티스토리 뷰

Study/Kernel

020. 본격! WinDbg로 Target PC(Guest) 에 프로세스 디버깅하기!

shovelman 2015. 1. 7. 23:12

 


 

 

안녕하세요~~~

Kernel을 까보는듯 까지않는 깔것같은 삽잡이 입니다!

 

혹시 여러분 중 일분 일초의 시간이 아까워서,

잠도 설치시며 일상 생활과 어둠의 생활을 즐기시는 분들이 있으신가요?

 

뭐 저는 그리 열심히 하는 편도 아니긴 하다만...

졸음의 유혹에 못이겨 평일인데 진하게 푹 자고 일어났더니...

정말 다음날 (그러니까 오늘이죠) 못찾던게 눈에 보이고, 뭔가 진행이 되는듯한...

그런 느낌을 받았어요! 할렐루야~

 

2보 전진을 위한 1보 후퇴 하는 전략이 있듯이...

너무 앞만 보고 달려가지 마시고 한번쯤은 푹 쉬시고!

평소보다 더욱 활기차게 앞으로 향하는 여러분이 되시길 진심으로 바랍니다!

 

자 뽜이팅 하는 정신으로!  

지난 시간까지 Target PC에 임의로 시스템 파일을 로드시켜서 디버깅을 시도했었습니다...

 

그런데... 이렇게 디버깅을 시도하면,

일반적인 드라이버 등록 외에 빙산의 일각만 볼 수 있다고

미친감자님께서 말씀하셨었습니다.

 


 

 

자... 그래서... 자연스럽게

프로세스에서 시스템 파일을 자연스럽게 호출 할 수 있도록!!!

유도해려고 합니다!!!

 

내가 반드시 너를 자연스럽게 꺼내볼 것이야!!

 

어떻게!?

 


 

 

오 예압~ 레츠 꼬 파리!

자... 우선 ProcessHacker를 까보기전에...

시스템 파일을 ProcessHacker 사용 도중에 자연스럽게 사용할 수 있도록 하기 위해서,

사용 될 시스템 파일을 로드했습니다.

 


 

Running 이신거 보이시죠?

혹여나... ProcessHacker.exe로 드라이버를 로드시키시고자 한다면,

[Tools > Create Service] 에서 입력하시고 로드시키시면 됩니다!


자 로드 완료했고...

Target PC에서 Process들을 확인봅시다...

 


 

너무 많이 나와서... 제가 필요로 하는 요놈만 따로 캡쳐해뒀습니다... 

PROCESS 855d7030 보이시죠?

 


 

프로세스 값을 입력하여 해당 프로세스 Context로 이동합니다.

Context Switching을 위해 'g' 를 입력하여서 진행시키도록 합니다.
 


 

그러면 이렇게 됩니다!

 



자.. 잘들 따라오고 계시죠?!

그다음으로, Break Point를 잡아봅시다.

Break Point가 걸리기를 기대하는 함수를 입력하여 설정해봅시다!

 

(bp 사용법은 지난시간에 말씀드렸는데요! 혹시 모르신다면 이전 포스팅을 참조해주세요!)

 

자.. 저는 Break가 걸릴 함수에 대한 확신이 없어서... 여러개를 써봤습니다...

bl 명령어를 통해 Break 가 걸린 곳들을 확인해봤고요...

 


 

아! 코드 확인이 필요하니, WinDbg에서 [File > Source File Path] 에서

해당 프로세스의 소스코드가 들어있는 폴더를 설정해주세요!

 

 

그렇다면! 'g' 버튼을 누르고 시작해봅시다!

자 Target PC에서...

그토록 삽질을 하던 PID 4 !! System의 Handle 값을 찾고자 하는 의지를 가지고

더블 클릭을 하는 순간!!!

 


 

걸렸다!!!

Command 창에도!

 


 

Disassembly 창에도!!

 



그리고... Source Code 창에도!!! 

 



자... 이제 Visual Studio 에서 디버깅 할때와 같이... 디버깅 해보시면서 F5 혹은 'g'를 누르시며 디버깅이 되는 과정을 지켜보시고 뜯어먹어주시면 될 것 같습니다!

 

떡밥에 Break를 걸어놓고 기다리는 나의 모습을 보니...

한없이 물고기를 잡고 있는 낚시 매니아 같구려~

 

 

/*

 음... 포스팅을 해보면서 느낀점은...

1. 왜 !process 명령을 칠 때 '0'을 입력했을까...
2. 낚시가 걸리기 위한 함수를 찾기 쉬운 방법은... 
이정도? 조금씩 내용을 보충해봐야겠네요!
그래도 신납니다. 유도했습니다. 뭔가 씹어먹는 느낌이에요 ㅎㅎㅎ

*/

 

 

[참고 자료]

 

http://windbg.info/doc/1-common-cmds.html <-- WinDbg 명령어 설명

 

[검색 키워드]


WinDbg

ProcessHacker

Break Point

 

저작자표시

'Study > Kernel' 카테고리의 다른 글

022. Give Me A Call~ 핸들 추출이 필요할 때 불러~  (2) 2015.01.12
021. 드라이버와의 진정한 대화! I/O Requset Packet!  (0) 2015.01.08
019. RtlInitUnicodeString & InitializeObjectAttributes & ZwOpenKey & IoCreateDevice  (0) 2015.01.05
018. Driver 까본다는 사람이... Driver 개발의 기본 DriverEntry도 몰라?  (0) 2015.01.04
017. 커널을 까볼자! Kernel Driver Debugging 도전기 (2)  (0) 2015.01.04
공유하기 링크
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2024/04   »
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
글 보관함