利用 r2 逆向分析框架分析 Windows Minidumps

最新推荐文章于 2024-05-21 09:56:45 发布
最新推荐文章于 2024-05-21 09:56:45 发布
阅读量667 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/103112182
版权
本文介绍了如何利用radare2的mdmp模块进行Windows Minidumps文件的分析,包括文件格式、分析方法、EAT Hooking的检测以及从内存转储中Carving二进制文件的技术。
摘要由CSDN通过智能技术生成

用Microsoft使用minidump格式存储用户模式的内存转储(dump),它是一种公开记录的文件格式,以前几乎都是在WinDbg进行分析。

本文介绍如何使用radare2 mdmp模块进行Minidumps转储文件分析。

0x01 文件格式

该格式其实很简单,因为基本上都是数据流,这些数据流根据其内容而有所不同奇热

 $ r2 mini.dmp
 [0x00690efa]> i
 blksz    0x0
 block    0x100
 fd       6
 file     mini.dmp
 format   mdmp
 iorw     false
 mode     -r--
 size     0xc53a7be
 humansz  197.2M
 type     MDMP (MiniDump crash report data)
 arch     x86
 binsz    206809022
 bintype  mdmp
 bits     32
 canary   false
 crypto   false
 endian   little
 flags    0x00061826
 havecode true
 hdr.csum 0x00000000
 linenum  false
 lsyms    false
 machine  i386
 maxopsz  16
 minopsz  1
 nx       false
 os       Windows NT Workstation 6.1.7601
 pcalign  0
 pic      false
 relocs   false
 rpath    NONE
 static   false
 streams  13
 stripped false
 va       true

我们可以看到上面的文件mini.dmp包含13个stream,并且文件类型为MiniDuMP(MDMP)。有关MDMP格式基础的其他知识,请参阅Brendan Dolan-Gavitt撰写的文章

http://moyix.blogspot.co.uk/2008/05/parsing-windows-minidumps.html

0x02  分析

MDMP格式会生成一个信息量很大的文件,因此对文件的简单解析就足够了。使用radare2的pf命令很容易做到这一点,请参阅使用radare2解析文件格式的这篇文章:

http://radare.today/posts/parsing-a-fileformat-with-radare2/

以下是当前支持的文件结构的列表

 [0x00000000]> pf.
 pf.mdmp_memory_descriptor       pf.mdmp_misc_info               pf.mdmp_thread_info             
 pf.mdmp_thread_list             pf.mdmp_module                  pf.mdmp_unloaded_module_list    
 pf.mdmp_system_info             pf.mdmp_module_list             pf.mdmp_thread_info_list        
 pf.mdmp_location_descriptor     pf.mdmp_string                  pf.mdmp_memory64_list           
 pf.mdmp_vs_fixedfileinfo        pf.mdmp_location_descriptor64   pf.mdmp_header                  
 pf.mdmp_unloaded_module         pf.mdmp_memory_descriptor64     pf.mdmp_directory               
 pf.mdmp_memory_info             pf.mdmp_thread                  pf.mdmp_handle_data_stream
 pf.mdmp_memory_info_list

通过radare2的预定义二进制结构模式打开文件,可以查看MDMP文件的结构。mini.dmp文件具有如下所示的格式:

 [0x00000000]> pf.mdmp_header
           Signature : 0x00000000 = MDMP
             Version : 0x00000004 = 1812113299
     NumberOfStreams : 0x00000008 = 13
  StreamDirectoryRVA : 0x0000000c = 32
            CheckSum : 0x00000010 = 0
       TimeDateStamp : 0x00000014 = Tue Jan 31 18:44:24 2017
               Flags : 0x00000018 =  Flags (bitfield) = 0x00061826 : MiniDumpWithFullMemory | MiniDumpWithHandleData | MiniDumpWithUnloadedModule | MiniDumpWithFullMemoryInfo | MiniDumpWithThreadInfo | MiniDumpIgnoreInaccessibleMemory | MiniDumpWithTokenInformation

上面的标识记录了将被写入MDMP文件的信息,因此,需要某些标识来执行不同类型的分析,可以注意到文件项NumberOfStreams的file匹配项。使用NumberOfStreams和StreamDirectoryRVA可以打印出目录结构列表。

以下是线程信息和模块列表的结构,描述了它们的位置和大小

 [0x00000000]> pf.mdmp_stream_directory [13]? (mdmp_directory)directories
 [0x00000000]> pf.mdmp_stream_directory @ 32
  directories :
 [
 [snip]
                 st
最低0.47元/天 解锁文章
systemino
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逆向分析的经验
不急不躁
07-03 2748
感谢Light4Freedom团队的Wins0n写的技术分享PPT以及周侃的PPT 常用工具:Windbg / OllyDbg / Immunity Debugger / PEiD IDA Pro / Hex-Rays Decompiler / ARM / x64 …… ILSpy Metasploit Python Putty / WinSCP / nc C32Asm / 010Edi
r2pipe-使用r2pipes与radare2交互的库-Rust开发
05-27
r2pipe.rs与Rade2交互的Rust Crate。 请检查文档以开始使用。 注意结构和API函数已移至r r2pipe.rs Rust Crate,以便与radare2进行交互。 请检查文档以开始使用。 注意结构和API功能已移至radare2-r2pipe-api存储库。 请确保您更新依赖项和导入。 TODO支持Futures API为生成方法添加自定义的r2开始标记更好的错误处理许可根据Apache License 2.0版(LICENSE-APACHE或http://www.apache.org/licenses/LICENSE-2.0)MIT许可获得许可LICENSE-MIT或http:// op
radare2-r2pipe:通过管道从任何编程语言访问radare2!
05-01
r2pipe r2pipe API基于r_core_cmd_str()之后的单个r2原语,该原语是一个函数,该函数接受描述要运行的r2命令的字符串参数,并返回带有结果的字符串。 该设计背后的决定来自具有不同libffi实现的一系列基准测试,结果是,使用本机API比仅使用原始命令字符串和解析输出要更复杂,更慢。 只要输出可能难以解析,建议使用JSON输出并将其反序列化为本地语言对象,这比处理和维护内部数据结构和指针要方便得多。 而且,内存管理的结果要简单得多,因为您只需要关心释放结果字符串即可。 该目录包含针对不同语言的r2pipe API的不同实现,这些语言可以处理不同的通信后端: 抓取R2PIPE {_IN | _OUT}环境变量 生成r2 -q0并与管道通信(2) 普通TCP连接 HTTP查询(连接到远程Web服务器) RAP协议(r2自己的远程协议) 大多数语言都启
探秘r2dec-js:高性能的反汇编器与C代码转换工具
最新发布
gitblog_00047的博客
05-21 455
探秘r2dec-js:高性能的反汇编器与C代码转换工具 项目地址:https://gitcode.com/wargio/r2dec-js 1、项目介绍 r2dec-js是一款强大的开源工具,它将汇编语言转换为伪C代码,使得程序理解变得更加容易。通过集成在radare2框架中,它能够支持多种架构,包括x86/x64, ARM, MIPS, AVR等,并提供了实验性支持对WebAssembly和一些...
r2pipe_erl:Radar2的Erlang管道绑定
05-26
erlang的r2pipe 通过端口接口或通过从r2调用escript direclty与r2一起使用。 建造: $ rebar get-deps $ rebar co 管道用法示例: $ rebar sh erl> H = r2pipe:init(pipe, "/bin/ls"). erl> io:format("~s", [r2pipe:cmd(H, "i")]). erl> r2pipe:cmdj(H, "ij"). 请参阅testr2pipe.erl作为本地管道调用示例脚本。 使用以下命令从r2调用它: r2> #!pipe escript testr2pipe.erl 或者 $ chmod +x testr2pipe.erl 然后从r2r2> #!pipe testr2pipe.erl
Failed to write core dump. Minidumps are not enabled by default on client versions of Windows
刘迪敏的专栏
04-02 1142
树挪死,人挪活。 大城市小人物,生活最终会把你变成你讨厌的人。 Idea启动后访问项目报错,控制台错误如下: # # A fatal error has been detected by the Java Runtime Environment: # # EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x0000000065c26292,...
将springboot打包成的jar文件做成windows服务,解决java程序自启动问题
11-21
将springboot打包成的jar文件做成windows服务,解决java程序自启动问题,适合现场部署后无人看管情况,断电后服务器启动后不用管理springboot服务,不用打开cmd,也不担心现场人员误操作关闭cmd窗口。
反编译实例2:补充2
aizhanma4819的博客
10-11 108
前面反编译的时候我们使用的是goto语句实现的,并简单说明的变量的定义与否。 但是这种跳转是否可以使用for语句来实现呢?代码实现如下: #include <stdio.h> int main(int argc, char** argv) { int r2; int r5 = 300; int r6 = 20; in...
Minidump 文件分析工具
Gary's Blog --- A C++ programmer
10-09 2584
<br />许多人可能经常遇见计算机频繁重新启动的问题,总是难于解决问题,最后只能重新安装操作系统.我介绍的这篇文章应该能解决许多人这样的痛苦. <br />   通常在荡机的瞬间,操作系统会形成一个存储器转储文件。 这个文件是当计算机死机的瞬间的内存的映像.该文件通常放置在系统目录 下的minidum目录下.例如 C:/WINDOWS/Minidump/Mini082106-01.dmp. 所以对该文件的分析就能很快查找到问题的所在.<br />   这个文件打开看看将发现是一堆乱码.怎么分析该文件
调试Release发布版程序的Crash错误
patdz的专栏
08-17 1725
下面有更使用的文章 REF : http://blog.sina.com.cn/s/blog_48f93b530100g282.html REF : http://vicchina.51.net/research/other/seh/minidumps/intro.htm  当我们把自己的release版本程序发布出去以后,一般都是在用户的机器
中的mdmp文件_记一次MSSQL数据库产生大量mdmp文件及解决办法
weixin_29027305的博客
01-15 7091
概述今天襄阳反馈有台SqlServer服务器后出现“事务日志空间已满”的错误,以为长时间没有截断日志,导致日志文件太大,结果发现不是此问题,观察发现在Sqlserver的Log日志目录中堆积了大量的sqldump*.log,sqldump*.txt,sqldump*.mdmp文件,一分钟有很多个这样的文件,将磁盘空间耗尽。部分报错:下面简单介绍下解决过程~1、检查数据库完整性DBCC CHECKD...
反编译实例2补充1
aizhanma4819的博客
10-11 120
首先,从程序开始就定义了一些变量r2,r6,r5,r4等,但是r6实际值为20,r5值为300。我们可能会考虑,如果不进行变量的定义而是直接使用数值,汇编是不是也是一样的?现在我们简单的修改一下程序的代码如下: #include <stdio.h> int main(int argc, char** argv) { int r2; //...
minidump详细介绍
chentao1206的专栏
03-31 3303
Effective minidump  简介 在过去几年里,崩溃转储(crash dump)成为了调试工作的一个重要部分。如果软件在客户现场或者测试实验室发生故障,最有价值的解决方式是能够创建一个故障瞬间的应用程序状态镜像,然后可以在开发者的机器上通过调试器进行分析。第一代的crash dump通常被称为“全用户转储(full user dump)”,它包含了进程的虚拟内存的全
radare2逆向笔记
weixin_34290631的博客
02-09 487
最近刚开始学习逆向(Reverse Engineering), 发现其学习曲线也是挺陡峭的, 而网上的 许多writeup文章主旨总结就六个字:"你们看我屌吗?" ...几近炫技而对初学者不太友好. 所以我打算以初学者的身份来写写自己从入门到深入的经历. 准备 当前许多逆向的writeup倾向于使用IDA-Pro, 而且似乎都依赖于F5(反编译的快捷键), 直接 从二进制文件转成了可读的C代码....
Windbg查看重启或蓝屏的minidump文件
weixin_34121304的博客
02-06 387
电脑无故重启或者蓝屏会在C:\WINDOWS\Minidump\下保存一个minidump,可以通过windbg查看其内容。命令!analyze –v可以看到进一步的信息。看是哪个进程引起的。从这里下载windbg:[url]http://www.microsoft.com/whdc/devtools/debugging/default.mspx[/url] 转载于...
逆向分析最常用的有三种方法是什么?怎样防止反编译?
qq_33777090的博客
03-13 2869
网络分析通过分析和篡改接口数据,可以有效的破解通过接口数据来控制客户端行为的app,常用的抓包工具有Tcpdump, WireShark, Charles等,windows平台有fidller静态分析通过砸壳、反汇编、classdump头文件等技术来分析app行为,通过这种方式可以有效的分析出app实用的一些第三方库,甚至分析出app的架构等内容,常用的工具有dumpdecrypted(砸壳)、h...
Radare2 学习笔记:从入门到精通 1. Radare2 简介,及安装
Tangent's blog
04-19 7929
Radare 2 是什么? A free/libre toolchain for easing several low level tasks like forensics, software reverse engineering, exploiting, debugging, … It is composed by a bunch of libraries (which are extend...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值