Microsoft Windows/커널_{(r1 문단 편집)}

=== 커널 패치 보호 (Kernel Patch Protection) ===
[[Windows XP]] Professional x64 Edition와 이를 기반으로 한 [[Windows Server 2003]] x64[* 사실 Windows XP 64비트 에디션은 Windows Server 2003 x64의 커널을 갖다 썼다. 그래서 커널 버전이 Windows Server 2003와 동일하게 나온 이유도 이것 때문이다.]부터 적용된 보안 기능이다. 비공식적으로는 '''패치가드(PatchGuard)'''라고 부른다.

KPP는 커널 모드에서 동작하는 드라이버가 커널의 주요 부분을 수정하면 이를 감지하고 블루스크린을 일으킨다. 오류 코드는 CRITICAL_STRUCTURE_CORRUPTION(0x00000109)이다. KPP가 검사하는 대표적인 항목들은 다음과 같다.

* SSDT(시스템 서비스 서술자 테이블)
 * IDT(인터럽트 서술자 테이블)
 * GDT(전역 서술자 테이블)
 * 커널 자신(ntoskrnl.exe) 또는 HAL(Hardward Abstraction Layer), win32k.sys 수정 등등...

위와 같이 KPP는 많은 검사를 수행한다. 즉 커널의 내부 코드는 전부 KPP의 보호에 들어간다고 보면 된다. 물론 드라이버도 커널 모드에서 작동하므로 KPP를 무력화시킬수도 있다. 하지만 마이크로소프트는 보안 패치를 통해 KPP 무력화나 우회 수단을 지속적으로 막는 중이다. 실제로 디어셈블리를 해보면 KPP의 기능이 매우 복잡하게 설계되어 있는 것을 볼 수 있다. 이는 KPP 분석을 어렵게 만드는 요인으로 작용하고 있다.

32비트 Windows에는 KPP가 없어서 드라이버가 커널의 내부 코드를 패치할 수 있었다. 하지만 [[Windows 11]]부터는 64비트만 지원되기에 사실상 KPP를 비활성화시킬 수 있는 방법은 사라졌다.

KPP로 인해 윈도우 64비트에서는 몇몇 기능을 사용할 수 없게 됐다. 대표적으로는 시스템 콜 후킹으로 안티 바이러스 제작사들은 시스템 콜 테이블을 수정하는 방법으로 실시간 감시 기능을 구현했었는데 KPP로 인해 불가능해졌다. 대신 마이크로소프트 DDK 문서에서 제공하는 콜백 API를 이용하여 실시간 감시를 구현하고 있다. (ObRegisterCallbacks)[* 이러한 이유로 64비트 Windows 사용자가 적었던 [[2000년대]]까지는 64비트 Windows를 지원하지 않는 백신 프로그램들이 많았다.]

요약

문서 편집을 저장하면 당신은 기여한 내용을 CC BY-NC-SA 2.0 KR 또는 기타 라이선스 (문서에 명시된 경우) 로 배포하고 기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다. 이 동의는 철회할 수 없습니다.

비로그인 상태로 편집합니다. 로그인하지 않은 상태로 문서 편집을 저장하면, 편집 역사에 본인이 사용하는 IP(216.73.216.107) 주소 전체가 영구히 기록됩니다.

Microsoft Windows/커널(r1 문단 편집)

Microsoft Windows/커널_{(r1 문단 편집)}