Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

-----
IZ.RU

| Сообщение посчитали полезным: stereo2013

plutos пишет:
x64dbg
Только у него мааааленькая проблемка существует:

Fine-grained memory breakpoint. Unlike other debuggers, memory breakpoint is supported only on a whole memory page, but not on a subrange of the memory page.

| Сообщение посчитали полезным:

AE пишет:
Только у него мааааленькая проблемка существует:

Да, есть такая беда. И наверняка не только эта.
Ну и что с того? я что, утверждал, что это какое-то совершенное чудо? The ULTIMATE DEBUGGER?
Никто и не говорит, что это идеальный и навсегда законченый tool, да таких и на свете нет.
Как вам наверное известно это open-source проэкт, который все еще находится в стадии развития и постоянно совершенствуется.
Bы можете помочь авторам устранить выявленые вами недоработки.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: AE

plutos пишет:
Bы можете помочь авторам устранить выявленные вами недоработки.
Я бы с радостью это сделал, но до этого еще дорасти надо, а пока можно попользоваться плагином миграции (OllyMigrate), вроде эту проблему можно обойти с его помощью...

| Сообщение посчитали полезным:

последняя версия которая preview только для win10 ?

| Сообщение посчитали полезным:

reversecode
В сис требованиях раньше никак по-другому не было. Сейчас не знаю, может, адаптировали под 7ку.

-----
IZ.RU

| Сообщение посчитали полезным:

reversecode пишет:
последняя версия которая preview только для win10 ?

Да. Про семерку ни разу не слыхал...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

что бы придумать для тайм трейсинга под семерку....

| Сообщение посчитали полезным:

App Web Downloader - --> Link <--
Вставить линк -

Последний релиз -


Удачный запуск на вин 7, Running WinDbgX on Windows 7 - --> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: reversecode

а какой там последний качается со стора ?
WinDbg_1.1902.7001.0_neutral__8wekyb3d8bbwe
другая ошибка
где то в самих dbgsrv.exe

| Сообщение посчитали полезным:

reversecode

> что бы придумать для тайм трейсинга

Этот инструмент нужен крайне редко, врядле вам нужно какие то проблемы с ядром разбирать. Стрелять по мухам с пушки.. Юзер визоры покрывают все задачи.

-----
vx

| Сообщение посчитали полезным:

не был бы нужен не спрашивал бы
ядро и визоры мне сейчас точно не нужны

| Сообщение посчитали полезным:

reversecode пишет:
а какой там последний качается со стора ?
WinDbg_1.1902.7001.0_neutral__8wekyb3d8bbwe
другая ошибка
где то в самих dbgsrv.exe


Насколько знаю по опыту, со стора скачиваются идентичные версии как и с App Web Downloader-а, т.е. версия Microsoft.WinDbg_1.1912.11001.0_neutral__8wekyb3d8bbwe.appx должна быть последней. Запатчил и переименовал как в статейке и падает? С какой ошибкой?

difexacaw пишет:
reversecode

> что бы придумать для тайм трейсинга

Этот инструмент нужен крайне редко, врядле вам нужно какие то проблемы с ядром разбирать. Стрелять по мухам с пушки.. Юзер визоры покрывают все задачи.

Мне страшно запускать этот отладчик) В последний раз он подвесил всю систему, т.к. размеры слепков для тайминг шифтинга были огромные

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

я пошел дальше
я запустил сами dbgsrv которые к дотнету вообще не относятся
и лежат в других папочках
и вот они крашатся

мое предположение что не хватает какого то рантайма от win10
подробно не вникал

| Сообщение посчитали полезным:

mak

Использовать его без нужды это нубство. Мощный, но очень не удобный инструмент. А машинная трассировка и вовсе затея бессмысленная.

-----
vx

| Сообщение посчитали полезным:

Life In Hex пишет:
If you try to run DbgX.Shell.exe on Windows 7, it will fail with Exception

У меня при запуске (без патчей) ошибки:



Причем закидывание api-ms-win-downlevel-kernel32-l2-1-0.dll в папку просто игнорится
Так-то шелл 32-битный, нафега ему х64 модули...

| Сообщение посчитали полезным:

difexacaw
спец по отладкам блокнотов ))))

| Сообщение посчитали полезным:

reversecode

Мне уже давно и вовсе отладчик не нужен, всё можно решать по простому. Могу всю страницу с запросов на взлом решить за вечер, пока вы будите ковыряться в этих тулзах

Может стоит послушать, если тебе советуют лучший метод.)

-----
vx

| Сообщение посчитали полезным:

VOLKOFF
оно файлы помоему в user\AppData\Local\Microsoft\WindowsApps ищет

Добавлено спустя 1 минуту
difexacaw
причем здесь запросы на взлом ?
ах ну да, ты других применений отладчиков ты не знаешь

| Сообщение посчитали полезным:

reversecode пишет:
оно файлы помоему в user\AppData\Local\Microsoft\WindowsApps ищет

Не, пути он в ошибке правильно до каталога показывает (я их просто "подчистил"), не понятно другое, шелл х32, а модули пытается загрузить х64, хотя это походу мой косяк, я скачанный пакет просто архиватором распаковал

| Сообщение посчитали полезным:

reversecode

Я этот иногда использую для анализа аварийных дампов, зачем оно есчо нужно для обычных задач я хз. Разве что драйвера отлаживать, аверские в основном.

-----
vx

| Сообщение посчитали полезным:

для разного рода софта который глючит и сложно найти последовательсть приводящую к глюкам
тогда ttd записывается и проблема отматывается для поиска точки бифуркации

| Сообщение посчитали полезным:

reversecode

Ну вот значит покажи пример и запиши трейс падения сиськи. Не возможно ?

-----
vx

| Сообщение посчитали полезным:

клерк не уводи тему в свой аул

| Сообщение посчитали полезным:

reversecode

Лучше всего показать на примере, верно ?

И это не мой аул", а как раз таки твой

Придумали очередной костыль, ttd. Нельзя трассировать ядро локальной автоматикой, только вирт машиной; из за аппаратных синхронизаций. А все повелись на маркетинг. Разрабов за новые пусть и бесполезные фишки держат.

-----
vx

| Сообщение посчитали полезным:

причем здесь сисер и ядро ? клерк выпей кокаколы и отдохни
я совершенно про другой софт

| Сообщение посчитали полезным:

--> WINDBGTOOL <--
This is a WinDbg Toolbox package.
This tool runs more complicated operations based upon PyKD package.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Отдельной темы по SysInternals вроде нет, но поскольку тут "замешан" liveKD, то оставлю здесь, может кому-то будет интересно.

Updates for Sysmon (v11.0), Coreinfo (v3.5), Process Explorer (v16.32) and LiveKD (v5.63) have now been posted!

What's New (April 28, 2020)
--> Link <--
--> Link <--

•Sysmon v11.0
This major update to Sysmon includes file delete monitoring and archive to help responders capture attacker tools, adds an option to disable reverse DNS lookup, replaces empty fields with ‘-‘ to work around a WEF bug, fixes an issue that caused some ProcessAccess events to drop, and doesn’t hash main data streams that are marked as being stored in the cloud.

•Sysinternals April 27 Update Video
Mark Russinovich covers what’s new in this update, with a demo of Sysmon’s new file delete monitoring and capture capability.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

WinDbg — the Fun Way: --> Part 1 <--
WinDbg — the Fun Way: --> Part 2 <--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

--> WinDbg_Scripts <--
Useful scripts for WinDbg using the debugger data model

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Есть код вида
Как отобразить структуру со значениями ? Что я делаю не так? Символов ес-но нет, адрес правильный.

0:000:x86> dt PMEMORY_BASIC_INFORMATION 0040101e
Symbol PMEMORY_BASIC_INFORMATION not found.

0:000:x86> dt MEMORY_BASIC_INFORMATION 0040101e
Symbol MEMORY_BASIC_INFORMATION not found.

0:000:x86> dt nt!_MEMORY_BASIC_INFORMATION 0040101e
Symbol nt!_MEMORY_BASIC_INFORMATION not found.

0:000:x86> dt kernel32!_MEMORY_BASIC_INFORMATION 0040101e
Symbol kernel32!_MEMORY_BASIC_INFORMATION not found.

| Сообщение посчитали полезным: