Alex Necula : 24 septiembre 2025 07:34
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única manera de generar un archivo de volcado completo era usar la opción DedicatedDumpFile , disponible como clave de registro en HKLMSYSTEMCurrentControlSetControlCrashControl.
Un obstáculo importante cuando el archivo DedicatedDumpFile está habilitado y configurado es su eliminación, ya que siempre está en uso por un proceso.
El kernel de Windows (ntoskrnl.exe) crea el volcado de memoria junto con el controlador Crashdmp.sys . Para garantizar que el archivo esté siempre contiguo, no fragmentado y disponible en caso de fallo , el kernel lo mantiene abierto y privado mientras el sistema está en funcionamiento.
Ahora bien, ¿qué sucede si el valor de la clave de registro DedicatedDumpFile no es un archivo .dmp?
De forma predeterminada, Windows no comprueba si el valor de la clave apunta a un archivo .dmp. Si introducimos la ruta a un archivo .exe (por ejemplo, EDR.exe) en la clave DedicatedDumpFile , Windows abrirá el archivo al iniciarse, lo que provocará que se use dicho archivo.
¿Podría esto provocar el bloqueo de un proceso protegido, como un EDR? Claro que sí.
Creé un script de PowerShell simple que agrega la clave DedicatedDumpFile con el valor de una ruta .exe (EDRService.exe).
Como puedes ver en la imagen de abajo, la clave se ha agregado correctamente.
Por supuesto, es necesario reiniciar para agregar la clave a HKLM .
Después del reinicio, como se mencionó anteriormente, no se puede iniciar el proceso EDR porque el servicio está en uso.
Ahora podemos realizar las acciones deseadas sin interacción con EDR.
Esta técnica se probó en ocho EDR y solo uno de ellos la bloqueó , no por DedicatedDumpFile , sino porque verifica si una clave de registro está escrita con su nombre.
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
