KD включить бряк на UM исключениях

Indy_
пздц, умеешь ты тред о том как готовить картофельное пюре перевести на тему в каких землях картошка лучше растёт.

 

sn0w,

Ты же механизм обмена тормознул всех клиентов соотв., что же ты ожидаешь, ядро не зависло оно не использует эти запросы для своей работы, может при создании потоков процессов я не помню. Зачем юзер отлаживать ядерным отладчиком это загадка.

 

еще раз объясняю: виндбг, зааттаченный к лсасс; нтсд, зааттаченный к лсасс и управляемый через кд (вместе со всей остальной РПЦ-клиентурой) - спотыкаются на вот этом бесконечном ожидании, как только даешь команду на прогруз символов (тыж в интерфейсе дебаггера командуешь, прикинь, а при этом отлаживаемый процесс засуспенжен).
всё.
в конце концов - возьми виндбг, заатачься к лсасс и сделай .reload /f - вот и увидишь в чём вся хрень.

 

TermoSINteZ вообще говоря, ключевые моменты, которые надо было обследовать - это не экспорты, или что еще дебаггер/дизасм могут нарыть без отладочной инфы

 

sn0w, кстати интересно, как вообще винда грузит символы? В плане, там wininet/winhttp же, или что-то другое? Может, в этом дело, где-то там блокировка (винхттп это СОМ, а вининет интерфейс ишака вроде).

и да, как все таки раньше было круто, скачал символы локально и норм. Нет, надо все переводить на онлайн. Идиотизм.

 

M0rg0t
это MSDIA/DbgHlp. можешь просто колстек посмотреть

 

всю жизнь отлаживал lsass через юзермодный windbg и норм (dbgsrv.exe /t tcp:port=5000)

--- Сообщение объединено, 7 апр 2021 ---

сейчас также - можно локально сиволы грузить и норм, при удаленной отладке

 

наверное это было очень давно

--- Сообщение объединено, 7 апр 2021 ---

да их и так можно превентивно залить:

Код (Text):

1.  
2. const char *szpFiles = {"c:\\windows\\system32\\ntdll.dll", ...};
3. int WINAPI entry()
4. {
5.  
6.   SymSetOptions(SYMOPT_UNDNAME|SYMOPT_DEBUG);
7.  
8.   if (SymInitialize(GetCurrentProcess(), "SRV*C:\\symbols*https://msdl.microsoft.com/download/symbols", FALSE)) {
9.    
10.      for (auto & i : szpFiles) {
11.        OutputDebugString(i);
12.        rc = SymLoadModuleEx(hProcess, NULL, i, NULL, 0, 0, NULL, 0);
13.      }
14.  
15.   //  if (rc) {
16.   //  SymEnumSymbols(GetCurrentProcess(), rc, "*!*", PsymEnumeratesymbolsCallback, NULL);
17.   //  }
18.    }
19.    ExitProcess(0);
20.    return 1;
21.  
22. }

только вот не тестил - провиснет ли при висящем лсасс. хттпс же всё таки, а там дпапи сспи итд

 

но это не говорит что оно не упирается в com/rpc (так же в то, на чём виснут дебаггеры) - я просто не реверсил dbghlp