|
|
Aktualności
-
|
Znasz Windows Internals Marka Russinovicha niczym Kubusia Puchatka A.A.Milne, debugger to Twój młotek i śrubokręt, a do tego masz rzut beretem do Warszawy i chcesz poznać innych zapaleńców - nic prostszego! Już jutro, czyli 30.06 o 18.00 odbędzie się...
|
-
|
W części 2. mini serii o $EFS, w rozdziale poświęconym certyfikatom wspomniałem, że nie znam sposobu wyliczania 'dynamic guid', czyli pierwszej składowej nazwy pliku zawierającego klucz RSA. Kurz po Ignite powoli opada, więc czas podzielić się nową wiedzą....
|
-
|
Odszyfrowanie wszystkich parametrów RSA klucza zbliża nas nieuchronnie do kresu wędrówki. Jesteśmy już tylko kilka kroków od rozwiązania wszystkich zagadek i odzyskania oryginalnej zawartości pliku. Zapraszam do ostatniego już odcinka mini serii poświęconej...
|
-
|
Przygód z EFS ciąg dalszy. Dziś docieramy do obszarów, które wykorzystywane są również w innych miejscach systemu, dlatego niezbędny jest osobny tekst i odpowiedni podtytuł. Jedziemy! Certyfikat W poprzedniej części dotarliśmy do miejsca, w którym powiązaliśmy...
|
-
|
System operacyjny dostarcza wiele usług, których szczegóły implementacyjne nie interesują nas tak długo, jak długo wszystko jest w porządku i możemy żyć sobie w błogiej nieświadomości. Jednak pad dysku, poważne uszkodzenie systemu, lub inna przyczyna,...
|
-
|
Dziś krótko: mały hint + drobne przypomnionko. Zacznijmy od cHincika ;) 1. Hint Używając WinDbg na polskiej wersji językowej możemy oglądać komunikaty podobne do tego: 0:041> !gle LastErrorValue: (Win32) 0 (0) - Operacja uko czona pomy lnie. LastStatusValue:...
|
-
|
Sysmon to nowe narzędzie ze stajni Sysinternals, które oferuje dodatkowe możliwości monitorowania systemu. Czy warto się nim zainteresować, na co zwrócić uwagę, jak skorzystać - o tym jest ten tekst :)...
|
-
-
|
Wznowiłem sesje na Virtual Study. Zapraszam. Link tutaj ....
|
-
|
Jednym z ciekawszych obiektów jądra, dostępnym od Windows 2000 jest job object (w polskim tłumaczeniu: zadanie). Niestety rzadko używany popadł w zapomnienie, co postaram się tym wpisem (i być może następnymi) nieco zmienić. Prawdopodobnie największy...
|
-
|
Bawiąc się w analizę zrzutów pamięci, tudzież stosów wywołań w ramach sesji ETW nierzadko trafiam na kod, do którego brakuje plików symboli. I o ile Microsoft problemu większego w tym zakresie nie czyni, udostępniając swoje symbole publiczne wszystkim...
|
-
|
Znalezienie przyczyny BSOD wcale nie musi być łatwe, więc każda dodatkowa informacja, która pomaga w analizie problemu może zaważyć na tym, czy uda nam się coś znaleźć, czy też nie. Szczególnie wredne są te przypadki, kiedy BSOD pojawia się na dosyć wczesnym...
|
-
|
Wracamy do zabaw z lsass i jednego z moich ulubionych narzędzi do zaglądania w trzewia tego stwora - mimikatz. Gdy na początku stycznia Benjamin pukał do mnie na gtalku, nie bardzo miałem głowę do rozmów o tym, nad czym aktualnie pracował, a co kilka...
|
-
|
Tym razem kilka słów o dosyć często pojawiającym się problemie, który miałem opisać wieki temu, ale inne wpisy jakoś zawsze okazywały się ciekawsze, ważniejsze i mniej udokumentowane. Przy okazji będę mógł zachęcić do zainteresowania się biblioteką procdumpext.dll,...
|
-
|
Czas kończyć odpowiedzi na zagadki z sierpnia. Dzisiejsza notka z tym związana jest arcykrótka :) Zdanie - zagadka brzmiało następująco: 2. Istnieje plik będący archiwum .zip, który po rozpakowaniu jest tym samym plikiem ('niezmiennik zipa'). Tak, istnieje...
|
-
|
Benjamin kontynuuje swoją pracę nad narzędziami do analizy lsass, czego owocem jest udostępniona dziś biblioteka rozszerzeń dla WinDbg , która - podobnie jak opisywany przeze mnie wcześniej mimikatz - pozwala na wyciąganie informacji ze zrzutów pamięci...
|
-
|
Domyślne ustawienia UAC w Windows 7 (a także Windows 8) nie zapewniają nam niestety pełnego bezpieczeństwa. Istnieje kilka znanych sposobów ‘ataku’ na UAC, które pozwalają na wykonanie kodu z podniesionymi uprawnieniami bez konieczności potwierdzania...
|
-
|
W standardowej instalacji Windows 7 (a także Windows 8 oraz wersjach serwerowych, nie wspominając o wcześniejszych edycjach Windows) podczas logowania do systemu nasze hasło przechodzi w postaci jawnej przez kilka authentication i security packages (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages)...
|
-
|
Dziś krócej i z nieco innej działki, ale również 'internalsowo'. Oczywiście kontynuujemy serię 'zagadkową'. Począwszy od Windows XP mamy dostępny mechanizm prefetchera, pozwalający na przyspieszenie ładowania aplikacji do pamięci podczas jej uruchamiania....
|
-
|
Kontynuujemy zabawę, tym razem spróbuję rzucić nieco światła na drugą część pierwszego pytania: 1. Mając do dyspozycji pełny memory.dmp można wygenerować zrzuty ekranu dla wszystkich aktywnych sesji z momentu padu systemu, a także co się działo w systemie...
|
-
|
Poprzedni wpis zakończyłem pytaniem o dodatkowe polecenie, które wykonałem tuż po ustaleniu adresu instancji EPROCESS dla kalkulatora, czyli kd> .process /P fffffa8003951060 Czy było ono niezbędne? :) Najważniejszą wskazówką jaką podałem, to to, że...
|
-
|
Kilku śmiałków postanowiło odpowiedzieć na moje wyzwanie rzucone w poprzednim wpisie, nadszedł zatem czas na moje rozwiązanie. Postanowiłem jednak, że odpowiem pełnymi zdaniami, a inni sami ustalą, która z odpowiedzi jest najbliższa prawdy (a przynajmniej...
|
-
|
Zabawa-zagadka dla znudzonych. Które zdania odnoszące się do Windows 7 są prawdziwe, które nie, a które czasem tak, a czasem nie? (+ew. źródełko) 1. Mając do dyspozycji pełny memory.dmp można wygenerować zrzuty ekranu dla wszystkich aktywnych sesji z...
|
-
|
Wróćmy do naszego przykładu z saperem. Jakiś czas temu opisałem metodę na 'rozminowanie' z wykorzystaniem informacji znajdujących się w symbolach - wystarczyło sięgnąć do tablicy rgBlk i odpowiednio interpretując dane mieliśmy to, co nas interesowało....
|
-
|
W części pierwszej wskazałem miejsce, w którym przechowywana jest para user/password, jednak wspomniałem, iż z kodu użytkownika nie ma za bardzo szans na wyciągnięcie jej, vide opis struktury CREDENTIAL : "If the Type member is CRED_TYPE_DOMAIN_PASSWORD,...
|
|
|
|