среда, 10 августа 2011 г.

wincheck rc2

Скачать
Changelog:
  • добавлена опция -kopts для просмотра структур CmControlVector
  • добавлена опция -shutntfy для просмотра списка зарегистрированных через IoRegisterShutdownNotification & IoRegisterLastChanceShutdownNotification устройств и их драйверов
  • для проверки процессов добавлена опция -traces для просмотра EventCallbacks, зарегистрированных с помощью ф-ции SetTraceCallback
  • сделана полноценная поддержка vista sp1 (например под ней неверно показывались всякие структуры ndis)
  • пофикшено падение при работающем gmer
  • и еще много чего пофикшено с прошлого раза

6 комментариев:

  1. давно хотел просить какой-нибудь опшинс для маскировании адресов и pid'ов, типа:

    PID ### Parent PID ### kind {Session manager} C:\WINDOWS\system32\smss.exe
    PID ### Parent PID ### kind {WinLogon} C:\WINDOWS\system32\winlogon.exe

    CheckProcess PID ### (C:\WINDOWS\system32\taskmgr.exe):
    ShimModule: C:\WINDOWS\system32\ShimEng.dll (########)
    ShimHandler[0]: ######## C:\WINDOWS\system32\ShimEng.dll
    RtlpStartThreadFunc: C:\WINDOWS\system32\kernel32.dll (########)

    а ваще нииииимоверный рулез если можно будет задавать маску сколько битов прятать, напр.
    -addrmask:FFF00000
    или
    -addrmask:12
    оставлять для адреса только 12 старших битов, т.е. вместо 7C812A10 будет 7C8#####

    ОтветитьУдалить
  2. скажи пожалуйста для чего это может быть нужно ?
    адреса печатаются чтобы есличо можно было посмотреть в отладчике что там не так

    ОтветитьУдалить
  3. чтобы два текстовых файла сравнивать не глазами,
    у меня список программ не меняется месяцами (и больше) всякая хрень при сравнении видна сразу

    ОтветитьУдалить
  4. а я думал что ты про aslr

    просьба вполне разумна, но весьма тяжела в реализации - сейчас все адреса печатаются по формату %p, встроенному в 100500 строчек, разбросанных по всему исходнику. Соотв-но поменять формат всего вывода - убитца веником

    проще всего написать наколенный script, который сам заменит все похожее на адреса на ### и сравнивать уже выход от этого скрипта

    ОтветитьУдалить
  5. извечный вопрос - кто будет делать :))
    скрипту было бы много легче, если бы адреса начинались с цифры.

    сильно в лом заменить %p на 0%p ?

    ОтветитьУдалить
  6. вот лентяй то какой
    на perl пишется в одну (!) строчку например:
    perl -p -e "s/\b[0-9A-F]{8}\b/########/g" файл лога

    ОтветитьУдалить