Recent Posts
Recent Comments
Link
관리 메뉴

NaggingMachine

특정 함수를 모니터링 하기 위한 WinDBG 명령어 본문

Visual Studio

특정 함수를 모니터링 하기 위한 WinDBG 명령어

naggingmachine 2009. 4. 13. 19:15
출처: http://blogs.technet.com/srd/archive/2009/04/02/investigating-the-new-powerpoint-issue.aspx

WinDBG에서 bp를 걸어두시고, 동시에 매개 변수등을 로그로 남기도록 명령어를 작성해 주시면됩니다.

예를 들어, 악성 코드(?) 분석하실 때 다음과 같은 코드를 사용하면 되겠죠? 그럼 CreateFileW, CreateFileA, LoadLibraryW, LoadLibraryA, WinExec 호출될 때 기록이 남습니다.

간단하면서 유용하네요~

  • bp kernel32!CreateFileW ".printf \"CreateFileW(\%mu) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1; g"
  • bp kernel32!CreateFileA ".printf \"CreateFileA(\%ma) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1; g"
  • bp kernel32!LoadLibraryW ".printf \"LoadLibraryW(\%mu) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1"
  • bp kernel32!LoadLibraryA ".printf \"LoadLibraryA(\%ma) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1"
  • bp kernel32!WinExec ".printf \"WinExec(\%ma) RetAddr 0x\%08x\\n\", poi(esp+0x4), poi(esp);dds esp L1"