Läuft deutlich schneller.
KernelLeak
-
-
-
Nachmals was geändert - war noch ein Speicherleck drin .
-
Ist ja schon etwas her - deswegen nochmals eine Erklärung, was das für ein Proggie ist:
Programmiert man selbst in der Windows API herum, macht man öfters mal den ein oder anderen Fehler - man vergisst zum Beispiel ein vorher geöffnetes Objekt wieder mit CloseHandle oder ähnlichen Befehlen zu schließen. Das Proggie zeigt an, was in jedem laufenden Prozess noch so an KernelHandles offen ist. steigt da laufend was an, ist da ein Speicherleck. Da hier auch die Objekttypen angezeigt werden, kann man sehr einfach auf das Handle und die Codestelle kommen, an der man den Fehler gemacht hat.
Userhandles liest das Proggie leider noch nicht aus. Dummerweise hat mir M$ unter Vista eine undokumentierte API dafür geklaut (die Schweinehunde, die ).
Bis XP kann man für die UserHandles Bear nehmen: Download Free Bear, Bear 1.16 Download
Da Bear keine KernelHandles ausliest, habe ich KernelLeak entwickelt.
Für die GDI-Handles ab Vista gibt es das hier: http://www.nirsoft.net/utils/gdi_handles.html -
Nicht uninteressant: Win-XP DLL Info und win7 dll info !
-
Was hat denn das mit dem herausfinden von Speicherlecks zu tun
-
Dachte da mehr an handles...
-
Und was hat dein Link mit Handles zu tun???
-
Zitat
Dummerweise hat mir M$ unter Vista eine undokumentierte API dafür geklaut (die Schweinehunde, die ).
Ich dachte, vielleicht heißt sie ja jetzt nur anders oder so... Aber wenns echt stört: Bitte löscht meine Beiträge ruhig raus.
Gruss -
Ach so - hatte dich da nur nicht verstanden.
Die Funktionen lese ich mit TNT aus - hätte ich da was gefunden, wäre es schon eingebaut.
Habe ein Update hochgeladen. Unter 64Bit hat Windows7 einen Bug in der Funktion ZwQueryObject.
Ich musste etwas um den Bug herumarbeiten. Die XProfan Version funktionierte trotz des Bugs unter Windows7 64Bit - die PureBasic Version nicht. Problem ist gefixt.
Bitte nicht wundern: Unter 64Bit werden für die 64Bit-Prozesse keine Prozessnamen gelistet. Geht wegen der API nicht, die ich da nehmen musste. -
Update hochgeladen. Zeigt nun auch die Prozessnamen unter 64Bit an: KernelLeak
-
Um mal ein Beispiel zu bringen, einmal das tun:
- Von hier Farbar Recovery Scan Tool herunterladen: http://www.bleepingcomputer.com/download/farba…very-scan-tool/
Das Tool wird in vielen Länern in Foren zur Diagnose bei Malwareproblemen genutzt. - KernelLeak herunterladen und starten.
- Scan mit dem Farbar Recovery Scan Tool starten.
Nach ein parr Scans fällt auf, dass sich die Anzahl der geöffneten Prozesse in Farbar laufend erhöht:
[Blockierte Grafik: http://img3.fotos-hochladen.net/uploads/test1lptezg1vqj.jpg]Das passiert scheinbar ganz am Anfang, wenn die Prozesse durchgegangen werden.
Nimmt man das Tool AHT Handles noch mit hinzu sieht man dann, was genau nicht geschlossen wird: AHT Handles
[Blockierte Grafik: http://img3.fotos-hochladen.net/uploads/test2of5zpdnerx.jpg]
Im Prinzip kann der Fehler in dem Programm nur an der Stelle liegen, an der der Dateiname des prozesserzeugenden Moduls ausgelesen wird - da fehlt im Priogramm ein CloseHandle auf den jeweiligen Prozess.
Wir wissen jetzt also bereits über einen Fehler in dem Programm folgende Sachen, ohne überhaupt ein einziges Mal in den Quellcode gesehen zu haben:- Wir Wissen, dass das Programm Handles nicht korrekt schließt.
- Wir wissen, welche Art von Handles es nicht korrekt schließt.
- Wir wissen, welche Handles genau nicht geschlossen werden.
- Wir haben eine gute Vermutung, an welcher Codestelle das im Programm passiert.
Diese Programme habe ich für mich geschrieben. Bei Codes, deren Länge zigtausend Zeilen aufweisen (ist bei mir desöfteren so), ist es extrem schwer, solche Speicherleck im Code zu finden. Beide Tools nehmen da extrem viel Zeit ab (ohne die hätte ich gar keine Chance). Die sind im Augenblick vielleicht also nicht so geschrieben, dass jemand anderes damit gut zurecht kommt. Wer deshalb Verbesserungsvorschläge hat, sollte die hier anbringen. - Von hier Farbar Recovery Scan Tool herunterladen: http://www.bleepingcomputer.com/download/farba…very-scan-tool/
-
Update von KernelLeak hochgeladen. Ein Objekt fehlte noch in der Hanleliste.
-
Nochmals Sachen in Bezug auf Windows10 überarbeitet. Update hochgeladen.
-
Zu diesem Post: Beispiel Farbar Recovery Scan Tool
Ich habe mein Testergebnis an den Entwickler weitergeleitet. Hatte Recht mit der Diagnose und der Fehler ist gefixt. Habe da (obwohl ich nie den Quelltext von dem Tool gesehen habe) komplett ins Schwarze getroffen. Soviel zu der Nützlichkeit von solchen Sachen. -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!