Freigeben über


[Analyze-V]x64 덤프 파일에서 파라미터 찾기.

Reconstructing parameters from x64 crash dumps

https://analyze-v.com/?p=482

 

위의 포스트에서는 x64 dump 파일에서 파라미터를 찾는 방법에 대해서 설명하고 있습니다. x64에서는 첫 4개의 파라미터를 레지스터를 통해서 전달하기 때문에 Call stack 을 분석할때 그 값을 직접 계산해야 할 때가 많이 있습니다. 이 포스트에서는 크게 3가지 경우를 설명하고 있습니다.

쉬운 경우 – rcx 가 어떤 레지스터에 값을 넣은 것이 보이는 경우

중간 경우 – rcx 가 어떤 레지스터에 값을 넣고 이 값이 스택에 푸시 되어진 경우

어려운 경우 – rsi 레지스터의 값이 rcx에 들어가 있고 rsi 값은 스택의 어딘가에 저장되어 있는 경우

물론 간단한 설명으로는 위의 내용을 설명드릴 수 없을 것 같습니다. 직접 위의 포스트에 가셔서 눈으로 확인해 보시는 것이 좋아 보입니다.