Что это такое?

Отладчик windbg - отличное средство для отладки компонет режима ядра Windows и анализа аварийных дампов. Одна из приятных особенностей windbg - это наличие встроенного скриптового движка, с помощью которого можно автоматизировать разбор дампов. Данный проект представляет собой набор скриптов, ориентированных на поиск в дампах ядра установленных перехватчиков и фильтров. В первую очередь, для поиска вредоносного кода, т.н. "руткитов". Также скрипты могут быть полезны для анализа поведения различного системного софта или просто для ознакомления с некоторыми особенностями работы ОС Windows.

Как установить

  1. скачать архив с последней версией скриптов
  2. разархивиривать zip архив в каталог C:\kdar или любой другой
  3. установить переменную окружения KDAR_PATH=C:\kdar или тому каталогу, куда были разархивированы скрипты

Как запустить

  1. стартуем отладчик windbg. Если он еще не установлен, взять его можно здесь: http://www.microsoft.com/whdc/devtools/debugging/default.mspx
  2. в коммандной строке набираем $$><C:\kdar\kdar.dcmd ( путь соответствует тому, куда разархивированы скрипты )

Last edited Apr 2, 2010 at 6:36 AM by kernelnet, version 3

Comments

No comments yet.