利用 r2 逆向分析框架分析 Windows Minidumps

最新推荐文章于 2024-05-21 09:56:45 发布
最新推荐文章于 2024-05-21 09:56:45 发布
阅读量668 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/103112182
版权
本文介绍了如何利用radare2的mdmp模块进行Windows Minidumps文件的分析,包括文件格式、分析方法、EAT Hooking的检测以及从内存转储中Carving二进制文件的技术。
摘要由CSDN通过智能技术生成

用Microsoft使用minidump格式存储用户模式的内存转储(dump),它是一种公开记录的文件格式,以前几乎都是在WinDbg进行分析。

本文介绍如何使用radare2 mdmp模块进行Minidumps转储文件分析。

0x01 文件格式

该格式其实很简单,因为基本上都是数据流,这些数据流根据其内容而有所不同奇热

 $ r2 mini.dmp
 [0x00690efa]> i
 blksz    0x0
 block    0x100
 fd       6
 file     mini.dmp
 format   mdmp
 iorw     false
 mode     -r--
 size     0xc53a7be
 humansz  197.2M
 type     MDMP (MiniDump crash report data)
 arch     x86
 binsz    206809022
 bintype  mdmp
 bits     32
 canary   false
 crypto   false
 endian   little
 flags    0x00061826
 havecode true
 hdr.csum 0x00000000
 linenum  false
 lsyms    false
 machine  i386
 maxopsz  16
 minopsz  1
 nx       false
 os       Windows NT Workstation 6.1.7601
 pcalign  0
 pic      false
 relocs   false
 rpath    NONE
 static   false
 streams  13
 stripped false
 va       true

我们可以看到上面的文件mini.dmp包含13个stream,并且文件类型为MiniDuMP(MDMP)。有关MDMP格式基础的其他知识,请参阅Brendan Dolan-Gavitt撰写的文章

http://moyix.blogspot.co.uk/2008/05/parsing-windows-minidumps.html

0x02  分析

MDMP格式会生成一个信息量很大的文件,因此对文件的简单解析就足够了。使用radare2的pf命令很容易做到这一点,请参阅使用radare2解析文件格式的这篇文章:

http://radare.today/posts/parsing-a-fileformat-with-radare2/

以下是当前支持的文件结构的列表

 [0x00000000]> pf.
 pf.mdmp_memory_descriptor       pf.mdmp_misc_info               pf.mdmp_thread_info             
 pf.mdmp_thread_list             pf.mdmp_module                  pf.mdmp_unloaded_module_list    
 pf.mdmp_system_info             pf.mdmp_module_list             pf.mdmp_thread_info_list        
 pf.mdmp_location_descriptor     pf.mdmp_string                  pf.mdmp_memory64_list           
 pf.mdmp_vs_fixedfileinfo        pf.mdmp_location_descriptor64   pf.mdmp_header                  
 pf.mdmp_unloaded_module         pf.mdmp_memory_descriptor64     pf.mdmp_directory               
 pf.mdmp_memory_info             pf.mdmp_thread                  pf.mdmp_handle_data_stream
 pf.mdmp_memory_info_list

通过radare2的预定义二进制结构模式打开文件,可以查看MDMP文件的结构。mini.dmp文件具有如下所示的格式:

 [0x00000000]> pf.mdmp_header
           Signature : 0x00000000 = MDMP
             Version : 0x00000004 = 1812113299
     NumberOfStreams : 0x00000008 = 13
  StreamDirectoryRVA : 0x0000000c = 32
            CheckSum : 0x00000010 = 0
       TimeDateStamp : 0x00000014 = Tue Jan 31 18:44:24 2017
               Flags : 0x00000018 =  Flags (bitfield) = 0x00061826 : MiniDumpWithFullMemory | MiniDumpWithHandleData | MiniDumpWithUnloadedModule | MiniDumpWithFullMemoryInfo | MiniDumpWithThreadInfo | MiniDumpIgnoreInaccessibleMemory | MiniDumpWithTokenInformation

上面的标识记录了将被写入MDMP文件的信息,因此,需要某些标识来执行不同类型的分析,可以注意到文件项NumberOfStreams的file匹配项。使用NumberOfStreams和StreamDirectoryRVA可以打印出目录结构列表。

以下是线程信息和模块列表的结构,描述了它们的位置和大小

 [0x00000000]> pf.mdmp_stream_directory [13]? (mdmp_directory)directories
 [0x00000000]> pf.mdmp_stream_directory @ 32
  directories :
 [
 [snip]
                 st
最低0.47元/天 解锁文章
systemino
关注
radare2-r2pipe:通过管道从任何编程语言访问radare2!
05-01
r2pipe r2pipe API基于r_core_cmd_str()之后的单个r2原语,该原语是一个函数,该函数接受描述要运行的r2命令的字符串参数,并返回带有结果的字符串。 该设计背后的决定来自具有不同libffi实现的一系列基准测试,结果是,使用本机API比仅使用原始命令字符串和解析输出要更复杂,更慢。 只要输出可能难以解析,建议使用JSON输出并将其反序列化为本地语言对象,这比处理和维护内部数据结构和指针要方便得多。 而且,内存管理的结果要简单得多,因为您只需要关心释放结果字符串即可。 该目录包含针对不同语言的r2pipe API的不同实现,这些语言可以处理不同的通信后端: 抓取R2PIPE {_IN | _OUT}环境变量 生成r2 -q0并与管道通信(2) 普通TCP连接 HTTP查询(连接到远程Web服务器) RAP协议(r2自己的远程协议) 大多数语言都启
scanner怎样回到文件开头_Radare2逆向分析dex/so/二进制等文件的使用方法
weixin_39838829的博客
12-10 216
git clone https://github.com/radareorg/radare2.gitgit pullr2pm initr2pm updatesys/install.shradare2 -hrabin2是radare2套件中的一个工具,主要用来提取二进制文件中的信息rabin2 -qi classes.dex | grep -i -e sms -e bluetooth -e...
探秘r2dec-js:高性能的反汇编器与C代码转换工具
最新发布
gitblog_00047的博客
05-21 469
探秘r2dec-js:高性能的反汇编器与C代码转换工具 项目地址:https://gitcode.com/wargio/r2dec-js 1、项目介绍 r2dec-js是一款强大的开源工具,它将汇编语言转换为伪C代码,使得程序理解变得更加容易。通过集成在radare2框架中,它能够支持多种架构,包括x86/x64, ARM, MIPS, AVR等,并提供了实验性支持对WebAssembly和一些...
高级栈溢出技术—ROP实战(split)
ChuMeng1999的博客
01-07 681
目录预备知识关于ROP本系列rop实战题目的背景split涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium
No core dump will be written. Minidumps are not enabled by default on client versions of Windows
Castlehe的博客
04-25 1万+
主要是Eclipse在pydev插件安装过程中闪退了,之后我再去安装,每次都会报错: No core dump will be written. Minidumps are not enabled by default on client versions of Windows 解决4(修改jdk版本) 想起来当时安装的时候,一开始自己没有安装jdk,eclipse安装界面有如下显示 而我安装的是最新版本。。18.0.1, External提供的都是JRE,但是18.0.1只有JDK,没有JRE。 所以
将springboot打包成的jar文件做成windows服务,解决java程序自启动问题
11-21
将springboot打包成的jar文件做成windows服务,解决java程序自启动问题,适合现场部署后无人看管情况,断电后服务器启动后不用管理springboot服务,不用打开cmd,也不担心现场人员误操作关闭cmd窗口。
EFFECTIVE MINIDUMPS
11-15
随着Windows XP,微软发布了一组新的被称为“minidump”的崩溃转存技术。Minidump很容易定制。按照最常用的配置,一个minidump只包括了最必要的信息,用于恢复故障进程的所有线程的调用堆栈,以及查看故障时刻局部...
sigar-amd64-winnt-1.6.4.zip
11-10
Minidumps are not enabled by default on client versions of Windows # # An error report file with more information is saved as: # C:\Projects\web\browser-controller\hs_err_pid1844.log # # If you would...
Netty4.0.10 jar包 及 源代码 和 例子
05-26
Netty 是一个高性能、异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端。这个压缩包包含的是Netty的4.0.10版本,这是一个非常稳定且广泛使用的版本,适用于多种Java网络应用的需求。 ...
Procdump.zip
06-29
3. **分析 dump 文件**:当 ProcDump 生成 dump 文件后,开发者可以利用调试工具(如 WinDbg 或 Visual Studio)加载 dump 文件进行分析,找出问题根源。 ProcDump 的使用对于 IT 专业人员来说,尤其是在软件开发、...
r2pipe_erl:Radar2的Erlang管道绑定
05-26
erlang的r2pipe 通过端口接口或通过从r2调用escript direclty与r2一起使用。 建造: $ rebar get-deps $ rebar co 管道用法示例: $ rebar sh erl> H = r2pipe:init(pipe, "/bin/ls"). erl> io:format("~s", [r2pipe:cmd(H, "i")]). erl> r2pipe:cmdj(H, "ij"). 请参阅testr2pipe.erl作为本地管道调用示例脚本。 使用以下命令从r2调用它: r2> #!pipe escript testr2pipe.erl 或者 $ chmod +x testr2pipe.erl 然后从r2r2> #!pipe testr2pipe.erl
r2pipe-使用r2pipes与radare2交互的库-Rust开发
05-27
r2pipe.rs与Rade2交互的Rust Crate。 请检查文档以开始使用。 注意结构和API函数已移至r r2pipe.rs Rust Crate,以便与radare2进行交互。 请检查文档以开始使用。 注意结构和API功能已移至radare2-r2pipe-api存储库。 请确保您更新依赖项和导入。 TODO支持Futures API为生成方法添加自定义的r2开始标记更好的错误处理许可根据Apache License 2.0版(LICENSE-APACHE或http://www.apache.org/licenses/LICENSE-2.0)MIT许可获得许可LICENSE-MIT或http:// op
Failed to write core dump. Minidumps are not enabled by default on client versions of Windows
热门推荐
weixin_45691427的博客
07-26 2万+
# # A fatal error has been detected by the Java Runtime Environment: # # EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x00000001800156c4, pid=1376, tid=0x0000000000002b40 # # JRE version: OpenJDK Runtime Environment (8.0_242-b08) (build 1.8.0_242-b08) #.
中的mdmp文件_记一次MSSQL数据库产生大量mdmp文件及解决办法
weixin_29027305的博客
01-15 7114
概述今天襄阳反馈有台SqlServer服务器后出现“事务日志空间已满”的错误,以为长时间没有截断日志,导致日志文件太大,结果发现不是此问题,观察发现在Sqlserver的Log日志目录中堆积了大量的sqldump*.log,sqldump*.txt,sqldump*.mdmp文件,一分钟有很多个这样的文件,将磁盘空间耗尽。部分报错:下面简单介绍下解决过程~1、检查数据库完整性DBCC CHECKD...
linux 逆向工具 radare2入门
whatday的专栏
08-17 7403
注:radare2系列实验共有3个。这是第一个,第二个实验是进阶用法通过它写exp,第三个实验是通过它分析rom。参考链接已经在文末给出。 1 预备知识 1.关于Radare2: radare2是一个开源的逆向工程和二进制分析框架,包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等,同时具备超强的脚本加载能力,它可以运行在几乎所有主流的平台(GNU/Linux, .Wind...
逆向分析最常用的有三种方法是什么?怎样防止反编译?
qq_33777090的博客
03-13 2876
网络分析通过分析和篡改接口数据,可以有效的破解通过接口数据来控制客户端行为的app,常用的抓包工具有Tcpdump, WireShark, Charles等,windows平台有fidller静态分析通过砸壳、反汇编、classdump头文件等技术来分析app行为,通过这种方式可以有效的分析出app实用的一些第三方库,甚至分析出app的架构等内容,常用的工具有dumpdecrypted(砸壳)、h...
radare2逆向笔记
weixin_34290631的博客
02-09 488
最近刚开始学习逆向(Reverse Engineering), 发现其学习曲线也是挺陡峭的, 而网上的 许多writeup文章主旨总结就六个字:"你们看我屌吗?" ...几近炫技而对初学者不太友好. 所以我打算以初学者的身份来写写自己从入门到深入的经历. 准备 当前许多逆向的writeup倾向于使用IDA-Pro, 而且似乎都依赖于F5(反编译的快捷键), 直接 从二进制文件转成了可读的C代码....
linux逆向分析之ElfCrackme分析
cavalier的学习之路
04-15 3361
前言 前段日子从IDF实验室下到了一个ELF的crackeme决定练一下手,这个crackeme的标题是breakpoint,想想一定是跟断点调试有关的一个程序,但是由于自己电脑比较渣,开虚拟机远程调试一定卡到爆,所以选择利用IDA静态调试。 工具使用:IDA 、WinHex、DEV C++、cygwin、readelf 静态分析过程 首先利用readelf查看一下该程序的信息,是32位的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值