オンサイトセミナー
豊田孝の「IT談話館」 Windowsメモリダンプ解析を依頼する WinDbgとシステム分析




メモリ解析サービス



WinDbgとWindowsシステム解析

 Windows 10の登場とともに、Windowsシステムコード自体がインターネット越しに随時更新される時代に入りました。更新にはユーザー空間とカーネル空間の変更を伴いますが、いろいろな事情と理由から、カーネル空間へ加えられる変更の技術的な詳細は公開されていないのが実状です。社内外のユーザーに「高度、かつ、安全」なサービスやサポートを提供する上では、ユーザー空間とカーネル空間へ加えられる変更点を調査・把握する技術を習得しておく必要があろうかと思います。

 本「IT談話館」は、WinDbgを単なるデバッガーではなく、新旧のWindowsシステムを構成するユーザー空間とカーネル空間を徹底解析する、高度なシステム分析ツールと位置付けています。このツールは、Microsoft社内の上級エンジニアーや世界の第一線で活動する内部解析者(参照)の必須ツールとなっていることもあり、習得する価値はきわめて高い!、と判断できます。WinDbgに内蔵されている高度な「内部解析機能」を応用活用しますと、次のような今日的な問題を解決することができます。

Windowsシステム内部解析サービス
解析内容

  • パフォーマンス低下因子
  • システムクラッシュ発生原因
  • アプリケーション性能評価
  • 長期潜伏型マルウェアの検出と分析
  • メモリフォレンジックス



 Windowsシステムコード自体がインターネット越しに随時更新されている現在、豊富な経験を誇るベテラン技術者でも、不意を打たれたように、なぜ?、とつぶやく回数が増えています。現在の私たちに必要とされるのは、目の前の問題に対処できる一過性のハウツー知識に加え、予想外の局面に含まれる、不明な要素を自力で解明する手段です。解明のカギは、メモリ内に埋まっています。次の初歩的なコマンドライン操作は、WinDbgがC++とMASMの2種類の発想をサポートし、高度なメモリフォレンジックを可能としていることを示しています。
0: kd> r? $t0 = @@c++((nt!_kthread*)@$thread)
0: kd> r? $t1 = @@c++((nt!_eprocess*)@$t0->Process)
0: kd> r $t2 = @@c++(&@$t1->ImageFileName)
0: kd> .printf "%ma\r\n", @$t2
Idle
0: kd> r? $t0 = @@c++((nt!_kthread*)@$thread)
0: kd> r? $t1 = @@c++((nt!_eprocess*)@$t0->Process)
0: kd> r $t2 = @@masm(@$t1+0x438)
0: kd> .printf "%ma\r\n", @$t2
Idle
 WindowsはSaaSとして提供される時代に入り、その内部は頻繁に更新されています。更新内容の多くは、いろいろな事情から、公にされることはほとんどありません。最新のユーザー空間とカーネル空間に関する信頼できる情報を取得するには、インターネットなどでは語られない高度な内部解析技術が必須とされています。時代が求める人材の育成と重要技術の習得には、「時間と予算の投資」が必要です。


オンサイトセミナー




ビジネスメニュー
Windowsクラッシュダンプ解析サービス 技術資料

Copyright©豊田孝 2004- 2018
本日は2018-12-13です。