Clik here to view.
Start systemu a xperf
Nie tak dawno pisałem o tym w jaki sposób można z pomocą debuggera podłączonego do systemu sprawdzić jakie procesy są uruchamiane w trakcie startu systemu.To samo można osiągnąć dużo prościej, bez...
View ArticleClik here to view.
Nie znaleziono punktu wejścia procedury _except_handler4_common w bibliotece...
Dziś dwa słowa o ładowaniu bibliotek. A dokładniej - o dosyć wrednym problemie z tym związanym.Rys1. Błąd "Nie znaleziono punktu wejścia procedury _except_handler4_common w bibliotece msvcrt.dll"Bez...
View ArticleClik here to view.
Analiza startu systemu, czyli Windows Performance Toolkit w akcji
Krótki wstęp“Trwa uruchamianie systemu Windows”...”Czekaj”...”Zapraszamy”...mijają sekundy, minuty, aż po którymś razie, gdy chcesz tylko ‘szybko wysłać przelew’ zaczynasz się zastanawiać ‘co u licha...
View ArticleClik here to view.
ETW - providery + target dla NLoga
Jednym z podstawowych elementów architektury ETW są dostawcy zdarzeń, czyli ETW providers. Dostawca ma nazwę, guid i parę innych rzeczy, a jego podstawowym zadaniem jest dostarczanie zdarzeń w ramach...
View ArticleClik here to view.
Ostrożnie z tą siekierką Eugeniuszu!
Wracam do blogowania po dłuższej przerwie (ech, minęło dokładnie dwa lata!). Jako rasowy programista T-SQL nie byłem entuzjastą Linq2SQL ale postanowiłem się z nim zapoznać bliżej. Miałem dość...
View ArticleClik here to view.
60. spotkanie WG.NET
Po kilkumiesięcznej przerwie wracamy do spotkań grupy. Kolejne już w najbliższy czwartek, 17.01 o 18.00 w sali 107 Wydziału Matematyki i Nauk Informacyjnych Politechniki Warszawskiej, ul. Koszykowa 75....
View ArticleClik here to view.
Xperf a autoruns
Podczas startu systemu uruchamianych jest sporo rozmaitych procesów i zaglądając do menadżera zadań często zadajemy sobie pytanie: "a skąd to się tu wzięło?". Najczęściej w takich przypadkach sięgamy...
View ArticleClik here to view.
61. spotkanie WG.NET
Tym razem gośćmi WG.NET będą Tomek Onyszko oraz Maciej Aniserowicz, którzy opowiedzą o tym "jak hartował się claim … czyli rzecz o tym jak pojęcie tożsamości i kontroli dostępu ewoluowało a rozwiązanie...
View ArticleClik here to view.
LogonUser & TaskEng, cz. 1
Miesiąc temu pisałem o analizie logów ETW w odniesieniu do informacji, jakie możemy znaleźć w Sysinternalsowych autorunsach i zatrzymaliśmy się na ustaleniu jakie zadania zaplanowane uruchamiane są w...
View ArticleClik here to view.
LogonUser & TaskEng, cz. 2
W części pierwszej wskazałem miejsce, w którym przechowywana jest para user/password, jednak wspomniałem, iż z kodu użytkownika nie ma za bardzo szans na wyciągnięcie jej, vide opis struktury...
View ArticleClik here to view.
Saper - wyszukiwanie wzorca a bomby
Wróćmy do naszego przykładu z saperem. Jakiś czas temu opisałem metodę na 'rozminowanie' z wykorzystaniem informacji znajdujących się w symbolach - wystarczyło sięgnąć do tablicy rgBlk i odpowiednio...
View ArticleClik here to view.
Zgaduj-zgadula, czyli co ty wiesz o systemie i inne takie
Zabawa-zagadka dla znudzonych. Które zdania odnoszące się do Windows 7 są prawdziwe, które nie, a które czasem tak, a czasem nie? (+ew. źródełko)1. Mając do dyspozycji pełny memory.dmp można...
View ArticleClik here to view.
Memory dump a screenshot
Kilku śmiałków postanowiło odpowiedzieć na moje wyzwanie rzucone w poprzednim wpisie, nadszedł zatem czas na moje rozwiązanie. Postanowiłem jednak, że odpowiem pełnymi zdaniami, a inni sami ustalą,...
View ArticleClik here to view.
win32k a sesja
Poprzedni wpis zakończyłem pytaniem o dodatkowe polecenie, które wykonałem tuż po ustaleniu adresu instancji EPROCESS dla kalkulatora, czylikd> .process /P fffffa8003951060Czy było ono niezbędne?...
View ArticleClik here to view.
Memory dump a ETW
Kontynuujemy zabawę, tym razem spróbuję rzucić nieco światła na drugą część pierwszego pytania:1. Mając do dyspozycji pełny memory.dmp można wygenerować zrzuty ekranu dla wszystkich aktywnych sesji z...
View ArticleClik here to view.
Pliki prefetchera
Dziś krócej i z nieco innej działki, ale również 'internalsowo'. Oczywiście kontynuujemy serię 'zagadkową'.Począwszy od Windows XP mamy dostępny mechanizm prefetchera, pozwalający na przyspieszenie...
View ArticleClik here to view.
Odzyskiwanie haseł zalogowanych użytkowników z pamięci lsass
W standardowej instalacji Windows 7 (a także Windows 8 oraz wersjach serwerowych, nie wspominając o wcześniejszych edycjach Windows) podczas logowania do systemu nasze hasło przechodzi w postaci jawnej...
View ArticleClik here to view.
O domyślnych ustawieniach UAC słów kilka
Domyślne ustawienia UAC w Windows 7 (a także Windows 8) nie zapewniają nam niestety pełnego bezpieczeństwa. Istnieje kilka znanych sposobów ‘ataku’ na UAC, które pozwalają na wykonanie kodu z...
View ArticleClik here to view.
mimilib.dll - mimikatz a WinDbg
Benjamin kontynuuje swoją pracę nad narzędziami do analizy lsass, czego owocem jest udostępniona dziś biblioteka rozszerzeń dla WinDbg, która - podobnie jak opisywany przeze mnie wcześniej mimikatz -...
View ArticleClik here to view.
Niezmiennik zipa
Czas kończyć odpowiedzi na zagadki z sierpnia. Dzisiejsza notka z tym związana jest arcykrótka :)Zdanie - zagadka brzmiało następująco:2. Istnieje plik będący archiwum .zip, który po rozpakowaniu jest...
View Article