  Сейчас на форуме: hlmadip (+2 невидимых) |
| · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN · |
 |
eXeL@B —› Софт, инструменты —› Использование WinDbg |
| << . 1 . 2 . 3 . 4 . 5 . 6 . |
| Посл.ответ | Сообщение |
|
|
Создано: 2 марта 2011 12:29 · Поправил: DenCoder New! Цитата · Личное сообщение · #1 Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам: Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g" Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); - не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ? | Сообщение посчитали полезным: stereo2013 |
|
|
Создано: 31 марта 2019 12:53 · Поправил: volopas1 New! Цитата · Личное сообщение · #2 Нашел символы тут: https://archive.org/download/somewinxpdownloads WindowsXP-KB936929-SP3-x86-symbols-full-ENU.exe/symbols.cab В архиве symbols.cab файлы вида autorun.pdb.dll autorun.pdb.exe WinDBG не понимает такое. Чезер Total Commander - Multi-Rename Tool... можно удалить лишние расширения , но что делать с повторяющимися файлами? UPD. Установщик создает папки exe, dll и т.д. и туда копирует файлы уже без лишнего расширения. Можно было заархивировать сразу вместе с папками. Добавлено спустя 24 минуты А то, что тут кричали, что всё скачивается, такого в принципе не может быть. windbg отправляет на этот https://vsblobprodscussu5shard90.blob.core.windows.net/ SSL:SSLv2RecordLayer, ClientHello (0x01) но сервер не отвечает, шифронабора нет на говно-сервере . Если через браузер качать , то сервак выбирает шифронабор TLSCipherSuite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 То что у вас через виртуальную машину качает, так это сама машины отправляет запросы, которые сервер понимает |
|
|
Создано: 31 марта 2019 13:20 · Поправил: Alchemistry New! Цитата · Личное сообщение · #3 Тебе прямо так важна и нужна эта хп?  Теперь ищи файлы под эти символы.Ну так это WindowsXP-KB936929-SP3-x86-symbols-full-ENU.exe установщик - выполнить его не судьба? |
| << . 1 . 2 . 3 . 4 . 5 . 6 . |
|
eXeL@B —› Софт, инструменты —› Использование WinDbg |
