Työkalujen pakkaaminen ja käyttö yhdessä
Olemme SysInternals-sarjamme lopussa, ja on aika kääriä kaikki puhumalla kaikista pienistä apuohjelmista, joita emme kattaisi yhdeksän ensimmäisen oppitunnin kautta. Tässä paketissa on varmasti paljon työkaluja.
KOULUN NAVIGOINTI- Mitkä ovat SysInternals-työkalut ja miten niitä käytetään?
- Process Explorerin ymmärtäminen
- Process Explorerin käyttäminen vianmääritykseen ja diagnosointiin
- Prosessimonitorin ymmärtäminen
- Prosessimonitorin käyttäminen vianmääritykseen ja rekisterihakujen löytämiseen
- Käyttämällä Autorunsia käsitellä käynnistysprosesseja ja haittaohjelmia
- BgInfo-sovelluksen käyttäminen järjestelmän tietojen näyttämiseen työpöydällä
- PsTools-ohjelman käyttäminen muiden tietokoneiden ohjaamiseen komentoriviltä
- Tiedostojen, kansioiden ja asemien analysointi ja hallinta
- Työkalujen pakkaaminen ja käyttö yhdessä
Olemme oppineet käyttämään Process Explorer -ohjelmaa järjestelmän väärien prosessien vianmäärityksessä ja Prosessimonitorin avulla, mitä he tekevät hupun alla. Olemme oppineet Autorunsista, joka on yksi tehokkaimmista työkaluista haittaohjelmien torjunnassa, ja PsTools hallita muita PC: itä komentoriviltä.
Tänään aiomme kattaa paketin jäljellä olevat apuohjelmat, joita voidaan käyttää kaikenlaisiin tarkoituksiin verkko-yhteyksien katsomisesta ja tehokkaiden käyttöoikeuksien katsomiseen tiedostojärjestelmän kohteissa.
Ensinnäkin käymme läpi hypoteettisen esimerkkitilanteen, jotta voisimme selvittää, miten saatat käyttää useita työkaluja yhdessä ongelman ratkaisemiseksi ja tehdä tutkimuksia siitä, mitä tapahtuu.
Mikä työkalu pitäisi käyttää?
Työlle ei aina ole vain yhtä työkalua - on paljon parempi käyttää niitä kaikkia yhdessä. Seuraavassa on esimerkki skenaariosta, jolla saat käsityksen siitä, miten voit käsitellä tutkimusta, vaikka on syytä huomata, että on olemassa useita tapoja selvittää, mitä tapahtuu. Tämä on vain nopea esimerkki havainnollistamisesta, eikä se ole mitenkään tarkka luettelo seuraavista vaiheista.
Skenaario: Järjestelmä on käynnissä hitaasti, epäiltyä haittaohjelmia
Ensimmäinen asia, jonka sinun pitäisi tehdä, on avata Process Explorer ja nähdä, mitä prosesseja käytetään resursseja järjestelmässä. Kun olet tunnistanut prosessin, sinun on käytettävä Process Explorerin sisäänrakennettuja työkaluja varmistaaksesi, mitä prosessi todella on, varmista, että se on laillinen, ja skannaa tämä prosessi mahdollisesti viruksille käyttämällä sisäänrakennettua VirusTotal-integraatiota.
Tämä prosessi on itse asiassa SysInternals-apuohjelma, mutta jos se ei olisi, tarkistamme sen.Huomautus: jos luulet todella, että saattaa olla haittaohjelmia, on usein hyödyllistä irrottaa tai poistaa Internet-yhteys kyseisestä laitteesta vianmäärityksen aikana, vaikka haluat ehkä tehdä VirusTotal-hakuja ensin. Muuten haittaohjelmat voivat ladata lisää haittaohjelmia tai lähettää enemmän tietojasi.
Jos prosessi on täysin oikeutettu, tappaa tai käynnistä rikkomusprosessi uudelleen ja ylitä sormillasi se, että se oli fluke. Jos et halua, että tämä prosessi alkaa enää, voit joko poistaa sen tai käyttää Autorunsia lopettamaan prosessin latautumisen käynnistyksen yhteydessä.
Jos tämä ei ratkaise ongelmaa, saattaa olla aika vetää Process Monitor ja analysoida jo tunnistamiasi prosesseja ja selvittää, mitä he yrittävät käyttää. Tämä voi antaa sinulle vihjeitä siitä, mitä todella tapahtuu - ehkä prosessi yrittää käyttää rekisteriavainta tai -tiedostoa, jota ei ole tai se ei pääse tai ehkä yrittää vain kaapata kaikki tiedostosi ja tehdä paljon piirrettyjä asioita, kuten pääsyä tietoihin, joita sen ei pitäisi luultavasti, tai skannaamalla koko asemasi ilman hyvää syytä.
Jos epäilet, että sovellus on yhteydessä johonkin sellaiseen, jota sen ei pitäisi, mikä on hyvin yleistä vakoiluohjelmien tapauksessa, TCPView-apuohjelman avulla voit tarkistaa, onko kyse asiasta.
Tässä vaiheessa olet ehkä päättänyt, että prosessi on haittaohjelma tai crapware. Joko niin et halua sitä. Voit suorittaa poistoprosessin läpi, jos ne on lueteltu Ohjauspaneelin Poista ohjelmat -luettelosta, mutta monta kertaa ne eivät ole luettelossa tai ne eivät puhdista kunnolla. Tämä on silloin, kun vedät Autorunsia ja löydät kaikki paikat, joihin sovellus on kiinnittänyt käynnistyksen, ja nuke ne sieltä, ja sitten nuke kaikki tiedostot.
Koko järjestelmän virustarkistuksen suorittaminen on myös hyödyllistä, mutta voit olla rehellinen ... useimmat crapware- ja vakoiluohjelmat asennetaan, vaikka virustorjuntaohjelmia asennetaan. Kokemuksemme mukaan useimmat virustentorjuntaohjelmat ilmoittavat mielellään “kaikki selkeät”, kun tietokoneesi voi tuskin toimia spyware- ja crapware-ohjelmien takia.
TCPView
Tämä apuohjelma on loistava tapa nähdä, mitä tietokoneesi sovelluksia yhdistetään verkon palveluihin. Näet suurimman osan näistä tiedoista komentokehotteessa käyttäen netstatia tai haudattiin Process Explorer / Monitor-käyttöliittymään, mutta on paljon helpompaa vain avata TCPView ja nähdä, mitä yhdistää siihen, mitä.
Luettelon värit ovat melko yksinkertaisia ja samankaltaisia kuin muut apuohjelmat - kirkkaan vihreä tarkoittaa, että yhteys näkyy vain, punainen tarkoittaa, että yhteys sulkeutuu ja keltainen tarkoittaa, että yhteys muuttui.
Voit myös tarkastella prosessin ominaisuuksia, lopettaa prosessin, sulkea yhteyden tai vetää Whois-raportin. Se on yksinkertainen, toimiva ja erittäin hyödyllinen.
Huomautus: Kun lataat ensimmäisen kerran TCPView-sovelluksen, saatat nähdä paljon yhteyksiä [System Process] -järjestelmästä kaikkiin Internet-osoitteisiin, mutta tämä ei yleensä ole ongelma. Jos kaikki yhteydet ovat TIME_WAIT-tilassa, yhteys on suljettu ja yhteys ei ole määritettävissä, joten niiden pitäisi olla PID 0: lle osoitettuja, koska PID: ää ei ole määritetty sille.
Tämä tapahtuu yleensä, kun lataat TCPView: n sen jälkeen, kun olet liittänyt joukon asioita, mutta sen pitäisi mennä pois kaikkien yhteyksien jälkeen ja pidät TCPView: n auki.
Coreinfo
Näyttää tiedot järjestelmän suorittimesta ja kaikista ominaisuuksista. Oletko koskaan miettinyt, onko CPU 64-bittinen vai tukeeko laitteistopohjaista virtualisointia? Näet kaikki, ja paljon, paljon enemmän ydininfo-apuohjelman avulla. Tämä voi olla todella hyödyllistä, jos haluat nähdä, voiko vanhempi tietokone käyttää Windows 64-bittistä versiota vai ei.
Käsitellä
Tämä apuohjelma tekee saman, mitä Process Explorer tekee - voit nopeasti etsiä selville, millä prosessilla on avoin kahva, joka estää pääsyn resurssiin tai poistaa resurssin. Syntaksi on melko yksinkertainen:
käsitellä
Ja jos haluat sulkea kahvan, voit sulkea sen käyttämällä heksadesimaalista kahva-koodia (-c) luettelossa yhdistettynä prosessi-tunnukseen (-p-kytkin).
käsittele -c -p
Prosessin Explorer Explorer on todennäköisesti helpompi käyttää tätä tehtävää varten.
ListDlls
Aivan kuten Process Explorer, tämä apuohjelma luettelee DLL: t, jotka ladataan osana prosessia. Process Explorer on tietenkin helpompi käyttää.
RamMap
Tämä apuohjelma analysoi fyysisen muistin käytön, ja siinä on paljon tapoja visualisoida muistia, myös fyysisten sivujen avulla, joissa näet RAM-muistissa olevan sijainnin, johon jokainen suoritettava tiedosto on ladattu.
Merkkijonot Etsii ihmisen luettavissa olevan tekstin sovelluksissa ja DLL-tiedostoissa
Jos näet jokin ohjelmistopaketin merkkijonona outo URL-osoite, on aika huolehtia. Kuinka näet sen outo merkkijonon? Käyttämällä merkkijonotyökalua komentokehotteesta (tai käyttämällä Process Explorerin toimintoa).
Seuraava sivu: Auto Logon- ja ShellRunAs-asetusten määrittäminen