Русский / Russian English / Английский

Сейчас на форуме: ManHunter, Mishar_Hacker, dennt86 (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› Использование WinDbg
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 .
Посл.ответ Сообщение


Ранг: 322.2 (мудрец)
Статус: Участник

Создано: 2 марта 2011 12:29 · Поправил: DenCoder New!
Цитата · Личное сообщение · #1

Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

| Сообщение посчитали полезным: stereo2013


Ранг: 7.1 (гость)
Статус: Участник

Создано: 26 сентября 2019 09:16 · Поправил: AE New!
Цитата · Личное сообщение · #2

plutos пишет:
x64dbg

Только у него мааааленькая проблемка существует:

Fine-grained memory breakpoint. Unlike other debuggers, memory breakpoint is supported only on a whole memory page, but not on a subrange of the memory page.


Ранг: 564.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 26 сентября 2019 10:09 · Поправил: plutos New!
Цитата · Личное сообщение · #3

AE пишет:
Только у него мааааленькая проблемка существует:


Да, есть такая беда. И наверняка не только эта.
Ну и что с того? я что, утверждал, что это какое-то совершенное чудо? The ULTIMATE DEBUGGER?
Никто и не говорит, что это идеальный и навсегда законченый tool, да таких и на свете нет.
Как вам наверное известно это open-source проэкт, который все еще находится в стадии развития и постоянно совершенствуется.
Bы можете помочь авторам устранить выявленые вами недоработки.

| Сообщение посчитали полезным: AE


Ранг: 7.1 (гость)
Статус: Участник

Создано: 26 сентября 2019 10:31 New!
Цитата · Личное сообщение · #4

plutos пишет:
Bы можете помочь авторам устранить выявленные вами недоработки.

Я бы с радостью это сделал, но до этого еще дорасти надо, а пока можно попользоваться плагином миграции (OllyMigrate), вроде эту проблему можно обойти с его помощью...


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 12 декабря 2019 19:52 New!
Цитата · Личное сообщение · #5

последняя версия которая preview только для win10 ?


Ранг: 322.2 (мудрец)
Статус: Участник

Создано: 12 декабря 2019 22:28 New!
Цитата · Личное сообщение · #6

reversecode
В сис требованиях раньше никак по-другому не было. Сейчас не знаю, может, адаптировали под 7ку.


Ранг: 564.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 13 декабря 2019 00:43 New!
Цитата · Личное сообщение · #7

reversecode пишет:
последняя версия которая preview только для win10 ?


Да. Про семерку ни разу не слыхал...


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 15:55 New!
Цитата · Личное сообщение · #8

что бы придумать для тайм трейсинга под семерку....


Ранг: 664.6 (! !)
Статус: Участник
CyberMonk

Создано: 13 декабря 2019 16:47 New!
Цитата · Личное сообщение · #9

App Web Downloader - --> Link <--
Вставить линк -
Code:
  1. https://www.microsoft.com/en-us/p/windbg-preview/9pgjgd53tn86


Последний релиз -
Code:
  1. Microsoft.WinDbg_1.1912.11001.0_neutral__8wekyb3d8bbwe.appx    2019-12-13 14:11:14 GMT       4548313184d8536952144fba34d22e7bb1539503  48.86 MB


Удачный запуск на вин 7, Running WinDbgX on Windows 7 - --> Link <--

| Сообщение посчитали полезным: reversecode



Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 17:23 New!
Цитата · Личное сообщение · #10

а какой там последний качается со стора ?
WinDbg_1.1902.7001.0_neutral__8wekyb3d8bbwe
другая ошибка
где то в самих dbgsrv.exe


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 17:25 New!
Цитата · Личное сообщение · #11

reversecode

> что бы придумать для тайм трейсинга

Этот инструмент нужен крайне редко, врядле вам нужно какие то проблемы с ядром разбирать. Стрелять по мухам с пушки.. Юзер визоры покрывают все задачи.


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 17:30 New!
Цитата · Личное сообщение · #12

не был бы нужен не спрашивал бы
ядро и визоры мне сейчас точно не нужны


Ранг: 664.6 (! !)
Статус: Участник
CyberMonk

Создано: 13 декабря 2019 18:18 New!
Цитата · Личное сообщение · #13

reversecode пишет:
а какой там последний качается со стора ?
WinDbg_1.1902.7001.0_neutral__8wekyb3d8bbwe
другая ошибка
где то в самих dbgsrv.exe


Насколько знаю по опыту, со стора скачиваются идентичные версии как и с App Web Downloader-а, т.е. версия Microsoft.WinDbg_1.1912.11001.0_neutral__8wekyb3d8bbwe.appx должна быть последней. Запатчил и переименовал как в статейке и падает? С какой ошибкой?

difexacaw пишет:
reversecode

> что бы придумать для тайм трейсинга

Этот инструмент нужен крайне редко, врядле вам нужно какие то проблемы с ядром разбирать. Стрелять по мухам с пушки.. Юзер визоры покрывают все задачи.


Мне страшно запускать этот отладчик) В последний раз он подвесил всю систему, т.к. размеры слепков для тайминг шифтинга были огромные


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 18:22 New!
Цитата · Личное сообщение · #14

я пошел дальше
я запустил сами dbgsrv которые к дотнету вообще не относятся
и лежат в других папочках
и вот они крашатся

мое предположение что не хватает какого то рантайма от win10
подробно не вникал


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 19:38 New!
Цитата · Личное сообщение · #15

mak

Использовать его без нужды это нубство. Мощный, но очень не удобный инструмент. А машинная трассировка и вовсе затея бессмысленная.

Ранг: 152.5 (ветеран)
Статус: Участник

Создано: 13 декабря 2019 20:17 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #16

Life In Hex пишет:
If you try to run DbgX.Shell.exe on Windows 7, it will fail with Exception


У меня при запуске (без патчей) ошибки:

Code:
  1. на компьютере отсутствует api-ms-win-downlevel-kernel32-l2-1-0.dll
  2. +
  3. ***FATAL ERROR ENCOUNTERED***
  4. Error : DbgX.dll : WindowsDebugger.WindowsDebuggerException: Could not load dbghelp.dll from ...\WinDbgX\amd64 : System.ComponentModel.Win32Exception (0x80004005): Не найден указанный модуль
  5.  
  6.    в DbgX.DbgEngModule.LoadLibraryFromDirectory(String directory, String library)
  7.  
  8.    в DbgX.DbgEngModule.LoadDbgEngModule()
  9.  
  10.    в DbgX.EngineThread.ThreadProc()
  11.  
  12. WindowsDebugger.WindowsDebuggerException: Could not load dbghelp.dll from ...\WinDbgX\amd64 : System.ComponentModel.Win32Exception (0x80004005): Не найден указанный модуль
  13.  
  14.    в DbgX.DbgEngModule.LoadLibraryFromDirectory(String directory, String library)
  15.  
  16.    в DbgX.DbgEngModule.LoadDbgEngModule()
  17.  
  18.    в DbgX.EngineThread.ThreadProc()


Причем закидывание api-ms-win-downlevel-kernel32-l2-1-0.dll в папку просто игнорится
Так-то шелл 32-битный, нафега ему х64 модули...


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 20:23 New!
Цитата · Личное сообщение · #17

difexacaw
спец по отладкам блокнотов ))))


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 20:27 New!
Цитата · Личное сообщение · #18

reversecode

Мне уже давно и вовсе отладчик не нужен, всё можно решать по простому. Могу всю страницу с запросов на взлом решить за вечер, пока вы будите ковыряться в этих тулзах

Может стоит послушать, если тебе советуют лучший метод.)


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 20:28 New!
Цитата · Личное сообщение · #19

VOLKOFF
оно файлы помоему в user\AppData\Local\Microsoft\WindowsApps ищет

Добавлено спустя 1 минуту
difexacaw
причем здесь запросы на взлом ?
ах ну да, ты других применений отладчиков ты не знаешь

Ранг: 152.5 (ветеран)
Статус: Участник

Создано: 13 декабря 2019 20:33 New!
Цитата · Личное сообщение · #20

reversecode пишет:
оно файлы помоему в user\AppData\Local\Microsoft\WindowsApps ищет


Не, пути он в ошибке правильно до каталога показывает (я их просто "подчистил"), не понятно другое, шелл х32, а модули пытается загрузить х64, хотя это походу мой косяк, я скачанный пакет просто архиватором распаковал


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 20:35 New!
Цитата · Личное сообщение · #21

reversecode

Я этот иногда использую для анализа аварийных дампов, зачем оно есчо нужно для обычных задач я хз. Разве что драйвера отлаживать, аверские в основном.


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 20:39 New!
Цитата · Личное сообщение · #22

для разного рода софта который глючит и сложно найти последовательсть приводящую к глюкам
тогда ttd записывается и проблема отматывается для поиска точки бифуркации


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 20:42 New!
Цитата · Личное сообщение · #23

reversecode

Ну вот значит покажи пример и запиши трейс падения сиськи. Не возможно ?


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 20:52 New!
Цитата · Личное сообщение · #24

клерк не уводи тему в свой аул


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 13 декабря 2019 21:05 New!
Цитата · Личное сообщение · #25

reversecode

Лучше всего показать на примере, верно ?

И это не мой аул", а как раз таки твой

Придумали очередной костыль, ttd. Нельзя трассировать ядро локальной автоматикой, только вирт машиной; из за аппаратных синхронизаций. А все повелись на маркетинг. Разрабов за новые пусть и бесполезные фишки держат.


Ранг: 1025.1 (!!!!)
Статус: Участник

Создано: 13 декабря 2019 21:08 New!
Цитата · Личное сообщение · #26

причем здесь сисер и ядро ? клерк выпей кокаколы и отдохни
я совершенно про другой софт


Ранг: 564.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 15 декабря 2019 06:28 New!
Цитата · Личное сообщение · #27

--> WINDBGTOOL <--
This is a WinDbg Toolbox package.
This tool runs more complicated operations based upon PyKD package.
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 .
 eXeL@B —› Софт, инструменты —› Использование WinDbg

Видеокурс ВЗЛОМ