Не могу запустить SoftIce (4.31,4.27) под XP sp2

Не могу запустить SoftIce (4.31,4.27) под XP sp2



Читал разные факи

http://www.wasm.ru/forum/index.php?action=vthread&forum=8&topic=2332

http://www.cracklab.ru/art/softice.php ( http://www.r-i-p.info/artview.php?id=768 )

в гугле искал



Судя по описанию, проблема похожа на эту: http://www.wasm.ru/forum/index.php?action=vthread&forum=5&topic=8562&page=1

только название темы весьма странное, поэтому я создал новую



1-ая проблема - osinfo.dat



Если взять новый osinfo.dat (с compuware), то при запуске что 2.7, что 3.1 выдаётся сообщение:

C:\>net start ntice

System error 31 has occured

A device attached to the system is not functioning



Как только заменяю osinfo.dat на родной (соответственно, на 3.1 или 2.7), айс нормально запускается.

Я и символы ретривером скачал, переделал их в nms,добавил в конфиг - никак не хочет с новым osinfo.dat работать.

В общем то и бог с ним, если бы не более важная проблема:



Устанавливаю, к примеру, DS 3.1 (или DS 2.7). Ставлю в режим Manual.



При нажатии Ctrl+D попадаю в SoftIce. В айсе всё работает - и мышь и клава.

Пока ничего не делаю в системе, могу выйти из айса на любое время (ничего не трогая) и потом по Ctrl+D опять попасть в айс, команда там разные повыполнять.

Но вот если выйти из SoftIce и 1-5 раз какие-нибудь кнопочки нажать (не трогая мыши) или мышкой менюшку открыть (а если повезёт - ещё и подменю), всё виснет, но по-хитрому. На клаву и мышь система не откликается, но по Ctrl+D попадаю в айс - там работают и мшыь, и клава.

Только окно кода исчезло (как при ошибках). Вместо него Int0E Fault in SoftICE ...

Если включить окно кода, то там будет ntice зацикленный (EB FE) (наверное, поэтому система и не работает).

Прошу прощения, пишу всё по памяти, поэтому выводимые значения сейчас привести не могу - завтра, как на роаботу приду. (в доках по айсу неутешительное "отошлите эти значения нам"). Железо тоже пока не могу привести.



Пробовал галки ставить в Troubleshooting Options (частично и все) - не помогает.



На компе также установлен McAffe FrameWork и Network Associates VirusScan. Поставил их службы в Disable - не помогло.

Таже отключил DEP в boot.ini ( /noexecute=alwaysoff ). И это не помогло.

Не хотелось бы, что бы это оказались какие-то проблемы с железом.



Может, кто сталкивался с подобным и знает, как рещить/обойти проблему? Пока собираюсь вторую ось рядом поставить - XP без SP (но мне кажется, что проблема не в нём - дома в VMWare DS 2.7 в XP sp2 нормально работает) или win2k sp4. Но так работать невозможно - комп в домене, и придётся перезагружаться, если что понадобится.



Может, ещё какая информация ещё нужна (железо и что окно айса приведу. Может, весь лог загрузки айса привести)?

Как можно поконкретнее узнать, что именно привело к ошибке?



Спасибо

 

наблюдал такое после установки sp2 для xp.

 

А у меня наоборот - под SP1 и Win2000 не работал, а под SP2 заработал... Чем они там занимаются эти разработчики??? Лучше бы баги ловили, чем доступ к патчам закрывать...

 

amitophia



На клаве есть кнопочки "мультимедийные": play и т.п. ???

 

S_T_A_S_

У меня есть на клаве(usb, безпроводная) такие кнопочки. Пока никак не отразилось на работе SI.

А что бывает ?

 

2S_T_A_S:

Нет. Клава обычная PS/2 104 кнопки

Мышь MS оптическая USB. Пробовал ставить мышь PS/2 - не помогло.



Железо:

Мама Intel D865GLC. Видео,звук и сеть встроенные

Процессор Celeron 2.66G, память 512 MB



Сообщение такое:

Код (Text):

1. THD: Worker thread created
2. NTICE:  Exit32 PID=F2EDC2EE MOD=<кракозябы>
3. 001
4. Int0E Fault in SoftICE at address EDFA1EF4 offset 00093C50
5. Fault Code=E3AD0000
6. DS=0010 ES=0023 FS=0030 GS=0000 ESI=85244888 EDI=8057E3FA ESP=EE5CFBF0
7. EAX=E3AD0000 EBX=0000000 ECX=<ЗАБЫЛ> EDX=E3AD0000
8. Frame EBP   RetEIP     Syms Symbol
9. EE5CFC44    F787E73A     N  NTice!.text+00095B74
10. EE5CFD08    8057E508     N  cpthook!.text+043A
11. EE5CFD28    8058AF06     Y  ntoskrnl!ExWaitForRundownProtectionRelease+0399
12. EE5CFD54    804DF06B     Y  ntoskrnl!SeTokenWriteRestricted+0EE0
13. EE5CFD64    7C90EB94     Y  ntoskrnl!ZwYieldException+0B96
14.  
15. Raw stack Dump: ESP=EE5CFBF0
16. EDFA0C6E
17. F7880010
18. 00000086
19. 8057E3FA
20. 85244888
21. EE5CFC44
22. EE5CFC1C
23. 00000000
24. F78812EC
25. 84FC0B00
26. 0008: EDF0F294   JMP EDF0294

таких вот строчек

NTICE: Exit32 PID=F2EDC2EE MOD=<кракозябы>

быавет от одной до четырёх

<кракозябы> - это à√πWÇ☺☺

Во время загрузки айса есть также некоторые сообщения об ошибках:

Код (Text):

1. ...
2. Macro: Memory for 32 Macro enries
3. NTICE: *** API Hook Failure: MiMapViewOfImageSection
4. NTICE: *** API Hook Failure: MiUnmapViewOfSection
5. NTICE: *** API Hook Failure: MiAddValidPageToWorkingThread
6. NTICE: *** API Hook Failure: KeBugCheck2
7. NTICE: *** API Hook Failure: MiCopyOnWrite
8. NTICE: Rtl end Found at 8053ED81
9. ...

Если ввести команду proc, то процесс net или net1 будет runnning, а остальные ready

Сдампить скрин с помощью IceExt не получается: виснет.

Запускать пробовал как с установленным IceExt, так и без него.

 

Поставь 4.05 - работает вез проблем.

Если ставить выше - такие косяки вылазиют, просто ужас.

На cracklab`e есть патчик под ХР

 

amitophia

Это у тебя не подходящий winice.dat, а новый не пашет, странно, например у меня он нормально съедается. Надо ещё иметь обязательно ntoskrnl.nms, могу кинуть, у меня он из 190-метрового пакета символов.

Кстати, если проц Celeron D(Prescott), то у них проблемы с SP2 я что-то слышал надо то ли биос перепрошивать то ли патч от MS какой-то ставить.

 

2dragon:

я же сказал, что скачал символы и поставил. В приведённом логе есть строки с символами из ntoskrnl.



Пока обошёл проблему установкой на этот же винт второй XP (без sp). На него установил те же дрова для видео Intel 82865G и сетевухи Intel PRO/100 VE. Там айс работает.

Звук пока не ставил.

При нормальносм запуске айса в строчках типа

NTICE: Exit32 PID=F2EDC2EE MOD=...

не кракозябы, а net,net1 и start (по-моему)

На новой XP сразу после установки дров сетевухи комп один раз повис при запуске Айса. Я перезагрузился, поставил в свойствах Network Debugging галочку Enable SoftICE Network Support. Больше не висло. Попробовал сделать то же в XP sp2, но не помогло.



Вероятно, какие-то конфликты с какими-то дровами



_{Celeron, действительно, D, но та проблема связана с тем, что XP sp2 не грузится при старте. У меня этих проблем нет, стоят все апдейты (авто).}

 

NTICE: *** API Hook Failure: MiMapViewOfImageSection

NTICE: *** API Hook Failure: MiUnmapViewOfSection

NTICE: *** API Hook Failure: MiAddValidPageToWorkingThread

NTICE: *** API Hook Failure: KeBugCheck2

NTICE: *** API Hook Failure: MiCopyOnWrite





amitophia, слушай, а если экстремаьльно пойти? Отдизасми ntice.sys и выясни, что привело к такой радости, а?

 

amitophia >

Странно, когда я сохраняю лог, такие штуки по-русски получаются - это же сообщения об ошибках, может они что прояснят?





MoKC0DeR >

У меня такой прикольный глюк: после пробуждения из sleep или hibernate, если (в виндосе) нажать например "1", то ничего не происходит, потом нажать "2" - печатается "1" и т.д. )) от SP2 это не зависит, у кого-то подобная трабла была и клава тоже м/м. хотя это скорее с ACPI как-то связано...

 

API Hook Failure



Эта фигня выскакивает, когда сайс не может найти функцию в ядре, и пока будет выскакивать хоть одна такая строчка, правильно отладчик не заработает.



В общем у меня тоже стоит WinXP SP2 и DriverStudio 3.1, в папке system32\drivers лежит вот этот файл. Если с ним не заработает, то проблема в самой винде, может SP2 какой-нибудь бета-версии а не финальной.

_978805490__OSINFO.rar

 

2volodya: Издеваемся, да?



2S_T_A_S_: когда я сохраняю лог, такие штуки по-русски получаютсяЭто не лог, это я с экрана переписал, потому что лог сохранить не получилось. Но эот не по-русски, потому что последние 2 квадрата (если у кого так видно) - это закрашенные рожи (0x2).



2dragon: С твоит OsInfo.dat тоже не работает. Тут ешё оказалсь, что новый osinfo.dat не подхватывался, потому что криво скачался (причём 2 раза). Из-за этого была ошибка System error 31 has occured.

Сейчас скачал нормально, но при старте пишет один API Hook Failure: NtTerminateProcess

Какие именно проблемы с твоим осинфо, я пока сказать не могу, так как, оказывавется, не всегда получается попасть в айс по Ctrl+D, когда система повисла.



Версия SP2, действительно бета, но все изменённые в последней версии файлы заменены новыми (03.08.2004), в частности ntoskrnl.exe, ntdll.dll и т.п. (файлы, имеющие более старую дату по fc /b такие же, как в новом SP2. Я, конечно, не все файлы проверял, а только некоторые)

 

2volodya: Издеваемся, да?



Вовсе нет. Просто, как ты заметил, большинство народа предлагает лишь поплясать с бубном. Способов посмотреть, что происходит никто не предлагает. Вот я и думаю, а не сделать ли рывок. Попытаться вкурить, что происходит. Пост по внутренностям айса я видел лишь один раз - на RCE. Постил его Каякер, но Каякер - гуру. А ты производишь впечатление человека, который мог бы такое поднять - вот я и подумал - почему бы не попробовать? Хоть какой-то свет прольешь. Так что, я вовсе не издеваюсь. Я предлагаю тебе нырнуть куда глубже, чем это делает 99% людей.

 

volodya

Как ты думаешь, сколько на это времени надо??





amitophia

Ну могу порекомендовать переустановить винду с нормальным SP2, потому что кроме ntoskrnl и hal много чего ещё загружено, например дрова процессора, или ещё какая-нибудь хрень, которая не обновилась

 

Как ты думаешь, сколько на это времени надо??



На то, чтобы отдизасмить айс и посмотреть, что приводит к выводу такой строки? День-два на очень поверхностное изучение. Я же не говорю о полном вскрытии пациента.

 

Ну это и так понятно, что приводит к выводу строки API Hook failure. Если сайс не может найти функцию, это значит, что комплект DriverStudio+winice.dat+ntoskrnl.nms не поддерживает текущую версию винды. Осталось как я понимаю проверить ntoskrnl.nms и если не заработает, то надо переставлять винду и ставить SP2 final release, потому что всё должно прекрасно поддерживать.



amitophia

Ну так как, кинуть nms?

 

2volodya: Я бы с удовольствием, будь это всё дома. А тут я слишком много время уделять на это не могу. Пока вот работаю в параллельной системе, но не очень удобно. Но, если будет свободное время, может, и посмотрю.

PS: если мне не изменяет память, Мамаич на реверсинге выкладывал ntice.idb (правда от другой версии).



2dragon: Может быть (я полагаю, что был установлен Windows XP beta SP2, а потом установлен SP2). Можно будет попробовать в режиме восстановления. Пока не знаю...



Кстати. На новой системе, когда я нахожусь в SoftIce, начинает глючить сеть у тех, кто со мной в локалке: то к сети доступа нет, то Exchange Server не доступен. Свич: 3Com 3C16475. Пока более или менее нормального тестирования не проводили. В настройакх Айса отключил Network Debugging (я раньше о ней упоминал, но айс и без неё работает) - всё равно сеть глючит. Сейчас ещё отключил галки в Remote Access, но пока не проверяли, работает сеть нормально или нет. Пока видираю шнур на время отладки

(А может, дело ввообще не в Айсе. Просто замечено, что когда я выхожу из Айса,сеть начинает работать).Никто с таким не встречался?

 

2dragon:

про ntoskrnl.nms - я не из архива взял PDB, а скачал сивол-ретривером. Он берёт именно тот PDB, который нужен.

Выложи свой, например, на webfile.ru. Посмотрю, что там. На всякий случай:

Код (Text):

1. ; SlavaSoft Optimizing Checksum Utility - fsum 2.51 <www.slavasoft.com>
2. ;
3. ; Generated on 02/03/05 at 20:50:02
4. ;
5. ce218bc7088681faa06633e218596ca7 *ntoskrnl.exe
6. 15782257e32d22d76ed15512292d7f96 *ntoskrnl.NMS
7. 701cf9849e388d2bece03b152d5dd06c *ntoskrnl.pdb

Проверь. Если такие же, то, думаю, смысла нет. (NMS, наверное, отличаться будет, но вдруг и он одиноковый )

 

b9d0f564511439e9c64f92387c622222 *ntoskrnl.exe

701cf9849e388d2bece03b152d5dd06c *ntoskrnl.pdb

f96dc5f6fae637f167960decb50f11f1 *ntoskrnl.NMS



Как видишь совсем другие файлы, значит винда какая-то левая.



http://webfile.ru/177873