Kernel Memory Space Analyzer(kanalyze)

Microsoft에서 제공하는 메모리 분석 툴로써 volatillity와 성격이 다른 도구로써, 장애 상황시 이를 이용하여 커널 메모리 덤프를 효과적으로 분석할 수 있도록 도와준다.

단 kanalyze는 비스타 이상 버전에서는 사용할 수 없다.

해당 도구를 아래 위치에서 다운로드 가능하다.

http://www.microsoft.com/download/en/details.aspx?id=15877

 

이툴을 사용하기 위해서는 Debugging Tools for Windows 6.5.3.8 32-bit버전(http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.5.3.8.exe) 을 먼저 설치하고 Windbg 설치 디렉토리에 Kanalyze를 붙여넣도록 하자.(이 작업을 진행하지 않으면, 프로시저 시작 위치를 찾을 수 없는 오류가 발생한다.)

기본적인 심볼 설정과 플러그인 설정들은 되어 있으므로 설치후 바로 Kanalyze.exe를 실행하여 크래쉬 메모리 덤프를 분석해 볼수 있다.

아래 그림은 Kanalyze를 실행했을때의 메인 화면으로, 새로운 덤프를 분석하거나, 기존 분석 내용을 다시 볼 수 있다.

Kanalyze는 커널 개체들의 정보를 나열해 주기 때문에, 역분석 기반보다는 문제점 해결 도구인 장애 분석용도로 사용하기를 권장한다.

 

↓Windbg 설치 디렉토리에 복사한후 Kanalyze 실행한다.

[그림] 커널 메모리 덤프의 대해 각 구조체를 구분하여 보여준다

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다

This site uses Akismet to reduce spam. Learn how your comment data is processed.