#windbg — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #windbg, aggregated by home.social.
-
WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen
Ein seit Jahren bestehendes Phänomen beim Windows-Debugger WinDbg konnte nun aufgeklärt werden:
-
Hunting CVE-2025-59287 in Memory Dumps: https://medium.com/@Debugger/hunting-cve-2025-59287-in-memory-dumps-b70afd7d2dcf
-
Hunting CVE-2025-59287 in Memory Dumps: https://medium.com/@Debugger/hunting-cve-2025-59287-in-memory-dumps-b70afd7d2dcf
-
Анализ дампа: с чего начать
Всем привет! Меня зовут Виктор, и я программист. Восемь лет работаю в команде Т-Банка и все это время вместе с коллегами занимаюсь проектом «Т-Телефония». Моя команда разрабатывает сервисы, которые обеспечивают голосовую коммуникацию внутри и вне банка. Звонки — один из основных способов связи с нами, поэтому система критична для бизнеса с высоким требованием к доступности. Она обрабатывает более 2 млн звонков в день. Если происходит сбой в любой пользовательской системе и нашим клиентам плохо, количество звонков сразу увеличивается, а нагрузка на систему повышается в два-три раза. Когда мне прилетела первая задача с дампом, единственным инструментом, который я знал, был WinDbg. Я потратил несколько дней, чтобы хоть немного разобраться в нем. С развитием проекта приходилось все чаще снимать дампы, и теперь я знаю о них намного больше. В статье покажу, что такое дампы, какие есть инструменты для работы с ними и какие у них особенности, покажу наши примеры проблем, расскажу, как мы их решали.
-
Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину
Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.
https://habr.com/ru/companies/jetinfosystems/articles/936732/
-
Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину
Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.
https://habr.com/ru/companies/jetinfosystems/articles/936732/
-
Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину
Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.
https://habr.com/ru/companies/jetinfosystems/articles/936732/
-
Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину
Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.
https://habr.com/ru/companies/jetinfosystems/articles/936732/
-
Why does [ #WinDbg ] show me the wrong function?
https://devblogs.microsoft.com/oldnewthing/20050322-00/?p=36113
TIL about COMDAT folding #compiler optimization! -
-
🚀 "AI Meets WinDBG" boldly drags crash analysis kicking and screaming into 2025—by making you type commands like it's 1995. 🤖✨ Because who doesn't want a future where #AI does everything... except rescue you from your own nostalgia-fueled #debugging obsession? 🕰️💻
https://svnscha.de/posts/ai-meets-windbg/ #WinDBG #CrashAnalysis #Nostalgia #TechTrends #HackerNews #ngated -
Look at this gem I just found:
Using WinDbg Over KDNet on QEMU-KVM
https://www.osr.com/blog/2021/10/05/using-windbg-over-kdnet-on-qemu-kvm/
"The enlightenments that are enabled by default include setting the hypervisor ID to the same ID that’s reported by Microsoft Hyper-V (which is “Microsoft Hv”). [...] when the KDNet transport initializes, it checks the hypervisor ID, and if it discovers it is running under Microsoft Hyper-V [...] it attempts to open a debugger connection using an undocumented protocol over a synthetic hypervisor-owned debug device that Hyper-V provides."
I'll give this a shot tomorrow on Proxmox and I'll drink something strong if modifying the hypervisor ID actually solves my issues! :D
#windbg #reverseengineering #proxmox #kvm -
GhidraDbg - A Python script that creates a bridge between #Ghidra and #WinDbg for dynamic driver analysis, allowing real-time synchronization of debugging states.
https://github.com/philsajdak/GhidraDbg
"The built-in Ghidra-WinDbg sync can be challenging to configure and maintain, often requiring specific connection settings and troubleshooting. This script aims to provide a more straightforward, feature-rich alternative." -
The second part of my #WinDbg deep-dive into the #Windows #bootloader is up: Get ready for a decades-old registry structure, unique sorting algorithms, and lots of corner cases. The result is a modern Rust replacement for Mark Russinovich's LoadOrder tool: https://colinfinck.de/posts/nt-load-order-part-2/
-
For those of you who are also deep into Windows #reverseengineering, #bootloaders, and #WinDbg: My first blog post on researching the Windows driver load order and all its quirks is out, beginning with some WinDbg fundamentals: https://colinfinck.de/posts/nt-load-order-part-1/
-
I hadn't needed to use #Microsoft #WinDbg in many years (🙏), so I was more than a bit shocked to see that they had added a "ribbon" toolbar and "metro-ified" much of the #UX.
There are some nice quality of debugging things they've added though, so it wasn't all just adding bling.
But, the bling does seem like a weird thing to have spent time on from a dev resources perspective, especially given the target audience.
-
Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR
Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть
https://habr.com/ru/companies/rvision/articles/837632/
#winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg
-
Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR
Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть
https://habr.com/ru/companies/rvision/articles/837632/
#winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg
-
Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR
Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть
https://habr.com/ru/companies/rvision/articles/837632/
#winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg
-
Just in case you need to list of the top protected processes on a live Windows system using WinDbg:
-
LayeredSyscall – Abusing VEH to Bypass EDRs:
https://whiteknightlabs.com/2024/07/31/layeredsyscall-abusing-veh-to-bypass-edrs/
#exploitation #exceptions #malware #redteam #infosec #informationsecurity #cybersecurity #reversing #windbg
-
I've been very busy and focused on research lately, and I only have time for trivial tweets for the next few months. This one is about a simple concept, which if you've ever exploited win32k.sys (including win32kbase.sys and win32kfull.sys), then you've probably seen it before ;)
-
Most of the time, Windbgx + Linq query is recommended to get useful results... (null values could have been filtered out...):
-
Realizing how far the web has seeped in through every crack and crevice just now noticing windbgx's local window evaluates a COM pointer to '[object Object]'
-
-
-
-
-
-
Here’s a neat project: ttd2mdmp by Airbus CERT. It lets you create a minidump from arbitrary points in a #Windbg Time Travel Debugging (TTD) trace. I think this is a clever way to start exploring TTD integrations while waiting for a supported API. For example, trying out existing PE carving tools against TTD sessions. https://github.com/airbus-cert/ttd2mdmp #debugging #malwareanalysis
-
Here's a live kernel dump of a Windows system with the
win32kbase_rsmodule loaded, opened in WinDbg. We can use the!poolusedcommand to get an idea of memory allocations made with this newRstGpool tag.We can see that there have been a few allocations with the
RstGpool tag, totaling 368 bytes.Note that Microsoft describes this pool tag as "GDITAG_RUST_GLOBALS". If you've got a recent enough version of WinDbg / Debugging Tools for Windows, you can find this pool tag description in
amd64\triage\pooltag.txtin your debugger install location.Here's the new Rust-related pool tag descriptions in
pooltag.txt:Rust - win32kbase_rs.sys - GDITAG_RUST
RstG - win32kbase.sys - GDITAG_RUST_GLOBALSYou can find out more about the
Rustpool tag in my other thread, which looks more specifically at the Rust code: https://infosec.exchange/@cxiao/110366048880535679#rust #rustlang #windows #reversing #reverseengineering #microsoft #windbg
-