dump 를 분석 하다 보면 악성 코드로 의심되는 파일이 있는 경우가 있습니다. 이 경우 Anti-Virus 제품으로 검사를 해 보고 싶어지는데 이때 .writemem 명령을 사용하면 Dump 상에 존재하는 Memory 를 파일로 Write 할 수 있습니다. 물론 전체 Image 가 Dump 안에 존재해야 파일로 쓸 수 있습니다. Test 를 위해서 Sysinternals 의 LiveKD 를 test 해 보도록 하겠습니다. LivekdD 가 올라가...

User mode dump 를 분석하는 도중 순간적으로 오류를 일으킬 뻔 한적이 있습니다. Dump 파일을 열어서 Call stack 을 확인해 보면 아래와 같이 되어 있습니다. 0:039> kvL ChildEBP RetAddr  Args to Child              030cffc8 7c97fdd8 00000005...

가끔 NonPagedPool 이나 PagedPool 의 남은 양보다 적은 Pool 을 할당 하려고 하여도 Pool 할당이 실패하는 경우가 있습니다. 일반적인 Memory 관리와 동일하게 Pool Memory 에도 단편화가 생겨서 실패할 수 있습니다. !xpoolmap extension 명령은 Pool 이 할당된 Map 을 보여 줍니다. 참고) xpoolmap 은 Windows XP 이상에서  사용 가능 합니다.   0 하나가 4kb...

Kernel mode 에서 정해진 Stack 보다 많은 Stack 을 사용하면 System 이 Crash 됩니다. 즉 x86 에서 12kb 의 kernel stack 보다 많은 메모리를 사용하려고 하면 Bugcheck 0x7F 가 발생하면서 System 이 Crash 됩니다. (12kb 의 영역 이후의 한 Page 가 접근할 수 없는 메모리로 설정되어 있습니다.) User mode 에서도 마찬가지로 Stack overflow 가 발생할 수 있습니다...

이 번에는 x64 시스템에서 가상 메모리를 물리 메모리로 변환 해 보도록 하겠습니다. Windows Internals 에 보면 아래와 같이 x64 에서 Address 변환에 대해 설명하고 있습니다.   먼저 Virtual address 의 값을 살펴 보도록 하겠습니다. x64 장비 이므로 dp 또는 dq 명령을 사용해야 합니다. 3: kd> dp fffffa60`07272fb0 fffffa60`07272fb0  00000000...