Phân tích bộ nhớ và nhân hệ điều hành trên hệ thống Windows và Unix.

Informatec Digital » Recursos » Phân tích bộ nhớ và nhân hệ điều hành trên hệ thống Windows và Unix.

Khi hệ điều hành gặp sự cố nghiêm trọng hoặc sụp đổ, cách duy nhất để hiểu chuyện gì đã xảy ra là... kết xuất bộ nhớ kernel và phân tích tiếp theoCác bản ghi lỗi này thu thập trạng thái bên trong của hệ thống tại thời điểm xảy ra sự cố và là nguyên liệu thô để gỡ lỗi các lỗi phức tạp, điều tra các sự cố bảo mật hoặc tiến hành các cuộc kiểm tra pháp y.

Mặc dù nghe có vẻ rất "chuyên sâu", việc phân tích bản sao bộ nhớ không chỉ dành riêng cho các nhà phát triển nhân hệ điều hành. Các quản trị viên hệ thống, kỹ sư hỗ trợ và thậm chí cả các chuyên gia kiểm toán bảo mật đều có thể hưởng lợi từ nó nếu họ nắm vững những kiến ​​thức cơ bản. các công cụ phù hợp, các loại dữ liệu rò rỉ và các kỹ thuật diễn giải cơ bảnChúng ta sẽ tìm hiểu toàn bộ quá trình này trên Windows, Unix/Linux và BSD, sử dụng các công cụ như WinDbg, crash, kgdb và LiME.

Bản ghi bộ nhớ kernel là gì và tại sao việc phân tích nó lại quan trọng?

Bản sao bộ nhớ kernel (thường được gọi là...) Tệp kết xuất lỗi hệ thống (Kernel Crash Dump) hay đơn giản là tệp kết xuất lỗi hệ thống.(Đây là một tập tin chứa bản sao, toàn bộ hoặc một phần, của bộ nhớ tại thời điểm hệ thống gặp sự cố nghiêm trọng, chẳng hạn như...) hạt nhân hoảng loạn trên Unix/Linux hoặc màn hình xanh chết chóc (BSOD) trên Windows.

Trên thực tế, việc sao lưu kiểu này sẽ giúp tiết kiệm được... Cấu trúc nhân hệ điều hành bên trong, ngăn xếp cuộc gọi, ngữ cảnh tiến trình và trình điều khiển đã tải.Nhờ vậy, sau sự cố, có thể tiến hành phân tích "hậu sự cố", rất giống với việc gỡ lỗi trên một hệ thống đang hoạt động, nhưng không cần phải chịu áp lực thao tác trực tiếp trên máy chủ đang gặp sự cố.

Lý do để nghiên cứu sâu vào các bản ghi lỗi hệ thống (kernel dump) rất đa dạng: từ Gỡ lỗi các sự cố dường như ngẫu nhiên và các sự cố không thường xuyên xảy ra....thậm chí còn điều tra xem liệu hệ thống có bị thao túng một cách độc hại hay không, hoặc liệu sự cố có để lại dấu vết thông tin nhạy cảm trên ổ đĩa hay không.

Ngoài việc trích xuất toàn bộ bản ghi lỗi kernel, còn có khả năng trích xuất bản ghi lỗi của từng tiến trình riêng lẻ (kiểu cổ điển). bãi chứa lõi), rất hữu ích khi điều chúng ta muốn là để giới hạn vấn đề trong một ứng dụng cụ thể hoặc để xem xét tác động đến tính bảo mật của một dịch vụ. Giống như một ứng dụng email hoặc nhắn tin.

Các loại bản ghi lỗi bộ nhớ trong Windows và công dụng của chúng.

Trên hệ thống Windows, chính hệ điều hành có thể tạo ra nhiều loại tệp kết xuất khác nhau khi xảy ra lỗi STOP. Mỗi loại tệp bao gồm mức độ chi tiết khác nhau, vì vậy điều quan trọng là phải biết sử dụng loại nào. Dựa trên vấn đề gặp phải và dung lượng ổ đĩa hạn chế, chúng ta cần loại bản sao lưu nào?.

Một trong những định dạng phổ biến nhất trong môi trường người dùng và nhiều máy chủ là... bản sao bộ nhớ nhỏ (minidump)Đây là loại chiếm ít không gian nhất và thường được đặt ở vị trí... %SystemRoot%\Minidump, với các tập tin thuộc kiểu MiniMMDDYY-01.dmp.

Tập tin này chứa thông tin rất cụ thể nhưng quan trọng: Mã lỗi STOP và các tham số của nóDanh sách các trình điều khiển được tải tại thời điểm xảy ra lỗi, ngữ cảnh của bộ xử lý đã dừng (PRCB), ngữ cảnh của tiến trình và luồng liên quan (cấu trúc EPROCESS và ETHREAD) và ngăn xếp cuộc gọi chế độ kernel của luồng đó.

Nhờ những cấu trúc cơ bản này, ngay cả với một minidump, người ta thường có thể xác định được trình điều khiển hoặc mô-đun nào gây ra sự cố, mặc dù không phải lúc nào cũng có thể truy tìm toàn bộ vấn đề nếu nó bắt nguồn từ xa luồng đang chạy tại thời điểm xảy ra sự cố. Thông tin ngữ cảnh hiện có rất hạn chế..

Windows cũng có thể tạo ra các bản sao bộ nhớ kernel và các bản sao đầy đủ lớn hơn nhiều, chứa một phần hoặc toàn bộ bộ nhớ vật lý. Những bản sao này đặc biệt hữu ích trong việc Phân tích cấp thấp, điều tra pháp y và gỡ lỗi nâng cao đối với trình điều khiển hoặc chính hệ thống..

Cấu hình và mở các tập tin bộ nhớ trong Windows bằng WinDbg và KD.

Để tận dụng các bản ghi lỗi (dump) trong Windows, điều đầu tiên cần làm là cấu hình các tùy chọn đúng cách. khởi động và phục hồiTừ Bảng điều khiển, trong thuộc tính hệ thống nâng cao, bạn có thể chọn loại bản ghi lỗi mà bạn muốn tạo trong trường hợp xảy ra sự cố: ví dụ, "Bản ghi lỗi bộ nhớ nhỏ (256 KB)" và đường dẫn nơi nó sẽ được lưu trữ.

Hệ thống cũng cần một Tệp hoán đổi trên phân vùng khởi động có dung lượng tối thiểu vài megabyte. Để ghi lại bản ghi lỗi. Trong các phiên bản Windows hiện đại, mỗi lần lỗi xảy ra sẽ tạo ra một tập tin mới và lịch sử được lưu giữ trong thư mục đã cấu hình, cho phép dễ dàng xem lại các sự cố trước đó.

Sau khi được tạo ra, có một số cách để xác minh tính chính xác của các bản sao lưu. Một công cụ kinh điển là Dumpchk.exeĐiều này cho phép bạn kiểm tra tính toàn vẹn cơ bản của tệp và in thông tin tóm tắt. Để phân tích nâng cao hơn, các công cụ sau được sử dụng: Công cụ gỡ lỗi cho Windowsbao gồm WinDbg (giao diện đồ họa) và KD (phiên bản dòng lệnh).

Sau khi cài đặt gói gỡ lỗi từ trang web của Microsoft, các công cụ thường nằm trong một thư mục như sau: C:\Program Files\Debugging Tools for WindowsTừ đó, chúng ta có thể mở cửa sổ dòng lệnh và tải tập tin kết xuất bằng lệnh. Sử dụng WinDbg hoặc KD với tham số -z. Để chỉ định tệp:

windbg -y <RutaSimbolos> -i <RutaBinarios> -z <RutaDump>

Đường dẫn biểu tượng có thể trỏ đến một máy chủ ký hiệu với bộ nhớ đệm cục bộ, ví dụ:

srv*C:\Symbols*https://msdl.microsoft.com/download/symbols

Trong khi đường dẫn nhị phân thường có dạng như sau: C:\Windows\I386 hoặc thư mục nơi chúng ta đã sao chép các tệp thực thi hệ thống tương ứng với phiên bản đã tạo ra bản sao lưu. Điều này rất quan trọng vì Minidump không bao gồm tất cả các tệp nhị phân.Chúng chỉ là các tham chiếu đến chúng, vì vậy trình gỡ lỗi cần có khả năng tìm thấy chúng.

Phân tích cơ bản bản ghi lỗi hệ thống (kernel crash dump) trong Windows

Sau khi tải tập tin lỗi vào WinDbg hoặc KD, việc phân tích lỗi kernel khá giống với một phiên gỡ lỗi sau khi sự cố xảy ra. Lệnh đầu tiên mà hầu hết mọi người đều chạy là !phân tích, quá trình này sẽ tự động phân tích và tạo ra báo cáo ban đầu.

Lệnh !analyze -show hiển thị mã kiểm tra lỗi và các tham số của nóTrong khi !analyze -v Nó tạo ra kết quả chi tiết hơn nhiều: mô-đun đáng ngờ, ngăn xếp cuộc gọi, thông tin ngữ cảnh và, trong nhiều trường hợp, các đề xuất về nguyên nhân có thể xảy ra hoặc các bước chẩn đoán.

Để bổ sung cho phân tích đó, lệnh .bugcheck Nó in lại mã lỗi và các tham số liên quan, sau đó có thể so sánh với... tham khảo mã lỗi kiểm tra Hãy tìm hiểu từ Microsoft để hiểu chính xác ý nghĩa của từng giá trị và các nguyên nhân điển hình.

Lệnh lm N T (liệt kê các mô-đun) cho phép bạn xem Danh sách các mô-đun đã được tải, bao gồm đường dẫn, địa chỉ và trạng thái của chúng.Điều này giúp xác nhận xem trình điều khiển được xác định bởi quá trình phân tích tự động có thực sự nằm trong bộ nhớ hay không và đó là phiên bản nào. Danh sách này đặc biệt hữu ích khi chúng ta nghi ngờ các trình điều khiển của bên thứ ba hoặc các thành phần bảo mật tương tác với nhân hệ điều hành.

Nếu muốn, chúng ta có thể đơn giản hóa quy trình đổ hàng bằng cách tạo ra một... tập tin hàng loạt Chương trình sẽ nhận đường dẫn đến tập tin kết xuất và khởi chạy KD hoặc WinDbg với các tham số thích hợp. Bằng cách này, bạn chỉ cần viết một lệnh ngắn bao gồm vị trí tệp, và tập lệnh sẽ lo phần còn lại.

Sử dụng WinDbg để trích xuất dữ liệu kernel chi tiết.

Đối với các bản ghi nhớ chế độ kernel, WinDbg cũng cung cấp khả năng làm việc với nhiều tệp và phiên. Các bản ghi nhớ có thể được mở từ dòng lệnh bằng cách sử dụng lệnh sau: -zhoặc từ giao diện đồ họa, sử dụng menu Tệp > Mở bản sao bộ nhớ hoặc phím tắt. Ctrl + D.

Nếu WinDbg đã được mở ở chế độ thụ động, chỉ cần chọn tệp trong hộp thoại "Mở bản ghi lỗi", chỉ định đường dẫn hoặc duyệt ổ đĩa. Sau khi tải xong, chúng ta có thể bắt đầu phiên làm việc bằng một lệnh. g (Đi) trong một số trường hợp nhất định, hoặc trực tiếp khởi chạy các lệnh phân tích đầu tiên.

Ngoài kiểu cổ điển !analyzeNên làm quen với... phần tham khảo lệnh gỡ lỗiPhần này mô tả tất cả các lệnh có sẵn để đọc cấu trúc nội bộ, kiểm tra bộ nhớ, giải thích ngăn xếp và nhiều hơn nữa. Nhiều kỹ thuật trong số này có thể áp dụng cho cả phiên làm việc trực tiếp và bản sao lưu ngoại tuyến.

WinDbg cũng cho phép bạn làm việc với nhiều lần xuất dữ liệu song songChúng ta có thể thêm nhiều tham số -z vào dòng lệnh, mỗi tham số theo sau là một tên tệp khác nhau, hoặc thêm các mục tiêu mới bằng lệnh. .opendumpGỡ lỗi ở nhiều điểm đến rất hữu ích để so sánh các lỗi lặp lại hoặc các sự cố liên tiếp.

Trong một số môi trường, các bản sao bộ nhớ được đóng gói thành các tệp CAB để tiết kiệm dung lượng hoặc tạo điều kiện thuận lợi cho việc truyền tải. WinDbg có thể trực tiếp mở một tệp CAB. .cab với một bản sao lưu bên trong, cả khi sử dụng -z và với .opendumpmặc dù anh ấy sẽ đọc Nó chỉ trích xuất một trong các tập tin đã được xuất ra và sẽ không trích xuất các tập tin khác. Những thứ đó có thể được đóng gói chung trong một kiện hàng.

Ghi lại lỗi hệ thống trong Unix và Linux: tiện ích, công cụ và yêu cầu

Trong các hệ thống Unix và GNU/Linux, triết lý tương tự nhau, nhưng hệ sinh thái công cụ lại khác biệt đáng kể. Hầu hết các nhân hệ điều hành giống Unix đều cung cấp khả năng... Lưu bản sao bộ nhớ khi xảy ra sự kiện thảm khốc., những gì chúng tôi biết là bãi chứa lõi hoặc bản ghi lỗi hệ thống (Kernel Crash Dump).

Mặc dù mục đích sử dụng chính vẫn là phát triển nhân hệ điều hành và trình điều khiển, nhưng các bản ghi lỗi này có khía cạnh bảo mật rõ ràng. Sự cố có thể do... lỗi lập trình, nhưng cũng có thể là hành động độc hại Những nỗ lực thất bại trong việc thao túng các thành phần hệ thống hoặc việc khai thác các điều kiện tranh chấp một cách vụng về.

Trong một hệ thống Unix được cấu hình tốt, các sự cố xảy ra hàng ngày không phải là phổ biến, nhưng khi chúng xảy ra, việc có sẵn kế hoạch dự phòng là điều khôn ngoan. cơ sở hạ tầng sao lưu như Kdump, LKCD hoặc các giải pháp khác. Những công cụ này cho phép thu thập dữ liệu từ bộ nhớ hệ thống. Tuy nhiên, cần phải cân nhắc cả giá trị chẩn đoán của bản ghi lỗi và nguy cơ nó chứa dữ liệu nhạy cảm.

Một trong những công cụ đầy đủ và phổ biến nhất cho loại phân tích này trong Linux là sự sụp giảmBan đầu được phát triển bởi Red Hat, tiện ích này đã trở thành tiêu chuẩn thực tế để kiểm tra các bản ghi lỗi hệ thống (kernel dump) và phân tích các hệ thống đang hoạt động.

Sự cố có thể ảnh hưởng đến bộ nhớ hoạt động của hệ thống thông qua /dev/mem hoặc, trong Red Hat và các bản phân phối phái sinh, sử dụng thiết bị cụ thể. /dev/crashTuy nhiên, việc cung cấp cho công cụ một tập tin kết xuất được tạo ra bởi các cơ chế như... vẫn là một thông lệ phổ biến. Kdump, tập tin makedump, Diskdump hoặc các bản sao lưu dành riêng cho kiến ​​trúc như s390/s390x hoặc xendump trong môi trường ảo hóa.

Vai trò của sự cố và tầm quan trọng của vmlinux trong Linux

Tiện ích báo lỗi được tạo ra một phần để khắc phục những hạn chế của việc sử dụng gdb trực tiếp trên /proc/kcoreNgoài ra, việc truy cập vào ảnh giả bộ nhớ đó có thể bị hạn chế, và thêm vào đó, một số tùy chọn biên dịch nhân hệ điều hành khiến việc giải thích đúng cấu trúc bên trong trở nên khó khăn nếu chúng ta chỉ có tệp nhị phân thực thi đã được nén.

Để chức năng va chạm hoạt động chính xác, cần có hai yếu tố chính: ​​a Tệp vmlinux được biên dịch với các ký hiệu gỡ lỗi (thường đi kèm với các cờ như -g) và chính bản ghi lỗi hệ thống (kernel dump). Sự kết hợp này cho phép công cụ ánh xạ các địa chỉ bộ nhớ tới các hàm, cấu trúc và dòng mã.

Điều quan trọng là phải phân biệt giữa vmlinux và vmlinuzTrên hầu hết các hệ thống, chỉ có vmlinux hiển thị, đây là phiên bản kernel được nén và có thể khởi động. Crash yêu cầu vmlinux đã được giải nén tượng trưng; nếu không có nó, khi cố gắng tải bản ghi lỗi hoặc /dev/mem Chúng ta sẽ gặp phải các lỗi thuộc loại Không tìm thấy nhân hệ điều hành đã khởi động — vui lòng nhập đối số namelist..

Mặc dù có thể giải nén vmlinuz theo cách thủ công, nhưng quá trình này không phải lúc nào cũng đơn giản và trên thực tế, việc giải nén thường thuận tiện hơn nhiều. Biên dịch lại nhân hệ điều hành để có được cả vmlinux và vmlinuz. song song. Trong môi trường quản trị nghiêm túc, việc duy trì vmlinux tương ứng với từng phiên bản kernel được triển khai chính xác cho những trường hợp này là một thực hành tốt.

Khi đáp ứng đủ các yêu cầu, việc tạo bản ghi lỗi tương đối đơn giản: bạn chỉ cần chỉ định tệp vmlinux và tệp ghi lỗi phù hợp, và công cụ sẽ mở một phiên tương tác từ đó bạn có thể... Duyệt qua cấu trúc nhân hệ điều hành, liệt kê các tiến trình, xem ngăn xếp lệnh gọi và trích xuất thông tin pháp y.Những ai muốn tìm hiểu sâu hơn nữa có thể tham khảo các tài liệu chuyên ngành, chẳng hạn như tài liệu chuyên sâu về sự cố kỹ thuật nổi tiếng.

Những hạn chế của /dev/mem và các phương pháp tiếp cận ban đầu trong Linux

Trước khi phải dùng đến các công cụ chuyên dụng, nhiều quản trị viên đã từng cố gắng thu thập bản sao bộ nhớ (memory dump). đọc trực tiếp từ thiết bị /dev/memCách tiếp cận này có vẻ đơn giản: sử dụng một công cụ như... ghi nhớ (thao tác này sẽ xuất thông tin thiết bị ra STDOUT) hoặc lấy từ dd if=/dev/mem of=volcado.mem.

Tuy nhiên, các nhân hệ điều hành hiện đại cung cấp các tùy chọn biên dịch như sau: CONFIG_STRICT_DEVMEMđiều này hạn chế nghiêm trọng quyền truy cập từ không gian người dùng vào /dev/memKết quả thường thấy là quá trình đọc bị cắt ngắn sau một khối nhỏ (ví dụ: 1 MB) hoặc, trong trường hợp xấu nhất, lỗi trong quá trình tương tác đó có thể dẫn đến... hạt nhân hoảng loạn Khởi động lại máy ngay lập tức.

Biện pháp bảo vệ này hoàn toàn hợp lý từ góc độ an ninh, nhưng nó buộc chúng ta phải tìm kiếm... Các cách khác để có được bản sao lưu đầy đủ và đáng tin cậy mà không hoàn toàn phụ thuộc vào các thiết bị thông dụng vốn không còn dễ tiếp cận như trước nữa.

Do đó, xu hướng hiện nay là dựa vào các mô-đun cụ thể hoặc cơ sở hạ tầng ghi lại lỗi tích hợp, thay vì chỉ đơn giản là cố gắng "trích xuất bộ nhớ" bằng các công cụ không gian người dùng không được thiết kế để hoạt động song song với các chính sách bảo vệ nhân hệ điều hành hiện đại.

LiME Forensics: Trích xuất bộ nhớ trên Linux và Android

Một giải pháp thay thế rất hiệu quả trong lĩnh vực pháp y là LiME (Trình trích xuất bộ nhớ Linux)LiME là một mô-đun nhân được thiết kế đặc biệt để thu thập bộ nhớ khả biến một cách có kiểm soát và không bị hạn chế như /dev/mem. LiME chạy trong không gian nhân, do đó nó có thể truy cập RAM trực tiếp hơn nhiều.

LiME được phân phối kèm theo mã nguồn và được biên dịch dựa trên... các tiêu đề kernel đang được sử dụngQuá trình biên dịch tạo ra một mô-đun. .ko Cụ thể là tùy thuộc vào phiên bản kernel mà nó sẽ được nạp vào. Sau khi biên dịch xong, chúng ta có thể kiểm tra nó bằng các công cụ như... file để đảm bảo rằng mô-đun ELF tương ứng với kiến ​​trúc của chúng tôi đã được tạo ra một cách chính xác.

Để sử dụng LiME, chỉ cần tải mô-đun bằng lệnh sau: insmod từ quyền root và truyền các tùy chọn thích hợp, ví dụ bằng cách chỉ định một Điểm đến kết xuất mạng sử dụng TCP và định dạng thô:

insmod lime-3.x.y.ko "path=tcp:4444 format=raw"

Song song đó, trên máy sẽ nhận dữ liệu, chúng ta lắng nghe trên cổng đã được cấu hình bằng một công cụ như... ncChuyển hướng đầu ra sang một tệp:

nc <IP_origen> 4444 > volcado.mem

Sau vài phút, tùy thuộc vào dung lượng RAM và hiệu năng mạng, chúng ta sẽ có một tập tin có kích thước khớp với bộ nhớ vật lý của hệ thống nguồn. Đây là một tập tin. Một bản sao bộ nhớ RAM hoàn chỉnh mà chúng ta có thể phân tích bằng các công cụ pháp y hoặc thậm chí bằng các chuỗi ký tự hay các tiện ích khác. Bước đầu tiên là tìm kiếm những chuỗi cửa hàng thú vị.

Rủi ro rò rỉ dữ liệu và lỗi kết xuất quy trình

Bản ghi lỗi toàn bộ hệ thống (kernel dump) cung cấp rất nhiều thông tin hữu ích, nhưng nó cũng có thể quá mức cần thiết khi chúng ta chỉ quan tâm đến một tiến trình cụ thể. Trong trường hợp đó, việc sử dụng... sẽ hợp lý hơn nhiều. các bản ghi lỗi quy trình riêng lẻ sử dụng các công cụ như gcore trên Unix/Linux.

Các bản ghi lỗi theo từng tiến trình này nhỏ hơn và dễ quản lý hơn nhiều, cho phép bạn tập trung phân tích vào các ứng dụng cụ thể như trình nhắn tin (ví dụ: Skype) hoặc trình email (như Thunderbird), nơi việc tìm kiếm tương đối dễ dàng. mật khẩu ở dạng văn bản thuần, mã thông báo phiên hoặc dữ liệu liên hệ nếu các chuỗi ký tự trong bộ nhớ được khám phá.

Từ góc độ phát triển, các bản ghi lỗi hệ thống (core dump) này giúp xác định lỗi lập trình, rò rỉ bộ nhớ hoặc trạng thái không nhất quán trong một dịch vụ. Nhưng từ góc độ bảo mật, vấn đề phát sinh khi... Các bản sao lưu được tạo ra định kỳ và lưu trữ ở những vị trí mà người dùng khác có thể truy cập.hoặc trên chính hệ thống đó hoặc trên các tài nguyên mạng dùng chung.

Ví dụ, nếu người dùng lên lịch một tác vụ. cron Bằng cách định kỳ thu thập các bản sao lưu của các quy trình nhạy cảm và lưu trữ chúng trong một thư mục có thể đọc được bởi tất cả mọi người, kẻ tấn công đang mở ra một cánh cửa lớn dẫn đến việc lộ thông tin quan trọng. Trong nhiều trường hợp kiểm toán, việc phân tích các tệp này cho phép kẻ tấn công khôi phục lại dữ liệu. thông tin đăng nhập, danh sách liên lạc, lịch sử liên lạc và các dữ liệu riêng tư khác. với nỗ lực tương đối thấp.

Do đó, trong bất kỳ cuộc kiểm tra nghiêm túc nào đối với hệ thống Unix, nên dành vài phút để kiểm tra xem các bản sao lưu (toàn bộ hoặc một phần) có được tạo ra hay không, chúng được lưu trữ ở đâu, chúng có quyền truy cập nào và liệu có bất kỳ lỗi nào khác hay không. quy trình tự động này khiến các bản sao bộ nhớ có thể truy cập được bởi người dùng trái phép..

Phân tích sau khi sự cố xảy ra đối với các tập tin kết xuất trong FreeBSD bằng kgdb.

Trong thế giới BSD, và cụ thể là FreeBSD, phương pháp phân tích sau khi sự cố xảy ra bao gồm: Bật tính năng ghi lỗi hệ thống và biên dịch nhân hệ điều hành với các ký hiệu gỡ lỗi.Việc này được điều khiển từ thư mục cấu hình nhân hệ điều hành, thường nằm ở... /usr/src/sys/<arq>/conf.

Trong tệp cấu hình tương ứng, việc tạo ký hiệu có thể được kích hoạt bằng một dòng như sau:

makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols

Sau khi sửa đổi cấu hình, nhân hệ điều hành phải được biên dịch lại. Một số đối tượng sẽ được tạo lại (chẳng hạn như...) trap.o) do sự thay đổi trong các tệp biên dịch. Mục tiêu là để có được một nhân hệ điều hành với Cùng một đoạn mã như đoạn mã gặp sự cố, nhưng bổ sung thêm thông tin gỡ lỗi cần thiết.Nên so sánh kích thước cũ và mới bằng lệnh sau: size để đảm bảo không có thay đổi bất ngờ nào trong tệp nhị phân.

Sau khi cài đặt nhân hệ điều hành bằng các ký hiệu, chúng ta có thể kiểm tra các tập tin kết xuất bằng cách sử dụng kgdb Như được mô tả trong tài liệu chính thức. Không phải tất cả các ký hiệu đều đầy đủ, và một số hàm có thể xuất hiện mà không có số dòng hoặc thông tin đối số, nhưng trong hầu hết các trường hợp, mức độ chi tiết là đủ để tìm ra vấn đề.

Không có gì đảm bảo tuyệt đối rằng việc phân tích sẽ giải quyết được tất cả các sự cố, nhưng trên thực tế, Chiến lược này tỏ ra khá hiệu quả trong phần lớn các trường hợp.đặc biệt khi các bản ghi lỗi hệ thống được kết hợp với việc xem xét kỹ lưỡng các thay đổi hệ thống gần đây.

Các phương pháp tốt nhất để phân tích và ghi lại lỗi nhân hệ điều hành

Bất kể hệ điều hành nào, việc phân tích bản ghi lỗi kernel thường dẫn đến kết quả sau: Tài liệu kỹ thuật, cơ sở kiến ​​thức, diễn đàn chuyên ngành, hoặc thậm chí cả mã nguồn nhân hệ điều hành. Giải thích các thông báo, mã lỗi và các ký hiệu không quen thuộc.

Trong Linux, việc dựa vào mã nguồn chính thức, tài liệu tích hợp sẵn và các nguồn tài nguyên cộng đồng rất hữu ích. Nhiều thông báo lỗi kernel có thể được truy ngược lại chính xác đến tệp tin gây ra chúng, điều này giúp hiểu rõ vấn đề. ngữ cảnh mà trong đó BUG() hoặc WARN() được kích hoạt xác định.

Trong Windows, tài liệu của Microsoft, cơ sở kiến ​​thức (KB) và các diễn đàn kỹ thuật cung cấp giải thích chi tiết về... Mã lỗi kiểm tra hệ thống, khuyến nghị giải quyết và các mẫu lỗi đã biết.Bằng cách kết hợp thông tin đó với các báo cáo từ lệnh !analyze -v, có thể lập ra một kế hoạch giảm thiểu rủi ro hợp lý.

Giá trị thực sự của bản ghi lỗi hệ thống chỉ được thể hiện khi tất cả thông tin đó được đối chiếu với các dữ liệu khác. Kiến thức vững chắc về hệ điều hành và môi trường cụ thể nơi xảy ra lỗi.Chỉ bằng cách này, các giải pháp lâu dài mới có thể được đề xuất và trên hết, ngăn chặn vấn đề tương tự tái diễn trong tương lai với những hậu quả nghiêm trọng hơn.

Phân tích bộ nhớ kernel, xét cho cùng, là sự kết hợp giữa khoa học và kỹ năng: nó đòi hỏi các công cụ phù hợp, cấu hình trước đó (ký hiệu, tùy chọn xuất dữ liệu, lưu trữ an toàn) và nhiều kinh nghiệm trong việc đọc các ngăn xếp, cấu trúc và mã lỗi. Nắm vững các kỹ thuật này không chỉ cho phép bạn gỡ lỗi các sự cố phức tạp mà còn... nhằm tăng cường đáng kể mức độ bảo mật và khả năng phục hồi của các hệ thống mà chúng tôi quản lý..