¿La publicación de archivos dump de Windows en línea es una amenaza a la privacidad o la seguridad?

5

Tengo una máquina con Windows 10 que sigue fallando. Estoy pensando en publicar los archivos de volcado ( .dmp ) públicamente en línea para obtener ayuda. ¿Puede tratarse de un problema de seguridad o privacidad? En caso afirmativo, ¿cómo puedo censurar la información para mitigar la amenaza?

    
pregunta Celeritas 09.12.2016 - 17:50
fuente

2 respuestas

3

Considere: Microsoft recopila dichos archivos a través de Informes de errores de Windows y las empresas pueden obtener acceso a los archivos recopilados por Microsoft mediante la firma de un NDA. Microsoft toma medidas para que solo los volcados de volcado estén disponibles para las empresas que pueden probar que es su controlador el que causa el bloqueo. Se requiere un certificado digital para hacerlo.

Publicaría esa información para todos públicamente, así que me alegra que le importe. Personalmente no hubiera publicado un archivo de este tipo en Internet.

Solo necesita unos pocos comandos para obtener la información más importante, si tiene una conexión a Internet. La salida de

.symfix c:\symbols
.reload /f
!analyze -v

y eliminar la línea que contiene ANALYSIS_SESSION_HOST debería ser suficiente para que alguien resuelva el problema o proporcione más instrucciones sobre lo que se necesita. Es posible que tarde un poco más en preguntar y responder, pero el uso de los pasos anteriores le brinda un texto legible por un ser humano que puede verificar para datos confidenciales.

El dato más importante es una línea de este tipo:

BugCheck 117, {fffffa80188fb4e0, fffff88004248e9c, 0, 0}

Si aún considera publicarlo, esto es lo que puede contener: Un bloqueo del sistema operativo (pantalla azul) generará un volcado del núcleo. Tal volcado contiene

  • información del fallo (información de excepción),
  • información del procesador,
  • los ejecutables que se están ejecutando,
  • tiempo de interrupción y tiempo de actividad de su PC,
  • los controladores que cargó y
  • potencialmente todos los contenidos de RAM física (todo lo que está en la memoria en el momento del bloqueo).

Esto puede dar a los piratas informáticos un vector de ataque: dado que encuentran su dirección IP y conocen la versión de un controlador vulnerable que tiene en uso, podrían comenzar a atacar.

Sin embargo, depende en gran medida de la configuración con la que se capturó el volcado. De manera predeterminada, será "Descarga de memoria pequeña (256 kb)" (al menos en Windows 7), por lo que no contiene toda la información de la RAM, sino solo un subconjunto muy pequeño relacionado con el bloqueo. Esto todavía puede incluir controladores y números de versión. Por lo general, el pequeño volcado de caída es suficiente para resolver problemas.

Si tienes un volcado de memoria completo del kernel, puedes convertirlo en uno pequeño usando WinDbg y el comando .dump , por lo que finalmente tendrás el volcado completo original y un volcado pequeño.

Información de ejemplo contenida en un pequeño volcado del kernel:

Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.23418.amd64fre.win7sp1_ldr.160408-2045

Debug session time: Sun Jul  3 15:37:39.242 2016 (UTC + 1:00)
System Uptime: 0 days 6:59:28.965

0: kd> lmDvmAtihdW76
start             end                 module name
fffff880'04f5f000 fffff880'04f7b000   AtihdW76   (deferred)             
    Image path: AtihdW76.sys
    Image name: AtihdW76.sys
    Browse all global symbols  functions  data
    Timestamp:        Wed Feb 24 19:28:17 2016 (56CDF641)
    CheckSum:         000201BA
    ImageSize:        0001C000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

Para poder descubrir que en julio estaba usando la tarjeta gráfica ATI con un controlador AtihdW76.sys a partir de febrero. Eso podría ser suficiente para un ataque, si dejo otras huellas, por ejemplo. tu IP.

Tenga en cuenta que esta información no se incluye en la salida textual de !analyze -v , por lo que no parece relevante para el análisis:

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

VIDEO_TDR_TIMEOUT_DETECTED (117)
The display driver failed to respond in timely fashion.
(This code can never be used for a real bugcheck.)
Arguments:
Arg1: fffffa80188fb4e0, Optional pointer to internal TDR recovery context (TDR_RECOVERY_CONTEXT).
Arg2: fffff88004248e9c, The pointer into responsible device driver module (e.g owner tag).
Arg3: 0000000000000000, The secondary driver specific bucketing key.
Arg4: 0000000000000000, Optional internal context dependent data.

Debugging Details:
------------------

DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING:  7601.23418.amd64fre.win7sp1_ldr.160408-2045
DUMP_TYPE:  2
BUGCHECK_P1: fffffa80188fb4e0
BUGCHECK_P2: fffff88004248e9c
BUGCHECK_P3: 0
BUGCHECK_P4: 0

FAULTING_IP: 
atikmpag+ce9c
fffff880'04248e9c ??              ???

DEFAULT_BUCKET_ID:  GRAPHICS_DRIVER_TDR_TIMEOUT
TAG_NOT_DEFINED_202b:  *** Unknown TAG in analysis list 202b

CPU_COUNT: 4
CPU_MHZ: c25
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 2a
CPU_STEPPING: 7
BUGCHECK_STR:  0x117
PROCESS_NAME:  System
CURRENT_IRQL:  0
ANALYSIS_SESSION_HOST:  REMOVETHIS
ANALYSIS_SESSION_TIME:  12-09-2016 19:03:01.0993
ANALYSIS_VERSION: 10.0.14321.1024 amd64fre

STACK_TEXT:  
fffff880'05bad2c0 fffff880'044b27e7 : fffffa80'188fb4e0 00000000'00000024 fffffa80'182fc800 fffff880'044b2488 : watchdog!WdDbgReportRecreate+0xa3
fffff880'05bad7e0 fffff880'044b2c1e : 00000000'00001000 fffff8a0'3dd1c8e0 00000000'00000008 00000000'00004000 : dxgkrnl!TdrUpdateDbgReport+0xcb
fffff880'05bad830 fffff880'044b3ed2 : fffffa80'188fb4e0 fffffa80'188fb4e0 fffffa80'182fc800 fffffa80'0dd73410 : dxgkrnl!TdrCollectDbgInfoStage1+0x2e6
fffff880'05bad8d0 fffff880'0455bfbf : fffffa80'188fb4e0 00000000'00000000 fffffa80'182fc800 fffffa80'0dd73410 : dxgkrnl!TdrIsRecoveryRequired+0x17a
fffff880'05bad900 fffff880'04585d09 : 00000000'ffffffff 00000000'00189d69 00000000'00000000 00000000'00000002 : dxgmms1!VidSchiReportHwHang+0x40b
fffff880'05bad9e0 fffff880'0458444f : 00000000'00000102 00000000'00000000 00000000'00189d69 00000000'00000000 : dxgmms1!VidSchiCheckHwProgress+0x71
fffff880'05bada10 fffff880'045572e6 : ffffffff'ff676980 fffffa80'0dd73410 00000000'00000000 00000000'00000000 : dxgmms1!VidSchiWaitForSchedulerEvents+0x1fb
fffff880'05badab0 fffff880'0458400e : 00000000'00000000 fffffa80'182fc800 00000000'00000080 fffffa80'0dd73410 : dxgmms1!VidSchiScheduleCommandToRun+0x1da
fffff880'05badbc0 fffff800'03713bc6 : 00000000'02c4d1a9 fffffa80'0ddb5060 fffffa80'0ca00720 fffffa80'0ddb5060 : dxgmms1!VidSchiWorkerThread+0xba
fffff880'05badc00 fffff800'0346d6a6 : fffff800'035fae80 fffffa80'0ddb5060 fffff800'03608cc0 fffffa80'0da82d90 : nt!PspSystemThreadStartup+0x5a
fffff880'05badc40 00000000'00000000 : fffff880'05bae000 fffff880'05ba8000 fffff880'05bac2b0 00000000'00000000 : nt!KxStartSystemThread+0x16


STACK_COMMAND:  kb
THREAD_SHA1_HASH_MOD_FUNC:  711770ee3782c8990d4679145cf9108ec8a862f4
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  cc3ee750d9914b4f5449ea07474e889f95552a7e
THREAD_SHA1_HASH_MOD:  36a574ce8074060aba5fc87a076613c500071d03

FOLLOWUP_IP: 
atikmpag+ce9c
fffff880'04248e9c ??              ???

SYMBOL_NAME:  atikmpag+ce9c
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME: atikmpag
IMAGE_NAME:  atikmpag.sys
DEBUG_FLR_IMAGE_TIMESTAMP:  56effafd
FAILURE_BUCKET_ID:  X64_0x117_IMAGE_atikmpag.sys
BUCKET_ID:  X64_0x117_IMAGE_atikmpag.sys
PRIMARY_PROBLEM_CLASS:  X64_0x117_IMAGE_atikmpag.sys
TARGET_TIME:  2016-07-03T14:37:39.000Z
OSBUILD:  7601
OSSERVICEPACK:  1000
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  272
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x64
OSNAME:  Windows 7
OSEDITION:  Windows 7 WinNt (Service Pack 1) TerminalServer SingleUserTS
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2016-04-09 07:46:22
BUILDDATESTAMP_STR:  160408-2045
BUILDLAB_STR:  win7sp1_ldr
BUILDOSVER_STR:  6.1.7601.23418.amd64fre.win7sp1_ldr.160408-2045
ANALYSIS_SESSION_ELAPSED_TIME: 493
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:x64_0x117_image_atikmpag.sys
FAILURE_ID_HASH:  {fa4b6286-8c4a-e9c2-c89f-5612619e000e}
Followup:     MachineOwner
---------
    
respondido por el Thomas Weller 09.12.2016 - 19:08
fuente
-1

Cualquier persona que posea su archivo de volcado puede obtener las contraseñas de todos los usuarios de la máquina en texto sin formato.

enlace

    
respondido por el Bryan 09.12.2016 - 22:53
fuente

Lea otras preguntas en las etiquetas