Analýza výpisu paměti a jádra v systémech Windows a Unix

Informatec Digital » Zdroje » Analýza výpisu paměti a jádra v systémech Windows a Unix

Když operační systém zpanikaří nebo se dramaticky zhroutí, jediný způsob, jak pochopit, co se stalo, je... výpis paměti jádra a následná analýzaTyto výpisy zachycují vnitřní stav systému v okamžiku selhání a slouží jako výchozí materiál pro ladění složitých chyb, vyšetřování bezpečnostních incidentů nebo provádění forenzních zkoumání.

I když to může znít velmi „nízkoúrovňově“, analýza výpisu paměti není výhradní záležitostí vývojářů jádra. Systémoví administrátoři, technici podpory a dokonce i bezpečnostní auditoři z ní mohou těžit, pokud znají základy. vhodné nástroje, typy výpisů a základní interpretační technikyCelou tuto cestu probereme ve Windows, Unixu/Linuxu a BSD s využitím nástrojů jako WinDbg, crash, kgdb a LiME.

Co je to výpis paměti jádra a proč se vyplatí ho analyzovat?

Výpis paměti jádra (často nazývaný Výpis jádra nebo jednoduše výpis jádra) je soubor, který obsahuje kopii, úplnou nebo částečnou, paměti v okamžiku, kdy systém utrpí kritickou chybu, například panika panny v Unixu/Linuxu nebo modrá obrazovka smrti (BSOD) ve Windows.

V praxi tento typ výpisu šetří vnitřní struktury jádra, zásobníky volání, kontext procesu a načtené ovladačeDíky tomu lze po katastrofě provést „post mortem“ analýzu, velmi podobnou ladění živého systému, ale bez tlaku na to, že se musíte dotýkat produkčního stroje, když selhává.

Důvody pro hluboké zkoumání jaderných výpisů jsou různé: od ladit zdánlivě náhodné chyby a občasné pády...dokonce i vyšetřování, zda byl systém zneužit nebo zda havárie mohla zanechat na disku stopy citlivých informací.

Kromě úplných výpisů jádra existuje možnost extrahovat výpisy jednotlivých procesů (klasický základní výpisy), které jsou velmi užitečné, když chceme omezit problém na konkrétní aplikaci nebo přezkoumat dopad na důvěrnost služby jako e-mailový nebo zasílací klient.

Typy výpisů paměti ve Windows a jejich užitečnost

V systémech Windows může samotný operační systém generovat různé typy výpisů, když dojde k chybě STOP. Každý typ má jinou úroveň detailů, takže je důležité vědět, které z nich použít. Jaký typ výpisu potřebujeme na základě problému a omezení místa na disku?.

Jedním z nejběžnějších formátů v uživatelských prostředích a na mnoha serverech je malý výpis paměti (minidump)Je to ten, který zabírá nejméně místa a obvykle se nachází v %SystemRoot%\Minidump, se soubory ve stylu MiniMMDDYY-01.dmp.

Tento mini dump obsahuje velmi specifické, ale důležité informace: Kód chyby STOP a jeho parametry, seznam ovladačů načtených v době selhání, kontext procesoru, který se zastavil (PRCB), kontexty zapojeného procesu a vlákna (struktury EPROCESS a ETHREAD) a zásobník volání režimu jádra daného vlákna.

Díky těmto základním strukturám je i s minidumpem často možné identifikovat, který ovladač nebo modul způsobuje pády, i když nebude vždy možné vysledovat celý problém, pokud má původ daleko od vlákna, které běželo v době pádu. Dostupné kontextové informace jsou omezené.

Systém Windows může také generovat výpisy paměti jádra a mnohem větší plné výpisy, které obsahují části nebo celou fyzickou paměť. Ty jsou obzvláště užitečné v nízkoúrovňová analýza, forenzní vyšetřování a pokročilé ladění ovladačů nebo samotného systému.

Konfigurace a otevření výpisů paměti ve Windows pomocí WinDbg a KD

Abyste mohli ve Windows využívat výpisy, je nejprve nutné správně nakonfigurovat jejich možnosti. spuštění a obnoveníV Ovládacích panelech v pokročilých vlastnostech systému si můžete vybrat typ výpisu paměti, který chcete generovat v případě selhání: například „Malý výpis paměti (256 KB)“ a cestu, kam bude uložen.

Systém také potřebuje stránkovací soubor na bootovacím svazku o velikosti alespoň několika megabajtů aby se zapsal výpis. V moderních verzích systému Windows každý pád vytvoří nový soubor a v nakonfigurované složce se uchovává historie, což umožňuje snadnou kontrolu minulých incidentů.

Po vygenerování existuje několik způsobů, jak ověřit správnost výpisů. Jedním z klasických nástrojů je Soubor Dumpchk.execož umožňuje zkontrolovat základní integritu souboru a vytisknout souhrnné informace. Pro pokročilejší analýzu se používají následující: Ladicí nástroje pro Windows, mezi které patří WinDbg (grafické rozhraní) a KD (verze pro příkazový řádek).

Po instalaci ladicího balíčku z webu společnosti Microsoft se nástroje obvykle nacházejí ve složce, jako je C:\Program Files\Ladicí nástroje pro WindowsOdtud můžeme otevřít příkazový řádek a načíst výpis pomocí WinDbg nebo KD s parametrem -z pro určení souboru:

windbg -y <RutaSimbolos> -i <RutaBinarios> -z <RutaDump>

Cesta k symbolu může ukazovat na symbolový server s lokální mezipamětí, například:

srv*C:\Symbols*https://msdl.microsoft.com/download/symbols

Zatímco binární cesta je obvykle něco jako C:\Windows\I386 nebo složku, kam jsme zkopírovali spustitelné soubory systému odpovídající verzi, která vygenerovala výpis. To je důležité, protože Minidumpy neobsahují všechny binární soubory, pouze odkazy na ně, takže je ladicí program musí být schopen najít.

Základní analýza výpisu stavu jádra ve Windows

Jakmile je výpis nahraný pomocí WinDbg nebo KD, je analýza výpisu jádra po havárii docela podobná ladění po jádru. První příkaz, který spustí téměř každý, je !analyzovat, který spustí automatickou analýzu a vygeneruje úvodní zprávu.

Příkaz !analyze -show ukazuje kód pro kontrolu chyb a jeho parametryZatímco !analyze -v Vytváří mnohem podrobnější výstup: podezřelý modul, zásobník volání, kontextové informace a v mnoha případech i návrhy možných příčin nebo diagnostických kroků.

Pro doplnění této analýzy příkaz .kontrola chyb Znovu vytiskne chybový kód a související parametry, které lze poté porovnat s referenční kód pro kontrolu chyb od společnosti Microsoft, kde se dozvíte přesný význam každé hodnoty a typické příčiny.

Příkaz lm N T (seznam modulů) vám umožňuje zobrazit Seznam načtených modulů s jejich cestou, adresami a stavemTo pomáhá ověřit, zda se ovladač identifikovaný automatickou analýzou skutečně nachází v paměti a jakou verzi má. Tento seznam je obzvláště užitečný, když máme podezření na ovladače nebo bezpečnostní komponenty třetích stran, které interagují s jádrem.

V případě potřeby můžeme zjednodušit proces nakládání skládky vytvořením dávkový soubor Obdrží cestu k výpisu a spustí KD nebo WinDbg s příslušnými parametry. Tímto způsobem stačí napsat pouze krátký příkaz, který obsahuje umístění souboru, a skript se postará o vše ostatní.

Použití WinDbg pro hluboké výpisy jádra

Pro výpisy paměti v režimu jádra nabízí WinDbg také možnost práce s více soubory a relacemi. Výpisy lze otevřít z příkazového řádku pomocí -znebo z grafického rozhraní pomocí nabídky Soubor > Otevřít výpis paměti nebo klávesové zkratky Ctrl + D.

Pokud je WinDbg již otevřen v pasivním režimu, jednoduše vyberte soubor v dialogovém okně „Otevřít výpis stavu havárie“, zadejte cestu nebo procházejte disk. Po načtení můžeme spustit relaci příkazem g (Jdi) v určitých scénářích nebo přímo spustit první analytické příkazy.

Kromě klasických !analyzeJe vhodné seznámit se s sekce s referenčními informacemi o příkazech ladicího programuZde jsou popsány všechny dostupné příkazy pro čtení vnitřních struktur, zkoumání paměti, interpretaci zásobníků a mnoho dalšího. Mnoho z těchto technik je použitelných jak pro živé relace, tak pro offline výpisy.

WinDbg vám také umožňuje pracovat s více paralelních výpisůNa příkazovém řádku můžeme přidat více parametrů -z, každý následovaný jiným názvem souboru, nebo přidat nové cíle pomocí příkazu .opendumpLadění více cílů je užitečné pro porovnávání opakujících se selhání nebo zřetězených incidentů.

V některých prostředích jsou výpisy paměti zabaleny do souborů CAB, aby se ušetřilo místo nebo usnadnil přenos. WinDbg může přímo otevřít .cab s výpisem uvnitř, a to jak s použitím -z, tak s .opendumpi když bude číst Rozbalí pouze jeden z uložených souborů a nerozbalí ostatní soubory. to by mohlo jít do stejného balíčku.

Výpisy chyb v Unixu a Linuxu: utilita, nástroje a požadavky

V systémech Unix a GNU/Linux je filozofie podobná, ale ekosystém nástrojů se značně liší. Většina unixových jader nabízí možnost uložit kopii paměti, když dojde ke katastrofické události, co známe jako výpis jádra nebo výpis jádra.

Ačkoli jejich primárním využitím zůstává vývoj jádra a ovladačů, tyto výpisy mají jasný bezpečnostní aspekt. Pád systému může být způsoben... programátorské chyby, ale i škodlivé akce neúspěšné pokusy o manipulaci se systémovými komponentami nebo neobratné zneužití podmínek závodění.

V dobře nakonfigurovaném unixovém systému nejsou denní pády běžné, ale když k nim dojde, je moudré mít záložní plán. infrastruktura pro ukládání dat, jako je Kdump, LKCD nebo jiná řešení které umožňují zachycení systémové paměti. Je však nutné zvážit jak diagnostickou hodnotu výpisu, tak riziko, že obsahuje vysoce citlivá data.

Jedním z nejkompletnějších a nejrozšířenějších nástrojů pro tento typ analýzy v Linuxu je pádTento nástroj, původně vyvinutý společností Red Hat, se stal de facto standardem pro zkoumání výpisů jádra a analýzu běžících systémů.

Havárie může ovlivnit živou paměť systému prostřednictvím /dev/mem nebo v Red Hatu a odvozených distribucích s použitím specifického zařízení /dev/crashPřesto je běžnou praxí dodávat nástroji soubor s výpisem generovaný mechanismy, jako je Kdump, soubor s výpisem z paměti, Výpis disku nebo architektonicky specifické výpisy jako s390/s390x nebo xendump ve virtualizovaných prostředích.

Role crash a důležitost vmlinuxu v Linuxu

Nástroj pro crash byl částečně vytvořen proto, aby překonal omezení používání gdb přímo na /proc/kcoreMimo jiné může být přístup k tomuto pseudoobrazu paměti omezen a navíc některé možnosti kompilace jádra ztěžují správnou interpretaci vnitřních struktur, pokud máme k dispozici pouze komprimovaný spustitelný binární soubor.

Pro správné fungování havárie jsou nezbytné dva klíčové prvky: Soubor vmlinux zkompilovaný s ladicími symboly (obvykle s parametry jako -g) a samotným výpisem jádra. Tato kombinace umožňuje nástroji mapovat paměťové adresy na funkce, struktury a řádky kódu.

Je důležité rozlišovat mezi vmlinux a vmlinuzNa většině systémů je viditelný pouze vmlinux, což je komprimovaná, bootovací verze jádra. Pád vyžaduje symbolicky dekomprimovaný vmlinux; bez něj se při pokusu o načtení výpisu nebo /dev/mem Setkáme se s chybami typu Nelze najít spuštěné jádro – zadejte prosím argument seznamu názvů.

I když je možné vmlinuz dekomprimovat ručně, tento proces není vždy triviální a v praxi je obvykle mnohem pohodlnější. Zkompilujte jádro, abyste získali vmlinux i vmlinuz. paralelně. V seriózních administrátorských prostředích je dobrým zvykem udržovat vmlinux odpovídající každé verzi jádra nasazené právě pro tyto případy.

Jakmile jsou splněny požadavky, je sesunutí výpisu relativně jednoduché: zadáte příslušný vmlinux a soubor s výpisem a nástroj otevře interaktivní relaci, ze které můžete procházet struktury jádra, vypisovat procesy, zobrazovat zásobníky volání a extrahovat forenzní informaceTi, kteří se chtějí ponořit hlouběji, mohou nahlédnout do specializované dokumentace, jako je například známý dokument o technických haváriích.

Omezení /dev/mem a první přístupy v Linuxu

Než se uchýlili ke konkrétním nástrojům, mnoho administrátorů se historicky snažilo získat výpis paměti. čtení přímo ze zařízení /dev/memTento přístup se zdál jednoduchý: použít nástroj jako výpis paměti (který vypíše dané zařízení do STDOUT) nebo z něj stáhne dd if=/dev/mem of=volcado.mem.

Moderní jádra však nabízejí možnosti kompilace, jako například CONFIG_STRICT_DEVMEMkteré výrazně omezují přístup z uživatelského prostoru k /dev/memTypickým výsledkem je, že čtení je po malém bloku (např. 1 MB) přerušeno, nebo v nejhorším případě může chyba v této interakci skončit... panika panny okamžitý a restart stroje.

Tato ochrana dává z bezpečnostního hlediska dokonalý smysl, ale nutí nás hledat Další způsoby, jak získat spolehlivý a úplný výpis aniž by se museli spoléhat výhradně na generická zařízení, která již nejsou tak dostupná jako dříve.

Současným trendem je proto spoléhat se na specifické moduly nebo integrované infrastruktury pro výpisy chyb, místo aby se jednoduše snažili „pročistit paměť“ pomocí nástrojů uživatelského prostoru, které nejsou navrženy pro koexistenci s moderními zásadami ochrany jádra.

LiME Forensics: Extrakce paměti v Linuxu a Androidu

Velmi silnou alternativou ve světě forenzní vědy je LiME (Linuxový extraktor paměti)LiME je modul jádra navržený speciálně pro kontrolované zachycení volatilní paměti bez omezení, která ovlivňují /dev/mem. LiME běží v prostoru jádra, takže může mnohem přímočařeji přistupovat k paměti RAM.

LiME je distribuován se zdrojovým kódem a kompiluje se s ním. používané hlavičky jádraProces kompilace generuje modul .ko specifické pro verzi jádra, do které bude načten. Po kompilaci jej můžeme ověřit pomocí nástrojů, jako je file abychom zajistili, že modul ELF odpovídající naší architektuře byl správně vygenerován.

Pro použití LiME jednoduše načtěte modul pomocí insmod z kořenového adresáře a předat mu příslušné možnosti, například zadáním cíl síťového výpisu pomocí TCP a RAW formátu:

insmod lime-3.x.y.ko "path=tcp:4444 format=raw"

Souběžně na počítači, který bude přijímat výpis, posloucháme nakonfigurovaný port pomocí nástroje, jako je ncpřesměrování výstupu do souboru:

nc <IP_origen> 4444 > volcado.mem

Po několika minutách, v závislosti na množství paměti RAM a výkonu sítě, budeme mít soubor, jehož velikost odpovídá fyzické paměti zdrojového systému. Jedná se o kompletní výpis RAM, který můžeme analyzovat pomocí forenzních nástrojů nebo dokonce pomocí řetězců či jiných utilit jako první krok k nalezení zajímavých řetězců.

Výpisy procesů a rizika úniku dat

Úplný výpis jádra je extrémně informativní, ale může být také nadbytečný, pokud nás zajímá pouze konkrétní proces. V takovém případě dává velký smysl uchýlit se k... jednotlivé výpisy procesů pomocí nástrojů jako gcore v Unixu/Linuxu.

Tyto výpisy dat pro jednotlivé procesy jsou mnohem menší a lépe spravovatelné a umožňují vám zaměřit analýzu na konkrétní aplikace, jako je klient pro zasílání zpráv (například Skype) nebo e-mailový klient (například Thunderbird), kde je relativně snadné najít hesla v prostém textu, tokeny relace nebo kontaktní údaje pokud jsou prozkoumány paměťové řetězce.

Z vývojářského hlediska tyto výpisy základních dat pomáhají lokalizovat programovací chyby, úniky paměti nebo nekonzistentní stavy ve službě. Z bezpečnostního hlediska však problém nastává, když Výpisy jsou generovány pravidelně a ukládány na místech přístupných ostatním uživatelům.buď na samotném systému, nebo na sdílených síťových prostředcích.

Pokud uživatel naplánuje například úkol cron Pravidelným zachycováním výpisů citlivých procesů a jejich ukládáním do globálně čitelného adresáře útočník otevírá obrovské dveře k odhalení kritických informací. V mnoha scénářích auditu analýza těchto souborů umožňuje útočníkovi obnovit přihlašovací údaje, seznamy kontaktů, historie komunikace a další soukromá data s relativně malým úsilím.

Proto je při každém seriózním auditu unixového systému vhodné věnovat několik minut kontrole, zda se generují výpisy (úplné nebo částečné), kde se ukládají, jaká mají oprávnění a zda existují nějaká... automatizovaný proces, který ponechává kopie paměti přístupné neoprávněným uživatelům.

Postmortem analýza výpisů ve FreeBSD s kgdb

Ve světě BSD, a konkrétně ve FreeBSD, zahrnuje přístup k post-mortem analýze Povolit v systému výpisy chyb a nechat jádro zkompilované s ladicími symbolyToto se ovládá z konfiguračního adresáře jádra, obvykle v /usr/src/sys/<arq>/conf.

V odpovídajícím konfiguračním souboru lze generování symbolů povolit řádkem podobným tomuto:

makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols

Po úpravě konfigurace je nutné jádro znovu zkompilovat. Některé objekty budou regenerovány (například trap.o) kvůli změně v souborech sestavení. Cílem je získat jádro s stejný kód jako ten, který má problémy, ale s přidáním potřebných ladicích informacíJe vhodné porovnat staré a nové velikosti pomocí příkazu size aby se zajistilo, že v binárním souboru nedošlo k žádným neočekávaným změnám.

Jakmile je jádro nainstalováno pomocí symbolů, můžeme si prohlédnout výpisy pomocí kgdb jak je popsáno v oficiální dokumentaci. Ne všechny symboly mohou být úplné a některé funkce se mohou zobrazit bez čísel řádků nebo informací o argumentech, ale ve většině případů je úroveň detailů dostatečná k vysledování problému.

Neexistuje absolutní záruka, že analýza vyřeší všechny incidenty, ale v praxi... Tato strategie funguje docela dobře ve vysokém procentu scénářů.zvláště když jsou výpisy chybového stavu kombinovány s dobrým přehledem nedávných změn systému.

Nejlepší postupy pro analýzu a dokumentaci chyb jádra

Bez ohledu na operační systém analýza výpisu jádra obvykle vede k technická dokumentace, znalostní báze, specializovaná fóra nebo dokonce samotný zdrojový kód jádra interpretovat zprávy, chybové kódy a neznámé symboly.

V Linuxu je velmi užitečné spoléhat se na oficiální zdrojový kód, vestavěnou dokumentaci a komunitní zdroje. Mnoho chybových hlášení jádra lze vysledovat zpět k přesnému souboru, ze kterého pocházejí, což pomáhá pochopit problém. kontext, ve kterém je spuštěna funkce BUG() nebo WARN() odhodlaný.

V systému Windows poskytuje dokumentace společnosti Microsoft, její znalostní báze (KB) a technická fóra podrobné vysvětlení kódy pro kontrolu chyb, doporučení pro řešení a známé vzorce chybKombinací těchto informací se zprávami !analyze -v je možné vypracovat rozumný plán zmírnění dopadů.

Skutečná hodnota výpisu stavu havárie se ukáže, když jsou všechny tyto informace porovnány s solidní znalost operačního systému a konkrétního prostředí, kde k selhání došloPouze tímto způsobem lze navrhnout trvalá řešení a především zabránit tomu, aby se stejný problém v budoucnu opakoval s vážnějšími důsledky.

Analýza výpisu paměti jádra je v konečném důsledku směsicí vědy a řemesla: vyžaduje vhodné nástroje, předchozí konfiguraci (symboly, možnosti výpisu, bezpečné úložiště) a značné zkušenosti s čtením zásobníků, struktur a chybových kódů. Zvládnutí těchto technik vám umožní nejen ladit složité incidenty, ale také dramaticky zvýšit úroveň zabezpečení a odolnosti systémů, které spravujeme.