суббота, 11 июня 2011 г.

β version

начало см. тут
Cкочать - 32 & 64bit
archive password: silentBeta

Changelog:
  • .exe стал еще толще
  • работает (не все проверяльщики при этом одинаково доступны) под w2k
  • работает на windows 7 sp1
  • по просьбам трудящихся вывод был разделен пустыми строчками в произвольных местах и убраны кое-какие некритичные сообщения об ошибках
  • можно задавать только нужные проверяльщики из командной строки
  • IDT дампится для всех камней
  • для процессов проверяются всякие хуки в ntdll. Меня терзают впрочем смутные сомнения что иногда неверно определяется наличие shim
Опции командной строки:
  • -all - проверить все юзермодные процессы
  • -pid PID - проверить конкретный процесс
  • -hal - проверить dispatch tables в hal.dll
  • -idt - проверить IDT
  • -ndis - проверить TDI & NDIS. Под w2k работает так себе и допиливать мне лень
  • -rpc - показать зарегистрированные в системе RPC интерфейсы
  • -wmi - показать зарегистрированные в системе WMI entries
Автор: redp на 15:31
Ярлыки:

4 комментария:

  1. sen12 июня 2011 г. в 09:56

    -all , xp32/sp3

    падает раз

    7c91a9fb 0f8382000000 jnb ntdll!RtlReAllocateHeap+0xf03 (7c91aa83)
    FAULT ->7c91aa01 66833f00 cmp word ptr [edi],0x0 ds:0023:0059f218=????
    7c91aa05 747c jz ntdll!RtlReAllocateHeap+0xf03 (7c91aa83)

    *----> Stack Back Trace <----*
    WARNING: Stack unwind information not available. Following frames may be wrong.
    ChildEBP RetAddr Args to Child
    0074f86c 7c91a3bc 003a0000 00573000 0074f898 ntdll!RtlReAllocateHeap+0xe81
    0074f8a4 7c911917 013a0000 00000018 7c9100a4 ntdll!RtlReAllocateHeap+0x83c
    0074fad4 0046ee6d 003a0000 00000000 0000000d ntdll!RtlInitializeCriticalSection+0x31a
    0074faf4 00455f7c 0000000d 0058ec78 0074fb9c wincheck+0x6ee6d
    0074fb9c 00455a64 0074fc00 59c0f4b7 005768c8 wincheck+0x55f7c
    0074fbe4 004355fd 0074fc00 59c0f19b 00000784 wincheck+0x55a64
    0074fec8 00434a42 0056a318 0074ff3c 00578960 wincheck+0x355fd
    0074ff3c 00000784 0074ff30 00750020 0018e2cc wincheck+0x34a42


    и два


    00434cc5 8b55ec mov edx,[ebp-0x14]
    FAULT ->00434cc8 837a3010 cmp dword ptr [edx+0x30],0x10 ds:0023:00610030=????????
    00434ccc 7219 jb wincheck+0x34ce7 (00434ce7)

    *----> Stack Back Trace <----*
    WARNING: Stack unwind information not available. Following frames may be wrong.
    ChildEBP RetAddr Args to Child
    0074fec8 00434a42 0056a278 0074ff3c 005da028 wincheck+0x34cc8
    0074ff3c 00000784 0074ff30 00a80020 001fd900 wincheck+0x34a42

    ОтветитьУдалить
  2. redp12 июня 2011 г. в 13:01

    привет, ты же вроде на каникулах :-) ?
    а второй дамп - с какими опциями запускалось ? винда та же ?

    ОтветитьУдалить
  3. sen13 июня 2011 г. в 08:43

    не cмог пройти мимо.
    винда та же, опция та же, запустил первый раз - упало унутрях ntdll!RtlReAllocateHeap, на второй унутри себя, дальше играться не стал.
    бум на весь трамвай обсуждать или мне e-mail свой отпишешь ?

    ОтветитьУдалить
  4. redp13 июня 2011 г. в 15:19

    адрес нового трамвая:
    redp сцобака майл вру

    ОтветитьУдалить

Подписаться на: Комментарии к сообщению (Atom)