Волчьи IT-мысли » windbg

Использование мэппинга драйверов

SWW — Thu, 08 Jul 2010 11:50:08 +0000

В отладчике WinDbg существует специальная возможность – мэппинг драйвера. Отладчик может перехватить момент загрузки драйвера на тестовой машине и загрузить в память копию драйвера с машины разработчика. Эта способность избавляет разработчика от проблемы копирования файла драйвера на тестовую машину и, конечно, от забывчивости.

Прежде всего, необходимо внести в переменные окружения компьютера разработчика параметр _NT_KD_FILES, где значением этого параметра должен быть полный путь до специального map-файла, например, c:\driver.map.

Далее, необходимо создать сам map-файл по выбранному пути с указанным содержимым:

map
\??\C:\1\driver32.sys
C:\project_path\out\debug\driver32.sys

Во второй строке файла необходимо указать путь до драйвера на тестовой машине (например, на VmWare) так, как он указан в реестре данного сервиса. В третьей строке необходимо указать путь до файла на машине разработчика. Удобнее всего использовать путь до директории, в которой собирается chk-билд драйвера. Тогда каждый раз при загрузке драйвера будет загружена его новая версия.

В отладчике процесс загрузки драйвера с машины разработчика на тестовую машину выглядит примерно так:

kd> g
KD: Accessing ‘C:\project_path\out \debug\driver32.sys’ (\??\C:\1\driver32.sys)
File size 91K…………………………….
MmLoadSystemImage: Pulled \??\C:\1\driver32.sys from kd

Удачной отладки!

Небольшой трюк с WRP под Windows Vista+

SWW — Wed, 10 Mar 2010 10:20:45 +0000

Как известно, в операционной системе Windows (2000, XP, 2003) существует механизм защиты системных файлов, также известный как Windows File Protection. Данный механизм не позволяет изменять или удалять критичные объекты операционной системы, в частности системные DLL и различные драйверы. В случае обнаружения изменений ОС восстанавливает такие файлы.

Вкратце суть алгоритма сводилась к следующему: в системном процессе winlogon.exe существовал следящий поток. Если он замечал изменение системной компоненты, то компонента восстанавливалась из запасной копии.

В скором времени данный алгоритм изучили и были придуманы многочисленные способы обхода данной технологи. Использование недокументированных функций системной библиотеки sfc_os.dll или изменение sfc.dll/sfc_os.dll стали широко использоваться в различных вредоносных программах.

Но не это нас интересует, а то, как видоизменился данный механизм в операционных системах Windows Vista и Windows 7.

В данных операционных системах Microsoft полностью отказалась от данной технологии и перешла на технологию Windows Resource Protection. Теперь в системе нет следящего потока, а доступ к файлам ограничивается операционной системой с помощью DACL и ACL, стандартного механизма защиты Windows. Однако даже у администратора нет прав на изменение или удаление системных файлов.

Поэкспериментируем с операционной системой Windows 7 RTM и попробуем удалить какой-либо системный файл.

Так выглядит попытка удаления системного файла, которую я отследил с помощью Process Monitor

Посмотрим свойства файла

Как и было сказано даже у администратора нет прав на изменение файла.

Посмотрим, как с этим обстоят дела у TrustedInstaller

Как мы видим — полный контроль над файлом.

Однако, если вы администратор, то вы можете захватить владение данным файлом и потом уже выставить ему необходимые права.

Все это не очень удобно, если необходимо произвести изменение нескольких файлов. Попробуем найти способ проще. Для этого воспользуемся отладчиком WinDbg и утилитой psgetsid, которая умеет транслировать имя в SID и обратно:

C:\1>psgetsid «NT SERVICE\TrustedInstaller»

PsGetSid v1.43 — Translates SIDs to names and vice versa
Copyright (C) 1999-2006 Mark Russinovich
Sysinternals — www.sysinternals.com

SID for NT SERVICE\TrustedInstaller:
S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464

Теперь перечислим все процессы в системе и попробуем найти хотя бы один имеющий нужные нам права:

kd> !for_each_process «r $t0 = @#Process; r? $t1 = @@c++(((nt!_EPROCESS*)@$t0)->Token.Object); !token -n @$t1 & 0xFFFFFFF8;»

Приведу лишь token первого процесса (системного):

_TOKEN 87a01398
TS Session ID: 0
User: S-1-5-18 (Well Known Group: NT AUTHORITY\SYSTEM)
Groups:
00 S-1-5-32-544 (Alias: BUILTIN\Administrators)
Attributes — Default Enabled Owner
01 S-1-1-0 (Well Known Group: localhost\Everyone)
Attributes — Mandatory Default Enabled
02 S-1-5-11 (Well Known Group: NT AUTHORITY\Authenticated Users)
Attributes — Mandatory Default Enabled
03 S-1-16-16384 Unrecognized SID
Attributes — GroupIntegrity GroupIntegrityEnabled
Primary Group: S-1-5-18 (Well Known Group: NT AUTHORITY\SYSTEM)
Privs:
02 0×000000002 SeCreateTokenPrivilege Attributes -
03 0×000000003 SeAssignPrimaryTokenPrivilege Attributes -
04 0×000000004 SeLockMemoryPrivilege Attributes — Enabled Default
05 0×000000005 SeIncreaseQuotaPrivilege Attributes -
07 0×000000007 SeTcbPrivilege Attributes — Enabled Default
08 0×000000008 SeSecurityPrivilege Attributes -
09 0×000000009 SeTakeOwnershipPrivilege Attributes -
10 0x00000000a SeLoadDriverPrivilege Attributes -
11 0x00000000b SeSystemProfilePrivilege Attributes — Enabled Default
12 0x00000000c SeSystemtimePrivilege Attributes -
13 0x00000000d SeProfileSingleProcessPrivilege Attributes — Enabled Default
14 0x00000000e SeIncreaseBasePriorityPrivilege Attributes — Enabled Default
15 0x00000000f SeCreatePagefilePrivilege Attributes — Enabled Default
16 0×000000010 SeCreatePermanentPrivilege Attributes — Enabled Default
17 0×000000011 SeBackupPrivilege Attributes -
18 0×000000012 SeRestorePrivilege Attributes -
19 0×000000013 SeShutdownPrivilege Attributes -
20 0×000000014 SeDebugPrivilege Attributes — Enabled Default
21 0×000000015 SeAuditPrivilege Attributes — Enabled Default
22 0×000000016 SeSystemEnvironmentPrivilege Attributes -
23 0×000000017 SeChangeNotifyPrivilege Attributes — Enabled Default
25 0×000000019 SeUndockPrivilege Attributes -
28 0x00000001c SeManageVolumePrivilege Attributes -
29 0x00000001d SeImpersonatePrivilege Attributes — Enabled Default
30 0x00000001e SeCreateGlobalPrivilege Attributes — Enabled Default
31 0x00000001f SeTrustedCredManAccessPrivilege Attributes -
32 0×000000020 SeRelabelPrivilege Attributes -
33 0×000000021 SeIncreaseWorkingSetPrivilege Attributes — Enabled Default
34 0×000000022 SeTimeZonePrivilege Attributes — Enabled Default
35 0×000000023 SeCreateSymbolicLinkPrivilege Attributes — Enabled Default
Authentication ID: (0,3e7)
Impersonation Level: Anonymous
TokenType: Primary
Source: *SYSTEM* TokenFlags: 0×2000 ( Token in use )
Token ID: 3ea ParentToken ID: 0
Modified ID: (0, 3eb)
RestrictedSidCount: 0 RestrictedSids: 00000000
OriginatingLogonSession: 0

Попробуем во всем выводе в консоли WinDbg найти SID TrustedInstaller. На моем тестовом стенде ничего найдено не было. Но ведь есть сервис, который может изменять системные компоненты и находится он в \Windows\servicing\TrustedInstaller.exe, а запустить его мы можем вручную из вкладки Services. Называется он Windows Modules Installer и имеет следующее описание: «Enables installation, modification, and removal of Windows updates and optional components. If this service is disabled, install or uninstall of Windows updates might fail for this computer.»

После запуска можно повторить команду вывода Token для каждого процесса или найти Token вручную в процессе TrustedInstaller.exe.

PROCESS 85f79030 SessionId: 0 Cid: 0910 Peb: 7ffd3000 ParentCid: 01e8
DirBase: 3ef59520 ObjectTable: 90e37080 HandleCount: 121.
Image: TrustedInstaller.exe

kd> ? poi( 85f79030 + 0xf8 ) & 0xFFFFFFF8
Evaluate expression: -1730040888 = 98e1abc8

0xf8 – это смещение до Token в структуре nt!_EPROCESS, а Token – это структура nt!_EX_FAST_REF:

kd> dt nt!_EX_FAST_REF
+0×000 Object : Ptr32 Void
+0×000 RefCnt : Pos 0, 3 Bits
+0×000 Value : Uint4B

Поэтому необходимо отбросить младшие 3 бита адреса.

kd> !token -n 98e1abc8
_TOKEN 98e1abc8
TS Session ID: 0
User: S-1-5-18 (Well Known Group: NT AUTHORITY\SYSTEM)
Groups:
00 S-1-16-16384 Unrecognized SID
Attributes — GroupIntegrity GroupIntegrityEnabled
01 S-1-1-0 (Well Known Group: localhost\Everyone)
Attributes — Mandatory Default Enabled
02 S-1-5-32-545 (Alias: BUILTIN\Users)
Attributes — Mandatory Default Enabled
03 S-1-5-6 (Well Known Group: NT AUTHORITY\SERVICE)
Attributes — Mandatory Default Enabled
04 S-1-2-1 (no name mapped)
Attributes — Mandatory Default Enabled
05 S-1-5-11 (Well Known Group: NT AUTHORITY\Authenticated Users)
Attributes — Mandatory Default Enabled
06 S-1-5-15 (Well Known Group: NT AUTHORITY\This Organization)
Attributes — Mandatory Default Enabled
07 S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 (Well Known Group: NT SERVICE\TrustedInstaller)
Attributes — Default Enabled Owner
08 S-1-5-5-0-1412741 (no name mapped)
Attributes — Mandatory Default Enabled Owner LogonId
09 S-1-2-0 (Well Known Group: localhost\LOCAL)
Attributes — Mandatory Default Enabled
10 S-1-5-32-544 (Alias: BUILTIN\Administrators)
Attributes — Default Enabled Owner
Primary Group: S-1-5-18 (Well Known Group: NT AUTHORITY\SYSTEM)
Privs:
03 0×000000003 SeAssignPrimaryTokenPrivilege Attributes -
04 0×000000004 SeLockMemoryPrivilege Attributes — Enabled Default
05 0×000000005 SeIncreaseQuotaPrivilege Attributes -
07 0×000000007 SeTcbPrivilege Attributes — Enabled Default
08 0×000000008 SeSecurityPrivilege Attributes -
09 0×000000009 SeTakeOwnershipPrivilege Attributes -
10 0x00000000a SeLoadDriverPrivilege Attributes -
11 0x00000000b SeSystemProfilePrivilege Attributes — Enabled Default
12 0x00000000c SeSystemtimePrivilege Attributes -
13 0x00000000d SeProfileSingleProcessPrivilege Attributes — Enabled Default
14 0x00000000e SeIncreaseBasePriorityPrivilege Attributes — Enabled Default
15 0x00000000f SeCreatePagefilePrivilege Attributes — Enabled Default
16 0×000000010 SeCreatePermanentPrivilege Attributes — Enabled Default
17 0×000000011 SeBackupPrivilege Attributes — Enabled
18 0×000000012 SeRestorePrivilege Attributes — Enabled
19 0×000000013 SeShutdownPrivilege Attributes -
20 0×000000014 SeDebugPrivilege Attributes — Enabled Default
21 0×000000015 SeAuditPrivilege Attributes — Enabled Default
22 0×000000016 SeSystemEnvironmentPrivilege Attributes -
23 0×000000017 SeChangeNotifyPrivilege Attributes — Enabled Default
25 0×000000019 SeUndockPrivilege Attributes -
28 0x00000001c SeManageVolumePrivilege Attributes -
29 0x00000001d SeImpersonatePrivilege Attributes — Enabled Default
30 0x00000001e SeCreateGlobalPrivilege Attributes — Enabled Default
33 0×000000021 SeIncreaseWorkingSetPrivilege Attributes — Enabled Default
34 0×000000022 SeTimeZonePrivilege Attributes — Enabled Default
35 0×000000023 SeCreateSymbolicLinkPrivilege Attributes — Enabled Default
Authentication ID: (0,3e7)
Impersonation Level: Anonymous
TokenType: Primary
Source: Advapi TokenFlags: 0×2000 ( Token in use )
Token ID: 158ec1 ParentToken ID: 0
Modified ID: (0, 158ff6)
RestrictedSidCount: 0 RestrictedSids: 00000000
OriginatingLogonSession: 3e7

А теперь давайте подменим Token процесса FAR.exe на Token процесса TrustedInstaller.exe:

PROCESS 84c9e030 SessionId: 1 Cid: 08d0 Peb: 7ffda000 ParentCid: 07b0
DirBase: 3ef593c0 ObjectTable: 90fe1308 HandleCount: 264.
Image: Far.exe

kd> ed 84c9e030+f8 98e1abc8

После этих нехитрых манипуляций файловый менеджер FAR получает все необходимые права и может изменять и/или удалять защищаемые системные файлы без каких-либо изощрений с захватом прав пользования отдельного файла.

WDK 7.1.0 и WinDbg 6.12.2.633

SWW — Sat, 27 Feb 2010 10:49:42 +0000

Итак, обновились Windows Debugging Tools, теперь WinDbg входит в поставку WDK (не знаю зачем это было делать).

Что нового в WinDbg 6.12.2.633
Что нового в WDK 7.1.0
Скачать

Адрес модуля в WinDbg

SWW — Fri, 20 Nov 2009 13:32:07 +0000

Довольно часто я сталкиваюсь с тем, что необходимо получить имя модуля по какому-либо адресу внутри него. Например, для того, чтобы загрузить символы этого модуля. Отладчик использует отложенную загрузку символов (deferred symbol loading или lazy symbol loading) и выражается она в том, что символы подгружаются только тогда, когда они нужны. Делается это специально, иначе программист устанет ждать, когда же загрузятся все символы. Я, кстати, не знаю в чем смысл «когда они нужны». Эта тайна доступна лишь программистам WinDbg.

И так часто бывает, что по команде lm видны лишь несколько модулей ядра:

kd> lm

start end module name
8181c000 81bd5000 nt (pdb symbols) c:\symserver\ntkrpamp.pdb\37D328E3BAE5460F8E662756ED80951D2\ntkrpamp.pdb

Unloaded modules:
85b4a000 85b57000 crashdmp.sys
85b57000 85b61000 dump_storport.sys
85b61000 85b7b000 dump_LSI_SCSI.sys
85b7b000 85b8c000 dump_dumpfve.sys

Рассмотрим типичную ситуацию, в которой необходимо получить имя модуля по адресу в его образе:

kd> !devstack \Device\Harddisk0\DR0

!DevObj !DrvObj !DevExt ObjectName
84680d20 \Driver\partmgr 84680dd8
> 8457d1e0 \Driver\disk 8457d298 DR0
83d03708 \Driver\LSI_SCSI 83d037c0 0000004b

!DevNode 83d031d0 :

DeviceInst is «SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S\4&2b9256da&0&000000″

ServiceName is «disk»

kd> !devobj 83d03708
Device object (83d03708) is for:
0000004b \Driver\LSI_SCSI DriverObject 833bbb98
Current Irp 00000000 RefCount 0 Type 00000007 Flags 00001050
Dacl 87c8f334 DevExt 83d037c0 DevObjExt 83d03a38 DevNode 83d031d0
ExtensionFlags (0×00000800)
Unknown flags 0×00000800
AttachedDevice (Upper) 8457d1e0 \Driver\disk
Device queue is not busy.

kd> !drvobj 833bbb98 2
Driver object (833bbb98) is for:
\Driver\LSI_SCSI
DriverEntry: 81fec005
DriverStartIo: 00000000
DriverUnload: 807b9a50
AddDevice: 807b379c

Dispatch routines:

[00] IRP_MJ_CREATE [01] IRP_MJ_CREATE_NAMED_PIPE [02] IRP_MJ_CLOSE [03] IRP_MJ_READ [04] IRP_MJ_WRITE [05] IRP_MJ_QUERY_INFORMATION [06] IRP_MJ_SET_INFORMATION [07] IRP_MJ_QUERY_EA [08] IRP_MJ_SET_EA [09] IRP_MJ_FLUSH_BUFFERS [0a] IRP_MJ_QUERY_VOLUME_INFORMATION [0b] IRP_MJ_SET_VOLUME_INFORMATION [0c] IRP_MJ_DIRECTORY_CONTROL [0d] IRP_MJ_FILE_SYSTEM_CONTROL [0e] IRP_MJ_DEVICE_CONTROL [0f] IRP_MJ_INTERNAL_DEVICE_CONTROL [10] IRP_MJ_SHUTDOWN [11] IRP_MJ_LOCK_CONTROL [12] IRP_MJ_CLEANUP [13] IRP_MJ_CREATE_MAILSLOT [14] IRP_MJ_QUERY_SECURITY [15] IRP_MJ_SET_SECURITY [16] IRP_MJ_POWER [17] IRP_MJ_SYSTEM_CONTROL [18] IRP_MJ_DEVICE_CHANGE [19] IRP_MJ_QUERY_QUOTA [1a] IRP_MJ_SET_QUOTA [1b] IRP_MJ_PNP 807e460a +0x807e460a
81841fef nt!IopInvalidDeviceRequest
807e4565 +0x807e4565
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
807e46cb +0x807e46cb
807b3ee3 +0x807b3ee3
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
807b998f +0x807b998f
807e48fe +0x807e48fe
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
81841fef nt!IopInvalidDeviceRequest
807e629c +0x807e629c

kd> lma 0x807e46cb

start end module name

Команда lm с параметром a Address должна вывести имя модуля, в котором содержится данный адрес, но символы не загружены и список модулей практически пуст. Как вариант – это загрузить все символы для всех модулей ядра, но, не загружая их.

kd> .reload /n /s
Connected to Windows Server 2008/Windows Vista 6001 x86 compatible target at (Fri Nov 20 15:54:17.231 2009 (GMT+3)), ptr64 FALSE
Loading Kernel Symbols
………………………………………………………
……………………………………………………….
…..
Loading unloaded module list
….
kd> lm
start    end        module name
8060e000 80616000   kdcom      (deferred)
80616000 80676000   mcupdate_GenuineIntel   (deferred)
80676000 80687000   PSHED      (deferred)
80687000 8068f000   BOOTVID    (deferred)
8068f000 806d0000   CLFS       (deferred)
806d0000 807b0000   CI         (deferred)
807b0000 807f1000   storport   (deferred)
8181c000 81bd5000   nt         (pdb symbols)          c:\symserver\ntkrpamp.pdb\37D328E3BAE5460F8E662756ED80951D2\ntkrpamp.pdb
81bd5000 81c08000   hal        (deferred)
81e0e000 81e8a000   Wdf01000   (deferred)
81e8a000 81e97000   WDFLDR     (deferred)
…

Unloaded modules:
85b4a000 85b57000   crashdmp.sys
85b57000 85b61000   dump_storport.sys
85b61000 85b7b000   dump_LSI_SCSI.sys
85b7b000 85b8c000   dump_dumpfve.sys

Как мы видим, информация о модулях обновилась, а загрузка символов все еще отложена. Теперь попробуем еще раз воспользоваться командой lm:

kd> lma 0x807e46cb
start end module name
807b0000 807f1000 storport (deferred)

Вот мы и получили имя модуля и можем подгрузить только его символы.

Альтернативный вариант – воспользоваться скриптовым языком отладчика и перечислить все модули ядра:

$$ pointer to modules list
r $t0 = nt!PsLoadedModuleList
 
	.echo "Section             Start               End                 Name"
 
.for ( r $t1 = poi(@$t0);
       (@$t1 != 0) & (@$t1 != @$t0);
       r $t1 = poi(@$t1) )
{
    r? $t2 = #CONTAINING_RECORD( @$t1, nt!_LDR_DATA_TABLE_ENTRY, InLoadOrderLinks );
    as /x ${/v:$Section} @$t2
 
    $$  Get image name into $DriverName
    as /msu ${/v:$DriverName} @@c++(&@$t2->BaseDllName)
    $$  Get image base into $Start
    as /x ${/v:$Start} @@c++(@$t2->DllBase)
    $$  Get image base + image size into $End
    as /x ${/v:$End} ( @@c++(@$t2->DllBase) + @@c++(@$t2->SizeOfImage) )
 
    .block
    {
        .echo ${$Section}: ${$Start}: ${$End}: ${$DriverName}
    }
 
    ad ${/v:$End}
    ad ${/v:$Start}
    ad ${/v:$DriverName}
    ad ${/v:$Section}
}

kd> $$>a< c:\dbg_get_kernel_modules.txt
Section Start End Name
0xffffffff82f69ba0: 0xffffffff8181c000: 0xffffffff81bd5000: ntoskrnl.exe
0xffffffff82f69b30: 0xffffffff81bd5000: 0xffffffff81c08000: hal.dll
0xffffffff82f69ab8: 0xffffffff8060e000: 0xffffffff80616000: kdcom.dll
0xffffffff82f69a40: 0xffffffff80616000: 0xffffffff80676000: mcupdate.dll
0xffffffff82f699c8: 0xffffffff80676000: 0xffffffff80687000: PSHED.dll
0xffffffff82f69950: 0xffffffff80687000: 0xffffffff8068f000: BOOTVID.dll
0xffffffff82f698e0: 0xffffffff8068f000: 0xffffffff806d0000: CLFS.SYS
0xffffffff82f69870: 0xffffffff806d0000: 0xffffffff807b0000: CI.dll
0xffffffff82f697f8: 0xffffffff81e0e000: 0xffffffff81e8a000: Wdf01000.sys
0xffffffff82f69780: 0xffffffff81e8a000: 0xffffffff81e97000: WDFLDR.SYS
0xffffffff82f69710: 0xffffffff81e97000: 0xffffffff81edd000: acpi.sys
0xffffffff82f69698: 0xffffffff81edd000: 0xffffffff81ee6000: WMILIB.SYS
0xffffffff82f69620: 0xffffffff81ee6000: 0xffffffff81eee000: msisadrv.sys
0xffffffff82f695b0: 0xffffffff81eee000: 0xffffffff81f15000: pci.sys
0xffffffff82f69538: 0xffffffff81f15000: 0xffffffff81f24000: partmgr.sys
0xffffffff82f694c0: 0xffffffff81f24000: 0xffffffff81f27000: compbatt.sys
0xffffffff82f69448: 0xffffffff81f27000: 0xffffffff81f31000: BATTC.SYS
0xffffffff82f693d0: 0xffffffff81f31000: 0xffffffff81f40000: volmgr.sys
0xffffffff82f69358: 0xffffffff81f40000: 0xffffffff81f8a000: volmgrx.sys
0xffffffff82f692e0: 0xffffffff81f8a000: 0xffffffff81f91000: intelide.sys
0xffffffff82f69268: 0xffffffff81f91000: 0xffffffff81f9f000: PCIIDEX.SYS
0xffffffff82f691f0: 0xffffffff81f9f000: 0xffffffff81faf000: mountmgr.sys
0xffffffff82f69178: 0xffffffff81faf000: 0xffffffff81fb7000: atapi.sys
0xffffffff82f69100: 0xffffffff81fb7000: 0xffffffff81fd5000: ataport.SYS
0xffffffff82f69088: 0xffffffff81fd5000: 0xffffffff81fef000: lsi_scsi.sys
0xffffffff82f6ff90: 0xffffffff807b0000: 0xffffffff807f1000: storport.sys
…

Темы WinDbg

SWW — Thu, 19 Nov 2009 18:07:48 +0000

Рабочее место разработчика должно быть удобным для него. Ничего не должно отвлекать от процесса разработки или анализа и все должно быть под рукой. Отладчик WinDbg не блещет красивым и удобным интерфейсом, но старается покорять громадными техническими возможностями.

Данная заметка – это вольное изложение документации, которая поставляется с отладчиком.

Тема отладчика WinDbg – это специальным образом сконфигурированное рабочее место с окнами, закрепленными на своем месте. Выше уже было сказано то, что данный отладчик не отличается дружественным интерфейсом, поэтому темы в нем представлены в виде .reg файлов, которые можно импортировать (и экспортировать из реестра) в определенную ветку реестра (HKEY_CURRENT_USER\Software\Microsoft\Windbg).

Загрузка темы

Рекомендуется очистить все данные рабочего места. Из GUI WinDbg – File->Clear Workspace или удалив ключ HKEY_CURRENT_USER\Software\Microsoft\Windbg\Workspaces.
Загрузить тему из директории themes (C:\Program Files\Debugging Tools for Windows\themes\) отладчика по вашему выбору. Импортирование информации из .reg файла затрет текущее рабочее место.

Перед использованием темы

После загрузки темы запустите WinDbg без параметров. Откроется рабочее место по умолчанию.
Настройте готовую тему так, как вам это нужно. Не забудьте про пути к символам, исходным кодам и так далее. Также можно подвигать окна так, как вам будет удобно с ними работать.
Закройте отладчик и сохраните ваше рабочее место.
После всех настроек можно экспортировать ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windbg\Workspaces в .reg файл.

Предустановленные темы отладчика WinDbg

Трюки WinDbg

SWW — Tue, 14 Apr 2009 21:27:55 +0000

Представляю вашему вниманию страницу «Трюки WinDbg», которую буду пополнять по мере возможности. Об изменениях в ней я сообщу дополнительно. Вопросы можно оставлять в любой теме, которая относится к данной странице.

Трюки WinDbg

SWW — Tue, 14 Apr 2009 21:12:55 +0000

Этот раздел предназначен для описания различных трюков WinDbg. Некоторые их них полезны, некоторые очень полезны. Большинство я использую при динамическом анализе различных руткитов, однако, не стоит забывать о том, что WinDbg можно использовать как дебаггер приложений пользовательского режима. Сам дебаггер содержит громадное количество команд, но используется очень малая их часть. Поэтому будем считать, что этот раздел я пишу сам для себя как справочник, чтобы не забыть. Данная страница будет пополняться по мере того, как я вспомню о том, что сюда надо написать :) Повествование будет вестись в виде вопросов и ответов. И когда-нибудь я разобью все это на подразделы, но не сейчас (это предложение исчезнет в случае реализации).

В: Как правильно прописать путь до символов от Microsoft?

О: Находясь в WinDbg нажмите Ctrl-S и вставьте туда c:\symserver;SRV*c:\symserver*http://msdl.microsoft.com/download/symbols

В: Чтобы проверить что-нибудь очень быстро, например, какое-либо смещение или получить недокументированную структуру приходится запускать виртуальную машину, а потом WinDbg. Можно как-нибудь быстрее?

О: Да. Запоминайте: windbg.exe, Ctrl-K, Local, Enter. Вы запустили WinDbg локально на своей реальной машине. Учтите, что структуры будут верны для вашей версии операционной системы. В Windows Vista необходимо предварительно выполнить команду bcdedit -debug on из cmd, запущенного под администратором и перегрузиться.

В: Можно ли создать дамп-файл не уводя машину в BSOD?

О: Можно. Для этого необходимо использовать команду .dump. Например, чтобы создать дамп-файл памяти ядра необходимо выполнить .dump /f c:\kernel.dmp. Кстати, если вы собираетесь делать это по COM-порту (или виртуальному pipe-порту в виртуальной машине), то приготовьтесь ждать, очень долго ждать.

В: Как записать в файл произвольный фрагмент памяти?

О: Сделать это можно командой .writemem. Например, .writemem c:\dumpnt.exe 0x804d7000 L?20d000. Знак вопроса необходим для того, чтобы WinDbg не проверял размер записываемых данных.

В: А записать в память из файла можно?

О: Используйте команду .readmem.

В: Как искать и находить в памяти строчку или определенную последовательность байт?

О: Это можно сделать с помощью команды s. Для поиска ANSI-строки необходимо использовать ключ -a, для UNICODE-строки -u:

lkd> s -a nt L?20d000 «PAGE»
804d72f0 50 41 47 45 00 00 00 00-ef f8 0d 00 00 20 09 00 PAGE……… ..
804d7318 50 41 47 45 4c 4b 00 00-10 e5 00 00 00 20 17 00 PAGELK……. ..
804d7340 50 41 47 45 56 52 46 59-a6 ea 00 00 00 10 18 00 PAGEVRFY……..
804d7368 50 41 47 45 57 4d 49 00-ff 16 00 00 00 00 19 00 PAGEWMI………
804d7390 50 41 47 45 4b 44 00 00-93 3d 00 00 00 20 19 00 PAGEKD…=… ..
804d73b8 50 41 47 45 53 50 45 43-21 0e 00 00 00 60 19 00 PAGESPEC!….`..
804d73e0 50 41 47 45 48 44 4c 53-b8 1d 00 00 00 70 19 00 PAGEHDLS…..p..
804d7430 50 41 47 45 44 41 54 41-b8 15 00 00 00 50 1a 00 PAGEDATA…..P..
804d7458 50 41 47 45 43 4f 4e 53-40 30 00 00 00 70 1a 00 PAGECONS@0…p..
804d7480 50 41 47 45 4b 44 00 00-21 c0 00 00 00 b0 1a 00 PAGEKD..!…….
804d74a8 50 41 47 45 43 4f 4e 53-8c 01 00 00 00 80 1b 00 PAGECONS……..
804d74d0 50 41 47 45 4c 4b 43 4f-88 00 00 00 00 90 1b 00 PAGELKCO……..
804d74f8 50 41 47 45 56 52 46 43-49 34 00 00 00 a0 1b 00 PAGEVRFCI4……
804d7520 50 41 47 45 56 52 46 44-48 06 00 00 00 e0 1b 00 PAGEVRFDH…….
804f285f 50 41 47 45 57 68 00 10-00 00 53 e8 51 3a 05 00 PAGEWh….S.Q:..
804f3936 50 41 47 45 68 00 10 00-00 53 8b f8 e8 79 29 05 PAGEh….S…y).
805ac98b 50 41 47 45 74 50 3d 2e-65 64 61 74 49 3d 49 4e PAGEtP=.edatI=IN
805adba0 50 41 47 45 74 19 81 f9-2e 65 64 61 74 11 85 c0 PAGEt….edat…
806c3548 50 41 47 45 5f 46 41 55-4c 54 5f 57 49 54 48 5f PAGE_FAULT_WITH_
806c35df 50 41 47 45 53 5f 41 56-41 49 4c 41 42 4c 45 0d PAGES_AVAILABLE.
806c362c 50 41 47 45 5f 46 41 55-4c 54 5f 49 4e 5f 4e 4f PAGE_FAULT_IN_NO
806c363d 50 41 47 45 44 5f 41 52-45 41 0d 0a 00 00 00 18 PAGED_AREA……
806c3b53 50 41 47 45 53 0d 0a 00-00 20 00 00 00 4b 45 52 PAGES…. …KER
806c3b6f 50 41 47 45 5f 45 52 52-4f 52 0d 0a 00 18 00 00 PAGE_ERROR……
806c3bce 50 41 47 45 5f 45 52 52-4f 52 0d 0a 00 00 10 01 PAGE_ERROR……
806c51f7 50 41 47 45 53 5f 49 4e-5f 50 52 4f 43 45 53 53 PAGES_IN_PROCESS

Для поиска последовательности байт необходимо использовать ключ -b:

lkd> s -b nt L?20d000 8b ff 55 8b ec 33 c0 50 50 50 ff 75 30
80579084 8b ff 55 8b ec 33 c0 50-50 50 ff 75 30 ff 75 2c ..U..3.PPP.u0.u,

В: Как посмотреть структуру, чтобы раскрывались входящие в нее структуры?

О: Необходимо использовать команду dt с ключом -r[глубина рекурсии] (в примере я использовал значение 2, хотя обычно хватает и 1):

lkd> !object \Driver\beep
Object: 88c87c28  Type: (84d902c0) Driver
    ObjectHeader: 88c87c10 (old version)
    HandleCount: 0  PointerCount: 3
    Directory Object: 8b675718  Name: Beep
lkd> dt nt!_DRIVER_OBJECT 88c87c28 -r2
   +0x000 Type             : 4
   +0x002 Size             : 168
   +0x004 DeviceObject     : 0x88d6f990 _DEVICE_OBJECT
      +0x000 Type             : 3
      +0x002 Size             : 0x110
      +0x004 ReferenceCount   : 0
      +0x008 DriverObject     : 0x88c87c28 _DRIVER_OBJECT
         +0x000 Type             : 4
         +0x002 Size             : 168
         +0x004 DeviceObject     : 0x88d6f990 _DEVICE_OBJECT
         +0x008 Flags            : 0x12
         +0x00c DriverStart      : 0x8ef22000
         +0x010 DriverSize       : 0x7000
         +0x014 DriverSection    : 0x88d6f480
         +0x018 DriverExtension  : 0x88c87cd0 _DRIVER_EXTENSION
         +0x01c DriverName       : _UNICODE_STRING "\Driver\Beep"
         +0x024 HardwareDatabase : 0x82957e68 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
         +0x028 FastIoDispatch   : (null)
         +0x02c DriverInit       : 0x8ef26005           long  Beep!GsDriverEntry+0
         +0x030 DriverStartIo    : 0x8ef23248           void  Beep!BeepStartIo+0
         +0x034 DriverUnload     : 0x8ef23364           void  Beep!BeepUnload+0
         +0x038 MajorFunction    : [28] 0x8ef23186           long  Beep!BeepOpen+0
      +0x00c NextDevice       : (null)
      +0x010 AttachedDevice   : (null)
      +0x014 CurrentIrp       : (null)
      +0x018 Timer            : (null)
      +0x01c Flags            : 0x44
      +0x020 Characteristics  : 0x100
      +0x024 Vpb              : (null)
      +0x028 DeviceExtension  : 0x88d6fa48
      +0x02c DeviceType       : 1
      +0x030 StackSize        : 1 ''
      +0x034 Queue            :
         +0x000 ListEntry        : _LIST_ENTRY [ 0x0 - 0x0 ]
         +0x000 Wcb              : _WAIT_CONTEXT_BLOCK
      +0x05c AlignmentRequirement : 0
      +0x060 DeviceQueue      : _KDEVICE_QUEUE
         +0x000 Type             : 20
         +0x002 Size             : 20
         +0x004 DeviceListHead   : _LIST_ENTRY [ 0x88d6f9f4 - 0x88d6f9f4 ]
         +0x00c Lock             : 0
         +0x010 Busy             : 0 ''
      +0x074 Dpc              : _KDPC
         +0x000 Type             : 0x13 ''
         +0x001 Importance       : 0x1 ''
         +0x002 Number           : 0
         +0x004 DpcListEntry     : _LIST_ENTRY [ 0x0 - 0x0 ]
         +0x00c DeferredRoutine  : 0x8ef2333c           void  Beep!BeepTimeOut+0
         +0x010 DeferredContext  : 0x88d6f990
         +0x014 SystemArgument1  : (null)
         +0x018 SystemArgument2  : (null)
         +0x01c DpcData          : (null)
      +0x094 ActiveThreadCount : 0
      +0x098 SecurityDescriptor : 0x8b674548
      +0x09c DeviceLock       : _KEVENT
         +0x000 Header           : _DISPATCHER_HEADER
      +0x0ac SectorSize       : 0
      +0x0ae Spare1           : 0
      +0x0b0 DeviceObjectExtension : 0x88d6faa0 _DEVOBJ_EXTENSION
         +0x000 Type             : 13
         +0x002 Size             : 0
         +0x004 DeviceObject     : 0x88d6f990 _DEVICE_OBJECT
         +0x008 PowerFlags       : 0
         +0x00c Dope             : (null)
         +0x010 ExtensionFlags   : 0x800
         +0x014 DeviceNode       : (null)
         +0x018 AttachedTo       : (null)
         +0x01c StartIoCount     : 0
         +0x020 StartIoKey       : 0
         +0x024 StartIoFlags     : 0
         +0x028 Vpb              : (null)
         +0x02c DependentList    : _LIST_ENTRY [ 0x88d6facc - 0x88d6facc ]
         +0x034 ProviderList     : _LIST_ENTRY [ 0x88d6fad4 - 0x88d6fad4 ]
      +0x0b4 Reserved         : (null)
   +0x008 Flags            : 0x12
   +0x00c DriverStart      : 0x8ef22000
   +0x010 DriverSize       : 0x7000
   +0x014 DriverSection    : 0x88d6f480
   +0x018 DriverExtension  : 0x88c87cd0 _DRIVER_EXTENSION
      +0x000 DriverObject     : 0x88c87c28 _DRIVER_OBJECT
         +0x000 Type             : 4
         +0x002 Size             : 168
         +0x004 DeviceObject     : 0x88d6f990 _DEVICE_OBJECT
         +0x008 Flags            : 0x12
         +0x00c DriverStart      : 0x8ef22000
         +0x010 DriverSize       : 0x7000
         +0x014 DriverSection    : 0x88d6f480
         +0x018 DriverExtension  : 0x88c87cd0 _DRIVER_EXTENSION
         +0x01c DriverName       : _UNICODE_STRING "\Driver\Beep"
         +0x024 HardwareDatabase : 0x82957e68 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
         +0x028 FastIoDispatch   : (null)
         +0x02c DriverInit       : 0x8ef26005           long  Beep!GsDriverEntry+0
         +0x030 DriverStartIo    : 0x8ef23248           void  Beep!BeepStartIo+0
         +0x034 DriverUnload     : 0x8ef23364           void  Beep!BeepUnload+0
         +0x038 MajorFunction    : [28] 0x8ef23186           long  Beep!BeepOpen+0
      +0x004 AddDevice        : (null)
      +0x008 Count            : 0
      +0x00c ServiceKeyName   : _UNICODE_STRING "Beep"
         +0x000 Length           : 8
         +0x002 MaximumLength    : 0xa
         +0x004 Buffer           : 0x88c70640  "Beep"
      +0x014 ClientDriverExtension : (null)
      +0x018 FsFilterCallbacks : (null)
   +0x01c DriverName       : _UNICODE_STRING "\Driver\Beep"
      +0x000 Length           : 0x18
      +0x002 MaximumLength    : 0x18
      +0x004 Buffer           : 0x88c53368  "\Driver\Beep"
   +0x024 HardwareDatabase : 0x82957e68 _UNICODE_STRING "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
      +0x000 Length           : 0x5a
      +0x002 MaximumLength    : 0x5c
      +0x004 Buffer           : 0x8286b760  "\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM"
   +0x028 FastIoDispatch   : (null)
   +0x02c DriverInit       : 0x8ef26005     long  Beep!GsDriverEntry+0
   +0x030 DriverStartIo    : 0x8ef23248     void  Beep!BeepStartIo+0
   +0x034 DriverUnload     : 0x8ef23364     void  Beep!BeepUnload+0
   +0x038 MajorFunction    : [28] 0x8ef23186     long  Beep!BeepOpen+0

В: Как в структуре посмотреть какую-либо входящую в нее структуру отдельно?

О: Для просмотра структур используется команда dt. Поле нужно указывать после имени модуля и названия самой структуры:

lkd> dt nt!_OBJECT_TYPE poi(PsProcessType) TypeInfo.
+0×060 TypeInfo :
+0×000 Length    : 0x4c
+0×002 UseDefaultObject : 0 »
+0×003 CaseInsensitive : 0 »
+0×004 InvalidAttributes : 0xb0
+0×008 GenericMapping : _GENERIC_MAPPING
+0×018 ValidAccessMask : 0x1f0fff
+0x01c SecurityRequired : 0×1 »
+0x01d MaintainHandleCount : 0 »
+0x01e MaintainTypeList : 0 »
+0×020 PoolType : 0 ( NonPagedPool )
+0×024 DefaultPagedPoolCharge : 0×1000
+0×028 DefaultNonPagedPoolCharge : 0x2a8
+0x02c DumpProcedure : (null)
+0×030 OpenProcedure : (null)
+0×034 CloseProcedure : (null)
+0×038 DeleteProcedure : 0x8094bb7a        void nt!PspProcessDelete+0
+0x03c ParseProcedure : (null)
+0×040 SecurityProcedure : 0x809732e4        long nt!SeDefaultObjectMethod+0
+0×044 QueryNameProcedure : (null)
+0×048 OkayToCloseProcedure : (null)

В: А можно как-нибудь разыменовывать указатель?

О: Да, используйте команду poi(см. выше).

В: Для WinDbg есть различные дополнения. Как ими управлять?

О: Все очень просто. Для того, чтобы посмотреть список загруженных дополнений воспользуйтесь командой .chain. Для выгрузки и загрузки используйте .unload и .load соответственно.

В: Как во время отладки в режиме ядра загрузить символы пользовательского пространства?

О: Используйте .reload /user. Также используйте эту команду, если хотите увидеть стэк вызовов (k) в пользовательском пространстве текущего потока.

В: Можно как-нибудь искать MZ/PE модули в памяти по PE-заголовку?

О: Для поиска можно воспользоваться командой s, но проще использовать замечательную команду .imgscan. Модуль она не всегда определяет, да в большинстве случаев это и не нужно.

lkd> .imgscan /r poi(MmSystemRangeStart) L10000000
MZ at 8016a000 — size 13900
MZ at 802c7000 — size d000
MZ at 8032c000 — size 8c600
MZ at 8051f000 — size b000
Name:
MZ at 80573000 — size 11000
MZ at 80800000 — size 25c000
Name: ntoskrnl.exe
MZ at 80a5c000 — size 2c000
Name: HAL.dll
MZ at 815e8000 — size 7400
MZ at 81637000 — size 2f000
MZ at 8171d000 — size 38000
MZ at 81878000 — size ff000
MZ at 819f5000 — size 26000
ReadVirtual: 819effa8 not properly sign extended
ReadVirtual: 819effa9 not properly sign extended
Name:

MZ at 8a806000 — size a000
MZ at 8a814000 — size ad000
Name: MZђ

В: Как получить детальную информацию о модуле, его заголовках, секциях и т.д. по его адресу?

О: Есть две замечательные команды: !lmi и !dh. Рекомендую их использовать именно в таком порядке.

lkd> ? nt
Evaluate expression: -2107363328 = 82643000
lkd> !lmi 82643000
Loaded Module Info: [82643000]
Module: ntkrpamp
Base Address: 82643000
Image Name: ntkrpamp.exe
Machine Type: 332 (I386)
Time Stamp: 4a77feb3 Tue Aug 04 13:26:11 2009
Size: 3b9000
CheckSum: 370777
Characteristics: 122 perf
Debug Data Dirs: Type Size     VA Pointer
CODEVIEW    25, ebf18,   eb718 RSDS — GUID: {143D55DD-4AC9-42A4-93AC-D9DF136B9EF5}
Age: 2, Pdb: ntkrpamp.pdb
CLSID     4, ebf14,   eb714 [Data not mapped]
Image Type: MEMORY   — Image read successfully from loaded memory.
Symbol Type: PDB      — Symbols loaded successfully from symbol server.
c:\symserver\ntkrpamp.pdb\143D55DD4AC942A493ACD9DF136B9EF52\ntkrpamp.pdb
Load Report: public symbols , not source indexed
c:\symserver\ntkrpamp.pdb\143D55DD4AC942A493ACD9DF136B9EF52\ntkrpamp.pdb

Команда !dh показывает более детальную информацию об образе со всеми заголовками и т.д.

lkd> !dh 82643000

File Type: EXECUTABLE IMAGE
FILE HEADER VALUES
14C machine (i386)
16 number of sections
4A77FEB3 time date stamp Tue Aug 04 13:26:11 2009

0 file pointer to symbol table
0 number of symbols
E0 size of optional header
122 characteristics
Executable
App can handle >2gb addresses
32 bit word machine

OPTIONAL HEADER VALUES
10B magic #
8.00 linker version
2EFA00 size of code
BB200 size of initialized data
3600 size of uninitialized data
EC4B0 address of entry point
1000 base of code
—— new ——
00400000 image base
1000 section alignment
200 file alignment
1 subsystem (Native)
6.00 operating system version
6.00 image version
6.00 subsystem version
3B9000 size of image
800 size of headers
370777 checksum
00040000 size of stack reserve
00002000 size of stack commit
00100000 size of heap reserve
00001000 size of heap commit
0 DLL characteristics
2FF000 [    F674] address [size] of Export Directory
36A348 [      8C] address [size] of Import Directory
36C000 [   34170] address [size] of Resource Directory
0 [       0] address [size] of Exception Directory
36D400 [    1C48] address [size] of Security Directory
3A1000 [   17B28] address [size] of Base Relocation Directory
EBEDC [      38] address [size] of Debug Directory
0 [       0] address [size] of Description Directory
0 [       0] address [size] of Special Directory
0 [       0] address [size] of Thread Storage Directory
C0D20 [      40] address [size] of Load Configuration Directory
0 [       0] address [size] of Bound Import Directory
1000 [     264] address [size] of Import Address Table Directory
0 [       0] address [size] of Delay Import Directory
0 [       0] address [size] of COR20 Header Directory
0 [       0] address [size] of Reserved Directory

SECTION HEADER #1
.text name
EAF3D virtual size
1000 virtual address
EB000 size of raw data
800 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
68000020 flags
Code
Not Paged
(no align specified)
Execute Read

Debug Directories(2)
Type       Size     Address Pointer
cv           25       ebf18    eb718    Format: RSDS, guid, 2, ntkrpamp.pdb
(    10)       4       ebf14    eb714

SECTION HEADER #2
_PAGELK name
861 virtual size
EC000 virtual address
A00 size of raw data
EB800 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
68000020 flags
Code
Not Paged
(no align specified)
Execute Read

SECTION HEADER #3
POOLCODE name
19DB virtual size
ED000 virtual address
1A00 size of raw data
EC200 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
68000020 flags
Code
Not Paged
(no align specified)
Execute Read

SECTION HEADER #4
POOLMI name
BAD virtual size
EF000 virtual address
C00 size of raw data
EDC00 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
68000020 flags
Code
Not Paged
(no align specified)
Execute Read

SECTION HEADER #5
.data name
4638C virtual size
F0000 virtual address
8800 size of raw data
EE800 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C8000040 flags
Initialized Data
Not Paged
(no align specified)
Read Write

SECTION HEADER #6
ALMOSTRO name
C9C virtual size
137000 virtual address
C00 size of raw data
F7000 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C8000040 flags
Initialized Data
Not Paged
(no align specified)
Read Write

SECTION HEADER #7
SPINLOCK name
E84 virtual size
138000 virtual address
0 size of raw data
0 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C8000080 flags
Uninitialized Data
Not Paged
(no align specified)
Read Write

SECTION HEADER #8
PAGE name
18EB06 virtual size
139000 virtual address
18EC00 size of raw data
F7C00 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
60000020 flags
Code
(no align specified)
Execute Read

SECTION HEADER #9
PAGELK name
14412 virtual size
2C8000 virtual address
14600 size of raw data
286800 file pointer to raw data
8290B000 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
60000020 flags
Code
(no align specified)
Execute Read

SECTION HEADER #A
PAGEKD name
4419 virtual size
2DD000 virtual address
4600 size of raw data
29AE00 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
60000020 flags
Code
(no align specified)
Execute Read

SECTION HEADER #B
PAGEVRFY name
16D9B virtual size
2E2000 virtual address
16E00 size of raw data
29F400 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
60000020 flags
Code
(no align specified)
Execute Read

SECTION HEADER #C
PAGEHDLS name
1D8A virtual size
2F9000 virtual address
1E00 size of raw data
2B6200 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
60000020 flags
Code
(no align specified)
Execute Read

SECTION HEADER #D
PAGEBSS name
48 virtual size
2FB000 virtual address
0 size of raw data
0 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C0000080 flags
Uninitialized Data
(no align specified)
Read Write

SECTION HEADER #E
PAGEVRFB name
23C0 virtual size
2FC000 virtual address
0 size of raw data
0 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C0000080 flags
Uninitialized Data
(no align specified)
Read Write

SECTION HEADER #F
.edata name
F674 virtual size
2FF000 virtual address
F800 size of raw data
2B8000 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
40000040 flags
Initialized Data
(no align specified)
Read Only

SECTION HEADER #10
PAGEDATA name
802C virtual size
30F000 virtual address
8200 size of raw data
2C7800 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C0000040 flags
Initialized Data
(no align specified)
Read Write

SECTION HEADER #11
PAGEKDD name
C015 virtual size
318000 virtual address
C200 size of raw data
2CFA00 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C0000040 flags
Initialized Data
(no align specified)
Read Write

SECTION HEADER #12
PAGEVRFC name
3608 virtual size
325000 virtual address
3600 size of raw data
2DBC00 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
40000040 flags
Initialized Data
(no align specified)
Read Only

SECTION HEADER #13
PAGEVRFD name
CE8 virtual size
329000 virtual address
E00 size of raw data
2DF200 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C0000040 flags
Initialized Data
(no align specified)
Read Write

SECTION HEADER #14
INIT name
41436 virtual size
32A000 virtual address
41600 size of raw data
2E0000 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
E2000020 flags
Code
Discardable
(no align specified)
Execute Read Write

SECTION HEADER #15
.rsrc name
34170 virtual size
36C000 virtual address
34200 size of raw data
321600 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
40000040 flags
Initialized Data
(no align specified)
Read Only

SECTION HEADER #16
.reloc name
17B28 virtual size
3A1000 virtual address
17C00 size of raw data
355800 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
42000040 flags
Initialized Data
Discardable
(no align specified)
Read Only

В: Как получить информацию о запущенных процессах в системе?

О: Для этого необходимо использовать команду !process. При отладке в пользовательском режиме необходимо использовать команду .tlist.

Перечислим все процессы в системе !process 0 0:

lkd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 8494ed90 SessionId: none Cid: 0004    Peb: 00000000 ParentCid: 0000
DirBase: 00122000 ObjectTable: 8b201e88 HandleCount: 3367.
Image: System

PROCESS 889c5cf8 SessionId: none Cid: 01f4    Peb: 7ffdd000 ParentCid: 0004
DirBase: bbc26020 ObjectTable: 8b2f5038 HandleCount: 28.
Image: smss.exe

PROCESS 87f27d90 SessionId: 0 Cid: 027c    Peb: 7ffd7000 ParentCid: 0270
DirBase: bbc26060 ObjectTable: 96a266b0 HandleCount: 796.
Image: csrss.exe

PROCESS 88dd4d90 SessionId: 0 Cid: 02b0    Peb: 7ffdf000 ParentCid: 0270
DirBase: bbc260a0 ObjectTable: 96bdff18 HandleCount: 106.
Image: wininit.exe

PROCESS 88bab520 SessionId: 1 Cid: 02b8    Peb: 7ffdf000 ParentCid: 02a8
DirBase: bbc26040 ObjectTable: 96bf6050 HandleCount: 744.
Image: csrss.exe

В: Как переключиться в контекст конкретного процесса?

О: Используйте команду .process (не путайте с командой !process).

lkd> .process
Implicit process is now 85330020
lkd> .process /r/p 87f27d90
Implicit process is now 87f27d90
Loading User Symbols
…………..

В: А как переключиться «регистровый» контекст произвольного потока?

О: Во время отладки в ядре вам доступны те регистры, которые связаны с текущим потоком, который вы отлаживаете. Используйте команду .thread для переключения в «регистровый» контекст другого потока.

В: Какие есть команды для получения информации об объектах?

О: Я перечислю самые полезные на мой взгляд: !object, !devobj, !devstack, !drvobj

Команда !object показывает информацию о системном объекте. Например так:

lkd> !object 0x860ad988
Object: 860ad988 Type: (84d902c0) Driver
ObjectHeader: 860ad970 (old version)
HandleCount: 0 PointerCount: 5
Directory Object: 8b671350 Name: atapi

Или так:

lkd> !object \Device\Harddisk0
Object: 8d2d1c50 Type: (84d491a0) Directory
ObjectHeader: 8d2d1c38 (old version)
HandleCount: 1 PointerCount: 6
Directory Object: 8b6133a8 Name: Harddisk0

Hash Address Type          Name
—- ——- —-          —-
21 86b0eac8 Device        DR0
33 8d2e29f8 SymbolicLink Partition0
34 8b673e40 SymbolicLink Partition1
35 8b671e30 SymbolicLink Partition2

Команда !devobj показывает детальную информацию о структуре DEVICE_OBJECT:

lkd> !devobj \Device\Harddisk0\DR0
Device object (86b0eac8) is for:
DR0 \Driver\disk DriverObject 86674718
Current Irp 00000000 RefCount 0 Type 00000007 Flags 00000050
Vpb 86674198 Dacl 8b735a6c DevExt 86b0eb80 DevObjExt 86b0efc0 Dope 86674130
ExtensionFlags (0×00000800)
Unknown flags 0×00000800
AttachedDevice (Upper) 86b0e7b8 \Driver\partmgr
AttachedTo (Lower) 860ad2d0 \Driver\ACPI
Device queue is not busy.

А команда !devstack показывает в удобном виде стек устройства:

lkd> !devstack 860ad2d0
!DevObj   !DrvObj            !DevExt   ObjectName
86b0e7b8 \Driver\partmgr    86b0e870
86b0eac8 \Driver\disk       86b0eb80 DR0
> 860ad2d0 \Driver\ACPI       8519b6b8
85b66028 \Driver\iaStor     85b660e0 IAAStorageDevice-0
!DevNode 85b2f280 :
DeviceInst is «IDE\DiskST9320421AS_____________________________SD13____\4″30b36239″0″0.0.0″
ServiceName is «disk»

В свою очередь, команда !drvobj покажет детальную информацию о структуре DRIVER_OBJECT:

lkd> .reload /f classpnp.sys
lkd> !drvobj 86674718 2
Driver object (86674718) is for:
\Driver\disk
DriverEntry:   8afd0bbc    disk!GsDriverEntry
DriverStartIo: 00000000
DriverUnload: 8afedab2    CLASSPNP!ClassUnload
AddDevice:     8afec4e9    CLASSPNP!ClassAddDevice

Dispatch routines:
[00] IRP_MJ_CREATE                      8afd9d24    CLASSPNP!ClassGlobalDispatch
[01] IRP_MJ_CREATE_NAMED_PIPE           8266b9d2    nt!IopInvalidDeviceRequest
[02] IRP_MJ_CLOSE                       8afd9d24    CLASSPNP!ClassGlobalDispatch
[03] IRP_MJ_READ                        8afd9d24    CLASSPNP!ClassGlobalDispatch
[04] IRP_MJ_WRITE                       8afd9d24    CLASSPNP!ClassGlobalDispatch
[05] IRP_MJ_QUERY_INFORMATION           8266b9d2    nt!IopInvalidDeviceRequest
[06] IRP_MJ_SET_INFORMATION             8266b9d2    nt!IopInvalidDeviceRequest
[07] IRP_MJ_QUERY_EA                    8266b9d2    nt!IopInvalidDeviceRequest
[08] IRP_MJ_SET_EA                      8266b9d2    nt!IopInvalidDeviceRequest
[09] IRP_MJ_FLUSH_BUFFERS               8afd9d24    CLASSPNP!ClassGlobalDispatch
[0a] IRP_MJ_QUERY_VOLUME_INFORMATION    8266b9d2    nt!IopInvalidDeviceRequest
[0b] IRP_MJ_SET_VOLUME_INFORMATION      8266b9d2    nt!IopInvalidDeviceRequest
[0c] IRP_MJ_DIRECTORY_CONTROL           8266b9d2    nt!IopInvalidDeviceRequest
[0d] IRP_MJ_FILE_SYSTEM_CONTROL         8266b9d2    nt!IopInvalidDeviceRequest
[0e] IRP_MJ_DEVICE_CONTROL              8afd9d24    CLASSPNP!ClassGlobalDispatch
[0f] IRP_MJ_INTERNAL_DEVICE_CONTROL     8afd9d24    CLASSPNP!ClassGlobalDispatch
[10] IRP_MJ_SHUTDOWN                    8afd9d24    CLASSPNP!ClassGlobalDispatch
[11] IRP_MJ_LOCK_CONTROL                8266b9d2    nt!IopInvalidDeviceRequest
[12] IRP_MJ_CLEANUP                     8266b9d2    nt!IopInvalidDeviceRequest
[13] IRP_MJ_CREATE_MAILSLOT             8266b9d2    nt!IopInvalidDeviceRequest
[14] IRP_MJ_QUERY_SECURITY              8266b9d2    nt!IopInvalidDeviceRequest
[15] IRP_MJ_SET_SECURITY                8266b9d2    nt!IopInvalidDeviceRequest
[16] IRP_MJ_POWER                       8afd9d24    CLASSPNP!ClassGlobalDispatch
[17] IRP_MJ_SYSTEM_CONTROL              8afd9d24    CLASSPNP!ClassGlobalDispatch
[18] IRP_MJ_DEVICE_CHANGE               8266b9d2    nt!IopInvalidDeviceRequest
[19] IRP_MJ_QUERY_QUOTA                 8266b9d2    nt!IopInvalidDeviceRequest
[1a] IRP_MJ_SET_QUOTA                   8266b9d2    nt!IopInvalidDeviceRequest
[1b] IRP_MJ_PNP                         8afd9d24    CLASSPNP!ClassGlobalDispatch

В: Каким образом запускать скрипты, которые поддерживает отладчик?

О: Для начала сохраните скрипт в текстовом файле. Потом используйте команды:

$< Filename
$>< Filename
$$< Filename
$$>< Filename
$$>a< Filename [arg1 arg2 arg3 ... ]

Разницу в командах смотрите в документации.

В: Какие есть команды для того, чтобы посмотреть структуры PEB и TEB?

О: Есть такие команды. Это !peb и !teb.

kd> !process 81631158
PROCESS 81631158 SessionId: 0 Cid: 0790 Peb: 7ffd5000 ParentCid: 0750
DirBase: 062c0200 ObjectTable: e1980568 HandleCount: 28.
Image: calc.exe
VadRoot 815a9ea0 Vads 51 Clone 0 Private 119. Modified 0. Locked 0.
DeviceMap e19b5d88
Token e1b6d818
ElapsedTime 00:00:15.484
UserTime 00:00:00.015
KernelTime 00:00:00.156
QuotaPoolUsage[PagedPool] 57956
QuotaPoolUsage[NonPagedPool] 2040
Working Set Sizes (now,min,max) (641, 50, 345) (2564KB, 200KB, 1380KB)
PeakWorkingSetSize 641
VirtualSize 27 Mb
PeakVirtualSize 34 Mb
PageFaultCount 664
MemoryPriority BACKGROUND
BasePriority 8
CommitCharge 194

THREAD 815aa228 Cid 0790.0794 Teb: 7ffdf000 Win32Thread: e1b75490 WAIT: (WrUserRequest) UserMode Non-Alertable
8146d020 SynchronizationEvent
Not impersonating
DeviceMap e19b5d88
Owning Process 0 Image:
Attached Process 81631158 Image: calc.exe
Wait Start TickCount 4717 Ticks: 13 (0:00:00:00.203)
Context Switch Count 142 LargeStack
UserTime 00:00:00.000
KernelTime 00:00:00.203
Win32 Start Address calc!WinMainCRTStartup (0×01012475)
Start Address kernel32!BaseProcessStartThunk (0x7c8106f5)
Stack Init f801d000 Current f801cc20 Base f801d000 Limit f8018000 Call 0
Priority 12 BasePriority 8 PriorityDecrement 2 DecrementCount 16
ChildEBP RetAddr
f801cc38 80500cd6 nt!KiSwapContext+0x2e (FPO: [Uses EBP] [0,0,4])
f801cc44 804f9d62 nt!KiSwapThread+0×46 (FPO: [0,0,0])
f801cc6c bf802f52 nt!KeWaitForSingleObject+0x1c2 (FPO: [5,5,4])
WARNING: Frame IP not in any known module. Following frames may be wrong.
f801cd4c 8053d638 0xbf802f52
f801cd4c 0007fee8 nt!KiFastCallEntry+0xf8 (FPO: [0,0] TrapFrame-EDITED @ f801ccec)
f801cd64 00000000 0x7fee8
kd> .process /r/p 81631158
Implicit process is now 81631158
.cache forcedecodeuser done
Loading User Symbols
…………………
kd> !peb
PEB at 7ffd5000
InheritedAddressSpace: No
ReadImageFileExecOptions: No
BeingDebugged: No
ImageBaseAddress: 01000000
Ldr 001a1e90
Ldr.Initialized: Yes
Ldr.InInitializationOrderModuleList: 001a1f28 . 001a2bd0
Ldr.InLoadOrderModuleList: 001a1ec0 . 001a2bc0
Ldr.InMemoryOrderModuleList: 001a1ec8 . 001a2bc8
Base TimeStamp Module
1000000 3b7d8410 Aug 18 00:52:32 2001 C:\WINDOWS\system32\calc.EXE
7c900000 4802a12c Apr 14 04:11:24 2008 C:\WINDOWS\system32\ntdll.dll
7c800000 4802a12c Apr 14 04:11:24 2008 C:\WINDOWS\system32\kernel32.dll
7c9c0000 4802a111 Apr 14 04:10:57 2008 C:\WINDOWS\system32\SHELL32.dll
77dd0000 4802a0b2 Apr 14 04:09:22 2008 C:\WINDOWS\system32\ADVAPI32.dll
77e70000 4802a106 Apr 14 04:10:46 2008 C:\WINDOWS\system32\RPCRT4.dll
77fe0000 4802a11b Apr 14 04:11:07 2008 C:\WINDOWS\system32\Secur32.dll
77f10000 4802a0be Apr 14 04:09:34 2008 C:\WINDOWS\system32\GDI32.dll
7e410000 4802a11b Apr 14 04:11:07 2008 C:\WINDOWS\system32\USER32.dll
77c10000 4802a188 Apr 14 04:12:56 2008 C:\WINDOWS\system32\msvcrt.dll
77f60000 4802a116 Apr 14 04:11:02 2008 C:\WINDOWS\system32\SHLWAPI.dll
5cb70000 4802a114 Apr 14 04:11:00 2008 C:\WINDOWS\system32\ShimEng.dll
6f880000 4802a098 Apr 14 04:08:56 2008 C:\WINDOWS\AppPatch\AcGenral.DLL
76b40000 4802a13c Apr 14 04:11:40 2008 C:\WINDOWS\system32\WINMM.dll
774e0000 4802a111 Apr 14 04:10:57 2008 C:\WINDOWS\system32\ole32.dll
77120000 4802a112 Apr 14 04:10:58 2008 C:\WINDOWS\system32\OLEAUT32.dll
77be0000 4802a117 Apr 14 04:11:03 2008 C:\WINDOWS\system32\MSACM32.dll
77c00000 4802a11d Apr 14 04:11:09 2008 C:\WINDOWS\system32\VERSION.dll
769c0000 4802a11c Apr 14 04:11:08 2008 C:\WINDOWS\system32\USERENV.dll
5ad70000 4802a11e Apr 14 04:11:10 2008 C:\WINDOWS\system32\UxTheme.dll
773d0000 4802a094 Apr 14 04:08:52 2008 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
SubSystemData: 00000000
ProcessHeap: 000a0000
ProcessParameters: 00020000
WindowTitle: ‘C:\WINDOWS\system32\calc.EXE’
ImageFile: ‘C:\WINDOWS\system32\calc.EXE’
CommandLine: ‘»C:\WINDOWS\system32\calc.EXE» ‘
DllPath: ‘C:\WINDOWS\system32;C:\WINDOWS\system32;C:\WINDOWS\system;C:\WINDOWS;.;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem’
Environment: 00010000
=::=::\
=C:=C:\
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\sww\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=SWW-3DF7AD85928
ComSpec=C:\WINDOWS\system32\cmd.exe
FARHOME=C:\Far
FARLANG=English
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\sww
LOGONSERVER=\\SWW-3DF7AD85928
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 23 Stepping 8, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=1708
ProgramFiles=C:\Program Files
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\sww\LOCALS~1\Temp
TMP=C:\DOCUME~1\sww\LOCALS~1\Temp
USERDOMAIN=SWW-3DF7AD85928
USERNAME=sww
USERPROFILE=C:\Documents and Settings\sww
windir=C:\WINDOWS
kd> !teb 7ffdf000
TEB at 7ffdf000
ExceptionList: 0007ff10
StackBase: 00080000
StackLimit: 0007d000
SubSystemTib: 00000000
FiberData: 00001e00
ArbitraryUserPointer: 00000000
Self: 7ffdf000
EnvironmentPointer: 00000000
ClientId: 00000790 . 00000794
RpcHandle: 00000000
Tls Storage: 00000000
PEB Address: 7ffd5000
LastErrorValue: 1309
LastStatusValue: c0000034
Count Owned Locks: 0
HardErrorMode: 0

Данные команды крайне полезны при анализе дампа. Не забывайте про них.

В: Как получить имя модуля по адресу внутри него?

О: Прочтите статью «Адрес модуля в WinDbg» и/или воспользуйтесь командой lma или предоставленным скриптом.

$$ pointer to modules list
r $t0 = nt!PsLoadedModuleList
 
	.echo "Section             Start               End                 Name"
 
.for ( r $t1 = poi(@$t0);
       (@$t1 != 0) & (@$t1 != @$t0);
       r $t1 = poi(@$t1) )
{
    r? $t2 = #CONTAINING_RECORD( @$t1, nt!_LDR_DATA_TABLE_ENTRY, InLoadOrderLinks );
    as /x ${/v:$Section} @$t2
 
    $$  Get image name into $DriverName
    as /msu ${/v:$DriverName} @@c++(&@$t2->BaseDllName)
    $$  Get image base into $Start
    as /x ${/v:$Start} @@c++(@$t2->DllBase)
    $$  Get image base + image size into $End
    as /x ${/v:$End} ( @@c++(@$t2->DllBase) + @@c++(@$t2->SizeOfImage) )
 
    .block
    {
        .echo ${$Section}: ${$Start}: ${$End}: ${$DriverName}
    }
 
    ad ${/v:$End}
    ad ${/v:$Start}
    ad ${/v:$DriverName}
    ad ${/v:$Section}
}

В: Что такое мэппинг драйверов в WinDbg и как этим пользоваться?

О: Читайте в отдельной статье.

В: А есть вообще полезные команды в WinDbg?

О: Конечно. Самая лучшая из них — .cls :)

Полезные скрипты при динамическом анализе руткитов (взято с разрешения авторов из статьи «Обнаружение руткитов режима ядра с помощью отладчика»).

Скрипт для перечисления некоторых колбеков ядра:

.echo Create Process Notifiers:
$$ нотификаторы на создание процессов
r $t0 = nt!PspCreateProcessNotifyRoutine
 
$$ перебираем EX_CALLBACK элементы массива
.for (r $t2 = 0; @$t2 < 8; r $t2 = @$t2 + 1)
{
    $$ отбрасываем младшие 3 бита, 
    $$ которые хранят количество ссылок на указатель
    r $t3 = @@c++((*(long *)(@$t0 + @$t2 * 4)) & 0xfffffff8);
 
    .if (@$t3)
    {
        $$ если указатель не равен нулю, 
        $$ выводим поле Function из EX_CALLBACK_ROUTINE_BLOCK
        dps @@c++((long *)(@$t3 + 4)) L 1
    }
}
 
.echo Create Thread Notifiers:
$$ нотификаторы на создание потоков
r $t0 = nt!PspCreateThreadNotifyRoutine
 
.for (r $t2 = 0; @$t2 < 8; r $t2 = @$t2 + 1)
{
    r $t3 = @@c++((*(long *)(@$t0 + @$t2 * 4)) & 0xfffffff8);
 
    .if (@$t3)
    {
        dps @@c++((long *)(@$t3 + 4)) L 1
    }
}
 
.echo Load Image Notifiers:
$$ нотификаторы на загрузку исполняемых образов
r $t0 = nt!PspLoadImageNotifyRoutine
 
.for (r $t2 = 0; @$t2 < 8; r $t2 = @$t2 + 1)
{
    r $t3 = @@c++((*(long *)(@$t0 + @$t2 * 4)) & 0xfffffff8);
 
    .if (@$t3)
    {
        dps @@c++((long *)(@$t3 + 4)) L 1
    }
}
 
.echo Registry Callbacks:
$$ нотификаторы на события системного реестра
r $t0 = nt!CmpCallBackVector
 
.for (r $t2 = 0; @$t2 < 0x64; r $t2 = @$t2 + 1)
{
    r $t3 = @@c++((*(long *)(@$t0 + @$t2 * 4)) & 0xfffffff8);
 
    .if (@$t3)
    {
        dps @@c++((long *)(@$t3 + 4)) L 1
    }
}

Скрипт, проверяющий ServiceTable существующих потоков в системе:

$$ указатель на список процессов
r $t0 = nt!PsActiveProcessHead
 
$$ перечисляем активные процессы
.for (r $t1 = poi(@$t0);
      (@$t1 != 0) & (@$t1 != @$t0);
      r $t1 = poi(@$t1))
{
    r? $t2 = #CONTAINING_RECORD(@$t1, nt!_EPROCESS, ActiveProcessLinks);
    as /x ${/v:$Procc} @$t2
 
    $$  Get image name into $ImageName.
    as /ma ${/v:$ImageName} @@c++(&@$t2->ImageFileName[0])
 
    .block
    {
        .echo ${$Procc}: ${$ImageName}
        .echo Active threads:
    }
 
    $$ указатель на список активных потоков этого процесса
    r? $t3 = (nt!_LIST_ENTRY *)&@$t2->ThreadListHead;
 
    $$ перечисляем потоки
    .for (r $t4 = poi(@$t3);
          (@$t4 != 0) & (@$t4 != @$t3);
          r $t4 = poi(@$t4))
    {
        r? $t5 = #CONTAINING_RECORD(@$t4, nt!_ETHREAD, ThreadListEntry)
        r? $t5 = (nt!_KTHREAD *)@$t5
 
        $$ получаем значение KTHREAD::ServiceTable
        r $t6 = @@c++(@$t5->ServiceTable)
 
        r $t7 = nt!KeServiceDescriptorTable
        r $t8 = nt!KeServiceDescriptorTableShadow
 
        as /x ${/v:$Kthread} @$t5
        as /x ${/v:$SDT} @$t6
 
        .block 
        {
            .echo ${$Kthread} ServiceTable = ${$SDT}
        }
 
        $$ проверяем значение
        .if ((@$t6 != @$t7) & (@$t6 != @$t8))
        {
            .block
            {
                .echo !!! Changed value of KTHREAD::ServiceTable
            }
        }
 
        ad ${/v:$Kthread}
        ad ${/v:$SDT}
    }
 
    ad ${/v:$ImageName}
    ad ${/v:$Procc}
}

IDA vs Windbg

SWW — Sun, 08 Mar 2009 10:41:13 +0000

Относительно недавно вышла новая IDA v5.4. В ней были заявлены возможности удаленной отладки, используя Windbg. Конечно, в IDA появились и другие интересные вещи. Среди них я бы выделил те самые три отладчика: Bosch, GDB, Windbg; возможность писать на Python (видимо для гиков и «аверов», которые строят на этом системы анализа); и, задерживаем дыхание, возможность получить имена локальных переменных и типы из формата .PDB. Последнее означает то, что теперь можно загрузить наконец-то ntoskrnl.exe в IDA и все недокументированные структуры будут как на ладони (это ж надо дойти до этого только к версии 5.4).

Картинка ниже показывает недокументированную структуру _KTHREAD файла ядра.

Возможности загрузить структуры в другой анализируемый файл — нет. Пользуемся старым способом: добавляем нужные нам структуры и экспортируем их в виде .IDC файла, который потом подгружаем в анализируемый сэмпл. Неудобно добавлять каждую структуру по отдельности, также неудобно то, что нет возможности сразу подгрузить все структуры из .PDB в анализируемый файл.

Первым делом, я взялся смотреть отладчик, так как он мне интереснее всего. Скачиваем по ссылке статью, в которой описываются настройки IDA для удаленной отладки с помощью Windbg. Прежде всего, я советую обратить внимание на следующие моменты:

Конфигурация источника символов. Не забываем прописать путь в переменные окружения или перед запуском IDA выполняем команду set.
Выбираем Debugger->Attach, а не Debugger->Run.
Не забываем поставить галочку Kernel mode debugging.

Сразу после подключения мы получаем полноценный отладчик, который умеет выполнять команды Windbg в отдельном окошке. Нам доступны все расширения (смотри .chain и .load). Не забывайте нажимать C для преобразования в код. В отладчике также работает Hex-Rays (для этого надо создать функцию, нажмите P, а потом F5).

Пожалуй, я задумаюсь о полноценном переходе на отладчик IDA, использующий Windbg. Графический интерфейс однозначно удобнее, а если меня застигнет ностальгия, то всегда под рукой строка для ввода команд Windbg.