> Tech > Si vous ne trouvez pas l’article de la Base de connaissances …

Si vous ne trouvez pas l’article de la Base de connaissances …

Tech - Par iTPro - Publié le 24 juin 2010
email

Si vous ne trouvez pas l'article de la Base de connaissances correspondant à  votre environnement ou au scénario de l'incident, passez à  l'écran suivant de Kanalyse, qui demande l'emplacement des symboles. Kanalyse charge les symboles de tous les modules du noyau trouvés dans le vidage. Cette page indique les symboles

manquants
(les pilotes d’éditeurs tiers n’incluent généralement pas de symboles) ou ceux
qui ne correspondent pas aux modules chargés. Les avertissements signalant les
non-concordances des symboles signifient que les symboles installés sont peut-être
périmés à  cause de l’installation d’un service pack ou d’un correctif.



La page suivante de l’assistant indique les composants enfichables qui vont être
chargés par Kanalyse pour effectuer l’analyse du vidage. Sur l’écran suivant,
Kanalyse appelle à  leur tour les DLL, pour localiser les éléments et analyser
les informations qui en résultent. On peut suivre toutes les phases de la progression
de Kanalyse. La phase [KA_START_LOCATE_ITEMS] mentionne les composants enfichables
qui recherchent les éléments dans le vidage de l’incident, puis la phase [KA_PERFORM_ANALYSIS]
exécute tous les composants enfichables qui effectuent l’analyse. Lorsque la phase
d’analyse est achevée, Kanalyse attend que vous alliez à  la page finale de l’assistant,
qui permet de visualiser les résultats de l’analyse.



Si le bouton Affichage de la zone Conclusions de l’analyse de la page Résultats
n’est pas grisé, cela signifie qu’un ou plusieurs composants enfichables pensent
avoir identifié la cause de l’incident. Si Kanalyse est exécuté sur un vidage
généré avec BSOD, l’option Affichage est activée, comme sur la Figure 4. En cliquant
sur Affichage, on affiche la fenêtre de Navigation des espaces de noms pour les
problèmes identifiés, que montre la Figure 5. La fenêtre indique que, d’après
le composant enfichable STOPCODE, c’est le pilote crashdd.sys qui est responsable
de l’incident. La fenêtre Navigateur des espaces de noms montre même le chemin
de la pile (non visible sur la Figure 5), qui indique que la fonction IopLoadUnloadDriver,
de Ntoskrnl (le noyau), a appelé une fonction de crashdd.sys et que crashdd.sys
a alors appelé KiTrap0E, de Ntoskrnl. Chaque fois qu’apparaît une fonction contenant
le mot Trap ou Exception dans une analyse de vidage d’incident, on peut affirmer
à  coup sûr que le code du noyau a accédé à  un pointeur invalide et planté le système.
Dans un incident généré par BSOD, l’accès de la mémoire invalide par crashdd.sys
provoque l’exécution de la fonction d’interruption.

























Je ne conseille pas d’afficher la zone Conditions anormales de la page Résultats
de l’assistant. Les composants enfichables identifient préventivement, comme potentiellement
inhabituelles, beaucoup de situations qui ne le sont pas. La page Résultats propose
aussi un bouton Affichage pour la zone Informations de la base de données, qui
permet de comparer les informations sur l’incident avec d’autres informations
stockées dans une base de données. Si SQL Server n’est pas installé, cette fonctionnalité
ne peut pas être installée.

Le dernier bouton de la page Résultats, Avancé, déclenche un affichage des éléments
détectés pouvant servir pour une analyse manuelle. Les éléments sont organisés
par type et les sous-éléments résident en dessous des éléments correspondants,
dans la hiérarchie définie par les composants enfichables pour leurs objets. Par
exemple, le dossier Module, que génère le composant enfichable Module, a des sous-dossiers
pour les régions de mémoire occupées par le code des pilotes et du noyau, les
données, et l’en-tête d’image (qui stocke des informations sur la composition
d’une image). Le sous-dossier Processus du dossier ExecutiveObject devrait s’avérer
utile. Comme le montre la Figure 6, il contient la liste de tous les processus
tournant sur le système au moment de l’incident et donne des informations détaillées
sur l’usage de la mémoire par chacun d’eux.













Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 24 juin 2010