Анализ дампов памяти и ядра в системах Windows и Unix.

Информатек Диджитал » Ресурсы » Анализ дампов памяти и ядра в системах Windows и Unix.

Когда операционная система внезапно дает сбой или происходит катастрофический зависание, единственный способ понять, что случилось, — это... дамп памяти ядра и последующий анализЭти дампы фиксируют внутреннее состояние системы в момент сбоя и являются исходным материалом для отладки сложных ошибок, расследования инцидентов безопасности или проведения криминалистических экспертиз.

Хотя это может показаться очень "низкоуровневым" методом анализа, анализ дампа памяти не является прерогативой исключительно разработчиков ядра. Системные администраторы, инженеры технической поддержки и даже аудиторы безопасности могут извлечь из этого пользу, если знают основы. соответствующие инструменты, типы дампов и основные методы интерпретацииМы рассмотрим весь этот процесс в Windows, Unix/Linux и BSD, используя такие инструменты, как WinDbg, crash, kgdb и LiME.

Что такое дамп памяти ядра и почему его стоит анализировать?

Дамп памяти ядра (часто называемый Дамп сбоя ядра или просто дамп сбояЭто файл, содержащий полную или частичную копию памяти в момент критического сбоя системы, например, паника ядра в Unix/Linux или синий экран смерти (BSOD) в Windows.

На практике дамп такого типа сохраняет внутренние структуры ядра, стеки вызовов, контекст процесса и загруженные драйверы.Благодаря этому, после катастрофы можно провести «постфактумный» анализ, очень похожий на отладку работающей системы, но без давления, связанного с необходимостью работать с производственной машиной в момент её отказа.

Причины для углубленного изучения дампов ядра разнообразны: от отладка, казалось бы, случайных ошибок и периодических сбоев...даже расследование того, не была ли система подвергнута злонамеренным манипуляциям или не оставил ли сбой следы конфиденциальной информации на диске.

Помимо полных дампов ядра, существует возможность извлечения дампов отдельных процессов (классический метод). основные отвалы), которые очень полезны, когда нам нужно именно то, что нам нужно. ограничить проблему конкретным приложением или оценить влияние на конфиденциальность услуги. как почтовый клиент или мессенджер.

Типы дампов памяти в Windows и их полезность

В системах Windows операционная система может генерировать различные типы дампов при возникновении ошибки STOP. Каждый тип содержит разный уровень детализации, поэтому крайне важно знать, какие из них использовать. Какой тип дампа нам нужен, исходя из характера проблемы и ограничений дискового пространства?.

Одним из наиболее распространенных форматов в пользовательских средах и на многих серверах является... небольшой дамп памяти (минидамп)Это тот, который занимает меньше всего места и обычно располагается в %SystemRoot%\Minidumpс файлами в стиле MiniMMDDYY-01.dmp.

Этот небольшой дамп содержит очень специфическую, но важную информацию: Код ошибки STOP и его параметрысписок драйверов, загруженных на момент сбоя, контекст остановленного процессора (PRCB), контексты задействованных процессов и потоков (структуры EPROCESS и ETHREAD) и стек вызовов режима ядра этого потока.

Благодаря этим базовым структурам, даже с помощью минидампа часто удается определить, какой драйвер или модуль вызывает сбои, хотя не всегда удается отследить всю проблему, если она исходит далеко от потока, работавшего в момент сбоя. Доступная контекстная информация ограничена..

Windows также может создавать дампы памяти ядра и гораздо более крупные полные дампы, содержащие части или всю физическую память. Они особенно полезны в Анализ на низком уровне, криминалистические исследования и расширенная отладка драйверов или самой системы..

Настройка и открытие дампов памяти в Windows с помощью WinDbg и KD

Чтобы воспользоваться дампами памяти в Windows, прежде всего необходимо правильно настроить параметры. запуск и восстановлениеВ панели управления, в расширенных свойствах системы, можно выбрать тип дампа, который необходимо создать в случае сбоя: например, «Малый дамп памяти (256 КБ)» и путь, куда он будет сохранен.

Системе также требуется файл подкачки на загрузочном томе размером не менее нескольких мегабайт для записи дампа. В современных версиях Windows каждый сбой создает новый файл, а история сохраняется в настроенной папке, что позволяет легко просматривать прошлые инциденты.

После создания дампов существует несколько способов проверить их корректность. Один из классических инструментов — это... Дампчк.exeЭто позволяет проверить базовую целостность файла и распечатать сводную информацию. Для более углубленного анализа используются следующие методы: Инструменты отладки для WindowsВ их число входят WinDbg (графический интерфейс) и KD (версия командной строки).

После установки пакета отладки с веб-сайта Microsoft, инструменты обычно находятся в папке, например, такой: C:\Program Files\Debugging Tools for WindowsОттуда мы можем открыть командную строку и загрузить дамп с помощью WinDbg или KD с использованием параметра -z Чтобы указать файл:

windbg -y <RutaSimbolos> -i <RutaBinarios> -z <RutaDump>

Путь к символу может указывать на сервер символов с локальным кэшемнапример:

srv*C:\Symbols*https://msdl.microsoft.com/download/symbols

В то время как двоичный путь обычно выглядит примерно так: C:\Windows\I386 или в папку, куда мы скопировали исполняемые файлы системы, соответствующие версии, которая создала дамп. Это важно, потому что Минидампы не содержат всех бинарных файлов.Отладчик должен иметь возможность их найти, поскольку он содержит только ссылки на них.

Базовый анализ дампа памяти, полученного в результате сбоя ядра в Windows.

После загрузки дампа с помощью WinDbg или KD анализ дампа, полученного в результате сбоя ядра, очень похож на отладку после аварии. Первая команда, которую запускает почти каждый, — это !анализироватькоторая запускает автоматический анализ и генерирует первоначальный отчет.

Команда !analyze -show показывает Код проверки ошибок и его параметрыВ то время как !analyze -v Она выдает гораздо более подробную информацию: подозрительный модуль, стек вызовов, контекстную информацию и, во многих случаях, предложения о возможных причинах или шагах диагностики.

В дополнение к этому анализу, команда .bugcheck Программа выводит код ошибки и связанные с ним параметры, которые затем можно сравнить с справочник кода проверки ошибок Обратитесь в Microsoft, чтобы узнать точное значение каждого параметра и типичные причины его возникновения.

Команда lm N T (список модулей) позволяет увидеть Список загруженных модулей с указанием их пути, адресов и статуса.Это помогает подтвердить, действительно ли драйвер, идентифицированный автоматическим анализом, находится в памяти и какова его версия. Этот список особенно полезен, когда мы подозреваем, что проблема связана со сторонними драйверами или компонентами безопасности, взаимодействующими с ядром.

При желании мы можем упростить процесс загрузки самосвала, создав пакетный файл Он получает путь к дампу и запускает KD или WinDbg с соответствующими параметрами. Таким образом, вам нужно лишь написать короткую команду, включающую местоположение файла, а скрипт позаботится обо всем остальном.

Использование WinDbg для создания подробных дампов ядра.

Для создания дампов памяти в режиме ядра WinDbg также предоставляет возможность работы с несколькими файлами и сессиями. Дампы можно открыть из командной строки с помощью команды... -zили через графический интерфейс, используя меню «Файл» > «Открыть дамп памяти» или сочетание клавиш. Ctrl + D.

Если WinDbg уже открыт в пассивном режиме, просто выберите файл в диалоговом окне «Открыть дамп аварийного завершения», указав путь или выбрав раздел на диске. После загрузки можно запустить сессию с помощью команды. г (Го) в определенных сценариях или напрямую запустить первые команды анализа.

В дополнение к классическому !analyzeЖелательно ознакомиться с раздел справочника команд отладчикаЗдесь описаны все доступные команды для чтения внутренних структур, исследования памяти, интерпретации стека и многого другого. Многие из этих методов применимы как к работающим сессиям, так и к дампам памяти в автономном режиме.

WinDbg также позволяет работать с множественные параллельные дампыМы можем добавить несколько параметров -z в командную строку, каждый из которых сопровождается именем файла, или добавить новые цели с помощью команды. .opendumpОтладка нескольких целевых систем полезна для сравнения повторяющихся сбоев или цепочек инцидентов.

В некоторых средах дампы памяти упаковываются в CAB-файлы для экономии места или упрощения передачи. WinDbg может напрямую открыть такой файл. .cab с дампом внутри, как с использованием -z, так и с .opendumpхотя он будет читать Программа извлечет только один из выгруженных файлов и не будет извлекать другие файлы. Это можно было бы включить в тот же пакет.

Создание дампов аварийных ситуаций в Unix и Linux: утилиты, инструменты и необходимые компоненты.

В системах Unix и GNU/Linux философия схожа, но экосистема инструментов значительно различается. Большинство Unix-подобных ядер предоставляют возможность Сохраните копию памяти на случай катастрофического события.что мы знаем как основной дамп или дамп ядра после сбоя.

Хотя их основное назначение — разработка ядра и драйверов, эти дампы имеют явный аспект безопасности. Сбой может быть вызван... программные ошибки, а также злонамеренные действия. Неудачные попытки манипулировать компонентами системы или неуклюже использованные состояния гонки.

В хорошо настроенной системе Unix ежедневные сбои нечасты, но если они всё же случаются, разумно иметь резервный план. инфраструктура для сброса данных, такая как Kdump, LKCD или другие решения. Это позволяет захватывать данные из системной памяти. Однако необходимо взвесить как диагностическую ценность дампа, так и риск того, что он может содержать крайне конфиденциальные данные.

Одним из наиболее полных и распространенных инструментов для такого рода анализа в Linux является паденияЭта утилита, первоначально разработанная компанией Red Hat, стала де-факто стандартом для изучения дампов ядра и анализа работающих систем.

Сбой может воздействовать на оперативную память системы посредством /dev/mem или, в дистрибутивах Red Hat и производных от них, с использованием конкретного устройства. /dev/crashТем не менее, обычно в инструмент передают файл дампа, сгенерированный такими механизмами, как... Кдамп, makedumpfile, Дамп диска или дампы, специфичные для конкретной архитектуры, например s390/s390x или xendump в виртуализированных средах.

Роль функции crash и важность vmlinux в Linux

Программа для устранения сбоев была создана, в частности, для преодоления ограничений, связанных с использованием... gdb напрямую на /proc/kcoreСреди прочего, доступ к этому псевдообразу памяти может быть ограничен, а кроме того, некоторые параметры компиляции ядра затрудняют правильную интерпретацию внутренних структур, если у нас есть только сжатый исполняемый двоичный файл.

Для корректной работы функции обработки сбоев необходимы два ключевых элемента: а) Файл vmlinux, скомпилированный с отладочными символами. (обычно с флагами типа -g) и самим дампом ядра. Эта комбинация позволяет инструменту сопоставлять адреса памяти с функциями, структурами и строками кода.

Важно различать vmlinux и vmlinuzНа большинстве систем отображается только vmlinux, представляющий собой сжатую загрузочную версию ядра. Для сбоя требуется символически распакованный vmlinux; без него при попытке загрузить дамп или /dev/mem Мы столкнёмся с ошибками следующего типа. Не удается найти загруженное ядро ​​— пожалуйста, введите аргумент namelist..

Хотя распаковку vmlinuz можно выполнить вручную, этот процесс не всегда тривиален и на практике обычно гораздо удобнее. Перекомпилируйте ядро, чтобы получить vmlinux и vmlinuz. параллельно. В серьезных средах администрирования рекомендуется поддерживать vmlinux, соответствующий каждой развернутой версии ядра, именно для таких случаев.

После выполнения всех требований, вызвать сбой при создании дампа относительно просто: вы указываете соответствующую виртуальную машину vmlinux и файл дампа, и инструмент открывает интерактивный сеанс, из которого вы можете обходить структуры ядра, перечислять процессы, просматривать стеки вызовов и извлекать информацию для криминалистического анализа.Те, кто желает углубиться в тему, могут обратиться к специализированной документации, например, к известному техническому документу о сбоях.

Ограничения /dev/mem и первые подходы в Linux

Прежде чем прибегать к специальным инструментам, многие администраторы исторически пытались получить дамп памяти. чтение непосредственно с устройства /dev/memЭтот подход казался простым: использовать такой инструмент, как... мемдамп (что выводит содержимое этого устройства в стандартный поток вывода) или считывает данные из dd if=/dev/mem of=volcado.mem.

Однако современные ядра предлагают такие параметры компиляции, как... CONFIG_STRICT_DEVMEMчто существенно ограничивает доступ из пользовательского пространства к /dev/memОбычно это приводит к тому, что чтение прерывается после небольшого блока (например, 1 МБ), или, в худшем случае, ошибка во взаимодействии может привести к сбою. паника ядра немедленный перезапуск машины.

Такая защита вполне логична с точки зрения безопасности, но она заставляет нас искать другие варианты. Другие способы получения надежного и полного дампа без полной опоры на стандартные устройства, которые уже не так доступны, как раньше.

Поэтому нынешняя тенденция заключается в том, чтобы полагаться на конкретные модули или интегрированные инфраструктуры для создания дампов памяти при сбоях, вместо того, чтобы просто пытаться «извлекать данные из памяти» с помощью инструментов пользовательского пространства, которые не предназначены для сосуществования с современными политиками защиты ядра.

LiME Forensics: Извлечение данных из памяти в Linux и Android

В криминалистике очень эффективной альтернативой является... LiME (Linux Memory Extractor)LiME — это модуль ядра, разработанный специально для контролируемого захвата энергозависимой памяти без ограничений, присущих /dev/mem. LiME работает в пространстве ядра, поэтому он может получать доступ к оперативной памяти гораздо более напрямую.

LiME распространяется вместе со своим исходным кодом и компилируется с использованием... используемые заголовки ядраВ процессе компиляции создается модуль. .ko специфично для той версии ядра, в которую оно будет загружено. После компиляции мы можем проверить его с помощью таких инструментов, как file чтобы убедиться, что модуль ELF, соответствующий нашей архитектуре, был сгенерирован корректно.

Для использования LiME просто загрузите модуль с помощью insmod от имени root и передайте ему соответствующие параметры, например, указав a Место назначения для дампа сети с использованием TCP и необработанного формата.:

insmod lime-3.x.y.ko "path=tcp:4444 format=raw"

Параллельно на машине, которая будет получать дамп, мы прослушиваем настроенный порт с помощью такого инструмента, как... ncПеренаправление вывода в файл:

nc <IP_origen> 4444 > volcado.mem

Через несколько минут, в зависимости от объема оперативной памяти и производительности сети, мы получим файл, размер которого будет соответствовать физической памяти исходной системы. Это... Полный дамп оперативной памяти, который мы можем проанализировать с помощью криминалистических инструментов или даже с помощью строк кода или других утилит. в качестве первого шага для выявления интересных цепочек.

Дампы процессов и риски утечки данных

Полный дамп ядра чрезвычайно информативен, но он также может быть излишним, если нас интересует только конкретный процесс. В этом случае имеет смысл прибегнуть к... дампы отдельных процессов используя такие инструменты, как gcore в Unix/Linux.

Эти дампы, созданные для каждого процесса, значительно меньше по размеру и более удобны для управления, что позволяет сосредоточить анализ на конкретных приложениях, таких как мессенджер (например, Skype) или почтовый клиент (например, Thunderbird), где их относительно легко найти. пароли в открытом текстовом виде, токены сессии или контактные данные если строки памяти будут исследованы.

С точки зрения разработки, эти дампы памяти помогают выявлять ошибки программирования, утечки памяти или несогласованные состояния в сервисе. Но с точки зрения безопасности проблема возникает, когда Дампы создаются в обычном режиме и хранятся в местах, доступных другим пользователям.либо в самой системе, либо на совместно используемых сетевых ресурсах.

Если пользователь, например, планирует выполнение задачи cron Периодически собирая дампы конфиденциальных процессов и оставляя их в глобально доступном каталоге, злоумышленник открывает огромные возможности для утечки критически важной информации. Во многих сценариях аудита анализ этих файлов позволяет злоумышленнику восстановить доступ к данным. учетные данные, списки контактов, история переписки и другие конфиденциальные данные. с относительно небольшими усилиями.

Поэтому при любой серьезной проверке системы Unix целесообразно уделить несколько минут проверке того, создаются ли дампы (полные или частичные), где они хранятся, какие у них права доступа и есть ли какие-либо другие проблемы. автоматизированный процесс, оставляющий копии памяти доступными для неавторизованных пользователей..

Посмертный анализ дампов в FreeBSD с помощью kgdb

В мире BSD, и в частности в FreeBSD, подход к посмертному анализу включает в себя следующее: Включите создание дампов аварийных завершений в системе и скомпилируйте ядро ​​с отладочными символами.Это управляется из каталога конфигурации ядра, обычно в /usr/src/sys/<arq>/conf.

В соответствующем конфигурационном файле генерацию символов можно включить с помощью строки следующего вида:

makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols

После изменения конфигурации необходимо перекомпилировать ядро. Некоторые объекты будут сгенерированы заново (например, trap.o) из-за изменений в файлах сборки. Цель состоит в том, чтобы получить ядро ​​с Тот же код, что и в проблемном фрагменте, но с добавлением необходимой отладочной информации.Рекомендуется сравнить старые и новые размеры с помощью команды. size чтобы убедиться в отсутствии непредвиденных изменений в двоичном файле.

После установки ядра с использованием символов мы можем изучить дампы памяти с помощью кгдб Как описано в официальной документации. Не все символы могут быть полными, и некоторые функции могут отображаться без номеров строк или информации об аргументах, но в большинстве случаев уровня детализации достаточно для выявления проблемы.

Нет абсолютной гарантии, что анализ позволит разрешить все инциденты, но на практике... Эта стратегия довольно хорошо работает в большинстве случаев.особенно когда дампы аварийного завершения работы системы сочетаются с тщательным анализом последних изменений в системе.

Рекомендации по анализу и документированию ошибок ядра

Независимо от операционной системы, анализ дампов ядра обычно приводит к следующим результатам: техническая документация, базы знаний, специализированные форумы или даже сам исходный код ядра. интерпретировать сообщения, коды ошибок и незнакомые символы.

В Linux очень полезно полагаться на официальный исходный код, встроенную документацию и ресурсы сообщества. Многие сообщения об ошибках ядра можно отследить до конкретного файла, в котором они возникли, что помогает понять проблему. контекст, в котором срабатывает BUG() или WARN() определяется.

В операционной системе Windows подробные объяснения можно найти в документации Microsoft, базе знаний (KB) и на технических форумах. Коды ошибок, рекомендации по их устранению и известные шаблоны ошибок.Объединив эту информацию с результатами команды !analyze -v, можно составить разумный план по смягчению последствий.

Истинная ценность дампа памяти, полученного в результате сбоя, проявляется тогда, когда вся эта информация сопоставляется с данными из архива. Глубокое знание операционной системы и конкретной среды, в которой произошел сбой.Только таким образом можно предложить долгосрочные решения и, прежде всего, предотвратить повторное возникновение той же проблемы в будущем с более серьезными последствиями.

Анализ дампов памяти ядра, в конечном счете, представляет собой сочетание науки и мастерства: он требует соответствующих инструментов, предварительной настройки (символы, параметры дампа, безопасное хранилище) и значительного опыта чтения стеков, структур и кодов ошибок. Освоение этих методов позволяет не только отлаживать сложные инциденты, но и чтобы значительно повысить уровень безопасности и отказоустойчивости управляемых нами систем..