Categoría: Utilidades de Procesos
Versión: v5.63
Última actualización: 28/04/2020
Resumen: LiveKd
OS:
Cliente: Windows Vista y Superior
Servidor: Windows Server 2008 y Superior
LiveKD, una utilidad que Mark Russinovich escribió para el CD incluido con Inside Windows 2000, 3rd Edition, ahora está disponible gratuitamente. LiveKD te permite ejecutar los depuradores del kernel de Microsoft Kd y Windbg, que son parte del paquete Debugging Tools para Windows, localmente en un sistema en vivo. Ejecuta todos los comandos del depurador que funcionan en archivos de volcado por caída para buscar en el interior del sistema. Consulta la documentación de las Herramientas de depuración para Windows y el libro descrito para obtener información sobre cómo explorar un sistema con los depuradores del kernel. Si bien las últimas versiones de Windbg y Kd tienen una capacidad similar en Windows Vista y Server 2008, LiveKD permite más funciones, como ver pilas de subprocesos con el comando Thread, que la propia función de depuración del kernel en vivo de Windbg y Kd.
Primero descarga e instala el paquete de herramientas de depuración para Windows desde el sitio web de Microsoft: https://msdn.microsoft.com/library/windows/hardware/ff551063(v=vs.85).aspx Si instalas las herramientas en su directorio predeterminado en \Archivos de programa\Microsoft\Herramientas de depuración para Windows, puedes ejecutar LiveKD desde cualquier directorio; de lo contrario, deberías copiar LiveKD al directorio en el que están instaladas las herramientas. Si no has instalado símbolos para el sistema en el que ejecuta LiveKD, LiveKD te preguntará si deseas que configure automáticamente el sistema para usar el servidor de símbolos de Microsoft (consulta la documentación de las Herramientas de depuración para Windows para obtener información sobre los archivos de símbolos y el símbolo de Microsoft servidor).
NOTA: El depurador de Microsoft se quejará de que no puede encontrar símbolos para LIVEKDD.SYS. Esto es de esperar, ya que no he puesto a disposición símbolos para LIVEKDD.SYS y no afecta el comportamiento del depurador.
Uso:
liveKd [[-w]|[-k <debugger>]|[-o nombredearchivo]] [-vsym] [-m[flags] [[-mp proceso]|[pid]]][debugger opciones]
liveKd [[-w]|[-k <debugger>]|[-o nombredearchivo]] -ml [debugger opciones]
liveKd [[-w]|[-k <debugger>]|[-o nombredearchivo]] [[-hl]|[-hv <VM name> [[-p]|[-hvd]]]] [debugger options]
Parámetro | Descripción |
---|---|
-hv | Especifica el nombre o GUID de la máquina virtual Hyper-V para depurar. |
-hvd | Incluye páginas de hipervisor (solo Windows 8.1 y superior). |
-hvl | Muestra los nombres y GUID de las máquinas virtuales Hyper-V en ejecución. |
-k | Especifica la ruta completa y el nombre de archivo de la imagen del depurador para ejecutar |
-m | Crea un volcado espejo, que es una vista coherente de la memoria del kernel. Solo estará disponible la memoria en modo kernel y esta opción puede necesitar cantidades significativas de memoria física disponible. Opcionalmente, se puede proporcionar una máscara de banderas que especifica qué regiones incluir (extraída de la siguiente tabla, por defecto 0x18F8):0001 – proceso privado, 0002 – archivo mapeado, 0004 – sección compartida, 0008 – páginas de tabla de páginas, 0010 – grupo paginado, 0020 – grupo no paginado, 0040 – PTE del sistema, 0080 – páginas de sesión, 0100 – archivos de metadatos, 0200 – páginas de usuario de AWE, 0400 – páginas de controladores, 0800 – pilas de kernel, 1000 – metadatos WS, 2000 – páginas grandesEl valor predeterminado captura la mayoría de los contenidos de la memoria del kernel y se recomienda. Esta opción se puede usar con -o para guardar volcados más rápidos y consistentes. Los volcados de espejo requieren Windows Vista o Windows Server 2008 o superior.Sysinternals RamMap proporciona un resumen gráfico de la distribución de las regiones de memoria disponibles que se pueden seleccionar para su inclusión. |
-ml | Genera un volcado en vivo con soporte nativo (solo Windows 8.1 y superior). |
-mp | Especifica un único proceso cuyo contenido de memoria en modo de usuario debe incluirse en un volcado de espejo. Solo es efectivo con la opción -m. |
-o | Guarda un archivo memory.dmp en el disco en lugar de iniciar el depurador. |
p | Pausa la VM Hyper-V de destino mientras LiveKd está activo (recomendado para usar con -o). Especifica el nombre o GUID de la máquina virtual de Hyper-V para depurar. |
-hvl | Muestra los nombres y GUID de las máquinas virtuales Hyper-V en ejecución. |
-vsym | Muestra información de depuración detallada sobre las operaciones de carga de símbolos. |
-w | Ejecuta windbg en lugar de kd |
Todas las demás opciones se pasan al depurador. Nota: Use Ctrl-Break para terminar y reiniciar el depurador si se cuelga. De forma predeterminada, LiveKd ejecuta kd.exe.
Uso
Esta sección es una transcripción de la entrada “How to obtain a Soft Memory Dump using LiveKD without restarting your computer” disponible en el sitio de McAfee
Al investigar problemas, el soporte técnico a veces requiere un archivo de volcado de memoria para detectar un problema en particular donde una sesión o todo el sistema deja de responder. El uso manual del método CTRL + BLOQUEO DE DESPLAZAMIENTO produce un error de pantalla azul de Windows (consulte: http://support.microsoft.com/kb/244139). En última instancia, este método implica reiniciar la computadora, lo que a veces no es una opción.
Un método alternativo que deja el servidor en funcionamiento es utilizar la herramienta Sysinternals LiveKD. Esta herramienta le permite producir un volcado de memoria suave. Puede capturar y crear un volcado de memoria de depuración de la misma forma que CTRL + BLOQUEO DE DESPLAZAMIENTO, pero sin que el servidor deje de responder.
Para crear un volcado de memoria sin hacer que su computadora deje de responder manualmente y forzar su reinicio:
C:\Program Files\Debugging Tools for Windows (x86)\
C:\Program Files\Debugging Tools for Windows (x64)\
NOTAS:
Si la ventana de DOS se cierra automáticamente, es probable que no haya podido conectarse al servidor de símbolos de Microsoft. Verifique la configuración de su conexión a Internet y vuelva al paso 3.
Si encuentras algún error o aporte a la información proporcionada por favor dirígela a soporte@ehack.mx
LiveKd: Imágenes cortesía by Nala Systems
LiveKd by Roberto C. González traducido y ampliado para Ethical Hack algunas partes se adaptan directamente del sitio SysInternals de Microsoft ©2021, Ethical Hack, Todos los derechos reservados sobre la traducción. ©2021, Ethical Hack, Todos los derechos reservados sobre el contenido propio.
El comando dnsenum es una herramienta de línea de comandos para realizar enumeración de DNS…
En esta entrada te presento 24 de las listas negras más comunes que los servidores…
ZoomIt es una herramienta de anotación y zoom de pantalla para presentaciones técnicas que incluyen…
WinObj es el visor de espacios de nombres de Object Manager definitivo. Es la primera…
Whois realiza el registro de registro para el nombre de dominio o la dirección IP…
VolumeID – Esta utilidad, le permite cambiar los identificadores de los discos FAT y NTFS…