2

Меня попросили изучить файл дампа (исходные файлы не указаны) с помощью windbg и извлечь из него некоторую информацию:

  • определить, в чем проблема (зависание / сбой)
  • какой модуль вызывает зависание.
  • Что является основной причиной зависания / сбоя.
  • Перечислите все модули компании, введенные в процесс
  • Перечислите все хуки, сделанные в процессе модулями компании.

Единственный файл, который у меня есть, это файл dmp. Я работаю на Windows10 64bit.

Я работаю над этим уже некоторое время:

  1. Прежде всего, я использовал .sympath и .reload для проверки загрузки символов Microsoft.
  2. Тогда я использовал .analyze! -v, чтобы создать анализ файла.
  3. В этом анализе я обнаружил следующее:

    а. В потоке 7030 возникла исключительная ситуация команды прерывания 80000003

    б. Исключение составляли процессы PowerPoint Microsoft Office 2010.

    с. Исключение было в методе CpupSyscallStub.

    д. Модуль wow64cpu.

    е. Поскольку это исключение 0x80000003, оно указывает на созданный вручную дамп приложения.

    е. Я использовал команду ~, чтобы увидеть список потоков в процессе. Все они были заморожены. г. Однако - я использовал !сбежал и увидел, что поток 7030 работал более 7 минут и намного больше, чем другие потоки в процессе.

    я. Так что, возможно, это ситуация зависания. Я не уверен, так как я предполагаю также, что первый поток в списке является основным потоком, и, естественно, у него может быть больше времени на обработку.

    час Основная причина, вероятно, «Один или несколько аргументов недействительны», как указано в значении ключа EXCEPTION_CODE.

    я. Использование ~ # должно было дать мне поток, вызвавший исключение:

     .  0  Id: 5cf8.7030 Suspend: 0 Teb: 00000000`00c5b000 Unfrozen Start:
     *** ERROR: Symbol file could not be found.  Defaulted to export  symbols for POWERPNT.EXE -    POWERPNT+0x10c8 (00000000`2d7710c8)
     Priority: 0  Priority class: 32  Affinity: f
    

    к. Но, вызывая -ecxr , вырисовывается : «У Minidump нет контекста исключений», поэтому я запутался…

  4. Чтобы найти инъекции:

    а. Я использовал .hideinjectedcode, надеясь сейчас !анализ -v даст мне информацию об инъекциях. Но я получил те же журналы анализа ...

    б. Использование lm -v дало мне список всех модулей в процессе. Таким образом, внедренными модулями, скорее всего, будут все 14 библиотек DLL с атрибутом «CompanyName:», а также, возможно, и две библиотеки DLL «OpenSSL Project», партнером которых может быть компания-поставщик.

    Но я не уверен в этом ...

  5. И чтобы найти функции подключения, я попытался просмотреть все таблицы импорта DLL-файлов компании-разработчика, чтобы найти функции подключения. После 6-7 DLL я не нашел таких. Поэтому я отказался от этого метода ...

Здесь вы можете найти!анализировать вывод команды.

Как видите, я потратил много времени на эту тренировку. Но не пришли к четким выводам. Ваша помощь будет наиболее ценной.

Спасибо!!!

1 ответ1

0

Сначала попробуйте запустить CMD, а затем -
СЦ для команды управления сервисом
SYSTEMINFO - Список конфигурации системы

Посмотрите, что на выходе и есть ли что-то для вашего сбоя

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .