[Tool] User Mode Process Dumper를 이용하여 user process dump 를 수집하는 방법
Windows에서 User mode process dump를 수집하는 방법은 몇 가지가 있습니다. Windows에 내장되어는 Dr. Watson 디버거를 사용하는 방법과 WinDBG를 이용하는 방법이 많이 사용되고 있지만, 여기서는 User Mode Process Dumper라는 tool을 이용한 user process dump 를 수집하는 방법을 소개합니다. User Mode Process Dumper는 GUI 기반의 tool이고 rule을 미리 생성해 놓으면 시스템 부팅 과정의 process crash 덤프를 수집할 수 있습니다. 예를 들어, 시스템 로그인 과정에서 explorer.exe가 crash되는 경우, explorer.exe의 프로세스의 crash 덤프를 수집할 경우 매우 유용하게 사용할 수 있습니다.
다음 실제로 explorer.exe가 crash될 때, explorer.exe의 프로세스 crash 덤프를 수집하기 위한 설정 방법을 step by step으로 설명하고 있습니다.
User Mode Process Dumper 자료 수집
1. 아래 링크를 통하여 user dump tool을 다운로드 받아 설치합니다.
http://www.microsoft.com/downloads/details.aspx?FamilyID=e089ca41-6a87-40c8-bf69-28ac08570b7e&DisplayLang=en
2. 더블 클릭하여 실행하면 실행 파일이 C:\kktools\userdump81\ folder에 저장됩니다.
3. C:\kktools\userdump81\x86\setup.exe를 실행하여 setup process실행합니다.
4. 설치 과정에서 “Dump on process termination” 기능을 enable합니다.
5. 설치가 끝나면, 제어판에서 Process dumper 를 실행합니다
6. New 를 클릭하시고, dump를 수집할 process를 입력합니다.
=> 여기에 수집하고자하는 process 이름, 예를 들면, explorer.exe 를 입력합니다.
7. 해당 아이템을 Double click 하여 process monitor rule 대화상자를 실행합니다.
8. Use custom rules 을 실행합니다
9. Dump file folder text 상자에 덤프 파일이 저장될 경로를 입력합니다.
10. All Exceptions 를 선택합니다.
11. Minidump type은 Complete, Save mode는 Cyclic Saving(5 times) 를 선택합니다.
12. Monitor process exit 을 선택하고 Minidump type은 Complete 를 선택합니다.
13. 문제 증상을 재현하면, 9번에 설정한 경로에 process덤프가 생성될 것입니다.
** 자료 수집 이후, 덤프 설정을 제거하기 위해서는 제어판/Process dumper/Process Monitoring에서 explorer.exe 를 선택 후, Remove 버튼을 클릭하시면 됩니다.
