54亿美金蒸发,83岁老人失踪!蓝屏元凶30天崩一个系统,微软急发事故...

对于CrowdStrike给出的解释,微软利用MicrosoftWinDBG内核调试器和任何人都可免费谁用的几个扩展,来执行了如下分析。基于Microsoft对与该事件相关的Windows错误报告(WER)内核崩溃转储的分析,可以观察到反映这一点的全球崩溃模式:FAULTING_THREAD:ffffe402fe868040READ_ADDRESS:ffff840500000074PagedpoolMM_INTERNAL_CODE:...

利用DCI 与 Windbg 调试器调试 SMM 模式的代码

DCI是一种用于内核/固件调试和逆向的非常强大的技术,而针对WinDbg的英特尔调试扩展程序使我们可以通过Windbg的命令和GUI使用它,这样可以加快对它的研究。直接连接接口(DCI)是Intel硬件提供的调试接口,它使开发人员无需依赖软件提供的调试机制即可调试整个系统,例如Windows的内核调试子系统和固件(EDK2)的DebugAgent。由...

逆向分析,计算机世界中的九阴真经

调试应用层程序两个调试器都可以,OD因为主要面向逆向,窗口布局更为合理直观且插件众多,所以一般情况下都首选OD,windbg没那么方便,大部分操作通过命令来进行,但它也有它的优势,各种命令(内置命令、元命令和扩展命令)提供了强大的控制和分析能力,所以windbg有时也会用到。如果要调试内核程序或模块那OD就无能为力了,win...

在Windows 11内部预览版中,KUSER_SHARED_DATA结构体发生了哪些新...

在WinDbg中进行了一些动态分析后,我终于搞明白了KUSER_SHARED_DATA的更新到底是如何实现的。为此,我首先在正在加载的ntoskrnl.exe上设置一个断点。在现有的内核调试会话中,可以使用以下命令来实现这一点:sxeldnt.reboot在断点被命中后,我们实际上可以看到新发现的符号nt!MmWriteableUserSharedData指向了“静态”...