User mode debugger
.EXE disassembler
WinDbg
WinMain 이 시작하기 전에 static linked DLL 들을 초기화하는데, 이 부분에서부터 디버깅(step through)을 할 수 있다.[1]Powerful extension 에서 많은 정보를 얻을 수 있다.[1]
Powerful extension 로 얻을 수 있는 정보[1]
- active user-mode heap 들을 dump
- security tokens
- PEM(Process Environment Block)
- TEB(Thread Environment Block)
- system loader 의 current state
Olly debugger
WinDbg 를 사용해야만 하는 경우[1]- OS 에 많이 연관되어있는(heavily integrated) 녀석
- extension 에서 제공하는 정보가 필요한 경우
- DLL 초기화 부분을 봐야 하는 경우
위의 경우 이외에는 WinDbg 보다는 Olly debugger 가 낫다.[1]
WinDbg 대비 Olly debugger 의 장점[1]
- UI
- better disassembler
- code 분석 능력
.NET disassembler
PEBrowse Professional Interactivehttp://www.smidgeonsoft.prohosting.com/
Kernel mode Debugger
kernel mode code 를 reversing 할 때 kernel mode debugger 는 필수다. 하지만 setup 이 힘들고, OS 를 불안정하게 만든다. 그리고 전체 시스템을 suspend 시킨다. 그래서 꼭 필요한 경우가 아니라면 user-mode debugger 가 낫다.[1]- WinDbg
- Numega SoftICE
Reference
- User-Mode Debugger , Chater 4. Reversion : Secrets Of reversing engineering, Eldad Eilam, 2005년
댓글 없음:
댓글 쓰기