Перейти к содержимому


Фото
* * * * * 2 Голосов

Dr.Web Live Dumper


  • Please log in to reply
25 ответов в этой теме

#1 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 640 Сообщений:

Отправлено 20 Февраль 2015 - 09:37

Всем привет!

http://people.drweb.com/people/yudin/private/public/dwdump.exe

У нас сегодня новенькая в разряде маст хев тулз. Утилита позволяет сделать полный дамп системы на лету, без BSOD-ов. Очень полезно для тех кто не желает ронять машину или система какой нибудь критичный сервер. Для форензик нужд тоже годно, я часто пользуюсь в связке с volatility :)

Как и все простое, работает просто. ни какого интерфейса. Запустил и ждешь. рядом создатся файл вида fulldump_2015_093145.dmp.
Если памяти много и/или диск медленный ждать можно долго, так что не пугайтесь и не пытайтесь ее прервать. В том же Far можно смотреть что данные меняются. Формат дампа: Microsoft Crash Dump, т.е. сразу можно запускать WinDbg на нем. Пользуйтесь на здоровье.

FYI: Помните, полный дамп памяти может содержать множество секретной и приватной информации, пароли, ключи от различных софтин и т.п. не давайте его кому попало.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#2 ShadowHat

ShadowHat

    Member

  • Posters
  • 286 Сообщений:

Отправлено 21 Февраль 2015 - 14:53

Спасибо, годная тулза.



#3 GEV

GEV

    Massive Poster

  • Posters
  • 2 109 Сообщений:

Отправлено 21 Февраль 2015 - 18:46

Не критично, но, спамит в служебный журнал:

Сбой при запуске службы "Dr.Web System Dumper" из-за ошибки
Имеются дополнительные данные.

Win XP, Win7x32Pro



#4 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 640 Сообщений:

Отправлено 22 Февраль 2015 - 20:50

так задумано. имитируем ошибку запуска по окончании сбора дампа, чтоб система нас выгрузила сама. просто и не нужны доп вызовы.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#5 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 22 Февраль 2015 - 21:12

А нельзя в консоли написать "Идет сбор данных...", на инглише?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#6 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 080 Сообщений:

Отправлено 22 Февраль 2015 - 21:34

mrbelyash, idet sbor dannyh?  :D



#7 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 22 Февраль 2015 - 21:39

mrbelyash, idet sbor dannyh?  :D

 

В верхнем регистре :P


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#8 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 812 Сообщений:

Отправлено 22 Февраль 2015 - 22:43

Хм, размер файла fulldump_*.dmp 3,488,735,232 больше Total memory на 4096 байт:

Installed memory       8 589 934 592
Total memory           3 488 731 136
Free memory            1 257 398 272
Total virtual          2 147 352 576
Free virtual           1 941 708 800
Total paging file      7 781 912 576
Free paging file       4 567 457 792

P.S. Заголовок же!


Сообщение было изменено IlyaS: 22 Февраль 2015 - 22:47


#9 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 812 Сообщений:

Отправлено 22 Февраль 2015 - 22:49

Да, в случае чего этой тулзой можно снять шифровальщика за работой вместе с ключиком?

#10 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 23 Февраль 2015 - 12:14

Да, в случае чего этой тулзой можно снять шифровальщика за работой вместе с ключиком?

Иногда ;-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#11 ivsero

ivsero

    Newbie

  • Posters
  • 77 Сообщений:

Отправлено 23 Февраль 2015 - 13:16

На самом деле, можно много чего интересного в памяти найти.

Крайне рекомендую к изучению эту книженцию http://www.amazon.com/Art-Memory-Forensics-Detecting-Malware/dp/1118825098/, там как раз много всего интересного про Volatility Framework и другие полезные штуки.


Сообщение было изменено ivsero: 23 Февраль 2015 - 13:17


#12 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 23 Февраль 2015 - 13:33

На самом деле, можно много чего интересного в памяти найти.

Крайне рекомендую к изучению эту книженцию http://www.amazon.com/Art-Memory-Forensics-Detecting-Malware/dp/1118825098/, там как раз много всего интересного про Volatility Framework и другие полезные штуки.

Медленно это и непонятно в связи с этим: работает или нет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#13 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 640 Сообщений:

Отправлено 12 Май 2015 - 18:30

всем привет. доступно обновление утилиты

- исправлено создание крэшдампов на win7+, иного windbg не хотел признавать наши дампы как родные.
- изменилась ком. строка

commands:
-gen [DUMP_NAME] - generate dump file
-fix DUMP_NAME - fix dump file

фикс нужен для патчинга старых дампов с ошибкой из пункта один. в общем для внутренних нужд

- для более консистентного создания дампа, все остальное в системе фризится на момент генерации.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#14 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 12 Май 2015 - 18:34

походу проще свалить в синьку :ph34r:


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#15 VVS

VVS

    The Master

  • Moderators
  • 17 099 Сообщений:

Отправлено 12 Май 2015 - 18:36

походу проще свалить в синьку :ph34r:

Если клава USB, если это ноут...


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#16 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 12 Май 2015 - 18:38

 

походу проще свалить в синьку :ph34r:

Если клава USB, если это ноут...

 

учите мат.часть

и юсб можно увалить


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#17 VVS

VVS

    The Master

  • Moderators
  • 17 099 Сообщений:

Отправлено 12 Май 2015 - 18:41

 

 

походу проще свалить в синьку :ph34r:

Если клава USB, если это ноут...

 

учите мат.часть

и юсб можно увалить

 

Можно... но с меньшей вероятностью, чем PS/2


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 640 Сообщений:

Отправлено 12 Май 2015 - 18:56

походу проще свалить в синьку :ph34r:

ага. продакшен сервак с кучей юзеров...

Сообщение было изменено Konstantin Yudin: 12 Май 2015 - 18:56

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 501 Сообщений:

Отправлено 12 Май 2015 - 22:36

Флуд и оффтопик переехал.

 

Модератор.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#20 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 640 Сообщений:

Отправлено 12 Май 2015 - 23:50

Эка Макса разнесло. Суть ведь понятна, бсоди лайв дамп служат для разных задач. Есть проблема на сервере у клиента, руткит, утечки памяти, конфликт какой, а в бсод в корпоративе вашить серваки... мало кто согласен. Плюс фича полезна для форенсика, некоторые руткиты ловят бсод и вычищают себя из памяти, и не только руткиты, а и всякое по в гос конторах, по другому и не понять что там было.
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых