LiveKd – SysInternals

Categoría: Utilidades de Procesos
Versión: v5.63
Última actualización: 28/04/2020
Resumen: LiveKd
OS:
Cliente: Windows Vista y Superior
Servidor: Windows Server 2008 y Superior

Introducción

LiveKD, una utilidad que Mark Russinovich escribió para el CD incluido con Inside Windows 2000, 3rd Edition, ahora está disponible gratuitamente. LiveKD te permite ejecutar los depuradores del kernel de Microsoft Kd y Windbg, que son parte del paquete Debugging Tools para Windows, localmente en un sistema en vivo. Ejecuta todos los comandos del depurador que funcionan en archivos de volcado por caída para buscar en el interior del sistema. Consulta la documentación de las Herramientas de depuración para Windows y el libro descrito para obtener información sobre cómo explorar un sistema con los depuradores del kernel. Si bien las últimas versiones de Windbg y Kd tienen una capacidad similar en Windows Vista y Server 2008, LiveKD permite más funciones, como ver pilas de subprocesos con el comando Thread, que la propia función de depuración del kernel en vivo de Windbg y Kd.

Instalación

Primero descarga e instala el paquete de herramientas de depuración para Windows desde el sitio web de Microsoft: https://msdn.microsoft.com/library/windows/hardware/ff551063(v=vs.85).aspx Si instalas las herramientas en su directorio predeterminado en \Archivos de programa\Microsoft\Herramientas de depuración para Windows, puedes ejecutar LiveKD desde cualquier directorio; de lo contrario, deberías copiar LiveKD al directorio en el que están instaladas las herramientas. Si no has instalado símbolos para el sistema en el que ejecuta LiveKD, LiveKD te preguntará si deseas que configure automáticamente el sistema para usar el servidor de símbolos de Microsoft (consulta la documentación de las Herramientas de depuración para Windows para obtener información sobre los archivos de símbolos y el símbolo de Microsoft servidor).

NOTA: El depurador de Microsoft se quejará de que no puede encontrar símbolos para LIVEKDD.SYS. Esto es de esperar, ya que no he puesto a disposición símbolos para LIVEKDD.SYS y no afecta el comportamiento del depurador.

Descripción

Sintaxis (línea de comandos)

Uso: 

liveKd [[-w]|[-k <debugger>]|[-o nombredearchivo]] [-vsym] [-m[flags] [[-mp proceso]|[pid]]][debugger opciones]

liveKd [[-w]|[-k <debugger>]|[-o nombredearchivo]] -ml [debugger opciones]

liveKd [[-w]|[-k <debugger>]|[-o nombredearchivo]] [[-hl]|[-hv <VM name> [[-p]|[-hvd]]]] [debugger options]    

Parámetro	Descripción
-hv	Especifica el nombre o GUID de la máquina virtual Hyper-V para depurar.
-hvd	Incluye páginas de hipervisor (solo Windows 8.1 y superior).
-hvl	Muestra los nombres y GUID de las máquinas virtuales Hyper-V en ejecución.
-k	Especifica la ruta completa y el nombre de archivo de la imagen del depurador para ejecutar
-m	Crea un volcado espejo, que es una vista coherente de la memoria del kernel. Solo estará disponible la memoria en modo kernel y esta opción puede necesitar cantidades significativas de memoria física disponible. Opcionalmente, se puede proporcionar una máscara de banderas que especifica qué regiones incluir (extraída de la siguiente tabla, por defecto 0x18F8):0001 – proceso privado, 0002 – archivo mapeado, 0004 – sección compartida, 0008 – páginas de tabla de páginas, 0010 – grupo paginado, 0020 – grupo no paginado, 0040 – PTE del sistema, 0080 – páginas de sesión, 0100 – archivos de metadatos, 0200 – páginas de usuario de AWE, 0400 – páginas de controladores, 0800 – pilas de kernel, 1000 – metadatos WS, 2000 – páginas grandesEl valor predeterminado captura la mayoría de los contenidos de la memoria del kernel y se recomienda. Esta opción se puede usar con -o para guardar volcados más rápidos y consistentes. Los volcados de espejo requieren Windows Vista o Windows Server 2008 o superior.Sysinternals RamMap proporciona un resumen gráfico de la distribución de las regiones de memoria disponibles que se pueden seleccionar para su inclusión.
-ml	Genera un volcado en vivo con soporte nativo (solo Windows 8.1 y superior).
-mp	Especifica un único proceso cuyo contenido de memoria en modo de usuario debe incluirse en un volcado de espejo. Solo es efectivo con la opción -m.
-o	Guarda un archivo memory.dmp en el disco en lugar de iniciar el depurador.
p	Pausa la VM Hyper-V de destino mientras LiveKd está activo (recomendado para usar con -o). Especifica el nombre o GUID de la máquina virtual de Hyper-V para depurar.
-hvl	Muestra los nombres y GUID de las máquinas virtuales Hyper-V en ejecución.
-vsym	Muestra información de depuración detallada sobre las operaciones de carga de símbolos.
-w	Ejecuta windbg en lugar de kd

Todas las demás opciones se pasan al depurador. Nota: Use Ctrl-Break para terminar y reiniciar el depurador si se cuelga. De forma predeterminada, LiveKd ejecuta kd.exe.

Uso

Esta sección es una transcripción de la entrada “How to obtain a Soft Memory Dump using LiveKD without restarting your computer” disponible en el sitio de McAfee

Al investigar problemas, el soporte técnico a veces requiere un archivo de volcado de memoria para detectar un problema en particular donde una sesión o todo el sistema deja de responder. El uso manual del método CTRL + BLOQUEO DE DESPLAZAMIENTO produce un error de pantalla azul de Windows (consulte: http://support.microsoft.com/kb/244139). En última instancia, este método implica reiniciar la computadora, lo que a veces no es una opción.

Un método alternativo que deja el servidor en funcionamiento es utilizar la herramienta Sysinternals LiveKD. Esta herramienta le permite producir un volcado de memoria suave. Puede capturar y crear un volcado de memoria de depuración de la misma forma que CTRL + BLOQUEO DE DESPLAZAMIENTO, pero sin que el servidor deje de responder.

Para crear un volcado de memoria sin hacer que su computadora deje de responder manualmente y forzar su reinicio:

• Descargue las herramientas de depuración para Windows en: http://msdn.microsoft.com/en-US/windows/hardware/gg463009/
• Ejecute el archivo .MSI correspondiente (por ejemplo, dbg_x86_6.12.2.633.msi) e instale las herramientas de depuración para Windows.
• Descargue LiveKD desde: http://technet.microsoft.com/sysinternals/bb897415.aspx.
• Extraiga el contenido de LiveKD.zip a la ubicación donde se han instalado las herramientas de depuración de Windows.
• Rutas predeterminadas:

C:\Program Files\Debugging Tools for Windows (x86)\ 
C:\Program Files\Debugging Tools for Windows (x64)\

• Haga doble clic en livekd.exe.
• Si se le solicita que obtenga símbolos automáticamente del servidor de símbolos de Microsoft, escriba Y y presione Entrar.
• Si se le solicita el nombre de la carpeta donde desea guardar los símbolos que se descargarán, escriba una ruta local y presione Entrar. El soporte técnico recomienda el directorio raíz. La ubicación predeterminada es: C:\symbols
• Si LiveKD no se inicia con un doble clic, ejecútelo desde un indicador administrativo utilizando livekd.exe -w. Este proceso invoca WinDbg.
• LiveKD comienza a descargar los símbolos necesarios. Este paso puede tardar unos minutos en completarse.

NOTAS:
Si la ventana de DOS se cierra automáticamente, es probable que no haya podido conectarse al servidor de símbolos de Microsoft. Verifique la configuración de su conexión a Internet y vuelva al paso 3.

• Si LiveKD continúa cargando los símbolos y el indicador está en kd>, continúe con el siguiente paso.
• En el indicador, escriba .dump /f C:\memory.dmp y presione Entrar.
• Esta ruta indica dónde se guarda el volcado. Es posible que desee crear una carpeta dedicada en la unidad raíz para almacenar el volcado. Asegúrese de que haya suficiente espacio en disco disponible; el espacio necesario mínimamente debe ser igual al doble del tamaño de la memoria física.
• Para evitar daños, comprima el archivo memory.dmp con WinZip o una aplicación similar.
• Cargue el archivo según las instrucciones del Soporte técnico.

Informar de errores

Si encuentras algún error o aporte a la información proporcionada por favor dirígela a soporte@ehack.mx

Otras consideraciones

Obtener el programa:

• Descargar LiveKd.exe (700 KB)

Referencias

• LiveKd por Mark Russinovich y Roberto C. González
• How to obtain a Soft Memory Dump using LiveKD without restarting your computer en McAfee
• How to locally obtain full memory dump on Windows host by Virtuozzo
• Memory acquisition with LiveKd de Benoît Sevens

---

Fuente Imágenes:

LiveKd: Imágenes cortesía by Nala Systems

LiveKd by Roberto C. González traducido y ampliado para Ethical Hack algunas partes se adaptan directamente del sitio SysInternals de Microsoft
©2021, Ethical Hack, Todos los derechos reservados sobre la traducción.
©2021, Ethical Hack, Todos los derechos reservados sobre el contenido propio.

Powered by – Ethical Hack