Ich freue mich, PTFinder in der Version 0.3.05 freigeben zu können. Diese Version beseitigt Probleme auf Big-Endian-Architekturen. Sie unterstützt Abbilder von Windows-Versionen mit aktiver Intel Physical Address Extension (PAE). Auch gibt es jetzt eine unmittelbar lauffähige binäre Version für die Microsoft Windows Plattform.
PTFinder funktionierte nicht auf Maschinen mit einer Big-Endian-CPU. Dieses Problem sollte jetzt behoben sein. Da mir leider kein geeignetes Testgerät zur Verfügung steht, würde ich mich jedoch über Berichte von Anwendern freuen. Für die Fehlermeldung danke ich Andy Joyce.
PTFinder unterstützte bislang nicht die Physical Address Extension. Diese Beschränkung war dokumentiert und ich sah bislang keine Notwendigkeit für eine entsprechende Funktion. Richard McQuown und Carsten Maartmann-Moe berichteten mir jedoch von Situationen, in denen PTFinder keinerlei Prozesse außer System und Idle fand. Endlich gelang es mir, diesen Fehler nachvollziehen. Höchstwahrscheinlich ist die Ursache, dass das zu untersuchende System im PAE-Modus lief.
Bei deaktivierter PAE zeigt das CR3-Register der CPU auf ein Page Directory (PD). Das PD belegt eine komplette Speicherseite, weshalb es stets an Seitengrenzen ausgerichtet ist. Bei aktiver PAE zeigt CR3 allerdings auf ein Array von Page Directory Pointern (PDP). Dieses Array ist nun aber eben not auf einer Seitengrenze angeordnet. Deshalb wird der entsprechende Test scheitern und PTFinder zeigt den Prozess nicht an.
Die neue Version verwendet jetzt eine tolerantere Version des Tests, die für den PAE-Modus angepasst wurde, aber auch bei deaktivierter PAE funktioniert. Wenn nun Prozesse fehlerhaft identifiziert werden und Sie sich absolut sicher sind, nicht auf einem PAE-Abbild zu arbeiten, dann können Sie mit der Option --nopae wieder die gewohnte strengere Filterung aktivieren.
