Alex Necula : 24 septiembre 2025 07:34
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única manera de generar un archivo de volcado completo era usar la opción DedicatedDumpFile , disponible como clave de registro en HKLMSYSTEMCurrentControlSetControlCrashControl.
Un obstáculo importante cuando el archivo DedicatedDumpFile está habilitado y configurado es su eliminación, ya que siempre está en uso por un proceso.
El kernel de Windows (ntoskrnl.exe) crea el volcado de memoria junto con el controlador Crashdmp.sys . Para garantizar que el archivo esté siempre contiguo, no fragmentado y disponible en caso de fallo , el kernel lo mantiene abierto y privado mientras el sistema está en funcionamiento.
Ahora bien, ¿qué sucede si el valor de la clave de registro DedicatedDumpFile no es un archivo .dmp?
De forma predeterminada, Windows no comprueba si el valor de la clave apunta a un archivo .dmp. Si introducimos la ruta a un archivo .exe (por ejemplo, EDR.exe) en la clave DedicatedDumpFile , Windows abrirá el archivo al iniciarse, lo que provocará que se use dicho archivo.
¿Podría esto provocar el bloqueo de un proceso protegido, como un EDR? Claro que sí.
Creé un script de PowerShell simple que agrega la clave DedicatedDumpFile con el valor de una ruta .exe (EDRService.exe).
Como puedes ver en la imagen de abajo, la clave se ha agregado correctamente.
Por supuesto, es necesario reiniciar para agregar la clave a HKLM .
Después del reinicio, como se mencionó anteriormente, no se puede iniciar el proceso EDR porque el servicio está en uso.
Ahora podemos realizar las acciones deseadas sin interacción con EDR.
Esta técnica se probó en ocho EDR y solo uno de ellos la bloqueó , no por DedicatedDumpFile , sino porque verifica si una clave de registro está escrita con su nombre.
Trabajé como ingeniero de sistemas durante varios años y una de mis responsabilidades era administrar Citrix PVS. Uno de los problemas con PVS era el análisis de los archivos de volcado. La única ...
Cloudflare ha anunciado que gestionó de forma independiente un ataque de denegación de servicio distribuido (DDoS) sin precedentes, el más grande jamás visto. El ataque hipervolumétrico alcanzó ...
Los piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
