Bon tutoriel pour WinDbg?

Tutoriels de base et démos d'utilisation

• Installation et configuration de WinDbg (outils de débogage Windows)
• Mike Taulty - Un mot pour WinDbg
• Tutoriels WinDbg
• Débogueurs Windows: Partie 1: Un didacticiel WinDbg

Différentes façons de "démarrer"/attacher WinDbg

• Démarrer le débogage avec WinDbg (comprend comment déboguer un .msi)
• Comment déboguer un service Windows
• Configuration du débogage Windows
• Débogage de SQL Server ... ici , ici , ici , ici

Espaces de travail (comprendre comment ils fonctionnent)

• Pimp up votre débogueur: Création d'un espace de travail personnalisé pour le débogage WinDbg
• Découvrir comment fonctionnent les espaces de travail dans WinDbg

Cmdtree

Vous permet de définir un "menu" de commandes de débogage pour un accès facile aux commandes fréquemment utilisées sans avoir à mémoriser les noms des commandes laconiques. Vous n'avez pas besoin de mettre toutes les définitions de commandes dans le même fichier texte cmdtree ... vous pouvez les garder séparées et en charger plusieurs (elles obtiennent alors leur propre fenêtre).

• Aide incroyable .cmdtree
• Comment faire un dock de fenêtre cmdtree au démarrage dans WinDbg
• Faciliter le débogage des vidages .NET dans WinDbg à l'aide de .cmdtree
• Microshaoft Cmdtree
• Commande spéciale - Exécuter des commandes à partir d'une interface utilisateur personnalisée avec .cmdtree

Script de démarrage

Vous pouvez utiliser l'option -c sur la ligne de commande pour exécuter automatiquement un script WinDbg lorsque vous démarrez WinDbg.

Donne la possibilité d'activer le mode DML (Debugger Markup Language), de charger des extensions particulières, de définir des points d'arrêt d'exception .NET, de définir des indicateurs de noyau (par exemple, lors du débogage du noyau, vous devrez peut-être modifier le masque DbgPrint pour voir les informations de suivi .... ed nt ! Kd_DEFAULT_Mask 0xFFFFFFFF), charger les cmdtrees, etc.

• http://yeilho.blogspot.co.uk/2012/10/windbg-init-script.html
• Prenez le contrôle de WinDbg

Un exemple de script:

$$ Include a directory to search for extensions
$$ (point to a source controlled or UNC common directory so that all developers get access)
.extpath+"c:\svn\DevTools\WinDBG\Extensions"
$$ When debugging a driver written with the Windows Driver Framework/KMDF
$$ load this extension that comes from the WinDDK.
!load C:\WinDDK\7600.16385.1\bin\x86\wdfkd.dll
!wdftmffile C:\WinDDK\7600.16385.1\tools\tracing\i386\wdf01009.tmf
$$ load some extensions
.load msec.dll
.load byakugan.dll
.load odbgext.dll
.load sosex
.load psscor4
$$ Make commands that support DML (Debugger Markup Language) use it
.prefer_dml 1
.dml_start
$$ Show NTSTATUS codes in hex by default
.enable_long_status 1
$$ Set default extension
.setdll psscor4
$$ Show all loaded extensions
.chain /D
$$ Load some command trees
.cmdtree c:\svn\DevTools\WinDBG\cmdtree\cmdtree1.txt
.cmdtree c:\svn\DevTools\WinDBG\cmdtree\cmdtree2.txt
$$ Show some help for the extensions
!wdfkd.help
!psscor4.help
.help /D

Feuilles de triche de commande

• Affiche d'analyse de vidage sur incident v3.
• Aide-mémoire SOS (.NET 2.0/3.0/3.5)
• Aide-mémoire WinDbg (Art of Dev)
• WinDbg Kernel-Mode Extension Commands Flashcards

Extensions (étendre la gamme de commandes/fonctionnalités prises en charge)

• AddSym
  - permet le transfert des noms de symboles entre IDA et WinDbg
• bigLasagne (bldbgexts & blwdbgue)
  - Mise en évidence de la syntaxe de l'assemblage et un outil de mappage de pilote)
• BigLib Number Reader
• Byakugan
  - détecter les méthodes anti-bug, visualisation/émulation de tas Vista, tampons de piste en mémoire
• CmdHist
  - enregistre chaque commande que vous avez exécutée dans votre session de débogage afin que vous puissiez la réexécuter facilement
• Core Analyzer
  - vérifier les structures de tas pour la corruption, détecter les objets partagés par les threads, etc.
• extension Dom WinDbg
  ! stlpvector,! idt,! unhex,! grep, etc.)
• --- (dumppe
  - vide le fichier PE de la mémoire
• Extension de visionneuse d'images (Vladimir Vukicevic)
• Outil de débogage du kit de développement Intel UEFI
  - débogage du firmware UEFI
• fuite
  - GDI/USER poignée tracker pour aider à la détection des fuites
• Mona (nécessite PyKD)
  - ensemble de commandes pour faciliter l'analyse avancée/trouver des exploits
• MSEC
  - fournit une analyse automatisée des collisions et une évaluation des risques de sécurité
• narly
  - répertorie les informations sur les modules chargés, comme si vous utilisez SafeSEH, ASLR, DEP,/GS (Buffer Security Checks)
• netext (Rodney Viana)
  ! wservice - liste les objets de service WCF,! wconfig - affiche les lignes .config,! whttp - liste HttpContexts,! wselect /! wfrom - supporte SQL comme les requêtes sur les tableaux)
• --- (ODbgExt
  - ouvrir les extensions du débogueur
• OllyMigrate
  - passez le débogueur à un autre débogueur sans redémarrer
• Psscor2
  - un surensemble de SOS pour aider au débogage du code managé .NET 2.0
• Psscor4
  - un surensemble de SOS pour aider au débogage du code managé .NET 4
• PyDBGExt
  - permet d'utiliser les scripts Python
• PyKD
  - permet à Python d'être utilisé pour scripter WinDbg
• sdbgext (Nynaeve)
  ! valloc,! vallocrwx,! heapalloc,! heapfree,! remotecall,! remotecall64,! loaddll,! unloaddll,! close,! killthread,! adjpriv,! ret)
• --- (SieExtPub
  - extension héritée ... désormais intégrée à WinDbg dans ext.dll
• SOSEX
  - plus de commandes pour aider au débogage du code NET 2.0 ou 4.0 managé
• SPT/SDBGExt2 (Steve Niemitz)
  !! DumpHttpContext,! DumpASPNetRequests,! DumpSqlConnectionPools,! DumpThreadPool, etc.)
• --- (Uniqstack
  - source vers une extension de débogage (besoin d'un compte OSR Online pour y accéder)
• viscope
  - graphique de couverture du code
• Wait Chain Traversal/wct.dll (extensions de débogage CodePlex
  - affiche les chaînes d'attente des threads d'application (aide à trouver blocages )
• windbgshark
  - intègre l'analyseur de protocole Wireshark pour activer VM manipulation et analyse du trafic
• Extensions WinDbg (Sasha Goldstein)
  - Tracer, WCT, heap_stat, bkb, traverse_map, traverse_vector)
• WinDbg Highlight (ColorWindbg.dll) (Utilisez Google Translate pour traduire le lien)
  - Mise en évidence de la syntaxe du langage d'assemblage

Écrivez votre propre extension

• Développement de l'extension WinDbg ExtEngCpp en C++
• Outils du métier: Partie IV - Développement de DLL d'extension WinDbg
• Les bases des extensions de débogueur: effort à court terme, gain à long terme

Débogage du code managé

• Briser une exception
• Rupture sur une exception CLR spécifique
• Débogage du code source du framework .NET dans WinDbg
• Débogage des exceptions dans le code managé à l'aide de WinDbg
• Débogage du code managé à l'aide de WinDbg et SOS.dll
• Débogage avec WinDbg. Deadlocks dans les applications.
• DÉBOGAGE GÉRÉ avec WinDbg. Introduction et Index
• Définition des points d'arrêt .NET dans WinDbg pour les applications qui se bloquent au démarrage

Script (C #, PS, Python et WinDbg)

• KDAR (Kernel Debugger Anti Rootkit)
  - une collection de scripts WinDbg
• Sysnative BSOD Scripts/Processing Apps
• bibliothèque de scripts WinDbg
  - une collection de scripts WinDbg
• Script MDbg et DbgHostLib
  - permet au code managé de scripter le débogueur géré (MDBG) et le DbgEng
• ExtCS
  - permet le contrôle de WinDbg via des scripts C #
• PowerDBG
  - permet le contrôle de WinDbg via des scripts PowerShell
• Pykd
  - permet le contrôle de WinDbg via Python
• windbglib
  - Python autour de l'extension pykd pour WinDbg, imitant immlib (afin que vous puissiez utiliser des scripts écrits à l'origine pour Immunity Debugger)

Débogueurs/outils qui utilisent l'API dbgeng.dll/outils WinDbg

• n débogueur de mode utilisateur basé sur Dbgeng simple
• Acorns.Debugging NET Deadlock Detector (utilise cdb.exe) ( téléchargement )
• Débogueur géré CLR (MDBG)
• DbgHost - Comment contrôler un moteur de débogage
• Debug Diagnostic Tool v1.2 (DebugDiag), Ver 2. + DebugDiag Blog
• Dynamorio - outil d'instrumentation binaire dynamique qui peut interagir avec WinDbg
• IDA + plugin WinDbg
• GUI WinDbg
• LeakShell (trouver les fuites gérées)
• mdbglib - API de débogage géré
• PyDbgEng
  - Python pour le moteur de débogage Windows
• SOSNET - un Fork/WinDbg Shell alternatif qui se concentre sur l'utilisation de l'extension SOS et prend en charge les scripts C #
• SOSNET O2 fork - fork de SOSNET qui utilise Roslyn pour le moteur de script C # REPL (read-eval-print-loop))
• VDB/Vivisect (kenshoto) - fournit une API de débogage multiplateforme en couches sur WinDbg
• WinAppDbg + Heappie-WinAppDbg
• Écriture d'un débogueur Windows de base

Différentes façons de générer des fichiers de vidage sur incident pour l'analyse post-mortem

• DebugDiag 2.
• Dump Cheat Sheet
  - comprend comment générer un vidage à partir des machines virtuelles Hyper-V, VMware ESX et XenServer.
• Citrix SystemDump
• combinaison de touches du clavier
• MiniDumpWriteDump
  via un appel API Win32 dans votre application). --- ((Exemple pour les applications C #)
• Commutateur NMI
  (fonctionnalité basée sur le matériel pour générer une NMI ... généralement trouvée sur les serveurs haut de gamme, par exemple HP ou vous pouvez obtenir un complément Carte PCI "Universal PCI Dump Switch" ). Microsoft NMI arrière-plan .
• Procdump
• Menu Système ? Paramètres système avancés ? Démarrage et récupération
  ( informations de registre ),
  ( comment configurer un vidage de mémoire complet (complet) ),
  ( comment activer le vidage complet de la mémoire ),
  ( comment activer le vidage de mémoire complet sur Windows 7 lorsque le PC a beaucoup de mémoire ... normalement non disponible lorsque plus de 2 Go de mémoire )
• Gestionnaire de tâches "Créer un fichier de vidage"
• serDump , instructions (très vieil outil)
• serModeProcessDumper , instructions
• Visual Studio "Enregistrer le vidage sous…"
• WER (Windows Error Reporting .... dumps locaux)
• WinDbg

Outils d'analyse de vidage

• BlueScreenView - trouve les fichiers minidump .dmp enregistrés par Windows après un BSOD et extrait des informations sur la cause du crash
• Debug.Analyzer (peut analyser les fichiers de vidage et les plug-ins peuvent être écrits en .NET)
• SAD - Simple After Dump (analyseur post mortem)
• Volatilité - framework pour analyser la "mémoire" enregistrée dans les fichiers de vidage ( aide-mémoire )

Outils liés au vidage

• Citrix dumpcheck - vérifie la cohérence du fichier de vidage (on dirait qu'il a été abandonné link + link )
• dumpchk (partie des outils de débogage) - vérifie la cohérence d'un fichier de vidage
• MoonSols Windows Memory Toolkit (anciennement windd ) - convertit divers fichiers de vidage de mémoire brute en fichiers dmp compatibles WinDbg
• vm2dmp - Microsoft Hyper-V VM State to Memory Dump Converter
• vmss2core - convertit le fichier d'instantané VMware en un fichier de vidage principal ( téléchargement ), ( instructions )

Débogage des machines virtuelles du noyau

• VMKD - Extensions KD de la machine virtuelle
• VirtualKDprise en charge du débogueur du noyau pour les systèmes d'exploitation hébergés dans VMware/VirtualBox)

Vidéos

• --- (. NET Cracking 101 # 2 - Bases de WinDbg
• Débogage .NET pour l'environnement de production (Channel9)
• dotnetConf - Débogage avancé avec WinDbg et SOS
• David Truxall "Débogage avec WinDbg"
• Mike Taulty débogage des fuites de mémoire
• session oredev 2009: débogage d'applications .NET avec WinDbg
• Débogage Pluralsight Advanced Windows
  (ainsi que plusieurs autres à Pluralsight)
• Tess Ferrandez WinDbg (Channel9)
• Série de didacticiels vidéo de TiGa sur IDA Pro

Blogs

• Débogage .NET avancé
• Toutes vos bases nous appartiennent (Sasha Goldstein)
• Analyser-v
• Débogage ASP.NET
• Cyberiafreak (threading et programmation et débogage Windows avancés)
• Debug Analyzer.NET
• Débogage et au-delà
• Débogage Experts Magazine Online
• Debugging Toolbox (scripts WinDbg, outils et techniques de débogage et de dépannage pour vous aider à isoler les problèmes logiciels.)
• Décrypter mon monde
• WebLog de greggm
• Notes de programmation Windows de Junfeng Zhang
• friandises de Kristoffer
• Blog de Mark Russinovich
• Blog de débogage .NET de Mike Stalls
• Blog de Naveen
• Ne doutez jamais de votre débogueur (Carlo)
• Notes d'un coin sombre
• Blog Ntdebugging (Équipe Microsoft Global Escalation Services)
• Nynaeve. Aventures dans le débogage et la rétro-ingénierie Windows
• Notes de développeur PFE pour le terrain
• Équipe de débogage Visual Studio
• WinDbg par Volker von Einem

Articles avancés et ressources didactiques

• Techniques de débogage avancées dans WinDbg
• Débogage d'applications pour MS.Net et Windows (diapositives PowerPoint)
• Débogage des conteneurs STL avec WinDbg
• Tutoriels de débogage 1-7 (CodeProject-Toby Opferman)
• Debugging.tv
• Developmentor WinDbg Tagged articles
• Blog de sécurité du Dr Fu - Tutoriels d'analyse des logiciels malveillants - Approche de l'ingénierie inverse
• Exploiter l'écriture du didacticiel, partie 5: comment les modules de débogage et les plugins peuvent accélérer le développement de l'exploit de base
• Chasse aux rootkits
• Débogage du noyau du système d'exploitation Microsoft Windows Server à distance à l'aide de l'utilitaire Dell Windows Debugger (DWDU) ( LISEZMOI de l'utilitaire de débogage Dell (TM) Windows (R) 1.1 README )

Débogueurs alternatifs

• Bokken--- (Inguma ) (GUI pour radare)
• BugDbg
• Debug ++ (pas encore publié)
• Débogage
• Débogueur Ring 0 décoloré ( téléchargement )
• edb (Linux)
• FDBG
• GoBug
• Hadès (débogueur Ring 3 avec stratégie de détection anti débogueur)
• Hopper (Linux, OS X et Windows) (débogage Windows non implémenté actuellement)
• Hyperdbg
• Débogueur IDA
• ImmunityDebugger
• Nanomite
• Obsidienne (débogueur non intrusif)
• OllyDBG
• PEBrowse
• RaceVB6 (débogueur VB6 P-Code)
• radare
• radare2ui (GUI pour radare)
• Débogueur Rasta Ring (RR0D)
• Débogueur de noyau Syser
• TRW 20 (très ancien débogueur vers W9x) + archive du plugin dions
• débogueur VisualDux
• Wintruder (débogueur extensible)
• WKTVDebugger (un débogueur pour Visual Basic P-Code) ( téléchargement )
• x64_dbg
• Débogueur Zeta

Autres liens

• Bibliothèque d'outils RCE collaboratifs
  - débogueur et outils de niveau système
• cr4zyserb
  - plugins et autres outils de débogage
• Comment écrire une référence de débogueur Windows (Devon Straw)
  - informations détaillées dont vous auriez besoin si vous vouliez écrire votre propre débogueur, par exemple Format de fichier PDB, formats de fichier .DMP, structure de fichier PE, comment enregistrer les traces de pile, etc., etc.
• Tuts4Yo
  - déballeurs, IDA, OllyDBG, plugins Immunity Debugger, etc.