» Sysinternals Suite (Microsoft)

ComradG

Цитата:

Мы не можем понять друг друга потому как менталитет у нас разный (тем более подозреваю, что я совсем обуржуазился за три года в Германии).

Вам конечно лучше знать... (тем более вы "обуржуазились" за три года Дойчляндии)

Цитата:

А про GiveAwayOfTheDay мы знать не знаем и слышать не слышали...

Зачем мне слышать об этом рекламном сайте?

Цитата:

...да и ломится DT без NewSID до безобразия просто. (Если хочешь, в варизнике как-нить расскажу как это делается).

Наконец-то! Ели бы ты знал как долго ждали профи заломающего DT! Рассказывай, пожалуйста, а я пока приготовлюсь безмерно удивлятся!

Цитата:

Позвольте полюбопытствовать, сударь, зачем?

Разумется, милостивый государь - ваше любопытство будет удовлетворено моим ответом! Мне нужно что бы программа LoadOrd показывала в каком порядке идёт загрузка драйверов (если я правильно понял она для этой цели и писалась?!) и нужно мне это для того что бы знать порядок их загрузки! Если же вам такие знания не требуются (как и инструмент с помощью которого эти знания получают), то просто к категоричному утверждению "в утиль давно пора списать RootkitRevealer и LoadOrd" добавляйте аббревиатуру "IMHO". Лучше конечно вообще не утверждать что-то столь категорично если вы не разбираетест в теме!

Цитата:

Да, тулзен неплохая, но не Гмером единым, согласен?!

Конечно, попробуйте ещё XueTr, RkU, phunter.

WildGoblin
21:24 21-06-2010
Цитата:

зачем надо было запускать параллельно Regmon/Filemon и Process Monitor

Внимание обратил. Объяснить необходимость трудно, но запущен Process Monitor был по ошибке вместо Process Explorer, но BSOD это объяснить (оправдать) не может.
p.s.
Я лишь хотел подтвердить существование проблемы с BSOD, при использовании трёх утилит от одного производителя, что конечно же "печально".

ComradG

Я понял, ты споришь, чтобы спорить а насчет блогов...постарайся их не просто читать, но еще и понимать кое-что из написанного. Поверь, если в чем-то не разбираешься или не слышал совсем, то не стоит этим бахвалиться перед всеми. Оффтоп закончил.

dimzdrec33
Статус Advanced Member вовсе не значит, что ты мастер на все руки, так?! Так что

Цитата:

споришь, чтобы спорить

я могу перефразировать в отношении тебя - ты пишешь, чтоб писать. И вообще, у местных адвонседов это такая тенденция, мол, я адвонсед более твоего знаю, а ты сиди помалкивай. Еще раз подчеркну, что каждый имеет собственное мнение в отношении предмета дискуссии, и упрекать его в этом, говоря, что он в этом не разбирается, по меньшей мере стыдно, уважаемый dimzdrec33. Я могу привести с сотню другую аргументов и контраргументов, а также выложить в паблик эксплойты для Sysinternals Suite, которые я написал... Словом, обвинять в ламеризме того, кто знает о чем спорит, это уж вовсе ни в какие рамки не лезит.
На счет оффтопа. Не вижу, чтоб он здесь был: ветка предназначена для обсуждения работы пака, мы и обсуждаем, а спор - в нем рождается истина.

Мля! Идите в ПМ уже - сил нет!

ComradG
dimzdrec33

Парни! Хватит пререкаться, не дети.

Обыдно, что Руссинович из пака исключил DiskMnt (тот же DiskMon только для NT 4.0), просто фишка в том, что многие жалуются на то, что DiskMon не показывает какой-либо активности, в то время как если запускать DiskMnt в режиме совместимости с NT, то только тогда видна активность. В своем недавнем ответном письме Руссинович обещал прикрыть в скором времени баги в Autoruns, DbgView, а также обещал подумать над тем, чтобы переписать DiskMon под семерку, в смысле сделать ее полностью совместимой с последней. Но кто его знает, может Руссинович написал, чтобы я от него отстал?!

Loafer

Цитата:

...но BSOD это объяснить (оправдать) не может.

По мне так очень легко объясняется - проги попытались здорово захучить (как тут говорят некоторые ) одно и тоже - в результате BSOD.

Цитата:

Я лишь хотел подтвердить существование проблемы с BSOD, при использовании трёх утилит от одного производителя, что конечно же "печально".

Так нету же никаких трёх утилит! Были две утилиты, а теперь они объединены в одну - зачем запускать одновременно две разные версии одной проги? Попробуйте, к примеру, запустить четвёртую версию каспера и какую-нибудь поновее...
Victor_VG

Цитата:

Парни! Хватит пререкаться, не дети.

На трекере указывай, а тут у тебя есть возможность жатия капы!

WildGoblin

Цитата:

Попробуйте, к примеру, запустить четвёртую версию каспера и какую-нибудь поновее...

При чем здесь каспер, не понятно.

Цитата:

По мне так очень легко объясняется - проги попытались здорово захучить

Во! А на меня наезжают, дескать это я не знаю о чем говорю. Уважаемый, BSOD вываливается из-за того, что дрова RM/FM и PM обращаются к одному и тому же участку в памяти, в результате и происходит исключение, которое винда не может обработать (это конечно упрощенное описание).

Цитата:

Были две утилиты, а теперь они объединены в одну - зачем запускать одновременно две разные версии одной проги?

Ну как еще объяснять, что именно поэтому, Руссинович и прекратил их поддержку!!! На форуме Sysinternals были такие энтузиасты, которые запускали Regmon параллельно с PM дабы отследить к каким ветвям реестра обращается последний. Теперь, надеюсь, дискуссия закрыта.

ComradG

Цитата:

Теперь, надеюсь, дискуссия закрыта.

Ага - троллируй в другом месте!

WildGoblin

Новый Sysyinternals Suite от 23/06/10. так что стоит поменять шапку. Обновлены RAMMap, ADExplorer и Autologon.

Portable SysinternalsSuite (22 июня 2010) оболочка - NirLauncher
sha1: 360434bed71579dc782c059853ea72b409ba8db2 *!Sysinternals_suit.exe

Представляет из себя самораспаковывающийся rar-архив (распаковывается во временную папку)

P.S. Есть также "портабельный" NirLauncher Package и Joeware free tools

WildGoblin
Дружище, прости, но чего-то я не въехал. Офпак последний датируется 23-м, а у табе - 22-м? И portable, на котрый ты даешь линк - тулзы в реестр ничего не пишут? Я не шучу, а вполне серьезно.

ComradG

Цитата:

Дружище, прости, но чего-то я не въехал.

Так и хочется процитировать - "Твои друзья в овраге лошадь доедают!"

Цитата:

Офпак последний датируется 23-м, а у табе - 22-м?

Я не знаю где она датируется 23-м - дата изменения zip-архива 22 июня 2010 г., 17:05:47

Цитата:

И portable, на котрый ты даешь линк - тулзы в реестр ничего не пишут?

Пишут. Можно конечно приделать удаление ветки HKCU\Software\Sysinternals...

P.S. Где обещаный тобой залом Daemon Tools? Не хотелось бы думать что ты совсем уж пустобрёх!...

WildGoblin

Цитата:

Твои друзья в овраге лошадь доедают!

Сразу не ответил - лег в лечебку. Раковая опухоль - не шутки. А DT ломится в отладчике путем установки жампа на секцию регистрации. Хотя есть и еще масса других способов.

Теперь по сабжу. RAMMap довольно часто падает. У кого сия трабла - дайте знать.

Каждая утилита из пакета Sysinternals,требует принятия лицензии.
А некоторые у меня выполняются из System32 во время автоматической установки при первом запуске,но стопарятся на принятии этого лицензионного соглашения и автоматизма не получается.
Да если б EulaAccepted находилась в HKLM то можно было бы конечно обойти импортом .reg
Но она к сожалению в находится в HKCU,а там уже не так удобно.

Подскажите пожалуйста существует ли какой-нибудь выход? Быть может есть параметр командной строки?(хотя сомневаюсь)
Печально это

ChronoAngel

Ключик-то задаёт не имя, а битовый флаг. И спрашивается однажды. Прогрузил всю банду, и импортируй ключ хоть до морковкина заговенья.

Victor_VG да это вполне понятно.Не понятно только нафига лицензионное соглашение для утилит командной строки.
Вот они у меня запускаются до входа пользователя,когда ещё никакой HKCU и в помине нету.

Хотя..... наверно тогда надо импортировать уже в HKEY_USERS\S-1-5-18\Software

Добавлено:
Кстати касательно PsExec.exe - где нибудь можно почитать о недокументированной возможности? с помощью неё зайти в систему минуя пользователей - из под SYSTEM
Профиль при этом является C:\Documents and Settings\NetworkService
Или я тут велосипед изобретаю?!

ChronoAngel

Цитата:

Не понятно только нафига лицензионное соглашение для утилит командной строки.

Руссинович подобно Кащею "чахнущему над златом" - боится, что его идеи уведут вот ко всему и пиндюрит эту еулу (на самом деле тут не инициатива Руссиновича, а - Мелкософта )

Цитата:

Кстати касательно PsExec.exe - где нибудь можно почитать о недокументированной возможности?

Код: psexec /?

ComradG ну вобще то я имел ввиду не запустить процесс от имени системы (PsExec для этого и предназначен,тут пояснений не нужно), а войти в систему(залогинится) грубо говоря из под "учётной записи SYSTEM"

Об этом статейки нигде не видел,а очень интересны возможности и последствия таких действий)))

ChronoAngel
То есть грубо говоря, ты хочешь повысить привилегии до SYSTEM? Тут тебе скорее не PsExec в помощь, а Metasploit. Хотя, если изрядно извратиться, можно и с помощью PsExec чего-нить соорудить.

ComradG да я извратился уже


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="PsExec -d -i -s C:\\WINDOWS\\system32\\userinit.exe,"


Потому и спрашиваю велосипед ли это...

ChronoAngel
Вижу. И каков результат? Просто ты повышаешь привилегии userinit, а он, как ты знаешь, после инициализации профиля закрывается, вот и все. И по сути привилегиям профиля от этого ни тепло ни холодно. Лучше бери выше smss или сам winlogon.

ComradG smss и так от имени системы запускается и winlogon

ComradG userinit не просто так же запускается,он же что то сам инициализирует и уже получается всё от имени SYSTEM.
А вобще я не от балды написал,это проверенное лично.
В пуске написано SYSTEM ,все процессы от NT AUTHORITY\SYSTEM
Профиль лежит по пути C:\Documents and Settings\NetworkService
-----
Offline.exe /Zzz

ChronoAngel

Цитата:

smss и так от имени системы запускается

Да не psexec в данном случае я имел в виду. Можно было бы банально навалять vbs-ку, которая торкала smss, чтобы та запускала все в системе справми системы.

Цитата:

А вобще я не от балды написал,это проверенное лично.

Хм! Интересно однако, сам придумал или где накопал?

ComradG да эксперименты проводил и применил метод научного тыка))))

ChronoAngel
А еще чего интересного с тулзами Sysinternals делал? Можешь в ПМ кинуть результаты своих экспериментов - любопытно посмотреть.

ChronoAngel
Не экспериментировал с VMMap? Я тут решил посмотреть на сколько верно тулза определяет адреса. Сохранил первый снепшот VMMap, кое-что подправил в адресном пространстве с помощью WinDbg, сделал второй снимок VMMap. Странно то, что VMMap не задетектил смещения самой программки (RegScan). Может потому что он пожат UPX, не знаю. Пока думаю над этим. На счет psexec. Обращал внимание на -s ключ? Обрати на него внимание.

ComradG хотите сказать ключ -s и даёт такой эффект?
Я не экспериментировал со всеми программами пакета Sysinternals.
Только куда меня направили глаза завидущие
Сейчас занимаюсь настройкой автоматической установки 2008r2,и в своих метаниях наткнулся на PsExec.
Я не спец,а простой ламоюзер,и VMMap мне не особо в быту сейчас нужна))) так что вопрос не ко мне,извиняюсь