[windbg]User Mode Crash Dump 분석

.ecxr 마지막으로 저장된 레지스터 확인

k 마지막으로 호출된 함수 확인

디버깅 첫번째 모듈의 정보 확인

lm을 사용해서 하는데 너무 많은 정보가 로드되니 필요한 모듈만 로드하기 위해서 vm 옵션을 준다.

lmvm [모듈 이름]

여기서 중요한 정보는 시작 주소, 끝주소, 파일 이름, 시간 정보이다. 여기서 시간 정보는 같은 시간대에 만들어진 pdb 파일을 찾아서 연결해줘야 분석할 때 좋다.

모듈 이름에 private pdb symbols 라고 되어 있는데 여기서 private는 소스 파일과 변수들의 정보를 가지고 있는 심볼 파일이고 public 도 있는데 이건 private에서 소스 파일과 변수들의 정보를 제외한 나머지 정보를 가지고 있는 심볼 파일이다.

디버깅 두번째, 콜 스택 창 확인

k 를 하여 어떤 함수에서 문제가 생겼는지 확인을 해야한다. 가장 위에 있는 함수가 가장 마지막에 실행된 함수니 보면 되겠습니다.

ps. 분석 사진은 추후 업데이트 하겠습니다.