我有一台不断崩溃的 Windows 10 机器。我正在考虑在.dmp网上公开发布转储文件 ( ) 以寻求帮助。这可能是安全或隐私问题吗?如果是,我如何审查信息以减轻威胁?
在线发布 Windows 转储文件是否构成隐私或安全威胁?
信息安全
视窗
隐私
windows-10
2021-08-23 00:09:46
2个回答
请考虑:Microsoft 通过 Windows 错误报告收集此类文件,公司可以通过签署 NDA 访问 Microsoft 收集的这些文件。Microsoft 采取措施仅将故障转储提供给能够证明是其驱动程序导致崩溃的公司。这样做需要数字证书。
您会公开向所有人发布该信息,所以我很高兴您关心。我个人不会在互联网上发布这样的文件。
如果您有 Internet 连接,则只需几个命令即可从中获取最重要的信息。的输出
.symfix c:\symbols
.reload /f
!analyze -v
并删除包含的行ANALYSIS_SESSION_HOST应该足以让某人解决问题或就所需内容提供更多说明。询问和回答可能需要更长的时间,但使用上述步骤可以为您提供人类可读的文本,您可以检查敏感数据。
最重要的数据是这样一行:
BugCheck 117, {fffffa80188fb4e0, fffff88004248e9c, 0, 0}
如果您仍然考虑发布它,它可能包含以下内容: 操作系统崩溃(蓝屏)将生成内核转储。这样的转储包含
- 崩溃信息(异常信息),
- 处理器信息,
- 正在运行的可执行文件,
- PC的崩溃时间和正常运行时间,
- 您加载的驱动程序和
- 可能是物理 RAM 的所有内容(崩溃时内存中的所有内容)。
这可能会给黑客带来攻击媒介:如果他们找到了您的 IP 地址并且他们知道您正在使用的易受攻击的驱动程序的版本,他们可能会开始攻击。
但是,它在很大程度上取决于捕获故障转储的设置。默认情况下,它将是“小内存转储(256 kb)”(至少在 Windows 7 上),因此它不包含来自 RAM 的所有信息,而仅包含与崩溃相关的非常小的子集。这可能仍包括驱动程序和版本号。通常小故障转储足以解决问题。
如果你有一个完整的内核崩溃转储,你可以使用 WinDbg 和命令将它转换成一个小的.dump,这样你最终会得到原始的完整转储和一个小转储。
小内核转储中包含的示例信息:
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.23418.amd64fre.win7sp1_ldr.160408-2045
Debug session time: Sun Jul 3 15:37:39.242 2016 (UTC + 1:00)
System Uptime: 0 days 6:59:28.965
0: kd> lmDvmAtihdW76
start end module name
fffff880`04f5f000 fffff880`04f7b000 AtihdW76 (deferred)
Image path: AtihdW76.sys
Image name: AtihdW76.sys
Browse all global symbols functions data
Timestamp: Wed Feb 24 19:28:17 2016 (56CDF641)
CheckSum: 000201BA
ImageSize: 0001C000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
所以我可以发现七月份我使用的是 ATI 显卡和AtihdW76.sys二月份的驱动程序。如果我留下其他痕迹,例如您的 IP,这可能已经足够进行攻击了。
请注意,此信息不包含在 的文本输出中!analyze -v,因此似乎与分析无关:
0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
VIDEO_TDR_TIMEOUT_DETECTED (117)
The display driver failed to respond in timely fashion.
(This code can never be used for a real bugcheck.)
Arguments:
Arg1: fffffa80188fb4e0, Optional pointer to internal TDR recovery context (TDR_RECOVERY_CONTEXT).
Arg2: fffff88004248e9c, The pointer into responsible device driver module (e.g owner tag).
Arg3: 0000000000000000, The secondary driver specific bucketing key.
Arg4: 0000000000000000, Optional internal context dependent data.
Debugging Details:
------------------
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING: 7601.23418.amd64fre.win7sp1_ldr.160408-2045
DUMP_TYPE: 2
BUGCHECK_P1: fffffa80188fb4e0
BUGCHECK_P2: fffff88004248e9c
BUGCHECK_P3: 0
BUGCHECK_P4: 0
FAULTING_IP:
atikmpag+ce9c
fffff880`04248e9c ?? ???
DEFAULT_BUCKET_ID: GRAPHICS_DRIVER_TDR_TIMEOUT
TAG_NOT_DEFINED_202b: *** Unknown TAG in analysis list 202b
CPU_COUNT: 4
CPU_MHZ: c25
CPU_VENDOR: GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 2a
CPU_STEPPING: 7
BUGCHECK_STR: 0x117
PROCESS_NAME: System
CURRENT_IRQL: 0
ANALYSIS_SESSION_HOST: REMOVETHIS
ANALYSIS_SESSION_TIME: 12-09-2016 19:03:01.0993
ANALYSIS_VERSION: 10.0.14321.1024 amd64fre
STACK_TEXT:
fffff880`05bad2c0 fffff880`044b27e7 : fffffa80`188fb4e0 00000000`00000024 fffffa80`182fc800 fffff880`044b2488 : watchdog!WdDbgReportRecreate+0xa3
fffff880`05bad7e0 fffff880`044b2c1e : 00000000`00001000 fffff8a0`3dd1c8e0 00000000`00000008 00000000`00004000 : dxgkrnl!TdrUpdateDbgReport+0xcb
fffff880`05bad830 fffff880`044b3ed2 : fffffa80`188fb4e0 fffffa80`188fb4e0 fffffa80`182fc800 fffffa80`0dd73410 : dxgkrnl!TdrCollectDbgInfoStage1+0x2e6
fffff880`05bad8d0 fffff880`0455bfbf : fffffa80`188fb4e0 00000000`00000000 fffffa80`182fc800 fffffa80`0dd73410 : dxgkrnl!TdrIsRecoveryRequired+0x17a
fffff880`05bad900 fffff880`04585d09 : 00000000`ffffffff 00000000`00189d69 00000000`00000000 00000000`00000002 : dxgmms1!VidSchiReportHwHang+0x40b
fffff880`05bad9e0 fffff880`0458444f : 00000000`00000102 00000000`00000000 00000000`00189d69 00000000`00000000 : dxgmms1!VidSchiCheckHwProgress+0x71
fffff880`05bada10 fffff880`045572e6 : ffffffff`ff676980 fffffa80`0dd73410 00000000`00000000 00000000`00000000 : dxgmms1!VidSchiWaitForSchedulerEvents+0x1fb
fffff880`05badab0 fffff880`0458400e : 00000000`00000000 fffffa80`182fc800 00000000`00000080 fffffa80`0dd73410 : dxgmms1!VidSchiScheduleCommandToRun+0x1da
fffff880`05badbc0 fffff800`03713bc6 : 00000000`02c4d1a9 fffffa80`0ddb5060 fffffa80`0ca00720 fffffa80`0ddb5060 : dxgmms1!VidSchiWorkerThread+0xba
fffff880`05badc00 fffff800`0346d6a6 : fffff800`035fae80 fffffa80`0ddb5060 fffff800`03608cc0 fffffa80`0da82d90 : nt!PspSystemThreadStartup+0x5a
fffff880`05badc40 00000000`00000000 : fffff880`05bae000 fffff880`05ba8000 fffff880`05bac2b0 00000000`00000000 : nt!KxStartSystemThread+0x16
STACK_COMMAND: kb
THREAD_SHA1_HASH_MOD_FUNC: 711770ee3782c8990d4679145cf9108ec8a862f4
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: cc3ee750d9914b4f5449ea07474e889f95552a7e
THREAD_SHA1_HASH_MOD: 36a574ce8074060aba5fc87a076613c500071d03
FOLLOWUP_IP:
atikmpag+ce9c
fffff880`04248e9c ?? ???
SYMBOL_NAME: atikmpag+ce9c
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: atikmpag
IMAGE_NAME: atikmpag.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 56effafd
FAILURE_BUCKET_ID: X64_0x117_IMAGE_atikmpag.sys
BUCKET_ID: X64_0x117_IMAGE_atikmpag.sys
PRIMARY_PROBLEM_CLASS: X64_0x117_IMAGE_atikmpag.sys
TARGET_TIME: 2016-07-03T14:37:39.000Z
OSBUILD: 7601
OSSERVICEPACK: 1000
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 272
PRODUCT_TYPE: 1
OSPLATFORM_TYPE: x64
OSNAME: Windows 7
OSEDITION: Windows 7 WinNt (Service Pack 1) TerminalServer SingleUserTS
OS_LOCALE:
USER_LCID: 0
OSBUILD_TIMESTAMP: 2016-04-09 07:46:22
BUILDDATESTAMP_STR: 160408-2045
BUILDLAB_STR: win7sp1_ldr
BUILDOSVER_STR: 6.1.7601.23418.amd64fre.win7sp1_ldr.160408-2045
ANALYSIS_SESSION_ELAPSED_TIME: 493
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:x64_0x117_image_atikmpag.sys
FAILURE_ID_HASH: {fa4b6286-8c4a-e9c2-c89f-5612619e000e}
Followup: MachineOwner
---------
拥有您的转储文件的任何人都可能以纯文本形式获取机器上每个用户的密码。
http://carnal0wnage.attackresearch.com/2013/07/mimikatz-minidump-and-mimikatz-via-bat.html
其它你可能感兴趣的问题