Clik here to view.
mimilib.dll - mimikatz a WinDbg
Benjamin kontynuuje swoją pracę nad narzędziami do analizy lsass, czego owocem jest udostępniona dziś biblioteka rozszerzeń dla WinDbg, która - podobnie jak opisywany przeze mnie wcześniej mimikatz -...
View ArticleClik here to view.
Niezmiennik zipa
Czas kończyć odpowiedzi na zagadki z sierpnia. Dzisiejsza notka z tym związana jest arcykrótka :)Zdanie - zagadka brzmiało następująco:2. Istnieje plik będący archiwum .zip, który po rozpakowaniu jest...
View ArticleClik here to view.
Rozwiązywanie problemów z mscordacwks
Tym razem kilka słów o dosyć często pojawiającym się problemie, który miałem opisać wieki temu, ale inne wpisy jakoś zawsze okazywały się ciekawsze, ważniejsze i mniej udokumentowane. Przy okazji będę...
View ArticleClik here to view.
kerberos a lsass
Wracamy do zabaw z lsass i jednego z moich ulubionych narzędzi do zaglądania w trzewia tego stwora - mimikatz. Gdy na początku stycznia Benjamin pukał do mnie na gtalku, nie bardzo miałem głowę do...
View ArticleClik here to view.
BSOD a Global Logger
Znalezienie przyczyny BSOD wcale nie musi być łatwe, więc każda dodatkowa informacja, która pomaga w analizie problemu może zaważyć na tym, czy uda nam się coś znaleźć, czy też nie. Szczególnie wredne...
View ArticleClik here to view.
Serwery symboli dla znanych produktów (nie-MS)
Bawiąc się w analizę zrzutów pamięci, tudzież stosów wywołań w ramach sesji ETW nierzadko trafiam na kod, do którego brakuje plików symboli. I o ile Microsoft problemu większego w tym zakresie nie...
View ArticleClik here to view.
Job objects
Jednym z ciekawszych obiektów jądra, dostępnym od Windows 2000 jest job object (w polskim tłumaczeniu: zadanie). Niestety rzadko używany popadł w zapomnienie, co postaram się tym wpisem (i być może...
View ArticleClik here to view.
Clik here to view.
Sysmon
Na początku sierpnia 2014 r Microsoft (Sysinternals) udostępnił nowe narzędzie analityczne: Sysmon. Czas skrobnąć kilka słów o tym potworze..WprowadzenieSysmon to zestaw sterownik (sysmon.sys) + usługa...
View ArticleClik here to view.
Lokalizacja !error i krótkie przypomnienie
Dziś krótko: mały hint + drobne przypomnionko. Zacznijmy od cHincika ;)1. HintUżywając WinDbg na polskiej wersji językowej możemy oglądać komunikaty podobne do tego:0:041> !gleLastErrorValue:...
View ArticleClik here to view.
$EFS, cz. 1
System operacyjny dostarcza wiele usług, których szczegóły implementacyjne nie interesują nas tak długo, jak długo wszystko jest w porządku i możemy żyć sobie w błogiej nieświadomości. Jednak pad...
View ArticleClik here to view.
$EFS, cz. 2. DPAPI internals
Przygód z EFS ciąg dalszy. Dziś docieramy do obszarów, które wykorzystywane są również w innych miejscach systemu, dlatego niezbędny jest osobny tekst i odpowiedni podtytuł. Jedziemy!CertyfikatW...
View ArticleClik here to view.
$EFS, cz 3. Wielki Finał
Odszyfrowanie wszystkich parametrów RSA klucza zbliża nas nieuchronnie do kresu wędrówki. Jesteśmy już tylko kilka kroków od rozwiązania wszystkich zagadek i odzyskania oryginalnej zawartości pliku....
View ArticleClik here to view.
Unique Container Name - rozwiązanie zagadki
W części 2. mini serii o $EFS, w rozdziale poświęconym certyfikatom wspomniałem, że nie znam sposobu wyliczania 'dynamic guid', czyli pierwszej składowej nazwy pliku zawierającego klucz RSA. Kurz po...
View ArticleClik here to view.
Warsaw Windows Internals... start!
Znasz Windows Internals Marka Russinovicha niczym Kubusia Puchatka A.A.Milne, debugger to Twój młotek i śrubokręt, a do tego masz rzut beretem do Warszawy i chcesz poznać innych zapaleńców - nic...
View Article