Wow64에서 발생하는 32bit Process의 Dump를 보게되면 마치 wow64.dll에서 발생하는 문제인것 처럼 자동분석이 되는경우가 있습니다. 이러한 경우에는 .effmach Command와 wow64exts Extension DLL을 Load하여 분석을 하는것이 좋습니다. Windbg의 !analyze -v가 잘못된 정보를 보여주는 이유는 바로 32bit Application의 Memory를 정상적으로 찾지 못하게 되기 때문입니다. 측 32bit 단위의 Memory가 아닌64bit 단위로 Memory를 보여주기 때문이죠.
.load wow64exts
.effmach x86
이러한 경우가 발생한다면 꼭 잊지 마시길..
0 Responses
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.