クラッシュダンプの解析ツールをアップデート。32bit OSに対応。
「CrashDumpAnalyzer_ver0.95.zip」をダウンロード
機能は以下の通り。
轉自CCI
機能は以下の通り。
- DMP_Info: クラッシュダンプヘッダをパース
- PsList: プロセス一覧を出力 (Tree & list traversal)
- PsScan: プロセス一覧を出力 (Object fingerprint search)
- ConnList: TCPコネクション情報を出力 (Tree & list traversal)
- ConnScan: TCPコネクション情報を出力 (Object fingerprint search)
- KMList: カーネルモジュール一覧を出力 (Tree & list traversal)
- KMScan: カーネルモジュール一覧を出力 (Object fingerprint search)
- DllList: プロセスがロードしているDLLの一覧を出力
- OpenFiles: プロセスがオープンしているファイルの一覧を出力
- ProcDump: プロセスを実行ファイル形式で出力
- VadSearch: プロセスのVAD領域を文字列検索
- VadDump: プロセスのVAD領域をダンプ
- PsEntropyPEB: プロセスのエントロピーを算出
- PsEntropyVAD: プロセスのVAD領域の中からinjectionされている可能性のある領域のみでのエントロピーを算出
- x64 Server 2003: DMP_Info, PsList, PsScan, KMList, KMScan
- x86 Server 2003: DMP_Info, PsList, PsScan, KMList, KMScan, ConnScan, DllList, OpenFiles, ProcDump, VadSearch, VadDump, PsEntropyPEB
- x64 Windows 7 & Server 2008 R2 (x64): DMP_Info, PsList, PsScan, KMList, KMScan
- x86 Windows 7: DMP_Info, PsList, PsScan, KMList, KMScan, DllList, OpenFiles, ProcDump, VadSearch, VadDump, PsEntropyPEB
- x86 Windows XP: DMP_Info, PsList, PsScan, KMList, KMScan, ConnList, ConnScan, DllList, OpenFiles, ProcDump, VadSearch, VadDump, PsEntropyPEB, PsEntropyVAD
- 7/2008はTCPコネクションの情報が取れてない。これは以前書いた。
- 7/2003ではVAD領域の属性?フラグ情報の定義が不明なので、injectionされた領域の検出(PsEntropyVAD)やダンプ(VadDump)をサポートできてない。
- x64系の機能が貧弱なのは単なる怠慢w
轉自CCI
發表文章
0 意見: