Alex Necula : 24 septiembre 2025 07:34
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única manera de generar un archivo de volcado completo era usar la opción DedicatedDumpFile , disponible como clave de registro en HKLMSYSTEMCurrentControlSetControlCrashControl.
Un obstáculo importante cuando el archivo DedicatedDumpFile está habilitado y configurado es su eliminación, ya que siempre está en uso por un proceso.
El kernel de Windows (ntoskrnl.exe) crea el volcado de memoria junto con el controlador Crashdmp.sys . Para garantizar que el archivo esté siempre contiguo, no fragmentado y disponible en caso de fallo , el kernel lo mantiene abierto y privado mientras el sistema está en funcionamiento.
Ahora bien, ¿qué sucede si el valor de la clave de registro DedicatedDumpFile no es un archivo .dmp?
De forma predeterminada, Windows no comprueba si el valor de la clave apunta a un archivo .dmp. Si introducimos la ruta a un archivo .exe (por ejemplo, EDR.exe) en la clave DedicatedDumpFile , Windows abrirá el archivo al iniciarse, lo que provocará que se use dicho archivo.
¿Podría esto provocar el bloqueo de un proceso protegido, como un EDR? Claro que sí.
Creé un script de PowerShell simple que agrega la clave DedicatedDumpFile con el valor de una ruta .exe (EDRService.exe).
Como puedes ver en la imagen de abajo, la clave se ha agregado correctamente.
Por supuesto, es necesario reiniciar para agregar la clave a HKLM .
Después del reinicio, como se mencionó anteriormente, no se puede iniciar el proceso EDR porque el servicio está en uso.
Ahora podemos realizar las acciones deseadas sin interacción con EDR.
Esta técnica se probó en ocho EDR y solo uno de ellos la bloqueó , no por DedicatedDumpFile , sino porque verifica si una clave de registro está escrita con su nombre.
El 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
Los ladrones entraron por una ventana del segundo piso del Museo del Louvre, pero el museo tenía problemas que iban más allá de las ventanas sin asegurar, según un informe de auditoría de ciberse...
Reuters informó que Trump declaró a la prensa durante una entrevista pregrabada para el programa «60 Minutes» de CBS y a bordo del Air Force One durante el vuelo de regreso: «No vamos a permitir ...
Un informe de FortiGuard correspondiente al primer semestre de 2025 muestra que los atacantes motivados por intereses económicos están evitando cada vez más las vulnerabilidades y el malware sofist...
La primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
