Всем привет!
Как можно сохранить содержимое буфера SoftIce на диск, например результат команды THREAD -x?
nmsym /logfile:<file>.log не подходит, т.к. в этот моент Windows находится в подвешенном состоянии.

| Сообщение посчитали полезным:

Andreo
1. Запустить утилиту Symbol Loader.
2. В меню FILE выбрать пункт SAVE SOFTICE HISTORY AS...
3. С помощью диалога сохранения задать имя файла и каталог.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc
1. Запустить утилиту Symbol Loader.
не могу запустить, т.к. в этот момент моя прога подвешивает всю систему. Вот и хочу с помощью сайса разобраться по какой причине, а для этого надо проанализировать лог.

Из si можно распечатать лог на принтер командой prn, на диск поидее тоже можно как-то сохранить.

| Сообщение посчитали полезным:

Andreo
Тогда вопрос: "А почему бы не проанализировать этот лог в самом отладчике??"
В общем,опиши подробнее.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

DillerInc

Программа стартует из Winlogon и инжектится во все процессы. Я пишу подробную отладку в mylog.txt, особенно подробно критические места, все процедуры защищены seh, в случае исключения отражаю это в логе. И иногда при старте Windows останавливает свою работу. Смотрю в свой лог - обрывается на треде, который устанавливает перехват на очередные ф-ии. при этом не возникает ни каких исключений, процесс не завершается. И я не пойму почему это происходит, может кто-то завершает этот тред принудительно или суспендит его.
Вот я и хочу посмотреть в каком состоянии находятся нужные мне потоки. Если ввести команду thread –x – то это порядка 200кб и к тому же в этот момент я не знаю какой tid у нужных мне потоков – вся инфа в mylog.txt.

Поэтому я хочу сбросить на диск результат thread –x и открыть mylog.txt и проанализировать ситуацию. Проблема еще в том, что эта ошибка возникает после 20-30 перезагрузки – приходится долго ждать.

| Сообщение посчитали полезным:

Версия ds
:ver
SoftICE (R) - DriverStudio (tm) 4.3.2 (Build 2485)
Windows NT Version 5.1 - Build 2600 (Free) SP 2


в icedump 6.026 and nticedump 1.14 не нашел патча под нее.

| Сообщение посчитали полезным:

DillerInc
В общем,опиши подробнее.


Описал.
Гуру софт айса подскажите, пожалуйста, как сохранить хистору буфер не создавая новых процессов(SymbolLoader и nmsym).

| Сообщение посчитали полезным:

Andreo пишет:
Программа стартует из Winlogon и инжектится во все процессы.
Такие вещи надо делать, либо на виртуальной машине, либо задействовать два компа и использовать remote debug. Тогда вся инфа у тебя будет на "независшей" Винде.
Andreo пишет:
И иногда при старте Windows останавливает свою работу.
Т.е. висит wellcome и все?! В винде есть какой-то контроль - у меня такое было после смены буквы системного диска. Скорее всего ты просто не успеваешь инжект завершить. А вообще на такие вопросы тебе вряд ли кто ответит, если только MsRem.

| Сообщение посчитали полезным:

на удаленной машине попробую.

Проблема частично прояснилась: зависание произошло немного позже обычного, к этому времени уже запустился DebugView(я его ставлю в автозагрузку) и в нем я смог посмотреть ID треда из за которого происходит зависание. Посмотрел стек - выяснилось, что тред не возвращается из OutputDebugStringA, которую я активно использую для отладки. Функция находится в точке OutputDebugStringA->WaitForSingleObject->....->KiUnexpectedInterupt.

почему это может происходить?

| Сообщение посчитали полезным:

tundra37
Скорее всего ты просто не успеваешь инжект завершить


Поясни, что ты имеешь в виду. не успеваю до какого момента?

| Сообщение посчитали полезным:

Andreo пишет:
что ты имеешь в виду
Это было только предположение.
Andreo пишет:
выяснилось, что тред не возвращается из OutputDebugStringA,
Вот здесь и рой. Скорее всего система не успевает эти запросы разгребать. Но это только предположение. Я думаю тут тебе никто из гуру не ответит, т.к. никто не хочет такого "зверя" в будущем поиметь к себе на машину

| Сообщение посчитали полезным: