Меня попросили изучить файл дампа (исходные файлы не указаны) с помощью windbg и извлечь из него некоторую информацию:
- определить, в чем проблема (зависание / сбой)
- какой модуль вызывает зависание.
- Что является основной причиной зависания / сбоя.
- Перечислите все модули компании, введенные в процесс
- Перечислите все хуки, сделанные в процессе модулями компании.
Единственный файл, который у меня есть, это файл dmp. Я работаю на Windows10 64bit.
Я работаю над этим уже некоторое время:
- Прежде всего, я использовал .sympath и .reload для проверки загрузки символов Microsoft.
- Тогда я использовал .analyze! -v, чтобы создать анализ файла.
В этом анализе я обнаружил следующее:
а. В потоке 7030 возникла исключительная ситуация команды прерывания 80000003
б. Исключение составляли процессы PowerPoint Microsoft Office 2010.
с. Исключение было в методе CpupSyscallStub.
д. Модуль wow64cpu.
е. Поскольку это исключение 0x80000003, оно указывает на созданный вручную дамп приложения.
е. Я использовал команду ~, чтобы увидеть список потоков в процессе. Все они были заморожены. г. Однако - я использовал !сбежал и увидел, что поток 7030 работал более 7 минут и намного больше, чем другие потоки в процессе.
я. Так что, возможно, это ситуация зависания. Я не уверен, так как я предполагаю также, что первый поток в списке является основным потоком, и, естественно, у него может быть больше времени на обработку.
час Основная причина, вероятно, «Один или несколько аргументов недействительны», как указано в значении ключа EXCEPTION_CODE.
я. Использование ~ # должно было дать мне поток, вызвавший исключение:
. 0 Id: 5cf8.7030 Suspend: 0 Teb: 00000000`00c5b000 Unfrozen Start: *** ERROR: Symbol file could not be found. Defaulted to export symbols for POWERPNT.EXE - POWERPNT+0x10c8 (00000000`2d7710c8) Priority: 0 Priority class: 32 Affinity: fк. Но, вызывая -ecxr , вырисовывается : «У Minidump нет контекста исключений», поэтому я запутался…
Чтобы найти инъекции:
а. Я использовал .hideinjectedcode, надеясь сейчас !анализ -v даст мне информацию об инъекциях. Но я получил те же журналы анализа ...
б. Использование lm -v дало мне список всех модулей в процессе. Таким образом, внедренными модулями, скорее всего, будут все 14 библиотек DLL с атрибутом «CompanyName:», а также, возможно, и две библиотеки DLL «OpenSSL Project», партнером которых может быть компания-поставщик.
Но я не уверен в этом ...
И чтобы найти функции подключения, я попытался просмотреть все таблицы импорта DLL-файлов компании-разработчика, чтобы найти функции подключения. После 6-7 DLL я не нашел таких. Поэтому я отказался от этого метода ...
Здесь вы можете найти!анализировать вывод команды.
Как видите, я потратил много времени на эту тренировку. Но не пришли к четким выводам. Ваша помощь будет наиболее ценной.
Спасибо!!!