Atminties išklotinės ir branduolio analizė „Windows“ ir „Unix“ sistemose

Informatec Digital » Ištekliai » Atminties išklotinės ir branduolio analizė „Windows“ ir „Unix“ sistemose

Kai operacinė sistema puola į paniką arba netikėtai sugenda, vienintelis būdas suprasti, kas nutiko, yra... branduolio atminties išklotinė ir vėlesnė analizėŠie failai fiksuoja sistemos vidinę būseną gedimo metu ir yra žaliava sudėtingoms klaidoms derinti, saugumo incidentams tirti arba teismo ekspertizėms atlikti.

Nors tai gali skambėti labai „žemo lygio“ principu, atminties išklotinės analizė skirta ne tik branduolio kūrėjams. Sistemų administratoriai, palaikymo inžinieriai ir net saugumo auditoriai gali tuo pasinaudoti, jei žino pagrindus. tinkami įrankiai, išklotinių tipai ir pagrindiniai interpretavimo metodaiVisą šį kelią apžvelgsime „Windows“, „Unix“ / „Linux“ ir BSD sistemose, naudodami tokias priemones kaip „WinDbg“, „crash“, „kgdb“ ir „LiME“.

Kas yra branduolio atminties išklotinė ir kodėl verta ją analizuoti?

Branduolio atminties išklotinė (dažnai vadinama Branduolio gedimo išklotinė arba tiesiog gedimo išklotinė) yra failas, kuriame yra visa arba dalinė atminties kopija tuo metu, kai sistema patiria kritinį gedimą, pvz., branduolio panika „Unix“ / „Linux“ sistemoje arba mėlynas mirties ekranas (BSOD) sistemoje „Windows“.

Praktiškai tokio tipo sąvartynas taupo vidinės branduolio struktūros, iškvietimų stekai, proceso kontekstas ir įkeltos tvarkyklėsDėl to po nelaimės galima atlikti „post mortem“ analizę, labai panašiai kaip derinant veikiančią sistemą, tačiau be spaudimo liesti gedimo metu veikiančią mašiną.

Priežastys, dėl kurių reikia gilintis į branduolio išklotines, yra įvairios: nuo derinti, regis, atsitiktines klaidas ir protarpinius gedimus...netgi tiriant, ar sistema nebuvo piktavališkai manipuliuojama, ar gedimas galėjo palikti diske slaptos informacijos pėdsakų.

Be pilnų branduolio duomenų išklotinių, yra galimybė išgauti atskirų procesų duomenų išklotines (klasikinė pagrindinių duomenų išklotinės), kurie yra labai naudingi, kai to, ko norime, yra apriboti problemą iki konkrečios programos arba peržiūrėti poveikį paslaugos konfidencialumui kaip el. pašto ar susirašinėjimo programa.

Atminties išklotinių tipai sistemoje „Windows“ ir jų naudingumas

„Windows“ sistemose pati operacinė sistema gali generuoti skirtingų tipų išklotines, kai įvyksta STOP klaida. Kiekvienas tipas yra skirtingo detalumo lygio, todėl labai svarbu žinoti, kuriuos naudoti. Kokio tipo duomenų išklotinės mums reikia, atsižvelgiant į problemą ir disko vietos apribojimus?.

Vienas iš labiausiai paplitusių formatų vartotojų aplinkose ir daugelyje serverių yra maža atminties išklotinė (minidump)Jis užima mažiausiai vietos ir paprastai yra %SystemRoot%\Minidump, su stiliaus failais MiniMMDDYY-01.dmp.

Šiame mini sąvartyne yra labai specifinės, bet svarbios informacijos: STOP klaidos kodas ir jo parametrai, tvarkyklių, įkeltų gedimo metu, sąrašas, sustojusio procesoriaus kontekstas (PRCB), susijusio proceso ir gijos kontekstai (EPROCESS ir ETHREAD struktūros) ir to gijos branduolio režimo iškvietimų stekas.

Dėl šių pagrindinių struktūrų net ir naudojant miniduomenų išklotinę dažnai galima nustatyti, kuris tvarkyklės modulis sukelia gedimus, nors ne visada įmanoma atsekti visos problemos, jei ji kyla toli nuo gijos, kuri veikė gedimo metu. Prieinama kontekstinė informacija yra ribota.

„Windows“ taip pat gali generuoti branduolio atminties išklotines ir daug didesnes pilnas išklotines, kuriose yra dalis arba visa fizinė atmintis. Tai ypač naudinga, kai žemo lygio analizė, teismo ekspertizės tyrimai ir išplėstinis tvarkyklių ar pačios sistemos derinimas.

Atminties išklotinių konfigūravimas ir atidarymas sistemoje „Windows“ naudojant „WinDbg“ ir „KD“

Norint pasinaudoti „Windows“ išklotinių privalumais, pirmiausia reikia tinkamai sukonfigūruoti parinktis. paleidimas ir atkūrimasValdymo skydelyje, išplėstinėse sistemos ypatybėse, galite pasirinkti, kokio tipo atmintinę norite sugeneruoti gedimo atveju, pavyzdžiui, „Maža atminties atmintinė (256 KB)“ ir kelią, kuriame ji bus saugoma.

Sistemai taip pat reikia bent kelių megabaitų dydžio įkrovos tome esantis puslapiavimo failas norint įrašyti išklotinę. Šiuolaikinėse „Windows“ versijose kiekvienas gedimas sukuria naują failą, o sukonfigūruotame aplanke išsaugoma istorija, todėl galima lengvai peržiūrėti ankstesnius incidentus.

Sugeneravus duomenis, yra keletas būdų patikrinti, ar jie teisingi. Vienas klasikinis įrankis yra Dumpchk.exekuri leidžia patikrinti pagrindinį failo vientisumą ir spausdinti santraukos informaciją. Išsamesnei analizei naudojami šie įrankiai: „Windows“ derinimo įrankiai, įskaitant „WinDbg“ (grafinė sąsaja) ir KD (komandinės eilutės versija).

Įdiegus derinimo paketą iš „Microsoft“ svetainės, įrankiai paprastai yra tokiame aplanke kaip C:\Program Files\Windows derinimo įrankiaiIš ten galime atidaryti komandų eilutę ir įkelti failą su „WinDbg“ arba „KD“ naudojant parametrą „-z“ norėdami nurodyti failą:

windbg -y <RutaSimbolos> -i <RutaBinarios> -z <RutaDump>

Simbolio kelias gali nurodyti į simbolių serveris su vietine talpyklaPavyzdžiui:

srv*C:\Symbols*https://msdl.microsoft.com/download/symbols

Nors dvejetainis kelias paprastai yra kažkas panašaus į C:\Windows\I386 arba aplanką, į kurį nukopijavome sistemos vykdomuosius failus, atitinkančius versiją, kuri sugeneravo išklotinę. Tai svarbu, nes Minidump failai neapima visų dvejetainių failų, tik nuorodos į juos, todėl derinimo programa turi sugebėti juos rasti.

Pagrindinė branduolio gedimo išklotinės analizė sistemoje „Windows“

Kai išklotinė įkeliama naudojant „WinDbg“ arba „KD“, branduolio gedimo išklotinės analizė yra gana panaši į derinimo sesiją po mirties. Pirmoji komanda, kurią paleidžia beveik visi, yra !analizuoti, kuri paleidžia automatinę analizę ir sugeneruoja pradinę ataskaitą.

Įsakymas !analyze -show parodyti klaidų tikrinimo kodas ir jo parametraiO !analyze -v Jis pateikia daug išsamesnę išvestį: įtariamą modulį, iškvietimų rinkinį, kontekstinę informaciją ir daugeliu atvejų pasiūlymus dėl galimų priežasčių ar diagnostikos veiksmų.

Siekiant papildyti šią analizę, komanda .bugcheck Jis iš naujo atspausdina klaidos kodą ir susijusius parametrus, kuriuos vėliau galima palyginti su klaidos tikrinimo kodo nuoroda iš „Microsoft“, kad sužinotumėte tikslią kiekvienos reikšmės reikšmę ir tipines priežastis.

Įsakymas lm N T (modulių sąrašas) leidžia matyti Įkeltų modulių sąrašas su jų keliu, adresais ir būsenaTai padeda patvirtinti, ar automatinės analizės metu nustatyta tvarkyklė iš tikrųjų yra atmintyje ir kokia jos versija. Šis sąrašas ypač naudingas, kai įtariame trečiųjų šalių tvarkykles arba saugos komponentus, kurie sąveikauja su branduoliu.

Jei pageidaujama, galime supaprastinti pakrovimo procesą sukurdami paketinis failas Jis turėtų gauti kelią į išklotinę ir paleisti KD arba WinDbg su atitinkamais parametrais. Tokiu būdu jums tereikia parašyti trumpą komandą, kurioje būtų nurodyta failo vieta, o scenarijus pats pasirūpins viskuo kitu.

„WinDbg“ naudojimas giliems branduolio išklotinėms

Branduolio režimo atminties išklotinėms „WinDbg“ taip pat siūlo galimybę dirbti su keliais failais ir sesijomis. Išklotines galima atidaryti komandinėje eilutėje naudojant -zarba iš grafinės sąsajos, naudodami meniu Failas > Atidaryti atminties išklotinę arba sparčiuosius klavišus Ctrl + D.

Jei „WinDbg“ jau atidaryta pasyviu režimu, tiesiog pasirinkite failą dialogo lange „Atidaryti gedimo išklotinę“, nurodydami kelią arba naršydami diske. Įkėlę galime pradėti sesiją komanda g (Eiti) tam tikrais atvejais arba tiesiogiai paleisti pirmąsias analizės komandas.

Be klasikos !analyzePatartina susipažinti su derinimo komandos nuorodų skyriusČia aprašomos visos galimos komandos, skirtos vidinėms struktūroms skaityti, atminčiai tirti, stekui interpretuoti ir daug daugiau. Daugelis šių metodų taikomi tiek tiesioginėms sesijoms, tiek neprisijungus atliekamoms išklotinėms.

„WinDbg“ taip pat leidžia dirbti su keli lygiagretūs išklotinės duomenysKomandinėje eilutėje galime pridėti kelis -z parametrus, po kurių kiekvienas nurodomas skirtingu failo pavadinimu, arba pridėti naujus taikinius naudodami komandą .opendumpKelių paskirties vietų derinimas yra naudingas norint palyginti pasikartojančius gedimus arba grandinėje sujungtus incidentus.

Kai kuriose aplinkose atminties išklotinės yra supakuojamos į CAB failus, siekiant sutaupyti vietos arba palengvinti perdavimą. „WinDbg“ gali tiesiogiai atidaryti .cab su išklotimi viduje, naudojant -z ir su .opendumpnors jis ir skaitys Jis išskleis tik vieną iš išmestų failų ir neišskleis kitų failų. kuris galėtų patekti į tą pačią pakuotę.

„Crash dumps“ Unix ir Linux sistemose: naudingumas, įrankiai ir reikalavimai

„Unix“ ir „GNU/Linux“ sistemose filosofija panaši, tačiau įrankių ekosistema gerokai skiriasi. Dauguma „Unix“ tipo branduolių siūlo galimybę išsaugoti atminties kopiją, kai įvyksta katastrofiškas įvykis, ką mes žinome kaip pagrindinis išmetimas arba branduolio gedimo išklotinė.

Nors jų pagrindinė paskirtis išlieka branduolio ir tvarkyklių kūrimas, šie failai turi aiškų saugumo aspektą. Gedimą gali sukelti programavimo klaidų, bet ir kenkėjiškų veiksmų nepavykę bandymai manipuliuoti sistemos komponentais arba nerangiai išnaudotos lenktynių sąlygos.

Gerai sukonfigūruotoje „Unix“ sistemoje kasdieniai gedimai nėra dažni, tačiau jiems įvykus, protinga turėti atsarginį planą. atliekų išmetimo infrastruktūra, pvz., „Kdump“, LKCD ar kiti sprendimai leidžiančius užfiksuoti sistemos atmintį. Tačiau būtina įvertinti tiek išklotinės diagnostinę vertę, tiek riziką, kad joje bus itin jautrių duomenų.

Vienas iš išsamiausių ir plačiausiai paplitusių tokio tipo analizės įrankių „Linux“ sistemoje yra avarijaIš pradžių „Red Hat“ sukurta programa tapo faktiniu standartu branduolio išklotinių tyrimui ir veikiančių sistemų analizei.

Gedimas gali paveikti sistemos gyvąją atmintį per /dev/mem arba „Red Hat“ ir išvestinėse platinimo programose, naudojant konkretų įrenginį /dev/crashNepaisant to, įprasta, kad įrankiui tiekiamas išklotinės failas, sugeneruotas tokių mechanizmų kaip Kdump, makedumpfile, Disko išklotinė arba architektūrai būdingus išklotinius, pvz. s390/s390x arba xendump virtualizuotose aplinkose.

Avarijų vaidmuo ir „vmlinux“ svarba „Linux“ sistemoje

Avarijų įrankis buvo sukurtas iš dalies siekiant įveikti naudojimo apribojimus gdb tiesiogiai /proc/kcoreBe kita ko, prieiga prie to atminties pseudoatvaizdo gali būti apribota, be to, tam tikros branduolio kompiliavimo parinktys apsunkina tinkamą vidinių struktūrų interpretavimą, jei turime tik suspaustą vykdomąjį dvejetainį failą.

Kad gedimas veiktų tinkamai, būtini du pagrindiniai elementai: a vmlinux failas, kompiliuojamas su derinimo simboliais (paprastai su tokiomis žymėmis kaip -g) ir pačia branduolio išklotine. Šis derinys leidžia įrankiui susieti atminties adresus su funkcijomis, struktūromis ir kodo eilutėmis.

Svarbu atskirti vmlinux ir vmlinuzDaugumoje sistemų matomas tik „vmlinux“ – suspausta, paleidžiama branduolio versija. Sugedimui reikalinga simboliškai išskleista „vmlinux“ versija; be jos, bandant įkelti išklotinę arba /dev/mem Susidursime su tokio tipo klaidomis nerandu įkelto branduolio – įveskite namelist argumentą.

Nors „vmlinuz“ išskleisti galima rankiniu būdu, šis procesas ne visada yra paprastas ir praktiškai dažniausiai yra daug patogesnis. Perkompiliuokite branduolį, kad gautumėte ir „vmlinux“, ir „vmlinuz“ lygiagrečiai. Rimtose administravimo aplinkose gera praktika yra palaikyti kiekvienai branduolio versijai, įdiegtai būtent šiais atvejais, atitinkantį „vmlinux“.

Kai reikalavimai įvykdyti, išklotinės užstrigimas yra gana paprastas: nurodote tinkamą „vmlinux“ ir išklotinės failą, o įrankis atidaro interaktyvų seansą, iš kurio galite peržiūrėti branduolio struktūras, išvardyti procesus, peržiūrėti iškvietimų stekus ir išgauti teismo ekspertizės informacijąTie, kurie nori pasigilinti dar giliau, gali peržiūrėti specializuotus dokumentus, tokius kaip gerai žinomas techninis avarijų informacinis dokumentas.

/dev/mem apribojimai ir pirmieji metodai Linux sistemoje

Prieš griebdamiesi konkrečių įrankių, daugelis administratorių istoriškai bandė gauti atminties išklotinę. skaitymas tiesiai iš įrenginio /dev/memŠis metodas atrodė paprastas: naudoti tokią priemonę kaip atminties išklotinė (kuris išveda tą įrenginį į STDOUT) arba ištraukia iš dd if=/dev/mem of=volcado.mem.

Tačiau šiuolaikiniai branduoliai siūlo kompiliavimo parinktis, tokias kaip CONFIG_STRICT_DEVMEMkurie smarkiai riboja prieigą iš vartotojo erdvės į /dev/memĮprastas rezultatas yra tas, kad skaitymas nutrūksta po mažo bloko (pvz., 1 MB) arba, blogiausiu atveju, dėl sąveikos klaidos gali nutrūkti skaitymas. branduolio panika nedelsiant ir mašina vėl įsijungia.

Ši apsauga yra visiškai logiška saugumo požiūriu, tačiau ji verčia mus ieškoti Kiti būdai gauti patikimą ir pilną atliekų surinkimą visiškai nepasikliaujant generiniais įrenginiais, kurie nebėra tokie prieinami kaip anksčiau.

Todėl dabartinė tendencija yra pasikliauti konkrečiais moduliais arba integruotomis gedimų išklotinės infrastruktūromis, o ne tiesiog bandyti „išgauti atmintį“ naudojant vartotojo erdvės įrankius, kurie nėra sukurti veikti kartu su šiuolaikinėmis branduolio apsaugos politikomis.

„LiME Forensics“: atminties ištraukimas „Linux“ ir „Android“ sistemose

Labai galinga alternatyva teismo ekspertizės pasaulyje yra LiME (Linux atminties ištraukiklis)„LiME“ yra branduolio modulis, specialiai sukurtas kontroliuojamai ir be apribojimų, kurie veikia /dev/mem, fiksuoti nepastoviąją atmintį. „LiME“ veikia branduolio erdvėje, todėl gali daug tiesiogiai pasiekti RAM.

LiME platinamas kartu su savo šaltinio kodu ir kompiliuojamas pagal naudojamos branduolio antraštėsKompiliavimo procesas sukuria modulį .ko būdingas branduolio versijai, į kurią jis bus įkeltas. Sukompiliavus, galime jį patikrinti naudodami tokius įrankius kaip file siekiant užtikrinti, kad mūsų architektūrai atitinkantis ELF modulis būtų teisingai sugeneruotas.

Norėdami naudoti LiME, tiesiog įkelkite modulį su insmod iš root ir perduoti jam atitinkamas parinktis, pavyzdžiui, nurodant tinklo išklotinės paskirties vieta naudojant TCP ir neapdorotą formatą:

insmod lime-3.x.y.ko "path=tcp:4444 format=raw"

Lygiagrečiai, mašinoje, kuri gaus išklotinę, mes klausomės sukonfigūruoto prievado naudodami tokį įrankį kaip ncnukreipiant išvestį į failą:

nc <IP_origen> 4444 > volcado.mem

Po kelių minučių, priklausomai nuo RAM kiekio ir tinklo našumo, turėsime failą, kurio dydis atitiks šaltinio sistemos fizinę atmintį. Tai yra pilnas RAM išklotinės failas, kurį galime analizuoti naudodami teismo ekspertizės įrankius arba net naudodami eilutes ar kitas programas kaip pirmas žingsnis ieškant įdomių tinklų.

Procesų išklotinės ir duomenų atskleidimo rizika

Pilnas branduolio išklotinės failas yra labai informatyvus, tačiau jo taip pat gali būti per daug, kai mus domina tik konkretus procesas. Tokiu atveju labai prasminga griebtis... atskirų procesų išklotinės naudojant tokias priemones kaip gcore Unix/Linux sistemose.

Šie procesų duomenys yra daug mažesni ir lengviau tvarkomi, todėl galite sutelkti analizę į konkrečias programas, pvz., pranešimų siuntimo klientą (pvz., „Skype“) arba el. pašto klientą (pvz., „Thunderbird“), kur juos gana lengva rasti. slaptažodžiai paprasto teksto, sesijos žetonų arba kontaktinių duomenų formatu jei atminties eilutės yra tyrinėjamos.

Kūrimo požiūriu, šie pagrindiniai išklotinės failai padeda rasti programavimo klaidas, atminties nutekėjimus ar nenuoseklias paslaugos būsenas. Tačiau saugumo požiūriu problema kyla, kai Atliekų sąrašai generuojami reguliariai ir saugomi kitiems vartotojams prieinamose vietose.pačioje sistemoje arba bendrinamuose tinklo ištekliuose.

Jei vartotojas suplanuoja, pavyzdžiui, užduotį cron Periodiškai fiksuodamas jautrių procesų išklotines ir palikdamas jas visuotinai skaitomame kataloge, užpuolikas atveria dideles duris svarbios informacijos atskleidimui. Daugelyje audito scenarijų šių failų analizė leidžia užpuolikui atkurti duomenis. prisijungimo duomenys, kontaktų sąrašai, bendravimo istorija ir kiti privatūs duomenys su palyginti nedidelėmis pastangomis.

Todėl atliekant bet kokį rimtą „Unix“ sistemos auditą, patartina skirti kelias minutes patikrinimui, ar generuojami (pilni ar daliniai) išklotinės, kur jos saugomos, kokias teises jos turi ir ar jų yra. automatizuotas procesas, kurio metu atminties kopijos paliekamos prieinamos neįgaliotiems vartotojams.

Išklotinių analizė FreeBSD sistemoje naudojant kgdb

BSD pasaulyje, o ypač FreeBSD, post mortem analizės metodas apima Įgalinti sistemoje gedimų išklotines ir turėti branduolį, kompiliuotą su derinimo simboliaisTai valdoma iš branduolio konfigūracijos katalogo, paprastai esančio /usr/src/sys/<arq>/conf.

Atitinkamame konfigūracijos faile simbolių generavimą galima įjungti tokia eilute:

makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols

Pakeitus konfigūraciją, branduolį reikia perkompiliuoti. Kai kurie objektai bus generuojami iš naujo (pvz., trap.o) dėl pakeitimų kompiliavimo failuose. Tikslas yra gauti branduolį su tas pats kodas kaip ir tas, kuris turi problemų, bet pridedant reikiamą derinimo informacijąPatartina palyginti senus ir naujus dydžius naudojant komandą size siekiant įsitikinti, kad dvejetainiame faile nebuvo jokių netikėtų pokyčių.

Kai branduolys įdiegtas naudojant simbolius, dabar galime patikrinti išklotines su kgdb kaip aprašyta oficialioje dokumentacijoje. Ne visi simboliai gali būti išsamūs, o kai kurios funkcijos gali būti rodomos be eilučių numerių ar argumentų informacijos, tačiau daugeliu atvejų detalumo lygis yra pakankamas problemai atsekti.

Nėra absoliučios garantijos, kad analizė išspręs visus incidentus, tačiau praktiškai... Ši strategija gana gerai veikia daugeliu atvejų.ypač kai gedimų išklotinės derinamos su gera naujausių sistemos pakeitimų apžvalga.

Geriausia branduolio klaidų analizės ir dokumentavimo praktika

Nepriklausomai nuo operacinės sistemos, branduolio išklotinės analizė paprastai baigiasi tuo, kad techninę dokumentaciją, žinių bazes, specializuotus forumus ar net patį branduolio šaltinio kodą interpretuoti pranešimus, klaidų kodus ir nepažįstamus simbolius.

„Linux“ sistemoje labai naudinga pasikliauti oficialiu šaltinio kodo medžiu, integruota dokumentacija ir bendruomenės ištekliais. Daugelį branduolio klaidų pranešimų galima atsekti iki tikslaus failo, iš kurio jie atsirado, o tai padeda suprasti problemą. kontekstas, kuriame suveikia BUG() arba WARN() Atkaklus.

„Windows“ sistemoje išsamiai paaiškinama „Microsoft“ dokumentacijoje, žinių bazėje (KB) ir techniniuose forumuose. klaidų tikrinimo kodai, sprendimo rekomendacijos ir žinomi klaidų modeliaiSujungus šią informaciją su „!analyze -v“ ataskaitomis, galima parengti pagrįstą rizikos mažinimo planą.

Tikroji gedimo išklotinės vertė išryškėja, kai visa ta informacija yra susieta su tvirtos žinios apie operacinę sistemą ir konkrečią aplinką, kurioje įvyko gedimasTik tokiu būdu galima pasiūlyti ilgalaikius sprendimus ir, svarbiausia, užkirsti kelią tos pačios problemos pasikartojimui ateityje su rimtesnėmis pasekmėmis.

Branduolio atminties išklotinės analizė galiausiai yra mokslo ir amato derinys: jai reikia tinkamų įrankių, išankstinės konfigūracijos (simbolių, išklotinės parinkčių, saugaus saugojimo) ir daug patirties skaitant stekus, struktūras ir klaidų kodus. Įvaldę šias technikas, galite ne tik derinti sudėtingus incidentus, bet ir... drastiškai padidinti mūsų valdomų sistemų saugumo ir atsparumo lygį.