Сначала попробуйте запустить CMD, а затем -
SC для команды управления сервисом
SYSTEMINFO - Список конфигурации системы
Посмотрите, что на выходе и есть ли что-то для вашего сбоя
Меня попросили изучить файл дампа (исходные файлы не указаны) с помощью windbg и извлечь из него некоторую информацию:
Единственный файл, который у меня есть, это файл dmp. Я работаю на Windows10 64bit.
Я работаю над этим уже некоторое время:
В этом анализе я обнаружил следующее:
а. В потоке 7030 возникла исключительная ситуация команды прерывания 80000003
б. Исключение составляли процессы PowerPoint Microsoft Office 2010.
с. Исключение было в методе CpupSyscallStub.
д. Модуль wow64cpu.
е. Поскольку это исключение 0x80000003, оно указывает на созданный вручную дамп приложения.
е. Я использовал команду ~, чтобы увидеть список потоков в процессе. Все они были заморожены. г. Однако - я использовал ! Runaway и увидел, что поток 7030 работал в течение более 7 минут и намного больше, чем другие потоки в процессе.
я. Так что, возможно, это ситуация зависания. Я не уверен, так как я предполагаю также, что первый поток в списке является основным потоком, и, естественно, он может иметь больше времени на обработку.
час Основная причина, вероятно, «Один или несколько аргументов недействительны», как указано в значении ключа EXCEPTION_CODE.
я. Использование ~ # должно было дать мне поток, вызвавший исключение:
. 0 Id: 5cf8.7030 Suspend: 0 Teb: 00000000`00c5b000 Unfrozen Start: *** ERROR: Symbol file could not be found. Defaulted to export symbols for POWERPNT.EXE - POWERPNT+0x10c8 (00000000`2d7710c8) Priority: 0 Priority class: 32 Affinity: f
к. Но, вызывая -ecxr, вырисовывается : «У Minidump нет контекста исключений», поэтому я запутался…
Чтобы найти инъекции:
а. Я использовал .hideinjectedcode, надеясь, что сейчас ! Проанализировать -v даст мне информацию об инъекциях. Но я получил те же журналы анализа ...
б. Использование lm -v дало мне список всех модулей в процессе. Таким образом, внедренными модулями, скорее всего, будут все 14 DLL-библиотек, имеющих атрибут «CompanyName:», а также, возможно, и две DLL-библиотеки «OpenSSL Project», партнером которых может быть инъекционная компания.
Но я не уверен в этом ...
И чтобы выяснить функции подключения, я попытался просмотреть все таблицы импорта DLL-файлов компании-разработчика, чтобы найти функции подключения. После 6-7 DLL я не нашел таких. Поэтому я отказался от этого метода ...
Здесь вы можете найти вывод команды! Analize.
Как видите, я потратил много времени на эту тренировку. Но не пришли к четким выводам. Ваша помощь будет наиболее ценной.
Спасибо!!!
Сначала попробуйте запустить CMD, а затем -
SC для команды управления сервисом
SYSTEMINFO - Список конфигурации системы
Посмотрите, что на выходе и есть ли что-то для вашего сбоя