Ru-Board.club
← Вернуться в раздел «Программы»

» Sysinternals (Microsoft) Process Explorer

Автор: Chernoemore
Дата сообщения: 01.01.2012 17:47
С Наступившим всех, 2112 годом! Сделайте плиз портабл Process Explorer Rus 15.11.
Автор: SAT31
Дата сообщения: 13.01.2012 21:11
Process Explorer 15.12

Цитата:
- This update to Process Explorer makes the search dialog asynchronous and reports the types of found items. It also fixes several bugs, including showing a small font when run after an older version, a bug in the restart-process functionality, working set columns not showing data, and again shows information about service processes when run from an unprivileged user account.
Автор: Aleks78
Дата сообщения: 13.01.2012 21:15
Chernoemore
Он и так портабельней некуда.
Автор: Shadowland
Дата сообщения: 13.01.2012 23:02
а у вас ProcessExplorer на ХР в последних версиях 15.* всегда догружает себе в окно иконки свежеоткрытых приложений ?
- у меня часто остаётся дефолтный прямоугольник "приложение" на свежеоткрытых процессах (запущенных после сабжа)
при этом с иконками тех процессов что прогрузились раньше сабжа - всё в порядке (т.е. перезапуск сабжа всё прогружает)
и на более ранних версиях такой проблемы не было - сейчас юзаю 12.04

Aleks78
вообщето ProcessExplorer настройки в реестре хранит - так что портабельней есть куда
Автор: Petrik_Pjatochkin
Дата сообщения: 14.01.2012 00:44
Shadowland

Цитата:
а у вас ProcessExplorer на ХР в последних версиях 15.* всегда догружает себе в окно иконки свежеоткрытых приложений ?

Был такой глюк. Но сейчас версия 15.11 - все иконки на месте. Может исправили.
Автор: ComradG
Дата сообщения: 14.01.2012 12:10
Aleks78
не путайте, пожалуста, формат PE и портабельность - суть две разные вещи. во-первых, портабельные программы не оставляют данные в реестре (ну разве что в MUICache, так как у реестра Windows есть довольно неприятная особенность сохранять данные о запускавшихся приложениях в реестре (однако это можно обойти)), во-вторых, учитывая, что начиная с 15.05 драйвер сабжа устанавливает себе еще и как сервис, то о ни о какой портабельности речи быть не может. существует множество вроде как портабельных поделок, но все они ничего общего с понятием портабл не имеют, например, Speccy от Piriform (но это уже оффтоп).
вообще, чтобы понять о чем речь, советую проделать несколько незамысловатых телодвижений: запустить консоль, набрать в ней
Код: set devmgr_show_nonpresent_devices=1
Автор: Petrik_Pjatochkin
Дата сообщения: 14.01.2012 21:00
А не, опять пропали иконки uTorrent'a и еще одной программы. Они пропали после спящего режима. ПОсле презапуска PE иконки появляются.
ComradG

Цитата:
например, перезагружался ли комп при повторном запуске сабжа в текущей сессии

Что-то не могу уловить о чем вы спрашиваете. Кроме того, что пропадают иконки приложений больше никаких глюков не заметил.
Автор: Shadowland
Дата сообщения: 14.01.2012 23:33
ComradG,
да, вы бы уточнили что имелось в виду...

если вы имеете в виду недогруз иконок свежеоткрытых приложений :
то это и в процессе загрузки системы выплывает если сабж в авторане - последние запущенные процессы идут без своих иконок с дефолтной "приложение"
повторный запуск сабжа в текущей сессии все иконки прогружает, но следом запущенный процесс снова с дефолтной иконкой отображается
ещё один перезапуск сабжа снова прогружает все иконки, а следом запущенное приложение .... ну вы поняли...
(при этом мы говорим только об иконках в окне сабжа)

с треем вроде бы всё в порядке в целом
на счёт сабжа в трее точно сказать не могу - держу сабж открытым на втором мониторе и потому как-то не обращал внимания, но вроде бы всё в норме...
(при перетаскивании окна сабжа на первый монитор иконки в нём также не догружаются)

из других глюков: некоторые версии сабжа перестают перезапускать приложения в основном с отмазкой об том что путь не найден ...

в тоже время в 12.04 всё в порядке и с тем и с другим

ещё раньше (довольо таки давненько - возможно в 11й ветке или раньше) после продолжительной работы в открытом виде сабж резко выедал ресурсы и процесс сабжа переставал убиваться и им самим и ещё парой диспетчеров задач включая дефолтный виндовый, но убивался каким-то совсем уж навороченным (сейчас уже не помню название)...

на этом пока закончим "до уточнения"
Автор: ComradG
Дата сообщения: 16.01.2012 12:33
Petrik_Pjatochkin, Shadowland
если еще будут встречаться какие глюки, то, если несложно, постите их по мере возможности, а то не так давно наконец-то удалось схватить Руссиновича за хвост и теперь можно ему читать реляции по багам напрямую. заранее благодарен.
Автор: SYSENTER
Дата сообщения: 25.01.2012 07:41
Обновленный ProcessExplorer+ v15.12 от 24.01.2012:
Скачать: http://depositfiles.com/files/8e9flxeng
Описание: http://exelab.ru/f/index.php?action=vthread&forum=3&topic=13876&page=2#1 (нужна регистрация)
Автор: Aleks78
Дата сообщения: 25.01.2012 13:42

Цитата:
Обновленный ProcessExplorer

С троянами
Автор: ComradG
Дата сообщения: 25.01.2012 14:17
Aleks78
проверено экспериментальным путем? если говорить серьезно, то никогда не понимал, для чего кто-то пытается чего-то прикрутить к некой проге, которая уже сама по себе нормально (или почти) пашет.
Автор: Aleks78
Дата сообщения: 25.01.2012 14:30
ComradG

Цитата:
проверено экспериментальным путем?

Судя по ссылкам да

Цитата:
если говорить серьезно, то никогда не понимал, для чего кто-то пытается чего-то прикрутить к некой проге, которая уже сама по себе нормально (или почти) пашет.

Главное что-бы скачали с дерьмообменника а остальное дело десятое.
Автор: addhaloka
Дата сообщения: 25.01.2012 14:41
Aleks78
На exelab нормальные отзывы...
Автор: Aleks78
Дата сообщения: 25.01.2012 14:48
addhaloka

Цитата:
На exelab нормальные отзывы...



Цитата:
Тема не существует. Она была удалена администратором либо НИКОГДА не существовала
Автор: addhaloka
Дата сообщения: 25.01.2012 14:53
Aleks78

Цитата:
Описание: http://exelab.ru/f/index.php?action=vthread&forum=3&topic=13876&page=2#1 (нужна регистрация)


Добавлено:
[more=Описание]1. Возможность выгрузки динамических библиотек процесса двумя методами:
1.1. Мягкий метод: Контекстное меню панели отображения DLL
(“Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows;
1.2. Жёсткий метод: Контекстное меню панели отображения DLL
(“Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –
полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free);
Примечание:
A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например Sysinternals VMMAP от того же Sysinternals).
B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”). Не включил это отдельно т.к. в будущем планируется кое-что добавить.
C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей.
2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса,(Главное меню: “Options->View All Dll Mode”). При этом отображаются все модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше.
Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось.
ADD: Автоматическое включение уберу т.к. с Winows7 не удобно.
3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев, т.к. обычный инжект правда с задержкой на выполнение удаленного кода.
4. Возможность загрузки/выгрузки драйверов (использовать осторожно т.к. создает/изменяет ключ реестра, связанный с сервисом, правда по-минимуму).
5. Добавлена возможность сканирования PE-образа файла на упаковщик/протектор или линкер сразу двумя методами (меню Dll-> “Scan PE”). Если ничего не определяется, то ничего не выводится.
6. Добавлена возможность дампа любого модуля, спроецированного не только как Image,но и как проекция Data, на диск. Что бывает полезно при рипе данных, например промапленых файлов, что в других утилитах я лично не встречал. (меню Dll-> “Dump Full”). А с опцией “View All Dll Mode” -это мощный инстумент.
7. Сокрытие любого процесса (в том числе ProcessExplorer) из ядра, драйвер написан, - будет время прикручу.
Разработано, как водится, только в образовательных, ознакомительных, исследовательских и демонстрационных целях, по принципу «как есть» + «никаких гарантий» + «на свой страх и риск».

Проверялось на совместимость с Windows XP(все SP), Windows Server 2003(все SP), Windows 7.
Некоторые вещи не работают в версии Windows XP без SP.
В оригинальном ProcessExplorer изменен лишь 1 байт и ChekSum.
Сертификат безопасности (кому надо) удаляйте сами. Просьба файл не перекладывать.[/more]

[more=Отзывы] [/more]
Автор: ComradG
Дата сообщения: 26.01.2012 10:52
addhaloka
гы! похоже на театр одного актера: тот кто нафинтил сборку, тот и строчил все под разными никами (или бота самописца запустил). не, на exelab (он же почивший cracklab), ребята башковитые, но сборка РЕ, это что-то из области некрофилии.

Aleks78

Цитата:
Главное что-бы скачали с дерьмообменника а остальное дело десятое.
солидарен!
Автор: Stanner
Дата сообщения: 26.01.2012 11:42
Столько дополнительных возможностей при изменении одного байта? Прямо фантастика
Автор: addhaloka
Дата сообщения: 26.01.2012 12:01
ComradG 12:52 26-01-2012
Цитата:
гы! похоже на театр одного актера: тот кто нафинтил сборку, тот и строчил все под разными никами (или бота самописца запустил).
Да вроде в комментах народ с руборды.
Stanner 13:42 26-01-2012
Цитата:
Столько дополнительных возможностей при изменении одного байта?
Там дополнительно [more=плагины и драйвер]24.01.2012 10:28 <DIR> PlugIn
18.02.2011 16:26 4 608 prexph.sys
24.01.2012 10:19 4 763 456 procexp.exe
18.04.2009 22:15 5 632 squirrel.dll
24.01.2012 10:21 111 616 VPR.dll
5 файлов 4 885 312 байт

Содержимое папки C:\ProcessExplorer\PlugIn

24.01.2012 10:28 <DIR> .
24.01.2012 10:28 <DIR> ..
15.04.2009 13:40 2 048 gopher.dll
13.04.2009 23:50 4 608 injprot.dll
13.05.2006 11:56 4 608 NDump.dll
19.01.2009 09:00 43 520 PESniffer.dll
13.05.2006 11:56 52 224 RebPE32.dll
03.07.2007 11:53 17 408 selfscan.dll
14.04.2009 19:15 476 471 Sig.sg[/more], по типу, как в PEiD. Вероятно, на них антивирусs ругаются.

Автор: ComradG
Дата сообщения: 27.01.2012 18:15

Цитата:
Столько дополнительных возможностей при изменении одного байта? Прямо фантастика
то-то и оно, и даже более походит на бред: патчим байт и перед нами раскрывается самая суть матрицы

Цитата:
Да вроде в комментах народ с руборды.
как определил? на каждого компромат собирал?

Цитата:
Там дополнительно плагины и драйвер, по типу, как в PEiD.
скорее по типу ProcessHacker'а.

Цитата:
Вероятно, на них антивирусs ругаются.
антивири особо не пикают на большинство малвари с натянутой на нее протекчурой, а тут прямо-таки опомнились. нда...
Автор: addhaloka
Дата сообщения: 27.01.2012 18:31

Цитата:
скорее по типу ProcessHacker'а.
Нет, здесь другое.
Цитата:
антивири особо не пикают
Не знаю, сам не проверял; это был ответ на это:
Цитата:
С троянами 

Автор: Stanner
Дата сообщения: 30.01.2012 12:12
Русский Process Explorer 15.12
Автор: ComradG
Дата сообщения: 30.01.2012 12:23

Цитата:
Нет, здесь другое.

что можно достигнуть путем патча одного байта? ну разве что превратить РЕ в Process Monitor или Debugging Tools

Цитата:
Не знаю, сам не проверял

ндак, к чему ж вообще было постить о том, что не было проверено на собственном опыте? или это был hidespam пост? сколько вам заплатили за сей пост?
Автор: addhaloka
Дата сообщения: 30.01.2012 12:44

Цитата:
сколько вам заплатили за сей пост?
пицот)

p.s. если серьезно, то я просто почитал тему по сабжу на exelab и сделал определенные выводы. С какого х* я должен что-то доказывать и проверять? Пусть доказывает тот, кто заявил, что там трояны.

Автор: ComradG
Дата сообщения: 30.01.2012 13:15
addhaloka
а что доказывать? неоспоримые истины? отослал я давеча файло в несколько независимых исследовательских лабораторий малвари, результат один и тот же: да, там есть малварь. и потом, ваши же слова касательно патчинга одного байта так что с вас и спрос. и потом, сабж и без всяких левых сборок постепенно становится посмешищем, а здесь еще это.
Автор: DrakonHaSh
Дата сообщения: 30.01.2012 13:18
ComradG

Цитата:
что можно достигнуть путем патча одного байта?

любите Вы частиком с уверенностью рассуждать о том, чего на практике не знаете / не понимаете
этот один байт здесь используется для подмены dll
кстати, для общего развития, - diogen взламывает TeamViewer не меняя в нем не одного байта вообще используя ту же технологию (подмена dll).
Автор: ComradG
Дата сообщения: 30.01.2012 13:31
DrakonHaSh

Цитата:
любите Вы частиком с уверенностью рассуждать о том, чего на практике не знаете
как однако вы про себя верно заметили! но не стоит такие инсинуации в свой адрес городить, реноме свое подорвете

Цитата:
взламывает TeamViewer не меняя в нем не одного байта вообще
да обосраться ржатьневстать! подмена какой dll? в РЕ только драйвер, да и тот выгружается динамически, это раз; если не изменять байты, то подменить dll вряд ли получится, два (разве что не имеется в виду dll-hijacking или тупое подсовывание пересобранной dll c таким же именем как у оригинала). так что меняйте диллера (для общего развития).
Автор: DrakonHaSh
Дата сообщения: 30.01.2012 13:50
ComradG
да Вы батенька реальный Тормоз (это не оскорбление, а констатация(диагноз) формы Вашего мышления и восприятия: "Все, что противоречит тому, что Я ЗНАЮ является чушью и ложью") [чушью и/или ложью(заблуждением) как раз является очень многое из того, что Вы считаете что знаете хи хи ]
=>

Цитата:
тупое подсовывание пересобранной dll c таким же имененм как у оригинала

и не пересобранной dll, а своей dll, экспортирующей те же функции, что и оригинал - есть специализированный софт для генерации таких заглушек-переходников.
в релизе от HiEndsoft с exelab MPR.dll меняется на VPR.dll - это и есть весь бинарный кряк.


Цитата:
так что меняйте диллера (для общего развития).

очень сильно сомневаюсь что вы на практике знаете что такое дилер )))))
менять(развивать) Вам способ мышления и восприятия советовать не буду - в вашем возрасте это уже бесполезно
Автор: ComradG
Дата сообщения: 30.01.2012 14:56
DrakonHaSh

Цитата:
да Вы батенька реальный Тормоз
да что вы о себе все в третьем лице!

Цитата:
менять(развивать) Вам способ мышления и восприятия советовать не буду - в вашем возрасте это уже бесполезно
ну хоть что-то о себе вы заметили верно.

Цитата:
чушью и/или ложью(заблуждением) как раз является очень многое из того, что Вы считаете что знаете
бред наростает... может вам так хочется поофтопить и унижать себя далее в третьем лице? могу посоветовать провериться на досуге у психиатра и перейти в соответсвующую ветку флейма.
Автор: Johnik
Дата сообщения: 30.01.2012 15:08
Харэ собачиться-то уже.
Или, если уж перешли на лица, то перейдите в личку.

Страницы: 1234567891011121314151617181920212223242526272829303132

Предыдущая тема: Frontpage 2003


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.