Atmiņas izgāztuves un kodola analīze Windows un Unix sistēmās

Informatec Digital » Resursi » Atmiņas izgāztuves un kodola analīze Windows un Unix sistēmās

Kad operētājsistēma piedzīvo paniku vai avarē, vienīgais veids, kā saprast, kas noticis, ir... kodola atmiņas izgāzums un sekojošā analīzeŠie izgāztuves dati fiksē sistēmas iekšējo stāvokli kļūmes brīdī un ir izejmateriāls sarežģītu kļūdu novēršanai, drošības incidentu izmeklēšanai vai kriminālistikas veikšanai.

Lai gan tas varētu šķist ļoti "zema līmeņa", atmiņas izgāzuma analīze nav paredzēta tikai kodola izstrādātājiem. Sistēmu administratori, atbalsta inženieri un pat drošības auditori var no tās gūt labumu, ja viņi zina pamatus. piemēroti rīki, izgāztuvju veidi un interpretācijas pamatmetodesMēs apskatīsim visu šo ceļu operētājsistēmās Windows, Unix/Linux un BSD, izmantojot tādus rīkus kā WinDbg, crash, kgdb un LiME.

Kas ir kodola atmiņas izgāzums un kāpēc to ir vērts analizēt?

Kodola atmiņas izgāztuve (bieži saukta par Kodola avārijas izgāztuve vai vienkārši avārijas izgāztuve) ir fails, kas satur pilnīgu vai daļēju atmiņas kopiju brīdī, kad sistēmā notiek kritiska kļūme, piemēram, kodola panika Unix/Linux sistēmā vai zilais nāves ekrāns (BSOD) operētājsistēmā Windows.

Praksē šāda veida izgāztuve ietaupa iekšējās kodola struktūras, izsaukumu steki, procesa konteksts un ielādētie draiveriPateicoties tam, pēc katastrofas var veikt "pēcnāves" analīzi, kas ir ļoti līdzīga tiešraides sistēmas atkļūdošanai, bet bez spiediena pieskarties ražošanas iekārtai tās atteices laikā.

Iemesli, kāpēc dziļi iedziļināties kodola izgāztuvēs, ir dažādi: no atkļūdot šķietami nejaušas kļūdas un periodiskas avārijas...pat izmeklējot, vai sistēma ir ļaunprātīgi manipulēta vai vai avārija, iespējams, ir atstājusi sensitīvas informācijas pēdas diskā.

Papildus pilniem kodola izgāztuvēm pastāv iespēja iegūt atsevišķu procesu izgāztuves (klasiskā kodola izgāztuves), kas ir ļoti noderīgi, kad mēs vēlamies lai ierobežotu problēmu līdz konkrētai lietojumprogrammai vai pārskatītu ietekmi uz pakalpojuma konfidencialitāti piemēram, e-pasta vai ziņojumapmaiņas klients.

Atmiņas izgāztuvju veidi operētājsistēmā Windows un to lietderība

Windows sistēmās pati operētājsistēma var ģenerēt dažāda veida izgāztuves, kad rodas STOP kļūda. Katram veidam ir atšķirīgs detalizācijas līmenis, tāpēc ir svarīgi zināt, kurus izmantot. Kāda veida datu izmete mums ir nepieciešama, ņemot vērā problēmu un diska vietas ierobežojumus?.

Viens no visizplatītākajiem formātiem lietotāju vidēs un daudzos serveros ir maza atmiņas izgāztuve (minidump)Tas ir tas, kas patērē vismazāk vietas un parasti atrodas %SystemRoot%\Minidump, ar stila failiem MiniMMDDGG-01.dmp.

Šajā mini izgāztuvē ir ļoti specifiska, bet svarīga informācija: STOP kļūdas kods un tā parametri, kļūmes brīdī ielādēto draiveru saraksts, apturētā procesora konteksts (PRCB), iesaistītā procesa un pavediena konteksti (EPROCESS un ETHREAD struktūras) un šī pavediena kodola režīma izsaukumu steks.

Pateicoties šīm pamatstruktūrām, pat ar minidump bieži vien ir iespējams noteikt, kurš draiveris vai modulis izraisa avārijas, lai gan ne vienmēr būs iespējams izsekot visu problēmu, ja tā rodas tālu no pavediena, kas darbojās avārijas brīdī. Pieejamā kontekstuālā informācija ir ierobežota.

Windows var arī ģenerēt kodola atmiņas izgāzumus un daudz lielākus pilnus izgāzumus, kas satur daļu vai visu fizisko atmiņu. Tie ir īpaši noderīgi, ja zema līmeņa analīze, kriminālistiskā izmeklēšana un draiveru vai pašas sistēmas uzlabota atkļūdošana.

Konfigurējiet un atveriet atmiņas izgāztuves operētājsistēmā Windows, izmantojot WinDbg un KD

Lai izmantotu izgāztuves priekšrocības operētājsistēmā Windows, vispirms ir pareizi jākonfigurē opcijas. palaišana un atkopšanaVadības paneļa papildu sistēmas īpašībās varat izvēlēties izgāztuves veidu, kas jāģenerē kļūmes gadījumā: piemēram, "Maza atmiņas izgāztuve (256 KB)" un ceļu, kur tā tiks saglabāta.

Sistēmai ir nepieciešams arī lapošanas fails vismaz dažu megabaitu lielā sāknēšanas sējumā lai ierakstītu izgāztuvi. Mūsdienu Windows versijās katra avārija izveido jaunu failu, un konfigurētajā mapē tiek saglabāta vēsture, kas ļauj ērti pārskatīt iepriekšējos incidentus.

Kad izgāztuves ir ģenerētas, ir vairāki veidi, kā pārbaudīt to pareizību. Viens klasisks rīks ir Dumpchk.exekas ļauj pārbaudīt faila pamata integritāti un izdrukāt kopsavilkuma informāciju. Padziļinātākai analīzei tiek izmantoti šādi rīki: Atkļūdošanas rīki operētājsistēmai Windowskas ietver WinDbg (grafisko saskarni) un KD (komandrindas versiju).

Pēc atkļūdošanas pakotnes instalēšanas no Microsoft vietnes rīki parasti atrodas mapē, piemēram, C:\Program Files\Windows atkļūdošanas rīkiNo turienes mēs varam atvērt komandu uzvedni un ielādēt izgāztuvi ar WinDbg vai KD, izmantojot parametru -z lai norādītu failu:

windbg -y <RutaSimbolos> -i <RutaBinarios> -z <RutaDump>

Simbola ceļš var norādīt uz simbolu serveris ar lokālo kešatmiņuPiemēram:

srv*C:\Symbols*https://msdl.microsoft.com/download/symbols

Lai gan binārais ceļš parasti ir kaut kas līdzīgs C:\Windows\I386 vai mapi, kurā esam kopējuši sistēmas izpildāmos failus, kas atbilst versijai, kas ģenerēja izgāztuvi. Tas ir svarīgi, jo Minidump faili neietver visus bināros failus, tikai atsauces uz tiem, tāpēc atkļūdotājam tie ir jāatrod.

Windows kodola avārijas izgāztuves pamatanalīze

Kad izgāztuve ir ielādēta ar WinDbg vai KD, kodola avārijas izgāztuves analīze ir diezgan līdzīga atkļūdošanas sesijai pēc nāves. Pirmā komanda, ko gandrīz visi izpilda, ir !analizēt, kas palaiž automātisku analīzi un ģenerē sākotnējo ziņojumu.

Komanda !analyze -show parāda kļūdu pārbaudes kods un tā parametriKamēr !analyze -v Tas ģenerē daudz detalizētāku izvadi: aizdomīgo moduli, izsaukumu steku, kontekstuālo informāciju un daudzos gadījumos ieteikumus par iespējamiem cēloņiem vai diagnostikas darbībām.

Lai papildinātu šo analīzi, komanda .bugcheck Tas atkārtoti izdrukā kļūdas kodu un saistītos parametrus, kurus pēc tam var salīdzināt ar kļūdu pārbaudes koda atsauce no Microsoft, lai uzzinātu katras vērtības precīzu nozīmi un tipiskos cēloņus.

Komanda lm N T (saraksta moduļi) ļauj jums redzēt Ielādēto moduļu saraksts ar to ceļu, adresēm un statusuTas palīdz apstiprināt, vai automatizētās analīzes identificētais draiveris patiešām atrodas atmiņā un kāda ir tā versija. Šis saraksts ir īpaši noderīgs, ja mums ir aizdomas par trešo pušu draiveriem vai drošības komponentiem, kas mijiedarbojas ar kodolu.

Ja nepieciešams, mēs varam vienkāršot izgāztuves iekraušanas procesu, izveidojot partijas fails Tam vajadzētu saņemt ceļu uz izgāztuvi un palaist KD vai WinDbg ar atbilstošajiem parametriem. Tādā veidā jums tikai jāuzraksta īsa komanda, kurā iekļauta faila atrašanās vieta, un skripts parūpēsies par visu pārējo.

Dziļo kodola izgāztuvju izmantošana, izmantojot WinDbg

Kodola režīma atmiņas izgāztuvēm WinDbg piedāvā arī iespēju strādāt ar vairākiem failiem un sesijām. Izgāztuves var atvērt no komandrindas ar -zvai no grafiskā interfeisa, izmantojot izvēlni Fails > Atvērt atmiņas izgāztuvi vai īsinājumtaustiņu Ctrl + D.

Ja WinDbg jau ir atvērts pasīvajā režīmā, vienkārši atlasiet failu dialoglodziņā "Atvērt avārijas izgāztuvi", norādot ceļu vai pārlūkojot disku. Pēc ielādes sesiju var sākt ar komandu g (Iet) noteiktos gadījumos vai tieši palaist pirmās analīzes komandas.

Papildus klasiskajam !analyzeIeteicams iepazīties ar atkļūdotāja komandu atsauces sadaļaŠeit ir aprakstītas visas pieejamās komandas iekšējo struktūru lasīšanai, atmiņas pārbaudei, steku interpretēšanai un daudz kam citam. Daudzas no šīm metodēm ir piemērojamas gan tiešraides sesijām, gan bezsaistes izgāztuvēm.

WinDbg ļauj strādāt arī ar vairākas paralēlas izgāztuvesKomandrindā varam pievienot vairākus -z parametrus, katram sekojot atšķirīgam faila nosaukumam, vai arī pievienot jaunus mērķus, izmantojot komandu .opendumpVairāku galamērķu atkļūdošana ir noderīga atkārtotu kļūmju vai ķēdē saistītu incidentu salīdzināšanai.

Dažās vidēs atmiņas izgāzumi tiek iepakoti CAB failos, lai ietaupītu vietu vai atvieglotu pārraidi. WinDbg var tieši atvērt .cab ar izgāztuvi iekšpusē, gan izmantojot -z, gan ar .opendumplai gan viņš lasīs Tas izvilks tikai vienu no izgāztajiem failiem un neizvilks citus failus. kas varētu nonākt vienā iepakojumā.

Avārijas izgāztuves Unix un Linux sistēmās: utilīta, rīki un prasības

Unix un GNU/Linux sistēmās filozofija ir līdzīga, taču rīku ekosistēma ievērojami atšķiras. Lielākā daļa Unix līdzīgu kodolu piedāvā iespēju saglabāt atmiņas kopiju katastrofāla notikuma gadījumā, ko mēs pazīstam kā kodola izgāztuve vai kodola avārijas izgāztuve.

Lai gan to galvenais pielietojums joprojām ir kodola un draiveru izstrāde, šiem izgāztuvju failiem ir skaidrs drošības aspekts. Avāriju var izraisīt programmēšanas kļūdas, bet arī ļaunprātīgas darbības neveiksmīgi mēģinājumi manipulēt ar sistēmas komponentiem vai neveikli izmantoti sacensību apstākļi.

Labi konfigurētā Unix sistēmā ikdienas avārijas nav bieži sastopamas, taču, kad tās notiek, ir ieteicams izstrādāt rezerves plānu. atkritumu izgāšanas infrastruktūra, piemēram, Kdump, LKCD vai citi risinājumi kas ļauj iegūt sistēmas atmiņu. Tomēr ir jāizvērtē gan izmetes diagnostiskā vērtība, gan risks, ka tajā būs ietverti ļoti sensitīvi dati.

Viens no pilnīgākajiem un izplatītākajiem šāda veida analīzes rīkiem operētājsistēmā Linux ir avārijaSākotnēji izstrādāta Red Hat, šī utilīta ir kļuvusi par faktisku standartu kodola izgāztuvju pārbaudei un darbojošos sistēmu analīzei.

Avārija var ietekmēt sistēmas tiešo atmiņu, izmantojot /dev/mem vai Red Hat un atvasinātajos izplatījumos, izmantojot konkrēto ierīci /dev/crashPat ja tā, ir ierasta prakse rīkam piegādāt izgāztuves failu, ko ģenerē tādi mehānismi kā Kdump, makedumpfile, Diska izgāztuve vai arhitektūrai specifiskas izgāztuves, piemēram, s390/s390x vai xendump virtualizētās vidēs.

Avārijas loma un vmlinux nozīme Linux sistēmā

Avārijas utilīta tika izveidota daļēji, lai pārvarētu lietošanas ierobežojumus gdb tieši uz /proc/kcoreCita starpā piekļuve šim atmiņas pseidoattēlam var būt ierobežota, un turklāt noteiktas kodola kompilācijas opcijas apgrūtina iekšējo struktūru pareizu interpretāciju, ja mums ir tikai saspiests izpildāmais binārais fails.

Lai avārija darbotos pareizi, ir nepieciešami divi galvenie elementi: a vmlinux fails, kas kompilēts ar atkļūdošanas simboliem (parasti ar tādiem karodziņiem kā -g) un pašu kodola izgāztuvi. Šī kombinācija ļauj rīkam kartēt atmiņas adreses funkcijām, struktūrām un koda rindām.

Ir svarīgi atšķirt vmlinux un vmlinuzVairumā sistēmu ir redzams tikai vmlinux, kas ir saspiesta, startējama kodola versija. Avārijai nepieciešams simboliski dekompresēts vmlinux; bez tā, mēģinot ielādēt izgāztuvi vai /dev/mem Mēs saskarsimies ar šāda veida kļūdām nevar atrast ielādēto kodolu — lūdzu, ievadiet namelist argumentu.

Lai gan vmlinuz ir iespējams manuāli atspiest, process ne vienmēr ir triviāls un praksē parasti ir daudz ērtāks. Pārkompilējiet kodolu, lai iegūtu gan vmlinux, gan vmlinuz. paralēli. Nopietnās administrēšanas vidēs ir ieteicams uzturēt vmlinux, kas atbilst katrai kodola versijai, kas izvietota tieši šajos gadījumos.

Kad prasības ir izpildītas, izgāztuves avārija ir samērā vienkārša: jūs norādāt atbilstošo vmlinux un izgāztuves failu, un rīks atver interaktīvu sesiju, no kuras jūs varat šķērsot kodola struktūras, uzskaitīt procesus, skatīt izsaukumu stekus un iegūt forenzikas informācijuTie, kas vēlas iedziļināties vēl vairāk, var iepazīties ar specializētu dokumentāciju, piemēram, labi zināmo tehnisko avāriju informatīvo dokumentu.

/dev/mem ierobežojumi un pirmās pieejas operētājsistēmā Linux

Pirms konkrētu rīku izmantošanas daudzi administratori vēsturiski ir mēģinājuši iegūt atmiņas izgāztuvi. nolasot tieši no ierīces /dev/memŠī pieeja šķita vienkārša: izmantojiet tādu rīku kā atmiņas izgāztuve (kas izvada šo ierīci uz STDOUT) vai izvelk no dd if=/dev/mem of=volcado.mem.

Tomēr mūsdienu kodoli piedāvā kompilācijas iespējas, piemēram, CONFIG_STRICT_DEVMEMkas ievērojami ierobežo piekļuvi no lietotāja telpas uz /dev/memTipisks rezultāts ir tāds, ka lasīšana tiek pārtraukta pēc neliela bloka (piemēram, 1 MB) vai, sliktākajā gadījumā, kļūdas dēļ šajā mijiedarbībā var rasties kļūda. kodola panika tūlītēja un iekārtas restartēšana.

Šī aizsardzība ir pilnīgi loģiska no drošības viedokļa, taču tā liek mums meklēt Citi veidi, kā iegūt uzticamu un pilnīgu atkritumu izgāšanu nepaļaujoties pilnībā uz vispārīgām ierīcēm, kas vairs nav tik pieejamas kā iepriekš.

Tādēļ pašreizējā tendence ir paļauties uz īpašiem moduļiem vai integrētām avāriju izmetes infrastruktūrām, nevis vienkārši mēģināt "nokasīt atmiņu" ar lietotāja telpas rīkiem, kas nav paredzēti līdzāspastāvēšanai ar mūsdienu kodola aizsardzības politikām.

LiME Forensics: atmiņas ieguve operētājsistēmās Linux un Android

Ļoti spēcīga alternatīva kriminālistikas pasaulē ir LiME (Linux atmiņas ieguvējs)LiME ir kodola modulis, kas īpaši izstrādāts, lai kontrolēti un bez ierobežojumiem, kas ietekmē /dev/mem, uztvertu gaistošu atmiņu. LiME darbojas kodola telpā, tāpēc tas var piekļūt RAM daudz tiešāk.

LiME tiek izplatīts kopā ar tā pirmkodu un kompilējas pret tiek izmantotas kodola galvenesKompilācijas process ģenerē moduli .ko specifisks kodola versijai, kurā tas tiks ielādēts. Pēc kompilācijas mēs to varam pārbaudīt ar tādiem rīkiem kā file lai pārliecinātos, ka mūsu arhitektūrai atbilstošais ELF modulis ir pareizi ģenerēts.

Lai izmantotu LiME, vienkārši ielādējiet moduli ar insmod no root lietotāja un nodod tam atbilstošās opcijas, piemēram, norādot tīkla izgāztuves galamērķis, izmantojot TCP un neapstrādātu formātu:

insmod lime-3.x.y.ko "path=tcp:4444 format=raw"

Paralēli mašīnā, kas saņems izgāztuvi, mēs klausāmies konfigurētajā portā, izmantojot tādu rīku kā ncnovirzot izvadi uz failu:

nc <IP_origen> 4444 > volcado.mem

Pēc dažām minūtēm, atkarībā no RAM apjoma un tīkla veiktspējas, mums būs fails, kura lielums atbildīs avota sistēmas fiziskajai atmiņai. Šis ir pilnīgs RAM izgāzums, ko varam analizēt ar kriminālistikas rīkiem vai pat ar virknēm vai citiem utilītprogrammām kā pirmo soli interesantu ķēžu atrašanai.

Procesa izgāztuves un datu izpaušanas riski

Pilns kodola izgāztuves materiāls ir ārkārtīgi informatīvs, taču tas var būt arī pārmērīgs, ja mūs interesē tikai konkrēts process. Šādā gadījumā ir ļoti loģiski izmantot... atsevišķu procesu izgāztuves izmantojot tādus rīkus kā gcore Unix/Linux vidē.

Šie procesa izgāztuves ir daudz mazākas un vieglāk pārvaldāmas, un ļauj koncentrēt analīzi uz konkrētām lietojumprogrammām, piemēram, ziņojumapmaiņas klientu (piemēram, Skype) vai e-pasta klientu (piemēram, Thunderbird), kur to ir samērā viegli atrast. paroles vienkāršā tekstā, sesijas žetoni vai kontaktinformācija ja tiek izpētītas atmiņas virknes.

No izstrādes viedokļa šie kodola izgāztuves palīdz atrast programmēšanas kļūdas, atmiņas noplūdes vai nekonsekventus stāvokļus pakalpojumā. Taču no drošības viedokļa problēma rodas, kad Izgāztuves tiek ģenerētas regulāri un glabātas vietās, kas pieejamas citiem lietotājiem.vai nu pašā sistēmā, vai koplietotajos tīkla resursos.

Ja lietotājs ieplāno, piemēram, uzdevumu cron Periodiski tverot sensitīvu procesu izgāztuves un atstājot tās globāli lasāmā direktorijā, uzbrucējs paver milzīgas durvis kritiskas informācijas atklāšanai. Daudzos audita scenārijos šo failu analīze ļauj uzbrucējam atgūt akreditācijas dati, kontaktpersonu saraksti, saziņas vēsture un citi privāti dati ar salīdzinoši nelielu piepūli.

Tāpēc jebkurā nopietnā Unix sistēmas auditā ieteicams veltīt dažas minūtes, lai pārbaudītu, vai tiek ģenerēti izgāztuves (pilnas vai daļējas), kur tās tiek glabātas, kādas atļaujas tām ir un vai tādas ir. automatizēts process, kas atmiņas kopijas padara pieejamas neatļautiem lietotājiem.

Izgāztuvju pēcnāves analīze FreeBSD vidē ar kgdb

BSD pasaulē, un jo īpaši FreeBSD, pēcnāves analīzes pieeja ietver Iespējot sistēmā avārijas izgāztuves un kompilēt kodolu ar atkļūdošanas simboliemTo parasti kontrolē no kodola konfigurācijas direktorija, kas atrodas /usr/src/sys/<arq>/conf.

Atbilstošajā konfigurācijas failā simbolu ģenerēšanu var iespējot ar šādu rindu:

makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols

Pēc konfigurācijas modificēšanas kodols ir jāpārkompilē. Daži objekti tiks ģenerēti atkārtoti (piemēram, trap.o) izmaiņu dēļ būvēšanas failos. Mērķis ir iegūt kodolu ar tāds pats kods kā tam, kuram ir problēmas, bet pievienojot nepieciešamo atkļūdošanas informācijuIeteicams salīdzināt vecos un jaunos izmērus, izmantojot komandu size lai pārliecinātos, ka binārajā failā nav notikušas negaidītas izmaiņas.

Kad kodols ir instalēts, izmantojot simbolus, mēs varam pārbaudīt izgāztuves ar kgdb kā aprakstīts oficiālajā dokumentācijā. Ne visi simboli var būt pilnīgi, un dažas funkcijas var parādīties bez rindu numuriem vai argumentu informācijas, taču vairumā gadījumu detalizācijas līmenis ir pietiekams, lai izsekotu problēmu.

Nav absolūtas garantijas, ka analīze atrisinās visus incidentus, taču praksē Šī stratēģija darbojas diezgan labi lielā daļā scenāriju.it īpaši, ja avārijas izgāztuves tiek apvienotas ar labu nesen veikto sistēmas izmaiņu pārskatu.

Labākā prakse kodola kļūdu analīzei un dokumentēšanai

Neatkarīgi no operētājsistēmas, kodola izgāztuves analīze parasti noved pie tehniskā dokumentācija, zināšanu bāzes, specializēti forumi vai pat pats kodola pirmkods lai interpretētu ziņojumus, kļūdu kodus un nepazīstamus simbolus.

Linux sistēmā ir ļoti noderīgi paļauties uz oficiālo pirmkoda koku, iebūvēto dokumentāciju un kopienas resursiem. Daudzus kodola kļūdu ziņojumus var izsekot līdz precīzam failam, no kura tie nāk, kas palīdz izprast problēmu. konteksts, kurā tiek aktivizēta BUG() vai WARN() funkcija noteikts.

Operētājsistēmā Windows detalizētus skaidrojumus sniedz Microsoft dokumentācija, tās zināšanu bāze (KB) un tehniskie forumi. kļūdu pārbaudes kodi, risinājumu ieteikumi un zināmie kļūdu modeļiApvienojot šo informāciju ar !analyze -v ziņojumiem, ir iespējams izstrādāt saprātīgu risku mazināšanas plānu.

Avārijas izmetes patiesā vērtība parādās, kad visa šī informācija tiek savstarpēji salīdzināta. pamatīgas zināšanas par operētājsistēmu un konkrēto vidi, kurā radās kļūmeTikai tādā veidā var piedāvāt ilgtspējīgus risinājumus un, galvenais, novērst tās pašas problēmas atkārtošanos nākotnē ar nopietnākām sekām.

Kodola atmiņas izgāztuves analīze galu galā ir zinātnes un amatniecības apvienojums: tai nepieciešami atbilstoši rīki, iepriekšēja konfigurācija (simboli, izgāztuves opcijas, droša glabāšana) un liela pieredze steku, struktūru un kļūdu kodu lasīšanā. Šo metožu apgūšana ļauj ne tikai atkļūdot sarežģītus incidentus, bet arī lai ievērojami palielinātu mūsu pārvaldīto sistēmu drošības un noturības līmeni.