kisoo

OllyDbg에서 DLL 파일 디버깅 하기 2006.10.24 10:13 http://tong.nate.com/rohbr/27504568 OllyDbg110.zip 출처 : http://dasomnetwork.com/%7Eleedw/mywiki/moin.cgi/OllyDbg_bf_a1_bc_ad_20DLL_20_c6_c4_c0_cf_20_b5_f0_b9_f6_b1_eb_c7_cf_b1_e2 Written by 이동우(leedw at ssrnet.snu.ac.kr), 2004.2.18 대부분 ollydbg에서는 로드하는 실행파일(exe)만 분석작업을 진행한다. 그러나 때론 dll을 내부로 파고들어가 리버싱해야하는 상황이 발생한다. 어플리케이션과 연결된 dll을 디버깅할 때와 dll파일만 단독으로 주어졌을 ..

시스템 요구 사항 ADPlus를 실행하기 위한 최소 요구 사항은 다음과 같습니다. Microsoft Windows NT 4.0 서비스 팩 4 이상 Windows Scripting Host 버전 5.6 이상 ADPlus가 출력 파일을 저장하기 위해 사용할 수 있는 최소 10MB의 하드 디스크 공간 또는 네트워크 공유 Microsoft Debugging Tools for Windows 설치 ADPlus 버전 6.0의 새로운 기능 ADPlus V6.0은 완전히 새로 작성되었으며 새로운 스위치와 기능을 제공합니다. 외부 구성 파일을 통해 도구를 구성할 수도 있습니다. Microsoft Windows 디버거 패키지에 포함된 디버거 도움말 파일(Debugger.chm)에서 새로운 기능과 스위치에 대한 최신 정보를 ..

pooled 메모리란 Windows 커널에서 사용하는 Nonpaged pool 및 Paged pool을 말합니다. 종종 장치 드라이버로 인한 메모리 누수 (Memory Leak) 또는 Windows 의 커널 및 각종 DLL 로 인한 메모리 누수가 있을 수 있으며, 본 자료에서는 poolmon을 이용하여 이를 확인 할 수있는 방법을 설명 합니다. - 추가 : 커널 메모리 덤프 및 프로세스 모니터로도 확인이 가능함 먼저 커널 메모리를 확인 하기 위해서는 누가 해당 pooled 메모리를 사용하는지 테깅이 우선되야 합니다. 다음의 두가지 방법을 이용하여 풀 테깅을 하시면 됩니다. - 추가 : Windows 2003 부터는 풀 테킹이 Default 입니다. [테그 모드 설정] 방법 1: 레지스트리 편집경고: 레지..

VirtualBox 다운로드 http://www.virtualbox.org/wiki/Downloads WinDBG 다운로드 http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx 원격 디버깅을 하기 위해는 2대의 PC가 필요한대 하나는 Debugger 이고 하나는 Debuggee 라 합니다. 여기서 설명할 방법은 1대의 PC에 VirtualBox로 가상 윈도우를 설치하여 사용하는 방법입니다. 그럼 본론으로 들어가서 가상 윈도우를 설치했거나 설치할 VirtualBox에 그림처럼 시리얼 포트를 추가합니다. 이제 가상 윈도우가 디버그 모드로 부팅하기 위한 작업을 해줘야합니다. XP 이하 운영체제일 경우: Boot.ini 를 수정해줘야 합니다. 다음과..

요것이 무엇이냐??? services process 와 com server 를 디버깅 하는 방법 이란다. 자세한 내용은 다음 URL 를 따라가 보도록~ http://www.debuginfo.com/articles/debugstartup.html#intro

High CPU 문제는 Memory Leak 문제와 함께 troubleshooting 하기가 껄끄러운 문제이다. 대부분이 적절한 Tool의 도움을 받아야만 풀 수 있다는 것도 유사하다. 일반적으로 High CPU Issue는 Performance Monitor의 도움을 받아 특정 Application이 CPU를 소비하고 있다는 것을 확인할 수 있으며, High CPU 기간 동안 메모리 덤프를 수집하여 누가 지속적으로 CPU time을 잡아 먹고 있는 지를 확인하는 작업이 일반적이었다. 이러한 작업은 kernel mode에서 CPU를 소비하는 경우에 어려움이 있었다. 문제 시점에 kernel dump를 수집한다고 해도 이는 snapshot 이기 때문에 High CPU가 지속되는 과정을 단정 짓기 어려웠다...

1 닥터 왓슨은 무엇인가? 유닉스 계열에서는 애플리케이션이 다운되었을 때, 코어 파일이 기본적으로 남지만, 윈도우에서는 그렇지 않다. 코어 파일이 남지 않는다고 해서, 클라이언트는 물론이고 서버도 애플리케이션을 돌리는 컴퓨터에 일일이 디버깅을 위해 비주얼 스튜디오를 깔 수도 없는 일이다. 바로 이럴 때 크래쉬 덤프를 남겨주는 프로그램이 닥터 왓슨이다. 즉 닥터 왓슨은 애플리케이션이 다운되었을 때, 크래쉬 덤프를 남겨주는 프로그램이란 말이다. 닥터 왓슨은 기본적으로 활성화 되어 있지 않다. 활성화하기 위해서는 명령창에서 drwtsn32 -i라고 입력하면 된다. 이는 닥터 왓슨을 기본 디버거로 설정한다. 닥터 왓슨이 생성하는 drwtsn32.log 파일이 어디 생성되는가는 세팅을 통해서 바꿀 수 있다. 명령..

[데브 피아 에 좋은 샘플이 있어서 퍼왔습니다] 1. 덤프 파일 분석하기. ( 덤프 파일 생성 하기 ) http://www.devpia.com/MAEUL/Contents/Detail.aspx?BoardID=51&MAEULNo=20&no=7976&ref=7976 2. 덤프 파일 분석하기. ( 덤프 분석 환경 갖추기 ) http://www.devpia.com/MAEUL/Contents/Detail.aspx?BoardID=51&MAEULNo=20&no=7977&ref=7977 3. 덤프 파일 분석하기. ( 오류 분석하기 ) http://www.devpia.com/MAEUL/Contents/Detail.aspx?BoardID=51&MAEULNo=20&no=7978&ref=7978