tag:blogger.com,1999:blog-47032697361028904282012-01-07T03:57:08.373-08:00= Val3ntin's Blog =IT, QA, Software testing.val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.comBlogger251100tag:blogger.com,1999:blog-4703269736102890428.post-13874870147180189422012-01-07T03:56:00.000-08:002012-01-07T03:57:08.381-08:00как гугл тестирует ПОНедавно наткнулся на довольно интересную <a href="http://habrahabr.ru/blogs/development/135776/" target="_blank">статью</a> на Хабре. Советую к прочтению и прослушиванию вебинара :).<br /><br /><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-1387487014718018942?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-80705470247695206362011-12-13T09:40:00.000-08:002011-12-13T09:42:55.677-08:00Traum Library - БИБЛИОТЕКА ТРАУМА<br />Недавно наткнулся в сети на <a href="http://traumlibrary.net/">Traum library</a> - это огромнейшая библиотека электронных книг в<br /><br />формате fb2, epub и т.п. Советую всем - <a href="http://rutracker.org/forum/viewtopic.php?t=2860555">тут</a> можно взять уже готовый сборник .<br /><br /><br /><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-8070547024769520636?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-23252909067657913712011-06-21T01:29:00.000-07:002011-06-21T01:29:29.615-07:00python script which finds hex values in a fileRecently I needed to parse a few log files and then to compare them in WinMerge utility. Files had different structure, but they both contained HEX values which had to be verified for compliance.<br /><br />Thus, I created a simple python script ( thanx Google :) ) which looks for hex values in a file using regexp . Actually, this script walks through a specified folder where files are and then creates parsed output files containing HEX values with an additional '_hex.txt' extension in their names<br /><br />Here is a script:<br /><blockquote><br /><span class="Apple-style-span" style="color: #38761d; font-size: x-small;">import os<br />import re<br />def look_for_hex_in_files(filepath,writefilepath):<br /> f = open(filepath, 'r')<br /> fwr = open(writefilepath, 'w')<br /> for line in f:<br /> b = line<br /> for b1 in re.finditer('0x0*[0-9a-fA-F][0-9a-fA-F]*', b):<br /> a = (b1.group(0))<br /> print(a)<br /> fwr.write(a+'\n')<br /> f.close()<br /> fwr.close()<br /><br />#this is a path to folder containing input log files to be parsed<br />dirname = "C:\ProgramData\log1"<br /><br />for filename in os.listdir(dirname):<br /> b1 = (os.path.join(dirname,filename))<br /> if os.path.isfile(b1):<br /> print(b1)<br /> filepath = b1;<br /> writefilepath = (b1+"_hex.txt")<br /> look_for_hex_in_files(filepath,writefilepath)</span></blockquote><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-2325290906765791371?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-45396148689231366252010-10-29T12:15:00.000-07:002010-10-29T12:15:54.670-07:00the case of inline hook by RkU<span class="Apple-style-span" style="font-family: Arial; font-size: small;"><span class="Apple-style-span" style="font-size: 13px;">One day RkU showed an inline hook:</span></span><div><span class="Apple-style-span" style="font-family: Arial; font-size: small;"><span class="Apple-style-span" style="font-size: 13px;"><br /></span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">RkUnhooker report generator v0.7</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">==============================================</span></span><br /><span class="Apple-style-span" style="color: #666666; font-size: x-small;">Rootkit Unhooker kernel version: 3.8.380.580</span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">==============================================</span></span><br /><span class="Apple-style-span" style="color: #666666; font-size: x-small;">Windows Major Version: 5</span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">Windows Minor Version: 1</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">Windows Build Number: 2600</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">==============================================</span></span><br /><span class="Apple-style-span" style="color: red; font-size: x-small;"> </span><span class="Apple-style-span" style="color: red; font-size: x-small;"><span class="Apple-style-span" style="font-family: Verdana, sans-serif;">ntkrnlpa.exe+0x0006ECBE, Type: Inline - RelativeJump 0x80545CBE [ntkrnlpa.exe]</span></span><br /><br /><br />I've decided to investigate what the real problem was.<br />First thing I did was checking nt image loaded into memory:<br /><br /><span class="Apple-style-span" style="font-size: x-small;">kd> !chkimg -d nt</span><br /><span class="Apple-style-span" style="font-size: x-small;"> <span class="Apple-style-span" style="color: red;">80537028-8053702c 5 bytes - nt!ExAllocatePool (+0x3c7ae )</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"> also here were about 4 hooks with 5 bytes each ....</span><br /><span class="Apple-style-span" style="font-size: x-small;"><br /></span><br /><br />Here we can see that real address of nt!ExAllocatePool (0x8053702c) is changed to 0x80537028<br /><br />I viewed disassembling of the real 0x8053702c address<br /><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">0: kd> u 8053702c</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">nt!ExAllocatePool+0x4:</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">8053702c 39684e cmp dword ptr [eax+4Eh],</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">ebp</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">8053702f 6f outs dx,dword ptr [esi]</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">80537030 6e outs dx,byte ptr [esi]</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">80537031 65ff750c push dword ptr gs:[ebp+0Ch]</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">80537035 ff7508 push dword ptr [ebp+8]</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">80537038 e82b490100 call nt!ExAllocatePoolWithTag (8054b968)</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">8053703d 5d pop ebp</span></span><br /><span class="Apple-style-span" style="color: #666666;"><span class="Apple-style-span" style="font-size: x-small;">8053703e c20800 ret 8</span></span><br /><br />Then I wanted to see what code has been at 0x80537028 address:<br /><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">0: kd> u 80537028</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">nt!ExAllocatePool:</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">*** ERROR: Module load completed but symbols could not be loaded for svenbowm.SYS</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: red;">80537028 e90c98e939 jmp svenbowm+0x839 (ba3d0839)</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">8053702d 684e6f6e65 push 656E6F4Eh</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">80537032 ff750c push dword ptr [ebp+0Ch]</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">80537035 ff7508 push dword ptr [ebp+8]</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">80537038 e82b490100 call nt!ExAllocatePoolWithTag (8054b968)</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">8053703d 5d pop ebp</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">8053703e c20800 ret 8</span></span><br /><span class="Apple-style-span" style="font-size: x-small;"><span class="Apple-style-span" style="color: #666666;">80537041 cc int 3</span></span><br /><br />So here's an answer: the module svenbown made inline hook at address 0x80537028 .<br />This module <svenbown> refers to RkU driver.<br />So I had no fear that my system had been infected by some malicious software. It was only RkU's inline hook :-) which had been set as soon as RkU's driver had been loaded .</div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-4539614868923136625?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-52515218951321716992010-10-20T06:02:00.000-07:002010-10-20T06:08:17.711-07:00windbg: view IAT table of kernel modulesThis time we'll be looking for functions and their addresses in IAT (Import Address Table) in one of kernel modules, e.g. Ntfs.sys<br /><br />First you need to do in windbg is to view file headers of module and get IAT address :<br /><span class="Apple-style-span" style="font-size: small;"><br /></span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">0: kd> <b>!dh -f ntfs</b></span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"><b></b>File Type: EXECUTABLE IMAGE </span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">FILE HEADER VALUES</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"> 0 DLL characteristics</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"> 0 [ 0] address [size] of Export Directory</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"> 86674 [ 50] address [size] of Import Directory</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"> <span class="Apple-style-span"><b>17B80 </b>[ 51C] address [size] of <b>Import Address Table Directory</b></span></span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"><span class="Apple-style-span"><b></b></span>............................................................................</span><br /><br /><br />Then you need to find out module's start address:<br /><br /><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">0: kd><b> lm m ntfs</b></span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">start end module name</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"><b>b9e35000</b> b9ec1600 Ntfs (deferred)</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"><br /></span><br />And now when you know IAT directory address and module's start address you can look whole list of functions in IAT of Ntfs module<br /><span class="Apple-style-span" style="font-family: inherit;"><br /></span><br /><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">0: kd> <b>dds b9e35000+17b80</b></span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cb80 806e69f0 hal!KeAcquireInStackQueuedSpinLock</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cb84 806e6940 hal!ExAcquireFastMutex</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cb88 806e6aa8 hal!KeReleaseQueuedSpinLock</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cb8c 806e6a4c hal!KeAcquireQueuedSpinLock</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cb90 806e6900 hal!KfReleaseSpinLock</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cb94 806e699c hal!ExTryToAcquireFastMutex</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cb98 806e6974 hal!ExReleaseFastMutex</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cb9c 806e6aa0 hal!KeReleaseInStackQueuedSpinLock</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cba0 806e6830 hal!KfAcquireSpinLock</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cba4 00000000</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cba8 b9ec3022 KSecDD!GenerateSessionKey</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbac b9ec2fdc KSecDD!EfsGenerateKey</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbb0 b9ec3002 KSecDD!GenerateDirEfs</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbb4 b9ec28f4 KSecDD!InitSecurityInterfaceW</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbb8 b9ec3012 KSecDD!EfsDecryptFek</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbbc 00000000</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbc0 8054705c nt!ExRaiseStatus</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbc4 804ec29a nt!FsRtlNormalizeNtstatus</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbc8 804e41b4 nt!CcFlushCache</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbcc 80535b9e nt!ExIsResourceAcquiredExclusiveLite</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbd0 8052e79c nt!RtlInitUnicodeString</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbd4 80546168 nt!InterlockedPopEntrySList</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbd8 8054618c nt!RtlpInterlockedPushEntrySList</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbdc 804f7e92 nt!KeQuerySystemTime</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbe0 80546210 nt!RtlCompareMemory</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbe4 8056d1b6 nt!FsRtlAreNamesEqual</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;">b9e4cbe8 804eb004 nt!FsRtlCheckLockForWriteAccess</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"><br /></span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"><br /></span><br /><span class="Apple-style-span" style="font-family: inherit;">As yu may noticed, it lists not only functions regarding to ntoskrnl.exe , so it seems like Ntfs module contains exports to a few modules like hal.dll , KSecDD and ntoskrnl.exe. To ensure, we may use PEtools utility ( see screen below):</span><br /><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"><br /></span><br /><div class="separator" style="clear: both; text-align: center;"><a href="http://3.bp.blogspot.com/_vZOxycpap80/TL7m-tkevzI/AAAAAAAAAAM/Gmht0GvGeMU/s1600/petools_ntfs.PNG" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="170" src="http://3.bp.blogspot.com/_vZOxycpap80/TL7m-tkevzI/AAAAAAAAAAM/Gmht0GvGeMU/s320/petools_ntfs.PNG" width="320" /></a></div><span class="Apple-style-span" style="color: #666666; font-family: Verdana, sans-serif; font-size: xx-small;"><br /></span><br /><span class="Apple-style-span" style="font-family: inherit;">By the way, if you are too lazy to use windbg :-) you can use PEtools.</span><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-5251521895132171699?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-51582370586606182902010-10-20T01:27:00.000-07:002010-10-20T01:27:34.805-07:00использование более чем 4Гб физической памяти на 32х битной системеPhysical Address Extantion aka PAE.<br />Этот режим позволяет использовать боле 4Гбайт физической памяти ПК.<br /><span class="Apple-style-span" style="font-size: x-small;">Однако стоить помнить что приложения могут адресовать макс 4Гб памяти виртуального адресного пространства.</span><br />Подробнее можете прочесть на <a href="http://msdn.microsoft.com/en-us/library/aa366796%28VS.85%29.aspx">официальном сайте Microsoft</a><br /><br />Тут же поговорим как включить режим РАЕ .<br /><br /><ul><li>XP, windows 2000: дописать в boot.ini: /pae</li><li>2003 server - PAE включен по умолчанию :-)</li><li>Vista, Win7: bcdedit /set {ID} pae ForceEnable</li></ul><div><br /></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-5158237058660618290?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-42186856117354467152010-09-14T05:28:00.000-07:002010-09-14T05:28:52.315-07:00Force WinDbg to load symbolsCurrently WinDbg checks whether pdb's are from the same file you are debugging or not.<br />For cases when you have not corresponding pdb file but you'd like to see the callstack and so on you should use following WinDbg command:<br /><br /><blockquote>.symopt 0x40</blockquote> For more info about symbol options visit <a href="http://msdn.microsoft.com/en-us/library/ff558827.aspx">msdn</a> .<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-4218685611735446715?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-19305976983925615922010-03-03T06:09:00.000-08:002010-03-03T06:09:56.402-08:00Windbg 6.12.2.633 is included in WDK 7.1.0.It was a pity to read that WinDbg 6.12.2.633 is included only in WDK 7.1, so you can not download it separately without downloading WDK 7.1.0, can you?<br /><br />But, let's back to the topic:<br />New in Windbg, as Microsoft says (visit <a href="http://www.microsoft.com/whdc/devtools/debugging/whatsnew.mspx">WinDbg page</a> ):<br /><br /><table border="0" cellpadding="0" cellspacing="0" class="numberedList" style="margin-bottom: -1px;"><tbody><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">1.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Several bug fixes in extensions to only use public symbols</div></td></tr><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">2.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">General BugCheck Analysis Updates including:</div><table border="0" cellpadding="0" cellspacing="0"><tbody><tr><td class="listBullet" style="color: #a6a6a6; font-size: 19px;" valign="top">•</td><td class="listItem" style="padding-bottom: 0em; padding-left: 0.5em; padding-right: 0em; padding-top: 0em;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Bug Check 0x9F Update – Added logic to diagnose bugcheck 0x9F minidumps using new data in Windows 7 added to the 0x9F minidumps by the Kernel and Networking Teams.<br />Data includes:<br />- All Kernel ExWorkerThreads that process Power IRPs<br />- IRPs Associated with any ExWorkerThread<br />- IRPs Associated with PnP Completion Queue<br />- All Kernel Power IRPs<br />- Device Stacks for all IRPS<br />- NT_TRIAGE_POWER Structure<br />- NT_TRIAGE_PNP structure</div></td></tr><tr><td class="listBullet" style="color: #a6a6a6; font-size: 19px;" valign="top">•</td><td class="listItem" style="padding-bottom: 0em; padding-left: 0.5em; padding-right: 0em; padding-top: 0em;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">BugCheck 0xFE Update - Add logic to diagnose bugcheck 0xFE minidumps using new to Windows 7 callback data added by the USB team.</div></td></tr></tbody></table></td></tr><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">3.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Fixed user-mode minidump generation problem.</div></td></tr><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">4.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Fixed buffer overrun in schannel transport.</div></td></tr><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">5.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Fixed several kernel debugger transport issues.</div></td></tr><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">6.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Fixed problem with debugger reporting incorrect FPO information.</div></td></tr><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">7.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Allowed stack dumps deeper than 65535 if specified explicitly.</div></td></tr><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">8.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">Changed ".outmask /a" and ".outmask /d" to be set only instead of or/xor.</div></td></tr><tr valign="top"><td align="right" class="listNumber" nowrap="" style="padding-left: 2.1ex; padding-right: 1.5ex;"><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">9.</div></td><td><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; line-height: 15px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; padding-bottom: 1.1em; padding-left: 0px; padding-right: 0px; padding-top: 0px;">The old ADPlus.vbs is being replaced by ADPlus.exe which requires the .Net Framework 2.0. For those cases where the .Net Framework isn't available we are still shipping the older version renamed to adplus_old.vbs. For detailed documentation of the new ADPlus.exe as well as for its new companion ADPlusManager.exe please see adplus.doc located in the same folder as adplus.exe.</div></td></tr></tbody></table>It'd be great if someone could tell me how to download only windbg 6.12.2.633 installation file without downloading a whole WDK 7.1.0 package .<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-1930597698392561592?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-7663867236097007642010-03-02T00:50:00.000-08:002010-03-02T00:50:51.107-08:00Crash dump analysis checklist . ( © www.dumpanalysis.org )Here's a link contains useful steps in dump analysis.<br /><br />http://www.dumpanalysis.org/blog/index.php/2007/06/20/crash-dump-analysis-checklist/<br /><br />I've copied posts to my webpage.<br /><br />all copyrights are by dumpanalysis.org :-)<br /><br /><br /><div align="left"><strong>General:</strong></div><div align="left">• Symbol servers (<em>.symfix</em>)<br />• Internal database(s) search<br />• Google or Microsoft search for suspected components as this could be a known issue. Sometimes a simple search immediately points to the fix on a vendor’s site<br />• The tool used to save a dump (to flag false positive, incomplete or inconsistent dumps)<br />• OS/SP version (<em>version</em>)<br />• Language<br />• Debug time<br />• System uptime<br />• Computer name (<em>dS srv!srvcomputername</em> or <em>!envvar COMPUTERNAME</em>)<br />• List of loaded and unloaded modules (<em>lmv</em> or <em>!dlls</em>)<br />• Hardware configuration (<em>!sysinfo</em>)<br />• <em>.kframes 100</em></div><div align="left"><strong>Application crash or hang:</strong></div><div align="left">• Default analysis <em>(!analyze -v</em> or <em>!analyze -v -hang</em> for hangs)<br />• Critical sections (<em>!locks and !locks -v, !cs -s -l -o</em>) for both crashes and hangs<br />• Component timestamps, duplication and paths. DLL Hell? (<em>lmv</em> and <em>!dlls</em>)<br />• Do any newer components exist?<br />• Process threads (<em>~*kv</em> or <em>!uniqstack</em>)<br />• Process uptime<br />• Your components on the full raw stack of the problem thread<br />• Your components on the full raw stack of the main application thread<br />• Process size<br />• Number of threads<br />• Gflags value (<em>!gflag</em>)<br />• Time consumed by thread (<em>!runaway</em>)<br />• Environment (<em>!peb</em>)<br />• Import table (<em>!dh</em>)<br />• Hooked functions (<em>!chkimg</em>)<br />• Exception handlers (<em>!exchain</em>)<br />• Computer name (<em>!envvar COMPUTERNAME</em>)</div><div align="left"><strong>System hang:</strong></div><div align="left">• Default analysis (<em>!analyze -v -hang</em>)<br />• ERESOURCE contention (<em>!locks</em>)<br />• Processes and virtual memory including session space (<em>!vm 4</em>)<br />• Important services are present and not hanging (for example, terminal or IMA services for Citrix environments)<br />• Pools (<em>!poolused</em>)<br />• Waiting threads (<em>!stacks</em>)<br />• Critical system queues (<em>!exqueue f</em>)<br />• I/O (<em>!irpfind</em>)<br />• The list of all thread stack traces (<em>!process 0 ff</em> for W2K3/XP/Vista, <a href="http://www.dumpanalysis.org/blog/index.php/2006/09/07/yet-another-windbg-script/">ListProcessStacks</a> script for W2K)<br />• LPC/ALPC chain for suspected threads (<em>!lpc message</em> or <em>!alpc /m</em> after search for “Waiting for reply to LPC” or “Waiting for reply to ALPC” in <em>!process 0 ff</em> output)<br />• Mutants (search for “Mutants - owning thread” in <em>!process 0 ff</em> output)<br />• Critical sections for suspected processes (<em>!ntsdexts.locks, !cs -l -o -s</em>)<br />• Sessions, session processes (<em>!session, !sprocess</em>)<br />• Processes (size, handle table size) (<em>!process 0 0</em>)<br />• Running threads (<em>!running</em>)<br />• Ready threads (<em>!ready</em>)<br />• DPC queues (<em>!dpcs</em>)<br />• The list of APCs (<em>!apc</em>)<br />• Internal queued spinlocks (<em>!qlocks</em>)<br />• Computer name (<em>dS srv!srvcomputername</em>)<br />• File cache, VACB (<em>!filecache</em>)</div><div align="left"><strong>BSOD:</strong></div>• Default analysis (<em>!analyze -v</em>)<br />• Pool address (<em>!pool</em>)<br />• Component timestamps (<em>lmv</em>)<br />• Processes and virtual memory (<em>!vm 4</em>)<br />• Current threads on other processors<br />• Raw stack<br />• Bugcheck description (including <em>ln exception address</em> for corrupt or truncated dumps)<br />• Bugcheck callback data (<em>!bugdump</em> for systems prior to Windows XP SP1)<br />• Bugcheck secondary callback data (<em>.enumtag</em>)<br />• Computer name (<em>dS srv!srvcomputername</em>)<br />• Hardware configuration (<em>!sysinfo</em>)<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-766386723609700764?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-39890499109944532982010-03-01T02:40:00.000-08:002010-03-01T13:49:13.645-08:00Driver Profilers ( профайлеры драйверов )Here's some link to read about driver profilers:<br /><br /><b>Profiler:</b><br /><a href="http://blogs.msdn.com/profiler/">http://blogs.msdn.com/profiler/</a><br /><a href="http://msdn.microsoft.com/en-us/magazine/cc337887.aspx?pr=blog">http://msdn.microsoft.com/en-us/magazine/cc337887.aspx?pr=blog</a><br /><a href="http://blogs.msdn.com/colinth/archive/2007/05/07/basic-profiler-scenarios.aspx">http://blogs.msdn.com/colinth/archive/2007/05/07/basic-profiler-scenarios.aspx</a><br /><a href="http://developer.amd.com/cpu/codeanalyst/codeanalystwindows/Pages/default.aspx">http://developer.amd.com/cpu/codeanalyst/codeanalystwindows/Pages/default.aspx</a><br /><a href="http://www.intel.com/cd/software/products/asmo-na/eng/239144.htm">http://www.intel.com/cd/software/products/asmo-na/eng/239144.htm</a><br /><b>kernrate:</b><br /><a href="http://www.nynaeve.net/?p=45">http://www.nynaeve.net/?p=45</a><br /><strong>KrView</strong><br /><a href="http://www.microsoft.com/whdc/system/sysperf/krview.mspx">http://www.microsoft.com/whdc/system/sysperf/krview.mspx</a><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-3989049910994453298?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-79720714920161075102010-01-28T05:58:00.000-08:002011-05-19T13:15:04.920-07:00Интересные задачки интересные задачки ( ответы ниже) ( сайт - <a href="http://developerguru.net/post/2006/08/Logical-test-on-job-interview.aspx">DeveloperGuru.net</a> )<br /><br /><b>Тест на логическое мышление. Используйте только ту информацию, которая имеется в тексте вопроса, не полагайтесь на свой жизненный опыт.</b><br /><br /><blockquote>1. Некоторые улитки являются горами. Все горы любят кошек.<br />Значит, все улитки любят кошек.<br />а) правильно<br />б) неправильно</blockquote><br /><blockquote>2. Все крокодилы умеют летать. Все великаны являются крокодилами.<br />Значит, все великаны могут летать.<br />а) правильно<br />б) неправильно</blockquote><br /><blockquote>3. Некоторые головки капусты - паровозы. Некоторые паровозы играют на рояле.<br />Значит, некоторые головки капусты играют на рояле.<br />a) правильно<br />б) неправильно</blockquote><br /><blockquote>4. Две поляны никогда не похожи одна на другую. Сосны и ели выглядят совершенно одинаково.<br />Значит, сосны и ели не являются двумя полянами.<br />а) правильно<br />б) неправильно</blockquote><br /><blockquote>5. Никто из людей не может стать президентом, если у него красный нос. У всех людей нос красный.<br />Значит, никто из людей не может стать президентом.<br />а) правильно<br />б) неправильно</blockquote><br /><blockquote>6. Все вороны собирают картины. Некоторые собиратели картин сидят в птичьей клетке.<br />Значит, некоторые вороны сидят в птичьей клетке.<br />a) правильно<br />б) неправильно</blockquote><br /><blockquote>7. Только плохие люди обманывают или крадут. Катя - хорошая.<br />а) Катя обманывает<br />б) Катя крадет<br />в) Катя не крадет<br />г) Катя обманывает и крадет<br />д) ни одно из вышеперечисленных</blockquote><br /><blockquote>8. Все воробьи не умеют летать. У всех воробьев есть ноги.<br />а) без ног воробьи не могут летать<br />б) некоторые воробьи не имеют ног<br />в) все воробьи, у которых есть ноги, не могут летать<br />г) воробьи не могут летать, потому что у них есть ноги<br />д) воробьи не могут летать и у них нет ног<br />е) ни одно из вышеперечисленных</blockquote><br /><blockquote>9. Некоторые люди - европейцы. Европейцы имеют три ноги.<br />а) люди с двумя ногами не являются европейцами<br />б) европейцы, которые являются людьми, иногда имеют три ноги<br />в) европейцы с двумя ногами иногда являются людьми<br />г)Людей не европейцев, с тремя ногами не бывает<br />д)Люди имеют три ноги потому что они европейцы<br />е)ни одно из вышеперечисленных</blockquote><br /><blockquote>10. Цветы - это зеленые звери. Цветы пьют водку.<br />а) все зеленые звери пьют водку<br />б) все зеленые звери являются цветами<br />в) некоторые зеленые звери пьют водку<br />г) Зеленые звери не пьют водку<br />д) зеленые звери не являются цветами<br />е)ни одно из вышеперечисленных</blockquote><br /><blockquote>11. Каждый квадрат круглый. Все квадраты красные.<br />а) бывают квадраты с красными углами<br />б) бывают квадраты с круглыми углами<br />в) бывают круглые красные углы<br />г) углы и квадраты - круглые и красные<br />д) ни одно из вышеперечисленных</blockquote><br /><blockquote>12. Хорошие начальники падают с неба. Плохие начальники могут петь.<br />а) Плохие начальники летят с неба вниз.<br />б) Хорошие начальники, которые умеют летать - могут петь.<br />в) некоторые плохие начальники не могут петь.<br />г) некоторые хорошие начальники -плохие, так как они умеют петь.<br />д) ни одно из вышеперечисленных</blockquote><br /><br /><br /><br /><br /><br /><br /><span class="Apple-style-span" style="font-size: x-small;">Правильные ответы:</span><br /><span class="Apple-style-span" style="font-size: x-small;">1б </span><br /><span class="Apple-style-span" style="font-size: x-small;">2а </span><br /><span class="Apple-style-span" style="font-size: x-small;">3б </span><br /><span class="Apple-style-span" style="font-size: x-small;">4а </span><br /><span class="Apple-style-span" style="font-size: x-small;">5а </span><br /><span class="Apple-style-span" style="font-size: x-small;">6б </span><br /><span class="Apple-style-span" style="font-size: x-small;">7в </span><br /><span class="Apple-style-span" style="font-size: x-small;">8в </span><br /><span class="Apple-style-span" style="font-size: x-small;">9а </span><br /><span class="Apple-style-span" style="font-size: x-small;">10в </span><br /><span class="Apple-style-span" style="font-size: x-small;">11д </span><br /><span class="Apple-style-span" style="font-size: x-small;">12д</span><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-7972071492016107510?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-21000591502820902342010-01-26T14:00:00.000-08:002010-01-27T02:06:51.968-08:00Thunderbird 3 memory leak<img src="http://upload.wikimedia.org/wikipedia/ta/a/a5/Thunderbird-logo-64x64.png" align="top"></img><p>After 2 days of using Thunderbird 3.0.1 I've found a memory leak, and posted a bug to mozilla.org. So, if you also has the same visit <a href="http://getsatisfaction.com/mozilla_messaging/topics/thunderbird_3_memory_drainer">Thunderbird 3 Memory Drainer ?</a> to see what exactly problem do you have. <br />At least, you can add an additional info to bug I've posted - <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=542234">Thunderbird 3 - memory laeks, all add-ons are disabled</a><br /><br />It was a really sad to experience such bug in one of my favourite mail client.<br />I hope, developers will fix it soon.<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-2100059150282090234?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-60978846174074313492010-01-26T13:50:00.000-08:002010-01-26T13:50:28.360-08:00What is IRQL and why is it important?<a href="http://blogs.technet.com/askperf/archive/2008/01/22/what-is-irql-and-why-is-it-important.aspx">What is IRQL and why is it important?</a>: "<p><img style="margin:0px 10px 5px 0px" src="http://askperf.members.winisp.net/BlogImages/Windows_Logo.gif" align="left"> When people first hear the term IRQL (pronounced Er-kel) their thoughts sometimes turn to the sitcom "Family Matters" and Jaleel White's alter ego, Steve Urkel. However, we're not going to be taking a trip down Television's Memory Lane today. Instead we're going to talk about Interrupt Request Levels - aka IRQL's. If you develop device drivers or spend a lot of time debugging, IRQL's are familiar territory for you. An interrupt request level (IRQL) defines the hardware priority at which a processor operates at any given time. In the Windows Driver Model, a thread running at a low IRQL can be interrupted to run code at a higher IRQL. The number of IRQL's and their specific values are processor-dependent.</p> <p>Processes running at a higher IRQL will pre-empt a thread or interrupt running at a lower IRQL. An IRQL of 0 means that the processor is running a normal Kernel or User mode process. An IRQL of 1 means that the processor is running an Asynchronous Procedure Call (APC) or Page Fault. IRQL 2 is used for deferred procedure calls (DPC) and thread scheduling. IRQL 2 is known as the DISPATCH_LEVEL. When a processor is running at a given IRQL, interrupts at that IRQL and lower are blocked by the processor. Therefore, a processor currently at DISPATCH_LEVEL can only be interrupted by a request from an IRQL greater than 2. A system will schedule all threads to run at IRQL's below DISPATCH_LEVEL - this level is also where the thread scheduler itself will run. So if there is a thread that has an IRQL greater than 2, that thread will have exclusive use of the processor. Since the scheduler runs at DISPATCH_LEVEL, and that interrupt level is now blocked off by the thread at a higher IRQL, the thread scheduler cannot run and schedule any other thread. So far, this is pretty straightforward - especially when we're talking about a single processor system.</p> <p>On a multi-processor system, things get a little complicated. Since each processor can be running at a different IRQL, you could have a situation where one processor is running a driver routine (Device Interrupt Level - aka DIRQL), while another processor is running driver code at IRQL 0. Since more than one thread could attempt to access shared data at the same time, drivers should protect the shared data by using some method of synchronization. Drivers should use a lock that raises the IRQL to the highest level at which any code that could access the data can run. We're not going to get too much into Locks and Deadlocks here, but for the sake of our discussion, an example would be a driver using a spin lock to protect data accessible at DISPATCH_LEVEL. On a single processor system, raising the IRQL to DISPATCH_LEVEL or higher would have the same effect, because the raising of the IRQL prevents the interruption of the code currently executing.</p> <p>That will actually wrap it up for this post. It's a fairly short post, but hopefully you now have a basic understanding of IRQL. Until next time ...</p> <p>Additional Resources:</p> <ul> <li><a href="http://www.microsoft.com/whdc/driver/kernel/IRQL.mspx">MSDN: Whitepaper on Scheduling, Thread Context & IRQL</a> </li> </ul> <p>- <a href="http://blogs.technet.com/askperf/archive/2007/05/04/cc-hameed-s-bio.aspx">CC Hameed</a></p> <span> <table cellspacing="1" cellpadding="1"><tbody> <tr> <td>Share this post : </td> <td><a title="Post it to del.icio.us" href="http://del.icio.us/post?url=http://blogs.technet.com/askperf/archive/2008/01/22/what-is-irql-and-why-is-it-important.aspx&;title=What%20is%20IRQL%20and%20why%20is%20it%20important?"><img src="http://blogs.msdn.com/blogfiles/rahulso/WindowsLiveWriter/IconsfordifferentSocialBookmarkingSites_B387/deliciou4.png" border="0"></a></td> <td><a title="Post it to digg" href="http://digg.com/submit?phase=2&url=http://blogs.technet.com/askperf/archive/2008/01/22/what-is-irql-and-why-is-it-important.aspx&title=What%20is%20IRQL%20and%20why%20is%20it%20important?"><img src="http://blogs.msdn.com/blogfiles/rahulso/WindowsLiveWriter/IconsfordifferentSocialBookmarkingSites_B387/digg14.png" border="0"></a></td> <td><a title="Post it to live" href="https://favorites.live.com/quickadd.aspx?marklet=1&mkt=en-us&url=http://blogs.technet.com/askperf/archive/2008/01/22/what-is-irql-and-why-is-it-important.aspx&title=What%20is%20IRQL%20and%20why%20is%20it%20important?"><img src="http://blogs.msdn.com/blogfiles/rahulso/WindowsLiveWriter/IconsfordifferentSocialBookmarkingSites_B387/live4.png" border="0"></a></td> <td><a title="Post it to technorati!" href="http://technorati.com/faves/?add=http://blogs.technet.com/askperf/archive/2008/01/22/what-is-irql-and-why-is-it-important.aspx&title=What%20is%20IRQL%20and%20why%20is%20it%20important?"><img src="http://blogs.msdn.com/blogfiles/rahulso/WindowsLiveWriter/IconsfordifferentSocialBookmarkingSites_B387/technora4.png" border="0"></a></td> <td><a title="Post it to yahoo!" href="http://myweb.yahoo.com/myresults/bookmarklet?u=http://blogs.technet.com/askperf/archive/2008/01/22/what-is-irql-and-why-is-it-important.aspx&t=What%20is%20IRQL%20and%20why%20is%20it%20important?"><img src="http://blogs.msdn.com/blogfiles/rahulso/WindowsLiveWriter/IconsfordifferentSocialBookmarkingSites_B387/yahoo9.png" border="0"></a></td> </tr> </tbody></table> </span><img src="http://blogs.technet.com/aggbug.aspx?PostID=2745209" width="1" height="1">"<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-6097884617407431349?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-49458810215960647332010-01-26T13:49:00.001-08:002010-01-26T13:49:36.158-08:00BHO's, Security and Shell Extensions<a href="http://blogs.technet.com/askperf/archive/2007/12/11/bho-s-security-and-shell-extensions.aspx">BHO's, Security and Shell Extensions</a>: "<p><img style="margin:0px 10px 5px 0px" src="http://askperf.members.winisp.net/BlogImages/IE7.gif" align="left"> Today we're going to wrap up our overview of Browser Helper Objects with a look at BHO's and Security as well as similarities between BHO's and Shell Extensions. If you recall from our <a href="http://blogs.technet.com/askperf/archive/2007/12/07/the-basics-of-browser-helper-objects.aspx">first post on BHO's</a>, a BHO is an extension to Internet Explorer that adds customization and functionality. The API's used by Browser Helper objects expose hooks that allow them to access the Document Object Model (DOM) of the current page and to control navigation. This leads to malware applications that have been created as Browser Helper Objects. </p> <p>For example, the <a href="http://en.wikipedia.org/wiki/Download.ject">Download.ject</a> exploit installed a BHO that would activate upon detecting a secure <a href="http://en.wikipedia.org/wiki/HTTP">HTTP</a> connection to a financial institution, record the user's keystrokes (intending to capture passwords) and transmit the information to a website used by Russian computer criminals. Other BHOs such as the <a href="http://en.wikipedia.org/wiki/MyWay_Searchbar">MyWay Searchbar</a> track users' browsing patterns and pass the information they record to third parties. Although many BHO's install toolbars in Internet Explorer, there is no requirement that a BHO have a user interface. Therefore it is possible that a user may not know that they have a malicious BHO installed on an unprotected machine. </p> <p>Since a BHO does not need permission to install additional components, malicious programs and spyware may be spread without the user's knowledge. Since writing a BHO is fairly simple, many poorly written BHO's may harm the computer, compromise its security and may even destroy valuable data or corrupt system files. That having been said, there are many good anti-spyware programs available that will monitor a computer for suspicious or harmful activity including BHO activity. You can also use the Add-On manager in Internet Explorer to list which BHO's are installed and enable or disable BHO's as needed.</p> <p>Let's now move on to take a look at commonalities BHO's and Shell Extensions. Windows shell extensions are COM in-process servers that Windows Explorer loads when it is about to perform a certain action on a document - for example, displaying the context menu. By writing a COM module that implements a few COM interfaces, it is possible to add new items to the context menu and then handle them properly. A shell extension must also be registered in such a way that Windows Explorer can find it. A Browser Helper Object follows the same pattern - the difference being which interfaces to implement. Also, there is a difference in the trigger that causes a BHO to be loaded. Despite the implementation differences, however, shell extensions and BHO's share a common nature, as the following table demonstrates.</p> <table cellspacing="0" cellpadding="2" width="750" border="0"><tbody> <tr> <td valign="top" width="170"><strong>Feature</strong></td> <td valign="top" width="290"><strong>Shell Extension</strong></td> <td valign="top" width="290"><strong>Browser Helper Object</strong></td> </tr> <tr> <td valign="top" width="170">Loaded By</td> <td valign="top" width="290">Windows Explorer</td> <td valign="top" width="290">Internet Explorer (and Windows Explorer for shell version 4.71 and later)</td> </tr> <tr> <td valign="top" width="170">Triggered By</td> <td valign="top" width="290">User's action on a document of a certain class (that is, right-click)</td> <td valign="top" width="290">Opening of the browser's window</td> </tr> <tr> <td valign="top" width="170">Unloaded When</td> <td valign="top" width="290">A few seconds later the reference count goes to 0</td> <td valign="top" width="290">The browser window that caused it to load gets closed</td> </tr> <tr> <td valign="top" width="170">Implemented as</td> <td valign="top" width="290">COM in-process DLL</td> <td valign="top" width="290">COM in-process DLL</td> </tr> <tr> <td valign="top" width="170">Registration requirements</td> <td valign="top" width="290">Usual entries for a COM server plus other entries, depending on the type of shell extension and the document type that it will apply to</td> <td valign="top" width="290">Usual entries for a COM server plus one entry to qualify it as a BHO</td> </tr> <tr> <td valign="top" width="170">Interfaces needed</td> <td valign="top" width="290">Depends on the type of the shell extension</td> <td valign="top" width="290">IObjectWithSite</td> </tr> </tbody></table> <p><em>Windows Explorer for shell version 4.71 and above includes Windows 95 and Windows NT 4.0 with Internet Explorer 4.0 with the Active Desktop Shell update release.</em></p> <p>And that will do it for our overview of BHO's, Security and Shell Extensions. Until next time ...</p> <p>Additional Resources:</p> <ul> <li><a href="http://msdn2.microsoft.com/en-us/library/bb250436.aspx#bho_whatare">MSDN: Browser Helper Objects: The Browser the Way You Want It</a> </li> <li><a href="http://weblogs.asp.net/stevencohn/articles/60948.aspx">IE Browser Helper Objects - Steven M. Cohn's WebLog </a></li> </ul> <p>- <a href="http://blogs.technet.com/askperf/archive/2007/05/04/cc-hameed-s-bio.aspx">CC Hameed</a></p><img src="http://blogs.technet.com/aggbug.aspx?PostID=2635019" width="1" height="1">"<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-4945881021596064733?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-26516240882931384672010-01-26T13:49:00.000-08:002010-01-26T13:49:03.268-08:00human resources / Собеседование — фундаментальные принципыОчень даже интересная статья, думаю некоторые найдут в ней немного полезного.<br /><br /><a href="http://habrahabr.ru/blogs/hr/80668/">human resources / Собеседование — фундаментальные принципы</a>: "Извиняюсь если кому-то это покажется тривиальным. Но примеры пройденных мной собеседований, которые оказывались самой сложной задачей за время работы в фирме (я не шучу), или звонки от HR-ов через месяц-другой после отсылки резюме доказывают — большинству HR-ов и технических интервьюеров эти принципы неизвестны или непонятны. Кадровики жалуются на нехватку профессионалов, на неприязнь со стороны соискателей, и не понимают что ответ прост — их процесс отбора сотрудников в корне неправилен.<br><br /><br><br />Поэтому позволю себе напомнить общественности про эти принципы. Надеюсь, после этого число сторонников светлой стороны Силы хоть немного увеличится ;)<br><br /><div> <a href="http://habrahabr.ru/blogs/hr/80668/#habracut">Читать дальше →</a> </div>"<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-2651624088293138467?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-11737787287650259612010-01-26T13:47:00.000-08:002010-01-26T13:47:34.907-08:00Google Chrome / Chrome 4.0 Stable<a href="http://habrahabr.ru/blogs/google_chrome/81960/">Google Chrome / Chrome 4.0 Stable</a>: "<img src="http://pics.livejournal.com/diman_x/pic/000b5q9q/s320x240" align="left"><br><br />Только что в блоге разработчиков Google <a href="http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html">сообщили</a>, что выпущена 4я стабильная версия браузера.<br><br /><br><br /><a href="http://www.google.com/chrome/eula.html">Скачать online-установщик</a> (пока только Windows — версия)<br><br /><br><br />Версия 4.0 содержит:<br><br /><br><br /><ul><br /><li> Расширения (пожалуй, главное нововведение)</li><br /><li> Синхронизация закладок</li><br /><li> Расширенные инструменты для разработчиков </li><br /><li> HTML5: Уведомления, веб базы данных, веб-сокеты, поддержка Ruby</li><br /><li> Улучшение производительности v8</li><br /><li> Улучшение производительности графической библиотеки Skia</li><br /><li> Полное прохождение ACID3 теста благодаря вновь добавленной поддержке загружаемых шрифтов.</li><br /><li> Еще безопаснее (множество исправлений + новые механизмы безопасности)</li><br /></ul>"<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-1173778728765025961?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-60205789322477046552010-01-26T06:28:00.000-08:002010-01-26T06:28:54.800-08:00Влад Балин ( ака Gaperton ) - peoplewareДумаю что каждый менеджер его должен прочесть.<br /><br /><a href="http://gaperton.livejournal.com/37721.html">Практическое peopleware.</a><br />Очень интересные подходы к решению проблем. В целом - задача - сводится к решению проблемы, которую, благодаря 2-м видам подхода, можно задать по разному (и именно от этого будет зависеть ее дальнейшее решение и отношения между сотрудниками ). <br />В общем, советуется, как правильно ставить задачи персоналу. Рассматривается два вида тактик : Auftragstaktik и Befehlstaktik ( последняя не сильно расписсана правда).<br /><br />Советую прочесть, а еще лучше - сходить на его семинар :-) <br /><br />P.S. Большое спасибо Владу за такой полезный материал.<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-6020578932247704655?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-51615150188222154852009-11-17T06:29:00.000-08:002010-05-27T01:58:19.946-07:00Коды BugcheckИногда при отладке у вас бсод, к нему, как говорится, прилагается BugCheck.<br />вот именно в этом "багчеке" есть определенные коды вылета системы. что поможет вам в анализе дампа, т.к. не всегда получается то что хотите.<br /><br />Само описание всех багчеков <a href="http://msdn.microsoft.com/en-us/library/ff542347.aspx"> доступно на msdn - </a><br /><br />Надеюсь, поможет в будующей работе. :-)<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-5161515018822215485?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-79456003852265338012009-11-16T14:08:00.000-08:002010-03-02T05:23:56.477-08:00VirtualKD. Ускоряем генерацию дампа в DbgView.если что-то давало БСОД и вам надо было сделать <b>ПОЛНЫЙ дамп</b>, ( команда <b>./dump /f <path_and_name_tosave></path_and_name_tosave></b> ), то его генерация могла занять мнооого времени.... <br />Эти и многие другие проблемы решает утилита VirtualKD.<br />Скачать ее можно с <a href="http://virtualkd.sysprogs.org/">этого сайта</a> . Пользуйтесь!<br />Пишут что она поддерживает Vmware + VirtualBox.<br />у меня сейчас последняя версия workstation (6.5.3), и работает вроде как стабильно, правда WinDbg пришлось вручную запукать для отладки по пайпу ) .<br />ЗЫ. правда поначалу чтобы поставить утилитку придется <strike>помучать </strike>прочитать что и как установить ;)<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-7945600385226533801?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-89815287687088539282009-11-16T00:18:00.000-08:002010-05-27T02:03:24.505-07:00куда делся вывод логов драйвера в Vista / Windows 7 через WinDbg ?Вот недавно столкнулся с проблемой...<br />На чековой семерке в WinDbg не могу просмотреть вывод лога тестируемого драйвера.<br /><b>1 способ</b><br />После некоторых опросов знакомых программистов, выяснилось, что это все решается в реестре.<br /><br /><br />Open up the registry and go to this path,<br />"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter"<br />and add the following value "DEFAULT" : REG_DWORD : 0xFFFFFFFF and then reboot<br /><br />Вот и все...<br />Надеюсь, что это кому-то поможет . :)<br /><br /><b>2 способ</b><br />просто во время удаленной отладки вводим команду<br /><blockquote><span class="Apple-style-span" style="color: blue;">ed nt!KD_DEFAULT_MASK 0xFFFFFFFF </span></blockquote><blockquote> </blockquote><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-8981528768708853928?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-84433843015588345902009-10-29T16:06:00.000-07:002010-03-02T05:24:46.083-08:00Просмотр PEB процессаИтак, все что нам нужно<br />1. Узнать адрес процесса <b>!process 0 0</b><br />2. Перейти в контекст процесса <b>.process </b><br /><address of="" process=""><b></b>3. Display PEB : <b>!peb</b><br /><br />Ниже пример:<br /></address><blockquote>kd> <b>!process 0 0</b><br />..........................................................................................................................<br /><br />PROCESS <b>89a377a8 </b>SessionId: 0 Cid: 07c8 Peb: 7ffdb000 ParentCid: 041c<br /> DirBase: 52ddc000 ObjectTable: e17023d8 HandleCount: 534.<br /> Image: KMPlayer.exe<br /><br />..........................................................................................................................<br />kd> <b>.process 89a377a8</b><br />Implicit process is now 89a377a8<br />kd><b> !peb</b><br />PEB at 7ffdb000<br /> InheritedAddressSpace: No<br /> ReadImageFileExecOptions: No<br /> BeingDebugged: No<br /> ImageBaseAddress: 00400000<br /> Ldr 00251e90<br /> Ldr.Initialized: Yes<br /> Ldr.InInitializationOrderModuleList: 00251f28 . 002549f0<br /> Ldr.InLoadOrderModuleList: 00251ec0 . 002549e0<br /> Ldr.InMemoryOrderModuleList: 00251ec8 . 002549e8<br /> Base TimeStamp Module<br /> 400000 2a425e19 Jun 20 01:22:17 1992 C:\PROGRA~1\THEKMP~1\KMPlayer.exe<br /> 7c900000 49900b58 Feb 09 12:54:16 2009 C:\WINDOWS\system32\ntdll.dll<br /> 7c800000 49c4f502 Mar 21 16:09:06 2009 C:\WINDOWS\system32\kernel32.dll<br /> 7e360000 480381e1 Apr 14 19:10:09 2008 C:\WINDOWS\system32\user32.dll<br /> 77f10000 49007130 Oct 23 15:42:24 2008 C:\WINDOWS\system32\GDI32.dll<br /> 77dc0000 49900b58 Feb 09 12:54:16 2009 C:\WINDOWS\system32\advapi32.dll<br /> 77e70000 49e5f504 Apr 15 17:53:56 2009 C:\WINDOWS\system32\RPCRT4.dll<br /> 77fe0000 4a4334e7 Jun 25 11:27:19 2009 C:\WINDOWS\system32\Secur32.dll<br /> 77110000 480381dc Apr 14 19:10:04 2008 C:\WINDOWS\system32\oleaut32.dll<br /><br />................................. куча букав ................................................</blockquote><br />В общем, еще одно замечание. <b>после выполнения .process вы в контексте ТОЛЬКО данного процесса</b>, теперь надо бы вернуться обратно, т.е. надо перейти на контекст процесса System.<br /><br />Вот, пожалуй, и все.<br /><br />P.S. кстати, сравнивая выводы PEB & VAD можно кое-что интересное обнаружить.<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-8443384301558834590?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-60735098875588935962009-10-29T07:48:00.000-07:002010-03-02T05:25:00.817-08:00Посматриваем таблицу Shadow SSDT (win32k.sys)Итак, долго мучался, нашел :)<br />Для просмотра этой таблицы, выведем все таблицы которые есть в KeServiceDescriptorTableShadow<br /><br /><br /><blockquote>0: kd> <b>dds </b><b>KeServiceDescriptorTableShadow</b></blockquote><blockquote>8055c6c0 80504460 nt!KiServiceTable</blockquote><blockquote>8055c6c4 00000000</blockquote><blockquote>8055c6c8 0000011c</blockquote><blockquote>8055c6cc 805048d4 nt!KiArgumentTable</blockquote><blockquote>8055c6d0 bf99a000 <span style="color: red;"><b>win32k!W32pServiceTable - то что нам нужно</b></span></blockquote><blockquote>8055c6d4 00000000</blockquote><blockquote>8055c6d8 0000029b</blockquote><blockquote>8055c6dc bf99ad10 win32k!W32pArgumentTable</blockquote><blockquote>8055c6e0 00000000</blockquote><blockquote>8055c6e4 00000000</blockquote><blockquote>8055c6e8 00000000</blockquote><blockquote>8055c6ec 00000000</blockquote><blockquote>8055c6f0 00000000</blockquote><blockquote>8055c6f4 00000000</blockquote><blockquote>8055c6f8 00000000</blockquote><blockquote>8055c6fc 00000000</blockquote><blockquote>8055c700 80504460 nt!KiServiceTable</blockquote><blockquote>8055c704 00000000</blockquote><blockquote>8055c708 0000011c</blockquote><blockquote>8055c70c 805048d4 nt!KiArgumentTable</blockquote>Теперь, просто можем просмотреть таблицу<br />либо заюзав <span style="color: #3d85c6;"><b>dd W32pServiceTable</b></span> и потом шагами смотреть каждый индекс (<span style="color: #3d85c6;">см. пред заметку</span>), либо сразу вывести табличку <span style="color: #3d85c6;"><b>dds W32pServiceTable L29A</b></span><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-6073509887558893596?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-68253338818435742392009-10-29T03:50:00.000-07:002010-03-02T05:25:15.097-08:00просматриваем таблицу KiServiceTable<span style="font-family: Arial; font-size: small;"><span style="background-color: white; font-size: 13px;">Итак, все объяснения добавлю позже. О том что такое SSDT и т.п. можете почитать на <a href="http://wasm.ru/">WASMе</a> , а также почитать <a href="http://rootkits.su/viewtopic.php?pid=323">Статью </a></span></span><br /><br />Команды LiveKD:<br /><br />//display table:<br />dd KeServiceDescriptorTable<br /><br />Индекс KiServiceTable=KeServiceTable[0], т.е. первый адрес в KeServiceTable.<br />И еще, в системе есть также и KeServiceDescriptorTableShadow - та самая копия, так вот, по идее, если все гуд . то индекс KiSErviceTable=KeServiceDescriptorTableShadow[0] и он равен индексу который в KeServiceDescriptorTable, тобиж, из примера ниже, если все делать, оба индекса должны быть равны 80504460.<br /><br /><blockquote>0: kd> <b>dd</b> <span style="color: #0b5394;"><b>KeServiceDescriptorTable</b></span></blockquote><blockquote>8055c700 <span style="color: red;"><b>80504460 </b></span>00000000 0000011c 805048d4 - красным цветом - индекс KiServiceTable</blockquote><blockquote>8055c710 00000000 00000000 00000000 00000000</blockquote><blockquote>8055c720 00000000 00000000 00000000 00000000</blockquote><blockquote>8055c730 00000000 00000000 00000000 00000000</blockquote><blockquote>8055c740 00000002 00002710 bf80c339 00000000</blockquote><blockquote>8055c750 ba5a7a80 8ad5fcf0 8a391a90 806f60c0</blockquote><blockquote>8055c760 00000000 00000000 ffeced30 ffffffff</blockquote><blockquote>8055c770 7f4c8370 01ca5871 00000000 00000000</blockquote><br />Далее,<br /><br /><br /><blockquote>0: kd> <b>dd</b> <span style="color: red;"><b>80504460</b></span></blockquote><blockquote>80504460 805a4614 805f0aea 805f4320 805f0b1c</blockquote><blockquote>80504470 805f435a 805f0b52 805f439e 805f43e2</blockquote><blockquote>80504480 806153ce 80616110 805ebee8 b5e58d46</blockquote><blockquote>80504490 805d4b48 805d4af8 806159f4 805b5f80</blockquote><blockquote>805044a0 80615010 805a8a9e 805b0594 805d660c</blockquote><blockquote>805044b0 8050189c 80616102 80576ae6 80538be2</blockquote><blockquote>805044c0 8060e5de 805bc4fa 805f485a 80623382</blockquote><blockquote>805044d0 805f8d6a 805a4d02 806235d6 b5e58250</blockquote><br />Этот вывод содержит указатели на системные сервисы, такие как NtCreateFile etc.<br /><br />Чтобы просмотреть системный сервис с определенным индексом делаем так:<br />dd <span style="color: red;"><b>80504460+(индекс)*4</b></span><br /><span style="color: red;"><b></b></span><br /><span style="color: red;"><b></b></span><br /><span style="color: red;"><b></b></span><br /><span style="color: red;"><b></b></span><br /><span style="color: red;"><b></b></span><br /><span style="color: red;"><b><blockquote><div style="display: inline !important;"><span style="font-weight: normal;"><span style="color: black;">0: kd></span></span> <span style="color: black;">dd </span>80504460+<span style="color: blue;">1c</span>*4 // <span style="color: blue;">1с </span><span style="color: blue;">- индекс ф-и</span></div></blockquote><blockquote><div style="display: inline !important;"><span style="color: black;"><span style="font-weight: normal;">805044d0</span></span> <span style="color: #0b5394;">805f8d6a </span><span style="color: black;"><span style="font-weight: normal;">805a4d02 806235d6 b5e58250</span></span> // <span style="color: #0b5394;">- указатель на ф-ю</span></div></blockquote><span style="font-weight: normal;"><b></b></span><br /><b></b><br /><b></b><br /><b></b><br /><b></b><br /><b><div style="display: inline !important;"><span style="color: black;"><span style="font-weight: normal;">чтобы просмотреть имя и название ф-и, достаточно сделать так:</span></span></div></b><br /><span style="color: black;"><span style="font-weight: normal;"></span></span><br /><span style="color: black;"></span><br /><span style="color: black;"></span><br /><span style="color: black;"></span><br /><span style="color: black;"></span><br /><span style="color: black;"><blockquote><div style="display: inline !important;">0: kd> <b>dt </b><b><span style="background-color: white;"><span style="color: #0b5394;">805f8d6a </span></span></b></div><br /></blockquote><blockquote><div style="display: inline !important;"><br /></div><div style="display: inline !important;">NtCompareTokens // конечное имя ф-и, которая имеет индекс 0х1С в таблице сервисов</div><br /></blockquote></span></b></span><span style="color: red;"><b><br /></b></span><br />Да, мои читатели, спросите вы меня.. неужели теперь надо делать так много шагов и действий ? Нет, чтобы просмотреть все таблицу <span style="color: #0b5394;"><b>KiServiceTable</b></span>, достаточно просто указать команду:<br /><span style="color: red;"><b><br /></b></span><br /><b><span style="color: #0b5394;">dds KiServiceTable L117 </span></b><br /><span style="color: #0b5394;"><b><br /></b></span><br />и эта команда вам выведет все 279 индексов (дада, 0x117h = 279 ), если хотите вывести больше - измените 117 на любое число )<br /><span style="color: red;"><b><br /></b></span><br /><span style="color: red;"><b><br /></b></span><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-6825333881843574239?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-64417757285754295282009-10-28T01:56:00.000-07:002010-03-02T05:25:24.358-08:00Полезности при работе с LiveKDИтак, постараюсь обновлять эту тему как можно чаще, так как иногда при тестировании драйверов нужно юзать отладчик режима ядра.<br /><br />1. Чтобы отладчик выводил логи, можно использовать команду <b>.logopen </b><filename> </filename><br />2. Чтобы просмотреть сервисы, на которых стоят хуки, надо просмотреть таблицу <b>KiServiceTable</b>, делается это командой <b>dds KiServiceTable <span style="color: #3d85c6;">L130</span></b><br />3. Чтобы просмотреть информацию о процессах, сущестувет команда <b>!process<span style="color: #3d85c6;"> 0 0</span></b> - она выводит все процессы. такая же команда с параметром 1 выведет краткую инфу о процессе, которая будет включать <b>DirBase</b>, которая понадобится для перехода в контекст процесса ( <b>.context</b> <dirbase>), также можно просмотреть <b>PEB </b>процесса, <b>VAD </b>etc.</dirbase><br />Поговорим подробнее о просмотре дерева <b>VAD</b><br />1. получим инфу, где находится Vad в процессе firefox.exe<br /><blockquote>0: kd> <b>!process </b><span style="color: #3d85c6;">8a3758a8 </span><b>1</b><br />PROCESS 8a3758a8 SessionId: 0 Cid: 06c8 Peb: 7ffdf000 ParentCid: 0288<br /> DirBase: 0b3c81c0 ObjectTable: e3721438 HandleCount: 1257.<br /> Image: firefox.exe<br /> <b style="color: #3d85c6;">VadRoot 8a0cac38</b> <b>Vads 613 </b>Clone 0 Private 27256. Modified 19445. Locked 0.</blockquote><br />Далее, используем команду <b>!vad</b> отладчика ядра:<br /><blockquote>0: kd><b style="color: #3d85c6;"> <span style="color: black;">!vad</span> 8a0cac38</b><br />VAD level start end commit<br />8a2540a8 (16) 10 10 1 Private READWRITE<br />8a241b80 (17) 20 20 1 Private READWRITE<br />8a23cc98 (15) 30 12f 52 Private READWRITE<br />8a175f08 (17) 130 132 0 Mapped READONLY<br />8a254600 (16) 140 141 0 Mapped READONLY<br />8a393850 (18) 150 18f 64 Private READWRITE<br />8a141910 (17) 190 19f 7 Private READWRITE<br />89f98d98 (19) 1a0 1af 0 Mapped READWRITE<br />8a144bc8 (18) 1b0 1c5 0 Mapped READONLY<br />8a1d8fb0 (20) 1d0 210 0 Mapped READONLY<br />8a1a3eb8 (19) 220 260 0 Mapped READONLY<br />8a1dafd8 (21) 270 275 0 Mapped READONLY<br /><b>8a0e6910</b> (20) 280 2eb 96 Mapped Exe <b>EXECUTE_WRITECOPY</b><br /><b>8a2cb270</b> (21) 2f0 3d3 213 Mapped Exe <b> EXECUTE_WRITECOPY</b><br /><b>8a27e630</b> (22) 3e0 3f7 18 Mapped Exe <b>EXECUTE_WRITECOPY</b></blockquote>Обратим внимание на адреса с Execute_writecopy:<br /><br /><br /><blockquote>0: kd> !vad 8a0e6910 1<br /><br />VAD @ 8a0e6910<br /> Start VPN 280 End VPN 2eb Control Area 8a211ca0<br /> FirstProtoPte e1486460 LastPte fffffffc Commit Charge 60 (96.)<br /> Secured.Flink 0 Blink 0 Banked/Extend 0<br /> File Offset 0<br /> ImageMap ViewShare EXECUTE_WRITECOPY<br /><br /><br /><b>ControlArea @ 8a211ca0<br /> Segment e1486420 Flink 00000000 Blink 00000000<br /> Section Ref 0 Pfn Ref 6a Mapped Views 1<br /> User Ref 1 WaitForDel 0 Flush Count 0<br /> File Object 8a36fd78 ModWriteCount 0 System Views 0<br /><br /> Flags (90000a0) Image File HadUserReference Accessed</b><br /><br /> <b style="color: red;">File: \Program Files\Mozilla Firefox\sqlite3.dll</b><br /><br />Segment @ e1486420<br /> ......................................................................</blockquote><blockquote>Reload command: .reload sqlite3.dll=280000,6c000<br /><br /><br /></blockquote><div style="color: black;">Как видим, там содержится модуль sqlite3.dll</div><br /><br />Чтобы просмотреть, что именно содержится по адресу <b>StartVPN </b>есть замечательные команды , <b>!dd!da, !du, !dc</b>. Если вы заметили, то при еще при выводе <b style="color: #3d85c6;"> <span style="color: black;">!vad</span> 8a0cac38, </b><span style="color: #3d85c6;"><span style="color: black;">у нас выводятся <b>StartVPN </b>& <b>EndVPN </b>адреса. Так что можно смело писать<b> !dc</b> <b style="color: #3d85c6;"><startvpn></startvpn></b></span><b style="color: #3d85c6;"> addr>*0x1000</b></span><br /><br /><span style="color: #3d85c6;"><span style="color: black;">Что самое интересное, командой dс 280*1000 невозможно просмотреть что находится по этому адресу</span><span style="color: black;">, точнее выдается инфа, но не та. Для этого, нужно переключиться в комнтекст данного процесса, как пишет</span> <a href="http://msdn.microsoft.com/en-us/library/cc266845.aspx">MSDN</a>, <span style="color: black;">юзаем команду <b>.process</b> </span></span><span style="color: #3d85c6;">8a3758a8</span> , далее - смотрим <b>dc</b> 280*1000 и убеждаемся, что там находится на 1-й строчке сигнатура РЕ файла - 'MZ'.... вот для меня только вопрос.. как выйти из контекста ? Об этом и PEB - в следующей статье )<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-6441775728575429528?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com0tag:blogger.com,1999:blog-4703269736102890428.post-11388750151728991432009-10-27T04:37:00.000-07:002009-10-28T01:11:46.433-07:00Мой первый блог<span style="color: #38761d;">Привет всем, кто сейчас читает этот блог .</span><br style="color: #38761d;" /><span style="color: #38761d;">В этом блоге постараюсь оставлять нужную информацию, которая требуется для тестирования программ. </span><span style="font-size: x-small;"><br style="font-family: verdana;" /><span style="font-family: verdana;"></span><span style="font-family: verdana;"><br /></span></span><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/4703269736102890428-1138875015172899143?l=val3ntin.blogspot.com' alt='' /></div>val3ntinhttp://www.blogger.com/profile/09571618724274981754noreply@blogger.com1