Академический Документы
Профессиональный Документы
Культура Документы
1
Отладка компонентов Windows с помощью WinDBG.
Настройка среды: настройка WinDBG
Задача: настроить ВМ и хостовую систему для возможности отладки ВМ и приложений в
ней с помощью отладчика WinDBG.
Описание процесса настройки: https://www.triplefault.io/2017/07/setting-up-kernel-
debugging-using.html
1
2
2. Добавить путь до сервера с символами в переменную среды:
_NT_SYMBOL_PATH=SRV*C:\symbols\*https://msdl.microsoft.com/download/symbols;SRV*C:\sy
mbols\*https://chromium-browser-symsrv.commondatastorage.googleapis.com
3
Отладка компонентов Windows с помощью WinDBG.
Настройка среды: настройка ВМ
Настройка ВМ для отладки:
1. Выключить ВМ.
2. Добавление COM-порта в ВМ. В настройках ВМ Добавить Serial Port, Output to named
pipe, Имя pipe: \\.\pipe\com_1. Проверить какой номер порта созданного (COM2, Printer – 1?).
1
2
2. Перезагрузить символы
.reload /f
Для сторонних драйверов будут ошибки:
«ERROR: Symbol file could not be found»
2
3. Вывод загруженных модулей
lm
.process /i /p /r ffff8c05c70bc080
3. Продолжаем выполнение для переключения контекста
g
4. Перегружаем символы для User mode модулей процесса
.reload /user
5. Ставим точку останова на нужной функции и проверяем
bp NtlmShared!MsvpPasswordValidate
bl
Дампинг хэша из LSASS. Перехватываем хэш (2/2)
1. Запускаем cmd от заданного пользователя
net user - вывод списка пользователей
runas /user:user cmd
2. Изучаем прототип функции MsvpPasswordValidate