Сейчас на форуме: -Sanchez- (+8 невидимых)

 eXeL@B —› Основной форум —› Использование WinDbg
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . >>
Посл.ответ Сообщение


Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 02 марта 2011 12:29 · Поправил: DenCoder
· Личное сообщение · #1

Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

-----
IZ.RU


| Сообщение посчитали полезным: stereo2013

Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 26 сентября 2019 09:16 · Поправил: AE
· Личное сообщение · #2

plutos пишет:
x64dbg

Только у него мааааленькая проблемка существует:

Fine-grained memory breakpoint. Unlike other debuggers, memory breakpoint is supported only on a whole memory page, but not on a subrange of the memory page.




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 26 сентября 2019 10:09 · Поправил: plutos
· Личное сообщение · #3

AE пишет:
Только у него мааааленькая проблемка существует:


Да, есть такая беда. И наверняка не только эта.
Ну и что с того? я что, утверждал, что это какое-то совершенное чудо? The ULTIMATE DEBUGGER?
Никто и не говорит, что это идеальный и навсегда законченый tool, да таких и на свете нет.
Как вам наверное известно это open-source проэкт, который все еще находится в стадии развития и постоянно совершенствуется.
Bы можете помочь авторам устранить выявленые вами недоработки.

-----
Give me a HANDLE and I will move the Earth.


| Сообщение посчитали полезным: AE

Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 26 сентября 2019 10:31
· Личное сообщение · #4

plutos пишет:
Bы можете помочь авторам устранить выявленные вами недоработки.

Я бы с радостью это сделал, но до этого еще дорасти надо, а пока можно попользоваться плагином миграции (OllyMigrate), вроде эту проблему можно обойти с его помощью...




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 12 декабря 2019 19:52
· Личное сообщение · #5

последняя версия которая preview только для win10 ?




Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 12 декабря 2019 22:28
· Личное сообщение · #6

reversecode
В сис требованиях раньше никак по-другому не было. Сейчас не знаю, может, адаптировали под 7ку.

-----
IZ.RU





Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 13 декабря 2019 00:43
· Личное сообщение · #7

reversecode пишет:
последняя версия которая preview только для win10 ?


Да. Про семерку ни разу не слыхал...

-----
Give me a HANDLE and I will move the Earth.





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 15:55
· Личное сообщение · #8

что бы придумать для тайм трейсинга под семерку....




Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 13 декабря 2019 16:47
· Личное сообщение · #9

App Web Downloader - --> Link <--
Вставить линк -
Code:
  1. https://www.microsoft.com/en-us/p/windbg-preview/9pgjgd53tn86


Последний релиз -
Code:
  1. Microsoft.WinDbg_1.1912.11001.0_neutral__8wekyb3d8bbwe.appx    2019-12-13 14:11:14 GMT       4548313184d8536952144fba34d22e7bb1539503  48.86 MB


Удачный запуск на вин 7, Running WinDbgX on Windows 7 - --> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


| Сообщение посчитали полезным: reversecode


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 17:23
· Личное сообщение · #10

а какой там последний качается со стора ?
WinDbg_1.1902.7001.0_neutral__8wekyb3d8bbwe
другая ошибка
где то в самих dbgsrv.exe




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 13 декабря 2019 17:25
· Личное сообщение · #11

reversecode

> что бы придумать для тайм трейсинга

Этот инструмент нужен крайне редко, врядле вам нужно какие то проблемы с ядром разбирать. Стрелять по мухам с пушки.. Юзер визоры покрывают все задачи.

-----
vx





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 17:30
· Личное сообщение · #12

не был бы нужен не спрашивал бы
ядро и визоры мне сейчас точно не нужны




Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 13 декабря 2019 18:18
· Личное сообщение · #13

reversecode пишет:
а какой там последний качается со стора ?
WinDbg_1.1902.7001.0_neutral__8wekyb3d8bbwe
другая ошибка
где то в самих dbgsrv.exe


Насколько знаю по опыту, со стора скачиваются идентичные версии как и с App Web Downloader-а, т.е. версия Microsoft.WinDbg_1.1912.11001.0_neutral__8wekyb3d8bbwe.appx должна быть последней. Запатчил и переименовал как в статейке и падает? С какой ошибкой?

difexacaw пишет:
reversecode

> что бы придумать для тайм трейсинга

Этот инструмент нужен крайне редко, врядле вам нужно какие то проблемы с ядром разбирать. Стрелять по мухам с пушки.. Юзер визоры покрывают все задачи.


Мне страшно запускать этот отладчик) В последний раз он подвесил всю систему, т.к. размеры слепков для тайминг шифтинга были огромные

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 18:22
· Личное сообщение · #14

я пошел дальше
я запустил сами dbgsrv которые к дотнету вообще не относятся
и лежат в других папочках
и вот они крашатся

мое предположение что не хватает какого то рантайма от win10
подробно не вникал




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 13 декабря 2019 19:38
· Личное сообщение · #15

mak

Использовать его без нужды это нубство. Мощный, но очень не удобный инструмент. А машинная трассировка и вовсе затея бессмысленная.

-----
vx




Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 13 декабря 2019 20:17 · Поправил: VOLKOFF
· Личное сообщение · #16

Life In Hex пишет:
If you try to run DbgX.Shell.exe on Windows 7, it will fail with Exception


У меня при запуске (без патчей) ошибки:

Code:
  1. на компьютере отсутствует api-ms-win-downlevel-kernel32-l2-1-0.dll
  2. +
  3. ***FATAL ERROR ENCOUNTERED***
  4. Error : DbgX.dll : WindowsDebugger.WindowsDebuggerException: Could not load dbghelp.dll from ...\WinDbgX\amd64 : System.ComponentModel.Win32Exception (0x80004005): Не найден указанный модуль
  5.  
  6.    в DbgX.DbgEngModule.LoadLibraryFromDirectory(String directory, String library)
  7.  
  8.    в DbgX.DbgEngModule.LoadDbgEngModule()
  9.  
  10.    в DbgX.EngineThread.ThreadProc()
  11.  
  12. WindowsDebugger.WindowsDebuggerException: Could not load dbghelp.dll from ...\WinDbgX\amd64 : System.ComponentModel.Win32Exception (0x80004005): Не найден указанный модуль
  13.  
  14.    в DbgX.DbgEngModule.LoadLibraryFromDirectory(String directory, String library)
  15.  
  16.    в DbgX.DbgEngModule.LoadDbgEngModule()
  17.  
  18.    в DbgX.EngineThread.ThreadProc()


Причем закидывание api-ms-win-downlevel-kernel32-l2-1-0.dll в папку просто игнорится
Так-то шелл 32-битный, нафега ему х64 модули...




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 20:23
· Личное сообщение · #17

difexacaw
спец по отладкам блокнотов ))))




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 13 декабря 2019 20:27
· Личное сообщение · #18

reversecode

Мне уже давно и вовсе отладчик не нужен, всё можно решать по простому. Могу всю страницу с запросов на взлом решить за вечер, пока вы будите ковыряться в этих тулзах

Может стоит послушать, если тебе советуют лучший метод.)

-----
vx





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 20:28
· Личное сообщение · #19

VOLKOFF
оно файлы помоему в user\AppData\Local\Microsoft\WindowsApps ищет

Добавлено спустя 1 минуту
difexacaw
причем здесь запросы на взлом ?
ах ну да, ты других применений отладчиков ты не знаешь



Ранг: 173.8 (ветеран), 208thx
Активность: 0.120.36
Статус: Участник

Создано: 13 декабря 2019 20:33
· Личное сообщение · #20

reversecode пишет:
оно файлы помоему в user\AppData\Local\Microsoft\WindowsApps ищет


Не, пути он в ошибке правильно до каталога показывает (я их просто "подчистил"), не понятно другое, шелл х32, а модули пытается загрузить х64, хотя это походу мой косяк, я скачанный пакет просто архиватором распаковал




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 13 декабря 2019 20:35
· Личное сообщение · #21

reversecode

Я этот иногда использую для анализа аварийных дампов, зачем оно есчо нужно для обычных задач я хз. Разве что драйвера отлаживать, аверские в основном.

-----
vx





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 20:39
· Личное сообщение · #22

для разного рода софта который глючит и сложно найти последовательсть приводящую к глюкам
тогда ttd записывается и проблема отматывается для поиска точки бифуркации




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 13 декабря 2019 20:42
· Личное сообщение · #23

reversecode

Ну вот значит покажи пример и запиши трейс падения сиськи. Не возможно ?

-----
vx





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 20:52
· Личное сообщение · #24

клерк не уводи тему в свой аул




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 13 декабря 2019 21:05
· Личное сообщение · #25

reversecode

Лучше всего показать на примере, верно ?

И это не мой аул", а как раз таки твой

Придумали очередной костыль, ttd. Нельзя трассировать ядро локальной автоматикой, только вирт машиной; из за аппаратных синхронизаций. А все повелись на маркетинг. Разрабов за новые пусть и бесполезные фишки держат.

-----
vx





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 13 декабря 2019 21:08
· Личное сообщение · #26

причем здесь сисер и ядро ? клерк выпей кокаколы и отдохни
я совершенно про другой софт




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 15 декабря 2019 06:28
· Личное сообщение · #27

--> WINDBGTOOL <--
This is a WinDbg Toolbox package.
This tool runs more complicated operations based upon PyKD package.

-----
Give me a HANDLE and I will move the Earth.





Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 01 мая 2020 09:24 · Поправил: plutos
· Личное сообщение · #28

Отдельной темы по SysInternals вроде нет, но поскольку тут "замешан" liveKD, то оставлю здесь, может кому-то будет интересно.

Updates for Sysmon (v11.0), Coreinfo (v3.5), Process Explorer (v16.32) and LiveKD (v5.63) have now been posted!

What's New (April 28, 2020)
--> Link <--
--> Link <--

•Sysmon v11.0
This major update to Sysmon includes file delete monitoring and archive to help responders capture attacker tools, adds an option to disable reverse DNS lookup, replaces empty fields with ‘-‘ to work around a WEF bug, fixes an issue that caused some ProcessAccess events to drop, and doesn’t hash main data streams that are marked as being stored in the cloud.

•Sysinternals April 27 Update Video
Mark Russinovich covers what’s new in this update, with a demo of Sysmon’s new file delete monitoring and capture capability.

-----
Give me a HANDLE and I will move the Earth.





Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 22 мая 2020 05:46
· Личное сообщение · #29

WinDbg — the Fun Way: --> Part 1 <--
WinDbg — the Fun Way: --> Part 2 <--

-----
Give me a HANDLE and I will move the Earth.





Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 25 мая 2020 00:08
· Личное сообщение · #30

--> WinDbg_Scripts <--
Useful scripts for WinDbg using the debugger data model

-----
Give me a HANDLE and I will move the Earth.





Ранг: 69.9 (постоянный), 81thx
Активность: 0.140.73
Статус: Участник

Создано: 22 июня 2020 17:41
· Личное сообщение · #31

Есть код вида
Code:
  1. invoke VirtualQuery,pMem,addr memInfo,sizeof MEMORY_BASIC_INFORMATION

Как отобразить структуру со значениями ? Что я делаю не так? Символов ес-но нет, адрес правильный.

0:000:x86> dt PMEMORY_BASIC_INFORMATION 0040101e
Symbol PMEMORY_BASIC_INFORMATION not found.

0:000:x86> dt MEMORY_BASIC_INFORMATION 0040101e
Symbol MEMORY_BASIC_INFORMATION not found.

0:000:x86> dt nt!_MEMORY_BASIC_INFORMATION 0040101e
Symbol nt!_MEMORY_BASIC_INFORMATION not found.

0:000:x86> dt kernel32!_MEMORY_BASIC_INFORMATION 0040101e
Symbol kernel32!_MEMORY_BASIC_INFORMATION not found.


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . >>
 eXeL@B —› Основной форум —› Использование WinDbg
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати