| Сейчас на форуме: -Sanchez- (+8 невидимых) |
 |
eXeL@B —› Основной форум —› Использование WinDbg |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 02 марта 2011 12:29 · Поправил: DenCoder · Личное сообщение · #1 Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам: Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g" Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); - не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ? ----- IZ.RU  | Сообщение посчитали полезным: stereo2013 |
|
|
Создано: 22 июля 2018 14:48 · Личное сообщение · #2 Установил в отладчик WinDbg мощное добавление : Code:
|
|
|
Создано: 22 июля 2018 14:54 · Личное сообщение · #3 plutos ----- vx |
|
|
Создано: 22 июля 2018 21:46 · Личное сообщение · #4 difexacaw пишет: --> Link <-- я уж и забыл, признаться, про свой вопрос... Но ссылку-то я видел, оттуда и вопрос возник. Меня интересуют личные впечатления тех людей, кто этой штукой реально пользовался. Плюсы, минусы, удобство и т.д. ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 28 июля 2018 16:59 · Личное сообщение · #5 Установить пакет pykd в отладчик WinDbg 10 оказывается совсем не простое дело! А может и совсем это не возможно. Может кто-то пытался это сделать. И в этой связи что-то знает? Однако, в Win7 в WinDbg 6 , как сказал я выше, он устанавливается мгновенно, как по маслу! |
|
|
Создано: 30 июля 2018 16:52 · Личное сообщение · #6 Уговорил я WinDbg 10 признать Питоновские пакеты pykd и mona - всё же он согласился! |
|
|
Создано: 31 июля 2018 00:42 · Личное сообщение · #7 ksol пишет: всё же он согласился! пожалуйста, подробности, причем самые подробные подробности, тогда ваше сообщение будет по-настоящему полезным.  Я, например, собираю что-то вроде базы how-to in windbg. Как мы знаем, инструмент потрясающий, но, скажем так, не совсем интуитивный. Нужно точно знать что делать и в какой последовательности. Вот тут и нужны детали. Причем самые мелкие. ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 22 декабря 2018 01:16 · Личное сообщение · #8 Preview 1.0.1812.12001 and new extensibility interfaces ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 22 декабря 2018 12:49 · Личное сообщение · #9 plutos Данный инструмент и раньше был хорошим и годным. Вот только что бы его норм юзать нужно архитектуру изучать лет десять. ----- vx | Сообщение посчитали полезным: Alchemistry |
|
|
Создано: 22 декабря 2018 17:05 · Личное сообщение · #10 difexacaw пишет: Вот только что бы его норм юзать нужно архитектуру изучать лет десять. Чё..? |
|
|
Создано: 22 декабря 2018 23:58 · Поправил: plutos · Личное сообщение · #11 difexacaw пишет: Данный инструмент и раньше был хорошим и годным. Вот только что бы его норм юзать нужно архитектуру изучать лет десять. т.е. я так понял, что если будут какие усовершенствования, то держать их в тайне? Ну тут претензии не ко мне, а к разработчикам. это они занимаются вредительством. ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 23 декабря 2018 12:00 · Поправил: difexacaw · Личное сообщение · #12 plutos А почему вы считаете что каждый пост должен быть чем то полезным, это ведь форум, среда для общения, а не какая то библиотека". Кернел командный отладчик тут не в ходу. Им можно любу тему покрыть, но что бы использовать его нужно знать две архитектуры идеально, понимать что такое pfn, pte etc. Что бы это всё изучить нужно много лет. Даже я использую этот отладчик очень редко, он нужен только если никаким иным образом нельзя решить ошибку в ядре. Это крайне редкие ситуации. ----- vx |
|
|
Создано: 23 декабря 2018 16:14 · Личное сообщение · #13 WinDbg плагин mona генерирует код на языках Python, C, JavaScript, Ruby для запуска VirtualAlloc и VirtualProtect в ROP-программировании. Как это сделать показано Нарвахой в части 37 его курса по использованию IDA. В Win7 на Питоне я это сделал. |
|
|
Создано: 23 декабря 2018 20:45 · Личное сообщение · #14 difexacaw избыточность бесполезной информации превращает форум в помойку |
|
|
Создано: 02 января 2019 14:25 · Личное сообщение · #15 Решил посмотреть, что за страшный инструмент такой. Зашел в microsoft store, поставил. лол, он работает, прямо из магазина. Цивилизация. |
|
|
Создано: 02 января 2019 18:26 · Личное сообщение · #16 Gideon Vi Конечно, это базовый инструмент мс. Им разрабатывают ось. ----- vx |
|
|
Создано: 14 января 2019 02:56 · Поправил: vden · Личное сообщение · #17 |
|
|
Создано: 15 января 2019 02:47 · Поправил: plutos · Личное сообщение · #18 This topic provides an overview of how to use Debugger Data Model C++ Interfaces to extend and customize the capabilities of the debugger. (WinDbg) ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 26 января 2019 04:50 · Поправил: plutos · Личное сообщение · #19 Разыскиваю hvexts.dll и символы к ней. По последним сведениям Microsoft ее публично не распространяет, но может у кого есть - пишите в личку! ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 11 марта 2019 23:52 · Поправил: volopas1 · Личное сообщение · #20 windbg из пакета "GRMSDK_EN_DVD.iso\Setup\WinSDKDebuggingTools\dbg_x86.msi" не грузит символы windbg делает запрос msdl.microsoft.com/download/symbols/ntdll.pdb/1751003260CA42598C0FB326585000ED2/ntdll.pdb , но сервер отвечает 302, Moved temporarily и дает ссылку , типа Location: https://vsblobprodscussu5shard90.blob.core.windows.net/b-4712e0edc5a240eabf23330d7df68e77/116562DEEFD5B373413753CB93AF387179BE36468A5F6E354E61565E5727A10D00.blob?sv=2017-04-17&sr=b&si=1&sig=CPxUiqiRbIiXAHf0vAURRHZjatvj7GorK9CpTNEY4cQ%3D&spr=https&s Как сделать, чтобы windbg подхватил ссылку? |
|
|
Создано: 12 марта 2019 00:41 · Поправил: plutos · Личное сообщение · #21 Устанавливал WinDbg из этого пакета много раз и на windows 7, и на windows 10, ставится как по маслу, такого ни разу не видал. Брал , все работает как часы. А сам WinDbg удается установить? Если "да", то после установки следуем , устанавливаем символы. ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 12 марта 2019 00:58 · Поправил: DenCoder · Личное сообщение · #22 volopas1 На вскидку, как вариант, поставить Fiddler, задать правило для него при пост-перехвате запросов на msdl.microsoft.com при получении 302 подменять домен и урл на нужные. Добавлено спустя 1 минуту А вообще это символы. Может можно их скачивание пропустить и после установки подцепить? (Что и написал plutos) ----- IZ.RU |
|
|
Создано: 12 марта 2019 08:40 · Поправил: volopas1 · Личное сообщение · #23 >>А сам WinDbg удается установить? Да установлен OS WinXP SP3. Открываю напр. notepad.exe , набираю Code:
Если скачать данный файл 116562DEEFD5B373413753CB93AF387179BE36468A5F6E354E61565E5727A10D00.blob браузером , переименовать на ntdll.pdb (если не переименовывать, то опять та же ошибка) и подсунуть через меню File > Symbol File Path... > Browse , то windbg просто ждет непонятно чего. Code:
Если предположить, что windbg этот файл проглотил, то как скачать остальные файлы ( нужных версий, и так чтоб не переименовывать)? |
|
|
Создано: 12 марта 2019 09:58 · Поправил: plutos · Личное сообщение · #24 выше (post number 21) приведена ссылка на инструкции. вы их читали? Ничего вручную не нужно скачивать и переименовывать. нужно использовать Microsoft symbol server. WinDbg сам стянет символы, соответствующие версии ваше операционной системы. Я не буду пересказывать то, что вы сами можете прочитать, информации предостаточно и все разжевано уже сто раз. ----- Give me a HANDLE and I will move the Earth. |
|
|
Создано: 12 марта 2019 10:17 · Личное сообщение · #25 volopas1 пишет: OS WinXP SP3 особо не вдавался, но может дело в давно не поддерживаемой системе и, соответственно, древней версии windbg? да, банально, если на xp не помараковать с корневыми сертификатами, ось толком и с https работать не сможет, а значит и до символов не достучится. |
|
|
Создано: 12 марта 2019 13:37 · Поправил: sty · Личное сообщение · #26 Gideon Vi пишет: особо не вдавался, но может дело в давно не поддерживаемой системе и, соответственно, древней версии windbg? да, банально, если на xp не помараковать с корневыми сертификатами, ось толком и с https работать не сможет, а значит и до символов не достучится. Похоже, Gideon Vi прав. Нужно разбираться. Примерно с год или чуть больше, стояла на дополнительном разделе, для старых программ, WinXP_SP2 и все работало. Недавно поменял WinXP_SP2 на WinXP_SP3. Сейчас ради интереса попробовал - та же проблема, что и volopas1. Или WinXP вообще перестали поддерживать или дело именно в WinXP_SP3. На Win7 - все работает без проблем. P.S. volopas1, если что-нибудь придумаете - отпишитесь. Вдруг когда-нибудь, кому-нибудь пригодится. |
|
|
Создано: 13 марта 2019 01:53 · Поправил: plutos · Личное сообщение · #27 из чисто спортивного интереса взял VMware 14.0, установил на ней windows XP SP 3 (guest), Windows 7 (host). Скачал изнутри windows XP SP 3 "Debugging tools for windows" latest version, with Windbg. Прописал .sympath srv*c:symbols*//msdl.microsoft.com/download/symbols, .reload /f Запустилось с одного обророта, все символы нашлись. Другой вопрос: зачем все это? Хотите отлаживать kernel? Так для этого есть WRK, Windows Research Kernel (на базе windows XP), который устанавливается как самостоятельная ОС, к ней элементарно присоединяется Windbg. WRK идет в комплекте не только со своими символами, но и с source code. А если для отладки user mode code, так для этого есть множество гораздо более простых способов и WinDbg тут как из пушки по воробьям. ----- Give me a HANDLE and I will move the Earth. | Сообщение посчитали полезным: Gideon Vi |
|
|
Создано: 13 марта 2019 11:28 · Личное сообщение · #28 plutos, вы меня опередили. Просто я немного поторопился с выводами. Потом сразу же разобрался, но наш форум уже, к сожалению, почти на сутки, оказался недоступен. Поэтому, каюсь и посыпаю голову пеплом - был не прав.  Все работает. Единственное, что работать на Win XP не будет - это любая версия windbg выше шестой.Да это все volopas1 во всем виноват - не разобрался и поднял на ноги почти весь "командный состав" exelab'а. А сам, кстати, от стыда, видимо, - пропал. И, судя по всему, - надолго. plutos пишет: А если для отладки user mode code, так для этого есть множество гораздо более простых способов и WinDbg тут как из пушки по воробьям. Извиняюсь за свою дерзость, что позволяю себе спорить с таким опытным форумчанином как вы. И это без иронии. Но в данном случае - категорически не согласен с вами. Даже по банальной причине - привыкание к непростому интерфейсу windbg'ра с его чуть ли не на 90% консольного управления. Даже ради этого стоит поработать в user mode режиме, чтобы потом в случае необходимости - было проще работать в режиме Kernel mode. Но у меня лично, мотивы использования windbg в user mode режиме - заключаюся не только в том, чтобы разобраться с его интерфейсом. Скрипты, например, - довольно мощная штука, которые можно с максимальной пользой для дела применять как в Kernel, так и в user mode режимах. Понятно, что применение windbg исключительно во всех случаях и незнание таких нужных, в определеных обстоятельствах, отладчиков как OllyDbg или "Ексодии" - было бы величайшей глупостью. В общем, мое мнение - в некоторых случаях применение windbg в user mode режиме, бывает очень даже полезным. Да и потом, есть статьи довольно авторитетных авторов и там нигде не говорится о том, что windbg нужно использовать только исключительно для отладки ядра. |
|
|
Создано: 13 марта 2019 19:16 · Поправил: volopas1 · Личное сообщение · #29 Code:
В сниффере ни одного запроса GET или POST. GRMSDK_EN_DVD.iso [https://www.microsoft.com/en-us/download/details.aspx?id=8442] MD5 a7a4aa8a9f5b648f5771eafe2286817f \Setup\WinSDKDebuggingTools\dbg_x86.msi MD5 2bd67a7b00507ad93539e138a4a6a2bf Microsoft WinDbg:6.12.0002.633 X86 Добавлено спустя 53 минуты Да и потом, есть статьи довольно авторитетных авторов и там нигде не говорится Я использую книгу [Inside.Windows.Debugging].Tarik.Soulami._.pdf , там это не говорится. Вот как раз на стр. 45 застрял |
|
|
Создано: 13 марта 2019 20:09 · Поправил: Alchemistry · Личное сообщение · #30 Уж давно все подохло и символы переехали на азур отсюда тебе и редирект. !sym noisy сделай с .reload /f для большей инфы. Если такое огромное желание заниматься этой некрофилией - найди Windows XP SP3 RTM именно ртм без каких-либо патчей и далее другой квест - найди для него пакет символов. Ранее они были на сайте мс, но теперь оффлайн пакеты больше недоступны (потому что это больше не имеет смысла). Поставишь и даешь виндбг как локальный источник. Вдогонку, если что у автора этой книги там виндоус 7 RTM. Не вижу никакого смысла делать примеры из этой книги в мертвой хп, да там еще чего-нибудь нет. |
|
|
Создано: 13 марта 2019 20:44 · Поправил: volopas1 · Личное сообщение · #31 по этому руководству на WinXP, всё прекрасно работало . Сейчас хочу вспомнить. |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . >> |
|
eXeL@B —› Основной форум —› Использование WinDbg |
Для печати