home.social

#windbg — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #windbg, aggregated by home.social.

  1. WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen

    Ein seit Jahren bestehendes Phänomen beim Windows-Debugger WinDbg konnte nun aufgeklärt werden:

    all-about-security.de/windbg-u

    #debugger #windows #UI #WinDbg #vmware #linux

  2. Анализ дампа: с чего начать

    Всем привет! Меня зовут Виктор, и я программист. Восемь лет работаю в команде Т-Банка и все это время вместе с коллегами занимаюсь проектом «Т-Телефония». Моя команда разрабатывает сервисы, которые обеспечивают голосовую коммуникацию внутри и вне банка. Звонки — один из основных способов связи с нами, поэтому система критична для бизнеса с высоким требованием к доступности. Она обрабатывает более 2 млн звонков в день. Если происходит сбой в любой пользовательской системе и нашим клиентам плохо, количество звонков сразу увеличивается, а нагрузка на систему повышается в два-три раза. Когда мне прилетела первая задача с дампом, единственным инструментом, который я знал, был WinDbg. Я потратил несколько дней, чтобы хоть немного разобраться в нем. С развитием проекта приходилось все чаще снимать дампы, и теперь я знаю о них намного больше. В статье покажу, что такое дампы, какие есть инструменты для работы с ними и какие у них особенности, покажу наши примеры проблем, расскажу, как мы их решали.

    habr.com/ru/companies/tbank/ar

    #dump #dotnet #windbg

  3. Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину

    Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.

    habr.com/ru/companies/jetinfos

    #windbg #ida #oracle_database #ghidra #dump

  4. Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину

    Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.

    habr.com/ru/companies/jetinfos

    #windbg #ida #oracle_database #ghidra #dump

  5. Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину

    Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.

    habr.com/ru/companies/jetinfos

    #windbg #ida #oracle_database #ghidra #dump

  6. Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину

    Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.

    habr.com/ru/companies/jetinfos

    #windbg #ida #oracle_database #ghidra #dump

  7. 🚀 "AI Meets WinDBG" boldly drags crash analysis kicking and screaming into 2025—by making you type commands like it's 1995. 🤖✨ Because who doesn't want a future where #AI does everything... except rescue you from your own nostalgia-fueled #debugging obsession? 🕰️💻
    svnscha.de/posts/ai-meets-wind #WinDBG #CrashAnalysis #Nostalgia #TechTrends #HackerNews #ngated

  8. Look at this gem I just found:

    Using WinDbg Over KDNet on QEMU-KVM

    https://www.osr.com/blog/2021/10/05/using-windbg-over-kdnet-on-qemu-kvm/

    "The enlightenments that are enabled by default include setting the hypervisor ID to the same ID that’s reported by Microsoft Hyper-V (which is “Microsoft Hv”). [...] when the KDNet transport initializes, it checks the hypervisor ID, and if it discovers it is running under Microsoft Hyper-V [...] it attempts to open a debugger connection using an undocumented protocol over a synthetic hypervisor-owned debug device that Hyper-V provides."

    I'll give this a shot tomorrow on Proxmox and I'll drink something strong if modifying the hypervisor ID actually solves my issues! :D

    #windbg #reverseengineering #proxmox #kvm
  9. GhidraDbg - A Python script that creates a bridge between #Ghidra and #WinDbg for dynamic driver analysis, allowing real-time synchronization of debugging states.

    https://github.com/philsajdak/GhidraDbg

    "The built-in Ghidra-WinDbg sync can be challenging to configure and maintain, often requiring specific connection settings and troubleshooting. This script aims to provide a more straightforward, feature-rich alternative."
  10. The second part of my #WinDbg deep-dive into the #Windows #bootloader is up: Get ready for a decades-old registry structure, unique sorting algorithms, and lots of corner cases. The result is a modern Rust replacement for Mark Russinovich's LoadOrder tool: colinfinck.de/posts/nt-load-or

  11. For those of you who are also deep into Windows #reverseengineering, #bootloaders, and #WinDbg: My first blog post on researching the Windows driver load order and all its quirks is out, beginning with some WinDbg fundamentals: colinfinck.de/posts/nt-load-or

  12. I hadn't needed to use #Microsoft #WinDbg in many years (🙏), so I was more than a bit shocked to see that they had added a "ribbon" toolbar and "metro-ified" much of the #UX.

    There are some nice quality of debugging things they've added though, so it wasn't all just adding bling.

    But, the bling does seem like a weird thing to have spent time on from a dev resources perspective, especially given the target audience.

  13. Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть

    habr.com/ru/companies/rvision/

    #winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg

  14. Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть

    habr.com/ru/companies/rvision/

    #winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg

  15. Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR

    Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть

    habr.com/ru/companies/rvision/

    #winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg

  16. Just in case you need to list of the top protected processes on a live Windows system using WinDbg:

    #windbg #windows #microsoft #internals

  17. I've been very busy and focused on research lately, and I only have time for trivial tweets for the next few months. This one is about a simple concept, which if you've ever exploited win32k.sys (including win32kbase.sys and win32kfull.sys), then you've probably seen it before ;)

    #windbg #windows

  18. Most of the time, Windbgx + Linq query is recommended to get useful results... (null values could have been filtered out...):

    #windbgx #windbg #windows

  19. Realizing how far the web has seeped in through every crack and crevice just now noticing windbgx's local window evaluates a COM pointer to '[object Object]'

    #windbg

  20. Here’s a neat project: ttd2mdmp by Airbus CERT. It lets you create a minidump from arbitrary points in a #Windbg Time Travel Debugging (TTD) trace. 

I think this is a clever way to start exploring TTD integrations while waiting for a supported API. For example, trying out existing PE carving tools against TTD sessions. 

github.com/airbus-cert/ttd2mdm

#debugging #malwareanalysis

  21. Here's a live kernel dump of a Windows system with the win32kbase_rs module loaded, opened in WinDbg. We can use the !poolused command to get an idea of memory allocations made with this new RstG pool tag.

    We can see that there have been a few allocations with the RstG pool tag, totaling 368 bytes.

    Note that Microsoft describes this pool tag as "GDITAG_RUST_GLOBALS". If you've got a recent enough version of WinDbg / Debugging Tools for Windows, you can find this pool tag description in amd64\triage\pooltag.txt in your debugger install location.

    Here's the new Rust-related pool tag descriptions in pooltag.txt:

    Rust - win32kbase_rs.sys - GDITAG_RUST
    RstG - win32kbase.sys - GDITAG_RUST_GLOBALS

    You can find out more about the Rust pool tag in my other thread, which looks more specifically at the Rust code: infosec.exchange/@cxiao/110366

    #rust #rustlang #windows #reversing #reverseengineering #microsoft #windbg

  22. I've been using #windbg for years (and years and years and years...), but today I decided to try #IDA Pro's "remote debugger" feature for a lark.

    Either it'll be an awful experience, or I'll save years of my life copying/pasting memory addresses between VMs - we'll see!

  23. #windbg displays PIDs in **hexadecimal**?? What??