Unduh wdbgark - Unduh Kode Sumber wdbgark

wdbgark

Kode sumber lainnya

WDBGARK 1.5 release

Unduh

Ekstensi Anti-Roots WindBG

Kata pengantar
Persyaratan
Perintah yang didukung
Target yang didukung
Sumber dan Bangun
- Bangun menggunakan VS2017
- Bangun menggunakan build
- Bangun menggunakan CMD
Menggunakan
FAQ
Membantu
Kode bekas
Whoami
Lisensi

Kata pengantar

WDBGark adalah ekstensi (perpustakaan dinamis) untuk alat debugging Microsoft untuk Windows. Tujuan utama adalah untuk melihat dan menganalisis anomali di windows kernel menggunakan debugger kernel. Dimungkinkan untuk melihat berbagai panggilan balik sistem, tabel sistem, jenis objek dan sebagainya. Untuk ekstensi tampilan yang lebih ramah pengguna menggunakan DML. Untuk sebagian besar perintah koneksi mode kernel diperlukan. Jangan ragu untuk menggunakan ekstensi dengan debugging mode kernel langsung atau dengan analisis dump crash mode kernel (beberapa perintah tidak akan berfungsi). Simbol publik diperlukan, jadi gunakan, paksa untuk memuatnya kembali, mengabaikan masalah checksum, menyiapkannya sebelum analisis dan Anda akan senang.

Persyaratan

Microsoft Visual Studio 2017
WDK dan SDK untuk Windows 10, Versi 1709 (10.0.16299.0)
Visual C ++ Redistributable untuk Visual Studio 2017

Perintah yang didukung

! wa_scan
! wa_systemcb
! wa_objtype
! wa_objtypeidx
! wa_objtypecb
! wa_callouts
! wa_pnptable
! wa_crashdmpcall
! wa_ssdt
! wa_w32psdt
! wa_checkmsr
! wa_idt
! wa_gdt
! wa_haltables
! wa_colorize
! wa_chknirvana
! wa_eop
! wa_cicallbacks
! wa_ciinfo
! wa_drvmajor
! wa_lxsdt
! wa_psppico
! wa_systables
! wa_apiset
! wa_process_anomaly
! wa_w32psdt
! wa_w32psdtflt
! wdrce_copyfile
! wdrce_cpuid

Target yang didukung

Microsoft Windows XP (x86)
Microsoft Windows 2003 (x86/x64)
Microsoft Windows Vista (x86/x64)
Microsoft Windows 7 (x86/x64)
Microsoft Windows 8.x (x86/x64)
Microsoft Windows 10 (x86/x64)

Debugging target berganda tidak didukung!

Windows Beta/RC didukung oleh desain, tetapi baca beberapa catatan. Pertama, saya tidak peduli tentang bangunan yang diperiksa. Kedua, saya tidak peduli jika Anda tidak memiliki simbol (publik atau pribadi). IA64/ARM tidak didukung (dan tidak akan).

Sumber dan Bangun

Sumber disusun sebagai solusi Visual Studio 2017.

Bangun menggunakan VS2017

Unduh dan instal WDK terbaru
Pilih Build -> Batch Build dari menu dan Bangun Modul DummyPDB (x86 dan x64).
Pilih Konfigurasi Solusi dan Platform untuk Proyek Utama.
Membangun.

CATATAN!

Acara pasca-Build diaktifkan untuk pembangunan debug. Secara otomatis menyalin ekstensi tertaut ke folder plugin WindBG (misalnya target x64:
"copy /B /Y "$(OutDir)$(TargetName)$(TargetExt)" "$(WindowsSdkDir)Debuggersx64winext$(TargetName)$(TargetExt)" ).

Bangun menggunakan build

Tercerahkan.

Bangun menggunakan CMD

Ya, dimungkinkan untuk membangun semua barang menggunakan skrip batch sederhana.

Pastikan Anda telah menginstal PowerShell setidaknya versi 3.0.
- Jika tidak, maka unduh dan instal Windows Management Framework.
Jalankan rilis_build.cmd dengan satu parameter - versi.
Voila! Jika tidak ada kesalahan, file arsip akan dibuat (misalnya wdbgark.xyzip).
- Jika ada sesuatu yang salah, periksa jalur ke Visual Studio 2017 di skrip dan/atau file log output (rilis_build.log).

Menggunakan

Unduh dan instal alat debugging.
Membangun atau mengunduh ekstensi.
Pastikan bahwa Visual C ++ yang dapat didistribusikan ulang untuk Visual Studio 2017 telah diinstal.
Salin ekstensi ke direktori debugger WDK (misalnya WDK 10):
- x64: C:Program Files (x86)Windows Kits10Debuggersx64winext
- x86: C:Program Files (x86)Windows Kits10Debuggersx86winext
Mulai windbg.
Siapkan WindBG untuk menggunakan Microsoft Symbol Server dengan benar atau berurusan dengan mereka secara manual.
Muat ekstensi dengan .Load wdbgark (Anda dapat melihat ekstensi yang dimuat dengan perintah .chain ).
Jalankan ! Wdbgark.help untuk bantuan atau ! Wdbgark.wa_scan untuk pemindaian sistem penuh.
Selamat bersenang-senang!

 0: kd> .load wdbgark
0: kd> .chain
Extension DLL search Path:
<...>
Extension DLL chain:
    wdbgark: image 2.5.0.0, API 2.5.0, built Fri Oct 20 17:54:03 2017
        [path: C:Program Files (x86)Windows Kits10Debuggersx64winextwdbgark.dll]
    dbghelp: image 10.0.16299.15, API 10.0.6, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64dbghelp.dll]
    ext: image 10.0.16299.15, API 1.0.0, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64winextext.dll]
    exts: image 10.0.16299.15, API 1.0.0, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64WINXPexts.dll]
    kext: image 10.0.16299.15, API 1.0.0, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64winextkext.dll]
    kdexts: image 10.0.16299.15, API 1.0.0, 
        [path: C:Program Files (x86)Windows Kits10Debuggersx64WINXPkdexts.dll]
0: kd> !wdbgark.help
Commands for C:Program Files (x86)Windows Kits10Debuggersx64winextwdbgark.dll:
  !help               - Displays information on available extension commands
  !wa_apiset          - Output user-mode and/or kernel-mode ApiSet map
  !wa_callouts        - Output kernel-mode win32k callouts
  !wa_checkmsr        - Output system MSRs (live debug only!)
  !wa_chknirvana      - Checks processes for Hooking Nirvana instrumentation
  !wa_cicallbacks     - Output kernel-mode nt!g_CiCallbacks or nt!SeCiCallbacks
  !wa_ciinfo          - Output Code Integrity information
  !wa_colorize        - Adjust WinDBG colors dynamically (prints info with no
                        parameters)
  !wa_crashdmpcall    - Output kernel-mode nt!CrashdmpCallTable
  !wa_drvmajor        - Output driver(s) major table
  !wa_eop             - Checks processes for Elevation of Privilege
  !wa_gdt             - Output processors GDT
  !wa_haltables       - Output kernel-mode HAL tables: nt!HalDispatchTable,
                        nt!HalPrivateDispatchTable, nt!HalIommuDispatchTable
  !wa_idt             - Output processors IDT
  !wa_lxsdt           - Output the Linux Subsystem Service Descriptor Table
  !wa_objtype         - Output kernel-mode object type(s)
  !wa_objtypecb       - Output kernel-mode callbacks registered with
                        ObRegisterCallbacks
  !wa_objtypeidx      - Output kernel-mode nt!ObTypeIndexTable
  !wa_pnptable        - Output kernel-mode nt!PlugPlayHandlerTable
  !wa_process_anomaly - Checks processes for various anomalies
  !wa_psppico         - Output kernel-mode Pico tables
  !wa_scan            - Scan system (execute all commands)
  !wa_ssdt            - Output the System Service Descriptor Table
  !wa_systables       - Output various kernel-mode system tables
  !wa_systemcb        - Output kernel-mode registered callback(s)
  !wa_ver             - Shows extension version number
  !wa_w32psdt         - Output the Win32k Service Descriptor Table
  !wa_w32psdtflt      - Output the Win32k Service Descriptor Table Filter
  !wdrce_copyfile     - Copy file (live debug only!)
  !wdrce_cpuid        - Execute CPUID instruction (live debug only!)
!help <cmd> will give more information for a particular command

FAQ

T: Apa tujuan utama ekstensi ini?
A: Ya, pertama saja pendidikan saja. Kedua, untuk kesenangan dan keuntungan.

T: Apakah Anda tahu tentang Pykd? Saya dapat membuat skrip seluruh anti-rootkit menggunakan python.
A: Ya, saya tahu, tapi C ++ jauh lebih baik.

T: Di mana versi 1.0?
A: Hilang dalam ruang Google Code.

T: Kapan proyek dimulai?
A: Februari 2013 di Google Code.

T: Versi apa yang harus saya gunakan?
A: Harap gunakan versi x64 saja. Di era x64 saya tidak tahu mengapa sih Anda mungkin perlu menggunakan versi x86. X64 WindBG mampu men -debug x86 dan x64. Host OS Bitness adalah satu -satunya batasan.

T: Bagaimana saya bisa membantu?
A: Sebarkan satu kata. Laporkan masalah dan permintaan fitur. Saya terbuka untuk saran apa pun. Terima kasih!

T: Jenis pembuangan memori apa yang lebih baik digunakan dengan ekstensi?
A: Dump memori lengkap.

T: Bagaimana cara melaporkan suatu masalah?
A: Jangan ragu untuk melaporkan masalah menggunakan GitHub atau email kepada saya secara langsung, tapi tolong, lampirkan file dump crash memori lengkap.