Analisando um arquivo de despejo usando o WinDbg

Navegue suas respostas
2

Fui solicitado a explorar um arquivo de despejo (sem arquivos de origem) usando o windbg e extrair algumas informações dele:

  • determine qual é o problema (travar / travar)
  • qual módulo causa o travamento.
  • Qual é a causa raiz do travamento / falha.
  • Enumere todos os módulos da empresa injetados no processo
  • Enumere todos os ganchos feitos no processo pelos módulos da empresa

O único arquivo que tenho é esse arquivo dmp. Eu estou trabalhando no Windows 10 de 64 bits.

Estou trabalhando nisso já há algum tempo:

  1. Antes de tudo, usei .sympath e .reload para verificar se os símbolos da Microsoft estão sendo carregados.
  2. Então eu usei .analyze! -v para criar uma análise do arquivo.

  3. Nesta análise, encontrei o seguinte:

    a. Houve uma exceção de instrução de interrupção 80000003 no thread 7030

    b. A exceção foi em um processo de power point do Microsoft Office 2010.

    c. A exceção foi no método CpupSyscallStub

    d. O módulo é wow64cpu.

    e. Como é uma exceção 0x80000003, é uma indicação de um dump de aplicativo gerado manualmente.

    f. Eu usei o comando ~ para ver a lista de threads no processo. Todos eles foram descongelados. g. No entanto - eu usei ! Runaway e vi que o segmento 7030 estava ativo por mais de 7 minutos e muito mais do que outros threads no processo.

    i. Então talvez seja uma situação suspensa. Não tenho certeza, pois também acho que o primeiro thread na lista é o thread principal e, naturalmente, pode ter mais tempo de processo.

    h. A causa raiz é provavelmente "Um ou mais argumentos são inválidos", conforme definido no valor da chave EXCEPTION_CODE.

    i. Usar ~ # deveria ter me dado o encadeamento que causou a exceção: 

     .  0  Id: 5cf8.7030 Suspend: 0 Teb: 00000000'00c5b000 Unfrozen Start:
 *** ERROR: Symbol file could not be found.  Defaulted to export  symbols for POWERPNT.EXE -    POWERPNT+0x10c8 (00000000'2d7710c8)
 Priority: 0  Priority class: 32  Affinity: f

    j. Mas, chamando -ecxr plotado: “Minidump não tem um contexto de exceção”, então estou confuso…

  4. Para encontrar injeções:

    a. Eu usei .hideinjectedcode off esperando agora ! Analyze -v me dará informações de injeção. Mas eu tenho os mesmos logs de análise ...

    b. Usando lm -v me deu uma lista de todos os módulos no processo.     Portanto, os módulos injetados provavelmente são todos os 14 DLLs que possuem o atributo “CompanyName:”,     e talvez também as 2 DLLs do “OpenSSL Project” que a empresa injetora pode ser parceira dele.

    Mas eu não tenho certeza disso ...

  5. E para descobrir as funções do gancho, tentei visualizar todas as importações de DLLs da empresa injetora tabelas para encontrar funções gancho, Depois de 6-7 DLL's eu não encontrei tal. Então desisti desse método…

Aqui você pode encontrar uma saída de comando! analize.

Como você pode ver, eu investi muito tempo nessa broca. Mas não chegou a conclusões claras. Sua ajuda será muito valiosa.

Obrigado !!!

    
por dushkin 12.12.2017 / 11:26

1 resposta

0

Primeiro, tente executar o CMD e, em seguida, -
SC para o comando de controle de serviço SYSTEMINFO - Liste a configuração do sistema

Veja o que está na saída e há algo para o seu acidente

    
por 12.12.2017 / 11:53

Tags

Como evitar que o navegador de internet do PC (Host) use o segundo adaptador sem fio usado pelas VMs (Convidados)? Monitorar alterações no registro para subprograma / operação