Domača » šoli » Zavijanje in uporaba orodij skupaj

    Zavijanje in uporaba orodij skupaj

    Smo na koncu naše serije SysInternals in čas je, da vse zaključimo tako, da govorimo o vseh majhnih pripomočkih, ki jih nismo pokrili v prvih devetih lekcijah. V kompletu je vsekakor veliko orodij.

    ŠOLSKA NAVIGACIJA
    1. Kaj so orodja SysInternals in kako jih uporabljate?
    2. Razumevanje Process Explorerja
    3. Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje
    4. Razumevanje procesa Monitor
    5. Uporaba Process Monitor za odpravljanje težav in najti registracija Hacks
    6. Uporaba Autoruns za obravnavo zagonskih procesov in Malware
    7. Uporaba BgInfo za prikaz informacij o sistemu na namizju
    8. Uporaba PsTools za nadzor drugih osebnih računalnikov iz ukazne vrstice
    9. Analiziranje in upravljanje datotek, map in pogonov
    10. Zavijanje in uporaba orodij skupaj

    Naučili smo se, kako uporabiti Process Explorer za odpravljanje nedovoljenih procesov v sistemu, in Process Monitor, da vidimo, kaj počnejo pod pokrovom. Spoznali smo avtorske pravice, eno najmočnejših orodij za obravnavo okužb z zlonamerno programsko opremo, in PsTools za nadzor drugih osebnih računalnikov iz ukazne vrstice..

    Danes bomo pokrili preostale pripomočke v kompletu, ki se lahko uporabljajo za vse namene, od ogleda omrežnih povezav do prikazovanja učinkovitih dovoljenj za objekte datotečnega sistema..

    Najprej pa bomo prebrali hipotetični primer, da bi videli, kako lahko uporabite več orodij za rešitev problema in opravite nekaj raziskav o tem, kaj se dogaja..

    Katero orodje uporabite?

    Za delo ni vedno samo eno orodje - bolje je uporabiti vse skupaj. Tukaj je primer, ki vam ponuja idejo o tem, kako bi se lahko lotili preiskave, čeprav je vredno omeniti, da obstaja veliko načinov, kako ugotoviti, kaj se dogaja. To je le kratek primer za ponazoritev in nikakor ni natančen seznam korakov.

    Scenarij: Sistem deluje počasi, sumljiva zlonamerna programska oprema

    Prva stvar, ki jo morate storiti, je, da odprete Process Explorer in vidite, kateri procesi porabijo sredstva v sistemu. Ko ste identificirali postopek, uporabite vgrajena orodja v Process Explorerju, da preverite, kaj je proces dejansko, preverite, ali je zakonit, in po želji skenirajte ta proces za viruse z vgrajeno integracijo VirusTotal..

    Ta proces je pravzaprav pripomoček SysInternals, če pa ne, ga bomo preverjali.

    Opomba: če res mislite, da obstaja zlonamerna programska oprema, je pogosto koristno, da odklopite ali onemogočite dostop do interneta na tem računalniku, medtem ko odpravljate težave, čeprav boste najprej želeli opraviti iskanje VirusTotal. Sicer lahko zlonamerna programska oprema prenese več zlonamerne programske opreme ali prenese več vaših podatkov.

    Če je postopek popolnoma zakonit, ubijte ali ponovno zaženite kršitveni postopek in prekrižajte prste, da je to bila naključje. Če ne želite, da se ta postopek začne več, ga lahko odstranite ali uporabite možnost Samodejni zagon, da zaustavite nalaganje ob zagonu..

    Če to ne reši problema, je morda čas, da izvlečete Process Monitor in analizirate procese, ki ste jih že identificirali, in ugotovite, kaj želijo dostopati. To vam lahko pokaže, kaj se dejansko dogaja - morda proces poskuša dostopati do registrskega ključa ali datoteke, ki ne obstaja ali pa nima dostopa, ali pa samo poskuša ugrabiti vse vaše datoteke in naredite veliko nedorečenih stvari, kot je dostop do informacij, ki jih verjetno ne bi smel, ali skeniranje celotnega pogona brez pravega razloga.

    Poleg tega, če sumite, da se aplikacija povezuje z nečim, kar ne bi smelo, kar je zelo pogosto v primeru vohunske programske opreme, bi uporabili pripomoček TCPView, da preverite, ali je to res..

    Na tej točki ste morda ugotovili, da je proces malware ali crapware. Kakorkoli ga ne želite. V postopku odstranjevanja lahko zaženete, če so navedeni na seznamu Nadzorna plošča Uninstall Programs, vendar pogosto niso navedeni ali pa ne čistite pravilno. To je, ko izvlečete Autoruns in poiščete vsako mesto, ki ga je aplikacija zagnala v zagon, in jih od tam sprožite, nato pa nuke vse datoteke.

    Izvajanje popolno virus skeniranje vašega sistema je prav tako koristno, vendar vam omogoča biti pošten ... večina crapware in spyware dobi nameščen kljub protivirusne aplikacije, nameščene. Po naših izkušnjah bo večina anti-virusov z veseljem poročala o »vse jasno«, medtem ko vaš računalnik komaj deluje zaradi vohunske programske opreme.

    TCPView

    Ta pripomoček je odličen način, da vidite, katere aplikacije v računalniku se povezujejo s temi storitvami v omrežju. Večino teh informacij si lahko ogledate v ukaznem pozivu z uporabo netstat-a ali zakopljenega v vmesniku Process Explorer / Monitor, vendar je veliko lažje samo odpreti TCPView in videti, kaj se povezuje s tem.

    Barve na seznamu so precej preproste in podobne drugim orodjem - svetlo zelena pomeni, da je povezava pravkar prikazana, rdeča pomeni, da se povezava zapira, rumena pa pomeni, da je povezava spremenjena..

    Ogledate si lahko tudi lastnosti procesa, končate postopek, zaprete povezavo ali povlečete poročilo Whois. Je preprosta, funkcionalna in zelo uporabna.

    Opomba: Ko prvič naložite TCPView, boste morda videli veliko povezav iz [System Process] z vsemi vrstami internetnih naslovov, vendar to ponavadi ni problem. Če so vse povezave v stanju TIME_WAIT, to pomeni, da je povezava zaprta, in ne obstaja postopek za dodelitev povezave, zato se morajo povišati, kot je dodeljeno PID 0, ker ni PID, ki bi ga dodelil.

    Običajno se to zgodi, ko prenesete TCPView, ko ste se povezali s kupom stvari, vendar pa se mora izginiti, ko se vse povezave zaprejo in TCPView ostane odprt..

    Coreinfo

    Prikaže informacije o sistemski CPU in vseh funkcijah. Ste se kdaj spraševali, ali je vaša CPE 64-bitna ali če podpira virtualizacijo na osnovi strojne opreme? Vse to in veliko, veliko več lahko vidite s pripomočkom coreinfo. To je lahko zelo koristno, če želite videti, ali starejši računalnik lahko izvaja 64-bitno različico sistema Windows ali ne.

     

    Ročaj

    Ta pripomoček naredi isto, kot to počne Process Explorer - hitro lahko poiščete, kateri proces ima odprt ročaj, ki blokira dostop do vira, ali pa brisanje vira. Sintaksa je precej preprosta:

    ročaj

    Če želite zapreti ročico, lahko uporabite šestnajstiško kodo ročice (z -c) na seznamu skupaj s ID-jem procesa (stikalo -p), da ga zaprete..

    handle -c -p

    Za to nalogo je verjetno veliko lažje uporabiti Process Explorer.

    ListDlls

    Tako kot Process Explorer, ta pripomoček navaja DLL-je, ki so naloženi kot del procesa. Seveda je veliko lažje uporabljati Process Explorer.

    RamMap

    Ta pripomoček analizira vašo porabo fizičnega pomnilnika z veliko različnimi načini vizualizacije pomnilnika, vključno s fizičnimi stranmi, kjer si lahko ogledate lokacijo v RAM-u, ki je naložena v vsako izvršljivo datoteko..

    Strings najde človeku berljivo besedilo v aplikacijah in DLL-jih

    Če opazite čuden URL kot niz v nekem programskem paketu, je čas za skrb. Kako bi videli to čudno vrvico? Uporaba pripomočka strings iz ukaznega poziva (ali uporaba funkcije v Process Explorerju namesto).

    Naslednja stran: Konfiguriranje Auto Logon in ShellRunAs