кудато девается ~1ГБ физ памяти постоянно

Тема в разделе "WASM.X64", создана пользователем sn0w, 25 сен 2019.

  1. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    взял процессхакер, просуммировал весь столбец с частным рабочим набором - получилось 750мегов. а внизу на панели он пишет Physical memory: 1.8GB. и так постоянно, почемуто занято все время на гиг больше чем сумма. таскманагер тоже самое показывает. венда 8.1

    отключил в биосе VTx, снова загрузился - такая же история,
    посмотрел PCHunterом - ничего кроме как на картинке не нашлось,
    upload_2019-9-25_1-58-56.png



    но я чёт не понял что это, поэтомы выбрал всё и анхукнулся, получил тутже бсод
    KMODE_EXCEPTION_NOT_HANDLED (1e)
    0xffffffffc0000005, == 0x000000000002c19c ))
    00 nt!KeBugCheckEx
    01 nt!KiDispatchException+0x1da
    02 nt!KiExceptionDispatch+0xc2
    03 nt!KiPageFault+0x402
    04 0x2c19c
    05 ataport!AtaPortCompleteRequest+0x18cc


    вообщем т.к. дамп полный, по размеру == объёму ram
    я так понял - искать надо по !adress -p, только вот в конуе ошибка

    Код (Text):
    1.  
    2. 0: kd> !address -p
    3.  
    4. PFN  Address  Location  Attributes  Ref Cach Usage  Info
    5. ====================================================================================================
    6.   1 fffffa8000000030 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd06000
    7.   2 fffffa8000000060 6:Active  --RW------D-  2 1:C  DriverLocked  Process fffff803d1dbc300 [Idle]
    8.   3 fffffa8000000090 6:Active  --RW------D-  2 1:C  DriverLocked  Process fffff803d1dbc300 [Idle]
    9. ...
    10.   101 fffffa8000003030 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffdff000039000
    11.   103 fffffa8000003090 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd00000
    12.   104 fffffa80000030c0 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd02000
    13.   105 fffffa80000030f0 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd01000
    14.   106 fffffa8000003120 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd04000
    15.   107 fffffa8000003150 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd05000
    16.   108 fffffa8000003180 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd03000
    17.   109 fffffa80000031b0 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd07000
    18.   10a fffffa80000031e0 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd0a000
    19.   10b fffffa8000003210 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffffffffd0c000
    20.   10c fffffa8000003240 6:Active  ------------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffe001c8eee000
    21.   10d fffffa8000003270 6:Active  -M----------  1 1:C  Private  Process ffffe001c8c2e8c0 [System], VA:ffffc0009cca4000
    22.   10e fffffa80000032a0 2:Standby  P-----------  0 1:C  MappedFile  ERROR: !address: extension exception 0x80004005.
    23.   "ExtRemoteTyped::Field: unable to retrieve field 'ControlArea' at 0"
    24.  
    25.  
    как быть?
     
    Последнее редактирование: 25 сен 2019
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    sn0w,

    Этот тулз на IAT думает что там хуки, он же китайский. Null.sys(xx50008 - xx4E000 = RVA(2008)):
    Код (Text):
    1. .idata:0000000000012008 ; void __stdcall RtlInitUnicodeString
     
    sn0w нравится это.
  3. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    аа понятно, я тащемта и подумал что чтото не так, ибо в дизасме что current что original это явно данные а не код, при том что квалифицируется ими как inline-хук
    --- Сообщение объединено, 25 сен 2019 ---
    но вопрос открыт - както можно чемто кроме виндбга распарсить полный дамп?
     
  4. q2e74

    q2e74 Active Member

    Публикаций:
    0
    Регистрация:
    18 окт 2018
    Сообщения:
    988