Win 7의 새로운 기능: 콘솔 호스트(ConHost.exe)

오늘은 Windows 7 / Windows Server 2008 R2의 새로운 기능인 콘솔 호스트(ConHost.exe)를 소개하겠습니다.

실제로 일반 사용자이든 기업 관리자이든 일상적인 Windows 응용 프로그램과 운영 및 유지 관리 프로세스에서 콘솔 응용 프로그램을 어느 정도 사용하게 됩니다. 콘솔 응용 프로그램에는 사용자 인터페이스가 없습니다. 명령 프롬프트를 통해 입력 및 출력 작업을 수행해야 합니다(CMD는 DOS가 아니므로 많은 사람들이 혼동합니다).

그럼 생각해 봅시다. Windows에는 어떤 콘솔 응용 프로그램이 함께 제공됩니까?

실제로 가장 일반적인 것에는 cmd.exe, nslookup.exe 및 telnet.exe가 포함됩니다.

이전 버전의 Windows에서는 GUI가 아닌 활동(예: 콘솔 응용 프로그램)을 나타내는 모든 응용 프로그램이 데스크톱에서 실행되기를 원할 때 시스템 프로세스 Csrss.exe를 통해 조정되었습니다. 콘솔 응용 프로그램이 문자를 수신해야 하는 경우 Kernel32.dll에서 작은 "콘솔 API"를 호출하여 Kernel32가 CSRSS를 호출하는 LPC를 생성하도록 합니다. 이때 CSRSS는 콘솔 창의 입력 대기열을 확인하고 연결을 위해 Kernel32를 통해 문자 모드 결과를 콘솔 응용 프로그램에 반환합니다. 초기 Windows 버전의 콘솔 응용 프로그램의 메시지 처리 메커니즘은 아래 그림에 나와 있습니다.

이 처리 메커니즘으로 인해 문제가 발생했습니다. 콘솔 응용 프로그램이 일반 사용자의 컨텍스트에서 실행되더라도 Csrss.exe는 항상 로컬 시스템 계정의 권한으로 실행됩니다. 따라서 어떤 경우에는 "악당"이 개발한 맬웨어가 로컬 시스템 계정 권한으로 실행되는 Csrss.exe를 통해 더 많은 권한을 얻을 수 있습니다. 이 공격 모드를 Shatter Attack이라고 합니다.

Win7 및 Windows Server 2008 R2 시대에는 모든 콘솔 응용 프로그램이 새로운 컨텍스트 프로세스 ConHost.exe에 배치되어 실행되며, 그 중 ConHost(콘솔 호스트)와 콘솔 프로그램은 발급되는 대신 동일한 보안 수준 컨텍스트에서 실행됩니다. 처리를 위해 CSRSS에 대한 LPC 메시지 요청이 대신 ConHost를 요청합니다. 따라서 자동 권한 상승을 유발하기 위해 메시지 요청을 이용하는 응용 프로그램 시도는 성공하지 못합니다. 다음 그림은 Windows 7 및 Windows Server 2008 R2에서 사용되는 새로운 메커니즘의 개략도입니다.

ConHost는 콘솔 응용 프로그램에서 I/O를 처리하는 방식을 영구적으로 변경합니다. 사용자는 레지스트리나 그룹 정책을 통해 Windows를 "레거시 모드" 콘솔 동작으로 되돌릴 수 없습니다. 따라서 사용자는 Windows 7 또는 Windows Server 2008 R2로 업그레이드하기 전에 응용 프로그램을 철저하게 테스트해야 합니다. 일부 애플리케이션의 대부분의 기능은 GUI를 통해 구현되지만 데이터는 여전히 백그라운드의 콘솔이나 기타 기능 인터페이스를 통해 일괄 처리된다는 점을 잊지 마십시오. 따라서 마이그레이션이나 레벨링 전에 포괄적인 애플리케이션 기능 테스트를 수행하는 것이 매우 필요합니다.

Windows 7에서 응용 프로그램을 정상적으로 사용할 수 없는 경우 먼저 관리자 권한으로 다시 테스트하고 실행하여 문제가 발생하는지 확인해야 합니다. 그런 다음 프로세스 모니터를 사용하여 응용 프로그램의 파일 또는 레지스트리에 대한 액세스 권한을 모니터링할 수 있습니다. 정상입니다. 위의 문제를 해결한 후에도 애플리케이션이 정상적으로 실행되지 않으면 ISV나 해당 개발자에게 문의하는 것이 좋습니다.

응용 프로그램이 충돌하는 경우 해당 충돌 덤프 파일은 개발자와 ISV가 문제의 핵심을 찾는 데 가장 유용합니다. 응용 프로그램이 응답하지 않으면 ADPlus를 사용하여 해당 응용 프로그램 및 관련 ConHost.exe 프로세스 덤프를 가져올 수 있습니다. 콘솔 응용 프로그램은 Windows 콘솔의 여러 하위 프로세스를 공유할 수 있습니다. 예를 들어, 사용자가 CMD 창에서 Telnet을 시작하면 Telnet.exe는 Cmd.exe의 하위 프로세스가 됩니다. 이 경우 ConHost.exe 호스트는 상위 프로세스와 하위 프로세스 모두의 메시지 인스턴스를 처리합니다. Process Explorer를 사용하면 ConHost.exe가 처리하는 프로세스를 확인할 수 있습니다.

Windows 7 리소스 모니터의 "대기 체인 분석" 기능을 사용하여 ConHost.exe 프로세스의 응용 프로그램 프로세스를 볼 수도 있습니다.

마지막으로, 마이그레이션하기 전에 애플리케이션을 완전히 테스트하는 것을 잊지 마세요!