본문 바로가기

Vmware 가상 OS와 Windbg Remote 연결 악성코드 분석을 하는도중 커널디버깅을 해야 할일이 생겨서 windbg를 리모트로 가상 os와 붙여야 된다고 하더라구요.. 그래서 검색신공으로 마구마구 검색하여 해봤으나 대부분 안된다...ㅠ 그래서 결국 삽질끝에 해결은 했습니다. windbg옵션에서 symbolpath를 설정해주는 옵션이 있습니다. 첫번째 옵션에 있으니 찾기 쉬우실거에요 .. srv*.*http://msdl.microsoft.com/download/symbols 로 세팅해줍니다. 이 심볼패스를 설정해주는 이유는 커널디버깅할때 주소값들에대한 의미를 부여하는것입니다. 즉 심볼패스를 설정하지 않으면 특정 주소값의 의미를 사용자가 파악하기는 굉장히 불가능? 에 가깝습니다. 그러나 이 심볼패스를 지정해주면 특정 주소값이 어떤걸 의미하는지 함수인지 .. 더보기
windoes7 windbg(x64) 와 vmware의 windows xp 디버깅 세팅 remotedebugging 실행이 안됬던 문제점 지금 버추어박스에 시스템에서 장치관리자에보면 세팅된 com포트가 com2로 세팅되어있으므로 디버기의 가상머신의 msconfig -> boot.ini -> 고급옵션 에서 com2로 세팅 이후 디버거의 머신에서 bcdedit /debug on -> becedit /dbgsettings serial debugpor:2 로 세팅 그리고 재부팅하면 디버기와 디버거 가 붙어버린다. 작성예정 더보기
Windbg 명령어 자주 쓰는 일반 명령어 r : 레지스터 상태 보기 / 변경 d : 메모리 내용 보기 e : 메모리 내용 변경 bp : 브레이크 포인트 걸기 p, t : 브레이크 포인트가 걸린 다음 명령들을 한 줄씩 수행 대표적 일반 명령어 A(Assemble), U(Unassemble) BL(Breakpoint List), BC(Breakpoint Clear) BD(Breakpoint Disable), BE(Breakpoint Enable) BA(Break on Access) BP, BU(Set Breakpoint) D, DA, DB, DW, DD(Display Memory) Dds(Display Words and Symbols) DL(Display Linked List) LIST_ENTRY or SINGLE_LIST_.. 더보기