2016년 3월 18일 금요일

커널 덤프

# 프로세스별 스레드/핸들수 확인 (비정상적으로 많은 경우)

# C:\Program Files\Support Tools>poolmon.exe -b   (Windows 2003 Support Tool 필요)
    https://www.microsoft.com/en-us/download/details.aspx?id=15326
# findstr /M /L [Tag] *.sys

# ProcessExplorer - View - System Information - Paged Limit
   C:\Program Files\Debugging Tools for Windows (x86)\dbghelp.dll
   srv*C:\symbols*http://msdl.microsoft.com/download/symbols

# 커널덤프생성
   https://technet.microsoft.com/en-us/sysinternals/bb897415.aspx
   libekd.exe (windbg폴더복사) -> yes 위치 c:\symbols
   kd> .dump /f /o d:\memory.dmp

Debugging Tools for Windows (x86) version 6.12.2.633 
Debugging Tools for Windows (x64) version 6.12.2.633

# Symbol (Microsoft):
srv*C:\symbols*http://msdl.microsoft.com/download/symbols 

!vm  - 메모리 확인, NonPaged Pool Usage / NonPaged Pool Max
!poolused /t 5 2  - 비페이지풀 목록 확인
!poolused 2 -  Sorting by NonPaged Pool Consumed
!process 0 0  - 전페 프로세스 확인 TableSize 큰것
!process 884e6520 4  - 특정 프로세스 thread  확인

# windbg 명령어
http://blogs.msdn.com/b/willy-peter_schaub/archive/2009/11/27/common-windbg-commands-reference.aspx

 

 


2019년 10월 MS 취약점 패치 주요 사항

CVE-2019-1166 | Windows NTLM 변조 취약성 https://portal.msrc.microsoft.com/ko-KR/security-guidance/advisory/CVE-2019-1166 CVE-2019-1230 | Hype...