ניתוח קובץ DUMP

[thinking8]

ניתוח קובץ DUMP

איך ניתן לנתח קובץ DUMP על מנת להבין מקור של HANDLES גבוה (מגיע כמעט עד 200 אלף)
תודה

 

[sharonei1]

תשובה

[URL]http://www.nirsoft.net/utils/blue_screen_view.html[/URL]

 

[thinking8]

לפי מה שאני מבין זה במקרה של CRASH

במקרה שלי ה SVC HOST
לא מפסיק להתנפח.

 

[F00D Is G00D]

לדעתי - שנה כיוון.

סיכוי מאוד גבוהה שזה או תוכנה מזיקה כלשהיא שרצה תחתיו, או סתם באג שמליון אנשים ראו לפניך ולא שווה לבזבז עליו את הזמן.
&nbsp
פתח procexp ובדוק:
* עם איזה פרמטרים רץ ה svchost? איזה סרביס קרא לו?
* מי ה EXE שרצים תחתיו - האם כולם חתומים?
* מה גרסאות הקבצים, האם יש עדכון כלשהוא (hotfix) יותר מתקדם עבורם?

 

[sharonei1]

היה לי מקרה לפניי שבוע svhost שלא היה במיקום הנכון

ו cpu 99%

 

[thinking8]

מה הכוונה לא במקום הנכון?

אצלי יש בעיה של HANDELS וזכרון ה CPU רגוע.

 

[sharonei1]

שלא היה בתיקיה סיסטם 32

 

[HooK]

זה וירוס

 

[ntbsh]

כמה אפשרויות

אפשרות ראשונה ומומלצת מאוד על-ידי - WinDbg - רק אל תשכח להגדיר ולטעון את ה- Symbols המתאימים.
אם מדובר ב- Process/Thread של כלי צד ג' - תדאג לטעון גם את ה- Symbols שלו, או להצביע ל- Symbol Server של ה- Vendor.
בנוסף, תוכל להשתמש ב- Dr. Watson במערכות Legacy (השבוע השתמשתי בו ל- SEP, הנה דוגמא - http://www.symantec.com/connect/articles/debugging-symantec-endpoint-protection-sep-drwatson).
כמו כן, יש כלים נוספים שאתה יכול לייצא Dump ולנתח אותם, Process Explorer הוא דוגמא אחת. יש מקרים שבהם תתבקש, על-ידי גורם מוסמך, להשתמש בכלים נוספים, היה לי מקרה בו גוף ה- Premier של מיקרוסופט ביקש ממני להשתמש ב- ADPlus.bvbs - http://support2.microsoft.com/kb/286350.
לידיעתך.