bahamutxii
Goto Top

WinDebugger läd modul nicht wegen fehlender Symbole

Ich versuche einen Rechner der von einem Hacker angegriffen wurde zu analyzieren. Leider lädt der Debugger aber die entsprechenden Symbole nicht.:

Hier die Fehlermeldung:

0: kd> callback.wdbg
* ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Couldn't resolve error at 'allback.wdbg

Also reingeguckt:

0: kd> !analyze -v
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\oca.ini, error 2
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\winxp\triage.ini, error 2
TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\user.ini, error


*
  • *
  • Bugcheck Analysis *
  • *
*

Unknown bugcheck code (0)
Unknown bugcheck description
Arguments:
Arg1: 0000000000000000
Arg2: 0000000000000000
Arg3: 0000000000000000
Arg4: 0000000000000000

Debugging Details:

TRIAGER: Could not open triage file : C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\triage\modclass.ini, error 2
* ERROR: Symbol file could not be found. Defaulted to export symbols for kernel32.dll -

PROCESS_NAME: windbg.exe

FAULTING_IP:
LiveKdD+218e
fffff880`07deb18e 4d8b5c2440 mov r11,qword ptr [r12+40h]

EXCEPTION_RECORD: ffffffffffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: fffff88007deb18e (LiveKdD+0x000000000000218e)
ExceptionCode: 80000003 (Break instruction exception)
ExceptionFlags: 00000001
NumberParameters: 0

ERROR_CODE: (NTSTATUS) 0x80000003 - {AUSNAHME} Haltepunkt Im Quellprogramm wurde ein Haltepunkt erreicht.

EXCEPTION_CODE: (HRESULT) 0x80000003 (2147483651) - Mindestens ein Argument ist ung ltig.

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT

BUGCHECK_STR: 0x0

CURRENT_IRQL: 0

LAST_CONTROL_TRANSFER: from 0000000000000000 to fffff88007deb0ad

STACK_TEXT:
fffff880`09ff3730 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : LiveKdD+0x20ad


STACK_COMMAND: .bugcheck ; kb

FOLLOWUP_IP:
LiveKdD+218e
fffff880`07deb18e 4d8b5c2440 mov r11,qword ptr [r12+40h]

SYMBOL_NAME: LiveKdD+218e

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: LiveKdD

IMAGE_NAME: LiveKdD.SYS

DEBUG_FLR_IMAGE_TIMESTAMP: 4f1490a7

FAILURE_BUCKET_ID: X64_0x0_LiveKdD+218e

BUCKET_ID: X64_0x0_LiveKdD+218e

Followup: MachineOwner

Hat jemand eine Idee wie man das lösen könnte? Würde mich sehr über kompetente Hilfe freuen, bin noch neu in der Materie.

Viele Grüße
B.

Content-ID: 182924

Url: https://administrator.de/forum/windebugger-laed-modul-nicht-wegen-fehlender-symbole-182924.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

Pjordorf
Pjordorf 01.04.2012 um 19:00:36 Uhr
Goto Top
Hallo,

Zitat von @BahamutXII:
ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Die debuggíng symbols müssen seperat zum existierende OS heruntergeladen und Installiert werden.

ERROR: Symbol file could not be found. Defaulted to export symbols for kernel32.dll -
Hier auch wieder der Hinweis .

Aber da dein System ja schon durch einen Fremdzugriff (Hacker) Infiziert ist, ist ein aufspielen von Software zum Debuggen wohl nicht der richtige weg. Wenn der Hacker sein geschäft versteht wirst du nichts finden, zumindest nicht mit einem Debugger. Da gibt es nur eins. Das OS neu zu Installieren. Alles andere ist verschwendete Zeit. Wenn du den (einfachen) Hacker und seinen Weg gefunden hast ist doch ein abschalten seines Zugangs zu deinem Rechner schon erfolgreich um den (einfachen) Hacker von deinem PC Fernzuhalten. Hat der (einfache )Hacker aber auch noch Trojaner und oder Viren mit ins Spiel gebracht dann ... Mach den Rechner neu. Würde ich auf jeden Fall alleine um ruhig Schlafen zu können.

Und bei http://technet.microsoft.com/de-de/sysinternals/bb897415 steht auch das hier keine Symbole zum Debugger mitinstalliert sind. Versuchst du per LiveCD (WinPE und LiveKd?) einen Hacker zu enttarnen?

Gruß,
Peter
BahamutXII
BahamutXII 01.04.2012 um 19:30:45 Uhr
Goto Top
Hi,

es handelt sich hierbei um einen Firmenrechner und ich muss herausfinden was der Typ im System gemacht hat um eventuelle Sicherheitslöcher zu stopfen. Wenn ich das System einfach lösche kann ich nicht herausfinden ober Schaden angerichtet hat. Darum ist eine Analyse sehr wichtig. Aber ohne einen funktionierenden Debugger geht das nicht. Und die Symbole sind heruntergeladen das Ergebnis siehst du oben. Aus irgendeinem Grund fehlt ihm genau das Symbol was ich brauche. Ich versuche es mit Livekd.

Gruß
Ben
Pjordorf
Pjordorf 01.04.2012 um 20:08:26 Uhr
Goto Top
Hallo,

Zitat von @BahamutXII:
es handelt sich hierbei um einen Firmenrechner und ich muss herausfinden was der Typ im System gemacht hat
also Computerforensik. Du bist fit darin? Hast du wenigsten die Platte vorher eins zu eins also Abbild kopiert / gespeigelt oder so? Denn jedes starten von dieser Platte ändert (evtl. auch die spuren deines Hackers). Aber es handelt sich doch hier bestimmt nicht um einen von aussen geführten Angriff auf einen Firmenrechner, oder?

Aber ohne einen funktionierenden Debugger geht das nicht.
Der Debugger funktioniert auch ohne Debuggung Symbols.

Und die Symbole sind heruntergeladen das Ergebnis siehst du oben.
Wenn du wie ich vermute die Tools von Sysinternals wie schon von mir als Link oben angegeben verwendest, wirst du keine Symbole aufgelöst bekommen. Das ändert aber nichts an der Aussage und an der funktion des debuggers.

Ich versuche es mit Livekd.
Also brauche ich nicht weiter zu Vermuten womit de es versuchst. Ob allerdings die Symbole auf deinem Lokalen System oder auf dem Zielsystem sein müssen entzieht sich hier meiner Kenntniss. Ich habe diese immer nur Lokal verwendet. http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx und auch das hier
<code "type=plain">
Wenn Sie keine Symbole für das System installiert haben, auf dem LiveKd ausgeführt wird, werden Sie von LiveKd gefragt, ob Sie das System automatisch so konfigurieren möchten, dass der Symbolserver von Microsoft verwendet wird. (Informationen zu Symboldateien und zum Microsoft-Symbolserver finden Sie in der Dokumentation zu Debugging Tools for Windows.)

HINWEIS: Der Microsoft-Debugger wird melden, dass er keine Symbole für LIVEKDD.SYS finden kann. Dies ist zu erwarten, da ich keine Symbole für LIVEKDD.SYS zur Verfügung gestellt habe. Dies wirkt sich nicht auf das Verhalten des Debugger aus.


Gruß,
Peter
BahamutXII
BahamutXII 01.04.2012 um 20:34:38 Uhr
Goto Top
Hi,

also ich bin nicht fit in Forensik, das hier sollen meine ersten Schritte sein. Ich gehe davon aus das es ein externer Angriff auf das Firmennetzwerk war. Möglich ist aber auch das jemand einen infizierten usb stick an den Rechner gesteckt hat. Habe den Rechner dann vom Netz getrennt fand ich diesen Artikel http://www.heise.de/security/artikel/Tatort-Internet-Operation-am-offen .... Nun versuche ich nach und nach mich einzulesen und wollte diese Sachen dort erstmal versuchen, in der Hoffnung etwas zu finden. Ich dachte halt, das wenn er die Symbole doch runtergeladen hat, er nicht meckert wenn ich das callbackscript ausführe. Was kann ich denn nun machen um nachzuschauen was der dort vielleicht angerichtet hat?

0: kd> callback.wdbg
  • ERROR: Module load completed but symbols could not be loaded for LiveKdD.SYS
Couldn't resolve error at 'allback.wdbg

Wie lös ich das, damit er das script aufrufen kann!?

Gruß
Ben
Pjordorf
Pjordorf 01.04.2012 um 22:06:49 Uhr
Goto Top
Hallo,

Zitat von @BahamutXII:
also ich bin nicht fit in Forensik, das hier sollen meine ersten Schritte sein.
Also wenn es an den Symbolen schon scheitert ... Sorry. Und dann sofort zu versuchen einen RootKit auf die schliche zu kommen? Bist du Software Ingenieur mit umfassende Kenntnisse in den Windows Kernel und seine Dateien? Langjährige Erfahrung mit Reverseengineering und das Hexadezimale Zahlensystem und Assembler sind deine Zweite und dritte Sprache?

Ich gehe davon aus das es ein externer Angriff auf das Firmennetzwerk war.
Also du hast keine Ahnung wie dein angenommener Angriff stattgefunden hat.

Möglich ist aber auch das jemand einen infizierten usb stick an den Rechner gesteckt hat.
Eine der vielen Möglichkeiten. Im Firmennetz mit seinen freigabe usw. gibt es da noch mehr. Und CD/DVD hat der rechner nicht?

Habe den Rechner dann vom Netz getrennt
Was hat der Hacker den getan? Was sind die Auswirkungen des Hackers? Wie hast du oder dein Chef gemerkt das hier ein unbekannter Hacker am Werk war und auf diesen Rechner noch etwas hinterlassen hat? Was wurde an diesem rechner denn vor dem Angriff des Hackers getan? Was sagt das Firewall Protokoll? Was sagt der Proxy?

Das ist mit ein paar Worten eine nette Geschichte. Das Wissen dahinter wie es tatsächlich gemacht wird, ist immens.

Nun versuche ich nach und nach mich einzulesen und wollte diese Sachen dort erstmal versuchen, in der Hoffnung etwas zu finden.
Ich glaube nicht das dein Wissen auch nur annähernd dazu reicht hier etwas zu finden. Sorry.

Ich dachte halt, das wenn er die Symbole doch runtergeladen hat, er nicht meckert wenn ich das callbackscript ausführe.
Na ja. Etwas aus dem internet herunterzuladen ist ja nicht alles, oder? Was hast du an welches System denn nun genau getan?

nachzuschauen was der dort vielleicht angerichtet hat?
Du meinst den unbekannten Hacker, oder? Oder ist es doch ein trojaner oder ein Virus oder nur eine PUA?

Wie lös ich das, damit er das script aufrufen kann!?
Werde mir mal deinetwegen ein Virtuelles Windows (Es betrifft doch ein Windows oder?) aufsetzen um es für dich zu testen was dein Fehler istface-smile

Gruß,
Peter
BahamutXII
BahamutXII 01.04.2012 um 23:04:35 Uhr
Goto Top
Hi,

also es ist ein Windows 7 x64 und ja das Ding hat zwar ein CD Laufwerk aber ich schließe das mal aus. Auf der Firewall konnte ich im Protokoll leider nichts ungewöhnliches entdecken, musste aber auch erfahren das kaum etwas protokolliert wird, daher konnte ich mit den Logfiles nichts anfangen.

Auswirkungen:

Er hinterliess eine Textdatei so nach dem Motto schau ich komme in dein System. Ich habe command.bat Files gefunden an Orten wo sie garnichts verloren haben, z.b. im Bilderordner. Ausserdem crashte einer der Xen Server darum vermute ich das er weitergekommen ist als nur auf diesen Rechner.

Vor dem Angriff wurden Virtuelle Maschinen aufgesetzt.

Und ja ich hab in diesem Bereich noch keinerlei Erfahrung, dessen bin ich mir bewusst.

Danke für dein Engagement face-smile

Grüße
Ben