[MIP-2] [EventMon] Windows 2003 x64에서는 ExtMirr 이벤트를 후킹하지 못함

Owned by 양희덕
Last updated: 2015/11/16
1 min read

Subject
[EventMon] Windows 2003 x64에서는 ExtMirr 이벤트를 후킹하지 못함

APPLIES TO:
Windows 2003 x64
MCCS 3.1


SYMPTOMS
ExtMirr의 이벤트를 훅킹하지 못함.
다른 로그는 후킹함.


CAUSE

DK 에서 event log를 남길때 로그의 message 내용 text는 C:\Windows\system32\drivers\ExtMirr.sys 에서 얻어온다.
이것을 load 하기 위해
HMODULE hParameterModule = ::LoadLibraryEx(ParamModulePath, 0, LOAD_LIBRARY_AS_DATAFILE); // MCCSKEY-261
을 호출하는데 이것의 실패하여 HMODULE 값을 구하지를 못한다.
이것은 x64 에서 drivers의 경로들이 system32가 아닌 SysWOW64로 Redirection 되어 있기 때문이다.
따라서 C:\Windows\system32\drivers\ExtMirr.sys 이라고 명시적으로 경로를 주어도 C:\Windows\SysWOW64\drivers\ExtMirr.sys 를 찾기 때문이다.
현재 DataKeeper 7.0.2를 Windows 2003 x64에서 설치시에는 C:\Windows\SysWOW64\drivers\ 경로에 ExtMirr.sys가 존재 하지 않는다.
이것을 해결하기 위해서는 Wow64DisableWow64FsRedirection() 으로 redirection 기능을 중단한 후 하면 가능하다.
windows 2008 x64에서는 여지껏 이 문제가 보고 되지 않았는데 테스트 해봐야 겠다."


SOLUTION

Fixed MCCS 3.2