Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Попробовал сам. Впечатление такое, что все так же, как и у тебя
PD>Image: prochacker.png
PD>Или нет ?
Да, это картинка — как у меня, когда запущено без драйвера. Но моя проблема заключается в некорректной работе драйверного режима, а не бездрайверного.
Раньше я пользовался только драйверным режимом, и программа показывала всё то же самое, что на этом скрине, но без всяких N/A, вся информация была полностью доступна для всех процессов. То есть драйверный должен быть (и был!) более полноценным, чем бездрайверный. А сейчас драйверный режим стал сильно урезанный, многой информации нет вообще (см. скрины из первого поста).
(Если что, это Options — Advanced — Enable kernel-mode driver.)
CF>Да, это картинка — как у меня, когда запущено без драйвера. Но моя проблема заключается в некорректной работе драйверного режима, а не бездрайверного. CF>Раньше я пользовался только драйверным режимом, и программа показывала всё то же самое, что на этом скрине, но без всяких N/A, вся информация была полностью доступна для всех процессов. То есть драйверный должен быть (и был!) более полноценным, чем бездрайверный. А сейчас драйверный режим стал сильно урезанный, многой информации нет вообще (см. скрины из первого поста).
CF>(Если что, это Options — Advanced — Enable kernel-mode driver.)
Я нашел еще раньше сам это. Галочка стоит. Запущено с правами администратора.
Отсортировал сейчас по Elevation
Elevation N/A для всех процессов, запущенных от SYSTEM или LOCAL SERVICE. Не имеет для них смысла. А для всех процессов, запущенных от моей УЗ , стоит либо Full либо Limited. Собственно, Full для FAR (я его запускаю с правами админа) и его потомков, для остальных Limited
Отличие от твоего в том, что касается User Name. У меня все нормально при запуске от админа, а без прав админа — много пустых строк. У тебя пусто в драйверном варианте. Это действительно странно.
Ну и explorer и его потомки. Для них у тебя N/A, у меня нормально.
А Process Explorer показывает User Name нормально ?
Здравствуйте, Pavel Dvorkin, Вы писали: PD>Elevation N/A для всех процессов, запущенных от SYSTEM или LOCAL SERVICE. Не имеет для них смысла. А для всех процессов, запущенных от моей УЗ , стоит либо Full либо Limited. Собственно, Full для FAR (я его запускаю с правами админа) и его потомков, для остальных Limited PD>Отличие от твоего в том, что касается User Name. У меня все нормально при запуске от админа, а без прав админа — много пустых строк. У тебя пусто в драйверном варианте. Это действительно странно. PD>Ну и explorer и его потомки. Для них у тебя N/A, у меня нормально. PD>А Process Explorer показывает User Name нормально ?
Да, в нём всё как раньше работало, так и продолжает работать сейчас.
Я тут погуглил и обнаружил, что, оказывается, знамя Process Hacker'а подхватили под новым именем System Informer. Стабильных билдов пока нет, скачал "ночнушку", запустил. В бездрайверном режиме то же, что у бездрайверного Process Hacker'а (то есть всё нормально, за исключением Elevation=N/A для сервисных процессов); переключил в драйверный — и в нём всё отлично работает, как раньше работал ProcHacker (если верить моим воспоминаниям), а именно: расцветовка есть, все поля есть, Elevation показан для всех. Кстати, совершенно не уверен в "не имеет смысла" для сервисных юзеров. Потому как нашёл пару процессов svchost, оба от имени LOCAL SERVICE, но у одного Elevation=Yes, у другого No. Хотя проинтерпретировать это затрудняюсь.
Скриншот
То есть сабжевая проблема — однозначно какой-то баг, привязанный конкретно к ProcHacker'у на непонятном уровне. Со стороны системы вся информация доступна (что, впрочем, уже подтверждалось выше).
Здравствуйте, CaptainFlint, Вы писали:
CF>Я тут погуглил и обнаружил, что, оказывается, знамя Process Hacker'а подхватили под новым именем System Informer. Стабильных билдов пока нет, скачал "ночнушку", запустил. В бездрайверном режиме то же, что у бездрайверного Process Hacker'а (то есть всё нормально, за исключением Elevation=N/A для сервисных процессов); переключил в драйверный — и в нём всё отлично работает, как раньше работал ProcHacker (если верить моим воспоминаниям), а именно: расцветовка есть, все поля есть, Elevation показан для всех. Кстати, совершенно не уверен в "не имеет смысла" для сервисных юзеров. Потому как нашёл пару процессов svchost, оба от имени LOCAL SERVICE, но у одного Elevation=Yes, у другого No. Хотя проинтерпретировать это затрудняюсь.
CF>Чем может быть вызвано подобное поведение и что можно ещё попробовать для починки? Переустановка системы не вариант.
(паранойа моде ON)
Подхватил кернел-мод руткит, который поставил свой глючный драйвер.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, ononim, Вы писали:
O>(паранойа моде ON) O>Подхватил кернел-мод руткит, который поставил свой глючный драйвер.
Который ломает взаимодействие конкретно с kprocesshacker.sys, но не с его форком SystemInformer.sys? Нет, конечно, всё случается под луной, но слишком уж локализованная поломка для подобных гипотез.
