Clik here to view.
Porozmawiajmy o PDB - spotkanie WG.NET
Jakiś czas temu poświęciłem kilka notek plikom PDB oraz własnemu serwerowi symboli, czuję jednak pewien niedosyt. Z tym większą przyjemnością zapraszam na dzisiejsze spotkanie Warszawskiej Grupy .NET,...
View ArticleClik here to view.
Zabawy z PowerDbg, czyli ćwiczymy automatyczne wyciąganie haseł z CPAU...
Zadanie: Wydłubać hasło z plików .job popularnego narzędzia typu runas - CPAU. Temat poruszałem już jakiś czas temu na blogu, teraz jednak sięgniemy po narzędzia pozwalające to i owo...
View ArticleClik here to view.
Zagadka internalsowa 0x3
To już chyba ostatnia zagadka w tym roku, dla wytrwałych :)Wyobraźmy sobie, że mamy zestawioną sesję debuggera z Windows 7 SP1 64-bit, na którym m.in. mamy proces o identyfikatorze 2548 (notepad.exe) i...
View ArticleClik here to view.
ProtectedProcess, czyli słów kilka o ochronie procesu
Począwszy od Visty Microsoft wprowadził do systemu mechanizm 'Protected Processes', który w założeniach miał chronić niektóre procesy przed innymi wścibskimi procesami. Rozwiązanie to znalazło...
View ArticleClik here to view.
RtlCreateProcessReflection, czyli widelec(), a zrzuty pamięci
Śmiem twierdzić, że za sprawą Windows 7 systemy 64-bitowe na dobre upowszechniły się. A jak 64 bity, to i więcej pamięci, z której chętnie korzystają aplikacje 64-bitowe. Ten kij ma jednak drugi koniec...
View ArticleClik here to view.
O Continuous Integration na WG.NET - 23.02
W imieniu swoim oraz innych aktywistów Warszawskiej Grupy .NET zapraszam wszystkich na 56. spotkanie grupy, które odbędzie się w czwartek, 23.02 o godzinie 18:00 (to już jutro!!!) w sali 168 na...
View ArticleClik here to view.
Automatyczna analiza zrzutów pamięci
Ostatnio przyszło mi nieco więcej niż zwykle bawić się zrzutami pamięci różnych procesów, generowanych przez procdumpa, tudzież myszkowo z Process Explorera lub Process Hackera. Czasem po prostu...
View ArticleClik here to view.
Windows 7 BitLocker constantly asks for USB key after TPM was disabled and...
I use Bitlocker with my laptops and I recommend it for everyone.Unfortunately after a "strange" reboot my computer didn't start as usual, but asked for USB drive with key.And it kept asking for it...
View ArticleClik here to view.
Zagadka weekendowa [WinDbg + memory dump]
Dziś weekendowo.Uruchamiamy cmd.exe i robimy zrzut pamięci. Następnie ładujemy denata do WinDbg i wykonujemy standardowe !analyze -v (zaznaczone na zielono).0:000> !analyze...
View ArticleClik here to view.
Triage.ini, czyli o '!analyze -v' dwa słowa
Analizę dumpów bardzo często rozpoczyna się od polecenia !analyze -v, które daje przegląd najważniejszych informacji dotyczących przyczyn padu (procesu, systemu). Na jego wynik można wpływać poprzez...
View ArticleClik here to view.
32/64 = ? czyli o dumpach aplikacji 32-bitowych na systemach 64-bitowych słów...
Na dobrą sprawę notka powinna kończyć się na krótkim stwierdzeniu: do zrzutów procesów należy używać tylko aplikacji o tej samej 'bitowości', co zrzucana aplikacja. Nie byłbym jednak sobą, gdybym nie...
View ArticleClik here to view.
Fibonacci a WinDbg
Mało kto o tym wie, ale WinDbg oferuje całkiem rozbudowane środowisko skryptowe pozwalające na automatyzację niektórych zadań podczas analizy. Dzisiaj krótki przykład wyliczania n-tego elementu ciągu...
View ArticleClik here to view.
W poszukiwaniu zgubionego urządzenia
Co jakiś czas trafia do mnie komputer 'z problemami'. Dziś krótka historia przypadku laptopa z pojawiającym się BSOD-em, a że tego typu historie są dosyć częste, to kilka słów czego można się z nich...
View ArticleClik here to view.
Przyspieszacze analizy dumpów aplikacji .NET
W ramach pakietu dystrybucyjnego .NET Framework do systemu trafia biblioteka SOS.DLL, która pozwala analizować kod .NET w WinDbg. Na tym blogu promuję jednak użycie biblioteki psscor4 (i wcześniejszej...
View ArticleClik here to view.
Wyjątki first i second chance
Nierzadko jest tak, że aplikacja zachowuje się nieprawidłowo, jednak wszystkie wyjątki są przechwycone i nie ma żadnej informacji (czy to wizualnej, czy tez w logach) o tym, że wydarzyło się coś...
View ArticleClik here to view.
Bug check 0x0000007B (INACCESSIBLE_BOOT_DEVICE), czyli kilka słów o upper...
Jednym z popularniejszych błędów pojawiających się przy starcie systemu, a przy tym nadzwyczaj złośliwym, jest INACCESSIBLE_BOOT_DEVICE, czyli bug check 0x0000007B. Przyczyn tego błędu jest całkiem...
View ArticleClik here to view.
Start systemu, a PspInsertProcess
Podczas tworzenia nowego procesu system tworzy odpowiedni obiekt jądra, o którym już na tym blogu pisałem (w kontekście żetonu zabezpieczeń, ukrywania procesów, czy też ochrony procesu). Przy okazji...
View ArticleClik here to view.
Książki o WinDbg
Każdy, kto chciałby zacząć swoją zabawę z WinDbg i szuka jakiegoś źródła wiedzy może czytać mój blog (do czego zachęcam :)), przeszukiwać internet, lub sięgnąć po jakąś książkę. Poniżej wrzucam listę...
View ArticleClik here to view.
Czy jesteś saperem?
Dziś zabawa dla saperów :) Jeśli należysz do tych szczęśliwców, którzy wiedzą, co powinno znaleźć się na białej poduszce, a do tego nie boisz się uruchomić WinDbg, to zapraszam do dalszej lektury i...
View ArticleClik here to view.
Znajdź najbliższy symbol, czyli jeszcze o bombach
Dziś słów kilka o metodzie, którą roboczo nazwę "Data Driven Rev", a która opiera się na paru prostych sztuczkach z symbolami.WprowadzenieSaper przechowuje gdzieś swoje dane. Ustawienia, położenia bomb...
View Article