Русский / Russian English / Английский

Сейчас на форуме: TOM_RUS, Mishar_Hacker (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Использование WinDbg
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 .
Посл.ответ Сообщение


Ранг: 324.3 (мудрец)
Статус: Участник

Создано: 02 марта 2011 12:29 · Поправил: DenCoder New!
Цитата · Личное сообщение · #1

Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

| Сообщение посчитали полезным: stereo2013, Domino


Ранг: 145.8 (ветеран)
Статус: Участник

Создано: 23 июня 2020 04:30 New!
Цитата · Личное сообщение · #2

morgot
А он есть вообще?

dt -t nt!*

| Сообщение посчитали полезным: Domino



Ранг: 69.9 (постоянный)
Статус: Участник

Создано: 23 июня 2020 20:57 New!
Цитата · Личное сообщение · #3

Alchemistry
у меня эта команда почему-то ничего не выводит, ни в старом виндбг, ни в новом.
А от чего зависит? Я думал, что если это структуры Майкрософт (документированные, стандартные) то должны быть символы.
.sympath указан.




Ранг: 332.6 (мудрец)
Статус: Участник

Создано: 23 июня 2020 22:33 New!
Цитата · Личное сообщение · #4

morgot

Тебе вд точно не нужен, ты не знаешь архитектуру. У тебя не может быть задачи, для которой нужен этот инструмент. Даже я им не пользуюсь, есть более простые пути решения.

А на васме ты вроде говорил что у тебя три звезды, но я вижу лишь одну.

| Сообщение посчитали полезным: mak



Ранг: 77.2 (постоянный)
Статус: Участник

Создано: 23 июня 2020 22:49 New!
Цитата · Личное сообщение · #5

difexacaw пишет:
Даже я им не пользуюсь,

Эталон.. ****ть..

Добавлено спустя 4 минуты
difexacaw пишет:
у тебя три звезды

Имхо - ты уже не ....к, ты будешь теперь звездочетом..

| Сообщение посчитали полезным: mak



Ранг: 332.6 (мудрец)
Статус: Участник

Создано: 23 июня 2020 23:39 · Поправил: difexacaw New!
Цитата · Личное сообщение · #6

sefkrd

Ты наверно наивно думаешь что для сложных задач нужен сложный инструмент, на самом деле это не так. Чем проще инструменты тем выше скилл, так как незачем стрелять по мухам когда это не нужно. Ну а звёзды - у меня их мало, хотелось бы больше.




Ранг: 69.9 (постоянный)
Статус: Участник

Создано: 23 июня 2020 23:42 New!
Цитата · Личное сообщение · #7

difexacaw пишет:
Тебе вд точно не нужен, ты не знаешь архитектуру. У тебя не может быть задачи, для которой нужен этот инструмент. Даже я им не пользуюсь, есть более простые пути решения.

Мне нужно посмотреть системные структуры. Вот как в студии свои сорцы дебажишь, там видно что в каком поле. В виндбг такое было возможно для некоторых структур (РЕВ , еще что-то), а вот конкретно с этой не получается.
А так да, мне этот инструмент не принципиален.

оффтоп:
difexacaw пишет:
А на васме ты вроде говорил что у тебя три звезды, но я вижу лишь одну.

Это вы с f13nd говорили, я просто упомянул, что три звезды у полковников.




Ранг: 77.2 (постоянный)
Статус: Участник

Создано: 23 июня 2020 23:44 · Поправил: sefkrd New!
Цитата · Личное сообщение · #8

difexacaw пишет:
Ты наверно наивно думаешь что для сложных задач нужен сложный инструмент

Вот ты мне ответь - тЫ дурак..
Ты скажешь: "нет"
Я скажу "да" - докажи обратное..
Снова оффтоп..




Ранг: 623.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 23 июня 2020 23:53 New!
Цитата · Личное сообщение · #9

difexacaw пишет:
Даже я им не пользуюсь

Мы можем быть за тебя спокойны: от скромности ты не умрешь!

| Сообщение посчитали полезным: difexacaw, Domino



Ранг: 332.6 (мудрец)
Статус: Участник

Создано: 24 июня 2020 00:55 · Поправил: difexacaw New!
Цитата · Личное сообщение · #10

plutos

Ну я знаю систему лучше чем вы все вместе взятые, это даже не обсуждается. Дело в другом, чтобы использовать вд нужно так же хорошо её знать. Нельзя путать коды ошибок с описателями и при таком подходе взять и заюзать вд, это невозможно, это ведь ядерный отладчик.

| Сообщение посчитали полезным: plutos


Ранг: 145.8 (ветеран)
Статус: Участник

Создано: 24 июня 2020 05:21 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #11

morgot
.symfix
.reload

в символах этой структуры может и не быть (а там много чего нет).
Используй !vprot address (!vadump для списка регионов)

p.s.
конкретно у тебя юзермод приложение, соответственно лист символов будет dt -t ntdll!*
дальше если каких то символов там нет (а эта MEMORY_BASIC_INFORMATION это специфичная структура для ядра не нужная поскольку там vad), ищешь пдб с подходящими символами

!sym noisy (выдаст подробные сообщения по загрузке пдб)
.reload /f

перегружаешь символы, смотришь где там есть pdb с public/private symbols и делаешь ему дамп dt -t modulename!*
касательно твоего кейса у меня, например, эта структура нашлась в combase.pdb (первое что попалось на глаза),

dt combase!_MEMORY_BASIC_INFORMATION
+0x000 BaseAddress : Ptr64 Void
+0x008 AllocationBase : Ptr64 Void
+0x010 AllocationProtect : Uint4B
+0x018 RegionSize : Uint8B
+0x020 State : Uint4B
+0x024 Protect : Uint4B
+0x028 Type : Uint4B

windbg это многоцелевой отладчик, не слушай это могилевского наркомана.

| Сообщение посчитали полезным: morgot, Bronco



Ранг: 332.6 (мудрец)
Статус: Участник

Создано: 24 июня 2020 20:23 · Поправил: difexacaw New!
Цитата · Личное сообщение · #12

Alchemistry

Юзермод отлаживать через вд кто из нас есчо наркоман)

Про анализ кода, реверс не слышали конечно же.




Ранг: 312.0 (мудрец)
Статус: Участник
Advisor

Создано: 25 июня 2020 09:13 New!
Цитата · Личное сообщение · #13

morgot пишет:
Мне нужно посмотреть системные структуры.

хз могу ошибаться, но на всякий случай закину утилю для карты памяти юм процесса.
Alchemistry пишет:
не слушай это могилевского наркомана.

упс..3 поста, по сабжу лёгким ветерком, и вроде пластинку сменил, а какашки на ней те же.

| Сообщение посчитали полезным: plutos


Ранг: 145.8 (ветеран)
Статус: Участник

Создано: 25 июня 2020 10:31 New!
Цитата · Личное сообщение · #14

Bronco
да у него одна и таже композиция везде, вот эта илитная

команды сабжа не знает, работать с ним не умеет, зато искперд всея беларуси по вин2к исходникам

difexacaw
нечего сказать по конкретному вопросу - нечего и в тему лезть со своей наркоманией

| Сообщение посчитали полезным: sefkrd



Ранг: 623.6 (!)
Статус: Участник
_Вечный_Студент_

Создано: 26 июня 2020 01:50 New!
Цитата · Личное сообщение · #15

Bronco пишет:
закину утилю для карты памяти юм процесса.


Вроде полезная штучка. У тебя уже собраная есть? Если "да", пожалуйста, залей куда-нибудь.
Заранее спасибо!




Ранг: 69.9 (постоянный)
Статус: Участник

Создано: 26 июня 2020 02:14 New!
Цитата · Личное сообщение · #16

plutos пишет:
У тебя уже собраная есть?

Собирал не я, а вроде как сам автор.

Добавлено спустя 0 минут
https://dropmefiles.com/S6pwv

| Сообщение посчитали полезным: plutos

<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 .
 eXeL@B —› Основной форум —› Использование WinDbg

Видеокурс ВЗЛОМ