Русский / Russian English / Английский

Сейчас на форуме: rmn, jinoweb (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Использование WinDbg
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 .
Посл.ответ Сообщение


Ранг: 324.3 (мудрец)
Статус: Участник

Создано: 2 марта 2011 12:29 · Поправил: DenCoder New!
Цитата · Личное сообщение · #1

Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

| Сообщение посчитали полезным: stereo2013


Ранг: 10.4 (новичок)
Статус: Участник

Создано: 26 сентября 2019 09:16 · Поправил: AE New!
Цитата · Личное сообщение · #2

plutos пишет:
x64dbg

Только у него мааааленькая проблемка существует:

Fine-grained memory breakpoint. Unlike other debuggers, memory breakpoint is supported only on a whole memory page, but not on a subrange of the memory page.


Ранг: 607.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 26 сентября 2019 10:09 · Поправил: plutos New!
Цитата · Личное сообщение · #3

AE пишет:
Только у него мааааленькая проблемка существует:


Да, есть такая беда. И наверняка не только эта.
Ну и что с того? я что, утверждал, что это какое-то совершенное чудо? The ULTIMATE DEBUGGER?
Никто и не говорит, что это идеальный и навсегда законченый tool, да таких и на свете нет.
Как вам наверное известно это open-source проэкт, который все еще находится в стадии развития и постоянно совершенствуется.
Bы можете помочь авторам устранить выявленые вами недоработки.

| Сообщение посчитали полезным: AE


Ранг: 10.4 (новичок)
Статус: Участник

Создано: 26 сентября 2019 10:31 New!
Цитата · Личное сообщение · #4

plutos пишет:
Bы можете помочь авторам устранить выявленные вами недоработки.

Я бы с радостью это сделал, но до этого еще дорасти надо, а пока можно попользоваться плагином миграции (OllyMigrate), вроде эту проблему можно обойти с его помощью...


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 12 декабря 2019 19:52 New!
Цитата · Личное сообщение · #5

последняя версия которая preview только для win10 ?


Ранг: 324.3 (мудрец)
Статус: Участник

Создано: 12 декабря 2019 22:28 New!
Цитата · Личное сообщение · #6

reversecode
В сис требованиях раньше никак по-другому не было. Сейчас не знаю, может, адаптировали под 7ку.


Ранг: 607.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 13 декабря 2019 00:43 New!
Цитата · Личное сообщение · #7

reversecode пишет:
последняя версия которая preview только для win10 ?


Да. Про семерку ни разу не слыхал...


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 15:55 New!
Цитата · Личное сообщение · #8

что бы придумать для тайм трейсинга под семерку....


Ранг: 669.6 (! !)
Статус: Участник
CyberMonk

Создано: 13 декабря 2019 16:47 New!
Цитата · Личное сообщение · #9

App Web Downloader - --> Link <--
Вставить линк -
Code:
  1. https://www.microsoft.com/en-us/p/windbg-preview/9pgjgd53tn86


Последний релиз -
Code:
  1. Microsoft.WinDbg_1.1912.11001.0_neutral__8wekyb3d8bbwe.appx    2019-12-13 14:11:14 GMT       4548313184d8536952144fba34d22e7bb1539503  48.86 MB


Удачный запуск на вин 7, Running WinDbgX on Windows 7 - --> Link <--

| Сообщение посчитали полезным: reversecode



Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 17:23 New!
Цитата · Личное сообщение · #10

а какой там последний качается со стора ?
WinDbg_1.1902.7001.0_neutral__8wekyb3d8bbwe
другая ошибка
где то в самих dbgsrv.exe


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 17:25 New!
Цитата · Личное сообщение · #11

reversecode

> что бы придумать для тайм трейсинга

Этот инструмент нужен крайне редко, врядле вам нужно какие то проблемы с ядром разбирать. Стрелять по мухам с пушки.. Юзер визоры покрывают все задачи.


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 17:30 New!
Цитата · Личное сообщение · #12

не был бы нужен не спрашивал бы
ядро и визоры мне сейчас точно не нужны


Ранг: 669.6 (! !)
Статус: Участник
CyberMonk

Создано: 13 декабря 2019 18:18 New!
Цитата · Личное сообщение · #13

reversecode пишет:
а какой там последний качается со стора ?
WinDbg_1.1902.7001.0_neutral__8wekyb3d8bbwe
другая ошибка
где то в самих dbgsrv.exe


Насколько знаю по опыту, со стора скачиваются идентичные версии как и с App Web Downloader-а, т.е. версия Microsoft.WinDbg_1.1912.11001.0_neutral__8wekyb3d8bbwe.appx должна быть последней. Запатчил и переименовал как в статейке и падает? С какой ошибкой?

difexacaw пишет:
reversecode

> что бы придумать для тайм трейсинга

Этот инструмент нужен крайне редко, врядле вам нужно какие то проблемы с ядром разбирать. Стрелять по мухам с пушки.. Юзер визоры покрывают все задачи.


Мне страшно запускать этот отладчик) В последний раз он подвесил всю систему, т.к. размеры слепков для тайминг шифтинга были огромные


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 18:22 New!
Цитата · Личное сообщение · #14

я пошел дальше
я запустил сами dbgsrv которые к дотнету вообще не относятся
и лежат в других папочках
и вот они крашатся

мое предположение что не хватает какого то рантайма от win10
подробно не вникал


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 19:38 New!
Цитата · Личное сообщение · #15

mak

Использовать его без нужды это нубство. Мощный, но очень не удобный инструмент. А машинная трассировка и вовсе затея бессмысленная.

Ранг: 168.8 (ветеран)
Статус: Участник

Создано: 13 декабря 2019 20:17 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #16

Life In Hex пишет:
If you try to run DbgX.Shell.exe on Windows 7, it will fail with Exception


У меня при запуске (без патчей) ошибки:

Code:
  1. на компьютере отсутствует api-ms-win-downlevel-kernel32-l2-1-0.dll
  2. +
  3. ***FATAL ERROR ENCOUNTERED***
  4. Error : DbgX.dll : WindowsDebugger.WindowsDebuggerException: Could not load dbghelp.dll from ...\WinDbgX\amd64 : System.ComponentModel.Win32Exception (0x80004005): Не найден указанный модуль
  5.  
  6.    в DbgX.DbgEngModule.LoadLibraryFromDirectory(String directory, String library)
  7.  
  8.    в DbgX.DbgEngModule.LoadDbgEngModule()
  9.  
  10.    в DbgX.EngineThread.ThreadProc()
  11.  
  12. WindowsDebugger.WindowsDebuggerException: Could not load dbghelp.dll from ...\WinDbgX\amd64 : System.ComponentModel.Win32Exception (0x80004005): Не найден указанный модуль
  13.  
  14.    в DbgX.DbgEngModule.LoadLibraryFromDirectory(String directory, String library)
  15.  
  16.    в DbgX.DbgEngModule.LoadDbgEngModule()
  17.  
  18.    в DbgX.EngineThread.ThreadProc()


Причем закидывание api-ms-win-downlevel-kernel32-l2-1-0.dll в папку просто игнорится
Так-то шелл 32-битный, нафега ему х64 модули...


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 20:23 New!
Цитата · Личное сообщение · #17

difexacaw
спец по отладкам блокнотов ))))


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 20:27 New!
Цитата · Личное сообщение · #18

reversecode

Мне уже давно и вовсе отладчик не нужен, всё можно решать по простому. Могу всю страницу с запросов на взлом решить за вечер, пока вы будите ковыряться в этих тулзах

Может стоит послушать, если тебе советуют лучший метод.)


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 20:28 New!
Цитата · Личное сообщение · #19

VOLKOFF
оно файлы помоему в user\AppData\Local\Microsoft\WindowsApps ищет

Добавлено спустя 1 минуту
difexacaw
причем здесь запросы на взлом ?
ах ну да, ты других применений отладчиков ты не знаешь

Ранг: 168.8 (ветеран)
Статус: Участник

Создано: 13 декабря 2019 20:33 New!
Цитата · Личное сообщение · #20

reversecode пишет:
оно файлы помоему в user\AppData\Local\Microsoft\WindowsApps ищет


Не, пути он в ошибке правильно до каталога показывает (я их просто "подчистил"), не понятно другое, шелл х32, а модули пытается загрузить х64, хотя это походу мой косяк, я скачанный пакет просто архиватором распаковал


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 20:35 New!
Цитата · Личное сообщение · #21

reversecode

Я этот иногда использую для анализа аварийных дампов, зачем оно есчо нужно для обычных задач я хз. Разве что драйвера отлаживать, аверские в основном.


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 20:39 New!
Цитата · Личное сообщение · #22

для разного рода софта который глючит и сложно найти последовательсть приводящую к глюкам
тогда ttd записывается и проблема отматывается для поиска точки бифуркации


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 20:42 New!
Цитата · Личное сообщение · #23

reversecode

Ну вот значит покажи пример и запиши трейс падения сиськи. Не возможно ?


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 20:52 New!
Цитата · Личное сообщение · #24

клерк не уводи тему в свой аул


Ранг: 329.3 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 21:05 New!
Цитата · Личное сообщение · #25

reversecode

Лучше всего показать на примере, верно ?

И это не мой аул", а как раз таки твой

Придумали очередной костыль, ttd. Нельзя трассировать ядро локальной автоматикой, только вирт машиной; из за аппаратных синхронизаций. А все повелись на маркетинг. Разрабов за новые пусть и бесполезные фишки держат.


Ранг: 1044.8 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 21:08 New!
Цитата · Личное сообщение · #26

причем здесь сисер и ядро ? клерк выпей кокаколы и отдохни
я совершенно про другой софт


Ранг: 607.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 15 декабря 2019 06:28 New!
Цитата · Личное сообщение · #27

--> WINDBGTOOL <--
This is a WinDbg Toolbox package.
This tool runs more complicated operations based upon PyKD package.


Ранг: 607.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 1 мая 2020 09:24 · Поправил: plutos New!
Цитата · Личное сообщение · #28

Отдельной темы по SysInternals вроде нет, но поскольку тут "замешан" liveKD, то оставлю здесь, может кому-то будет интересно.

Updates for Sysmon (v11.0), Coreinfo (v3.5), Process Explorer (v16.32) and LiveKD (v5.63) have now been posted!

What's New (April 28, 2020)
--> Link <--
--> Link <--

•Sysmon v11.0
This major update to Sysmon includes file delete monitoring and archive to help responders capture attacker tools, adds an option to disable reverse DNS lookup, replaces empty fields with ‘-‘ to work around a WEF bug, fixes an issue that caused some ProcessAccess events to drop, and doesn’t hash main data streams that are marked as being stored in the cloud.

•Sysinternals April 27 Update Video
Mark Russinovich covers what’s new in this update, with a demo of Sysmon’s new file delete monitoring and capture capability.


Ранг: 607.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 22 мая 2020 05:46 New!
Цитата · Личное сообщение · #29

WinDbg — the Fun Way: --> Part 1 <--
WinDbg — the Fun Way: --> Part 2 <--


Ранг: 607.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 25 мая 2020 00:08 New!
Цитата · Личное сообщение · #30

--> WinDbg_Scripts <--
Useful scripts for WinDbg using the debugger data model
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 .
 eXeL@B —› Основной форум —› Использование WinDbg

Видеокурс ВЗЛОМ