알려지지 않은 Pooltag를 사용하는 드라이버 찾는법!!!! FindStr
PoolMon 을 보거나.. !poolused를 써서.. 메모리릭을 추적하다보면
낯선 Tag 들이 간간히 보입니다.
과연.. 이 Tag를 이용해서 Pool 을 쓴녀석이 누굴까!!! 찾는 Tip 입니다.
명령창에서 findstr /m /i tag *.sys 를 해보면 알 수 있습니다.
예를들어.
명령창켜고 ~
%systemroot%\system32\drivers 에서
findstf /m /I hTCPt *.sys
를 실행하면 하면 TCPip.sys 가 튀어나올것이고요~ ^^
findstr /m /l hCPnp *.sys
를 하면~~
Classpnp.sys 또는 Acpiec.sys 가 나타날것입니다.
….
물론… 탐색기의 검색기능을 이용하는 매우 쉬운 방법도 있구요
Windbg 가 설치되어있다면.. 기존에 알려져있는것인지 PoolTag 인지 확인할 수 있는…
Pooltag.txt 파일을 이용할 수 도 있습니다.~ ^^
위치는 Windbg\triage\에 Pooltag.txt입니다.
findstr이 얼마나 유용한 팁일런지는 모르겠지만..^^
모든 Windows 계열 OS 에 포함된 툴이니.. 써보세요~ ^^
Recent Comments