반응형

최근에~ 인터넷을 여기저기 돌아다니는 중에~ Kernel Detective 라는 툴을 알게 됐습니다~ : )
( v1.3.1 이 작년 말에 업데이트 된 듯한데... 이거 정보가 느려서야..ㅠ.ㅠ... )

다운받아서 잠깐 돌려봤는데~ 이거 좋네요~! +_+

OS 를 Windows7 으로 갈아탄 이후로~ IceSword, Rootkit Unhooker 가 정상적으로 실행이 되지 않아서~

꽤나 답답해하던 참이었는데~ 이 답답함을 Kernel Detective 가 뻥~뚫어 주었네용~ : )
( 요런걸 '득템' 했다고 ~ )

< 그림.01 > Kernel Detective 실행 화면


프로세스, 쓰레드, 드라이버들에 대한 정보는 물론 SSDT, IDT 등에 대한 정보도 확인이 가능합니다.

아래는 v1.3.1 버전의 변경된 내역입니다.

[+] Support For WINDOWS SEVEN BUILD 7600 ( +_+!! )
[+] Added Bugcheck(Reason) Callback Notifications Detection
[+] Added Hidden DLLs Detection
[+] Added New Features For DLLs (ZeroMemory/UnmapMemory)
[+] Added Unicode/Ascii String Reference In Disassembler Window
[+] Added Physical Memory Dumper
[+] Added Thread Stack Trace
[+] Added "Copy" and "Select all" Hot-keys (Ctrl+A Ctrl+C)
[*] Improved Files Operations (Open/Copy/Kill)
[*] Application Windows Now Have XP Visual Style
[*] Tabs Now Are Multilined
[!] Fixed Bug In Callbacks Detection For VISTA BUILD 6000
[!] Fixed Processes Row Selection
[!] Fixed Listview Selection And Sorting Bugs
[!] Fixed Bugs In Kernel Driver Installation Process


안정성(?)이나 그런 부분들은 좀 더 써봐야 알겠지만~~

일단, Windows7 을 지원한다는 점이 정말~~~ 반갑네용;;;

Windows7 에서 사용할 IceSwod, Rootkit Unhooker 의 대용품을 찾고 계시는 분들께~

살포시 소개를 해봅니다~~ : )

* 다운로드 링크 - http://www.at4re.com/files/Tools/Releases/GamingMasteR/Kernel_Detective_v1.3.1.zip



반응형
AND

반응형

우선은~ 시작하기 전에 "올리디버거 v1.10" 에 대한 내용임을 밝힙니다.
( 2.0 은 아직 플러그인을 지원하지 않는 걸로 알고 있거든요 +_+;; )

올리디버거 본체는 모르겠지만 그 플러그인들은 대부분 'Windows XP' 를 기준으로 작성된 것들입니다.

그래서 동일한 본체에 동일한 플러그인, 동일한 셋팅을 적용하더라도~

OS 가 XP 냐~ Vista, Win7 이냐에 따라 동작이 달라지는 현상이 간혹 발생하곤 합니다~


저는 현재 Windows7 을 사용중인데~

OllyAdvanced 플러그인과 PhantOm 플러그인에서 약간의 문제가 발생하더군요.
( 참고로 OllyAdvanced v1.27 , PhantOm 1.54 를 사용중입니다... )


1. OllyAdvanced 플러그인

   - 'Anti-Debug 2' -> Other 의 'Break on TLS Callback' 에 체크를 하면,
     볼랜드 계열의 컴파일러(C/C++, 델파이)로 생성된 파일을 읽어올 때~ 프로그램이 죽어버립니다.
     좀 더 정확하게는 TLS 가 존재하는 파일을 읽을 때 문제가 발생하는 경우가 있는 듯 합니다.
     ( C++ Builder 나 델파이로 컴파일된 실행파일은 기본적으로 TLS 가 존재합니다. )

   

< 그림.01 > OllyAdvnaced 플러그인




2. PhantOm 플러그인

   - 'custom handler exception' 에 체크를 하면,
     디버거에서 'Ctrl + F2' 로 재시작을 할 때, 프로그램이 실행되어 버립니다.
     파일을 처음 로딩할 때는 엔트리포인트에서 정상적으로 멈추지만, 재시작을 하면~  그냥 실행이 됩니다.
     ( 혹시라도 '악성코드' 를 분석하는 중이었다면~~ 아찔한 상황이 발생하는거죠~~ )

   

< 그림.02 > PhantOm 플러그인




위의 옵션을을 꺼둔 상태로 사용중인데~ 아직까지는 별다른 문제는 없습니다~ 하.하.하.. ^^
( 드라이버쪽은 XP 시절부터 사용한 적이 없는데다~ Vista, Win7 에서 장담할 수 없으므로~ 패스~ )

Windows7 에서 올리디버거를 사용하는 분들 중~

이와 같은 이상증상이 발생하는 분들은 옵션을 한번 꺼보시기 바랍니다~ : )

ps... 제 PC 에서만 발생한거라면 대략 낭패.. oTL;;...



반응형
AND

반응형

커널 디버깅을 할 때, PC 2 대를 마련하는 것이 현실적으로 부담이 되기 때문에...

가상 PC 를 이용해서 하는 분들도 꽤 있을텐데요~~

VirtualBox 에서도 Serial Port 를 지원하면서 커널 디버깅이 가능해졌답니다...
( Serial Port 를 지원한 지는 꽤 된 걸로 아는데... 뒷북인거죠. 아.하.하.하..^^;;;;; )


우선 설정하는 방법은 VMWare 나 Virtual PC 와 동일합니다.
( VMWare 에서의 설정하는 방법은 "WinDBG 를 이용한 VMWare 커널 디버깅" 에 정리가 잘 되어 있습니다. )

그저 Serial Port 설정만 해주면 되는거죠~ : )


< 그림.01 > VirtualBox 의 머신 설정



< 그림.02 > '직렬 포트' 설정


머신을 선택하면 오른쪽에 설정값들이 보이는데요. 여기서 "직렬 포트" 를 클릭 후, 설정을 하시면 됩니다.
( 아래와 같이 말이죠~ :) )

  1. '직렬 포트 사용하기' 체크
  2. 포트 번호 선택
  3. 포트 모드 -> '호스트 파이프' 선택
  4. '파이프 만들기' 체크
  5. 포트/파일 경로 입력


간단하죠~~ : )

WinDbg 설정은 VMWare, Virtual PC 를 사용할 때와 같이 해주시면 됩니다.
( 아, 물론 Guest OS 의 설정도 말이죠~ )

< 그림.03 > WinDbg 의 설정



요기서 중요한 건 VirtualBox 의 '포트/파일 경로' 와 WinDbg 의 'Port' 와 같아야 한다는 것!

별거 아닌 내용이지만~ =_= 포스팅을 늘이려는 의도에서 살포시 올려놓고 갑니다~ : )


반응형
AND