주제에 대한 새 업데이트 csrss
Table of Contents
Что за процесс csrss.exe и почему он грузит процессор … 업데이트
28/08/2017 · Что представляет собой процесс исполнения клиент-сервер csrss.exe в Windows 10, 8 и Windows 7 и почему он может грузить процессор (и как это исправить).
What’s “csrss.exe” Explained! Update New
주제에 대한 새로운 업데이트 csrss
Why is csrss.exe running in the background of Windows? Is it important to have running? This process is always running within the Task Manager because it deals with critical functions of the operating system.
Don’t forget guys, if you like this video please \”Like\
csrss주제 안의 사진 몇 장
Native API – Wikipedia 최신
The Native API is a lightweight application programming interface (API) used by Windows NT and user mode applications. This API is used in the early stages of Windows NT startup process, when other components and APIs are still unavailable.Therefore, a few Windows components, such as the Client/Server Runtime Subsystem (CSRSS), are implemented using the Native API.
Read more
기본 API는 Windows NT 및 사용자 모드 응용 프로그램에서 사용하는 경량 API(응용 프로그래밍 인터페이스)입니다
이 API는 다른 구성 요소와 API를 계속 사용할 수 없는 Windows NT 시작 프로세스의 초기 단계에서 사용됩니다
따라서 CSRSS(클라이언트/서버 런타임 하위 시스템)와 같은 몇 가지 Windows 구성 요소는 기본 API를 사용하여 구현됩니다
Native API는 Windows API를 구현하는 kernel32.dll과 같은 서브루틴에서도 사용됩니다
이 서브루틴은 대부분의 Windows 구성 요소가 생성되는 기반 API입니다
대부분의 Native API 호출은 ntoskrnl.exe에서 구현되며 노출됩니다
ntdll.dll에 의해 사용자 모드로
ntdll.dll의 진입점은 LdrInitializeThunk 입니다
네이티브 API 호출은 SSDT(System Service Descriptor Table)를 통해 커널에 의해 처리됩니다.
기능 그룹 [ 편집 ]
기본 API는 많은 기능으로 구성됩니다
여기에는 strlen(), sprintf(), memcpy() 및 floor()와 같이 매우 기본적인 C 런타임 실행에 필요한 C 런타임 함수가 포함됩니다
malloc(), printf(), scanf()와 같은 다른 일반적인 프로시저가 없습니다(첫 번째는 메모리를 할당할 힙을 지정하지 않기 때문에 첫 번째 프로시저는 KERNEL32.DLL을 통해서만 액세스되는 콘솔을 사용하기 때문에 두 번째와 세 번째 프로시저)
대부분의 다른 기본 API 루틴에는 규칙에 따라 다음과 같은 2 또는 3자의 접두사가 있습니다
Nt 또는 Zw는 ntdll.dll 및 ntoskrnl.exe에 선언된 시스템 호출입니다
사용자 모드의 ntdll.dll에서 호출할 때 이러한 그룹은 거의 동일합니다
커널 모드로 트랩하고 SSDT를 통해 ntoskrnl.exe에서 동등한 기능을 호출합니다
ntoskrnl.exe에서 직접 함수를 호출할 때(커널 모드에서만 가능) Zw 변형은 커널 모드를 보장하지만 Nt 변형은 그렇지 않습니다
[1] Zw 접두사는 아무 것도 나타내지 않습니다 [2]또는 ntdll.dll 및 ntoskrnl.exe에 선언된 시스템 호출입니다
사용자 모드의 ntdll.dll에서 호출할 때 이러한 그룹은 거의 동일합니다
커널 모드로 트랩하고 SSDT를 통해 ntoskrnl.exe에서 동등한 기능을 호출합니다
ntoskrnl.exe에서 직접 함수를 호출할 때(커널 모드에서만 가능) Zw 변형은 커널 모드를 보장하지만 Nt 변형은 그렇지 않습니다
Zw 접두사는 아무 것도 나타내지 않습니다
Rtl은 두 번째로 큰 ntdll 호출 그룹입니다
이것들은 네이티브 애플리케이션에서 사용할 수 있는 많은 유틸리티 기능을 포함하지만 커널 지원을 직접적으로 포함하지 않는 (확장된) C 런타임 라이브러리를 구성합니다
두 번째로 큰 ntdll 호출 그룹입니다
이것들은 네이티브 애플리케이션에서 사용할 수 있는 많은 유틸리티 기능을 포함하지만 커널 지원을 직접적으로 포함하지 않는 (확장된) C 런타임 라이브러리를 구성합니다
Csr은 Win32 하위 시스템 프로세스인 csrss.exe(csrss는 클라이언트/서버 런타임 하위 시스템을 나타냄)와 통신하는 데 사용되는 클라이언트-서버 기능입니다
Win32 하위 시스템 프로세스와 통신하는 데 사용되는 클라이언트-서버 기능입니다
csrss.exe(클라이언트/서버 런타임 하위 시스템을 나타냄)
Dbg는 소프트웨어 중단점과 같은 디버깅 기능입니다..
소프트웨어 중단점과 같은 디버깅 기능입니다
Ki는 APC 디스패칭과 같은 이벤트에 대한 커널 모드의 상향 호출입니다
APC 디스패칭과 같은 이벤트에 대한 커널 모드의 상향 호출입니다
Ldr은 PE 파일 처리 및 새 프로세스 시작을 위한 로더 함수입니다.
PE 파일 처리 및 새 프로세스 시작을 위한 로더 함수입니다
자국어 지원용 Nls(코드 페이지와 유사).
자국어 지원(코드 페이지와 유사)
접두사 처리를 위한 Pfx
접두사 처리를 위한
스레드 풀 처리를 위한 Tp.
user32.dll 및 gdi32.dll에는 커널 모드로 트랩되는 몇 가지 다른 호출이 포함되어 있습니다
이것은 Windows NT 3.5에서 볼 수 있는 것처럼 원래 Windows NT 디자인의 일부가 아닙니다
그러나 당시 하드웨어의 성능 문제로 인해 그래픽 하위 시스템을 커널 모드로 전환하기로 결정했습니다
이와 같이 0x1000-0x1FFF 범위의 시스템 호출은 win32k.sys(0-0x0FFF에 대해 수행된 ntoskrnl.exe 대신)에 의해 충족되며 user32.dll 및 gdi32.dll에 선언됩니다
이러한 함수에는 NtUser 및 NtGdi 접두사가 있습니다(예: NtUserLockWorkStation 및 NtGdiEnableEudc).
[ edit ]를 사용합니다기본 API 기능의 사용에는 다음이 포함되지만 이에 국한되지는 않습니다
권한 활성화 및 비활성화(RtlAdjustPrivilege)
다른 세션에서 실행 중인 프로세스 내에서 원격 스레드 생성(RtlCreateUserThread)
네이티브 애플리케이션 실행(RtlCreateUserProcess)
강제 종료를 수행합니다(NtShutdownSystem)
참조 [ 편집 ]
What happens if you DELETE csrss.exe? New Update
주제에 대한 추가 정보 csrss
CHECK OUT MY APP, IT IS A VERY USEFUL APP, TO DOWNLOAD IT GO TO MY \”About\” PAGE.
I’ll be showing you what happens if you delete csrss.exe.
WARNING: DON’T DO THIS ON YOUR MAIN COMPUTER, DO THIS ON A VIRTUAL MACHINE, I DON’T TAKE ANY RESPONSIBILITY FOR ANY DAMAGE THAT YOU DID TO YOUR SYSTEM.
#windows #hypeboost
csrss주제 안의 멋진 사진을 볼 수 있습니다
Volatility Usage · volatilityfoundation/volatility Wiki … New Update
22/04/2017 · $ python vol.py –info VistaSP0x64 – A Profile for Windows Vista SP0 x64 VistaSP0x86 – A Profile for Windows Vista SP0 x86 VistaSP1x64 – A Profile for Windows Vista SP1 x64 VistaSP1x86 – A Profile for Windows Vista SP1 x86 VistaSP2x64 – A Profile for Windows Vista SP2 x64 VistaSP2x86 – A Profile for Windows Vista SP2 x86 Win10x64 – A Profile for Windows …
Read more
목차
변동성 사용
가장 기본적인 Volatility 명령은 아래와 같이 구성됩니다
plugin을 사용할 플러그인 이름으로, image를 메모리 이미지의 파일 경로로, profile을 프로필 이름(예: Win7SP1x64)으로 바꿉니다.
$ python vol.py [plugin] -f [image] – -프로필=[프로필]
다음은 예입니다
$ python vol.py pslist -f /path/to/memory.img –profile=Win7SP1x64
출력 형식 제어, 사용 가능한 플러그인 및 프로필 나열 또는 플러그인별 옵션 제공과 같은 이 예제 이외의 모든 것에 대해서는 아래 텍스트의 나머지 부분을 참조하십시오
글로벌 옵션
전역적인(즉, 모든 플러그인에 적용되는) 몇 가지 명령줄 옵션이 있습니다
이 섹션은 Volatility를 처음 사용하는 사람이나 어떤 기능을 조정할 수 있는지 더 잘 알고 싶어하는 사람을 위한 것입니다
도움말 표시
명령줄에서 -h 또는 –help를 전달하여 기본 도움말 메뉴를 표시할 수 있습니다
전역 옵션이 표시되고 현재 지정된 프로필에서 사용할 수 있는 플러그인이 나열됩니다
프로필을 지정하지 않으면 기본값인 WinXPSP2x86으로 작업하게 되므로 해당 운영 체제 및 아키텍처에 유효한 플러그인만 표시됩니다(예: Vista에서만 작동)
기본값 이외의 프로필을 지정하려면 아래 프로필 선택을 참조하십시오
이 섹션의 나머지 부분에서는 다양한 옵션에 대해 자세히 설명합니다
$ python vol.py -h -h, –help 사용 가능한 모든 옵션과 해당 옵션을 나열합니다
기본값
기본값은 구성 파일(/etc/volatilityrc)에서 설정 가능 –conf-file=/Users/mhl/.volatilityrc 사용자 기반 구성 파일 -d, –debug 디버그 변동성 –plugins=PLUGINS 추가 플러그인 디렉토리 사용(콜론으로 구분) –info 등록된 모든 개체에 대한 정보 인쇄 –cache-directory=/Users/mhl/.cache/volatility 캐시 파일이 저장되는 디렉토리 –cache 캐싱 사용 –tz=TZ (Olson ) pytz(설치된 경우) 또는 tzset -f FILENAME, –filename=FILENAME을 사용하여 타임스탬프를 표시하기 위한 시간대 이미지를 열 때 사용할 파일 이름 –profile=WinXPSP2x86 로드할 프로필의 이름(-info를 사용하여 목록 보기 지원되는 프로필 ) -l LOCATION, –location=LOCATION 주소 공간을 로드할 URN 위치 -w, –write 쓰기 지원 활성화 –dtb=DTB DTB 주소 –output=text 이 형식의 출력(지원은 모듈 특정, 아래 모듈 출력 옵션 참조) –output-file=OUTPUT_FILE 이 파일에 출력 쓰기 -v, –verbose 자세한 정보 –s hift =SHIFT Mac KASLR 시프트 주소 -g KDBG, –kdbg=KDBG KDBG 가상 주소 지정(참고: 64비트 Windows 8 이상에서는 KdCopyDataBlock의 주소입니다.) –force 의심되는 프로필을 강제로 사용 -k KPCR , –kpcr=KPCR 특정 KPCR 주소 지정 –cookie=COOKIE nt!ObHeaderCookie의 주소를 지정합니다(Windows 10에만 해당)
프로필 선택
휘발성은 메모리 덤프가 어떤 유형의 시스템에서 왔는지 알아야하므로 사용할 데이터 구조, 알고리즘 및 기호를 알 수 있습니다
WinXPSP2x86의 기본 프로필은 내부적으로 설정되어 있으므로 Windows XP SP2 x86 메모리 덤프를 분석하는 경우 –profile을 제공할 필요가 전혀 없습니다
그러나 다른 모든 경우에는 적절한 프로필 이름을 지정해야 합니다
참고: 메모리 덤프가 어떤 시스템 유형인지 모르는 경우 [imageinfo](Command Reference23#imageinfo) 또는 [kdbgscan](Command Reference23 #kdbgscan) 플러그인을 제안합니다
이 플러그인은 Windows 전용입니다
지원되는 프로필 이름 목록을 보려면 다음을 수행하십시오.
$ python vol.py –info VistaSP0x64 – A Profile for Windows Vista SP0 x64 VistaSP0x86 – A Profile for Windows Vista SP0 x86 VistaSP1x64 – A Profile for Windows Vista SP1 x64 VistaSP1x86 – A Profile for Windows Vista SP1 x86 VistaSP2x64 – A Profile for Windows Windows Vista SP2 x64 VistaSP2x86 – Windows Vista SP2 x86 Win10x64용 프로필 – Windows 10 x64 Win10x86용 프로필 – Windows 10 x86 Win2003SP0x86용 프로필 – Windows 2003 SP0 x86 Win2003SP1x64용 프로필 Ax1x64 – Windows용 프로필 – Windows 2003 SP1 x86용 Win2003SP2x64 – Windows 2003 SP2 x64용 프로필 Win2003SP2x86 – Windows 2003 SP2 x86용 프로필 ASP2 x86 Win2008R2SP0x64 – Windows 2008 R2 SP0 x64 SP1x64용 프로필 ASP SP1 x64 Win2008SP1x86 – Windows 2008용 프로필 SP1 x86 Win2008SP2x64 – Windows 2008 SP2 x64용 프로필 Win2008SP2x86 – Windows 2008 SP2 x86 Win2012R2x64용 프로필 – A 프로필 f 또는 Windows Server 2012 R2 x64 Win2012x64 – Windows Server 2012 x64 Win7SP0x64용 프로필 – Windows 7 SP0 x64 Win7SP0x86용 프로필 – Windows 7 SP0 x86 Win7SP1x64용 프로필 – Windows 7 SP1 x64 Win7SP1x용 프로필 – Windows Server 2012 x64 Win7SP1x용 프로필 x86 Win81U1x64 – A Profile for Windows 8.1 Update 1 x64 Win81U1x86 – A Profile for Windows 8.1 Update 1 x86 Win8SP0x64 – A Profile for Windows 8 x64 Win8SP0x86 – A Profile for Windows 8 x86 Win8SP1x64 – A Profile for Windows 6 x64 – A Profile for Windows 6 Windows 8.1 x86 WinXPSP1x64 – Windows XP SP1 x64용 프로필 WinXPSP2x64 – Windows XP SP2 x64용 프로필 WinXPSP2x86 – Windows XP SP2 x86용 프로필 WinXPSP3x86 – Windows XP SP3 x86용 프로필
명령줄 옵션의 대안
긴 참여를 시작하려고 하고 공통 플러그인 플래그를 입력하지 않으려는 경우 환경 변수와 구성 파일의 두 가지 대안이 있습니다
명령줄에 옵션이 제공되지 않으면 Volatility는 환경 변수에서 가져오려고 시도하고 실패하면 구성 파일에서 가져오려고 합니다
혼동을 피하기 위해 ( -h/–help ) 옵션도 사용 중인 값을 쉽게 확인할 수 있도록 각 매개변수의 현재 값을 나열합니다(환경 또는 구성 파일에서).
환경 변수
Linux 또는 OS X 시스템에서는 아래와 같이 셸에서 옵션을 내보내 옵션을 설정할 수 있습니다
$ export VOLATILITY_PROFILE=Win7SP0x86 $ export VOLATILITY_LOCATION=file:///tmp/myimage.img $ export VOLATILITY_KDBG=0x82944c28 $ python vol.py pslist $ python vol.py 파일
구성 파일
구성 파일은 일반적으로 현재 디렉토리 또는 ~/.volatilityrc(사용자의 홈 디렉토리) 또는 사용자 지정 경로(–conf-file 옵션 사용)에 있는 “volatilerc”입니다
파일 내용의 예는 다음과 같습니다
[기본값] 프로필=Win7SP0x86 위치=file:///tmp/myimage.img KDBG=0x82944c28구성 파일은 한 번에 여러 메모리 샘플을 처리할 때 특히 유용합니다
참고:
KPCR , DTB 또는 PLUGINS 와 같은 다른 플러그인 플래그가 이러한 방식으로 사용될 수 있습니다
변수를 내보낼 때 플래그 이름 앞에 VOLATILITY_ 접두사를 붙이면 됩니다(예: VOLATILITY_KPCR )
그렇지 않으면 구성 파일에 추가할 때 플래그 이름이 동일하게 유지됩니다.
또는
변수를 내보낼 때 플래그 이름 앞에 접두사를 붙이면 됩니다(예: )
그렇지 않으면 구성 파일에 추가할 때 플래그 이름이 동일하게 유지됩니다
이름에 공백 또는 그 이상의 공백이 있는 경로가 있는 경우 공백은 대신 %20으로 대체되어야 합니다(예: LOCATION=file:///tmp/my%20image.img ).
디버그 메시지 활성화
Volatility에서 예상한 대로 일이 일어나지 않으면 -d/–debug 명령을 실행해 보십시오
이렇게 하면 디버그 메시지를 표준 오류로 인쇄할 수 있습니다
Volatility를 디버깅해야 하는 경우(pdb 디버거를 사용하는 경우와 같이) 명령에 -d -d -d를 추가합니다
캐시 사용
참고: 현재 캐싱이 비활성화되었습니다.
캐시를 통해 Volatility는 나중에 검색할 수 있도록 임의의 개체와 상수를 저장할 수 있습니다
여기에는 DTB, KDBG 또는 KPCR 주소, 전체 x86 페이지 변환 테이블 또는 최대 절전 모드 압축 해제 데이터 구조가 포함될 수 있습니다
캐시 사용을 활성화하려면 명령에 –cache를 추가하십시오
이 기능은 디스크에 있는 파일의 데이터를 피클(직렬화)하므로 캐시 파일의 위치를 선택하려면 –cache-directory를 사용합니다
자세한 내용은 릴리스 버전에 대한 개발자 안내서의 캐싱 시스템 페이지를 참조하십시오
시간대 설정
메모리에서 추출된 타임스탬프는 시스템 로컬 시간 또는 UTC(Universal Time Coordinates)가 될 수 있습니다
UTC에 있는 경우 변동성은 분석가가 선택한 시간대에 표시하도록 지시할 수 있습니다
시간대를 선택하려면 –tz=TIMEZONE 플래그와 함께 표준 시간대 이름(예: Europe/London, US/Eastern 또는 대부분의 Olson 시간대)을 사용하십시오
Volatility는 설치된 경우 pytz를 사용하려고 시도하고 그렇지 않은 경우 tzset을 사용합니다
시간대를 지정해도 시스템 현지 시간이 표시되는 방식에는 영향을 미치지 않습니다
알고 있는 시간이 UTC 기반인 경우 문제 추적기에 문제로 제출하십시오
기본적으로 _EPROCESS CreateTime 및 ExitTime 타임스탬프는 UTC로 되어 있습니다
아래는 pytz가 설치된 Volatility의 출력입니다
$ python vol.py -f win7.vmem –profile=Win7SP1x86 pslist Volatility Foundation Volatility Framework 2.4 오프셋(V) 이름 PID PPID Thds Hnds Sess Wow64 시작 종료 ———- —— ———- —— —— —— ——– —— —- – – —————————— ———- ———– 0x84133630 시스템 4 0 93 420 —— 0 2011-10-20 15:25:11 UTC+0000 0x852add40 smss.exe 276 4 4 29 – – – 0 2011-10-20 15:25:11 UTC+0000 0x851d9530 csrss.exe 364 356 9 560 0 0 2011-10-20 15:25:15 UTC+0090 80×85 10-20 15:25:16 UTC+0000 0x859cf530 csrss.exe 416 396 10 236 1 0 2011-10-20 15:25:16 UTC+0000 [캡처]
아래는 –tz=America/Chicago 옵션을 사용하여 중부 표준시를 가져오는 동일한 샘플의 출력입니다
$ python vol.py -f win7.vmem –profile=Win7SP1x86 pslist –tz=America/Chicago Volatility Foundation Volatility Framework 2.4 오프셋(V) 이름 PID PPID Thds Hnds Sess Wow64 시작 종료 ——— – ——– —— —— —— ——– — — —— —————————— ———– ——————- 0x84133630 시스템 4 0 93 420 —— 0 2011-10-20 10:25:11 CDT-0500 0x852add40 smss.exe 276 4 4 29 —— 0 2011-10-20 10:25:11 CDT-0500 0x851d9530 csrss.exe 364 356 9 560 0 0 2011-10-20 10:25:509 CDT0x3 404 356 7 88 0 2011-10-20 10:25:16 CDT-0500 0x859cf530 csrss.exe 416 396 10 236 1 0 2011-10-20 10:25:. CDT-0500 아래는 위와 동일한 출력이지만 pytz 라이브러리가 설치되어 있지 않습니다
$ python2.6 vol.py -f win7.vmem –profile=Win7SP1x86 pslist –tz=America/Chicago Volatility Foundation Volatility Framework 2.4 오프셋(V) 이름 PID PPID Thds Hnds Sess Wow64 시작 종료 ——- — ——– —— —— —— ——– – —— —— —————————— ———- ———————- 0x84133630 시스템 4 0 93 420 —— 0 2011-10-20 10:25:11 CDT 0x852add40 smss.exe 276 4 4 29 —— 0 2011-10-20 10:25:11 CDT 0x851d9530 csrss.exe 364 356 9 560 0 0 2011-10-20 10:25:15 CDT 0x859init 0x859 0 0 2011-10-20 10:25:16 CDT 0x859cf530 csrss.exe 416 396 10 236 1 0 2011-10-20 10:25:16 CDT [snip]
DTB를 설정합니다
DTB(Directory Table Base)는 휘발성이 가상 주소를 물리적 주소로 변환하는 데 사용하는 것입니다
기본적으로 커널 DTB가 사용됩니다(유휴/시스템 프로세스에서)
데이터에 접근할 때 다른 프로세스의 DTB를 사용하려면 –dtb=ADDRESS에 주소를 지정하십시오.
KDBG 주소 설정
이것은 Windows 전용 옵션입니다.
휘발성은 하드 코딩된 서명 “KDBG”와 일련의 온전성 검사를 사용하여 _KDDEBUGGER_DATA64 구조를 검색합니다
이러한 서명은 운영 체제가 제대로 작동하는 데 중요하지 않으므로 맬웨어가 서명에 의존하는 도구를 제거하기 위해 서명을 덮어쓸 수 있습니다
또한 경우에 따라 _KDDEBUGGER_DATA64가 두 개 이상 있을 수 있습니다(예: 주요 OS 업데이트를 적용하고 재부팅하지 않는 경우)
이로 인해 다른 문제와 혼동을 일으키고 잘못된 프로세스 및 모듈 목록이 발생할 수 있습니다
주소 추가 _KDDEBUGGER_DATA64 를 알고 있는 경우 –kdbg=ADDRESS로 지정할 수 있으며 이는 자동 스캔을 무시합니다
자세한 내용은 [kdbgscan](Command Reference#kdbgscan) 플러그인을 참조하십시오
Windows 8 이상에서는 –kdbg 매개변수가 대신 KdCopyDataBlock의 주소여야 합니다
자세한 내용은 Windows 8 메모리 포렌식.
KPCR 주소 설정을 참조하십시오
이것은 Windows 전용 옵션입니다
시스템의 각 CPU에 대해 하나의 KPCR(Kernel Processor Control Region)이 있습니다
일부 Volatility 플러그인은 프로세서별 정보를 표시합니다
따라서 특정 CPU(예: CPU 1 대신 CPU 3)에 대한 데이터를 표시하려는 경우 –kpcr=ADDRESS를 사용하여 해당 CPU의 KPCR 주소를 전달할 수 있습니다
모든 CPU에 대한 KPCR을 찾으려면 [kpcrscan](Command Reference#kpcrscan) 플러그인을 참조하십시오
또한 Volatility 2.2부터 [idt](Command Reference#idt) 및 [gdt](Command Reference#gdt)와 같은 많은 플러그인이 KPCR 목록을 자동으로 반복합니다
쓰기 지원 활성화
Volatility의 쓰기 지원은 주의해서 사용해야 합니다
따라서 실제로 활성화하려면 명령줄에 –write를 입력해야 할 뿐만 아니라 프롬프트가 표시될 질문에 대한 응답으로 “비밀번호”를 입력해야 합니다
대부분의 경우 쓰기 지원을 사용하면 메모리 덤프의 데이터가 손상되거나 수정될 수 있으므로 사용하고 싶지 않을 것입니다
그러나 이 기능을 정말 흥미롭게 만드는 특별한 경우가 있습니다
예를 들어, 파이어와이어를 통해 RAM에 기록하여 특정 맬웨어의 라이브 시스템을 정리하거나 winlogon DLL의 바이트를 패치하여 잠긴 워크스테이션에 침입할 수 있습니다.
추가 플러그인 디렉터리 지정
Volatility의 플러그인 아키텍처는 한 번에 여러 디렉토리에서 플러그인 파일과 프로필을 로드할 수 있습니다
Volatility 소스 코드에서 대부분의 플러그인은 Volatility/plugins 에 있습니다
그러나 타사 개발자의 기여 또는 기본적으로 활성화되지 않은 약한 지원 플러그인을 위해 예약된 또 다른 디렉토리(volatility/contrib)가 있습니다
이러한 플러그인에 액세스하려면 명령줄에 –plugins=contrib/plugins를 입력하기만 하면 됩니다
또한 핵심 변동성 디렉토리에 파일을 추가/제거/수정할 필요 없이 관리할 수 있는 자체 플러그인의 별도 디렉토리를 생성할 수 있습니다
참고:
하위 디렉토리는 내부에 __init__.py 파일(비어 있을 수 있음).
파일(비어 있을 수 있음)이 있는 한 탐색됩니다
–plugins에 대한 매개변수는 –plugins=myplugins.zip 과 같은 플러그인이 포함된 zip 파일일 수도 있습니다
.
와 같은 플러그인이 포함된 zip 파일일 수도 있습니다
지정된 디렉터리에 프로필이 포함되어 있으면 프로필도 로드됩니다
이것은 Volatility.의 독립 실행형 실행 파일과 함께 생성된 Linux/Android/Mac 프로필을 사용하는 데 편리합니다
플러그인이 로드되는 방식으로 인해 외부 플러그인 디렉토리 또는 zip 파일은 플러그인 특정 인수(이름 포함) 앞에 지정되어야 합니다
플러그인)
예시:
$ python vol.py –plugins=contrib/plugins -f XPSP3x86.vmem 예제
출력 형식 선택
기본적으로 플러그인은 표준 출력에 텍스트 렌더러를 사용합니다
파일로 리디렉션하려면 물론 콘솔의 리디렉션(예: > out.txt )을 사용하거나 –output-file=out.txt 를 사용할 수 있습니다
–output=FORMAT을 선택할 수도 있는 이유는 플러그인이 출력을 HTML, JSON, SQL 또는 선택한 모든 것으로 렌더링할 수도 있기 때문입니다
그러나 사용을 위해 미리 구성된 대체 출력 형식을 가진 플러그인이 없으므로 –output=HTML.
플러그인 특정 옵션을 사용하기 전에 각 플러그인에 각각 render_html , render_json , render_sql 이라는 함수를 추가해야 합니다
많은 플러그인은 전역 옵션과 독립적인 자체 인수를 허용합니다
사용 가능한 옵션 목록을 보려면 명령줄에 플러그인 이름과 -h/–help를 모두 입력하십시오
$ python vol.py dlllist -h
변동성을 라이브러리로 사용
Volatility를 라이브러리로 사용할 수는 있지만 앞으로 더 잘 지원할 수 있기를 바랍니다
현재 다른 Python 스크립트 중 하나에서 변동성을 가져와야 하는 경우 다음 예제 코드를 사용할 수 있습니다.
How to remove Csrss.exe (cause virus) New Update
주제에서 더 많은 유용한 정보 보기 csrss
How to remove Csrss.exe (cause virus)
Link-http://www.hibitsoft.ir/
Link-https://www.adlice.com/roguekiller/
Link-https://www.greatis.com/security/reanimator.html
Client Service Runtime Process is a legitimate and important process that runs in Windows Operating Systems!
csrss주제 안의 관련 사진
CDB Command-Line Options – Windows drivers | Microsoft Docs New Update
15/12/2021 · If you are debugging CSRSS, this control redirection always is active, even if -d is not specified. (This option cannot be used during remote debugging — use -ddefer instead.) See Controlling the User-Mode Debugger from the Kernel Debugger for details.
Read more
목차
CDB 명령줄 옵션
기사
2021년 12월 15일 읽는 데 15분
1 기여자 이 페이지가 도움이 되었습니까? 예 아니오 추가 피드백이 있습니까? 피드백은 Microsoft로 전송됩니다
제출 버튼을 누르면 귀하의 피드백은 Microsoft 제품 및 서비스를 개선하는 데 사용됩니다
개인 정보 정책
제출 감사합니다
이 기사에서
CDB 또는 NTSD를 처음 사용하는 사용자는 CDB 및 NTSD를 사용한 디버깅 섹션으로 시작해야 합니다
CDB 명령줄은 다음 구문을 사용합니다
cdb [ -서버 서버 전송 | -remote ClientTransport ] [ -premote SmartClientTransport ] [-log{a|au|o|ou} LogFile] [-2] [-d] [-ddefer] [-g] [-G] [-hd] [-lines ] [-myob] [-bonc] [-n] [-o] [-s] [-v] [-w] [-cf “파일 이름”] [-cfr “파일 이름”] [-c “명령”] [-robp] [-r BreakErrorLevel] [-t PrintErrorLevel] [ -x{e|d|n|i} 예외 ] [-x] [-clines 라인] [-i ImagePath] [-y SymbolPath] [-srcpath 소스 경로] [-aExtension] [-failinc] [-noio] [-noinh] [-noshell] [-nosqm] [-sdce] [-ses] [-sicv] [-sins] [-snc] [-snul] [-zp PageFile] [-sup] [-sflags 0xNumber] [-ee {masm|c++}] [-e 이벤트] [-pb] [-pd] [-pe] [-pr] [-pt 초] [ -pv] [ — | -p PID | -pn 이름 | -psn 서비스 이름 | -z 덤프 파일 | 실행 파일 ] [-cimp] [-isd] [-kqm] [-pvr] [-버전] [-vf] [-vf:
NTSD 명령줄 구문은 CDB:의 구문과 동일합니다
ntsd [ -서버 서버 전송 | -remote ClientTransport ] [ -premote SmartClientTransport ] [-log{a|au|o|ou} LogFile] [-2] [-d] [-ddefer] [-g] [-G] [-hd] [-lines ] [-myob] [-bonc] [-n] [-o] [-s] [-v] [-w] [-cf “파일 이름”] [-cfr “파일 이름”] [-c “명령”] [-robp] [-r BreakErrorLevel] [-t PrintErrorLevel] [ -x{e|d|n|i} 예외 ] [-x] [-clines 라인] [-i ImagePath] [-y SymbolPath] [-srcpath 소스 경로] [-aExtension] [-failinc] [-noio] [-noinh] [-noshell] [-nosqm] [-sdce] [-ses] [-sicv] [-sins] [-snc] [-snul] [-zp PageFile] [-sup] [-sflags 0xNumber] [-ee {masm|c++}] [-e 이벤트] [-pb] [-pd] [-pe] [-pr] [-pt 초] [ -pv] [ — | -p PID | -pn 이름 | -psn 서비스 이름 | -z 덤프 파일 | 실행 파일 ] [-cimp] [-isd] [-kqm] [-pvr] [-버전] [-vf] [-vf:
NTSD와 CDB의 유일한 차이점은 NTSD가 새 콘솔 창을 생성하는 반면 CDB는 호출된 창을 상속한다는 것입니다
start 명령을 사용하여 새 콘솔 창을 생성할 수도 있으므로 다음 두 구성은 동일한 결과를 제공합니다
시작 cdb [매개변수] ntsd [매개변수]
CDB 및 NTSD 명령줄 옵션에 대한 설명은 다음과 같습니다
-remote, -server, -g 및 -G 옵션만 대소문자를 구분합니다
초기 하이픈은 슬래시(/)로 바꿀 수 있습니다
추가 매개변수를 사용하지 않는 옵션은 연결될 수 있으므로 cdb -o -d -G -g winmine은 cdb -odGg winmine으로 작성할 수 있습니다
-remote 또는 -server 옵션이 사용되는 경우 모든 옵션 앞에 나타나야 합니다
명령줄의 다른 옵션
실행 파일이 지정되면 명령줄에서 마지막에 나타나야 합니다
실행 파일 이름 뒤의 모든 텍스트는 자체 명령줄 매개변수로 실행 프로그램에 전달됩니다
매개변수
-서버 서버 전송
다른 디버거에서 액세스할 수 있는 디버깅 서버를 만듭니다
가능한 ServerTransport 값에 대한 설명은 디버깅 서버 활성화를 참조하십시오
이 매개변수를 사용하는 경우 명령줄의 첫 번째 매개변수여야 합니다.
-remote ClientTransport
디버깅 클라이언트를 만들고 이미 실행 중인 디버깅 서버에 연결합니다
가능한 ClientTransport 값에 대한 설명은 디버깅 클라이언트 활성화를 참조하십시오
이 매개변수를 사용하는 경우 명령줄의 첫 번째 매개변수여야 합니다.
-premote SmartClientTransport
스마트 클라이언트를 생성하고 이미 실행 중인 프로세스 서버에 연결합니다
가능한 SmartClientTransport 값에 대한 설명은 스마트 클라이언트 활성화를 참조하십시오
-2
대상 응용 프로그램이 콘솔 응용 프로그램인 경우 이 옵션을 사용하면 새 콘솔 창에 표시됩니다
(기본값은 대상 콘솔 응용 프로그램이 창을 CDB 또는 NTSD와 공유하는 것입니다.) —
CSRSS(클라이언트 서버 런타임 하위 시스템)를 디버그합니다
자세한 내용은 CSRSS 디버깅.
-a 확장을 참조하세요
기본 확장 DLL을 설정합니다
기본값은 userext입니다
“a” 뒤에 공백이 없어야 하며. dll 확장자가 포함되지 않아야 합니다
이 기본값을 설정하는 자세한 방법 및 기타 방법은 디버거 확장 DLL 로드를 참조하세요.
-bonc
이 옵션을 지정하면 세션이 시작되자마자 디버거가 대상으로 침입합니다
이것은 현재 대상으로 분리되지 않을 수 있는 디버깅 서버에 연결할 때 특히 유용합니다
-c ” command “
시작 시 실행할 초기 디버거 명령을 지정합니다
이 명령은 따옴표로 묶어야 합니다
여러 명령은 세미콜론으로 구분할 수 있습니다
(긴 명령 목록이 있는 경우 스크립트에 넣은 다음 $<, $><, $><, $$><(스크립트 파일 실행) 명령과 함께 -c 옵션을 사용하는 것이 더 쉬울 수 있습니다
)
디버깅 클라이언트를 시작하는 경우 이 명령은 디버깅 서버용이어야 합니다
.lsrcpath와 같은 클라이언트별 명령은 허용되지 않습니다.
-cf ” filename “
스크립트 파일의 경로와 이름을 지정합니다
이 스크립트 파일은 디버거가 시작되자마자 실행됩니다
파일 이름에 공백이 있으면 따옴표로 묶어야 합니다
경로를 생략하면 현재 디렉토리가 가정됩니다
-cf 옵션을 사용하지 않으면 현재 디렉토리에 있는 ntsd.ini 파일을 스크립트 파일로 사용한다
파일이 없으면 오류가 발생하지 않습니다
자세한 내용은 스크립트 파일 사용을 참조하십시오.
-cfr ” filename “
스크립트 파일의 경로와 이름을 지정합니다
이 스크립트 파일은 디버거가 시작되는 즉시 실행되며 대상이 다시 시작될 때마다 실행됩니다
파일 이름에 공백이 있으면 따옴표로 묶어야 합니다
경로를 생략하면 현재 디렉토리가 가정됩니다
파일이 없으면 오류가 발생하지 않습니다
자세한 내용은 스크립트 파일 사용을 참조하십시오.
-cimp
실행할 명시적 프로세스 대신 DbgSrv 암시적 명령줄로 시작하도록 CDB/NTSD에 지시합니다
이 옵션은 dbgsrv -pc.
-clines 라인의 클라이언트 측입니다
원격 디버깅 중에 액세스할 수 있는 명령 기록의 대략적인 명령 수를 설정합니다
자세한 내용 및 이 번호를 변경하는 다른 방법은 디버거 명령 사용을 참조하십시오
-d
이 디버거의 제어를 커널 디버거에 전달합니다
CSRSS를 디버깅하는 경우 -d가 지정되지 않은 경우에도 이 제어 리디렉션은 항상 활성화됩니다
(이 옵션은 원격 디버깅 중에는 사용할 수 없습니다
대신 -ddefer를 사용하십시오.) 자세한 내용은 커널 디버거에서 사용자 모드 디버거 제어를 참조하십시오
이 옵션은 -ddefer 옵션 또는 -noio 옵션과 함께 사용할 수 없습니다
참고 WinDbg를 커널 디버거로 사용하는 경우 WinDbg의 친숙한 기능 중 많은 부분을 이 시나리오에서 사용할 수 없습니다
예를 들어 로컬 창, 디스어셈블리 창 또는 호출 스택 창을 사용할 수 없으며 소스 코드를 단계별로 실행할 수 없습니다
WinDbg가 대상 컴퓨터에서 실행되는 디버거(NTSD 또는 CDB)의 뷰어 역할만 하기 때문입니다
-ddefer
디버깅 클라이언트가 연결되어 있지 않으면 이 디버거의 제어를 커널 디버거에 전달합니다
(디버깅 서버에서 사용할 수 있는 -d의 변형입니다.) 자세한 내용은 커널 디버거에서 사용자 모드 디버거 제어를 참조하십시오
이 옵션은 -d 옵션 또는 -noio 옵션과 함께 사용할 수 없습니다.
-e 이벤트
지정된 이벤트가 발생했음을 디버거에 알립니다
이 옵션은 프로그래밍 방식으로 디버거를 시작할 때만 사용됩니다
-ee {masm|c++}
기본 표현식 평가기를 설정합니다
masm이 지정되면 MASM 표현식 구문이 사용됩니다
C++가 지정되면 C++ 표현식 구문이 사용됩니다
-ee 옵션을 생략하면 MASM 표현식 구문이 기본값으로 사용됩니다
자세한 내용은 표현식 평가를 참조하십시오.
-failinc
디버거가 의심스러운 기호를 무시하도록 합니다
사용자 모드 또는 커널 모드 미니 덤프 파일을 디버깅할 때 이 옵션은 또한 디버거가 이미지를 매핑할 수 없는 모듈을 로드하지 못하도록 합니다
자세한 내용과 이를 제어하는 다른 방법은 SYMOPT_EXACT_SYMBOLS.
-g를 참조하세요
대상 응용 프로그램의 초기 중단점을 무시합니다
이 옵션을 사용하면 다른 중단점이 설정되지 않은 경우 대상 응용 프로그램이 시작되거나 CDB가 연결된 후에도 계속 실행됩니다
자세한 내용은 초기 중단점을 참조하십시오.
-G
프로세스 종료 시 최종 중단점을 무시합니다
기본적으로 CDB는 이미지 런다운 프로세스 중에 중지됩니다
이 옵션을 사용하면 자식이 종료될 때 CDB가 즉시 종료됩니다
이것은 sxd epr 명령을 입력하는 것과 같은 효과를 가집니다
자세한 내용은 예외 및 이벤트 제어.
-hd를 참조하십시오
디버그 힙을 사용하지 않도록 지정합니다
자세한 내용은 CDB를 사용하여 사용자 모드 프로세스 디버깅을 참조하십시오.
-i ImagePath
결함을 생성한 실행 파일의 위치를 지정합니다
경로에 공백이 있으면 따옴표로 묶어야 합니다
.
-iae
사후 디버거로 CDB를 설치합니다
자세한 내용은 사후 디버깅 활성화를 참조하십시오
이 작업이 성공하면 메시지가 표시되지 않습니다
실패하면 오류 메시지가 표시됩니다.
-iae 매개변수는 다른 매개변수와 함께 사용하면 안 됩니다
이 명령은 실제로 CDB.
-iaec KeyString을 시작하지 않습니다
사후 디버거로 CDB를 설치합니다
KeyString의 내용은 AeDebug 레지스트리 키 끝에 추가됩니다
KeyString에 공백이 포함된 경우 따옴표로 묶어야 합니다
자세한 내용은 사후 디버깅 활성화를 참조하십시오
이 작업이 성공하면 메시지가 표시되지 않습니다
실패하면 오류 메시지가 표시됩니다.
-iaec 매개변수는 다른 매개변수와 함께 사용하면 안 됩니다
이 명령은 실제로 CDB.
-isd를 시작하지 않습니다
모든 프로세스 생성에 대해 CREATE_IGNORE_SYSTEM_DEFAULT 플래그를 켭니다
.
-iu KeyString
사용자가 URL을 사용하여 디버거 원격 클라이언트를 자동 실행할 수 있도록 디버거 원격을 URL 유형으로 등록합니다
KeyString의 형식은 remdbgeng: // RemotingOption입니다
RemotingOption은 디버깅 클라이언트 활성화 항목에 정의된 대로 전송 프로토콜을 정의하는 문자열입니다
이 작업이 성공하면 메시지가 표시되지 않습니다
실패하면 오류 메시지가 표시됩니다.
-iu 매개변수는 다른 매개변수와 함께 사용하면 안 됩니다
이 명령은 실제로 CDB.
-kqm을 시작하지 않습니다
조용한 모드에서 CDB/NTSD를 시작합니다
.
-lines
소스 라인 디버깅을 가능하게 합니다
이 옵션을 생략하면 소스 디버깅이 허용되기 전에. lines(소스 라인 지원 토글) 명령을 사용해야 합니다
이를 제어하는 다른 방법은 SYMOPT_LOAD_LINES.
-log {a | 오 | 오 | ou} 로그 파일
로그 파일에 정보를 기록하기 시작합니다
지정된 파일이 이미 있는 경우 -logo를 사용하면 덮어쓰고 -loga를 사용하면 파일에 출력을 추가합니다
-logau 및 -logou 옵션은 로그 파일이 유니코드 파일이라는 점을 제외하고 각각 -loga 및 -logo와 유사하게 작동합니다
자세한 내용은 CDB.
-myob에 로그 파일 유지를 참조하십시오
dbghelp.dll과 버전이 일치하지 않으면 디버거가 계속 실행됩니다
(-myob 스위치가 없으면 치명적인 오류로 간주됩니다.) -N
시끄러운 기호 로드: 기호 처리기에서 자세한 출력을 활성화합니다
자세한 내용 및 이를 제어하는 다른 방법은 SYMOPT_DEBUG.
-netsyms {yes | 아니요}
네트워크 경로에서 기호 로드를 허용하거나 허용하지 않습니다
-noinh
디버거에서 만든 프로세스가 디버거에서 핸들을 상속하지 못하도록 합니다
이를 제어하는 다른 방법은 CDB.
-noio를 사용하여 사용자 모드 프로세스 디버깅을 참조하세요
디버깅 서버가 입력 또는 출력에 사용되는 것을 방지합니다
입력은 디버깅 클라이언트(-c 명령줄 옵션으로 지정된 모든 초기 명령 또는 명령 스크립트 포함)에서만 허용됩니다.
모든 출력은 디버깅 클라이언트로 보내집니다
NTSD가 서버에 사용되는 경우 콘솔 창이 전혀 생성되지 않습니다
자세한 내용은 디버깅 서버 활성화를 참조하십시오
이 옵션은 -d 옵션 또는 -ddefer 옵션과 함께 사용할 수 없습니다.
-noshell
모든. shell 명령을 금지합니다
이 금지는 새 디버깅 세션이 시작되더라도 디버거가 실행되는 동안 지속됩니다
자세한 내용 및. shell 명령을 비활성화하는 다른 방법은 셸 명령 사용을 참조하십시오.
-nosqm
원격 측정 데이터 수집 및 업로드를 비활성화합니다
-o
대상 응용 프로그램(하위 프로세스)에서 시작한 모든 프로세스를 디버그합니다
기본적으로 디버깅 중인 프로세스에서 생성된 프로세스는 정상적으로 실행됩니다
이를 제어하는 다른 방법은 CDB를 사용하여 사용자 모드 프로세스 디버깅을 참조하십시오.
-p PID
디버깅할 10진수 프로세스 ID를 지정합니다
이것은 이미 실행 중인 프로세스를 디버그하는 데 사용됩니다
자세한 내용은 CDB를 사용하여 사용자 모드 프로세스 디버깅을 참조하십시오.
-pb
디버거가 대상 프로세스에 연결할 때 초기 침입을 요청하지 못하도록 합니다
이것은 응용 프로그램이 이미 일시 중단되었거나 대상에서 침입 스레드를 생성하지 않으려는 경우에 유용할 수 있습니다.
-pd
디버깅 세션이 끝날 때 대상 응용 프로그램이 종료되지 않도록 합니다
자세한 내용은 CDB에서 디버깅 세션 종료를 참조하십시오.
-pe
대상 응용 프로그램이 이미 디버깅 중임을 나타냅니다
자세한 내용은 대상 응용 프로그램에 다시 연결을 참조하십시오.
-pn 이름
디버깅할 프로세스의 이름을 지정합니다
(이 이름은 고유해야 합니다.) 이미 실행 중인 프로세스를 디버그하는 데 사용됩니다.
-pr
디버거가 대상 프로세스에 연결할 때 실행 중인 대상 프로세스를 시작하도록 합니다
이것은 응용 프로그램이 이미 일시 중단되고 실행을 재개하려는 경우에 유용할 수 있습니다.
-psn ServiceName
디버깅할 프로세스에 포함된 서비스의 이름을 지정합니다
이것은 이미 실행 중인 프로세스를 디버그하는 데 사용됩니다.
-pt 초
중단 시간 제한을 초 단위로 지정합니다
기본값은 30입니다
자세한 내용은 대상 제어를 참조하십시오.
-pv
디버거가 대상 프로세스에 비침습적으로 연결해야 함을 지정합니다
자세한 내용은 비침습적 디버깅(사용자 모드)을 참조하십시오.
-pvr
대상 프로세스가 일시 중단되지 않는다는 점을 제외하고 -pv와 같이 작동합니다
-QR 서버
지정된 네트워크 서버에서 실행 중인 모든 디버깅 서버를 나열합니다
서버 앞에 오는 이중 백슬래시(\)는 선택 사항입니다
자세한 내용은 디버깅 서버 검색을 참조하십시오
-QR 매개변수는 다른 매개변수와 함께 사용할 수 없습니다
이 명령은 실제로 CDB를 시작하지 않습니다.
-r BreakErrorLevel
대상이 디버거에 침입하게 하는 오류 수준을 지정합니다
이것은 0, 1, 2 또는 3과 같은 10진수입니다
가능한 값은 다음과 같습니다
값 상수 의미 0 NONE 오류가 발생해도 중단하지 않습니다
1 ERROR 오류 수준 디버깅 이벤트에서 중단됩니다
2 MINORERROR MINORERROR 및 ERROR 수준 디버깅 이벤트에서 중단됩니다
3 경고 WARNING, MINORERROR 및 ERROR 수준 디버깅 이벤트 중단
이 오류 수준은 Microsoft Windows의 확인된 빌드에서만 의미가 있습니다
기본값은 1입니다
확인된 빌드는 Windows 10 버전 1803 이전의 Windows 이전 버전에서 사용할 수 있었습니다.
-robp
이를 통해 CDB는 읽기 전용 메모리 페이지에 중단점을 설정할 수 있습니다
(기본값은 이러한 작업이 실패하는 것입니다.) -에스
지연 기호 로드를 비활성화합니다
이렇게 하면 프로세스 시작 속도가 느려집니다
자세한 내용 및 이를 제어하는 다른 방법은 SYMOPT_DEFERRED_LOADS.
-sdce를 참조하세요
기호 로드 중에 디버거가 파일 액세스 오류 대화 상자를 표시하도록 합니다
자세한 내용 및 이를 제어하는 다른 방법은 SYMOPT_FAIL_CRITICAL_ERRORS.
-ses를 참조하세요
디버거가 모든 기호 파일에 대한 엄격한 평가를 수행하고 의심스러운 기호를 무시하도록 합니다
자세한 내용 및 이를 제어하는 다른 방법은 SYMOPT_EXACT_SYMBOLS를 참조하세요.
-sflags 0x 숫자
모든 기호 처리기 옵션을 한 번에 설정합니다
숫자는 접두사가 0x인 16진수여야 합니다
0x가 없는 10진수도 허용되지만 기호 옵션은 이진 플래그이므로 16진수를 사용하는 것이 좋습니다
이 옵션은 모든 기호 처리기 기본값을 재정의하므로 주의해서 사용해야 합니다
자세한 내용은 기호 옵션 설정.
-sicv를 참조하십시오
심볼 핸들러가 CV 레코드를 무시하도록 합니다
자세한 내용 및 이를 제어하는 다른 방법은 SYMOPT_IGNORE_CVREC.
-sins를 참조하세요
디버거가 기호 경로 및 실행 가능한 이미지 경로 환경 변수를 무시하도록 합니다
자세한 내용은 SYMOPT_IGNORE_NT_SYMPATH.
-snc를 참조하세요
디버거가 C ++ 번역을 끄도록 합니다
자세한 내용 및 이를 제어하는 다른 방법은 SYMOPT_NO_CPP.
-snul을 참조하세요
규정되지 않은 이름에 대한 자동 기호 로드를 비활성화합니다
자세한 내용 및 이를 제어하는 다른 방법은 SYMOPT_NO_UNQUALIFIED_LOADS.
-srcpath SourcePath를 참조하세요
소스 파일 검색 경로를 지정합니다
여러 경로는 세미콜론(;)으로 구분합니다
경로에 공백이 있으면 따옴표로 묶어야 합니다
자세한 내용 및 이 경로를 변경하는 다른 방법은 소스 경로.
-sup을 참조하십시오
모든 기호 검색 중에 기호 처리기가 공용 기호 테이블을 검색하도록 합니다
자세한 내용 및 이를 제어하는 다른 방법은 SYMOPT_AUTO_PUBLICS.
-t PrintErrorLevel을 참조하세요
디버거가 오류 메시지를 표시하도록 하는 오류 수준을 지정합니다
이것은 0, 1, 2 또는 3과 같은 10진수입니다
가능한 값은 다음과 같습니다
값 상수 의미 0 NONE 오류를 표시하지 않습니다
1 ERROR 오류 레벨 디버깅 이벤트를 표시합니다
2 MINORERROR MINORERROR 및 ERROR 레벨 디버깅 이벤트를 표시합니다
3 경고 WARNING, MINORERROR 및 ERROR 수준 디버깅 이벤트를 표시합니다
이 오류 수준은 Microsoft Windows의 확인된 빌드에서만 의미가 있습니다
확인된 빌드는 Windows 10, 버전 1803 이전의 Windows 이전 버전에서 사용할 수 있었습니다
기본값은 1.
-v입니다
디버거.
-version에서 자세한 출력을 활성화합니다
디버거 버전 문자열.
-vf를 인쇄합니다
기본 ApplicationVerifier 설정을 활성화합니다
.
-vf:
지정된 ApplicationVerifier 설정을 활성화합니다
.
-w
별도의 VDM.
-wake PID에서 16비트 응용 프로그램을 디버그하도록 지정합니다
프로세스 ID가 PID로 지정된 사용자 모드 디버거에 대해 절전 모드가 종료되도록 합니다
이 명령은 절전 모드 동안 대상 시스템에서 실행되어야 합니다
자세한 내용은 커널 디버거에서 사용자 모드 디버거 제어를 참조하십시오.
-wake 매개변수는 다른 매개변수와 함께 사용하면 안 됩니다
이 명령은 실제로 CDB를 시작하지 않습니다.
-x {e | 디 | 엔 | i} 예외
지정된 이벤트가 발생할 때 디버거의 동작을 제어합니다
예외는 예외 번호 또는 이벤트 코드일 수 있습니다
이 옵션을 여러 번 지정하여 다른 이벤트를 제어할 수 있습니다
이러한 설정을 제어하는 다른 방법과 자세한 내용은 예외 및 이벤트 제어를 참조하십시오
-x
액세스 위반 예외에 대한 첫 번째 중단을 비활성화합니다
액세스 위반이 두 번째로 발생하면 디버거가 중단됩니다
이것은 -xd av.
-y SymbolPath와 동일합니다
기호 검색 경로를 지정합니다
여러 경로는 세미콜론(;)으로 구분합니다
경로에 공백이 있으면 따옴표로 묶어야 합니다
자세한 내용 및 이 경로를 변경하는 다른 방법은 Symbol Path.
-z DumpFile을 참조하십시오
디버그할 크래시 덤프 파일의 이름을 지정합니다
경로 및 파일 이름에 공백이 포함된 경우 따옴표로 묶어야 합니다
여러 -z 옵션을 포함하여 한 번에 여러 개의 덤프 파일을 열 수 있으며 각각 뒤에 다른 DumpFile 값이 옵니다
자세한 내용은 사용자 모드 덤프 파일 분석.
-zp PageFile을 참조하십시오
수정된 페이지 파일의 이름을 지정합니다
이것은 덤프 파일을 디버깅하고. pagein(메모리 페이지) 명령을 사용하려는 경우에 유용합니다
-zp는 표준 Windows 페이지 파일과 함께 사용할 수 없습니다
특별히 수정된 페이지 파일만 사용할 수 있습니다
.
실행 가능
실행 가능한 프로세스의 명령줄을 지정합니다
이것은 새 프로세스를 시작하고 디버그하는 데 사용됩니다
이것은 명령줄의 마지막 항목이어야 합니다
실행 파일 이름 뒤의 모든 텍스트는 인수 문자열로 실행 파일에 전달됩니다.
-?
명령줄 도움말 텍스트를 표시합니다.
디버거를 시작 | 명령 프롬프트 창에서 실행하거나 응용 프로그램의 파일 이름 뒤에 대상 응용 프로그램에 대한 인수를 지정합니다
예를 들어:
What Happens If You Kill The Csrss.exe Process In Windows Update New
주제에 대한 추가 정보 csrss
Do NOT ever do this to your computer! It could possible cause damage. I am warning you. I am not responsible if you do this and it damages your computer. That’s why I do it on a virtual machine. Killing off csrss.exe will crash the computer. To do this. You need to run task manager in system32 manually as administrator.
Visit my website at http://www.sonicrush007.weebly.com
Join my Discord server: https://discord.gg/W2PYJA5rMd
Follow me on Twitter: https://twitter.com/Sonicrush007
csrss주제 안의 관련 사진
주제에 대한 추가 정보 보기 csrss
Updating
주제와 관련된 검색입니다 csrss
Updating
방금 주제 제목 csrss
