Приветствую вас. Давненько не создавал тем. Впрочем, к делу. Есть система - XP SP3 32bit. Была проверка системы тузлой Rku 3.8.386.589. В общем в списке прерываний перехвачены: int 64 int 63 int 73 int 74 int 84 int 93 int 94 int а4 int b1 int b4 int b5 Все они ведут в unknown_code_page. Анхукером не снимается. Система эта не у меня, человек сидит под админом (по этому поводу флеймить не надо). Ну и полный дамп памяти пока нет возможности сделать. Приложу еще высланные мне отчеты рку и + дамп mbr (вроде он впорядке) Вопрос первый - что это может быть? Реально ли опасное чето. Или это тупости РКУ. Возможно кто-то сталкивался. Да, инфы не много. Но все же, ваши мысли ..)
TermoSINteZ Часто рку работает не корректно. Не знаю с чем это связано(не смотрел). Нужно помотреть чемнибудь ISR любой ловушки к примеру, которая в логе показана как изменённая.
Clerk Есть какие тулы чтоб железно глянуть эти места? Кстати, еще инфа. После каждого рескана этим RKU, адреса меняются, и память по этим адресам (в ловушке), если смотреть из виндебага и сдампить фулл мемдамп рку - в дампах разная. Но не на всех INT, а на некоторых.
TermoSINteZ Попробуйте версию 3.8.388.590 - она, вроде, получше работает... и скан "Stealth Code" работает. У меня тоже иногда вылезают перехваченные прерывания, но я делаю несколько запусков рку - раз на раз не приходится (скорее всего, внутрение недоработки рку, как сказал Clerk). Можно еще сравнить результаты с gmer-ом.
gorodon GMER бсодит кстати. презапуски текущего рку дают одно и тоже. РКУ 590 попробуем. Как будет инфа - отпишу.
r3 тузла. Вообще толку ноль. Надо что-то рабочее. По мимо рку, чтоб хотя бы глянуть IDT полностью, анализ увидеть. Ну если уж нету мыслей других.
берем эту тулз http://technet.microsoft.com/en-us/sysinternals/bb897415.aspx и вот эту http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx#b смотрим idt !idt /a
Clerk Если бы у меня был физ доступ к компу - я бы сам давно уже все проверил включив отладку по нульмодему и не создавал бы тему эту. RKU 590 дал сл результ (см аттач) Bazhan Возможно чел попробует это сделать. Ок.
Короче отбой пока что. Походу lkd прояснил ситуацию. (см идт в аттаче) Короче RKU тупит. Адреса не может распознать потому, что там chained записи (ну походу из за этого). И модуль spdt кстати там. Код (Text): b4: 8b1bd044 8b32bcc8 (KINTERRUPT 8b1bd008) 8b32bcc8 (KINTERRUPT 8b1bc008) 8b03bcc8 (KINTERRUPT 8aaf5008) Код (Text): lkd> dt nt!_KINTERRUPT 8b1bd008 +0x000 Type : 22 +0x002 Size : 484 +0x004 InterruptListEntry : _LIST_ENTRY [ 0x8b1bc00c - 0x8aaf500c ] +0x00c ServiceRoutine : 0x8b32bcc8 unsigned char +ffffffff8b32bcc8 --<< обратите внимание +0x010 ServiceContext : 0x8b220040 +0x014 SpinLock : 0 +0x018 TickCount : 0xffffffff +0x01c ActualLock : 0x8b1bd26c -> 0 +0x020 DispatchAddress : 0x805454a0 void nt!KiChainedDispatch+0 +0x024 Vector : 0x1b4 +0x028 Irql : 0xa '' +0x029 SynchronizeIrql : 0xa '' +0x02a FloatingSave : 0 '' +0x02b Connected : 0x1 '' +0x02c Number : 0 '' +0x02d ShareVector : 0x1 '' +0x030 Mode : 0 ( LevelSensitive ) +0x034 ServiceCount : 0 +0x038 DispatchCount : 0xffffffff +0x03c DispatchCode : [106] 0x56535554 Код (Text): lkd> u 0x8b32bcc8 8b32bcc8 54 push esp 8b32bcc9 687ee61af7 push offset atapi!IdePortInterrupt (f71ae67e) *** ERROR: Module load completed but symbols could not be loaded for sptd.sys 8b32bcce b89c9328f7 mov eax,offset sptd+0x1639c (f728939c) 8b32bcd3 6808b0328b push 8B32B008h 8b32bcd8 ffd0 call eax 8b32bcda c20800 ret 8 А вот нормальный вектор с известным модулем: Код (Text): lkd> dt nt!_KINTERRUPT 8a23a008 +0x000 Type : 22 +0x002 Size : 484 +0x004 InterruptListEntry : _LIST_ENTRY [ 0x8a22000c - 0x8aad700c ] +0x00c ServiceRoutine : 0xf70a7ed2 unsigned char NDIS!ndisMIsr+0 +0x010 ServiceContext : 0x8a7e7228 +0x014 SpinLock : 0 +0x018 TickCount : 0xffffffff +0x01c ActualLock : 0x8a23a26c -> 0 +0x020 DispatchAddress : (null) +0x024 Vector : 0x173 +0x028 Irql : 0x6 '' +0x029 SynchronizeIrql : 0x6 '' +0x02a FloatingSave : 0 '' +0x02b Connected : 0x1 '' +0x02c Number : 0 '' +0x02d ShareVector : 0x1 '' +0x030 Mode : 0 ( LevelSensitive ) +0x034 ServiceCount : 0 +0x038 DispatchCount : 0xffffffff +0x03c DispatchCode : [106] 0x56535554 В общем вроде все в порядке. По крайней мере в текущих данных. Тему пока оставлю открытой.
