Incident Response, Security and Forensics"

.

viernes, 29 de agosto de 2008

Parte II: Analisis forense en pantallazos azules (BSOD)

Bueno, hoy vamos a ver los comandos que se pueden introducir en una consola de depuración tal y como comentabamos en el anterior post.

Para mostrar la versión de sistema: vertarget

Listar los modulos: x *!

Para mostrar información del fallo: !analyze -v


Para obtener los procesos que se estaban ejecutando hay que poner el siguiente comando:

!process 0 0Otra forma es poniendo: !dml_proc

Esta forma es la más intuitiva y funcional ya que podemos navegar por el proceso y obtener información del fallo, así como listar las direcciones de memoria y registros a punteros


Listar los procesos por sesión: !process /s 0 0

Información de sesiones: !session y !logonsession 0

Listar los módulos cargados: lm, lm t n

Estado de la memoria: !vm y !memusage

Causar un volcado completo de memoria:: .dump .crash

Forzar un reinicio (frio) del equipo: .reboot

Más información en:

http://www.software.rkuster.com/windbg/cmd.htm


Saludos....

3 comentarios:

¡Mmm qué interesante! Estoy por instalarme Windows solo para sacar todos esos datos :D

¿Windows XP dentro de una máquina virtual también da pantallazos? :-P

Un saludo!

Hola eckelon:

Espero que no te montes un windows solo para eso ;-)

Los ejemplos que están expuestos se basan en una máquina virtual.

Saludos

@Pedro Sanchez: Afortunadamente windows no me hace falta para nada :D ¡Ubuntu rules!