Перейти к содержимому


Фото
- - - - -

Как снять дамп процесса при проблемах Защиты от эксплойтов


  • Закрыто Тема закрыта
1 ответов в теме

#1 Aleksey Tarakhti

Aleksey Tarakhti

    Poster

  • Members
  • 961 Сообщений:

Отправлено 31 Август 2016 - 19:34

Воспроизведение и снятие дампа:

  1. Включить интерактивный режим для Защиты от эксплойтов (Настройки -> Компоненты защиты -> Превентивная защита -> Защита от эксплойтов).
  2. Воспроизвести проблему и дождаться, когда в правом нижнем углу экрана появится уведовление "Блокировать исполнение неавторизованного кода?". Уведомление не закрывать (это важно).
  3. Собрать полный дамп памяти с процесса, который вызывает ложное срабатывание. В нотификации указан конкретный PID. Это поможет вам найти нужный процесс.

 

Интерактивный режим Защиты от эксплойтов в ES\AV-Desk через веб-консоль:

  1. Открыть консоль администрирования ES\AV-Desk.
  2. Перейти в раздел "Антивирусная сеть".
  3. Выбрать рабочу станцию, для которой требуется изменить настройки.
  4. Перейти в раздел "Конфигурация  -> Агент Dr.Web".
  5. Выбрать пункт "Превентивная защита".
  6. Установить значение "Интерактивный режим" для опции "Защита от эксплойтов".
  7. Сохранить настройки.

 

Сбор дампа через Диспетчер задач Windows:

  1. Открыть Диспетчер задач Windows (например, нажав Ctrl + Shift + Esc).
  2. Перейти на вкладку "Процессы", если у вас Windows Vista/7. Перейти на вкладку "Подробности", если у вас Windows 8/8.1/10. В Windows XP снять дамп памяти процесса через Диспетчер задач невозможно.
  3. Нажать кнопку "Отображать процессы всех пользователей".
  4. Найти процесс с необходимым PID. Если PID не отображается в списке, используейте "Вид -> Выбрать столбцы... -> ИД процесса (PID)".
  5. Кликнуть правой кнопкой на интересующем процессе и выбрать пункт "Создать файл дампа памяти". После завершения сбора дампа вам отобразиться окно с указанием пути расположения самого дампа.

 

Сбор дампа через prodump:

  1. Скачать procdump - https://technet.microsoft.com/en-us/sysinternals/dd996900
  2. Запустить procdump следующим образом: procdump.exe -ma <PID>

 

<PID> нужно указывать без угловых скобок.

Дамп будет сохранён в том же каталоге, где находится procdump.exe.

 

Сбор дампа через ProcessExplorer:

  1. Скачать ProcessExplorer - https://technet.microsoft.com/en-us/sysinternals/processexplorer
  2. Запустить procexp.exe с правами администратора.
  3. Найти процесс с необходимым PID.
  4. Кликнуть правой кнопкой на интересующем процессе и выбрать пункт "Create Dump -> Create Full Dump...". 
  5. Выбрать каталог сохранения дампа.

Сообщение было изменено Aleksey Tarakhti: 01 Сентябрь 2016 - 14:01


#2 VVS

VVS

    The Master

  • Moderators
  • 17 491 Сообщений:

Отправлено 09 Февраль 2018 - 12:27

rapira911, начать с того, что создать новую тему с подробным описанием проблемы.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 



Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых