Considerare: Microsoft raccoglie tali file tramite Segnalazione errori di Windows e le aziende possono ottenere l'accesso a quei file raccolti da Microsoft firmando una NDA. Microsoft intraprende azioni per rendere disponibili i crash dump solo alle aziende che possono provare che è il loro driver a causare l'arresto anomalo. Richiede un certificato digitale per farlo.
Pubblicheresti queste informazioni per tutti pubblicamente, quindi sono contento che ti interessi. Personalmente non pubblicherei questo file su Internet.
Richiede solo pochi comandi per ottenere le informazioni più importanti da esso, se si dispone di una connessione Internet. L'output di
.symfix c:\symbols
.reload /f
!analyze -v
e rimuovere la linea che contiene ANALYSIS_SESSION_HOST
dovrebbe essere sufficiente per qualcuno a risolvere il problema o dare più istruzioni su ciò che è necessario. Potrebbero essere necessari alcuni minuti in più per chiedere e rispondere, ma l'utilizzo dei passaggi sopra ti dà testo leggibile da un utente che puoi verificare se sono disponibili dati sensibili.
I dati più importanti sono una tale riga:
BugCheck 117, {fffffa80188fb4e0, fffff88004248e9c, 0, 0}
Se continui a considerare di postarlo, ecco cosa può contenere: Un crash del sistema operativo (bluescreen) genererà un dump del kernel. Tale dump contiene
- informazioni sugli arresti anomali (informazioni sulle eccezioni),
- informazioni sul processore,
- i file eseguibili in esecuzione,
- tempi di arresto anomalo e tempo di attività del PC,
- i driver caricati e
- potenzialmente tutti i contenuti della RAM fisica (tutto ciò che è in memoria al momento del crash).
Ciò potrebbe dare agli hacker un vettore di attacco: dato che trovano il tuo indirizzo IP e conoscono la versione di un driver vulnerabile che hai in uso, potrebbero iniziare ad attaccare.
Tuttavia, dipende pesantemente dalle impostazioni con cui è stato catturato il crash dump. Di default sarà "Small memory dump (256 kb)" (almeno su Windows 7), quindi non contiene tutte le informazioni dalla RAM ma solo un sottogruppo molto piccolo che è correlato al crash. Questo può ancora includere driver e numeri di versione. Di solito il piccolo crash dump è sufficiente per risolvere i problemi.
Se hai un dump completo del crash del kernel, puoi convertirlo in un piccolo usando WinDbg e il comando .dump
, così avrai finalmente il dump completo originale e un piccolo dump.
Informazioni di esempio contenute in un piccolo dump del kernel:
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.23418.amd64fre.win7sp1_ldr.160408-2045
Debug session time: Sun Jul 3 15:37:39.242 2016 (UTC + 1:00)
System Uptime: 0 days 6:59:28.965
0: kd> lmDvmAtihdW76
start end module name
fffff880'04f5f000 fffff880'04f7b000 AtihdW76 (deferred)
Image path: AtihdW76.sys
Image name: AtihdW76.sys
Browse all global symbols functions data
Timestamp: Wed Feb 24 19:28:17 2016 (56CDF641)
CheckSum: 000201BA
ImageSize: 0001C000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
Quindi posso scoprire che a luglio usavo la scheda grafica ATI con un driver AtihdW76.sys
da febbraio. Potrebbe già essere sufficiente per un attacco, se lascio altre tracce, ad es. il tuo IP.
Tieni presente che questa informazione non è inclusa nell'output testuale di !analyze -v
, quindi non sembra rilevante per l'analisi:
0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
VIDEO_TDR_TIMEOUT_DETECTED (117)
The display driver failed to respond in timely fashion.
(This code can never be used for a real bugcheck.)
Arguments:
Arg1: fffffa80188fb4e0, Optional pointer to internal TDR recovery context (TDR_RECOVERY_CONTEXT).
Arg2: fffff88004248e9c, The pointer into responsible device driver module (e.g owner tag).
Arg3: 0000000000000000, The secondary driver specific bucketing key.
Arg4: 0000000000000000, Optional internal context dependent data.
Debugging Details:
------------------
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING: 7601.23418.amd64fre.win7sp1_ldr.160408-2045
DUMP_TYPE: 2
BUGCHECK_P1: fffffa80188fb4e0
BUGCHECK_P2: fffff88004248e9c
BUGCHECK_P3: 0
BUGCHECK_P4: 0
FAULTING_IP:
atikmpag+ce9c
fffff880'04248e9c ?? ???
DEFAULT_BUCKET_ID: GRAPHICS_DRIVER_TDR_TIMEOUT
TAG_NOT_DEFINED_202b: *** Unknown TAG in analysis list 202b
CPU_COUNT: 4
CPU_MHZ: c25
CPU_VENDOR: GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 2a
CPU_STEPPING: 7
BUGCHECK_STR: 0x117
PROCESS_NAME: System
CURRENT_IRQL: 0
ANALYSIS_SESSION_HOST: REMOVETHIS
ANALYSIS_SESSION_TIME: 12-09-2016 19:03:01.0993
ANALYSIS_VERSION: 10.0.14321.1024 amd64fre
STACK_TEXT:
fffff880'05bad2c0 fffff880'044b27e7 : fffffa80'188fb4e0 00000000'00000024 fffffa80'182fc800 fffff880'044b2488 : watchdog!WdDbgReportRecreate+0xa3
fffff880'05bad7e0 fffff880'044b2c1e : 00000000'00001000 fffff8a0'3dd1c8e0 00000000'00000008 00000000'00004000 : dxgkrnl!TdrUpdateDbgReport+0xcb
fffff880'05bad830 fffff880'044b3ed2 : fffffa80'188fb4e0 fffffa80'188fb4e0 fffffa80'182fc800 fffffa80'0dd73410 : dxgkrnl!TdrCollectDbgInfoStage1+0x2e6
fffff880'05bad8d0 fffff880'0455bfbf : fffffa80'188fb4e0 00000000'00000000 fffffa80'182fc800 fffffa80'0dd73410 : dxgkrnl!TdrIsRecoveryRequired+0x17a
fffff880'05bad900 fffff880'04585d09 : 00000000'ffffffff 00000000'00189d69 00000000'00000000 00000000'00000002 : dxgmms1!VidSchiReportHwHang+0x40b
fffff880'05bad9e0 fffff880'0458444f : 00000000'00000102 00000000'00000000 00000000'00189d69 00000000'00000000 : dxgmms1!VidSchiCheckHwProgress+0x71
fffff880'05bada10 fffff880'045572e6 : ffffffff'ff676980 fffffa80'0dd73410 00000000'00000000 00000000'00000000 : dxgmms1!VidSchiWaitForSchedulerEvents+0x1fb
fffff880'05badab0 fffff880'0458400e : 00000000'00000000 fffffa80'182fc800 00000000'00000080 fffffa80'0dd73410 : dxgmms1!VidSchiScheduleCommandToRun+0x1da
fffff880'05badbc0 fffff800'03713bc6 : 00000000'02c4d1a9 fffffa80'0ddb5060 fffffa80'0ca00720 fffffa80'0ddb5060 : dxgmms1!VidSchiWorkerThread+0xba
fffff880'05badc00 fffff800'0346d6a6 : fffff800'035fae80 fffffa80'0ddb5060 fffff800'03608cc0 fffffa80'0da82d90 : nt!PspSystemThreadStartup+0x5a
fffff880'05badc40 00000000'00000000 : fffff880'05bae000 fffff880'05ba8000 fffff880'05bac2b0 00000000'00000000 : nt!KxStartSystemThread+0x16
STACK_COMMAND: kb
THREAD_SHA1_HASH_MOD_FUNC: 711770ee3782c8990d4679145cf9108ec8a862f4
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: cc3ee750d9914b4f5449ea07474e889f95552a7e
THREAD_SHA1_HASH_MOD: 36a574ce8074060aba5fc87a076613c500071d03
FOLLOWUP_IP:
atikmpag+ce9c
fffff880'04248e9c ?? ???
SYMBOL_NAME: atikmpag+ce9c
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: atikmpag
IMAGE_NAME: atikmpag.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 56effafd
FAILURE_BUCKET_ID: X64_0x117_IMAGE_atikmpag.sys
BUCKET_ID: X64_0x117_IMAGE_atikmpag.sys
PRIMARY_PROBLEM_CLASS: X64_0x117_IMAGE_atikmpag.sys
TARGET_TIME: 2016-07-03T14:37:39.000Z
OSBUILD: 7601
OSSERVICEPACK: 1000
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 272
PRODUCT_TYPE: 1
OSPLATFORM_TYPE: x64
OSNAME: Windows 7
OSEDITION: Windows 7 WinNt (Service Pack 1) TerminalServer SingleUserTS
OS_LOCALE:
USER_LCID: 0
OSBUILD_TIMESTAMP: 2016-04-09 07:46:22
BUILDDATESTAMP_STR: 160408-2045
BUILDLAB_STR: win7sp1_ldr
BUILDOSVER_STR: 6.1.7601.23418.amd64fre.win7sp1_ldr.160408-2045
ANALYSIS_SESSION_ELAPSED_TIME: 493
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:x64_0x117_image_atikmpag.sys
FAILURE_ID_HASH: {fa4b6286-8c4a-e9c2-c89f-5612619e000e}
Followup: MachineOwner
---------