Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

-----
IZ.RU

| Сообщение посчитали полезным: stereo2013

VOLKOFF
Так в Олли такое было сразу. Минус на клаве жмём и радуемся. Обратная трассировка (BackTrace) или как-то так называлось.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Минус в Олли - ето пойди назад по истории навигации...... ето совсем не BackTrace.
такое помнится токо SoftIce (RIP) умел

| Сообщение посчитали полезным:

ARCHANGEL

Виндебаг это мощный инструмент, у него коммандный интерфейс и он нужен для решения сложных задач. Олли это юзер отладчик, в нём кнопки жать может любой ньюби, для использования сабжа нужно глубокое знание архитектуры. Виндебаг нужен для решения особых задач, обычно он не нужен. Я например не помню когда последний раз было необходимо использовать столь мощный инструмент.
На счёт лога - не пойму что в этом такого, что можно обсуждать.

-----
vx

| Сообщение посчитали полезным:

ARCHANGEL пишет:
было сразу
Ни разу не "сразу" Вообще разные вещи.

Кстати сам TTD в дебагере был реализован еще десяток лет назад и использовался инженерами микрософт внутри компании и даже сейчас они его не опенсурсят.
Также обещали его завезти и в апдейте VS 2017.

| Сообщение посчитали полезным:

sendersu
Ну как не бэктрейс когда бэктрейс. Только чтобы был backtrace, нужно вначале trace запустить. Попробуйте запустить трассировку, а потом обратную трассировку и смотрите на значения регистров - вот удивитесь.

difexacaw
Виндебаг это мощный инструмент, у него коммандный интерфейс и он нужен для решения сложных задач.

Всё относительно. Сложный он и мощный, если его нужно написать. А команды в нём выполнять можно также особо ничего не зная, как и кнопки в Олли жать.

VOLKOFF
Кстати сам TTD

Что такое TTD?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Что такое TTD?
Time Travel Debugging

А разве олькин трейс это не простое запоминание контекста процессора на каждом шаге?
TTD пишет состояния процесса для всех его потоков и потом дает реплеить в обе стороны и автоматически чекать по разному.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
А команды в нём выполнять можно также особо ничего не зная, как и кнопки в Олли жать.

в общем-то это верно, но все же нужно знать, какие именно команды отдавать, если хочешь добиться чего-то полезного.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

VOLKOFF

Да, просто запоминание. Но вот архитектура не даёт делать аппаратный бэктрейс. Или я чего-то не знаю? С удовольствием вас послушаю.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:

VOLKOFF

Да, просто запоминание. Но вот архитектура не даёт делать аппаратный бэктрейс. Или я чего-то не знаю? С удовольствием вас послушаю.


Эту тему ещё давно обсуждали, Replay Debug создаёт копию процесса типа Fork команда, если использовать Виртуализацию, то можно даже ядро отлаживать в таком виде. Архитектура не даёт, но это и не нужно. Обратная трасировка записанного контекста - это один из видов обратной трасировки. Есть ещё Dynamic Slicing, когда используют конкретные участки, т.е. обратная трасировка имеет разные техники. Что конкретно предоставили МС можно посмотреть ведь внутри, т.к. не ясно, используют ли они полный слепок программы или же только нарезку блоков.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: plutos

mak касательно ядра хз.. а вот бек трейс алго, вполне реально.. это банально построение трассы и потом читать ее на оборот.. тут ниче секретного нету.. примерно тоже самое что и взлом через покрытие кода.. "по касперскому"

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY

Покрытие кода" - эта муть работает просто, апп выполняется под визором/гпв и можно накопить любую трассу, любую выборку данных и вообще любое событие. В таком виде теряет смысл юзер дебаг. Не используйте понятие покрытия в обычном обсуждении, это не уместно.

-----
vx

| Сообщение посчитали полезным:

difexacaw
Я хочу повторить такое:
апп выполняется под визором/гпв и можно накопить любую трассу

Можете посоветовать что-то почитать на эту тему?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

difexacaw пишет:
апп выполняется под визором/гпв и можно накопить любую трассу
Ну для простоты жизни (и в простых случаях) можно накопить и с Code Coverage Tool (или пин), которым обычно собираем трассу для того же --> Lighthouse <--.
Тотальная виртуализация часто бывает излишней и только добавляет работы, хотя некоторые шпроты можно только так и потрейсить...

Чисто для сисколов иногда удобно System Call Tracer поюзать, или аналоги, хотя это уже больше из разряда "удобняшек".

| Сообщение посчитали полезным:

VOLKOFF пишет:
Чисто для сисколов иногда удобно System Call Tracer поюзать

Хочу уточнинить, это вот этот:
http://drmemory.org/strace_for_windows.html
от Dr. Memory?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ога, этот.
Можно еще fibratus потыкать, такие штуки как NtTrace и иже с ним, уже по другому работают, там не оч интересно.
Другие тулзы которые событийные подписки используют тоже есть годные, да и де-факто работают в кернелмоде. Только все это оффтоп однако...

| Сообщение посчитали полезным:

ARCHANGEL

Нет матчасти, техника предельно проста - выборка(instruction/data fetch) - трансляция - эмуляция. Нужен полноценный декодер инструкций, тот же пин например. Я не считаю такой подход годным, если не используется гпв, те полная виртуализация, то лишь прямое исполнение(dye(dynamic emulation)) актуально, как по причине профайла, так и совместимости. При этом выполняется лишь частичная эмуляция - только ветвлений, поток инструкций выполняется напрямую.

Добавлено спустя 32 минуты
ARCHANGEL

Наверно нужно добавить что dye в отличие от обычного локального гпв даёт гарантию стабильности, так для многих задач вероятный анстаб(ошибки эмуляции) просто не допустим фундаментально --> Link <--

-----
vx

| Сообщение посчитали полезным:

indy пишет:
Опишу вам ключевые принципы. Но вы должны понимать что данная тема оверхед, она не может быть раскрыта в виде текущего обсуждения, она слишком сложна. Эта тема - следующая публикация.

Почему вы думаете что где то можно почитать ?

Вы про это всё нигде не почитаете.


где именно можно найти "следующую публикацию"?

Или даже искать бесполезно?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos

Была мысль публикации к нг как обычно в inception-zine, но я сомневаюсь на счёт актуальности, так как всё обосрут как обычно. В планах закончить разработки и отписать Intel для реализации в железо.

-----
vx

| Сообщение посчитали полезным: ClockMan, plutos, VOLKOFF

difexacaw
У тебя идеи хорошие но выражать их ты не умеешь и некоторым людям тебя вообще не понять

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: ajax

difexacaw пишет:
но я сомневаюсь на счёт актуальности, так как всё обосрут как обычно

отчего же?
Как раз напротив, было бы очень интересно ознакомиться и поучиться.
Если будет (или есть уже) что-то систематезированое, то пожалуйста выкладывайте!
Даже если оно сырое, то это уже что-то.
Люди будут задавать вопросы, что-то будет добавлено, что-то уйдет, а там рукой подать и до серьезной публикации или даже книги.
Тема нужная, интересная, материалов крайне мало, так что - ждем!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

difexacaw пишет:
В планах закончить разработки и отписать Intel для реализации в железо

Внести свой вклад - бесценно, поддерживаю в начинаниях!



| Сообщение посчитали полезным: Lambda, SReg, Metabolic

VOLKOFF

Не вижу никакого юмора, это механизм защиты, который может быть реализован. И это выпилит всё OP дерьмо на уровне архитектуры.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: В планах закончить разработки и отписать Intel для реализации в железо.

Пока не научишься выражать свои мысли в академическом стиле нет смысла кому то что то слать, это в первую очередь касается работоспособности самого алгоритма, должно быть формальное доказательство, никто не будет разбираться с кодом, сам код вторичен, хотя и желателен.

| Сообщение посчитали полезным:

shellstorm

Про код речи небыло. Впрочем не важно.)

-----
vx

| Сообщение посчитали полезным:

DenCoder пишет:
Способен подвесить систему

Оказалось, что это сам ноут этим грешен и без WinDbg. В чём дело? - пока на это нет времени

P.S. Сносить что ли 10ку и ставить 7ку? Как-то жалко... Один раз уже так сделал...

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Сносить что ли 10ку и ставить 7ку?
С одной стороны безусловно да, с другой - новый WinDbg работать на 7-ке не будет... возможно никогда

| Сообщение посчитали полезным:

VOLKOFF пишет: с другой - новый WinDbg работать на 7-ке не будет

Грозились выпустить и для семерки, ибо жива и помирать пока что не собирается. Сейчас и для десятки не особо рабочие, поддерживает только юм32

| Сообщение посчитали полезным:

shellstorm пишет:
поддерживает только юм32
км32 тоже

-----
IZ.RU

| Сообщение посчитали полезным:

Сам отладчик да, но без некоторых фич, тот же TTD только ЮМ

| Сообщение посчитали полезным:

pegasus - Windbg extension DLL for emulation

Кто-нибудь использовал эту штуку? Что она реально дает?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: