http://voneinem-windbg.blogspot.kr/2007/06/scan-full-process-memory-for-pattern.html
전체 프로세스 메모리에서 특정 패턴 스캔하기
Scan the full process memory for a pattern
프로세스 메모리에서 특정 패턴을 스캔해야 할 때가 매우 많았다.
특정 포인터이거나 문자열일 수도 있고 무엇이라도 될 수 있다.
Very often I need to scan the process memory for a specific pattern.
This can be either a pointer or a string or whatever and I want to find out, which other memory references this pointer or pattern.
x32 아키텍쳐에선 이런 경우엔 간단하게 "s -d 0x00000000 L?0xffffffff ' 라고 명령어를 치면 된다.
Simply type ''s -d 0x00000000 L?0xffffffff ' to find a referenced pointer on a x32 architecture.
E.g.:
0:000> s -d 0x00000000 L?0xffffffff 30c5bf9c
0012b2b0 30c5bf9c 00000000 00000000 00000000 ...0............
0012b2f8 30c5bf9c 9955d404 0badf00d 3e4d1f74 ...0..U.....t.M>
0012b340 30c5bf9c 3e4d1f70 9955d450 0badf00d ...0p.M>P.U.....
0012b374 30c5bf9c 3e4d1f70 9955d49c 00000001 ...0p.M>..U.....
3e4d1f7c 30c5bf9c 00000000 00000000 00000001 ...0............
3e4d1f90 30c5bf9c 00000000 00000000 00000000 ...0............
3e4d1fd0 30c5bf9c 30c5bf9c 00000000 00000001 ...0...0........
3e4d1fd4 30c5bf9c 00000000 00000001 33522fc0 ...0........./R3
첫번째 컬럼은 패턴이 나오는 주소이다.
더 자세한 사항에 대해서 알고 싶으면, windbg 온라인 도움말의 s (Search Memory) 를 참조하라.
The first column lists the locations that matched the pattern.
For more information refer to windbg online help: s (Search Memory)
-- 댓글중에--
s -sa 0 0xFFFFFFFF
s -su 0 0xFFFFFFFF
명령으로 각각 모든 아스키 문자열과 유니코드 문자열을 찾을 수 있다.
그리고 특정패터은 다음과 같이 검색할 수 있다.
s -[1]a 0 0xFFFFFFFF "Composition"
'툴-팁' 카테고리의 다른 글
| windows 7 및 비스타의 명령창 (커맨드창) 에서 파일/폴더의 소유권을 바꾸는 방법 (0) | 2014.09.01 |
|---|---|
| ID2D1Factory 인터페이스 (0) | 2014.05.14 |
| [StackOverflow|WinDbg] windbg의 STACKIMMUNE 은 무슨 뜻인가? (0) | 2013.08.20 |
| [번역] First Chance Exception 은 무엇일까? (0) | 2013.07.03 |
| [번역] UAC가 설정되어 있을 때, 프로세스를 관리자 권한으로 실행시키는 방법 (1) | 2013.05.10 |