WinDbg

Физически нет возможности проверить.
WinDbg может вести отладку по сети ПК на котором он запущен обращаясь к другому ПК ?

 

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/remote-debugging-using-windbg

 

Я не об этом.
Допустим на моём пк установлен windbg и он шлёт по сети серверу команды ,которые сервер возвращает моему пк и тем самым через сервер я веду отладку моего же пк.

 

ну, прикола как с софтайсом виндебаг вам не даст.

 

Виндбг работает как пользовательское приложение Windows, хуже того - COM приложение. При отладке ядра ОС "замораживается" - происходит останов выполнения всего кроме отладочной подсистемы в ядре. Никакие приложения работать в реальном времени не будут, т.к. им не передастся управление, пока отладчик не "отпустит" исполнение.
Если даже удастся запустить отладку через сеть ядра той же машины, все зависнет в момент начального брейкпойнта, отладчик будет висеть вместе с системой и некому будет отдать команду продолжать исполнение.
Тот же самый эффект можно словить при отладке некоторых сервисов и антивирусов.

Если же вопрос ТС о возможности отладки через сеть обычного приложения на том же ПК - можно, никаких проблем.

 

виндбг ващето тут ни при чём, работает KD. в ЕдРе. но без всяких мироновых.

 

WinDbg и KD работают поверх COM-сервера, который debugging engine, так-то. Один гуи, другой консоль, вот и все различие.

 

А если отладчик пошлёт серию команд?
К тому же ПО на сервере может "разморозить" ядро самостоятельно.

 

Не думаю, что виндбг так умеет, но вы можете попробовать разобрать протокол и послать серию команд, может и сработает.
Но в чем принципиальный смысл сего действа?
Есть LiveKD и вроде он даже из коробки идет теперь.
Есть какой-то духовный наследник сайса, Syser64 или что-то вроде того. Может они больше подойдут.

 

да! вот как раз понадобилось заресолвить символ(его rva). кстати не завалялось ли у вас кодеса типа MS DIA,
а то чтото не могу понять почему всё в FAILED уходит (CoInitialize ессна запилено)

Код (Text):

1.  
2.  HRESULT hr = CoCreateInstance( CLSID_DiaSource,
3.  NULL,
4.  CLSCTX_INPROC_SERVER,
5.  __uuidof( IDiaDataSource ),
6.  (void **) &pSource);
7.  
8.  if (FAILED(hr)) {
9.  
10.  MessageBoxA(0, "COM FAIL", 0, 0);
11.  } else {
12.  
13.  MessageBoxA(0, "COM OK", 0, 0);
14.  
15.  wchar_t wszFilename[ _MAX_PATH ];
16.  mbstowcs( wszFilename, "d:\\123123.dll", sizeof( wszFilename )/sizeof( wszFilename[0] ) );
17.  if ( FAILED( pSource->loadDataFromPdb( wszFilename ) ) )
18.  {
19.  if ( FAILED( pSource->loadDataForExe( wszFilename, NULL, NULL ) ) )
20. ...
21.  

 

Дело не в отладке.
Это такой способ взаимодействия с сервером.
Клиент получает доступ к серверу и другим клиентам взамен на это клиенты и сервер получают к нему доступ.

 

о да, - дело было не в бабине

 

Ты p2p через протокол windbg хочешь реализовать, или что? Может уже напишешь нормально, что ты хочешь сделать, и для чего это нужно?

 

Конкретно какой HRESULT?
Вообще лучше делать так, сразу смотреть hr:

Код (C):

1. if ( FAILED( hr = pSource->loadDataFromPdb( wszFilename ) ) )
2. {
3. if ( FAILED( hr = pSource->loadDataForExe( wszFilename, NULL, NULL ) ) )

 

sn0w,

Ты спрашиваешь не первый раз за последнее время про дебаг символы, зачем тебе они, какая задача ?

Если это не какой то парсер пе, то есть основная задача по выделению EP, тоесть покрытию образа. Что бы описать графом, на этом строится механизм защиты от OP-атак и наоборот, обход защиты. Тебе для каких целей нужно ?

 

задача - спалить RVA метода CIISModule::OnSendResponse в iis модуле, который сжатием контента занимается. так чтобы это не было говнопоиском тру-хацкерским, по сигнатуре

--- Сообщение объединено, 25 ноя 2020 ---

о блять, я только что контору аверу спалил

 

sn0w,

Гугл знает только эту ссылку https://www.hybrid-analysis.com/sam...86cc4bb106db7d2ea00d523231c?environmentId=100

Если это малварь, то зачем тебе вд - это юзер и символов для отладки нет. Да и врядле ты вд можешь использовать, этот инструмент для иных задач в ином моде.

 

Инде, я в этой теме не энтузиаст. и поставим на этом крест.

 

sn0w,

Зачем сразу так крест на всём, мне тоже интересно. Во первых откуда этот символ или класс сишный взялся. Для начала нужен модуль, для начала статик анализа. И что интересно, если модуль не системный то откуда дебаг инфа(если это в экспорте то и вопроса нет) ?

В чём подвох ?