jeudi 15 mars 2007

Toujours plus loin avec WinDbg

Depuis la fin de SoftIce, les outils de déboguage Microsoft sont devenus indispensables pour toute personne qui s'intéresse sérieusement au noyau Windows. A noter que des alternatives existent, telles que RR0D ou SysEr. Si le premier est actuellement en suspens, le deuxième semble assez prometteur ... comme la plupart des logiciels de sécurité Chinois d'ailleurs ...

La vraie nouveauté de la version 6.6.7.5 sur laquelle je suis tombée par hasard en idlant sur Internet, c'est DML (Debugger Markup Language). Et oui, désormais l'affichage de WinDbg supporte un langage proche de HTML qui permet de créer des liens hypertexte dans la console du débogueur, par exemple via la commande OutputDebugString() !

Les commandes à connaitre sont les suivantes, le lecteur curieux se reportera à la doc Microsoft (fichier dml.doc).

  • .dml_start
  • !dml_proc
  • .dml_flow
Dans un autre registre, j'ai découvert également qu'un SDK permettant d'accéder au contenu des fichiers ".PDB" (fichiers de déboguage Microsoft) est fourni avec Visual Studio 2005. Vous trouverez dans le sous-répertoire "DIA SDK\Samples" le programme d'exemple DIA2DUMP, une bonne base pour commencer.

Pour finir, le blog Microsoft Debugging Toolbox répond enfin à la question essentielle entre toutes : au démineur, est-il possible de cliquer sur une mine au premier coup ? Si non, est-ce que les mines sont placées après le premier clic ?

Voici la commande qui donne la réponse (sous Windows XP SP2) :
eb poi(@$peb+0x8)+0x36fa c6 00 8a

La réponse est : les mines sont placées lors du "new game". Si le joueur clique sur une mine au premier coup, celle-ci est replacée aléatoirement sur le tableau. Ouf !

PS. Pas de compte-rendu du SSTIC sur ce blog : je n'y suis pas resté assez longtemps pour pouvoir donner un avis pertinent. Une chose est sûre : en Bretagne, il pleut !

Posted by newsoft at 13:06:00

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)