kernel

vmware & WinDbg 간단한 유저 프로세스 디버깅은 로컬에서도 상관없겠지만, 커널 디버깅을 위해선 원격지 PC가 필요한게 일반적입니다. 그렇다고 로컬에서 커널 디버깅이 불가능한건 아니지만, 제약적인 디버깅이 가능합니다. 그렇다면 설정을 어떻게 해야 vmware의 windows와 로컬PC의 WinDbg를 연결할 수 있을까요?? 우선 이전에 소개드렸던 내용으로 WinDbg가 설치되어있어야 합니다. 2016/01/05 - [Development/Debugging] - [WinDbg] Kernel Debugging을 위한 디버거 다운로드 및 설치! vmware와 windows는 설치되어있다는 가정 하에 설명드리겠습니다. vmware 에서 Edit virtual machine settings을 클릭하여 설..

eb eb 주소값 00 00 00 00 00 : 주소값부터 시작해서 5바이트를 00으로 채운다. - 심볼이 맞는지 확인하는 명령 0:000> !chksym ntdll - ntdll의 Export 함수 변경여부 확인하는 명령 0:000> !chkimg ntdll -d - notepad.exe의 _EPROCESS 주소 찾기 kd> !process 0 0 notepad.exe - notepad.exe의 스레드 주소 찾기(full detail 얻기) kd> !process _EPROCESS 7 PROCESS 8a3ceda0 SessionId: 0 Cid: 00f0 Peb: 7ffd7000 ParentCid: 0748 DirBase: 53ca5000 ObjectTable: e180c200 HandleCount: ..

Windbg에서 디버깅을 하기위해선 심볼을 설정해주어야한다. File -> Symbol Search Path 에 다음과 같이 입력해주면 된다. SRV*c:\symbols*http://msdl.microsoft.com/download/symbols 커널디버깅 중 심볼을 로드하는경우kd> .reload 명령어를 통하여 심볼을 재등록하도록 한다.