オンサイトセミナー
豊田孝の「IT談話館」 Windowsメモリフォレンジックを依頼する WinDbg





本「IT談話館」はDKOMベースの高度なメモリフォレンジックサービスを提供しています!



Windows 8/10とJobオブジェクト


 「Windows 8/10とJobオブジェクト(基礎)」では、Jobオブジェクトを次のように整理しました。  ご覧のように、Jobオブジェクトはセキュリティー改善や業務アプリの開発において極めて「便利、かつ、強力」なカーネルオブジェクトであることが分かります。ただし、「便利、かつ、強力」であるが故に、うまく使いこなせれば!、という条件を付ける必要があるでしょう。そこで、Windows 10 Creators Update環境で採取されたActive Memory Dumpを次のような基本的な視点から解析してみました。  ダンプ採取当時は150個に迫るプロセスが動作中でしたが、上記の2つの制限を有効活用しているプロセスは、次のように、たったの3個です。
1: kd> vertarget
Windows 10 Kernel Version 15063 MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 15063.0.amd64fre.rs2_release.170317-1834
Machine Name:
Kernel base = 0xfffff800`d5287000 PsLoadedModuleList = 0xfffff800`d55d35c0
Debug session time: Sat Aug 26 08:15:56.376 2017 (UTC + 9:00)
System Uptime: 4 days 0:30:14.078

+001: 0xffffdb8ccd31f2c0	EJob->0xffffdb8ccc449080	Total->0145	Limit->32	Active->02	UI->0	WmiPrvSE.exe
+002: 0xffffdb8ccdc0a080	EJob->0xffffdb8cc9858350	Total->0001	Limit->1	Active->01	UI->1	chrome.exe
+003: 0xffffdb8cc97ec080	EJob->0xffffdb8cca0f2890	Total->0001	Limit->1	Active->01	UI->1	chrome.exe
+004: 0xffffdb8ccd385640	EJob->0xffffdb8cce49f2e0	Total->0001	Limit->1	Active->01	UI->1	SearchFilterHo
+005: 0xffffdb8ccc222080	EJob->0xffffdb8ccc449080	Total->0145	Limit->32	Active->02	UI->0	WmiPrvSE.exe
 「Limit->1」は、Jobオブジェクト内で起動できるプロセス数を「1」に制限しています。これは、新たなプロセスの起動を一切禁じることですから、Google社の2つのChromeブラウザインスタンスは厳しい制限を設定しているといえるでしょう。Microsoft社のWmiPrvSE.exeは、「32」という制限値を持っておりますが、この数値はWindows 8.1時代と同じ値です。なお、Jobオブジェクトは「入れ子(ネスト)」可能な設計とされているようですが、その機能を応用しているプロセスは今回の調査では確認できませんでした。



本「IT談話館」はDKOMベースの高度なメモリフォレンジックサービスを提供しています!



 実務的な解析コードの開発技術の導入をご予定の場合には、所属チーム内でご協議の上、本「IT談話館」の「オンサイトセミナー」の受講をご検討いただけますと幸いでございます。


サービスメニュー
Windowsクラッシュダンプ解析サービス 技術資料 WinDbg

Copyright©豊田孝 2004- 2017
本日は2017-10-21です。