R2에서의 네트워크 주소 추가시 서브넷 마스크 초기값 변경안되는 문제
MCCS Service Desk Knowledge Base
More like this
[MIP-334] XP SP3에서 evtmon.dll이 설치 안되면서 MCCS Agent 가 시작되지 않는 버그
[MIP-334] XP SP3에서 evtmon.dll이 설치 안되면서 MCCS Agent 가 시작되지 않는 버그
MCCS Service Desk Knowledge Base
More like this
[MIP-174] MCCS 삭제 실패 후 복구 방안
[MIP-174] MCCS 삭제 실패 후 복구 방안
MCCS Service Desk Knowledge Base
More like this
[MIP-261] procmgr 경로 찾기 오류
[MIP-261] procmgr 경로 찾기 오류
MCCS Service Desk Knowledge Base
More like this
[MSP-139] 복합응용 모니터 스크립트 실행시 간헐적으로 알 수 없는 모니터링 결과값을 받음(ret = 0x255)
[MSP-139] 복합응용 모니터 스크립트 실행시 간헐적으로 알 수 없는 모니터링 결과값을 받음(ret = 0x255)
MCCS Service Desk Knowledge Base
More like this