EreTIk's Box http://eretik.omegahg.com/ EreTIk's Box: Последние обновления ru Debug Engine (DbgEng): что нового Windows 8 Developer Preview Fri, 10 Feb 2012 19:17:31 +0400 http://eretik.omegahg.com/kd/Win8DevPrev_WinDbg_FullDump.html#UPD_10_02_2012 http://eretik.omegahg.com/kd/Win8DevPrev_WinDbg_FullDump.html#UPD_10_02_2012 "Debugger Engine (DbgEng) updates in the Windows 8 Developer Preview"]]> WinDbgWindows 8DbgEng Полный дам падения с Windows 8 Developer Preview - повод обновить WinDbg Thu, 9 Feb 2012 17:03:53 +0400 http://eretik.omegahg.com/kd/Win8DevPrev_WinDbg_FullDump.html http://eretik.omegahg.com/kd/Win8DevPrev_WinDbg_FullDump.html старый WinDbg (6.12.0002.633 AMD64) не открывает полные дампы памяти с Windows 8 Developer Preview]]> WinDbgWindows 8Dump analysis Verifier и динамический импорт в ядре Thu, 15 Dec 2011 00:32:50 +0400 http://eretik.omegahg.com/art/10.html http://eretik.omegahg.com/art/10.html > полный текст

]]> kernelverifier ntdebugging: Debug Tips Thu, 21 Jul 2011 20:06:20 +0400 http://eretik.omegahg.com/kd/cmd.html#debug_ninja_s_twitter_debug_tips http://eretik.omegahg.com/kd/cmd.html#debug_ninja_s_twitter_debug_tips ntdebugging появилась отличная подборка приемов работы с WinDbg: Updated Archive of the Debug Ninja's Twitter Debug Tips. Такую статью стоит добавить в закладки :)]]> WinDbgDebug Tipsexternal links Соглашение о вызовах на x64-платформе и обход проверки цифровой подписи модуля при установке OB-callback'а Wed, 13 Jul 2011 10:47:43 +0400 http://eretik.omegahg.com/art/0F.html http://eretik.omegahg.com/art/0F.html > полный текст

]]> kernelAMD64Code SigningSourceCode Реализация клиентского RPC-вызова из драйвера режима ядра: запуск и останов системных сервисов Thu, 28 Apr 2011 00:36:26 +0400 http://eretik.omegahg.com/art/0D.html http://eretik.omegahg.com/art/0D.html > полный текст

]]> SourceCodekernelRPC Обновлен класс загрузки драйвера из ресурсов TResourceDrv Thu, 28 Apr 2011 00:29:45 +0400 http://eretik.omegahg.com/art/06.html#UPD_28_04_2011 http://eretik.omegahg.com/art/06.html#UPD_28_04_2011 > описание

> скачать TResourceDrv версии 0.1.1.0

]]> SourceCodeDriver Особенность инициализации расширения отладчика WinDbg: вызовы DebugExtensionInitialize / DebugExtensionUninitialize Mon, 14 Mar 2011 17:53:32 +0300 http://eretik.omegahg.com/kd/DExtReInit.html http://eretik.omegahg.com/kd/DExtReInit.html "вложенной" инициализации.

> полный текст

]]> WinDbgWinDbg ExtentionSourceCode Таблица системных сервисов (SSTD) на x64 системах: поиск и трактовка содержимого Fri, 18 Feb 2011 01:25:57 +0300 http://eretik.omegahg.com/art/0C.html http://eretik.omegahg.com/art/0C.html > полный текст

]]> kernel Проект PYKD обзавелся русскоязычным блогом Fri, 21 Jan 2011 19:21:24 +0300 http://pykd.blogspot.com/ http://pykd.blogspot.com/ PYKD (Python extension for WinDbg) появился свой блог на русском языке: pykd.blogspot.com]]> WinDbgpythonexternal links Поиск скрытых процессов python’вским скриптом в WinDbg Fri, 24 Dec 2010 16:49:17 +0300 http://eretik.omegahg.com/art/0B.html http://eretik.omegahg.com/art/0B.html pykd.pyd. Детектируемый метод скрытия - удаление процесса из списка PsActiveProcessHead, используется phide2 (29A#8)

> полный текст

]]> SourceCodeWinDbgpythonkernel DSymLoad: Загрузка отладочных символов в HIEW Mon, 22 Nov 2010 15:28:42 +0300 http://eretik.omegahg.com/tools/DSymLoad.html http://eretik.omegahg.com/tools/DSymLoad.html
  • NameTGen.exe - генерация namet-файла для импорта в HIEW
  • DSymLoad.HEM - внешний модуль HIEW'а для загрузки отладочной информации

    • Описание, Архив с DSymLoad

    ]]>     UtilDSymLoaddbghelp.dllHIEW     Подводные камни использования флага IO_OPEN_TARGET_DIRECTORY (SL_OPEN_TARGET_DIRECTORY) Mon, 11 Oct 2010 16:41:37 +0400 http://eretik.omegahg.com/art/09.html http://eretik.omegahg.com/art/09.html IO_OPEN_TARGET_DIRECTORY при вызове функции nt!IoCreateFile[Ex] и подводные камни, выявленные при тестировании на системах Windows XP и 7.

    > полный текст

    ]]>     kernelfile systemSource Code     Открытие ключа реестра текущего пользователя Thu, 23 Sep 2010 00:53:53 +0400 http://eretik.omegahg.com/art/0A.html http://eretik.omegahg.com/art/0A.html > полный текст

    ]]>     RegistryImpersonationSource Code     Заголовочный файл PolicyConfig.h адаптирован для Windows 7 Wed, 22 Sep 2010 14:46:06 +0400 http://eretik.omegahg.com/art/07.html#UPD_22_09_2010 http://eretik.omegahg.com/art/07.html#UPD_22_09_2010 PolicyConfig.h был изменен: добавлено описание для Windows 7.

     Описание изменеий

    ]]>     COMDefSoundWindows 7Source CodeDefault Audio     Расширение к WinDbg KdExtMod - новая версия 0.1.0.1 Fri, 13 Aug 2010 22:51:39 +0400 http://eretik.omegahg.com/download/KdExtMod.rar
  • исправлена x32-сборка
  • добавлена обработка ошибок чтения памяти

      • скачать расширение

      ]]> WinDbgPEkd-extentionpedumpkdextmod Печать таблицы системных сервисов: скрипты для WinDbg Wed, 11 Aug 2010 15:35:48 +0400 http://eretik.omegahg.com/kd/scripts.html скрипта к WinDbg для просмотра списка системных сервисов:
      • скрипт для режима отладки ядра
      • скрипт для режима загрузки ядра Windows как дампа падения
      ]]>       WinDbgscript fileSSTDsystem services       Таблица разрешенных символов в именах файлов для разных файловых систем Wed, 11 Aug 2010 14:31:47 +0400 http://eretik.omegahg.com/art/08.html http://eretik.omegahg.com/art/08.html Актуальность таблицы проверена на линейке Windows 2000 – Windows 7.

      полный текст

      ]]>       kernelfile systemvalidate file name       Описатели объектов Windows: взгляд из ядра Wed, 7 Jul 2010 16:37:45 +0400 http://eretik.omegahg.com/art/03.html http://eretik.omegahg.com/art/03.html полный текст

      ]]>       kernelhandle       Создание PE-файла по загруженному в память образу: расширение к WinDbg Thu, 6 May 2010 21:31:47 +0400 http://eretik.omegahg.com/kd/pedump.html http://eretik.omegahg.com/kd/pedump.html полный текст

      скачать расширение

      ]]>       WinDbgPEkd-extention       Debugger Markup Language (DML): краткий обзор Tue, 4 May 2010 16:57:16 +0400 http://eretik.omegahg.com/kd/dml.html http://eretik.omegahg.com/kd/dml.html DML): языка разметки отладчика WinDbg.

      полный текст

      ]]>       WinDbgDML       Доступна версия 0.1.1.0 утилиты установки аудио устройства по умолчанию: DefSound Mon, 19 Apr 2010 03:09:56 +0400 http://eretik.omegahg.com/DefSound.html http://eretik.omegahg.com/DefSound.html Описание

      Скачать утилиту

      ]]>       DefSoundUtilSource Code       Получение таблицы обработчиков RPC-сервера: скрипт для WinDbg Tue, 13 Apr 2010 14:02:58 +0400 http://eretik.omegahg.com/kd/RpcServer_IfHandle.html http://eretik.omegahg.com/kd/RpcServer_IfHandle.html services.exe

      полный текст

      ]]>       WinDbgRPCservices.exescript file       Противодействие splice-перехватам системных библиотек: обходим Hacker Defender с помощью ONTL Fri, 26 Mar 2010 20:06:46 +0300 http://eretik.omegahg.com/art/02.html http://eretik.omegahg.com/art/02.html "учебный" rootkit Hacker Defender.

      полный текст

      ]]>       hookspliceONTLSource Code       Прямые ссылки для скачивания отладчика WinDBG Fri, 26 Mar 2010 20:04:36 +0300 http://eretik.omegahg.com/kd/WinDBG_Download.html http://eretik.omegahg.com/kd/WinDBG_Download.html WDK. Это не всегда удобно, поэтому я выкладываю на своем ресурсе ссылки для прямого скачивания дистрибутивов:

      страница для скачивания

      ]]>       WinDbgDownload       Установка устройства аудио-воспроизведения по умолчанию, используя недокументированный COM-интерфейс IPolicyConfig Fri, 26 Mar 2010 20:02:33 +0300 http://eretik.omegahg.com/art/07.html http://eretik.omegahg.com/art/07.html IDA и WinDBG.

      полный текст

      ]]>       COMDefSoundreverseSource Code       Анализ splice-перехватов функций системных вызов или использование XDE-дизассемблера в "мирных" целях Fri, 26 Mar 2010 20:00:27 +0300 http://eretik.omegahg.com/art/05.html http://eretik.omegahg.com/art/05.html XDE - дизассемблера от Z0mbie в целях анализа кода системных функций.

      полный текст

      ]]>       hookspliceXDESource Code       Класс загрузки драйвера, расположенного в ресурсах: TResourceDrv Fri, 26 Mar 2010 19:56:56 +0300 http://eretik.omegahg.com/art/06.html http://eretik.omegahg.com/art/06.html носитель и его загрузке в систему я написал небольшой класс TResourceDrv.

      полный текст

      ]]>       Source CodeDriver