Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

-----
IZ.RU

| Сообщение посчитали полезным: stereo2013

Под 2000 хз, под хр ставил буквально месяц назад, сливая с мелкомягких. Так что всё там есть. А тут http://msdn.microsoft.com/en-us/windows/hardware/gg463028 можно сразу пак символов слить, включая 2000. Но это для релизных ОС.

| Сообщение посчитали полезным:

Archer В том то и незадача, что при установке с пакована они как-то криво становятся, хотя версию сп и язык подбираю строго... может надо дополнительный пакет установить, но его попробуй скачай - кнопки на загрузку у мелкомягких не фурычат

| Сообщение посчитали полезным:

заглянул только что в соседнюю тему "Поиск: WinXP x86 Checked Build ". Получается если поставить себе checked версию, неважно с спаками или без, то с ними автоматически идут отладочные символы и особого геморроя быть не должно. Так или не так?

| Сообщение посчитали полезным:

albatros:
или же под 2000 и хр их уже нет на сервере

Да есть они там. Я, смеху ради, час назад свои стер, перезагрузил и все на месте.
Выставь _NT_SYMBOL_PATH = SRV*d:\DebugSymbols*http://msdl.microsoft.com/download/symbols
где d:\DebugSymbols - это путь к твоему местному хранилищу и все будет работать.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Забери напрямую символы, что ли symchk /r c:\windows\system32 /s SRV*c:\symbols\*http://msdl.microsoft.com/download/symbols Все слить могут, один ты не можешь.

| Сообщение посчитали полезным:

albatros

Нет смысла юзать отладочный билд, он слишком сильно отличается от не дбг версии.

| Сообщение посчитали полезным:

Dr0p
Раз вы так говорите, значит отладочный билд у вас есть. Может, выложите его для людей, а они уже сами разберутся, что надо, а что - нет.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Иногда есть смысл использовать символы, которые скачивает ида при анализе модуля. Почему-то они отличаются иногда, более полнее. Их можно найти в директории %temp%\ida\ тогда, когда в исследуемом модуле присутствует строка <имя модуля>.pdb и в Output window иды присутствуют две строки типа таких



-----
IZ.RU

| Сообщение посчитали полезным:

Тутор для начинающих по WinDbg:

http://blog.opensecurityresearch.com/2013/12/getting-started-with-windbg-part-1.html
http://blog.opensecurityresearch.com/2013/12/getting-started-with-windbg-part-2.html
http://blog.opensecurityresearch.com/2013/12/getting-started-with-windbg-part-3.html

-----
[nice coder and reverser]

| Сообщение посчитали полезным: sivorog, SReg, v00doo

Hellspawn доступ ограничен
не могли бы вы перезалить?

616a_30.04.2014_EXELAB.rU.tgz - 11.png

ога, тор рулит
спасибо, буду изучать

| Сообщение посчитали полезным:

sivorog меняйте провайдера или юзайте тор.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ОК, тогда и я полезную ссылочку здесь оставлю, которая помогла мне в некоторых вопросах (там кое-что по тонкой настройке Windbg и особенностям использования):

http://sww-it.ru/windbg-tricks

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: sivorog

LiveKD.exe ( https://technet.microsoft.com/en-us/sysinternals/bb897415.aspx ) ,
помещенный в папку "I:\Program Files\Debugging Tools for Windows (x86)" (http://www.microsoft.com/en-us/download/details.aspx?id=8442 >>> GRMSDK_EN_DVD.iso)
запущенный с параметром -w
стартует windbg.exe с такими параметрами:

0012EFD0 00405E4D /CALL to CreateProcessA from livekd.00405E47
0012EFD4 0012F264 |ModuleFileName = "I:\Program Files\Debugging Tools for Windows (x86)\windbg.exe"
0012EFD8 0012F368 |CommandLine = "windbg.exe -z C:\WINDOWS\livekd.dmp"
0012EFDC 00000000 |pProcessSecurity = NULL
0012EFE0 00000000 |pThreadSecurity = NULL
0012EFE4 00000001 |InheritHandles = TRUE
0012EFE8 00000000 |CreationFlags = 0
0012EFEC 001571E8 |pEnvironment = 001571E8
0012EFF0 00000000 |CurrentDir = NULL
0012EFF4 0012F0DC |pStartupInfo = 0012F0DC
0012EFF8 0012F02C \pProcessInfo = 0012F02C



То есть по сути дает команду windbg.exe запустить под отладкой еще один windbg.exe. Нафиг это делать?

| Сообщение посчитали полезным:

-w Runs windbg instead of kd.

-----
IZ.RU

| Сообщение посчитали полезным:

Так почему просто не запустить windbg.exe? Livekd его же не просто запускает, а еще передает какие-то параметры. А если запускать приложение (через параметр -i, который согласно описалову https://technet.microsoft.com/en-us/sysinternals/bb897415.aspx должен передаться дебагеру) , то мое приложение кричит, что ему неправильные параметры передаются. То есть этот livekd накидывает лишние параметры. Нагуя?

Если я запускаю livekd.exe - w
, то должен запускаться windbg.exe БЕЗ параметров.

| Сообщение посчитали полезным:

Я вижу, что livekd запускает windbg.exe.
Откуда берётся дает команду windbg.exe запустить под отладкой еще один windbg.exe ?

| Сообщение посчитали полезным:

ModuleFileName = "I:\Program Files\Debugging Tools for Windows (x86)\windbg.exe"
Это и есть запуск.

CommandLine = "windbg.exe -z C:\WINDOWS\livekd.dmp"
Это параметры. WinDBG запускается как будто что-то отлаживает (в меню File неактивны Open executable... и т.д.)

Добавлено спустя 4 минуты
Что вообще этот livekd дает? Якобы он позволяет отлаживать ядро Windows не прибегая к использованию еще одного компьютера. Но во-первых, в windbg есть опция File - Kernel Debug... - Local . Во-вторых, windbg всё равно работает в user mode. Как он может отлаживать ядро?

| Сообщение посчитали полезным:

volopas пишет:
Во-вторых, windbg всё равно работает в user mode. Как он может отлаживать ядро?

WinDbg is a multipurpose debugger for Microsoft Windows, distributed on the web by Microsoft.
It can be used to debug user mode applications, drivers, and the operating system itself in kernel mode.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Execute all the debugger commands that work on crash dump files to look deep inside the system
-z DumpFile. Specifies the name of a crash dump file to debug.
Не устал ещё постить 1 за другим вопросы, порой в отдельном топике, не в кассу вместо того, чтобы хоть немного почитать и подумать самому?

| Сообщение посчитали полезным:

да бросте, ну не дано человеку ни старфорс поломать ни прогу скомпилить, ни мануал прочитать, ну не его это

| Сообщение посчитали полезным:

Не вижу ничего страшного в своих постах. А вот шуточки и оскорбления, которые приходится выслушивать. - это конечно недопустимо. Вы тут для того и сидите, чтобы отвечать на вопросы.

| Сообщение посчитали полезным:

так это и страшно, что ты спрашиваешь то о чем там написано, но прочитать не можешь
не надо сразу пытаться летать на самолете, почитай теорию, походи на курсы, пробуй практиковаться, а там видно будет
и форум не для того что бы спрашивать почему солнце светит, есть основы и у тебя по ним огромный провал, причем не только в одну из сторон, а по всем фронтам сразу
подтяни их для начала
а там и вопросы пропадут

| Сообщение посчитали полезным:

Пытаюсь отлаживать драйвер. Подключился к виртуальной машине через виртуальный COM1, как описано на стр.61,74-75 руководства http://goo.gl/N73ien

Захожу в kernel32!_imp__NtDeviceIoControlFile
ntdll!KiFastSystemCal
sysenter

А дальше не заходит. Почему?

Толку от этого kernel-отладчика -- ноль. Тоже самое может ольга в user-mode.

| Сообщение посчитали полезным:

В sysenter не входит. Поставь бряк в nt!NtDeviceIoControlFile

-----
IZ.RU

| Сообщение посчитали полезным:

С горем пополам удалось зайти в драйвер. При установке ba r1 <адрес внутри одной из секций драйвера> срабатывает где то в nt!MiLoadImageSection при загрузке драйвера в память. Но почему - то не срабатывает, когда драйвер начинает работать .И я знаю, что по опкодам по этим адресам процессор 100% проходит. Почему не срабатывает брейкпоинт при работе драйвера?

Добавлено спустя 38 минут
Делались попытки вписать в <адрес внутри одной из секций драйвера> опкод EB FE (прыжок на себя) , но тогда из windbg невозможно остановить систему командой Debug > Break . пишет Debuggee is running... и нифига не останавливается, а отлаживаемая система не отвечает.

Что делать? Как споймать код в драйвере?

Добавлено спустя 4 часа 14 минут
Похоже , что проблема несрабатывания остановов и в ядре актуальна.

Добавлено спустя 14 часов 44 минуты
Открываю Диспетчер устройств
mmc devmgmt.msc
Вид - Показать скрытые устройства - Драйверы устройств не Plug and Play - двойной клик Virtual machine monitor - вкладка Драйвер - Остановить - Запустить. Срабатывает bu nt!MiLoadImageSection и bu nt!MiLoadImageSection+0x458
69cc29f2
805a4afd
805a4cda
69cc29f8
По второму bu можно понять адрес , куда копируется драйвер. Но когда делаю g (Go) и Break, lm t m , то в списке загруженных есть vmm.sys , но по старому адресу (до остановки в Диспетчере устройства).

То ли команда lm t m не работает , то ли сам WinDBG кривой.
Может есть команда для отображения актуального списка загруженных драйверов?

| Сообщение посчитали полезным:

volopas пишет:
По второму bu можно понять адрес , куда копируется драйвер. Но когда делаю g (Go) и Break, lm t m , то в списке загруженных есть vmm.sys , но по старому адресу (до остановки в Диспетчере устройства).
Проверьте в Process Explorer'е, так ли это. Настройте его, чтоб показывал нужную информацию. Если будут расхождения, качайте новую версию WinDbg. Нет - ищите ошибку.

-----
IZ.RU

| Сообщение посчитали полезным:

Всё нормально с WinDBG. Не туда посмотр.

Добавлено спустя 8 часов 46 минут
Как в WinDBG поставить на диапазон Memory breakpoint on access (который через NtProtectVirtualMemory)?

| Сообщение посчитали полезным:

Использую Kernel Debug... через \.\pipe\taret0001. На отлаживаемой ОС запускаю напр. Ollydbg.exe . В Windbg делаю Break:

перехожу в окне Memory на адрес 77c00050 и меняю байт $69 > $31.
Далее делаю Go . В отлаживаемой ОС закрываю Ollydbg и открываю опять. Захожу в конекст процесса и вижу по адресу 77c00050 $31 . Почему? Должно же было подгрузиться из version.dll $69!

| Сообщение посчитали полезным:

А скажите как можно снять дамп с процесса при удаленной отладке?

То есть на Хостовой машине получить дамп некоторого региона пользовательского процесса Гостевой?

Чета гуглил, гуглил не выгуглил.
Идея тока снять дамп целиком потом его анализировать, но мне это кажется крайностью

И вообще кроме ядра там можно удаленно дебажить?

| Сообщение посчитали полезным:

ну так на васме есть охренительные спецы по windbg, чего там не спросить?

| Сообщение посчитали полезным: