User mode dump 분석 (DbgBreakPoint 로 Dump 가 생성된 경우)
User mode dump 를 분석하는 도중 순간적으로 오류를 일으킬 뻔 한적이 있습니다. Dump 파일을 열어서 Call stack 을 확인해 보면 아래와 같이 되어 있습니다. 0:039> kvL ChildEBP RetAddr Args to Child 030cffc8 7c97fdd8 00000005 00000004 00000001 ntdll!DbgBreakPoint (FPO: [0,0,0]) 030cfff4 00000000 00000000 031b0000 01740000 ntdll!DbgUiRemoteBreakin+0×36 (FPO: [Non-Fpo]) (CONV: stdcall) 처음에는 DbgBreakPoint 가 Call stack 의 마지막인 것을 보고 Debug 용으로 설정된 int 3 code 가 실행된 것이 아닌가 싶었으나 Crash dump pattern 1 번에 있던 내용이 기억 났습니다
View original post here:
User mode dump 분석 (DbgBreakPoint 로 Dump 가 생성된 경우)
