Na kraju smo serije SysInternals, a vrijeme je da sve završimo razgovorom o svim malim komunalnim poduzećima koje nismo obuhvatili tijekom prvih devet sati. U ovom kompletu svakako ima mnogo alata.
NAVIGACIJA ŠKOLENaučili smo kako koristiti Process Explorer za otklanjanje nepravilnih procesa na sustavu i Process Monitor kako bismo vidjeli što rade pod kapuljačom. Saznali smo o Autorunsu, jednom od najsnažnijih alata za rješavanje zlonamjernog softvera i PsTools za upravljanje ostalim računalima iz naredbenog retka.
Danas ćemo pokriti ostale alate u kompletu, koji se mogu koristiti za sve vrste namjena, od gledanja mrežnih veza do prikaza učinkovitih dozvola na objektima datotečnog sustava.
Ali prvo ćemo proći kroz hipotetički scenarij primjera kako bismo vidjeli kako biste mogli koristiti niz alata kako biste riješili problem i obavili neka istraživanja o tome što se događa.
Uvijek nema samo jednog alata za posao - puno je bolje koristiti ih sve zajedno. Evo primjera scenarija koji vam daje predodžbu o tome kako se možete uhvatiti u koštac s istragom, iako je vrijedno napomenuti da postoji mnogo načina da se shvati što se događa. Ovo je samo brzi primjer koji će vam pomoći ilustrirati i nikako nije točan popis koraka koje treba slijediti.
Scenarij: Sustav se izvodi sporo, sumnjivo zlonamjerni softver
Prva stvar koju biste trebali učiniti je otvoriti Process Explorer i vidjeti koji procesi koriste resurse na sustavu. Nakon što identificirate postupak, trebali biste upotrijebiti ugrađene alate u Process Exploreru kako biste provjerili što je taj proces, provjerite je li to legitimno, a po želji možete skenirati taj proces za viruse pomoću ugrađene integracije VirusTotal.
Ovaj je proces zapravo uslužni program SysInternals, ali ako to nije bio, provjeravali bismo ga.Bilješka:ako doista mislite da bi moglo biti zlonamjernih programa, često je korisno odspajati ili onemogućiti internetski pristup na tom računalu dok je riješen problem, iako biste mogli najprije raditi pretraživanja za VirusTotal. Inače taj zlonamjerni softver može preuzeti više zlonamjernih programa ili prenositi više podataka.
Ako je proces potpuno legitiman, ubiti ili ponovo pokrenuti postupak koji vrijeđa i prijeđite prstima da je to slučaj. Ako više ne želite pokrenuti taj postupak, možete ga deinstalirati ili upotrijebiti Autoruns kako biste zaustavili postupak učitavanja pri pokretanju.
Ako to ne riješi problem, možda je vrijeme da izvadite Process Monitor i analizirate procese koji ste već identificirali i shvatite što pokušavaju pristupiti. To vam može dati naznake onoga što se zapravo događa - možda proces pokušava pristupiti ključu ili datoteci registra koji ne postoji ili nema pristup ili možda samo pokušava oteti sve vaše datoteke i učiniti puno sketchy stvari kao što je pristup informacijama koje vjerojatno ne bi trebali, ili skeniranje cijeli pogon za bez dobar razlog.
Osim toga, ako sumnjate da se aplikacija povezuje s nečim što ne bi trebala, što je uobičajeno kod spywarea, izvadite uslužni program TCPView da biste potvrdili da li je to slučaj.
U ovom trenutku možda ste utvrdili da je proces zlonamjerni softver ili kod krađa. Bilo kako to ne želite. Proces deinstalacije možete pokrenuti ako su navedeni na popisu programa za uklanjanje programa na upravljačkoj ploči, ali mnogo puta nisu navedeni ili ne čistite ispravno. Ovo je kada izvlačite Autoruns i pronađete svako mjesto koje je aplikacija zakačila u pokretanje, i odvoji ih odavde, a zatim nanesite sve datoteke.
Pokretanje cijelog skeniranja virusa vašeg sustava također je korisno, ali omogućuje da budete iskreni ... većina crapwarea i spywarea dobiva instaliran unatoč instaliranim protuvirusnim aplikacijama. U našem iskustvu, većina anti-virusa sretno će izvijestiti "sve jasno", dok vaše računalo može jedva djelovati zbog spywarea i crapwarea.
Ovaj uslužni program izvrstan je način da vidite koje se aplikacije na vašem računalu povezuju s uslugama preko mreže. Najveći dio ovih informacija možete vidjeti u naredbenom retku pomoću netstat-a ili pokopan na sučelju Process Explorer / Monitor, ali puno je lakše otvoriti TCPView i vidjeti što se povezuje s tim.
Boje na popisu su prilično jednostavne i slične ostalim uslužnim programima - svijetlo zeleno znači da se veza upravo pojavila, crvena znači da se veza zatvara, a žuta znači da je veza promijenjena.
Također možete pogledati svojstva procesa, završiti proces, zatvoriti vezu ili podići izvješće Whois. Jednostavno, funkcionalno i vrlo korisno.
Bilješka:Prilikom prvog učitavanja TCPViewa vidjet ćete ton veza iz [Procesa sustava] na sve vrste internetskih adresa, ali to obično nije problem. Ako su sve veze u stanju TIME_WAIT, to znači da je veza zatvorena, a nema veze s procesom, tako da bi trebali biti gore kao što je dodijeljeno PID 0 jer nema PID-a za dodjeljivanje ,
To se obično događa kada učitate TCPView nakon povezivanja s hrpom stvari, ali bi trebalo otići nakon što se sve veze zatvore i zadržite TCPView otvoren.
Prikazuje podatke o procesoru sustava i svim značajkama. Jeste li ikada pitali je li vaš CPU 64-bitni ili podržava hardversku virtualizaciju? Možete vidjeti sve to i još mnogo, mnogo više s uslužnim programom Coreinfo. To može biti korisno ako želite vidjeti da li starije računalo može pokrenuti 64-bitnu verziju sustava Windows ili ne.
Ovaj uslužni program radi isto što i proces Explorer - možete brzo pretražiti kako biste otkrili koji je proces otvorena ručka koja blokira pristup resursu ili brisanje resursa. Sintaksa je prilično jednostavna:
rukovati
Ako želite zatvoriti ručicu, možete upotrijebiti šifru heksadecimalnog rukovanja (s -c) na popisu u kombinaciji s ID-om procesa (-p-sklopka) da biste ga zatvorili.
rukovanje -c -p
Vjerojatno je puno lakše koristiti Process Explorer za ovaj zadatak.
Baš kao i Process Explorer, ovaj program navodi DLL datoteke koje su učitane kao dio procesa. Naravno, puno je lakše koristiti Process Explorer.
Ovaj alat analizira vašu fizičku memoriju, s mnogo različitih načina vizualizacije memorije, uključujući fizičke stranice, gdje možete vidjeti lokaciju u RAM-u u koju se učitava svaka izvršna datoteka.
Ako u nekom programskom paketu vidite čudan URL kao niz, vrijeme je za brigu. Kako biste vidjeli taj čudan niz? Korištenje uslužnih nizova iz naredbenog retka (ili pomoću funkcije u programu Process Explorer umjesto).
Sljedeća stranica: Konfiguriranje automatskog prijavljivanja i ShellRunAs