Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

BASIC, C und C++, Assembler, Batch & Shell, Bibliotheken & Toolkits, CSS, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio, Webentwicklung, XML

Hardware

Benchmarks, Cluster, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, LAN, WAN, Wireless, Multimedia & Zubehör, Notebook & Zubehör, Router & Routing, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, Hyper-V, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, Visual Studio, Windows 7, Windows 8, Windows 10, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Administrator.de Feedback, Humor (lol), Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum

Zusammenarbeit

Suche Projektpartner
Weniger Werbung?
Cover IT-Administrator
Sie ist aufwendig, kostet Geld und bringt in der Regel keinen unmittelbar sichtbaren Nutzen: Die Client-Security. Dabei ist das richtige Absichern von Rechnern für Unternehmen wichtiger denn je, nehmen doch zielgerichtete Angriffe auf Firmen immer weiter zu. Im Oktober dreht sich im IT-Administrator alles rund um den Schwerpunkt 'Client-Sicherheit & Management'. Darin erfahren Sie unter anderem, wie Sie dank Dateisystemverschlüsselung vertrauliche Daten schützen und mit ... mehr
Mitglied: BahamutXII
01.04.2012, aktualisiert 18:26 Uhr, 2739 Aufrufe, 6 Kommentare

WinDebugger läd modul nicht wegen fehlender Symbole

Ich versuche einen Rechner der von einem Hacker angegriffen wurde zu analyzieren. Leider lädt der Debugger aber die entsprechenden Symbole nicht.:

Hier die Fehlermeldung:

0: kd> callback.wdbg
* ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Couldn't resolve error at 'allback.wdbg

===========================================================================================================================================================================================
Also reingeguckt:

0: kd> !analyze -v
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\oca.ini, error 2
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\winxp\triage.ini, error 2
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\user.ini, error


*
  • *
  • Bugcheck Analysis *
  • *
*

Unknown bugcheck code (0)
Unknown bugcheck description
Arguments:
Arg1: 0000000000000000
Arg2: 0000000000000000
Arg3: 0000000000000000
Arg4: 0000000000000000

Debugging Details:
------------------

TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\modclass.ini, error 2
* ERROR: Symbol file could not be found. Defaulted to export symbols for kernel32.dll -

PROCESS_NAME: windbg.exe

FAULTING_IP:
LiveKdD+218e
fffff880`07deb18e 4d8b5c2440 mov r11,qword ptr [r12+40h]

EXCEPTION_RECORD: ffffffffffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: fffff88007deb18e (LiveKdD+0x000000000000218e)
ExceptionCode: 80000003 (Break instruction exception)
ExceptionFlags: 00000001
NumberParameters: 0

ERROR_CODE: (NTSTATUS) 0x80000003 - {AUSNAHME} Haltepunkt Im Quellprogramm wurde ein Haltepunkt erreicht.

EXCEPTION_CODE: (HRESULT) 0x80000003 (2147483651) - Mindestens ein Argument ist ung ltig.

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT

BUGCHECK_STR: 0x0

CURRENT_IRQL: 0

LAST_CONTROL_TRANSFER: from 0000000000000000 to fffff88007deb0ad

STACK_TEXT:
fffff880`09ff3730 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : LiveKdD+0x20ad


STACK_COMMAND: .bugcheck ; kb

FOLLOWUP_IP:
LiveKdD+218e
fffff880`07deb18e 4d8b5c2440 mov r11,qword ptr [r12+40h]

SYMBOL_NAME: LiveKdD+218e

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: LiveKdD

IMAGE_NAME: LiveKdD.SYS

DEBUG_FLR_IMAGE_TIMESTAMP: 4f1490a7

FAILURE_BUCKET_ID: X64_0x0_LiveKdD+218e

BUCKET_ID: X64_0x0_LiveKdD+218e

Followup: MachineOwner
---------
==========================================================================================================================================================================================

Hat jemand eine Idee wie man das lösen könnte? Würde mich sehr über kompetente Hilfe freuen, bin noch neu in der Materie.

Viele Grüße
B.
Mitglied: Pjordorf
01.04.2012 um 19:00 Uhr
Hallo,

Zitat von BahamutXII:
ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Die debuggíng symbols müssen seperat zum existierende OS heruntergeladen und Installiert werden.

ERROR: Symbol file could not be found. Defaulted to export symbols for kernel32.dll -
Hier auch wieder der Hinweis .

Aber da dein System ja schon durch einen Fremdzugriff (Hacker) Infiziert ist, ist ein aufspielen von Software zum Debuggen wohl nicht der richtige weg. Wenn der Hacker sein geschäft versteht wirst du nichts finden, zumindest nicht mit einem Debugger. Da gibt es nur eins. Das OS neu zu Installieren. Alles andere ist verschwendete Zeit. Wenn du den (einfachen) Hacker und seinen Weg gefunden hast ist doch ein abschalten seines Zugangs zu deinem Rechner schon erfolgreich um den (einfachen) Hacker von deinem PC Fernzuhalten. Hat der (einfache )Hacker aber auch noch Trojaner und oder Viren mit ins Spiel gebracht dann ... Mach den Rechner neu. Würde ich auf jeden Fall alleine um ruhig Schlafen zu können.

Und bei http://technet.microsoft.com/de-de/sysinternals/bb897415 steht auch das hier keine Symbole zum Debugger mitinstalliert sind. Versuchst du per LiveCD (WinPE und LiveKd?) einen Hacker zu enttarnen?

Gruß,
Peter
Bitte warten ..
Mitglied: BahamutXII
01.04.2012 um 19:30 Uhr
Hi,

es handelt sich hierbei um einen Firmenrechner und ich muss herausfinden was der Typ im System gemacht hat um eventuelle Sicherheitslöcher zu stopfen. Wenn ich das System einfach lösche kann ich nicht herausfinden ober Schaden angerichtet hat. Darum ist eine Analyse sehr wichtig. Aber ohne einen funktionierenden Debugger geht das nicht. Und die Symbole sind heruntergeladen das Ergebnis siehst du oben. Aus irgendeinem Grund fehlt ihm genau das Symbol was ich brauche. Ich versuche es mit Livekd.

Gruß
Ben
Bitte warten ..
Mitglied: Pjordorf
01.04.2012 um 20:08 Uhr
Hallo,

Zitat von BahamutXII:
es handelt sich hierbei um einen Firmenrechner und ich muss herausfinden was der Typ im System gemacht hat
also Computerforensik. Du bist fit darin? Hast du wenigsten die Platte vorher eins zu eins also Abbild kopiert / gespeigelt oder so? Denn jedes starten von dieser Platte ändert (evtl. auch die spuren deines Hackers). Aber es handelt sich doch hier bestimmt nicht um einen von aussen geführten Angriff auf einen Firmenrechner, oder?

Aber ohne einen funktionierenden Debugger geht das nicht.
Der Debugger funktioniert auch ohne Debuggung Symbols.

Und die Symbole sind heruntergeladen das Ergebnis siehst du oben.
Wenn du wie ich vermute die Tools von Sysinternals wie schon von mir als Link oben angegeben verwendest, wirst du keine Symbole aufgelöst bekommen. Das ändert aber nichts an der Aussage und an der funktion des debuggers.

Ich versuche es mit Livekd.
Also brauche ich nicht weiter zu Vermuten womit de es versuchst. Ob allerdings die Symbole auf deinem Lokalen System oder auf dem Zielsystem sein müssen entzieht sich hier meiner Kenntniss. Ich habe diese immer nur Lokal verwendet. http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx und auch das hier
Wenn Sie keine Symbole für das System installiert haben, auf dem LiveKd ausgeführt wird, werden Sie von LiveKd gefragt, ob Sie das System automatisch so konfigurieren möchten, dass der Symbolserver von Microsoft verwendet wird. (Informationen zu Symboldateien und zum Microsoft-Symbolserver finden Sie in der Dokumentation zu Debugging Tools for Windows.) 
 
HINWEIS: Der Microsoft-Debugger wird melden, dass er keine Symbole für LIVEKDD.SYS finden kann. Dies ist zu erwarten, da ich keine Symbole für LIVEKDD.SYS zur Verfügung gestellt habe. Dies wirkt sich nicht auf das Verhalten des Debugger aus.

Gruß,
Peter
Bitte warten ..
Mitglied: BahamutXII
01.04.2012 um 20:34 Uhr
Hi,

also ich bin nicht fit in Forensik, das hier sollen meine ersten Schritte sein. Ich gehe davon aus das es ein externer Angriff auf das Firmennetzwerk war. Möglich ist aber auch das jemand einen infizierten usb stick an den Rechner gesteckt hat. Habe den Rechner dann vom Netz getrennt fand ich diesen Artikel http://www.heise.de/security/artikel/Tatort-Internet-Operation-am-offen .... Nun versuche ich nach und nach mich einzulesen und wollte diese Sachen dort erstmal versuchen, in der Hoffnung etwas zu finden. Ich dachte halt, das wenn er die Symbole doch runtergeladen hat, er nicht meckert wenn ich das callbackscript ausführe. Was kann ich denn nun machen um nachzuschauen was der dort vielleicht angerichtet hat?

0: kd> callback.wdbg
  • ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Couldn't resolve error at 'allback.wdbg

Wie lös ich das, damit er das script aufrufen kann!?

Gruß
Ben
Bitte warten ..
Mitglied: Pjordorf
01.04.2012 um 22:06 Uhr
Hallo,

Zitat von BahamutXII:
also ich bin nicht fit in Forensik, das hier sollen meine ersten Schritte sein.
Also wenn es an den Symbolen schon scheitert ... Sorry. Und dann sofort zu versuchen einen RootKit auf die schliche zu kommen? Bist du Software Ingenieur mit umfassende Kenntnisse in den Windows Kernel und seine Dateien? Langjährige Erfahrung mit Reverseengineering und das Hexadezimale Zahlensystem und Assembler sind deine Zweite und dritte Sprache?

Ich gehe davon aus das es ein externer Angriff auf das Firmennetzwerk war.
Also du hast keine Ahnung wie dein angenommener Angriff stattgefunden hat.

Möglich ist aber auch das jemand einen infizierten usb stick an den Rechner gesteckt hat.
Eine der vielen Möglichkeiten. Im Firmennetz mit seinen freigabe usw. gibt es da noch mehr. Und CD/DVD hat der rechner nicht?

Habe den Rechner dann vom Netz getrennt
Was hat der Hacker den getan? Was sind die Auswirkungen des Hackers? Wie hast du oder dein Chef gemerkt das hier ein unbekannter Hacker am Werk war und auf diesen Rechner noch etwas hinterlassen hat? Was wurde an diesem rechner denn vor dem Angriff des Hackers getan? Was sagt das Firewall Protokoll? Was sagt der Proxy?

Das ist mit ein paar Worten eine nette Geschichte. Das Wissen dahinter wie es tatsächlich gemacht wird, ist immens.

Nun versuche ich nach und nach mich einzulesen und wollte diese Sachen dort erstmal versuchen, in der Hoffnung etwas zu finden.
Ich glaube nicht das dein Wissen auch nur annähernd dazu reicht hier etwas zu finden. Sorry.

Ich dachte halt, das wenn er die Symbole doch runtergeladen hat, er nicht meckert wenn ich das callbackscript ausführe.
Na ja. Etwas aus dem internet herunterzuladen ist ja nicht alles, oder? Was hast du an welches System denn nun genau getan?

nachzuschauen was der dort vielleicht angerichtet hat?
Du meinst den unbekannten Hacker, oder? Oder ist es doch ein trojaner oder ein Virus oder nur eine PUA?

Wie lös ich das, damit er das script aufrufen kann!?
Werde mir mal deinetwegen ein Virtuelles Windows (Es betrifft doch ein Windows oder?) aufsetzen um es für dich zu testen was dein Fehler istface-smile

Gruß,
Peter
Bitte warten ..
Mitglied: BahamutXII
01.04.2012 um 23:04 Uhr
Hi,

also es ist ein Windows 7 x64 und ja das Ding hat zwar ein CD Laufwerk aber ich schließe das mal aus. Auf der Firewall konnte ich im Protokoll leider nichts ungewöhnliches entdecken, musste aber auch erfahren das kaum etwas protokolliert wird, daher konnte ich mit den Logfiles nichts anfangen.

Auswirkungen:

Er hinterliess eine Textdatei so nach dem Motto schau ich komme in dein System. Ich habe command.bat Files gefunden an Orten wo sie garnichts verloren haben, z.b. im Bilderordner. Ausserdem crashte einer der Xen Server darum vermute ich das er weitergekommen ist als nur auf diesen Rechner.

Vor dem Angriff wurden Virtuelle Maschinen aufgesetzt.

Und ja ich hab in diesem Bereich noch keinerlei Erfahrung, dessen bin ich mir bewusst.

Danke für dein Engagement face-smile

Grüße
Ben
Bitte warten ..
Neuester Wissensbeitrag
RedHat, CentOS, Fedora
Tipp: Seit Fedora 20 und auch Redhat (bald auch Fedora Server 21 (freu)) den "firewalld" Daemon statt direkt "iptables" für seine Firewall nutzt, ist es nicht mehr so leicht ... von Frank, in RedHat, CentOS, Fedora
Diese Inhalte könnten dich auch interessieren
E-Mail
Link: Das finde ich doch mal für eine sinnvolle Aktion. ... von wiesi200, in E-Mail
CMS
Frage: Hallo Forum, ich habe mir auf meiner Drupal Plattform das Modul "Views Accordion" installliert und möchte damit nur bestimmte Einträge/Artikel in dieser Accordion Ansicht darstellen. Im Internet gibt ... von gamer23, in CMS
Tools & Utilities
Frage: Hallo Zusammen Habe Probleme bei der Installation des OTRS Helpdesk System auf einem Windows 8 64Bit Computer. Es geht um folgendes: Gemäss Installationsanleitung, muss das Oracle Modul manuell ... von Shaby, in Tools & Utilities
CMS
Frage: Hallo Ich habe ein Problem mit meiner Drupal Seite. Eigentlich wollte ich nur eine sitemap.xml für unsere Hompage erstellen aber nach erfolgreicher installation und aktivierung des xml sitemap ... von stevefu, in CMS
Sicherheit
Link: Sicherheitslücke in Apache 2.x. Diese betrifft nur User die das Modul mod_status aktiviert haben. Patches sind bereits verfügbar Grüße colinardo ... von colinardo, in Sicherheit
Heiß diskutierte Inhalte
Cluster
Frage: Hallo liebe Leute!! ich bin neu hier im Forum und möchte zunächst einmal ein paar Worte zu meiner Person sagen. Ich administriere die große kleine Server Farm eines ... von SweetOne, in Cluster
Internet
Frage: Nabend Zusammen, folgendes Szenario: Es bestehen 5 Rechner. Diese 5 Rechner haben derzeit vollen Zugang zum LAN und Internet. Das soll nun geändert werden. Die Idee war noch ... von Xaero1982, in Internet
Backup
Frage: Guten Morgen an alle, ich möchte eine Sicherung für einen CAD-Server (Windows 7/8 - 64 bit) und einen Prüf/Mess-PC (Windows 7-32 bit)einrichten. Unter beiden läuft ein SQL-Server. Bei ... von andyw5, in Backup
Office
Frage: Hallo Leute. Brauch dringende eure Unterstützung. Bin seit kurzem Makro-Anwender und hab mir seit dem alles aus dem Internet heraus gesucht was ich benötige. Bin au ziemlich weit ... von Aeschli, in Office
Exchange Server
Frage: Hallo an alle Profis, ich habe da mal eine Frage. Da ich bis dato eigentlich immer nur die SBS 2011 (und die Vorgänger) installiert habe, würde ich gerne ... von langsoft, in Exchange Server