postmortem debugger lsass

Тема в разделе "WASM.BEGINNERS", создана пользователем vx1d, 15 июн 2019.

  1. vx1d

    vx1d Member

    Публикаций:
    0
    Регистрация:
    13 дек 2016
    Сообщения:
    118
    Появляется некая ошибка в lsass (0xc0000005) пытаюсь перехватить ее с помощью windbg
    установил его как postmortem debugger
    для обычных программ он вызывается на ошибке
    а для lsass.exe не вызывается, показывается окно что система будет перезагружена через 1мин и все
    как сделать чтобы windbg вызывался для lsass?
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    лсасс это малец особенный процесс, возможно его не удасться на той же машине дебажить, тем более постмортем... я не пробовал канеш, может какие хаки в этой теме есть, но... предлагаю сэмитировать ошибку на виртуалке, если это возможно... ну или включить ядерный отладчик и с другого компьютера по сети дебажить...
     
  3. vx1d

    vx1d Member

    Публикаций:
    0
    Регистрация:
    13 дек 2016
    Сообщения:
    118
    ну да, я на виртуалке удаленно подключю отладчик - он ловит ошибку (осталось ее только дождаться), или ядерный тоже можно
     
  4. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    lsass служба, не имеющая доступа к интерактивному пользовательскому десктопу. Если отладчик запускается как postmortem, он запустится также в невидимом служебном десктопе. Вариантов два: приаттачиться отладчиком заранее и ждать краш, либо настроить постмортем отладчик для удаленной отладки.
    Отчего процесс у вас крашится?
     
  5. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    да небось инжектит в него что-нить типа мимикатса)...
     
  6. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    [​IMG]
     

    Вложения:

    • lsa.png
      lsa.png
      Размер файла:
      50,6 КБ
      Просмотров:
      644
  7. vx1d

    vx1d Member

    Публикаций:
    0
    Регистрация:
    13 дек 2016
    Сообщения:
    118
    ну не без этого, ошибку после ожидания пары-тройки часов нашел)
     
  8. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    > лсасс это малец особенный процесс

    Чем он особенный ?
    Главное что бы при аттаче отладчика к нему небыло IPC обмена, иначе будет деадлок. Вот csrss прицепить юзер отладчик сложнее, так как там IPC обмен при любых дествиях с потоками, а отадчик останавливает потоки.
     
  9. vx1d

    vx1d Member

    Публикаций:
    0
    Регистрация:
    13 дек 2016
    Сообщения:
    118
    отладчик не запускается, если б запускался создавался бы dump процесса, я использовал ключ -с ".dump file.dmp" для windbg
     
  10. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    Жаль, жаль...

    Ну хз, смотреть надо что у вас там с настройками.
     
  11. vx1d

    vx1d Member

    Публикаций:
    0
    Регистрация:
    13 дек 2016
    Сообщения:
    118
    стала появлятся ошибка в lsass, eventlog: "failed with status code 00000000" и перезагрузка
    у кого-нибудь была такая с чем связана?
    проверяется ли целостность кода в динамике?
     
  12. vx1d

    vx1d Member

    Публикаций:
    0
    Регистрация:
    13 дек 2016
    Сообщения:
    118
    пробывал отловить ошибку ядерной отладкой - но никакой ошибки не произошло
    lsass просто завершился и началась перезагрузка

    вот лог windbg:
    Код (Text):
    1. 1: kd> g
    2. Thu Jun 27 15:05:12.882 2019 (UTC + 3:00): Unload module \SystemRoot\System32\Drivers\dump_LSI_SAS.sys at fffff801`03830000
    3. Thu Jun 27 15:05:12.886 2019 (UTC + 3:00): Unload module \SystemRoot\System32\Drivers\dump_diskdump.sys at fffff801`03800000
    4. Shutdown occurred at (Thu Jun 27 15:05:18.906 2019 (UTC + 3:00))...unloading all symbol tables.
    5. Waiting to reconnect...
    6.  
     
  13. vx1d

    vx1d Member

    Публикаций:
    0
    Регистрация:
    13 дек 2016
    Сообщения:
    118
    Нашел ошибку, Windows Defender сканирует память (AMSI) lsass и завершает его