2007~2011/Windows Platform2011. 10. 20. 13:40
잘 알려진 Sysinternals 툴로 Process Monitor, Process Explorer, DebugView 등을 사용하는 환경이 많습니다. 하지만 종종 이런 툴에 의해서 System crash 가 발생하는 문제를 경험하기도 하는데요. Windbg 로 메모리 덤프를 분석할 때, 해당 드라이버를 실행시킨 프로세스의 Physical path 를 찾는 방법에 대해서 아래와 같이 정리하였습니다.

이 시나리오는 앞서 분석을 통해 DebugView 에서 사용하는 Dbgv.sys 드라이버의 의한 0x1E crash 임을 확인하였고 해당 Dbgview.exe 프로세스가 위치한 경로를 찾기 위한 과정입니다. 

0: kd> !process 0 0

PROCESS fffffadf07b9e040
    SessionId: 5  Cid: 5414    Peb: 7efdf000  ParentCid: 20a8
    DirBase: 20f0f5000  ObjectTable: fffffa80034ee190  HandleCount:  92.
    Image: Dbgview.exe

0: kd> dt nt!_EPROCESS SeAuditProcessCreationInfo
   +0x318 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO

0: kd> dt nt!_SE_AUDIT_PROCESS_CREATION_INFO fffffadf07b9e040+0x318
   +0x000 ImageFileName    : 0xfffffadf`0b95c860 _OBJECT_NAME_INFORMATION

0: kd> dt nt!_UNICODE_STRING 0xfffffadf`0b95c860
"\Device\HarddiskVolume2\LAIGO_Servers\Dbgview.exe"
   +0x000 Length           : 0x5a
   +0x002 MaximumLength    : 0x5c
   +0x008 Buffer           : 0xfffffadf`0b95c870  "\Device\HarddiskVolume2\LAIGO_Servers\Dbgview.exe"



작성자 : 고성민 / 작성일자 : 2011.10.20
Posted by 사용자 Lai Go

댓글을 달아 주세요