SMALL
Process Explorer?
Windows 운영체제에서 최고의 프로세스 관리 도구 Process Explorer
유명한 sysinternals(현재는 MS에 인수되었음)의 Mark Russinovich가 만든 프로세스 관리 유틸리티
이 분이 만든 유용한 유틸리티에는 FileMon, RegMon, TcpView, DbgView, AutoRuns, Rookit Revealer 등이 있다.
실행화면을 살펴보자.
화면 위의 좌측 -> 현재 실행 중인 프로세스들을 Parent/Child의 트리 구조로 표시
우측 -> 프로세스 각각의 PID, CPU 점유율 등을 보여준다.(Option을 통해 더 추가 가능)
화면 아래(옵션) > 선택된 프로세스에 로딩된 DLL 정보 또는 해당 프로세스에서 오픈한 object handle을 표시
그렇다면 뭐가 좋을까?
책의 저자분께서는 리버싱할때 항상 Process Explorer를 같이 띄어놓고 하신다고 한다!
그 이유를 말씀해주셨는데
- 장점
- Parent/Child 프로세스 트리 구조
- 프로세스 실행/종료 시 각각의 색깔(초록/빨강)로 표시
- 프로세스 Suspend/Resume 기능(실행 중지/재개)
- 프로세스 종료(kill) 기능(Kill Process Tree 기능 지원)
- DLL/Handle 검색(프로세스에 로딩된 DLL 또는 프로세스에서 점유하는 Handle 검색)
이러한 장점들이 있고 이러한 장점들은 리버싱할 때 많이 사용되는 기능이라고 한다.
'Reversing > 리버싱_핵심원리' 카테고리의 다른 글
| 11장 Lena's Reversing for Newbies (0) | 2019.08.14 |
|---|---|
| 10장 함수 호출 규약 (0) | 2019.08.14 |
| 8장 abex` crackme #2(미완) (0) | 2019.08.14 |
| 7장 스택 프레임 (0) | 2019.08.07 |
| 6장 abex' crackme #1 분석 (0) | 2019.07.25 |