взял процессхакер, просуммировал весь столбец с частным рабочим набором - получилось 750мегов. а внизу на панели он пишет Physical memory: 1.8GB. и так постоянно, почемуто занято все время на гиг больше чем сумма. таскманагер тоже самое показывает. венда 8.1 отключил в биосе VTx, снова загрузился - такая же история, посмотрел PCHunterом - ничего кроме как на картинке не нашлось, но я чёт не понял что это, поэтомы выбрал всё и анхукнулся, получил тутже бсод KMODE_EXCEPTION_NOT_HANDLED (1e) 0xffffffffc0000005, == 0x000000000002c19c )) 00 nt!KeBugCheckEx 01 nt!KiDispatchException+0x1da 02 nt!KiExceptionDispatch+0xc2 03 nt!KiPageFault+0x402 04 0x2c19c 05 ataport!AtaPortCompleteRequest+0x18cc вообщем т.к. дамп полный, по размеру == объёму ram я так понял - искать надо по !adress -p, только вот в конуе ошибка Код (Text): 0: kd> !address -p PFN Address Location Attributes Ref Cach Usage Info ==================================================================================================== 1 fffffa8000000030 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd06000 2 fffffa8000000060 6:Active --RW------D- 2 1:C DriverLocked Process fffff803d1dbc300 [Idle] 3 fffffa8000000090 6:Active --RW------D- 2 1:C DriverLocked Process fffff803d1dbc300 [Idle] ... 101 fffffa8000003030 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffdff000039000 103 fffffa8000003090 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd00000 104 fffffa80000030c0 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd02000 105 fffffa80000030f0 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd01000 106 fffffa8000003120 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd04000 107 fffffa8000003150 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd05000 108 fffffa8000003180 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd03000 109 fffffa80000031b0 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd07000 10a fffffa80000031e0 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd0a000 10b fffffa8000003210 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffffffffd0c000 10c fffffa8000003240 6:Active ------------ 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffe001c8eee000 10d fffffa8000003270 6:Active -M---------- 1 1:C Private Process ffffe001c8c2e8c0 [System], VA:ffffc0009cca4000 10e fffffa80000032a0 2:Standby P----------- 0 1:C MappedFile ERROR: !address: extension exception 0x80004005. "ExtRemoteTyped::Field: unable to retrieve field 'ControlArea' at 0" как быть?
sn0w, Этот тулз на IAT думает что там хуки, он же китайский. Null.sys(xx50008 - xx4E000 = RVA(2008)): Код (Text): .idata:0000000000012008 ; void __stdcall RtlInitUnicodeString
аа понятно, я тащемта и подумал что чтото не так, ибо в дизасме что current что original это явно данные а не код, при том что квалифицируется ими как inline-хук --- Сообщение объединено, 25 сен 2019 --- но вопрос открыт - както можно чемто кроме виндбга распарсить полный дамп?