Notice
Recent Posts
Recent Comments
Link
«   2024/04   »
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
Tags more
Archives
Today
Total
관리 메뉴

NaggingMachine

특정 함수를 모니터링 하기 위한 WinDBG 명령어 본문

Visual Studio

특정 함수를 모니터링 하기 위한 WinDBG 명령어

naggingmachine 2009. 4. 13. 19:15
출처: http://blogs.technet.com/srd/archive/2009/04/02/investigating-the-new-powerpoint-issue.aspx

WinDBG에서 bp를 걸어두시고, 동시에 매개 변수등을 로그로 남기도록 명령어를 작성해 주시면됩니다.

예를 들어, 악성 코드(?) 분석하실 때 다음과 같은 코드를 사용하면 되겠죠? 그럼 CreateFileW, CreateFileA, LoadLibraryW, LoadLibraryA, WinExec 호출될 때 기록이 남습니다.

간단하면서 유용하네요~

  • bp kernel32!CreateFileW ".printf \"CreateFileW(\%mu) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1; g"
  • bp kernel32!CreateFileA ".printf \"CreateFileA(\%ma) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1; g"
  • bp kernel32!LoadLibraryW ".printf \"LoadLibraryW(\%mu) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1"
  • bp kernel32!LoadLibraryA ".printf \"LoadLibraryA(\%ma) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1"
  • bp kernel32!WinExec ".printf \"WinExec(\%ma) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1"
저작자표시

'Visual Studio' 카테고리의 다른 글

[C# 4.0] 이름으로 접근하는 매개 변수(Named Parameter)  (0) 2009.05.17
새로 업데이트된 C# 4.0 스펙 받아보세요~  (0) 2009.05.17
Visual Studio에서 Perl 사용하기  (0) 2009.04.13
가장 최근의 VS2010 모습 확인하기  (0) 2009.04.01
VS2010의 새로운 모습  (10) 2009.02.25
'Visual Studio' Related Articles more