Welcome to MSDN Blogs
Sign in
|
Join
|
Help
!analyze -v
이 블로그는 Windows Platform core 에 대한 내용을 담고 있습니다.
This Blog
About
Email
Syndication
RSS 2.0
Atom 1.0
Search
Tags
Askperf
CDA
Channel9
cluster
Dump
Hyper-V
Network
NMI
ntdebugging
OSR
performance
SCVMM
Storage
Sysinternals
UnderTheHood
Virtualization
windbg
windows
Windows 7
WMI
News
Twitter/taehwalee
WinDbg로 쉽게 배우는 Windows Debugging
Archives
January 2010 (3)
December 2009 (43)
November 2009 (2)
October 2009 (10)
September 2009 (3)
August 2009 (7)
July 2009 (2)
June 2009 (3)
May 2009 (1)
April 2009 (5)
March 2009 (4)
February 2009 (3)
January 2009 (3)
December 2008 (4)
November 2008 (4)
October 2008 (9)
September 2008 (64)
August 2008 (2)
Browse by Tags
All Tags
»
windbg
»
windows
(RSS)
CDA
Channel9
ntdebugging
OSR
Sysinternals
UnderTheHood
Wednesday, January 06, 2010 7:56 AM
[Dumpanalysis]lmu 와 lmk command
보통 어떤 module 이 load 되어 있는지 확인할 때 lm 명령을 많이 사용하는데 이 경우 kernel 와 user module 이 섞여서 보이기 때문에 불편한데 user 또는 kernel 만 보고자 할때는 lmu 또는 lmk 명령을 사용하면 된다고 하는군요. http://www.dumpanalysis.org/blog/index.php/2010/01/05/windbg-shortcuts-lmu-and-lmk/
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
CDA
,
windows
Monday, January 04, 2010 3:35 AM
WinDbg Extension 만들기
아래 포스트에서는 WinDBG Extension을 어떻게 만드는지 설명하고 있습니다. 우리가 WinDbg 에서 ! 로 시작하는 명령을 사용하는데 이런 것들이 특정 Extension dll 들이 export 하고 있는 함수들을 사용하는 것 입니다. 여러분이 만든 Driver 에 대한 Extension을 만들 수도 있고 Windows 를 분석하는 자신만의 Extension을 만들 수도 있습니다. Tools of the Trade: Part IV -
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
windows
Monday, December 21, 2009 1:59 AM
x64 Stack Frame layout
아래 포스트에 따르면 rsp 가 return address를 가리키고 있을 때 x64의 rsp+8 에는 rcx를 저장하기 위한 공간이 있다고 합니다. rsp+10 에는 RDX를 위한 공간이 있고요 물론 항상 그 공간이 사용되는 것 같지는 않은데 다음 번 x64 Dump 분석을 할 때 확인해 봐야겠습니다. x64 Stack Frame layout http://analyze-v.com/?p=468
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
windows
,
OSR
Monday, December 21, 2009 1:51 AM
x64 Calling Convention
아래 포스트에서는 x64의 calling convention에 대해서 설명하고 있습니다. 파라미터가 rcx, rdx, r8, r9 순서로 들어가게 되고 5번째 부터는 스택에 들어가게 됩니다. 하지만 이후 다른 함수들을 호출하면서 해당 레지스터 값들이 변경되기 때문에 x64는 정말 분석하기 힘듭니다. x64 Calling Convention http://analyze-v.com/?p=458
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
windows
,
OSR
Monday, December 21, 2009 1:46 AM
많은 Thread 가 TCPip!tcpcleanup에서 대기하고 있는 패턴
시스템이 Hang 된 상태에서 원인을 찾는 내용으로 먼저 locks 명령으로 resource를 소유하고 있는 Thread를 파악한 후 tcpip 의 disconnect 와 연관되어 있는 것을 확인한 후 tcpip와 관련된 IRP들이 대부분 tcpipcleanup에서 멈추어 있는 것에 대한 분석 입니다. Wait chain, blocked thread, waiting thread time, IRP distribution anomaly and stack
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
CDA
,
windows
Sunday, December 20, 2009 9:27 AM
x64 Trap Frames에 대한 이야기
WinDbg를 사용해서 x64장비의 덤프를 분석 하다 보면 parameter를 믿을 수가 없는 경우가 많이 있습니다. 아래 포스트에서는 trap frame 의 rbx, rbp, rdi, rsi 그리고 r12-r15를 믿지 말라고 합니다. 자세한 내용은 osronline을 참고 하셔야 합니다. x64 Trap Frames http://analyze-v.com/?p=451
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
windows
Thursday, December 10, 2009 2:14 AM
Internet 에 연결되어 있지 않은 경우 liveKD를 이용한 덤프 수집 방법
서버를 Down 하지 않고 Dump를 만드는 경우 Sysinternals 의 liveKD를 많이 사용하게 됩니다. 하지만 Dump를 수집해야 하는 서버가 Internet 에 연결되어 있지 않은 경우 Symbol 서버에 접근할 수 없어 livekd가 실행되지 않습니다. 아래 포스트에서는 Dump를 수집할 서버에서 커널과 관련된 파일을 Internet 연결이 가능한 다른 장비로 복사한 후 Windbg 안에 있는 툴인 SymChk.exe를 사용해 Symbol
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
windows
Friday, November 06, 2009 9:26 AM
[UnderTheHood]Microsoft System Journal 중 좋은 글 모음
안녕하세요 이태화 입니다. 저도 다 읽어 보지는 않았지만 WSJ 에 있는 좋은 글 모음 입니다. Matt Pietrek shows how to call NtQueryInformation APIs in order to gain system-level information from WindowsNT. http://www.microsoft.com/msj/0197/hood/hood0197.aspx Sure, you
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
windows
,
UnderTheHood
Friday, November 06, 2009 7:46 AM
[UnderTheHood]분석에 필요한 어셈블리 언어
안녕하세요 이태화 입니다. Dump 분석을 하기 위해서는 어셈블리 언어를 알고 있어야 합니다. 하지만 어셈블리 언어로 코딩을 할 수 있을 정도의 레벨이 아니라 어셈블리 코드를 보고 흐름을 따라갈 수 있을 정도만 알고 있으면 됩니다. 굉장히 방대한 어셈블리 언어 중 어디까지 알아야지 Dump 분석을 위한 레벨에 올랐다고 할 수 있을지 많은 분들이 궁금해 하셨으리라 생각 합니다. Microsoft 의 아주 오래된 잡지인 Microsoft Systems
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
windows
,
UnderTheHood
Thursday, October 01, 2009 1:25 AM
[Mark’s Blog]Pushing the Limits of Windows: Handles
번역을 할 시간이 부족해서 원문의 링크를 걸어 놓았습니다. http://blogs.technet.com/markrussinovich/archive/2009/09/29/3283844.aspx Handle 은 Object 를 가리키는 것이라고 하고 있으며 Mark가 만든 툴인 testlimit 을 사용해서 핸들을 최대 몇 개나 만들 수 있는지 확인해 보고 있습니다. 64bit 시스템에서는 16,711,657 개의 핸들이 생성 되었고 32Bit
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
windows
,
Sysinternals
Friday, September 04, 2009 8:19 AM
[Ntdebugging]실력이 시험되는 장, 하드웨어 조사하기
"이 문서는 http://blogs.msdn.com/ntdebugging blog 의 번역이며 원래의 자료가 통보 없이 변경될 수 있습니다. 이 자료는 법률적 보증이 없으며 의견을 주시기 위해 원래의 blog 를 방문하실 수 있습니다. (http://blogs.msdn.com/ntdebugging/archive/2007/06/22/where-the-rubber-meets-the-road-or-in-this-case-the-hardware-meets-the-probe.aspx
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
ntdebugging
,
windows
Friday, September 04, 2009 1:54 AM
[Channel9]David Grant and Ryan Kivett: !Analyze - Automatic Root Cause Analysis
Windbg를 사용하면서 !analyze –v 명령을 사용해 보지 않으신 분은 없으리라 생각 합니다. 자동으로 문제점을 진단하는 !analyze 를 개발하는 Engineer 두 명의 인터뷰 입니다. David Grant and Ryan Kivett: !Analyze - Automatic Root Cause Analysis !Analyze is an automatic root cause analysis tool for software failures.
Posted by
DebugMachine
|
0 Comments
Filed under:
windbg
,
Channel9
,
windows
