Проблема с SoftICE

Сейчас на форуме: Rio, YDS, _MBK_ (+10 невидимых)

Посл.ответ	Сообщение
sngsprs Ранг: 7.6 (гость) Активность: 0=0 Статус: Участник	Создано: 18 февраля 2006 11:41 · Личное сообщение · #1 Привет всем. Кто-нибудь знает как решить проблему "API Hook failure - NtTerminateProcess"? Трое суток по форуму ищу, Так ничего конкретного и не нашёл. Система у меня XP SP2, процессор Pentium 4 (3.2 с HT). Отключение HT в BIOS , замена на новые OSINFO.DAT и osinfob.dat ничего не дают, пробовал в реестре создавать параметр Addr.NtTerminateProcess , тоже без толку, что ещё делать не знаю, уже голова кругом идёт. Может кто решал подобную проблему в XP SP2, судя по форуму, у многих же работает без проблем. Пробовал устанавливать DriverStudio 3.2 скачанный отсюда, рипнутый SoftICE 4.3.2, сейчас остановился на SoftIce 4.2.7 от DeMoNix, раньше в SP1 работал на ура, сейчас тоже не хочет. Уж больно не хочется Винду сносить, гигабайты всего накопилось. Если кто знает решение проблемы, отзовитесь, буду очень признателен. 084f_winice.log.zip

ValdiS Ранг: 420.3 (мудрец) Активность: 0.24↘0 Статус: Участник	Создано: 19 февраля 2006 11:04 · Личное сообщение · #2 sngsprs пишет: Отключение HT в BIOS Отключал до установки или уже после? Желательно отключать до установки. Антивирусы, фаервол отключал? Выключи (хотя бы временно) все лишнее из авторанов. sngsprs пишет: Уж больно не хочется Винду сносить, гигабайты всего накопилось. Если ничего не поможет и будешь переставлять ОС, то ставь другую версию (возьми другой диск, могут быть разные сборки). ----- Сколько ни наталкивали на мысль – все равно сумел увернуться
sngsprs Ранг: 7.6 (гость) Активность: 0=0 Статус: Участник	Создано: 19 февраля 2006 12:27 · Личное сообщение · #3 Да, отключал до установки. На данный момент результаты такие: DriverStudio 3.2 и 3.1 ни в какую не хотят работать, от SoftIce 4.2.7 вроде кое чего удалось добиться, лог без ошибок, но после 2-ух или 3-ёх бряков, грузит память по чёрному. И ещё вот что ещё заметил, при распаковке проги запакованной UPX, бряки "bpint 3" и "bpm esp-4" срабатывают всегда без проблем, при распаковке же Aspack, "bpint 3" срабатывает, а "bpm esp-4" никак не хочет, после нажатия F5, айс закрывается и не всплывает, в чём ,интересно, причина? Насчёт дистрибутива, я его сам собирал winxp_pro_with_sp2_vl, контрольная сумма совпадает с оригиналом, сборка 2600, если не ошибаюсь, антивирус и фаервол снёс сразу, как начал экспериментировать, с авторана тоже всё убрал.
Ruller Ранг: 56.9 (постоянный) Активность: 0.05↘0 Статус: Участник	Создано: 21 февраля 2006 01:02 · Личное сообщение · #4 >при распаковке же Aspack, "bpint 3" срабатывает, а "bpm esp-4" никак не хочет, после нажатия F5, айс закрывается и не всплывает, в чём ,интересно, причина? А причина в DS3.1,У меня один в один глюк бул. ВЫВОД: DS2.7 или DS3.2.
al_begin Ранг: 5.7 (гость) Активность: 0=0 Статус: Участник	Создано: 22 февраля 2006 11:06 · Личное сообщение · #5 sngsprs пишет: ...Система у меня XP SP2... А вот SoftICE этого почему-то "не увидел": … SoftICE (R) - DriverStudio (tm) 4.2.7 (Build 562) Windows NT Version 5.1 - Build 2600 (Free) SP 0 <- это из твоего winice.log … Скорее всего, либо инсталлятор "рипнутой" версии не очень коректно определил версию сервис-пака, либо сам SoftICE. В последнем случае может повлияло: ...Насчёт дистрибутива, я его сам собирал winxp_pro_with_sp2_vl,... …DriverStudio 3.2 и 3.1 ни в какую не хотят работать... С DriverStudio 3.1 действительно была замечена проблемка - конфликт с драйверами IntelIde и PartMgr в Диспетчер устройств -> Вид -> Показать скрытые устройства -> Драйверы устройств не Plug & Play. Ну, IntelIde+SoftICE 4.3.1, это, может быть касается только владельцев южного моста ICR6R чипсета от Intel, а у связки PartMgr+SoftICE 4.3.1, вероятно, некие непонятки с SATA-HDD, особых проблем пока с этим замечено не было, но рисковать с DriverStudio 3.1 думаю не стоит. Тем более в DriverStudio 3.2 этого нет. …при распаковке же Aspack, "bpint 3" срабатывает, а "bpm esp-4" никак не хочет, после нажатия F5, айс закрывается и не всплывает, в чём ,интересно, причина?... Ну, во-первых, если это действительно Aspack, а не какой-нибудь ASprotect, который чихал на ESP-4, тогда - во - вторых - думаю, все же лучше явно указывать НА КАКОЕ ДЕЙСТВИЕ С ПАМЯТЬЮ устанавливается bpm, т.е. что-то подобное bpm esp-4 RW или bpm esp-4 X. А в-третьих, если ты строго идешь по какому-то тутору и используешь именно те версии программ, которые в нем указаны, то, есть вероятность, что проблема в HT (HyperThread) и исследуемый процесс «прячется» на «другом логическом» процессоре … Подробнее по этому поводу, а также по ошибке с кодом 1031 в аттаче... *** API Hook failure - NtTerminateProcess 100% лечится, и именно через Addr.NtTerminateProcess - к базовому адресу ntoskrnl. exe на ВАШЕЙ МАШИНЕ по команде MOD в SofICE (у меня 804D7000) нужно прибавить смещение B5E77 (для этого предлагалась команда ? в самом SoftICE, но можно и в Калькуляторе, только выберите Вид -> Инженерный и режим Hex). У меня получилось 8058СE77 (специально не пишу ни h на конце, ни СИ-шную транскрипцию, чтобы не смущать, потому что именно в таком виде надо вносить получившийся адрес в значение реестра) …новые OSINFO.DAT и osinfob.dat ... Формат этих файлов не менялся с 2002 года , но разных билдов по сети - море. Для SP1, SP2 или без оных - IMHO SoftICE сам разберется, какие сигнатурки ему нужны - главное билд посвежее. У меня пока OSINFO.DAT от 03.02.05 15:41:40 и osinfob.dat 12.10.04 17:49:36. Взято на hxxp://rapidshare.de/files/11935543/OSInfo.zip.html - СПАСИБО Cigan-у Подробнее про свои собственные можете узнать по команде ver -x в SoftICE. Не пугайтесь, что "якобы" SoftICE ее не понимает - про нее упоминается в SIReadme.html d0a8_HT_1031.rar.zip
al_begin Ранг: 5.7 (гость) Активность: 0=0 Статус: Участник	Создано: 22 февраля 2006 14:34 · Личное сообщение · #6 Сорри, смещение для * API Hook failure - NtTerminateProcess, указанное в предыдущем топике пригодно для ntoskrnl.exe с внутренним именем ntkrnlmp.exe с версией 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) т.е. для систем с двумя "логическими" процессорами. Для ntoskrnl.exe с внутренним именем ntoskrnl.exe с версией 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), т.е. для одноядерных процессоров, смещение будет B3E20**, потому что там часть функций спин-блокировки процессоров выкинуты.
sngsprs Ранг: 7.6 (гость) Активность: 0=0 Статус: Участник	Создано: 22 февраля 2006 19:01 · Личное сообщение · #7 Большое спасибо за информацию, буду пробовать.
sngsprs Ранг: 7.6 (гость) Активность: 0=0 Статус: Участник	Создано: 23 февраля 2006 13:37 · Личное сообщение · #8 Всех с праздником! Чтобы не заморачиваться с разборкой двух процессоров между собой, попробовал установить систему с того же дистрибутива на другой раздел, только с выключенным HT, после чего установил DS 3.2 - всё заработало без проблем. Для себя выяснил, что все проблемы у меня были из-за HT, потому как первая система была установлена при включенном HT и отключение его перед установкой SoftIce результатов не давала, так же перед этим была попытка установить XP SP1 - наблюдался тот же глюк, что и в SP2. Да, кстати, сейчас при распаковке Aspack, "bpm esp-4" срабатывает как часы. Большое спасибо за подсказку al_begin.

Для печати