6
WinDebugger läd modul nicht wegen fehlender Symbole
Ich versuche einen Rechner der von einem Hacker angegriffen wurde zu analyzieren. Leider lädt der Debugger aber die entsprechenden Symbole nicht.:
Hier die Fehlermeldung:
0: kd> callback.wdbg
* ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Couldn't resolve error at 'allback.wdbg
Also reingeguckt:
0: kd> !analyze -v
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\oca.ini, error 2
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\winxp\triage.ini, error 2
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\user.ini, error
*
Unknown bugcheck code (0)
Unknown bugcheck description
Arguments:
Arg1: 0000000000000000
Arg2: 0000000000000000
Arg3: 0000000000000000
Arg4: 0000000000000000
Debugging Details:
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\modclass.ini, error 2
* ERROR: Symbol file could not be found. Defaulted to export symbols for kernel32.dll -
PROCESS_NAME: windbg.exe
FAULTING_IP:
LiveKdD+218e
fffff880`07deb18e 4d8b5c2440 mov r11,qword ptr [r12+40h]
EXCEPTION_RECORD: ffffffffffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: fffff88007deb18e (LiveKdD+0x000000000000218e)
ExceptionCode: 80000003 (Break instruction exception)
ExceptionFlags: 00000001
NumberParameters: 0
ERROR_CODE: (NTSTATUS) 0x80000003 - {AUSNAHME} Haltepunkt Im Quellprogramm wurde ein Haltepunkt erreicht.
EXCEPTION_CODE: (HRESULT) 0x80000003 (2147483651) - Mindestens ein Argument ist ung ltig.
DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT
BUGCHECK_STR: 0x0
CURRENT_IRQL: 0
LAST_CONTROL_TRANSFER: from 0000000000000000 to fffff88007deb0ad
STACK_TEXT:
fffff880`09ff3730 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : LiveKdD+0x20ad
STACK_COMMAND: .bugcheck ; kb
FOLLOWUP_IP:
LiveKdD+218e
fffff880`07deb18e 4d8b5c2440 mov r11,qword ptr [r12+40h]
SYMBOL_NAME: LiveKdD+218e
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: LiveKdD
IMAGE_NAME: LiveKdD.SYS
DEBUG_FLR_IMAGE_TIMESTAMP: 4f1490a7
FAILURE_BUCKET_ID: X64_0x0_LiveKdD+218e
BUCKET_ID: X64_0x0_LiveKdD+218e
Followup: MachineOwner
Hat jemand eine Idee wie man das lösen könnte? Würde mich sehr über kompetente Hilfe freuen, bin noch neu in der Materie.
Viele Grüße
B.
0: kd> callback.wdbg
* ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Couldn't resolve error at 'allback.wdbg
Also reingeguckt:
0: kd> !analyze -v
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\oca.ini, error 2
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\winxp\triage.ini, error 2
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\user.ini, error
*
- *
- Bugcheck Analysis *
- *
Unknown bugcheck code (0)
Unknown bugcheck description
Arguments:
Arg1: 0000000000000000
Arg2: 0000000000000000
Arg3: 0000000000000000
Arg4: 0000000000000000
Debugging Details:
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\modclass.ini, error 2
* ERROR: Symbol file could not be found. Defaulted to export symbols for kernel32.dll -
PROCESS_NAME: windbg.exe
FAULTING_IP:
LiveKdD+218e
fffff880`07deb18e 4d8b5c2440 mov r11,qword ptr [r12+40h]
EXCEPTION_RECORD: ffffffffffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: fffff88007deb18e (LiveKdD+0x000000000000218e)
ExceptionCode: 80000003 (Break instruction exception)
ExceptionFlags: 00000001
NumberParameters: 0
ERROR_CODE: (NTSTATUS) 0x80000003 - {AUSNAHME} Haltepunkt Im Quellprogramm wurde ein Haltepunkt erreicht.
EXCEPTION_CODE: (HRESULT) 0x80000003 (2147483651) - Mindestens ein Argument ist ung ltig.
DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT
BUGCHECK_STR: 0x0
CURRENT_IRQL: 0
LAST_CONTROL_TRANSFER: from 0000000000000000 to fffff88007deb0ad
STACK_TEXT:
fffff880`09ff3730 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : LiveKdD+0x20ad
STACK_COMMAND: .bugcheck ; kb
FOLLOWUP_IP:
LiveKdD+218e
fffff880`07deb18e 4d8b5c2440 mov r11,qword ptr [r12+40h]
SYMBOL_NAME: LiveKdD+218e
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: LiveKdD
IMAGE_NAME: LiveKdD.SYS
DEBUG_FLR_IMAGE_TIMESTAMP: 4f1490a7
FAILURE_BUCKET_ID: X64_0x0_LiveKdD+218e
BUCKET_ID: X64_0x0_LiveKdD+218e
Followup: MachineOwner
Hat jemand eine Idee wie man das lösen könnte? Würde mich sehr über kompetente Hilfe freuen, bin noch neu in der Materie.
Viele Grüße
B.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 182924
Url: https://administrator.de/contentid/182924
Printed on: April 19, 2024 at 13:04 o'clock
6 Comments
Latest comment
Hallo,
Die debuggíng symbols müssen seperat zum existierende OS heruntergeladen und Installiert werden.
Aber da dein System ja schon durch einen Fremdzugriff (Hacker) Infiziert ist, ist ein aufspielen von Software zum Debuggen wohl nicht der richtige weg. Wenn der Hacker sein geschäft versteht wirst du nichts finden, zumindest nicht mit einem Debugger. Da gibt es nur eins. Das OS neu zu Installieren. Alles andere ist verschwendete Zeit. Wenn du den (einfachen) Hacker und seinen Weg gefunden hast ist doch ein abschalten seines Zugangs zu deinem Rechner schon erfolgreich um den (einfachen) Hacker von deinem PC Fernzuhalten. Hat der (einfache )Hacker aber auch noch Trojaner und oder Viren mit ins Spiel gebracht dann ... Mach den Rechner neu. Würde ich auf jeden Fall alleine um ruhig Schlafen zu können.
Und bei http://technet.microsoft.com/de-de/sysinternals/bb897415 steht auch das hier keine Symbole zum Debugger mitinstalliert sind. Versuchst du per LiveCD (WinPE und LiveKd?) einen Hacker zu enttarnen?
Gruß,
Peter
Die debuggíng symbols müssen seperat zum existierende OS heruntergeladen und Installiert werden.
ERROR: Symbol file could not be found. Defaulted to export symbols for kernel32.dll -
Hier auch wieder der Hinweis .Aber da dein System ja schon durch einen Fremdzugriff (Hacker) Infiziert ist, ist ein aufspielen von Software zum Debuggen wohl nicht der richtige weg. Wenn der Hacker sein geschäft versteht wirst du nichts finden, zumindest nicht mit einem Debugger. Da gibt es nur eins. Das OS neu zu Installieren. Alles andere ist verschwendete Zeit. Wenn du den (einfachen) Hacker und seinen Weg gefunden hast ist doch ein abschalten seines Zugangs zu deinem Rechner schon erfolgreich um den (einfachen) Hacker von deinem PC Fernzuhalten. Hat der (einfache )Hacker aber auch noch Trojaner und oder Viren mit ins Spiel gebracht dann ... Mach den Rechner neu. Würde ich auf jeden Fall alleine um ruhig Schlafen zu können.
Und bei http://technet.microsoft.com/de-de/sysinternals/bb897415 steht auch das hier keine Symbole zum Debugger mitinstalliert sind. Versuchst du per LiveCD (WinPE und LiveKd?) einen Hacker zu enttarnen?
Gruß,
Peter
Hi,
es handelt sich hierbei um einen Firmenrechner und ich muss herausfinden was der Typ im System gemacht hat um eventuelle Sicherheitslöcher zu stopfen. Wenn ich das System einfach lösche kann ich nicht herausfinden ober Schaden angerichtet hat. Darum ist eine Analyse sehr wichtig. Aber ohne einen funktionierenden Debugger geht das nicht. Und die Symbole sind heruntergeladen das Ergebnis siehst du oben. Aus irgendeinem Grund fehlt ihm genau das Symbol was ich brauche. Ich versuche es mit Livekd.
Gruß
Ben
es handelt sich hierbei um einen Firmenrechner und ich muss herausfinden was der Typ im System gemacht hat um eventuelle Sicherheitslöcher zu stopfen. Wenn ich das System einfach lösche kann ich nicht herausfinden ober Schaden angerichtet hat. Darum ist eine Analyse sehr wichtig. Aber ohne einen funktionierenden Debugger geht das nicht. Und die Symbole sind heruntergeladen das Ergebnis siehst du oben. Aus irgendeinem Grund fehlt ihm genau das Symbol was ich brauche. Ich versuche es mit Livekd.
Gruß
Ben
Hallo,
<code "type=plain">
Wenn Sie keine Symbole für das System installiert haben, auf dem LiveKd ausgeführt wird, werden Sie von LiveKd gefragt, ob Sie das System automatisch so konfigurieren möchten, dass der Symbolserver von Microsoft verwendet wird. (Informationen zu Symboldateien und zum Microsoft-Symbolserver finden Sie in der Dokumentation zu Debugging Tools for Windows.)
HINWEIS: Der Microsoft-Debugger wird melden, dass er keine Symbole für LIVEKDD.SYS finden kann. Dies ist zu erwarten, da ich keine Symbole für LIVEKDD.SYS zur Verfügung gestellt habe. Dies wirkt sich nicht auf das Verhalten des Debugger aus.
Gruß,
Peter
Zitat von @BahamutXII:
es handelt sich hierbei um einen Firmenrechner und ich muss herausfinden was der Typ im System gemacht hat
also Computerforensik. Du bist fit darin? Hast du wenigsten die Platte vorher eins zu eins also Abbild kopiert / gespeigelt oder so? Denn jedes starten von dieser Platte ändert (evtl. auch die spuren deines Hackers). Aber es handelt sich doch hier bestimmt nicht um einen von aussen geführten Angriff auf einen Firmenrechner, oder?es handelt sich hierbei um einen Firmenrechner und ich muss herausfinden was der Typ im System gemacht hat
Aber ohne einen funktionierenden Debugger geht das nicht.
Der Debugger funktioniert auch ohne Debuggung Symbols.Und die Symbole sind heruntergeladen das Ergebnis siehst du oben.
Wenn du wie ich vermute die Tools von Sysinternals wie schon von mir als Link oben angegeben verwendest, wirst du keine Symbole aufgelöst bekommen. Das ändert aber nichts an der Aussage und an der funktion des debuggers.Ich versuche es mit Livekd.
Also brauche ich nicht weiter zu Vermuten womit de es versuchst. Ob allerdings die Symbole auf deinem Lokalen System oder auf dem Zielsystem sein müssen entzieht sich hier meiner Kenntniss. Ich habe diese immer nur Lokal verwendet. http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx und auch das hier<code "type=plain">
Wenn Sie keine Symbole für das System installiert haben, auf dem LiveKd ausgeführt wird, werden Sie von LiveKd gefragt, ob Sie das System automatisch so konfigurieren möchten, dass der Symbolserver von Microsoft verwendet wird. (Informationen zu Symboldateien und zum Microsoft-Symbolserver finden Sie in der Dokumentation zu Debugging Tools for Windows.)
HINWEIS: Der Microsoft-Debugger wird melden, dass er keine Symbole für LIVEKDD.SYS finden kann. Dies ist zu erwarten, da ich keine Symbole für LIVEKDD.SYS zur Verfügung gestellt habe. Dies wirkt sich nicht auf das Verhalten des Debugger aus.
Gruß,
Peter
Hi,
also ich bin nicht fit in Forensik, das hier sollen meine ersten Schritte sein. Ich gehe davon aus das es ein externer Angriff auf das Firmennetzwerk war. Möglich ist aber auch das jemand einen infizierten usb stick an den Rechner gesteckt hat. Habe den Rechner dann vom Netz getrennt fand ich diesen Artikel http://www.heise.de/security/artikel/Tatort-Internet-Operation-am-offen .... Nun versuche ich nach und nach mich einzulesen und wollte diese Sachen dort erstmal versuchen, in der Hoffnung etwas zu finden. Ich dachte halt, das wenn er die Symbole doch runtergeladen hat, er nicht meckert wenn ich das callbackscript ausführe. Was kann ich denn nun machen um nachzuschauen was der dort vielleicht angerichtet hat?
0: kd> callback.wdbg
Wie lös ich das, damit er das script aufrufen kann!?
Gruß
Ben
also ich bin nicht fit in Forensik, das hier sollen meine ersten Schritte sein. Ich gehe davon aus das es ein externer Angriff auf das Firmennetzwerk war. Möglich ist aber auch das jemand einen infizierten usb stick an den Rechner gesteckt hat. Habe den Rechner dann vom Netz getrennt fand ich diesen Artikel http://www.heise.de/security/artikel/Tatort-Internet-Operation-am-offen .... Nun versuche ich nach und nach mich einzulesen und wollte diese Sachen dort erstmal versuchen, in der Hoffnung etwas zu finden. Ich dachte halt, das wenn er die Symbole doch runtergeladen hat, er nicht meckert wenn ich das callbackscript ausführe. Was kann ich denn nun machen um nachzuschauen was der dort vielleicht angerichtet hat?
0: kd> callback.wdbg
- ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Wie lös ich das, damit er das script aufrufen kann!?
Gruß
Ben
Hallo,
Gruß,
Peter
Zitat von @BahamutXII:
also ich bin nicht fit in Forensik, das hier sollen meine ersten Schritte sein.
Also wenn es an den Symbolen schon scheitert ... Sorry. Und dann sofort zu versuchen einen RootKit auf die schliche zu kommen? Bist du Software Ingenieur mit umfassende Kenntnisse in den Windows Kernel und seine Dateien? Langjährige Erfahrung mit Reverseengineering und das Hexadezimale Zahlensystem und Assembler sind deine Zweite und dritte Sprache?also ich bin nicht fit in Forensik, das hier sollen meine ersten Schritte sein.
Ich gehe davon aus das es ein externer Angriff auf das Firmennetzwerk war.
Also du hast keine Ahnung wie dein angenommener Angriff stattgefunden hat.Möglich ist aber auch das jemand einen infizierten usb stick an den Rechner gesteckt hat.
Eine der vielen Möglichkeiten. Im Firmennetz mit seinen freigabe usw. gibt es da noch mehr. Und CD/DVD hat der rechner nicht?Habe den Rechner dann vom Netz getrennt
Was hat der Hacker den getan? Was sind die Auswirkungen des Hackers? Wie hast du oder dein Chef gemerkt das hier ein unbekannter Hacker am Werk war und auf diesen Rechner noch etwas hinterlassen hat? Was wurde an diesem rechner denn vor dem Angriff des Hackers getan? Was sagt das Firewall Protokoll? Was sagt der Proxy?fand ich diesen Artikel http://www.heise.de/security/artikel/Tatort-Internet-Operation-am-offen ....
Das ist mit ein paar Worten eine nette Geschichte. Das Wissen dahinter wie es tatsächlich gemacht wird, ist immens.Nun versuche ich nach und nach mich einzulesen und wollte diese Sachen dort erstmal versuchen, in der Hoffnung etwas zu finden.
Ich glaube nicht das dein Wissen auch nur annähernd dazu reicht hier etwas zu finden. Sorry.Ich dachte halt, das wenn er die Symbole doch runtergeladen hat, er nicht meckert wenn ich das callbackscript ausführe.
Na ja. Etwas aus dem internet herunterzuladen ist ja nicht alles, oder? Was hast du an welches System denn nun genau getan?nachzuschauen was der dort vielleicht angerichtet hat?
Du meinst den unbekannten Hacker, oder? Oder ist es doch ein trojaner oder ein Virus oder nur eine PUA?Wie lös ich das, damit er das script aufrufen kann!?
Werde mir mal deinetwegen ein Virtuelles Windows (Es betrifft doch ein Windows oder?) aufsetzen um es für dich zu testen was dein Fehler istGruß,
Peter
Hi,
also es ist ein Windows 7 x64 und ja das Ding hat zwar ein CD Laufwerk aber ich schließe das mal aus. Auf der Firewall konnte ich im Protokoll leider nichts ungewöhnliches entdecken, musste aber auch erfahren das kaum etwas protokolliert wird, daher konnte ich mit den Logfiles nichts anfangen.
Auswirkungen:
Er hinterliess eine Textdatei so nach dem Motto schau ich komme in dein System. Ich habe command.bat Files gefunden an Orten wo sie garnichts verloren haben, z.b. im Bilderordner. Ausserdem crashte einer der Xen Server darum vermute ich das er weitergekommen ist als nur auf diesen Rechner.
Vor dem Angriff wurden Virtuelle Maschinen aufgesetzt.
Und ja ich hab in diesem Bereich noch keinerlei Erfahrung, dessen bin ich mir bewusst.
Danke für dein Engagement
Grüße
Ben
also es ist ein Windows 7 x64 und ja das Ding hat zwar ein CD Laufwerk aber ich schließe das mal aus. Auf der Firewall konnte ich im Protokoll leider nichts ungewöhnliches entdecken, musste aber auch erfahren das kaum etwas protokolliert wird, daher konnte ich mit den Logfiles nichts anfangen.
Auswirkungen:
Er hinterliess eine Textdatei so nach dem Motto schau ich komme in dein System. Ich habe command.bat Files gefunden an Orten wo sie garnichts verloren haben, z.b. im Bilderordner. Ausserdem crashte einer der Xen Server darum vermute ich das er weitergekommen ist als nur auf diesen Rechner.
Vor dem Angriff wurden Virtuelle Maschinen aufgesetzt.
Und ja ich hab in diesem Bereich noch keinerlei Erfahrung, dessen bin ich mir bewusst.
Danke für dein Engagement
Grüße
Ben
