Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 14.11.23 13:30
Оценка:
Предыстория: Система Windows 10 22H2. Сидел, работал. В какой-то момент понадобилось отлучиться, жму Win+L для блокировки, а оно не блокируется. Через Win-меню тоже блокировка не работает, просто ничего не происходит. Попробовал вместо этого сделать Switch user — система показала чёрный экран и зависла наглухо. Вывести из этого состояния не удалось, пришлось грохать по питанию. После перезагрузки обнаружил, что Process Hacker потерял практически всю оцветовку процессов и не показывает некоторые детали (такие как уровень Elevation, Integrity, имя аккаунта, от которого запущен процесс, и пр.). Если в настройках отключить использование его драйвера, то оцветовка и информация возвращаются, но для большинства сервисных процессов Elevation остаётся N/A. То есть похоже, что проблема во взаимодействии с драйвером, но не пойму, что это может быть за проблема и как её чинить.

Все файлы ProcHacker'а на диске не побились, побитово идентичны заархивированному дистрибутиву. Настройки сбрасывать пытался, не помогло. Драйвер kprocesshacker.sys в системе загружен и работает (по крайней мере, согласно выводу sc query). Принудительно остановить и рестартануть его не получилось, на sc stop мне выдаётся 1052: The requested control is not valid for this service. Удалил ветку реестра, переименовал файл драйвера, перезагрузился, потом вернул имя драйвера и запустил ProcHacker, чтобы он заново начисто установил его. Драйвер установился, запустился, но ProcHacker по-прежнему не хочет отображать информацию.

Скриншоты:
С драйвером
Без драйвера

Как выглядело раньше, разумеется, скрин уже сделать не могу, но по памяти: примерно как сейчас без драйвера, но без всех этих N/A.

Чем может быть вызвано подобное поведение и что можно ещё попробовать для починки? Переустановка системы не вариант.
Почему же, ё-моё, ты нигде не пишешь «ё»?
process hacker
Re: Поломался Process Hacker
От: Pavel Dvorkin Россия  
Дата: 14.11.23 13:53
Оценка:
Здравствуйте, CaptainFlint, Вы писали:

CF>Чем может быть вызвано подобное поведение и что можно ещё попробовать для починки? Переустановка системы не вариант.


Мне не нравится начало — не блокируется, не работает Switch User. Едва ли это сделал Process Hacker. Скорее проблема в системе.

Я бы первым делом запустил Process Explorer и выяснил, показывает ли он нормально хоть один из параметров, который Process Hacker не показывает.

Кстати, после reboot блокировка и Switch User восстановились ?

И еще — нет ли чего-то подозрительного в Event Viewer ?
With best regards
Pavel Dvorkin
Re: Поломался Process Hacker
От: m2user  
Дата: 14.11.23 14:03
Оценка:
CF>Чем может быть вызвано подобное поведение и что можно ещё попробовать для починки? Переустановка системы не вариант.

Может быть какой-то win update прилетел, тогда можно попробовать их деисталировать по одному.
Re[2]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 14.11.23 14:38
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Мне не нравится начало — не блокируется, не работает Switch User. Едва ли это сделал Process Hacker. Скорее проблема в системе.


PD>Я бы первым делом запустил Process Explorer и выяснил, показывает ли он нормально хоть один из параметров, который Process Hacker не показывает.


PD>Кстати, после reboot блокировка и Switch User восстановились ?


Нет-нет, понятно, что поломавшаяся блокировка — это было что-то системное. У меня там незадолго до этого ещё игрушка одна крэшнулась (непонятно, сама по себе или по внешним причинам), могла что-то не подчистить; плюс другой странный глюк проявился, на который я поначалу не обратил внимания; в общем, было ясно, что пора перезагружаться, но решил проверить, найдётся ли способ заблокировать систему в той ситуации. Process Hacker при этом был запущен и всё отображал корректно. После перезагрузки блокировка и Switch user починились; и вообще каких-то дополнительных проблем пока не обнаружил (не считая поломки Process Hacker).

Process Explorer всё показывает нормально. Но у него же свой драйвер.

PD>И еще — нет ли чего-то подозрительного в Event Viewer ?


После перезагрузки пролистал, ничего привлекающего внимание не нашёл.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[2]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 14.11.23 14:39
Оценка:
Здравствуйте, m2user, Вы писали:

M>Может быть какой-то win update прилетел, тогда можно попробовать их деисталировать по одному.


У меня апдейты заблокированы, так что нет, ничего не прилетало.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[3]: Поломался Process Hacker
От: Pavel Dvorkin Россия  
Дата: 14.11.23 14:43
Оценка:
Здравствуйте, CaptainFlint, Вы писали:

CF>Process Explorer всё показывает нормально. Но у него же свой драйвер.


Конечно. Но данные из одного источника — ОС. Раз PE работает нормально, значит, дело не в ОС скорее всего.

В сети есть информация, как удалить Process Hacker. Посмотри, может поможет.

И еще. Причиной таких фокусов с цветами была в свое время утечка GDI ресурсов. Когда их количество в одном из процессов достигало 10000, на экране творилось черт знает что. Не знаю, починили ли и сомневаюсь, что это причина в данном случае. И все же проверь через Task Manager
With best regards
Pavel Dvorkin
Re: Поломался Process Hacker
От: reversecode google
Дата: 14.11.23 15:33
Оценка:
скачайте исходники и посмотрите что да как

а ProcessExplorer мелкософтовский как себя ведет?
или он уже на новой винде не пашет
Re[4]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 14.11.23 15:56
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>В сети есть информация, как удалить Process Hacker. Посмотри, может поможет.


Что-то не удаётся нагуглить, всё забито рекламой всяких супер-пупер-удаляторов. Но я там просто не вижу, что может требовать какого-то хитрого удаления. Ветку драйвера в CurrentControlSet\Services я уже прибил. Помнится, раньше для софтварных драйверов создавались какие-то странные ветки в CurrentControlSet\Enum\Root\LEGACY_..., но в текущей системе я там ничего подобного не вижу. Поиск упоминаний по всему реестру тоже ничего не даёт. И после такого вот состояния я перезагружал систему и пробовал запускать ProcHacker снова, с установкой драйвера. Результат не менялся.

PD>И еще. Причиной таких фокусов с цветами была в свое время утечка GDI ресурсов. Когда их количество в одном из процессов достигало 10000, на экране творилось черт знает что. Не знаю, починили ли и сомневаюсь, что это причина в данном случае. И все же проверь через Task Manager


Так эта поломка сразу после перезагрузки проявилась (у меня ProcHacker в автозагрузке, с админ-правами стартует), не мог какой-то процесс сразу вот так взять и всё мгновенно сожрать. Ну, в смысле, мог, но маловероятно, и проявилось бы раньше. Плюс я после этого ещё пару раз перезагружался. Но на всякий случай глянул — максимум полторы тысячи GDI у пары процессов есть. У всех остальных — меньше тысячи.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[2]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 14.11.23 16:03
Оценка:
Здравствуйте, reversecode, Вы писали:

R>скачайте исходники и посмотрите что да как


Это дело не на пять минут. Тем более, скорее всего придётся компилировать и дебажить в рантайме, так как неизвестно, какие ответы возвращаются разными функциями и какие ветки выполняются в зависимости от этих ответов.

R>а ProcessExplorer мелкософтовский как себя ведет?

R>или он уже на новой винде не пашет

Наоборот, Process Explorer постоянно допиливается Руссиновичем под современные винды. Правда, я перестал его обновлять, когда он превратил красивенькую панель инструментов в какую-то жирную размазню… Но та версия, что у меня сейчас есть, работает и всё показывает.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re: Поломался Process Hacker
От: reversecode google
Дата: 14.11.23 16:08
Оценка:
после падение винды
мог сломаться только реестр
так что попробовать почистить все ветки реестра которые могут иметь отношение к нему

или в сорсах его глянуть куда он там что пишет
или в бинарнике посмотреть
или на глаз посерфить весь реестр
Re[5]: Поломался Process Hacker
От: Pavel Dvorkin Россия  
Дата: 14.11.23 16:11
Оценка:
Здравствуйте, CaptainFlint, Вы писали:

Он в Safe Mode запускается ? По идее должен. Попробуй, посмотри, что будет.
With best regards
Pavel Dvorkin
Re[2]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 14.11.23 19:14
Оценка:
Здравствуйте, reversecode, Вы писали:

R>после падение винды

R>мог сломаться только реестр
R>так что попробовать почистить все ветки реестра которые могут иметь отношение к нему

R>или в сорсах его глянуть куда он там что пишет

R>или в бинарнике посмотреть
R>или на глаз посерфить весь реестр

Никаких упоминаний ProcessHacker'а в реестре я не нашёл, не считая драйвера. Все настройки он пишет в AppData. По исходникам тоже не смог найти, чтобы он что-то писал в реестр помимо этой драйверной ветки.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[6]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 14.11.23 19:15
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Он в Safe Mode запускается ? По идее должен. Попробуй, посмотри, что будет.


Драйвер не запустился, prochacker стартанул в бездрайверном режиме. Отключение-включение галочки использования драйвера не помогло.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re: Поломался Process Hacker
От: UFB  
Дата: 14.11.23 19:18
Оценка:
Здравствуйте, CaptainFlint, Вы писали:

cmd or powershell

sfc /scannow

after

dism /online /cleanup-image /scanhealth
# if any error run
dism /online /cleanup-image /restorehealth

Re[7]: Поломался Process Hacker
От: Pavel Dvorkin Россия  
Дата: 15.11.23 04:47
Оценка:
Здравствуйте, CaptainFlint, Вы писали:

CF>Драйвер не запустился, prochacker стартанул в бездрайверном режиме. Отключение-включение галочки использования драйвера не помогло.


А в бездрайверном режиме те же артефакты ?

Вообще-то чудес не бывает. Апдейты ты на систему не ставил, это можно исключить.

Остается одно — где-то есть неверные данные.

Можно тотально посмотреть в реестре все по "Process Hacker" (или просто по "Hacker") и удалить все, что там найдется. Осторожно, конечно!
Аналогично в AppData

Еще стоит проверить контрольные точки восстановления. Не запускать пока что процедуру восстановления, а просто посмотреть, какие продукты были затронуты после ее создания, там такое покажут. Апдейты ОС ты не ставил, а приложения какие-то ставил или обновлял ?

Других идей нет.
With best regards
Pavel Dvorkin
Re[2]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 16.11.23 14:47
Оценка:
Здравствуйте, UFB, Вы писали:

UFB>

UFB>sfc /scannow

UFB>after
UFB>

UFB>dism /online /cleanup-image /scanhealth
UFB># if any error run
UFB>dism /online /cleanup-image /restorehealth


sfc пофиксил парочку мелочей, что-то с NTFS-правами на некоторые каталоги. Проблему не решило.
dism сказал, что всё чисто.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[8]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 16.11.23 15:10
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

CF>>Драйвер не запустился, prochacker стартанул в бездрайверном режиме. Отключение-включение галочки использования драйвера не помогло.


PD>А в бездрайверном режиме те же артефакты ?


В safe mode запускается только в бездрайверном, в том числе если включить опцию использования драйвера. Полагаю, он пытается установить-стартануть драйвер, обламывается и делает fallback в бездрайверный режим. Информация при этом отображается такая же, как в обычной загрузке в бездрайверном режиме. То есть оцветовка есть, информация о процессах есть, но для части системных процессов в колонке Elevation отображается N/A.

PD>Вообще-то чудес не бывает. Апдейты ты на систему не ставил, это можно исключить.


PD>Остается одно — где-то есть неверные данные.


Я подозреваю, что принудительный сброс машины мог какие-то данные где-то подпортить. Но какие и где, ума не приложу, да ещё чтоб такой избирательный эффект дало.

PD>Можно тотально посмотреть в реестре все по "Process Hacker" (или просто по "Hacker") и удалить все, что там найдется. Осторожно, конечно!

PD>Аналогично в AppData

Это я уже. В AppData (да и вообще по всему диску по proc.*hacker) нашлась только папочка с настройками программы, я уже пробовал её переименовывать и запускать прогу с нулевыми настройками. На работоспособность драйверного режима это не повлияло.
В реестре по слову Hacker, кроме драйвера, нашлась лишь пара упоминаний исполняемого файла программы: в AppCompat и в ветке Services\bam\State\UserSettings\USER_ID. Удалил обоих (при закрытом Хакере, разумеется), но тоже никаких видимых изменений это не дало.

PD>Еще стоит проверить контрольные точки восстановления. Не запускать пока что процедуру восстановления, а просто посмотреть, какие продукты были затронуты после ее создания, там такое покажут. Апдейты ОС ты не ставил, а приложения какие-то ставил или обновлял ?


Последняя точка была очень задолго до сегодня. Если это выстрелило что-то из тогдашних обновлений, оно бы выстрелило намного раньше. Я обычно обновления системы, драйверов и крупных программ ставлю, лишь когда по той или иной причине приходится перезагружаться. А так комп у меня работает с непрерывным аптаймом (иногда с уходом в hibernate). Бывает, обновляю всякие мелкие портативные прожки, которые никак не могут оказывать общесистемное влияние (типа KeePass, Total Commander, 7-zip…). Единственное исключение: где-то в районе месяца или двух назад я обновил графический драйвер (nVidia), без перезагрузки, и точку восстановления оно не создало. Теоретически допускаю, что этот сбой в ProcHacker'е может быть каким-то отложенным последствием обновления видеодрайвера, по какой-то причине проявившимся лишь после перезагрузки. Но учитывая, что драйверный инсталлятор никакой перезагрузки не потребовал, я предполагаю, что он все файлы смог обновить в рантайме, и эффект должен был бы проявиться раньше, хотя бы при рестарте ProcHacker'а.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[9]: Поломался Process Hacker
От: Pavel Dvorkin Россия  
Дата: 16.11.23 15:49
Оценка:
Здравствуйте, CaptainFlint, Вы писали:

Последняя, видимо, идея.

Вот тут есть binaries без установки

https://processhacker.sourceforge.io/downloads.php

Попробуй. Смысла особенного не вижу, но вдруг...
With best regards
Pavel Dvorkin
Re: попробовал сам
От: Pavel Dvorkin Россия  
Дата: 16.11.23 16:04
Оценка:
Здравствуйте, CaptainFlint, Вы писали:

Попробовал сам. Впечатление такое, что все так же, как и у тебя



Или нет ?
With best regards
Pavel Dvorkin
Re[10]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 16.11.23 16:34
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Вот тут есть binaries без установки


PD>https://processhacker.sourceforge.io/downloads.php


PD>Попробуй. Смысла особенного не вижу, но вдруг...


А я именно их и использовал испокон веков.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[2]: попробовал сам
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 16.11.23 16:39
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Попробовал сам. Впечатление такое, что все так же, как и у тебя


PD>Image: prochacker.png


PD>Или нет ?


Да, это картинка — как у меня, когда запущено без драйвера. Но моя проблема заключается в некорректной работе драйверного режима, а не бездрайверного.
Раньше я пользовался только драйверным режимом, и программа показывала всё то же самое, что на этом скрине, но без всяких N/A, вся информация была полностью доступна для всех процессов. То есть драйверный должен быть (и был!) более полноценным, чем бездрайверный. А сейчас драйверный режим стал сильно урезанный, многой информации нет вообще (см. скрины из первого поста).

(Если что, это Options — Advanced — Enable kernel-mode driver.)
Почему же, ё-моё, ты нигде не пишешь «ё»?
Отредактировано 16.11.2023 16:48 CaptainFlint . Предыдущая версия .
Re[3]: попробовал сам
От: Pavel Dvorkin Россия  
Дата: 17.11.23 03:46
Оценка:
Здравствуйте, CaptainFlint, Вы писали:


CF>Да, это картинка — как у меня, когда запущено без драйвера. Но моя проблема заключается в некорректной работе драйверного режима, а не бездрайверного.

CF>Раньше я пользовался только драйверным режимом, и программа показывала всё то же самое, что на этом скрине, но без всяких N/A, вся информация была полностью доступна для всех процессов. То есть драйверный должен быть (и был!) более полноценным, чем бездрайверный. А сейчас драйверный режим стал сильно урезанный, многой информации нет вообще (см. скрины из первого поста).

CF>(Если что, это Options — Advanced — Enable kernel-mode driver.)


Я нашел еще раньше сам это. Галочка стоит. Запущено с правами администратора.

Отсортировал сейчас по Elevation



Elevation N/A для всех процессов, запущенных от SYSTEM или LOCAL SERVICE. Не имеет для них смысла. А для всех процессов, запущенных от моей УЗ , стоит либо Full либо Limited. Собственно, Full для FAR (я его запускаю с правами админа) и его потомков, для остальных Limited

Отличие от твоего в том, что касается User Name. У меня все нормально при запуске от админа, а без прав админа — много пустых строк. У тебя пусто в драйверном варианте. Это действительно странно.
Ну и explorer и его потомки. Для них у тебя N/A, у меня нормально.

А Process Explorer показывает User Name нормально ?
With best regards
Pavel Dvorkin
Re[4]: попробовал сам
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 20.11.23 13:39
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Elevation N/A для всех процессов, запущенных от SYSTEM или LOCAL SERVICE. Не имеет для них смысла. А для всех процессов, запущенных от моей УЗ , стоит либо Full либо Limited. Собственно, Full для FAR (я его запускаю с правами админа) и его потомков, для остальных Limited


PD>Отличие от твоего в том, что касается User Name. У меня все нормально при запуске от админа, а без прав админа — много пустых строк. У тебя пусто в драйверном варианте. Это действительно странно.

PD>Ну и explorer и его потомки. Для них у тебя N/A, у меня нормально.

PD>А Process Explorer показывает User Name нормально ?


Да, в нём всё как раньше работало, так и продолжает работать сейчас.

Я тут погуглил и обнаружил, что, оказывается, знамя Process Hacker'а подхватили под новым именем System Informer. Стабильных билдов пока нет, скачал "ночнушку", запустил. В бездрайверном режиме то же, что у бездрайверного Process Hacker'а (то есть всё нормально, за исключением Elevation=N/A для сервисных процессов); переключил в драйверный — и в нём всё отлично работает, как раньше работал ProcHacker (если верить моим воспоминаниям), а именно: расцветовка есть, все поля есть, Elevation показан для всех. Кстати, совершенно не уверен в "не имеет смысла" для сервисных юзеров. Потому как нашёл пару процессов svchost, оба от имени LOCAL SERVICE, но у одного Elevation=Yes, у другого No. Хотя проинтерпретировать это затрудняюсь.
  Скриншот

То есть сабжевая проблема — однозначно какой-то баг, привязанный конкретно к ProcHacker'у на непонятном уровне. Со стороны системы вся информация доступна (что, впрочем, уже подтверждалось выше).
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[5]: попробовал сам
От: Pavel Dvorkin Россия  
Дата: 20.11.23 15:43
Оценка:
Здравствуйте, CaptainFlint, Вы писали:

CF>Я тут погуглил и обнаружил, что, оказывается, знамя Process Hacker'а подхватили под новым именем System Informer. Стабильных билдов пока нет, скачал "ночнушку", запустил. В бездрайверном режиме то же, что у бездрайверного Process Hacker'а (то есть всё нормально, за исключением Elevation=N/A для сервисных процессов); переключил в драйверный — и в нём всё отлично работает, как раньше работал ProcHacker (если верить моим воспоминаниям), а именно: расцветовка есть, все поля есть, Elevation показан для всех. Кстати, совершенно не уверен в "не имеет смысла" для сервисных юзеров. Потому как нашёл пару процессов svchost, оба от имени LOCAL SERVICE, но у одного Elevation=Yes, у другого No. Хотя проинтерпретировать это затрудняюсь.


Да, видимо, имеет смысл, но иной.

https://learn.microsoft.com/en-us/answers/questions/423159/how-windows-service-run-process-as-elevated-rights
With best regards
Pavel Dvorkin
Re: Поломался Process Hacker
От: ononim  
Дата: 28.11.23 11:45
Оценка:
CF>Чем может быть вызвано подобное поведение и что можно ещё попробовать для починки? Переустановка системы не вариант.
(паранойа моде ON)
Подхватил кернел-мод руткит, который поставил свой глючный драйвер.
Как много веселых ребят, и все делают велосипед...
Re[2]: Поломался Process Hacker
От: CaptainFlint Россия http://flint-inc.ru/
Дата: 29.11.23 09:41
Оценка:
Здравствуйте, ononim, Вы писали:

O>(паранойа моде ON)

O>Подхватил кернел-мод руткит, который поставил свой глючный драйвер.

Который ломает взаимодействие конкретно с kprocesshacker.sys, но не с его форком SystemInformer.sys? Нет, конечно, всё случается под луной, но слишком уж локализованная поломка для подобных гипотез.
Почему же, ё-моё, ты нигде не пишешь «ё»?
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.