Gibt es eine Möglichkeit zum Abrufen der Prozessbeschreibung und des Herausgebers von einem Absturzspeicherauszug für Windows-Kernel?Prozessbeschreibung, Benutzer- und Herausgeberinformationen im Speicherauszug
versuchte ich !process und !dml_proc. Es zeigt diese Information nicht an.
ich versuchte, Klärung zu bearbeiten und zu veröffentlichen, um pykd-Teams beantworten, aber die Bearbeitung gedreht ot beträchtlich sein, so dies als eine Antwort geschrieben
Filedescription von lmvm Ausgabe bezieht sich auf Beschreibungsspalte in Task-Manager Registerkarte Details
Firmenname bezieht sich bezieht sich auf Verleger Spalte in Registerkarte Start
C:\Windows\system32>wmic Startup where Caption="vmware user process" get /format:list
Caption=VMware User Process
Command="C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr
Description=VMware User Process
Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Name=VMware User Process
SettingID=
User=Public
UserSID=
C:\Windows\system32>reg query hklm\software\microsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
VMware User Process REG_SZ "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr
Sie von modifiying die FILE_VERSION_INFO in rsrc Abschnitt einer Datei überprüfen, die in Start siehe unten aufbereiteter Verlag in windbg des gleichen exe oben
wie geschriebenausgeführt wird, wie für die Gültigkeit der oben überprüfen
Behauptungopen a live kd session
run task manager in target and select a startup
look at details and locate the process name say vmtoolsd.exe
break into kd using ctrl+break
!process 0 0 vmtoolsd.exe
.process /p /r EPROCESS ADDRESS OF vmtoolsd.exe
!dh vmtoolsd find the Data directory SECURITY DIRECTORY and start searching for FILE_VERSION_INFO
loacte the string value of Company Name
use eb Address to edit the Company Name to some random string
execute using g
now execute task manager and you will see the publisher column in startup tab reflecting the random string as publisher
username is not tied to file but to process grab the token
from !process <Eproc> 1 and pass the TOKEN value to !token -n
hier ist ein Beispielskript ret Rieve Benutzernamen für jeden laufenden Prozess
!for_each_process "r $t0=(@@c++(((_EPROCESS*) @#Process)->Token.Object)&0xfffffff8);r? [email protected]@c++(((_TOKEN*)@@(@$t0))->LogonSession->AccountName);r? [email protected]@c++(((_EPROCESS *) @#Process)->ImageFileName);.printf \"%mu\t\t\t%ma\\n\",@@c++((wchar_t *)@$t1.Buffer),@@c++((char*)@$t2)"
sollten Ihre Ergebnisse wie diese
kd> $$>a< getuname4proc.txt
xx-PC$ smss.exe
LOCAL SERVICE svchost.exe
xx taskhost.exe
Beschreibung sollte von exe-Modul erhalten werden. Beispiel:
0: kd> !PROCESS fffffa800482f940 2
GetPointerFromAddress: unable to read from fffff80397f65000
PROCESS fffffa800482f940
SessionId: 1 Cid: 0e3c Peb: 7f7cfefa000 ParentCid: 04bc
DirBase: 26bcc000 ObjectTable: fffff8a0028f4e80 HandleCount: <Data Not Accessible>
Image: Taskmgr.exe
0: kd> .process /p fffffa800482f940
Implicit process is now fffffa80`0482f940
0: kd> .reload /user
Loading User Symbols
..........................................................
0: kd> lmvm Taskmgr
Browse full module list
start end module name
000007f7`d08c0000 000007f7`d09da000 taskmgr (deferred)
Image path: C:\Windows\system32\taskmgr.exe
Image name: taskmgr.exe
Browse all global symbols functions data
Timestamp: Thu Jul 26 02:07:18 2012 (50107C26)
CheckSum: 00119B41
ImageSize: 0011A000
File version: 6.2.9200.16384
Product version: 6.2.9200.16384
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 1.0 App
File date: 00000000.00000000
Translations: 0409.04b0
CompanyName: Microsoft Corporation
ProductName: Microsoft® Windows® Operating System
InternalName: Taskmgr.exe
OriginalFilename: Taskmgr.exe
ProductVersion: 6.2.9200.16384
FileVersion: 6.2.9200.16384 (win8_rtm.120725-1247)
FileDescription: Task Manager
LegalCopyright: © Microsoft Corporation. All rights reserved.
Die Antwort deckt die Benutzerfrage noch nicht ab. –
@Thomas siehe meinen Beitrag, warum diese Antwort die Frage deckt – blabb
@blabb: Oh, es scheint, dass mein Kommentar irreführend war. Der Fragetitel lautet "Prozessbeschreibung, Benutzer- und Herausgeberinformationen in Dump". Daher ging ich davon aus, dass eine Antwort auch Informationen zum Abrufen des Inhalts für die Spalte "Benutzername" des Task-Managers enthält. Der Rest ist in Ordnung und ich habe diese Antwort sogar aufgefrischt, weil es schon nützlich ist. –
erhalten Sie diese Informationen erhalten können und vieles mehr unter Verwendung !ps Befehl von DbgKit.
Hinweis:Von einem Kernel Memory Dump können Sie nur Benutzername erhalten. Um den Benutzernamen, die Dateibeschreibung und den Firmennamen zu erhalten, benötigen Sie einen vollständigen Speicherabzug.
dbgkit.dll in WinExt Ordner (Zum Beispiel: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext) (! Weitere Befehle anzuzeigen laufen dbgkit.help).load dbgkit Befehl!ps Befehl
Aber ist das nicht nur auf einem Live-System. Ich brauchte den Benutzernamen, die Dateibeschreibung und den Firmennamen eines Prozesses von einem Kernel-Dump. –
Von einem Kernel Memory Dump können Sie nur Benutzername erhalten. Um den Benutzernamen, die Dateibeschreibung und den Firmennamen zu erhalten, benötigen Sie einen vollständigen Speicherabzug. –
Ich habe das Dbgkit vorher nicht benutzt. Gibt es eine Schritt-für-Schritt-Anleitung zum Laden eines Speicherauszugs für die Analyse? Der Screenshot sieht einfach wie Process Explorer aus. –
zeigt nicht lmvm der besagten Prozessdatei den Firmennamen an.und Dateibeschreibung wie gepostet von pykd_team oder mir – blabb
'9: kd> lmvm" LPS GUI.exe " Start Ende Modulname' –
, das bedeutet, das Bild ist nicht vollständig in Ihrer Dump-Datei verfügbar haben Sie Reload/f und setzen Den Prozesskontext, den du bei Strohhalmen kuppeln musst, findest du bei vad_reload oder in der Windbg-Hilfedatei zum Mappen von Symbolen, wenn Peb ausgelagert wird Dokumentation – blabb