WER 이라고 하면, Windows 내에서 크래쉬가 발생 또는 응용프로그램이 문제가 발생할 경우 Dump 파일을 생성하여, 해당 파일을 MS 측으로 전달하는 과정을 의미한다.
WER의 경우는 MS 쪽으로 오류 정보를 보내겠습니까? 라는 메시지가 바로 WER이다.
해당 WER의 덤프는 유저의 마음대로 설정할 수 있는데, 그 내용이 바로 아래에 나와 있는 주소 이다.
http://msdn.microsoft.com/en-us/library/windows/desktop/bb513616(v=vs.85).aspx
해당 주소가 가게 되면 LocalDumps 라는 키를 생성하여, 응용프로그램 상의 문제가 발생하는 모든 덤프를 확인 할 수 있다.
분석을 하기 위한 준비 단계로 생각되며, 해당 세팅을 할 경우 향후 많은 도움이 될 것으로 판단된다.
LocalDumps.reg
각 항목의 정보는 아래와 같다.
|
value |
type |
default value |
|
DumpFolder |
REG_EXPAND_SZ |
%SystemRoot%\Minidump |
|
DumpCount |
REG_DWORD |
20 |
|
DumpType |
REG_DWORD |
2 |
DumpFolder : 덤프 파일이 생성될 경로
DumpCount : 덤프 파일 보존 개수 (넘게 되면 오래된 것부터 삭제)
DumpType : 1. 미니덤프 / 2. 전체덤프
출처 : windbg로 쉽게 배우는 Windows Debugging - 책
MS WER 홈페이지 : http://msdn.microsoft.com/en-us/library/windows/desktop/bb513616(v=vs.85).aspx
'Reverse > 분석 문서' 카테고리의 다른 글
| 악성파일이 자주 날라 오는 요즘...분석 (0) | 2013.03.28 |
|---|---|
| 남들이 다한 320 샘플 분석... (0) | 2013.03.26 |
| Load 하는데 Single Step Exception으로 Terminate 될 경우... (0) | 2012.07.16 |
| [WinDbg 따라하기 - 0x004] crash dump file 생성하기 - II (0) | 2012.04.30 |
| [WinDbg 따라하기 - 0x003] crash dump file 생성하기 (0) | 2012.01.06 |