프로세스 환경 블록

위키백과, 우리 모두의 백과사전.
둘러보기로 가기 검색하러 가기

프로세스 환경 블록 (PEB: Process Environment Block)은 윈도우 NT에서의 데이터 구조체이다. 이것은 운영체제 내부에서 사용하는 opaque data structure이다.[1] 마이크로소프트는 마이크로소프트 개발자 네트워크(MSDN) 라이브러리 문서에서(오직 몇 개의 필드만 문서화한) 아마 다음 버전의 구조체에서는 바뀌게 될 것이라고 언급했다.[2] PEB는 전역 문맥, 시작 파라미터, 프로그램 이미지 로더를 위한 데이터 구조체, 프로그램 이미지 베이스 주소 그리고 동기화 객체들을 포함하는, 프로세스 전체에 적용되는 데이터 구조체를 담고 있다. [1]

PEB 커널 모드 EPROCESS 데이터 구조체 뿐만 아니라 클라이언트/서버 런타임 하위 시스템의 주소 공간에서 관리되는 프로세스 당 데이터 구조체와 밀접하게 관련되어 있다. 그러나 PEB는 자체적으로는 (CSRSS 데이터 구조체처럼) 커널 모드 데이터 구조체가 아니다. 이것은 관련된 프로세스의 사용자 모드 주소 공간에 위치한다. 왜냐하면 NTDLL 같은 운영체제 라이브러리의 사용자 모드 코드에서 사용되기 위해 디자인되었기 때문이다.[3]

WinDbg에서, PEB의 내용을 복사해 오는 명령어는!peb 이다. 결국, 이 정보는 EPROCESS 데이터 구조체(필드 중 하나가 PEB의 주소이다.)의 정보를 보여주는 !process 명령어에 의해서 얻어진다.[3]

마이크로소프트에 의해 문서화된 PEB의 필드들[2]
필드 의미 메모
BeingDebugged 프로세스가 디버깅 당하는 중인지 마이크로소프트는 이 필드 대신 공식적인 Win32를 사용할 것을 권장한다. CheckRemoteDebuggerPresent() [2]
Ldr 로드된 모듈에 대한 정보를 제공하는 PEB_LDR_DATA 구조체를 가리키는 포인터 kernel32ntdll의 베이스 주소가 들어 있다.
ProcessParameters 로드된 모듈에 대한 정보를 제공하는 RTL_USER_PROCESS_PARAMETERS 구조체를 가리키는 포인터 RTL_USER_PROCESS_PARAMETERS 구조체는 또한 대부분이 문서화되어 있지 않으며, 여러 버전에서 사용할 수 있다는 보장이 없다.[4]
PostProcessInitRoutine DLL 초기화 이후, 메인 실행 코드가 발동되기 이전에 호출되는 콜백 함수에 대한 포인터 이 콜백 함수는 윈도우 2000에서 사용되지만, 윈도우 NT 이후 버전에서 사용될 수 있다는 보장은 없다.[2]
SessionId 프로세스를 부분으로 갖는 터미널 서비스 세션의 세션 ID NtCreateUserProcess() 시스템 호출은 커널 내부의 MmGetSessionId() 함수를 호출함으로써 초기화한다.[3]

PEB의 내용은 NtCreateUserProcess() 시스템 호출에 의해 초기화 된다. 이 네이티브 API 함수는 윈도우 라이브러리 파일의 CreateProcess(), CreateProcessAsUser(), CreateProcessWithTokenW(), 그리고 CreateProcessWithLogonW() 라이브러리 함수들과, Windows NT POSIX 라이브러리의 fork() 함수를 구현한다.[3]

윈도우 NT POSIX 프로세스들에서, 새로운 프로세스의 PEB의 내용은 NtCreateUserProcess()에 의해 초기화된다. Win32 프로세스들에서는, 새로운 프로세스의 PEB의 내용에 대한 초기화는 주로 커널 내부에서 유지되는 전역 변수들에 의하여 옮겨진다. 그러나 몇몇 필드들은 대신 프로세스의 이미지 파일 내부에 의해서 정보가 제공된다. 특히 PE 파일 포맷의 IMAGE_OPTIONAL_HEADER32 데이터 구조체가 그 역할을 한다.[3]

커널 전역 변수들에서 초기화되는 PEB의 필드들[3]
필드 커널 전역 변수 overridable by PE information?
NumberOfProcessors KeNumberOfProcessors 아니오
NtGlobalFlag NtGlobalFlag 아니오
CriticalSectionTimeout MmCriticalSectionTimeout 아니오
HeapSegmentReserve MmHeapSegmentReserve 아니오
HeapSegmentCommit MmHeapSegmentCommit 아니오
HeapDeCommitTotalFreeThreshold MmHeapDeCommitTotalFreeThreshold 아니오
HeapDeCommitFreeBlockThreshold MmHeapDeCommitFreeBlockThreshold 아니오
MinimumStackCommit MmMinimumStackCommitInBytes 아니오
ImageProcessAffinityMask KeActiveProcessors ImageLoadConfigDirectory.ProcessAffinityMask
OSMajorVersion NtMajorVersion OptionalHeader.Win32VersionValue & 0xFF
OSMinorVersion NtMinorVersion (OptionalHeader.Win32VersionValue >> 8) & 0xFF
OSBuildNumber NtBuildNumber & 0x3FFF combined with CmNtCSDVersion (OptionalHeader.Win32VersionValue >> 16) & 0x3FFF combined with ImageLoadConfigDirectory.CmNtCSDVersion
OSPlatformId VER_PLATFORM_WIN32_NT (OptionalHeader.Win32VersionValue >> 30) ^ 0x2

각주[편집]

  1. Rajeev Nagar (1997). 《Windows NT file system internals: a developer's guide》. O'Reilly Series. O'Reilly. 129쪽. ISBN 9781565922495. 
  2. “Process and Thread structures: PEB Structure”. 《마이크로소프트 개발자 네트워크》. 마이크로소프트. 2010년 7월 15일. 2010년 7월 15일에 확인함. 
  3. Mark E. Russinovich, David A. Solomon, 그리고 Alex Ionescu (2009). 《윈도우 인터널스》. 마이크로소프트 프레스 시리즈 5판. 마이크로소프트 프레스. 335–336,341–342,348,357–358쪽. ISBN 9780735625303. 
  4. “Process and Thread structures: RTL_USER_PROCESS_PARAMETERS Structure”. 《마이크로소프트 개발자 네트워크》. 마이크로소프트. 2010년 7월 15일. 2010년 7월 15일에 확인함.