В сети есть модифицированная копия книжки "Windows Sysinternals Administrator's Reference", размером 30.662 КБ. А на library.nu она же 27.952 КБ. Поаккуратней.
» Sysinternals Suite (Microsoft)
Недели две назад качнул сюиту, внезапно обнаружил, что TCPview падают сразу при запуске, окно открывается на мгновенье и сразу закрывается. Вернул старую версию - та же фигня, иногда успевает список открыть. В системном журнале есть запись:
[more]
Код:
Тип события: Уведомление
Источник события: Application Popup
Категория события: Отсутствует
Код события: 26
Дата: 11.08.2011
Время: 22:40:14
Пользователь: Н/Д
Компьютер: computer
Описание:
Всплывающее окно приложения: Tcpview.exe - Ошибка приложения : Инструкция по адресу "0x7c82a38b" обратилась к памяти по адресу "0x8083fff4". Память не может быть "read".
"ОК" -- завершение приложения
"Отмена" -- отладка приложения
[more]
Код:
Тип события: Уведомление
Источник события: Application Popup
Категория события: Отсутствует
Код события: 26
Дата: 11.08.2011
Время: 22:40:14
Пользователь: Н/Д
Компьютер: computer
Описание:
Всплывающее окно приложения: Tcpview.exe - Ошибка приложения : Инструкция по адресу "0x7c82a38b" обратилась к памяти по адресу "0x8083fff4". Память не может быть "read".
"ОК" -- завершение приложения
"Отмена" -- отладка приложения
wsadneg
Для начала сделать chkdsk на дисках. Можно в свойствах дисков выбрать проверку. А потом посмотреть. Возможно, что файл на томе повреждён. Или какая либа удалена. Точнее надо по месту проверять.
Для начала сделать chkdsk на дисках. Можно в свойствах дисков выбрать проверку. А потом посмотреть. Возможно, что файл на томе повреждён. Или какая либа удалена. Точнее надо по месту проверять.
Проверка ошибок не выявила, восстановление файла из архива не помогает.
wsadneg
посмотри перво-наперво в потоках чего у TCPView.exe, может там чего интересного найдется или попробуй удалить значение тулзы из реестра (искать стоит здесь HKCU\Software\Sysinternals), отключи возможность создавать системные точки автоматом и затри сам TCPView.exe, например, тем же sdelete.exe, и перезагрузись.
посмотри перво-наперво в потоках чего у TCPView.exe, может там чего интересного найдется или попробуй удалить значение тулзы из реестра (искать стоит здесь HKCU\Software\Sysinternals), отключи возможность создавать системные точки автоматом и затри сам TCPView.exe, например, тем же sdelete.exe, и перезагрузись.
wsadneg
Берём Dependency Walker и проверяем зависимости. Что-то мне говорит, что какая-то из DLL заменена не подходящей. Можно просто с рабочей машины в каталог с программой накидать нужные и посмотреть что выйдет. Запустится и заработает - тогда искать кто источник конфликта. Дыма без огня не бывает.
Да, вот про кого все забыли - мухобойка - антивирус, например McAfee может завершать процесс программы как вредоносный. И это я бы обязательно проверил. Или шибко умный брандмауер с HIPS типа Comodo/Outpost - эти такие вещи так же частенько молча проделывают.
Берём Dependency Walker и проверяем зависимости. Что-то мне говорит, что какая-то из DLL заменена не подходящей. Можно просто с рабочей машины в каталог с программой накидать нужные и посмотреть что выйдет. Запустится и заработает - тогда искать кто источник конфликта. Дыма без огня не бывает.
Да, вот про кого все забыли - мухобойка - антивирус, например McAfee может завершать процесс программы как вредоносный. И это я бы обязательно проверил. Или шибко умный брандмауер с HIPS типа Comodo/Outpost - эти такие вещи так же частенько молча проделывают.
Victor_VG
Цитата:
Цитата:
Или шибко умный брандмауер с HIPS типа Comodo/Outpostточно! есть такое. кстати, относительно ошибки: местный немецкий гик говорит, что ошибка описываемая wsadneg - совместного доступа, так что скорее все же дело в мухобойках.
ComradG
Ну так больно типичное для них поведение - объект попал в список зловредов - прибиваем "врага" молча, кому надо, и если сильно повезёт внесёт его в списки исключений.
Ну так больно типичное для них поведение - объект попал в список зловредов - прибиваем "врага" молча, кому надо, и если сильно повезёт внесёт его в списки исключений.
Victor_VG
ну, что антивирусы есть зло - это даже не вопрос. на серваке прадва пришлось воткнуть eset'овскую поделку, так как она не тявкает на различного рода сетевые утилитки, плюс начальство наехало, дескать без антивируса "не бум работать". прошу прощения за оффтоп.
ну, что антивирусы есть зло - это даже не вопрос. на серваке прадва пришлось воткнуть eset'овскую поделку, так как она не тявкает на различного рода сетевые утилитки, плюс начальство наехало, дескать без антивируса "не бум работать". прошу прощения за оффтоп.
Добрый день,
ComradG, Victor_VG
Вряд ли это антивирус. Года два назад случилась такая же беда. Тогда XPSP3 пробовал подружить по сети с VistaSP1. На XP поставил DHCP-сервер, к сожалению, названия уже не помню. После перезагрузки системы TCPView стал вываливатся через секунду (едва успев открыть список) после запуска с ошибкой. Причин не нашел, откатить не смог. Четко уверен, потому что тогда запускал TCPview по десять раз на день вместе/вместо WinShark.
С Dependency Walker проверю на днях.
ComradG, Victor_VG
Вряд ли это антивирус. Года два назад случилась такая же беда. Тогда XPSP3 пробовал подружить по сети с VistaSP1. На XP поставил DHCP-сервер, к сожалению, названия уже не помню. После перезагрузки системы TCPView стал вываливатся через секунду (едва успев открыть список) после запуска с ошибкой. Причин не нашел, откатить не смог. Четко уверен, потому что тогда запускал TCPview по десять раз на день вместе/вместо WinShark.
С Dependency Walker проверю на днях.
Alex_Piggy
не уверен, что wsadneg ставил DHCP, да и причин на самом деле подобного может быть много, причем варьироваться они от тривиальной ошибки файловой системы, до... даже сложно сказать чего именно. плюс, если учесть, что ныне очень модным среди кодеров малвари стала проверка заголовков окон с поиском среди них утилит Sysinternals, то вполне может быть, что где-то в системе бегает таракан. так что было бы неплохо посмотреть на вывод GMER'а и AVZ.
не уверен, что wsadneg ставил DHCP, да и причин на самом деле подобного может быть много, причем варьироваться они от тривиальной ошибки файловой системы, до... даже сложно сказать чего именно. плюс, если учесть, что ныне очень модным среди кодеров малвари стала проверка заголовков окон с поиском среди них утилит Sysinternals, то вполне может быть, что где-то в системе бегает таракан. так что было бы неплохо посмотреть на вывод GMER'а и AVZ.
Антивирус докторвеб, монитор выключен всегда, работает только spidermail и самозащита.
Файрволл netpeeker, с ним никогда конфликтов не было, он достаточно тупой.
Проверил Dependency Walkerом - нашёл несколько отсутствующих dll, скачал их, теперь он пишет "Warning: At least one module has an unresolved import due to a missing export function in a delay-load dependent module." И несколько дллек выделено розовым:
KERNEL32.DLL
MSVCRT.DLL
NTDLL.DLL
RPCRT4.DLL
SHELL32.DLL
USER32.DLL
DUSER.DLL
UXTHEME.DLL
Что ставил с тех пор, как всё работало теперь уже не вспомнить, dhcp сервер не ставил. Единственное, что приходит в голову - Essential NetTools, всё-таки аналогичные функции выполняет.
Файрволл netpeeker, с ним никогда конфликтов не было, он достаточно тупой.
Проверил Dependency Walkerом - нашёл несколько отсутствующих dll, скачал их, теперь он пишет "Warning: At least one module has an unresolved import due to a missing export function in a delay-load dependent module." И несколько дллек выделено розовым:
KERNEL32.DLL
MSVCRT.DLL
NTDLL.DLL
RPCRT4.DLL
SHELL32.DLL
USER32.DLL
DUSER.DLL
UXTHEME.DLL
Что ставил с тех пор, как всё работало теперь уже не вспомнить, dhcp сервер не ставил. Единственное, что приходит в голову - Essential NetTools, всё-таки аналогичные функции выполняет.
wsadneg
вообще, прежде, чем тыкать отсутсвующие дллки, следовало бы изучить фак к тулзе, так как далеко не все дллки подсвечиваемые волкером нужны, да и соль в том, что DW отображает довольно внушительное количество дополнительных данных, - на них то и нужно смотреть в первую очередь.
а вообще, по хорошему, если у тебя ХР, то сразу после установки системы делай резервную копию с помощью ntbackup, - головной боли будет намного меньше, если произойдет тотальный сбой.
вообще, прежде, чем тыкать отсутсвующие дллки, следовало бы изучить фак к тулзе, так как далеко не все дллки подсвечиваемые волкером нужны, да и соль в том, что DW отображает довольно внушительное количество дополнительных данных, - на них то и нужно смотреть в первую очередь.
а вообще, по хорошему, если у тебя ХР, то сразу после установки системы делай резервную копию с помощью ntbackup, - головной боли будет намного меньше, если произойдет тотальный сбой.
faq сейчас почитаю, бэкап делал, можно откатить, но охота разобраться.
wsadneg
Розовым подсвечены изменённые системные либы. Значит кто-то их поменял, тем более что вся куча входит в образ ядра системы. Тут стоит смотреть чьих это рук деле. Согласен с мнением ComradG относительно наличия руткита. Просто так версии и вызовы этих библиотек не меняются. Тут что-то крепко "не так" и надо зловреда искать. Наверняка сидит.
Розовым подсвечены изменённые системные либы. Значит кто-то их поменял, тем более что вся куча входит в образ ядра системы. Тут стоит смотреть чьих это рук деле. Согласен с мнением ComradG относительно наличия руткита. Просто так версии и вызовы этих библиотек не меняются. Тут что-то крепко "не так" и надо зловреда искать. Наверняка сидит.
Victor_VG
Не изменённые, а те, в которых имеются какие-то проблемы с вызовами, как я понял. Все они проходят проверку по каталогу безопасности microsoft, так что я не думаю, что тут зловред какой-то, хотя это тоже полностью исключить нельзя, систему я проверял конечно, хотя и не полную проверку делал.
Да и не в них дело похоже, при загрузке tcpvcon DW тоже выдает эти ошибки, однако tcpvcon не вылетает с ошибкой.
Добавлено: попробовал DW на другом компе, где tcpview работает, там ошибок даже больше, правда они на других функциях кое-где, в общем только ещё сильнее запутался, где концы искать не знаю теперь, не могу же я kernel.dll переписать. Essential nettools пробовал деинсталлировать, не помогло.
Не изменённые, а те, в которых имеются какие-то проблемы с вызовами, как я понял. Все они проходят проверку по каталогу безопасности microsoft, так что я не думаю, что тут зловред какой-то, хотя это тоже полностью исключить нельзя, систему я проверял конечно, хотя и не полную проверку делал.
Да и не в них дело похоже, при загрузке tcpvcon DW тоже выдает эти ошибки, однако tcpvcon не вылетает с ошибкой.
Добавлено: попробовал DW на другом компе, где tcpview работает, там ошибок даже больше, правда они на других функциях кое-где, в общем только ещё сильнее запутался, где концы искать не знаю теперь, не могу же я kernel.dll переписать. Essential nettools пробовал деинсталлировать, не помогло.
wsadneg
кстати, Victor_VG правильно заметил (я как-то это из виду упустил), что
Цитата:
Цитата:
Цитата:
кстати, Victor_VG правильно заметил (я как-то это из виду упустил), что
Цитата:
вся куча входит в образ ядра системы, так что разумным было бы "пробить" эти дллки sigcheck'ом и удостовериться, что с цифровыми подписями все пучком, в противном случае следует действительно начинать поиски руткита.
Цитата:
не могу же я kernel.dll переписатьэто почему же? грузишься с LiveCD и устнавливаешь оригинальный файл поверх старово\порченного.
Цитата:
Essential nettools пробовал деинсталлировать, не помогло.может стоит глянуть еще журнал событий? может новые ошибки добавились и из них делать выводы.
Дллки пробил по подписям avzом, всё чисто, потому и не вижу смысла менять kernel, журнал событий глянул, там всё тот же popup.
wsadneg
короче, как говаривал чапай "без бутылки не разобраться". попробуй восстановить систему из резервной копии. больше идей никаких нет.
короче, как говаривал чапай "без бутылки не разобраться". попробуй восстановить систему из резервной копии. больше идей никаких нет.
---
обнова от 16.08.11
http://download.sysinternals.com/Files/SysinternalsSuite.zip
обновлены:
procdump.exe [4.0]
procexp.exe [15.02]
Procmon.exe [2.96]
http://download.sysinternals.com/Files/SysinternalsSuite.zip
обновлены:
procdump.exe [4.0]
procexp.exe [15.02]
Procmon.exe [2.96]
в РЕ опять окромя косметики ничего существенного; в РМ окромя скорректированных тултипов и небольшой косметики, также ничего существенного; в ProcDump'е Марк прикрутил ключ "w", который заставляет последний ждать запуск указанного процесса для дампинга, ну и мелкие баги подправлены. в общем, прогресса никакого. видать Марк заигрался в свой "Portal 2", что на все остальное ему по боку.
Описание функционала утилиты RAMMap:
http://blogs.technet.com/b/askperf/archive/2010/08/13/introduction-to-the-new-sysinternals-tool-rammap.aspx
http://blogs.technet.com/b/askperf/archive/2010/08/13/introduction-to-the-new-sysinternals-tool-rammap.aspx
ComradG
Ну, его проблемы. Я уже РЕ не пользуюсь. Есть РН, он перекрывает РЕ по своим возможностям и меня это устраивает полностью.
Ну, его проблемы. Я уже РЕ не пользуюсь. Есть РН, он перекрывает РЕ по своим возможностям и меня это устраивает полностью.
вчерашнее обновление сьюта выглядит следующим образом:
Цитата:
DebugView и без того кривой, крошется; в PE так и не пофоиксен баг с отображением сетевой и дисковой активности; сколько лет должно пройти, чтобы в sdelete появилась поддержка гутмановского алгоритма. про кривой coreinfo вообще молчу.
Цитата:
Coreinfo v3: Coreinfo is a command-line utility that reports detailed information about processor cores and topology, including cache sizes, core-to-socket mappings and NUMA memory latencies. It now shows the processor features supported by the system’s processors. For example, Coreinfo will show if the processor supports hardware-assisted virtualization and advanced virtualization features like Second Level Address Translation.снова одна косметика.
DebugView v4.77: This update to DebugView, a graphic debug output monitor useful for application and device driver development, adds a command-line switch to enable or disable kernel-mode capture, a switch to enable millisecond clock display, and a number of bug fixes.
SDelete v1.6: SDelete, a command-line utility for securely deleting files and zeroing volume free space, fixes a bug that prevented it from accessing some files on 64-bit Windows and swaps the zero-free-space and clean-free-space arguments to make them more intuitive.
Process Explorer v15.04: This release fixes several minor bugs, including a tooltip display bug and one that could result in a miscalculation of CPU usage on Windows 7 in the refresh immediately following the termination of a CPU-intensive process
DebugView и без того кривой, крошется; в PE так и не пофоиксен баг с отображением сетевой и дисковой активности; сколько лет должно пройти, чтобы в sdelete появилась поддержка гутмановского алгоритма. про кривой coreinfo вообще молчу.
обновление сабжа от 20.09.2011:
Цитата:
Цитата:
Autoruns v11: This update to Autoruns, a GUI and command-line tool that lists executables configured to run when you boot, logon or run common applications, adds a “jump to folder” command and several additional autostart locations. The command-line version, Autorunsc, adds a new switch to show file hashes and an option to display the autostart entries for all user accounts registered on a system.
Coreinfo v3.01: This update to Coreinfo, a command-line utility that shows processor features and topology, fixes a bug in the way it reports hyper-threading and gives a warning when showing virtualization features and a hypervisor is running.
ProcDump v4.01: This release of ProcDump, a tool for capturing process memory dumps, adds a context record for 1st chance exception dumps so that registers and the call stack of the faulting thread are captured.
Process Explorer v15.05: This update fixes a bug in cycle CPU usage calculation on Windows 7.
баян/не баян?
Разговоры об ИТ. Выпуск №32. «Sysinternals tools». Павел Нагаев & Василий Гусев
h**p://www.exchangerus.ru/wp-content/plugins/download-monitor/download.php?id=IT-talks-N32-SysInternals-Utils-PNagaev-VGusev-ExchangeRUS.rar
Разговоры об ИТ. Выпуск №33. «Sysinternals tools:продолжение». Павел Нагаев & Василий Гусев & Александр Станкевич
h**p://www.exchangerus.ru/wp-content/plugins/download-monitor/download.php?id=IT-talks-N33-SysInternals-Utils-PNagaev-VGusev-ExchangeRUS.rar
Разговоры об ИТ. Выпуск №32. «Sysinternals tools». Павел Нагаев & Василий Гусев
h**p://www.exchangerus.ru/wp-content/plugins/download-monitor/download.php?id=IT-talks-N32-SysInternals-Utils-PNagaev-VGusev-ExchangeRUS.rar
Разговоры об ИТ. Выпуск №33. «Sysinternals tools:продолжение». Павел Нагаев & Василий Гусев & Александр Станкевич
h**p://www.exchangerus.ru/wp-content/plugins/download-monitor/download.php?id=IT-talks-N33-SysInternals-Utils-PNagaev-VGusev-ExchangeRUS.rar
a111rtur
Цитата:
Цитата:
h**p://wwwВ Программах не нужно портить ссылки.
обновление сабжа от 10.11.2011:
Цитата:
Цитата:
Autoruns v11.1: This update to Autoruns adds several new autostart
locations, reports the active filter in the status bar, and highlights unsigned
images and those with no company name or description to make them easy to spot.
AccessChk v5.02: This AccessChk release includes improved error messages,
reports registry key delete permission, and includes a manifest.
Coreinfo v3.02: This minor update to Coreinfo, a command-line tool that
reports supported CPU features and topology, includes Microsoft’s SLAT term for
Intel’s Extended Page Table and AMD’s Nested Paging virtualization features.
Portable SysinternalsSuite [?] (19.09.2011) ~7 Mb - из шапки ..
как то страшно выглядит:
http://www.virustotal.com/file-scan/report.html?id=46a736b42693a847dce637b4852ca0d00c71c81c6edb9495857ad3f56c7cc62c-1322114319
как то страшно выглядит:
http://www.virustotal.com/file-scan/report.html?id=46a736b42693a847dce637b4852ca0d00c71c81c6edb9495857ad3f56c7cc62c-1322114319
Предыдущая тема: DJVU
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.