KernelLeak

[AHT]

Baue gerade ein Programm, das innerhalb eines bestimmten Zeitintervalls immer wieder überprüft, welche Kernelhandles alle laufenden Prozesse offen haben - es wird damit wohl sehr einfach werden, Speicherlecks zu finden.
Ich schreibe das Ding erst einmal komplett in Profan - ich will damit sagen, es wird sehr langsam sein .
Wer hätte Interesse an so etwas und wo soll es laufen (Umfrage). Unter Windows95/98/ME wird es leider nicht gehen.

[Frabbing]

Ich hätte Interesse.

Ihc auch

[AHT]

Erster Screenshot von der Entwicklung:

[Frabbing]

Huch! Legst am Ende aber eine Beschreibung dazu, ja?

[AHT]

Zitat:

Zitat von Frabbing

Huch! Legst am Ende aber eine Beschreibung dazu, ja?

Das beschreibt sich eigentlich vom selbst:
Summe = Gesammtanzahl der Kernelhandles
Delta = Was hat sich an der Summe seit dem letzten Scan geändert
-> Für den Gesammtüberblick

Process=Handles auf Prozesse
Thread=Handles auf Threads
Token=Handles auf Token
File=Handles auf Dateien
Directory=Handles auf Ordner
Key=Handles auf Registryschlüssel
Mutant=Handles auf Mutex
... usw
Das sind die Bezeichnungen, die Windows intern verwendet.

Die Zahl, die dort jeweils steht, ist die Anzahl der offenen Handles im Prozess. Ganz links steht zusammen mit der PID der Prozess, in dem die Handles offen sind.
Da kann man so sehr gut beobachten, welche Handles ein Programm, das man vielleicht gerade geschrieben hat, offen hat und ob man vielleicht vergessen hat, eins zu schließen. (CloseHandle fehlt zum Beispiel für OpenProcess - ist mir kurz vorher passiert beim Proggen von KernelLeak. Rückzuck hatte ich da über 15000 Handles auf Prozesse offen.)

[AHT]

Zitat:

Zitat von Plüschi

Ihc auch

Euch beiden schicke ich vorab einen Link der "Profanversion" zu - dauert aber noch etwas, meine Arbeitsstelle nimmt mich im Augenblick 13 Stunden pro Tag in Beschlag .
Ich konnte das Ding schon recht gut gebrauchen, obwohl es noch gar nicht richtig fertig ist - das hatte ich noch nie.

[Schwert]

ich könnte das auch gebrauchen

[AHT]

Zitat:

Zitat von Schwert

ich könnte das auch gebrauchen

Gerne, vorab Version wird aber sehr langsam werden - ist noch komplett in Profan.

[AHT]

Werd mich doch erst mal um XPIA kümmern.

[AHT]

Zitat:

Zitat von Schwert

ich könnte das auch gebrauchen

PS: Für welches OS?

[Schwert]

XP und 2k

[AHT]

Zitat:

Zitat von Schwert

ich könnte das auch gebrauchen

Nochmals PS: Dass das Ding auch die Handles von RootKits listen wird, die durch einen normalen Prozesshider versteckt wurden, ist - denke ich - klar. Brauchst du eine spezielle Funktionalität, die auch Handles listet, die über Usermode-API-Hooking versteckt wurden? Wenn ja, baue ich das ein.

[AHT]

Zitat:

Zitat von Schwert

XP und 2k

Wird auf beiden Betriebsystemen laufen. NT ist aber noch nicht eingeplant.

[Schwert]

Zitat:

Nochmals PS: Dass das Ding auch die Handles von RootKits listen wird, die durch einen normalen Prozesshider versteckt wurden, ist - denke ich - klar. Brauchst du eine spezielle Funktionalität, die auch Handles listet, die über Usermode-API-Hooking versteckt wurden? Wenn ja, baue ich das ein.

Ja, wäre schon sinnvoll, ansonsten würd ich es nicht brauchen
Gute Arbeit btw