Windows용 끝점 관리 안내서 › 끝점 관리 › CA ControlMinder란 무엇입니까? › 계측 작동 방식?

계측 작동 방식?

CA ControlMinder은 계측을 사용하여 응용 프로그램의 실행 흐름을 모니터링하고, 추적하고, 변경할 수 있습니다. CA ControlMinder은 계측을 사용하여 시스템 프로세스를 모니터링하고, 응용 프로그램 주소 공간에서 적절한 모듈을 차단 및 구현합니다.

계측 프로세스는 커널 계측 단계와 사용자 모드 계측 단계의 두 개 단계로 구성됩니다.

참고: 커널 및 사용자 모드 차단에 대한 자세한 내용은 계정 보호 장을 참조하십시오. 계측에 대한 자세한 내용은 참조 안내서를 참조하십시오.

다음 다이어그램은 계측 프로세스를 설명합니다.

커널 계측 단계에서 CA ControlMinder은 다음을 수행합니다.

1. CA ControlMinder은 시스템이 시작할 때 계측 드라이버(cainstrm.sys)를 로드합니다.
2. 사용자 또는 프로그램 작업의 결과로 새 프로세스 이벤트가 생성됩니다.
3. 지정된 간격으로 계측 드라이버는 레지스트리 하이브에서 계측 승인된 프로세스를 검색합니다.

   계측 ApplyonProcesses 레지스트리 키를 사용하여 계측 승인된 프로세스의 목록을 지정합니다. 계측 레지스트리 키에 대한 자세한 내용은 참조 안내서를 참조하십시오.

4. CA ControlMinder이 새 프로세스 이벤트를 식별하면 승인된 프로세스의 목록에서 프로세스 이름을 검색합니다. 발견한 경우 드라이버는 계측 dll을 프로세스 주소 공간에 넣습니다.

사용자 모드 계측 단계에서 CA ControlMinder은 다음을 수행합니다.

1. 계측 dll은 계측 레지스트리 하이브를 검색하여 프로세스 주소 공간에 로드할 플러그 인을 식별하고 다음 중 하나를 수행합니다.
   • 나열된 모든 플러그 인을 프로세스 메모리 공간에 로드합니다. 2 단계에서 계속합니다.
   • 나열된 플러그 인이 없는 경우 자신을 언로드합니다.
2. CA ControlMinder은 Microsoft Detours 라이브러리를 사용하여 각 플러그 인이 포함하고 있는 특정 기능에 기초하여 후킹 프로시저를 실행합니다.

   Microsoft Detours는 Win32 함수를 계측하는 라이브러리입니다. Microsoft Detours에 대한 자세한 내용은 Microsoft Detours 웹 사이트를 참조하십시오.