Перейти к содержимому


Konstantin Yudin

Дата рег: 17 Янв 2008
Оффлайн Был(а) онлайн: Скрыт
*****

Темы пользователя

Adobe Flash must die

26 Июль 2017 - 08:59

http://osnews.com/story/29937/Adobe_discontinues_Flash

Наконец то наступил этот момент...

Включение режима сбора журналов трассировки у драйверов

06 Август 2015 - 14:05

Наши драйвера поддерживают системную трассировку событий, для систем Vista+ Давно хотелось описать как включать. Ибо плюсы и вам и нам.

Чтобы ее активировать нужно проделать следующее:

1. импортировать в реестр:
 
DwProt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger]
"GUID"="{C6333DCF-5F90-4b53-91F1-3CCECF241136}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\dwprottrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger\{C6333DCF-5F90-4b53-91F1-3CCECF241136}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff
SpIDer G3:
 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger]
"GUID"="{0D54F1B1-CC1E-4f14-8ED5-9B5CAE6D1444}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\spiderg3trace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger\{0D54F1B1-CC1E-4f14-8ED5-9B5CAE6D1444}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff
Shield:
 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger]
"GUID"="{E035D65E-3294-4588-8AC9-E98464782529}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\shieldtrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger\{E035D65E-3294-4588-8AC9-E98464782529}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff
ArkApi:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ArkApiLogger]
"GUID"="{DAFE13A7-31CB-4F28-BC84-D2D085FA203F}"
"Start"=dword:00000001
"Status"=dword:00000000
"BufferSize"=dword:00004000
"FlushTimer"=dword:00000002
"EnableKernelFlags"=dword:00000000
"LogFileMode"=dword:00000001
"MaxFileSize"=dword:00000064
"FileName"="C:\\arkapitrace.etl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ArkApiLogger\{DAFE13A7-31CB-4F28-BC84-D2D085FA203F}]
"Enabled"=dword:00000001
"EnableLevel"=dword:000000ff
"MatchAnyKeyword"=hex(b):ff,ff,ff,ff,ff,ff,ff,ff
при необходимости отредактируйте параметр: FileName на нужный путь. не стоит задавать пути не на системном диске или в глубине.

2. выберите режим сбора который вам скажут:

2.1 для запуска сбора на лету:

Нажмите правой кнопкой мыши по кнопки "Пуск/Start", выбрать пункт "Управление компьютером/Computer Managment", раскройте группу "Производительность/Perfomance", далее "Группы сборщиков данных/Data Collector Sets", далее "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" найдите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", нажмите на нём правой кнопкой мыши, выберите пункт "Запустить как сеанс отслеживания событий/Start As Event Trace Session", автоматически переход будет выполнен в группу "Сеансы отслеживания событий/Event Trace Sessions", состояние "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger" будет "Работает/Running".

2.2 для запуска сбора после перезагрузки. просто перегрузите машину. после перезагрузки будет создан трейс лог.

3. воспроизведите проблему. и скопируйте получившийся трейс лог.

4. Нажмите правой кнопкой мыши по кнопки "Пуск/Start", выбрать пункт "Управление компьютером/Computer Managment", раскройте группу "Производительность/Perfomance", далее "Группы сборщиков данных/Data Collector Sets", далее "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" найдите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", нажмите на нём правой кнопкой мыши, выберите пункт "Удалить/Delete". Если пункт не доступен, перейдите в "Сеансы отслеживания событий/Event Trace Sessions" и остановите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger", выбрав пункт "Остановить/Stop" правой кнопкой мыши. Вернитесь назад в "Сеансы отслеживания событий запуска/Startup Event Trace Sessions" и удалите "DWProtLogger" или "SpIDerG3Logger" или "ShieldLogger".

для надежности можно удалить (если есть) в реестре ключи:
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DwProtLogger
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\SpIDerG3Logger
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\ShieldLogger

Dr.Web Live Dumper

20 Февраль 2015 - 09:37

Всем привет!

http://people.drweb.com/people/yudin/private/public/dwdump.exe

У нас сегодня новенькая в разряде маст хев тулз. Утилита позволяет сделать полный дамп системы на лету, без BSOD-ов. Очень полезно для тех кто не желает ронять машину или система какой нибудь критичный сервер. Для форензик нужд тоже годно, я часто пользуюсь в связке с volatility :)

Как и все простое, работает просто. ни какого интерфейса. Запустил и ждешь. рядом создатся файл вида fulldump_2015_093145.dmp.
Если памяти много и/или диск медленный ждать можно долго, так что не пугайтесь и не пытайтесь ее прервать. В том же Far можно смотреть что данные меняются. Формат дампа: Microsoft Crash Dump, т.е. сразу можно запускать WinDbg на нем. Пользуйтесь на здоровье.

FYI: Помните, полный дамп памяти может содержать множество секретной и приватной информации, пароли, ключи от различных софтин и т.п. не давайте его кому попало.

свежачок

19 Август 2014 - 17:00

По своей старой доброй традиции, выкладываю свежие сборки которые не прошли еще тестлаб, но это не мешает ими пользоваться. :)

http://repo.drweb.com/testing/livedisk/


[!] 0098680: обновить ядро на 3.13
[!] 0098679: показывать всегда загрузочное меню
[-] 0098681: исправить отображение национальных символов
[-] http://forum.drweb.com/index.php?showtopic=318336&page=6#entry731583
[+] usb-modeswitch

Штатный функционал ОС по работе с дисками и превентивная защита в 9.0

09 Октябрь 2013 - 00:04

Всем привет!

Нужна помощь зала :)

В актуальной на сегодня 9.0 должен полноценно работать сабж на минимальном рекомендуемомом уровне превентивной защиты. Т.е. создание, удаление, изменение томов и дисков, форматирование, бекап, чекдиск с лечением и т.п. средствами ОС, должны работать без конфликтов.

Собственно просьба ко всем проверить, только апдейты накатить не забудьте и превентивку на рекомендуемый установить ;) если что то не работает, хотелось бы лог ав сервиса.

Спасибо!