-
windbg를 활용한 프로세스, 스레드 정보 분석Pentesting/Windows 2020. 2. 10. 18:10
1. 커널 디버깅을 시작한다. 2. 아래의 명령어는 EPROCESS 구조체를 이용하여 정보를 표시한다. 3. svchost 중 하나의 주소인 870285a8을 상세히 정보 분석한다. kd> !process 870285a8 7 PROCESS 870285a8 SessionId: 0 Cid: 03c8 Peb: 7ffdf000 ParentCid: 01f4 DirBase: bf248200 ObjectTable: 8f8ed080 HandleCount: 887. Image: svchost.exe VadRoot 8704be80 Vads 273 Clone 0 Private 2363. Modified 1562. Locked 2. DeviceMap 8c8088a8 Token 8f8f4030 ElapsedTime 00:06:..