アプリケーションが例外をキャッチしなかったらどうなるか
アプリケーション内で発生した Null Pointer Exception などの例外をアプリケーション自身が捕捉(キャッチ)しなかった場合、デバッガが起動したりダンプファイルが生成されたりしますが、この動作がどうなっているのか追ってみます。 動作確認環境 Windows 11 Home 22H2 Visual Studio Community 2022 (Visual C++) 例外発生プログラムを作成 調査のため、3 秒後に NULL ポインタ例外(Null Pointer Exceptio […]
WinDbg: ダンプファイルの解析をしたいがオフライン環境のためシンボルファイルがダウンロードできないとき
ダンプファイル(メモリダンプ, .dmp ファイル)を解析したいがデバッグ環境がインターネットから切り離されているため OS のシンボルファイル(デバッグ情報ファイル, プログラムデータベース、.PDB ファイル)がダウンロードできない場合、どこか別のオンライン環境にて適切なシンボルファイルをダウンロードして持ってくる必要があります。その方法についていくつか説明します。 動作確認環境 Windows 11 Home 22H2 WinDbg 10.0 ダンプファイルを別環境に持っていき WinDb […]
いまはもう動かないキーロガーの記録
その昔秋葉原で買ったものの動かなくなってしまったハードウェアキーロガーについて、廃棄する前に写真や使い方などを記録しておきます。 動作確認環境 Windows 11 Home 22H2 ハードウェアキーロガーの動作 ハードウェアキーロガーとは、外付けキーボードとパソコンの間に接続するキー入力記録装置です。下の写真は 2011 年に秋葉原で購入したものです。いまは秋葉原でキーロガーを入手することはできないと思いますが、そのときはレジの上だったか横だったかのパネルに普通にぶら下がっていました。 価格 […]
ソフトウェアブレークポイントとハードウェアブレークポイントの違い
ソフトウェアブレークポイントとハードウェアブレークポイント(プロセッサーブレークポイント, データブレークポイント)の違いを、Visual C++ や WinDbg を使いながら見てみます。 動作確認環境 Windows 11 Home 22H2 Visual Studio Community 2022 (Visual C++) WinDbg 10.0 ソフトウェアブレークポイントとは ソフトウェアブレークポイントは、プログラムのコード(マシン語)を一時的にデバッグ用のトラップ命令に書き換えるこ […]
WinDbg: 関数呼び出しの IN と OUT をトレースする方法
WinDbg で、特定の関数が呼び出されたこと、また、そこからリターンしたことをトレースする方法について説明します。故障解析などで Win32 API 関数や内部関数の呼び出し状況を把握したい場合に役立ちます。 動作確認環境 Windows 11 Home 22H2 Visual Studio Community 2022 (Visual C++) WinDbg 10.0 結論 いきなり結論ですが、次のようなブレークポイントを仕掛けることで目的が達成できます。 ここで、 <モジュール名&g […]
静的リンク・動的リンク・明示的リンク・暗黙的リンク・遅延ロードの違い
混乱しがちな、静的リンク・動的リンク・明示的リンク・暗黙的リンク・遅延ロードの違いについて見てみます。Windows 前提です。 動作確認環境 Windows 11 Home 22H2 Visual Studio Community 2022 (Visual C++) 静的リンクと動的リンク 静的リンク (= スタティックリンク)では、プログラムのビルド時に、ライブラリを実行可能ファイル内に埋め込みます(DLL への埋め込みも可)。静的リンク用のライブラリを、静的ライブラリ(= スタティックライ […]
Windows のダンプファイルのフォーマットを知る
Windows のダンプファイル (*.dmp) はどういうフォーマット(構造)になっているのでしょうか。調べてみましょう。対象はユーザーモードダンプの主流であるミニダンプです。 動作確認環境 Windows 11 Home 22H2 ダンプファイルの概要 ダンプファイル(ミニダンプ)のフォーマットは、マイクロソフトのサイトにある「MINIDUMP_HEADER 構造体」の説明を起点に、各メンバーの詳細を追っていくと分かります [1]。 ざっくり言うと、先頭に「ヘッダ」があり、ヘッダが「ストリー […]
UAC の確認ボタンをキーボードエミュレーターで自動的に押す
UAC(ユーザーアカウント制御)を有効にしていると、たとえ管理者ユーザーでログオンしていても、管理者権限を要求するプログラムの起動時に次のような UAC 確認画面が表示されます。 この[はい]ボタンをキーボードエミュレーター(ハードウェア)で自動的に押す実験をします。 動作確認環境 Windows 11 Home 22H2 Visual Studio Community 2022 (Visual C++) PowerShell 5.1 Windows API で[はい]ボタンが押せない UAC […]
WinDbg: プロセス起動直後、DLL がロードされ、エントリーポイントや main() に入るまでの動作を確認する
Windows のプロセスが起動し、DLL の暗黙的ロードが行われ、exe のエントリーポイントが呼び出され、main (WinMain) に入るまでの動作を観察してみます。 動作確認環境 Windows 11 Home 22H2 WinDbg 10.0 通常の手段では手遅れ 調査対象のプログラム(今回は MyMain.exe)を実行してから WinDbg でアタッチしても、 当然ながら、暗黙的ロードの DLL はすでに読み込まれてしまっています。 WinDbg の引数に調査対象のプログラムを指 […]
キーボードエミュレータを使った自動キーボード入力でファイルを他端末にコピーする
PC から別の PC に、キーボードエミュレータを使ってファイルをコピーしてみます。ウィルス感染対策などで USB メモリや LAN の使用が禁止されている場合に役立つ、かもしれません。 動作確認環境 Windows 11 Home 22H2 みんラボのキーボード/マウスエミュレータ 自動キーボード入力を行うため、みんなのラボの「キーボード/マウス エミュレータ(USB 接続版)」を利用します [1]。私は秋葉原の Shigezone にて 1650 円で購入しました。 青い USB メモリのよ […]