Process Stalker 사용팁, Process Stalker Tips and Tricks.

대부분의 자료는 Process Stalker 홈페이지에 잘 나와있는데, 이 툴을 사용하면서 약간 삽질한게 있어서 올려보자면,

1. 최신 IDA 버전에서는 PS가 작동하지 않는다. 버전 문제로 인해서 오류가 발생하므로 해당 SDK를 구해서 재컴파일하면 정상적으로 작동한다.

2. 특정 프로세스에 대한 bpl 파일을 생성한 후에 process-stalker.exe를 실행할 때에는 반드시 -b 옵션을 이용해서 bpl 파일의 경로를 지정해야 한다. 난 당연히 MODULE_NAME.bpl 파일을 자동으로 읽어들이는줄 알았는데, 무려 1시간이나 삽질하고 난 후에야 자동이 아니라 지정해야 한다는 사실을 알게 되었다.

3. -l 과 -r 옵션으로 프로세스를 시작하면 엄청나게 많은 레코딩 데이터가 생성되므로 -a 옵션을 사용하여 특정 시점에만 레코딩 데이터를 생성하든지 아니면 -l 옵션만 사용하여 프로세스를 실행시킨 후 나중에 레코딩을 수행하면 된다.

사용하는데 약간의 어려움이 따르긴 했지만, 참 대단한 툴이라는 생각이 든다. 참고로 생성된 gml 파일은 aiSee 프로그램으로 볼 수 있다.

(혹시나 외국인에게도 도움이 될까 싶어서 영어로 남겨주는 쎈쓰~)

------------

Even though you can get all the information about Process Stalker at homepage, but there are some tricky things that you need to know.

1. The PS version that you can download from homepage is not compatible with the latest IDAPro(mine is 5.2), so you need to download IDAPro SDK and rebuild it.

2. Once you have a [process-name].bpl file from IDAPro with Process Stalker plugin, you should add -b argument to indicate the path of [process-name].bpl when you execute process-stalker.exe. At the first time, I thought the process-stalker.exe would find the bpl regarding related process automatically. However I found that it doesn't work like that after I opened the source code.

3. If you run process-stalker.exe with -l and -r argument, you will get a very huge recording data. You have two options. First, you can run the process without process-stalker.exe and attach the process with -a argument. Second, just run the process with -l argument and start recording with 'digit num' command.

FYI, .gml file can be viewed with aiSee.