wdbgark

• Vorwort
• Anforderungen
• Unterstützte Befehle
• Unterstützte Ziele
• Quellen und bauen
  • Erstellen Sie mit VS2017
  • Build mithilfe von Build
  • Bauen Sie mit CMD auf
• Verwendung
• FAQ
• Helfen
• Gebrauchter Code
• Whoami
• Lizenz

WDBGARK ist eine Erweiterung (dynamische Bibliothek) für die Microsoft -Debugging -Tools für Windows. Der Hauptzweck ist es, Anomalien im Windows -Kernel mit Kernel -Debugger anzusehen und zu analysieren. Es ist möglich, verschiedene System -Rückrufe, Systemtabellen, Objekttypen usw. anzuzeigen. Für eine benutzerfreundlichere Ansichtserweiterung verwendet DML. Für die meisten Befehle ist eine Kernel-Mode-Verbindung erforderlich. Fühlen Sie sich frei, Erweiterung mit Live-Kernel-Mode-Debugging oder mit einem Kernel-Mode-Crash-Dump-Analyse zu verwenden (einige Befehle funktionieren nicht). Öffentliche Symbole sind erforderlich. Verwenden Sie sie, zwingen Sie sie, sie neu zu laden, prüfende Probleme zu ignorieren, sie vor der Analyse vorzubereiten, und Sie werden glücklich sein.

• Microsoft Visual Studio 2017
• WDK und SDK für Windows 10, Version 1709 (10.0.16299.0)
• Visual C ++ Neuverteilbar für Visual Studio 2017

• ! Wa_Scan
• ! Wa_SystemCB
• ! wa_objtype
• ! wa_objtypeidx
• ! wa_objtypecb
• ! wa_callouts
• ! wa_pnptable
• ! wa_crashdmpcall
• ! Wa_SSDT
• ! WA_W32PSDT
• ! Wa_Checkmsr
• ! wa_idt
• ! wa_gdt
• ! Wa_Haltables
• ! wa_colorize
• ! Wa_Chknirvana
• ! wa_eop
• ! wa_cicallbacks
• ! wa_ciinfo
• ! wa_drvmajor
• ! wa_lxsdt
• ! Wa_psppico
• ! Wa_Systems
• ! wa_apiset
• ! WA_PROCESS_ANOMALY
• ! WA_W32PSDT
• ! WA_W32PSDTFLT
• ! WDRCE_COPYFILE
• ! WDRCE_CPUID

• Microsoft Windows XP (x86)
• Microsoft Windows 2003 (x86/x64)
• Microsoft Windows Vista (x86/x64)
• Microsoft Windows 7 (x86/x64)
• Microsoft Windows 8.x (x86/x64)
• Microsoft Windows 10 (x86/x64)

Mehrere Ziele Debugging werden nicht unterstützt!

Windows Beta/RC wird von Design unterstützt, aber einige Notizen lesen. Erstens interessiert mich nicht die überprüften Builds. Zweitens ist es mir egal, ob Sie keine Symbole (öffentlich oder privat) haben. IA64/Arm ist nicht unterstützt (und wird nicht).

Quellen werden als Visual Studio 2017 -Lösung organisiert.

• Laden Sie die neueste WDK herunter und installieren Sie sie
• Wählen Sie im Menü Build -> Batch Build und erstellen Sie das Dummypdb -Modul (x86 und x64).
• Wählen Sie die Lösungskonfiguration und -plattform für das Hauptprojekt.
• Bauen.

Nach dem Bau ist für Debug-Build aktiviert. Es kopiert die verknüpfte Erweiterung automatisch in den Plugins -Ordner von Windbg (z. B. x64 Ziel:
"copy /B /Y "$(OutDir)$(TargetName)$(TargetExt)" "$(WindowsSdkDir)Debuggersx64winext$(TargetName)$(TargetExt)" ).

Veraltet.

Ja, es ist möglich, alle Dinge mit einem einfachen Batch -Skript zu erstellen.

• Stellen Sie sicher, dass Sie mindestens Version 3.0 installiert haben.
  • Wenn nicht, laden Sie das Windows -Management -Framework herunter und installieren Sie es.
• Führen Sie die Release_build.cmd mit einem einzelnen Parameter aus - einer Version aus.
• Voila! Wenn es keine Fehler gab, wird die Archivdatei erstellt (z. B. wdbgark.xyzip).
  • Wenn etwas nicht stimmt, überprüfen Sie den Pfad zum Visual Studio 2017 in der Skript- und/oder Ausgabe -Protokolldatei (Release_Build.log).

• Laden Sie Debugging -Tools herunter und installieren Sie es.
• Erstellen oder laden Sie die Erweiterung herunter.
• Stellen Sie sicher, dass Visual C ++ für Visual Studio 2017 bereits installiert wurde.
• Kopieren Sie die Erweiterung in das Verzeichnis des WDK -Debuggers (z. B. WDK 10):
  • X64: C:Program Files (x86)Windows Kits10Debuggersx64winext
  • X86: C:Program Files (x86)Windows Kits10Debuggersx86winext
• Starten Sie Windbg.
• Setup Windbg Sagen Sie Microsoft Symbol Server richtig oder manuell mit ihnen.
• Laden Sie die Erweiterung nach .load wdbgark (Sie können geladene Erweiterungen mit einem . Chain -Befehl sehen).
• Ausführen ! Wdbgark.help für Hilfe oder !
• Viel Spaß!

 0: kd> .load wdbgark
0: kd> .chain
Extension DLL search Path:
<...>
Extension DLL chain:
    wdbgark: image 2.5.0.0, API 2.5.0, built Fri Oct 20 17:54:03 2017
        [path: C:Program Files (x86)Windows Kits10Debuggersx64winextwdbgark.dll]
    dbghelp: image 10.0.16299.15, API 10.0.6, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64dbghelp.dll]
    ext: image 10.0.16299.15, API 1.0.0, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64winextext.dll]
    exts: image 10.0.16299.15, API 1.0.0, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64WINXPexts.dll]
    kext: image 10.0.16299.15, API 1.0.0, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64winextkext.dll]
    kdexts: image 10.0.16299.15, API 1.0.0, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64WINXPkdexts.dll]
0: kd> !wdbgark.help
Commands for C:Program Files (x86)Windows Kits10Debuggersx64winextwdbgark.dll:
  !help               - Displays information on available extension commands
  !wa_apiset          - Output user-mode and/or kernel-mode ApiSet map
  !wa_callouts        - Output kernel-mode win32k callouts
  !wa_checkmsr        - Output system MSRs (live debug only!)
  !wa_chknirvana      - Checks processes for Hooking Nirvana instrumentation
  !wa_cicallbacks     - Output kernel-mode nt!g_CiCallbacks or nt!SeCiCallbacks
  !wa_ciinfo          - Output Code Integrity information
  !wa_colorize        - Adjust WinDBG colors dynamically (prints info with no
                        parameters)
  !wa_crashdmpcall    - Output kernel-mode nt!CrashdmpCallTable
  !wa_drvmajor        - Output driver(s) major table
  !wa_eop             - Checks processes for Elevation of Privilege
  !wa_gdt             - Output processors GDT
  !wa_haltables       - Output kernel-mode HAL tables: nt!HalDispatchTable,
                        nt!HalPrivateDispatchTable, nt!HalIommuDispatchTable
  !wa_idt             - Output processors IDT
  !wa_lxsdt           - Output the Linux Subsystem Service Descriptor Table
  !wa_objtype         - Output kernel-mode object type(s)
  !wa_objtypecb       - Output kernel-mode callbacks registered with
                        ObRegisterCallbacks
  !wa_objtypeidx      - Output kernel-mode nt!ObTypeIndexTable
  !wa_pnptable        - Output kernel-mode nt!PlugPlayHandlerTable
  !wa_process_anomaly - Checks processes for various anomalies
  !wa_psppico         - Output kernel-mode Pico tables
  !wa_scan            - Scan system (execute all commands)
  !wa_ssdt            - Output the System Service Descriptor Table
  !wa_systables       - Output various kernel-mode system tables
  !wa_systemcb        - Output kernel-mode registered callback(s)
  !wa_ver             - Shows extension version number
  !wa_w32psdt         - Output the Win32k Service Descriptor Table
  !wa_w32psdtflt      - Output the Win32k Service Descriptor Table Filter
  !wdrce_copyfile     - Copy file (live debug only!)
  !wdrce_cpuid        - Execute CPUID instruction (live debug only!)
!help <cmd> will give more information for a particular command

F: Was ist der Hauptzweck der Erweiterung?
A: Nun, zuerst ist nur lehrreich. Zweitens zum Spaß und Gewinn.

F: Kennen Sie Pykd? Ich kann das gesamte Anti-Rootkit mit Python schreiben.
A: Ja, ich weiß, aber C ++ ist viel besser.

F: Wo ist Version 1.0?
A: Im Raum von Google Code verloren.

F: Wann hat das Projekt begonnen?
A: Februar 2013 auf Google Code.

F: Welche Version soll ich verwenden?
A: Bitte verwenden Sie nur die X64 -Version. In der Ära von x64 weiß ich nicht, warum zum Teufel Sie möglicherweise die X86 -Version verwenden müssen. X64 Windbg kann sowohl x86 als auch x64 debuggen. Host OS Bitness ist die einzige Einschränkung.

F: Wie kann ich helfen?
A: Ein Wort verbreiten. Melden Sie Probleme und Feature -Anfragen. Ich bin offen für Vorschläge. Danke!

F: Welche Art von Speichermagel ist mit einer Erweiterung besser zu verwenden?
A: Komplette Memory Dump.

F: Wie kann man ein Problem melden?
A: ZBEITEN Sie mir eine Problem mit GitHub oder E -Mail direkt an, aber bitte fügen Sie die vollständige Speicher -Crash -Dump -Datei bei.

Wiki kann helfen.

• Bprinter. BSD -Lizenz.
• Udis86. Vereinfachte BSD -Lizenz.
• Tinyxml2. ZLIB -Lizenz.

• LinkedIn -Profil
• Blog

Diese Software wird unter der GNU GPL V3 -Lizenz veröffentlicht. In der Kopierdatei finden Sie den vollständigen Lizenztext und diesen kleinen Zusatz.