windows 10 compressed memory工具的使用

已于 2022-06-12 23:05:02 修改
阅读量791 收藏
点赞数
文章标签: windows
于 2022-06-12 22:58:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012584808/article/details/125251094
版权
本文介绍了在Windows 10系统中遇到蓝屏问题后,如何利用Windbg和Volatility工具分析压缩内存,以及在分析过程中遇到的问题和未来的研究计划。内容涉及内存申请程序、Volatility插件的使用,以及待解决的Volatility选项挂钩、结构体加载等技术挑战。
摘要由CSDN通过智能技术生成

win10 压缩后的内存 windbg查找

抄袭自

  • https://www-fireeye-com.translate.goog/blog/threat-research/2019/08/finding-evil-in-windows-ten-compressed-memory-part-two.html?_x_tr_sl=auto&_x_tr_tl=zh-CN&_x_tr_hl=zh-CN&_x_tr_pto=wapp
  • https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/finding-evil-in-windows-10-compressed-memory-wp.pdf
  • https://github.com/mandiant/win10_volatility
  • https://www.blackhat.com/us-19/briefings/schedule/#paging-all-windows-geeks–finding-evil-in-windows–compressed-memory-15582

简介

笔记本突然蓝屏了,以为是遇到某个软件远程崩溃了,心想机会来了,终于可以调试一次蓝屏了,还以为是smb服务的蓝屏,接下来令人沮丧,并没有定位到蓝屏的具体原因和进程,但是dmp信息指向了compressed,想了想,还是跟踪看一下相关材料,现在只能做到可以利用了相关的工具,太菜,具体的结构现在也没有捋清楚,这个先暂时结一下,以后考古再回头看。

准备材料

申请内存过大,可以导致前面内存块被压缩的程序
win10_volatility 运行环境

内存申请程序

int main()
{
	long long memsize = 0;
	memsize += FILE_SIZE;
	char* buf = new char[memsize];
	cout <<"hello";
	memcpy(buf,"hellworld,helloworld,hellworld,hellworld,hellworld,hellworld,hellworld",71);
	memset((char*)(buf+77), 'A', memsize);
	printf("memsize:%164d  MB\r\n", memsize / 1024 / 1024);
	printf("%llx", (char*)buf);
	while (true)
	{
		memsize += FILE_SIZE;
		char* sss = new char[memsize];
		memset(sss, 'hihh', memsize);
		printf("memsize:%164d  MB\r\n", memsize / 1024 / 1024);
		printf("%llx", &sss);
		
		getchar();
	}
}
过程

借助虚拟机的vmem,对着part2 和win10_volatility 对偏移,虚拟机也不知道哪里的bug, 同一个内存镜像 , 第一次导出的vmem偏移能对上,第二次的vmem对不上偏移,工具也找不对偏移,对上上次的vmem偏移,唯一的小问题就是最后的计算region of compressed pages va的偏移每个系统的版本是不同的,可参见 volatility 定义的结构体.在addrspces和windows下的win10_memcompression中

EXCEPTION_RECORD:  ffff81823a10eeb8 -- (.exr 0xffff81823a10eeb8)
ExceptionAddress: fffff80778522c60 (nt!RtlDecompressBufferXpressLz+0x0000000000000050)
   ExceptionCode: c0000006 (In-page I/O error)
  ExceptionFlags: 00000000
NumberParameters: 3
   Parameter[0]: 0000000000000000
   Parameter[1]: 00000174165d6f70//IO操作失败的内存地址
   Parameter[2]: 00000000c0000185//具体IO操作错误
Inpage operation failed at 00000174165d6f70, due to I/O error 00000000c0000185
不正确的终端或基于 SCSI 设备的电缆被损坏,或者两个设备尝试使用同一 IRQ。
如果 I/O 状态为 C0000185,并且分页文件位于 SCSI 磁盘上(分页池),请检查磁盘电缆连接和 SCSI 终止是否存在问题。

EXCEPTION_PARAMETER1:  0000000000000000

EXCEPTION_PARAMETER2:  00000174165d6f70




11111111 11111111 10110011 10000000          11111100 11011110 00010000 00000000

ffffb380    

fcde1000



CONTEXT:  ffff81823a10e6f0 -- (.cxr 0xffff81823a10e6f0)
rax=fffff80778522c10 rbx=ffffb380fcde1000 rcx=ffffb380fcde1000
rdx=ffffb380fcde1000 rsi=0000000000000002 rdi=00000174165d6f70
rip=fffff80778522c60 rsp=ffff81823a10f0f8 rbp=00000174165d6f26
 r8=00000174165d6f70  r9=000000000000000c r10=ffffb380fcde1ea0
r11=00000174165d6f7c r12=ffff81823a10f368 r13=ffff8d09355dd000
r14=ffffb380fcde2000 r15=0000000000000000
iopl=0         nv up ei pl zr na po nc
cs=0010  ss=0000  ds=002b  es=002b  fs=0053  gs=002b             efl=00050246
nt!RtlDecompressBufferXpressLz+0x50:
fffff807`78522c60 418b08          mov     ecx,dword ptr [r8] ds:002b:00000174`165d6f70=????????
Resetting default scope


ecx,edx,r8d,r9d,


2: kd> uf  nt!RtlDecompressBufferXpressLz
nt!RtlDecompressBufferXpressLz:
fffff807`78522c10 48895c2408      mov     qword ptr [rsp+8],rbx
fffff807`78522c15 48896c2410      mov     qword ptr [rsp+10h],rbp
fffff807`78522c1a 4889742418      mov     qword ptr [rsp+18h],rsi
fffff807`78522c1f 48897c2420      mov     qword ptr [rsp+20h],rdi
fffff807`78522c24 4156            push    r14
fffff807`78522c26 4157            push    r15
fffff807`78522c28 488bd9          mov     rbx,rcx
fffff807`78522c2b 4183f905        cmp     r9d,5
fffff807`78522c2f 0f829e030000    jb      nt!RtlDecompressBufferXpressLz+0x3c3 (fffff807`78522fd3)  Branch    

nt!RtlDecompressBufferXpressLz+0x25:
fffff807`78522c35 448bf2          mov     r14d,edx
fffff807`78522c38 488bd1          mov     rdx,rcx
fffff807`78522c3b 4c03f1          add     r14,rcx
fffff807`78522c3e 458bd9          mov     r11d,r9d
fffff807`78522c41 4d03d8          add     r11,r8
fffff807`78522c44 4533ff          xor     r15d,r15d
fffff807`78522c47 4d8d96a0feffff  lea     r10,[r14-160h]
fffff807`78522c4e 498d6baa        lea     rbp,[r11-56h]
fffff807`78522c52 0f1f4000        nop     dword ptr [rax]
fffff807`78522c56 66660f1f840000000000 nop word ptr [rax+rax]

nt!RtlDecompressBufferXpressLz+0x50:
fffff807`78522c60 418b08          mov     ecx,dword ptr [r8]
bcdedit   /debug on
bcdedit /dbgsettings net hostip :xxx port :xxx key:xxxx.xxx.aaa.xxd

STACK_TEXT: 
kb  k 
 Child-SP          return adress					参数  
ffff8182`3a10f0f8 fffff807`784d2530     : ffffb380`fcde1000 ffffb380`fcde1000 00000000`00000002 00000174`165d6f70 : nt!RtlDecompressBufferXpressLz+0x50
ffff8182`3a10f110 fffff807`7843b670     : 00000000`00000001 00000000`00000000 00000000`00000000 ffffafa4`3da5b7b5 : nt!RtlDecompressBufferEx+0x60  
ffff8182`3a10f160 fffff807`7843b4fd     : 00000000`00000004 fffff807`7843b8b6 00000000`00000000 00000000`00000001 : nt!ST_STORE<SM_TRAITS>::StDmSinglePageCopy+0x150
ffff8182`3a10f220 fffff807`7843be28     : 00000000`00000001 00000000`00016f70 ffff8d09`2f430000 ffff8d09`00001000 : nt!ST_STORE<SM_TRAITS>::StDmSinglePageTransfer+0xa5
ffff8182`3a10f270 fffff807`78539c1c     : 00000000`ffffffff ffff8d09`355dd000 ffff8182`3a10f350 ffff8d09`2ec89250 : nt!ST_STORE<SM_TRAITS>::StDmpSinglePageRetrieve+0x180
ffff8182`3a10f310 fffff807`78539a69     : ffffb380`f5788730 00000000`00000001 00000000`00000000 00000000`00000000 : nt!ST_STORE<SM_TRAITS>::StDmPageRetrieve+0xc8
ffff8182`3a10f3c0 fffff807`78539921     : ffff8d09`2f430000 ffff8d09`2ec89250 ffff8d09`355dd000 ffff8d09`2f4319c0 : nt!SMKM_STORE<SM_TRAITS>::SmStDirectReadIssue+0x85
ffff8182`3a10f440 fffff807`78427328     : ffff8d09`471d1080 ffff8d09`2f430000 00000000`00000000 ffff8d09`4c7a3650 : nt!SMKM_STORE<SM_TRAITS>::SmStDirectReadCallout+0x21
ffff8182`3a10f470 fffff807`7853adf7     : fffff807`78539900 ffff8182`3a10f510 00000000`00000003 00000000`00000000 : nt!KeExpandKernelStackA
最低0.47元/天 解锁文章
老秃驴的头号大弟子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDK Development Kit 20.0.1 - Windows x64 Compressed Archive
06-11
10. **增强型动态类型(Pattern Matching for instanceof)**:在Java 20中,引入了模式匹配,使得`instanceof`操作符更加简洁和安全,可以避免不必要的类型转换。 11. **其他更新与改进**:每个新版本的JDK都会...
windows系统下压力测试工具(cpu使用率,内存使用率,磁盘使用率,磁盘空间)
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
11-07 1万+
windows系统下压力测试工具(cpu使用率,内存使用率,磁盘使用率,磁盘空间)
试验1:观察Windows的内核模块、数据结构和函数
波波诸葛伟
12-30 1236
1,启动WinDBG的本地内核调试(File> Kernel Debug… > Local)。 2,键入.symfix c:\symbols设置符号服务器和用于存储符号文件的本地目录。 3,键入.sympath观察当前的符号路径。其结果应该如下所示: lkd> .sympath Symbol search pathis:SRV*c:\symbols*http://msdl.microsof
版本永恒之蓝_新永恒之蓝?微软SMBv3高危漏洞(CVE20200796)分析复现
weixin_36203080的博客
01-06 678
更多全球网络安全资讯尽在邑安全描述重要 2020 年 3 月 12 日 — Microsoft 发布了 CVE-2020-0796 | Windows SMBv3 客户端/服务器远程执行代码漏洞,以解决此漏洞。有关此问题的详细信息(包括可用安全更新的下载链接),请查看 CVE-2020-0796。Microsoft 发现,Microsoft 服务器消息块 3.1.1 (SMBv3) 协议...
win10_volatility-win10_compressed_memory (1).zip
05-16
Windows 10内存取证与Volatility工具的深入探索》 在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,内存取证是一项至关重要的技术。它允许分析师在系统崩溃、感染病毒或遭受攻击后,从内存映像中提取关键...
Compressed例程
03-16
DEFLATE是另一种广泛使用的混合压缩算法,它结合了LZ77和霍夫曼编码的优点,被广泛应用于如ZIP、GZIP和PNG等文件格式中。 在"Compressed例程"的理论教程中,你可能会学习到如何实现这些算法的步骤,包括如何构建和...
Compressed-Sensing.zip_compressed sensing
07-13
压缩传感MATLAB实例 非常直观而且实用
Compressed-sensing压缩感知
12-09
压缩感知相关参数、重构的方法等代码,具体说明如下 Measurement matrixs :存有多种测量矩阵的实现代码 Reconstruction algorithms :存有多种重构算法的实现,包括最经典的 OMP、SAMP 等方法 ...
记一次 Windows10 内存压缩模块 崩溃分析
一线码农的专栏
04-26 832
分析内核态相比用户态难度要大的多,需要对操作系统以及CPU的相关知识有一个比较深度的理解,任重道远。。。
signature=11019f4833429d3fdf4a6ef091f39706,fofa/md5top1k.txt at master · LubyRuffy/fofa · GitHub
热门推荐
weixin_39931362的博客
05-30 4万+
123456789 25f9e794323b453885f5181f1b624d0ba123456 dc483e80a7a0bd9ef71d8cf973673924123456 e10adc3949ba59abbe56e057f20f883ea123456789 65a0ec385ca6a0c1e20d1f8270c283031234567890 e807f1fcf82d132f9bb018ca6...
虚拟内存(Virtual Memory,VM)和交换文件(Pagefile,PF)
oldmtn的专栏
04-14 2503
在保护模式下,Win32 程序可以寻址 2GB 或 3GB 虚拟内存,对每一个进程来说,它寻址的范围都是这么多。OS 负责把进程提交的虚拟内存按页(一页 4KB,工作集)映射到物理内存的实际页帧上(驻留集)。如果设置了硬盘上的交换文件(Pagefile.sys),那么 OS 也会在物理内存和交换文件之间交换内存页,不活动的进程,它的虚拟内存页会被从物理内存中交换到硬盘上,等它活动的时候再交换回来(分页)。所以,如果设置了硬盘上的交换文件,而物理内存不足(映射所有的虚拟内存页)的时候,电脑就会频繁将物理内存里
转http://www.anyliz.com/blog/article/Software/favorites-software-official-download-url.htm
y599920的专栏
05-12 7592
Windows CE相关公开下载资源http://hi.baidu.com/tombkeeper/blog/item/f4dfc2131271a9075baf537e.htmlIE7 For Windows 2003http://download.microsoft.com/download/8/8/d/88dc5518-0a4d-4912-a8a3-a0fcb6fb657f/IE7-Window
iOS Memory 内存详解
Desgard_Duan
06-29 2296
0. 前言本文以 iOS Memory 的相关内容作为主题,主要从一般操作系统的内存管理、iOS 系统内存、app 内存管理等三个层面进行了介绍,主要内容的目录如下:iOS 是基于 BS...
关闭Windows10内存压缩办法
最新发布
qq_24698755的博客
01-21 5万+
内存压缩是Win10系统新加的一个功能,用来压缩内存,当物理内存不够用时,系统会将一部分不常使用的内存数据打包压缩起来,等到有程序需要访问那些数据的时候,再解压缩出来。于是内存压缩技术出现了,在内存中开辟一部分空间,存放不使用的内存数据,但存放前使用压缩算法压缩这部分数据,即可在内存中使用较少的空间存储之前较大的数据.由于目前CPU性能逐渐过剩,而IO成为瓶颈,内存压缩技术可以避免/减少内存使用率较高时对硬盘交换分区的使用,防止内存颠簸(频繁的分页交换)的发生.内存压缩会耗费CPU资源来进行解压缩操作。
windows 内存过高解决办法
qq_38967004的博客
03-23 1万+
windows 内存过高解决办法 原因一 由于win10默认开启了内存压缩(memory compression), 目的是压缩内存让内存占用更低 ,但是实际并不是无时无刻都需要使用这个功能。因此我们可以选择关闭 解决办法 开始菜单右键选择“windows powershell(管理员)”输入以下命令 关闭内存压缩:Disable-MMAgent -mc 原因二 计算机自动分配的虚拟内存过高,导致开机内存占用80 解决办法 控制面板——>系统和安全——>系统——>高级系统设置
indices.memory.compressed_mode性能会变差吗
05-17
`indices.memory.compressed_mode` 是 Elasticsearch 中的一个配置参数,用于控制是否启用压缩模式来存储倒排索引,其默认值为 `true`。启用压缩模式可以减少索引占用的磁盘空间,但同时也会增加 CPU 的负担,因为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值