Escape From The Troubles : Tool

[Troubleshooting] Windows의 특정 레지스트리 키가 비활성화되어 있는 현상

escapetrouble — Wed, 18 Mar 2009 09:09:00 GMT

Windows의 특정 레지스트리 키가 비활성화되거나 해당 키 접근 시, "보안 정보를 표시할 수 없습니다"라는 메시지가 발생할 수 있습니다. 이 문제는 특정 application에서 해당 레지스트리 키의 handle을 open한 후, handle이 정상적으로 close되지 않았을 때 발생할 수 있습니다. 문제 발생 시, 어떤 application에 해당 레지스트리 키의 handle을 open하고 있었는지 확인하기 위해서는 process explorer 라는 tool을 이용하여 확인할 수 있습니다.

1) 먼저, 아래 웹사이트에서 process explorer를 다운 받습니다.

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

2) 문제 증상이 발생하는 시스템에서 process explorer를 실행합니다.

3) Find 메뉴/Find handle or Dll을 실행합니다.

4) Handle or DLL substring에 문제가 되는 레지스트리 키의 일부 string을 입력하고 search 버튼을 클릭합니다.

5) 해당 레지스트리 키를 open하고 있는 프로세스를 확인할 수 있습니다.

[Tool] WMI 진단 도구 (WMIDiag)

escapetrouble — Wed, 18 Mar 2009 08:49:00 GMT

Windows WMI 서비스의 쿼리가 정상적으로 동작하지 않을 때, WMI 진단 도구를 이용하여 문제 원인을 진단해 볼 수 있습니다. WMI Diag 진단 도구를 다운로드 받는 방법과 데이터 수집 방법은 아래와 같습니다.

WMIDIAG 수집

1) 아래 WMIDIAG tool을 다운로드 받으신 후에 C:\wmidiag 폴더에 압축을 풉니다.

http://www.microsoft.com/downloads/details.aspx?familyid=D7BA3CD6-18D1-4D05-B11E-4C64192AE97D&displaylang=en

2) 문제 증상 0x80041006 오류가 발생하는 시점에서 아래 명령을 명령 실행 창에서 실행합니다.

cscript wmidiag.vbs logfilepath=c:

3) 명령이 다 실행 완료되면, c:\에서 생성된 WMIDIAG*.* 파일을 수집합니다.

4) 추가적으로 아래 폴더의 WMI log들도 수집합니다.

C:\WINDOWS\system32\WBEM\Logs

[Tool] Windows 에서 ACL 정보를 포함하여 파일(폴더)를 copy하는 방법

escapetrouble — Mon, 01 Dec 2008 08:15:00 GMT

다음은 Windows에 내장된 xcopy tool을 이용하여 ACL 정보를 포함하여 파일(폴더)을 copy하는 방법을 설명합니다.
예를 들어 아래 명령은 Disk X:에서 Disk S:로 ACL 및 subfolder 정보를 모두 포함하여 파일을 copy합니다.

xcopy /x/o/e x: s:

참고사항 : Xcopy의 옵션은 xcopy /? 입력하시면 세부적인 내용을 확인하실 수 있습니다.
/X          Copies file audit settings (implies /O).
/O          Copies file ownership and ACL information.
/E          Copies directories and subdirectories, including empty ones.

[Tool] User Mode Process Dumper를 이용하여 user process dump 를 수집하는 방법

escapetrouble — Thu, 23 Oct 2008 09:46:00 GMT

Windows에서 User mode process dump를 수집하는 방법은 몇 가지가 있습니다. Windows에 내장되어는 Dr. Watson 디버거를 사용하는 방법과 WinDBG를 이용하는 방법이 많이 사용되고 있지만, 여기서는 User Mode Process Dumper라는 tool을 이용한 user process dump 를 수집하는 방법을 소개합니다. User Mode Process Dumper는 GUI 기반의 tool이고 rule을 미리 생성해 놓으면 시스템 부팅 과정의 process crash 덤프를 수집할 수 있습니다. 예를 들어, 시스템 로그인 과정에서 explorer.exe가 crash되는 경우, explorer.exe의 프로세스의 crash 덤프를 수집할 경우 매우 유용하게 사용할 수 있습니다.

다음 실제로 explorer.exe가 crash될 때, explorer.exe의 프로세스 crash 덤프를 수집하기 위한 설정 방법을 step by step으로 설명하고 있습니다.

User Mode Process Dumper 자료 수집
1. 아래 링크를 통하여 user dump tool을 다운로드 받아 설치합니다.
http://www.microsoft.com/downloads/details.aspx?FamilyID=e089ca41-6a87-40c8-bf69-28ac08570b7e&DisplayLang=en
2. 더블 클릭하여 실행하면 실행 파일이 C:\kktools\userdump81\ folder에 저장됩니다.
3. C:\kktools\userdump81\x86\setup.exe를 실행하여 setup process실행합니다.
4. 설치 과정에서 “Dump on process termination” 기능을 enable합니다.
5. 설치가 끝나면, 제어판에서 Process dumper 를 실행합니다
6. New 를 클릭하시고, dump를 수집할 process를 입력합니다.
=> 여기에 수집하고자하는 process 이름, 예를 들면, explorer.exe 를 입력합니다.
7. 해당 아이템을 Double click 하여 process monitor rule 대화상자를 실행합니다.
8. Use custom rules 을 실행합니다
9. Dump file folder text 상자에 덤프 파일이 저장될 경로를 입력합니다.
10. All Exceptions 를 선택합니다.
11. Minidump type은 Complete, Save mode는 Cyclic Saving(5 times) 를 선택합니다.
12. Monitor process exit 을 선택하고 Minidump type은 Complete 를 선택합니다.
13. 문제 증상을 재현하면, 9번에 설정한 경로에 process덤프가 생성될 것입니다.

** 자료 수집 이후, 덤프 설정을 제거하기 위해서는 제어판/Process dumper/Process Monitoring에서 explorer.exe 를 선택 후, Remove 버튼을 클릭하시면 됩니다.