「Windowsメモリダンプ解析サービス」のご案内
豊田孝の「IT談話館」 Windowsメモリダンプ解析を依頼する




「Windowsメモリダンプ解析サービス」のご案内



Windowsシステム分析

 本稿では、Windowsシステム分析を取り上げます。分析作業にはツールが必要になりますが、本「IT談話館」は、米Microsoftから無料で提供されているWinDbgを採用しています。

 WinDbgはかつてはVisual Stadio(VS)の補完ツールのように表現されたことがありました。つまり、デバッグ作業の90%はVS環境で行い、それでも手に負えない場合にだけWinDbg環境で行う、という開発現場の雰囲気が主流でした(本館主筆豊田孝の監訳書籍を参照)。つまり、WinDbgはこれまで「強力」だが「敷居の高い」カーネルデバッガー、という位置付けでした。WindowsがSaaSとして提供されている現在、この現場雰囲気は変質し、世界的に活動するWindows先端技術者はほぼ例外なくWinDbgを起動し、内部解析を行っています。本「IT談話館」は、10年以上前から、WinDbgを単なるデバッガーではなく、新旧のWindowsシステムを構成するユーザー空間とカーネル空間を徹底解析する、高度なシステム分析ツールと位置付けています。WinDbgを活用すると、次のような今日的な課題と問題を解決することができます。

Windowsメモリダンプ解析依頼申し込み
解析内容

  • パフォーマンス低下因子
  • システムクラッシュ発生原因
  • アプリケーション性能評価
  • 長期潜伏型マルウェアの検出と分析
  • メモリフォレンジックス

 Windowsシステムコード自体がインターネット越しに随時更新されている現在、豊富な経験を誇るベテラン技術者でも、不意を打たれたように、なぜ?、とつぶやく回数が増えています。現在の「私たち」に必要とされるのは、目の前の問題に対処できる一過性のハウツー知識に加え、予想外の局面に含まれる、不明な要素を自力で解明するシステム分析能力です。ここでの「私たち」の中には米Microsoft社の上級エンジニアーも含まれます(別稿参照)。短周期で繰り返される内部変更に関する情報は、今後も外部には公開されることはないでしょう。また、更新範囲が多岐に渡るため、掌握も困難を極めます。Windowsの信頼できる最新情報を入手するカギは、実は、メモリ内に埋まっています。次の初歩的なWinDbgコマンドライン操作は、WinDbgがC++とMASMの2種類の発想をサポートし、高度な内部解析とメモリフォレンジックを可能としていることを明確に示しています。
0: kd> r? $t0 = @@c++((nt!_kthread*)@$thread)
0: kd> r? $t1 = @@c++((nt!_eprocess*)@$t0->Process)
0: kd> r $t2 = @@c++(&@$t1->ImageFileName)
0: kd> .printf "%ma\r\n", @$t2
Idle
0: kd> r? $t0 = @@c++((nt!_kthread*)@$thread)
0: kd> r? $t1 = @@c++((nt!_eprocess*)@$t0->Process)
0: kd> r $t2 = @@masm(@$t1+0x438)
0: kd> .printf "%ma\r\n", @$t2
Idle
 本「IT談話館」はこの強力な機能を活用し、たとえば、Google社のProjectZeroチームが公開する 「このようなブログ」を一種の仕様書と見立て、独自の解析コードを開発し、ブログ内容の賞味期限とともに、日々繰り返されるWindowsシステムの内部変遷を次のように確認しています。今の時代、この作業は避けて通れません。
||1:lkd> vertarget
Windows 10 Kernel Version 18362 MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 18362.1.amd64fre.19h1_release.190318-1202
Machine Name:
Kernel base = 0xfffff804`67c00000 PsLoadedModuleList = 0xfffff804`680480b0
Debug session time: Fri Nov  8 09:11:56.153 2019 (UTC + 9:00)
System Uptime: 3 days 13:56:07.992

+0xffffb50aaac68040	Type->02	Signer->07	Critical->0	SubsystemProcess->0	System
+0xffffb50aaadd6040	Type->02	Signer->07	Critical->0	SubsystemProcess->0	Registry
+0xffffb50aac9d6040	Type->01	Signer->06	Critical->1	SubsystemProcess->0	smss.exe
+0xffffb50aae7bf080	Type->01	Signer->06	Critical->1	SubsystemProcess->1	csrss.exe
+0xffffb50ab02a4080	Type->01	Signer->06	Critical->1	SubsystemProcess->0	wininit.exe
+0xffffb50ab02ab3c0	Type->01	Signer->06	Critical->1	SubsystemProcess->1	csrss.exe
+0xffffb50ab02ed2c0	Type->01	Signer->06	Critical->1	SubsystemProcess->0	services.exe
-0xffffb50ab02e90c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	lsass.exe
-0xffffb50ab035e080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0361080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	fontdrvhost.ex
+0xffffb50ab0366080	Type->00	Signer->00	Critical->1	SubsystemProcess->0	svchost.exe
-0xffffb50ab03a64c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	winlogon.exe
-0xffffb50ab0a32480	ProtectionLevel->00	Critical->0	SubsystemProcess->0	fontdrvhost.ex
+0xffffb50ab0a52440	Type->00	Signer->00	Critical->1	SubsystemProcess->0	svchost.exe
-0xffffb50ab0a65080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0aa5080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	dwm.exe
-0xffffb50ab0b53080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0ba1080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0bc6080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0bd5080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0bd4080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0c0b080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0c790c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0c87080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0d7a0c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0d7d080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0d7b080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
+0xffffb50ab0da2040	Type->02	Signer->07	Critical->0	SubsystemProcess->0	MemCompression
+0xffffb50ab0e06080	Type->00	Signer->00	Critical->1	SubsystemProcess->0	svchost.exe
-0xffffb50ab0e07080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0e1b080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0e19080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0e1a080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0e1e080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	WUDFHost.exe
-0xffffb50ab0e80080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0eb40c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0eef080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0ef3080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0ef4080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0f410c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0f97080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0fca080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab1023080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab103f0c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aaacca0c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aaad2f080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aaad1e080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aaac620c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab1168080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab11f50c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	spoolsv.exe
+0xffffb50ab1220080	Type->00	Signer->00	Critical->1	SubsystemProcess->0	svchost.exe
-0xffffb50ab0f2f080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab11f90c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	armsvc.exe
-0xffffb50ab1374300	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab136b0c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab131c080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab1388080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab1389080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab1387080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab134e080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab13c1080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	mqsvc.exe
-0xffffb50ab13c5080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	SMSvcHost.exe
-0xffffb50ab13d0080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	Sysmon.exe
-0xffffb50ab13d3080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
+0xffffb50ab13d90c0	Type->01	Signer->03	Critical->0	SubsystemProcess->0	MsMpEng.exe
-0xffffb50ab13de300	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aae89c080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab13ce080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab16d4080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab178e0c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab17a1080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab1b9d080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
+0xffffb50ab19c84c0	Type->01	Signer->03	Critical->0	SubsystemProcess->0	NisSrv.exe
-0xffffb50ab1281080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	sihost.exe
-0xffffb50ab1270080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aaccab480	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0ffb080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aaccb1080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	taskhostw.exe
-0xffffb50aac647080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aaccbc080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	ctfmon.exe
-0xffffb50aac61e080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	explorer.exe
-0xffffb50ab1e8d080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab1e93080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aacde8340	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab0a9f080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	StartMenuExper
-0xffffb50aacf2f080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	RuntimeBroker.
-0xffffb50aae165080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	dllhost.exe
-0xffffb50aacca6080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	SearchUI.exe
-0xffffb50ab211b080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	RuntimeBroker.
-0xffffb50ab21bb080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	SecurityHealth
+0xffffb50ab1fe4080	Type->01	Signer->05	Critical->0	SubsystemProcess->0	SecurityHealth
-0xffffb50ab22ab080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	RAVCpl64.exe
-0xffffb50ab1247080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab22dd080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab23c6080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
+0xffffb50ab24bc080	Type->02	Signer->06	Critical->0	SubsystemProcess->0	SgrmBroker.exe
-0xffffb50ab1b95080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
+0xffffb50aae150080	Type->01	Signer->05	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab2384080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	SearchIndexer.
-0xffffb50ab24bb080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab2395080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab23e7080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	ShellExperienc
-0xffffb50ab2db3080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab1b744c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	LockApp.exe
-0xffffb50ab22b4080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	RuntimeBroker.
-0xffffb50ab299d080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50aaccb2080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab37f6080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	SettingSyncHos
-0xffffb50ab2cf7080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab2a2a080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	WindowsInterna
-0xffffb50ab2f46080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab177c080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab3941080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	GameBar.exe
-0xffffb50ab396d0c0	ProtectionLevel->00	Critical->0	SubsystemProcess->0	RuntimeBroker.
-0xffffb50ab41cb240	ProtectionLevel->00	Critical->0	SubsystemProcess->0	GameBarFT.exe
+0xffffb50ab35a60c0	Type->01	Signer->05	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab68cb080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	SecurityHealth
-0xffffb50ab68c2080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab6d21080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	svchost.exe
-0xffffb50ab6b2d080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	WmiPrvSE.exe
-0xffffb50ab3be6240	ProtectionLevel->00	Critical->0	SubsystemProcess->0	windbg.exe
-0xffffb50ab6579080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	notepad.exe
-0xffffb50ab3961080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	ImeBroker.exe
-0xffffb50ab6d2c080	ProtectionLevel->00	Critical->0	SubsystemProcess->0	audiodg.exe
 この出力情報は、保護プロセス(Protected Process)に関するものですが、Windowsビルド毎に異なります。情報内にはいろいろなデータ項目が含まれています。システム分析を進める場合には、独自解析コードにIF文などを追加すれば、たとえば、「ProtectionLevel->00」の値で必要情報を絞り切ることが簡単にできてしまいます。次の出力例は、「ProtectionLevel->00」以外のデータを示しています。なお、解析コードの開発知識の習得には、「時間と予算の投資」が必要です。
+0xffffb50aaac68040	Type->02	Signer->07	Critical->0	SubsystemProcess->0	System
+0xffffb50aaadd6040	Type->02	Signer->07	Critical->0	SubsystemProcess->0	Registry
+0xffffb50aac9d6040	Type->01	Signer->06	Critical->1	SubsystemProcess->0	smss.exe
+0xffffb50aae7bf080	Type->01	Signer->06	Critical->1	SubsystemProcess->1	csrss.exe
+0xffffb50ab02a4080	Type->01	Signer->06	Critical->1	SubsystemProcess->0	wininit.exe
+0xffffb50ab02ab3c0	Type->01	Signer->06	Critical->1	SubsystemProcess->1	csrss.exe
+0xffffb50ab02ed2c0	Type->01	Signer->06	Critical->1	SubsystemProcess->0	services.exe
+0xffffb50ab0da2040	Type->02	Signer->07	Critical->0	SubsystemProcess->0	MemCompression
+0xffffb50ab13d90c0	Type->01	Signer->03	Critical->0	SubsystemProcess->0	MsMpEng.exe
+0xffffb50ab19c84c0	Type->01	Signer->03	Critical->0	SubsystemProcess->0	NisSrv.exe
+0xffffb50ab1fe4080	Type->01	Signer->05	Critical->0	SubsystemProcess->0	SecurityHealth
+0xffffb50ab24bc080	Type->02	Signer->06	Critical->0	SubsystemProcess->0	SgrmBroker.exe
+0xffffb50aae150080	Type->01	Signer->05	Critical->0	SubsystemProcess->0	svchost.exe
+0xffffb50ab35a60c0	Type->01	Signer->05	Critical->0	SubsystemProcess->0	svchost.exe
 この情報内の「Type->02」は保護プロセス、「Type->01」は保護プロセス(Light)を示しています。Windows 10では「svchost.exe」プロセスの数が増えていますが、この情報を見ると、すべての「svchost.exe」プロセスが保護されているわけではありません。「Type->02」と「Signer->07」の組み合わせは最強の保護レベルとなります。「Type->01」と「Signer->03」は、アンチウィルス(AV)関連プロセスに適応されます(米Microsoft社資料」参照)。同資料は、AVはマルウェアの攻撃ターゲットにされている、と危機感を表明しています。

 Google社の「ブログ」はWindows 8.1時代の内部技術を前提に起草されています。現在はWindows 10が主流であり、Windows 8.1時代の同ブログ内容の賞味期限が気になります。情報内には、「Signer」という項目が含まれていますが、Windows 8.1時代には次のように定義されていました。
Windows 8.1時代
1: kd> dt _PS_PROTECTED_SIGNER
PS_PROTECTED_SIGNER
  PsProtectedSignerNone = 0n0
  PsProtectedSignerAuthenticode = 0n1
  PsProtectedSignerCodeGen = 0n2
  PsProtectedSignerAntimalware = 0n3
  PsProtectedSignerLsa = 0n4
  PsProtectedSignerWindows = 0n5
  PsProtectedSignerWinTcb = 0n6
  PsProtectedSignerMax = 0n7
 この定義は、Windows 8.1からWindows 10への遷移過程で、次のように再定義されました。
分析時点時のWindows 10
1: kd> dt _PS_PROTECTED_SIGNER
   PsProtectedSignerNone = 0n0
   PsProtectedSignerAuthenticode = 0n1
   PsProtectedSignerCodeGen = 0n2
   PsProtectedSignerAntimalware = 0n3
   PsProtectedSignerLsa = 0n4
   PsProtectedSignerWindows = 0n5
   PsProtectedSignerWinTcb = 0n6
   PsProtectedSignerWinSystem = 0n7
   PsProtectedSignerApp = 0n8
   PsProtectedSignerMax = 0n9
 Windows 8.1からWindows 10への遷移過程では、「PsProtectedSignerWinSystem = 0n7」と「PsProtectedSignerApp = 0n8」の2点が新たに追加されています。ここでは、追加された「PsProtectedSignerWinSystem = 0n7」と従来から存在する「PsProtectedSignerWindows = 0n5」や「PsProtectedSignerWinTcb = 0n6」の間にある機能上の違いが気になったとします。違いを理解するには、本館のこの「Windows XP/7/8/10のセッションとプロセス」記事程度の基礎知識を身に着けた上で、「Signer」、「Critical」、および、「SubsystemProcess」などの他の値を慎重に比較・吟味し、システム性能低下をはじめとする問題が深刻であれば、「Services.exe」の子プロセスは、原則的に、動作を停止することができます。停止不可条件が設定されている場合には、米Microsoftの(あれば)該当説明文をまず精読し、その理由を独自に分析・実証することになりますが、本稿ではその工程は割愛します。ちなみに、Google社のブラウザであるChromeには、現在、次のような保護条件が設定されています。
-0xffffa80fba830080	ProtectionType->00	Signer->0	Critical->0	SystemProcess->0	SubsystemProcess->0	chrome.exe
-0xffffa80fae5c2080	ProtectionType->00	Signer->0	Critical->0	SystemProcess->0	SubsystemProcess->0	chrome.exe
-0xffffa80fbcfef080	ProtectionType->00	Signer->0	Critical->0	SystemProcess->0	SubsystemProcess->0	chrome.exe
-0xffffa80fbaae50c0	ProtectionType->00	Signer->0	Critical->0	SystemProcess->0	SubsystemProcess->0	chrome.exe
-0xffffa80fbb0e70c0	ProtectionType->00	Signer->0	Critical->0	SystemProcess->0	SubsystemProcess->0	chrome.exe
-0xffffa80fba711080	ProtectionType->00	Signer->0	Critical->0	SystemProcess->0	SubsystemProcess->0	chrome.exe
-0xffffa80fbcadc080	ProtectionType->00	Signer->0	Critical->0	SystemProcess->0	SubsystemProcess->0	chrome.exe
-0xffffa80fbc77b080	ProtectionType->00	Signer->0	Critical->0	SystemProcess->0	SubsystemProcess->0	chrome.exe
 Google Chromeのセキュリティー取り組みや考え方に関しては、本館のこの「WinDbgとWindowsセキュリティー解析」記事が参考になるかもしれません。以上保護プロセスに関するシステム分析例を紹介しました。プロセスを保護するメカニズムはほかにも複数の異なる視点からすでに実装されています。より高度、かつ、実践的なシステム分析例は本館の「こちら」のページで紹介しています。

 WindowsはSaaSとして提供される時代に入り、その内部は頻繁に更新されています。更新内容の多くは、いろいろな事情から、公にされることはほとんどありません。この背景には、セキュリティーインシデントの頻発と深刻化への対策のほかに、ML/DL/AL分野の研究成果の応用と実装という大きな時代の流れがあります。この流れの中では、システム内部データの急増と練磨が不可避になります。WinDbgのシステム分析機能に精通すると、この急流の本質を自分の目で観察し、データ分析を通して近未来の方向性を予測できるようになります。

 時代が求める人材の育成と技術の習得には、「時間と予算の投資」が不可欠となっています。




「Windowsメモリダンプ解析サービス」のご案内




ビジネス
Windows内部解析技術資料

Copyright©豊田孝 2004- 2020
本日は2020-01-25です。