Az Eszközök együttes csomagolása és használata

A SysInternals sorozat végén vagyunk, és itt az ideje, hogy mindent felborítsunk, és beszéljünk arról a kis segédprogramról, amelyet nem fedeztünk fel az első kilenc órában. A készletben számos eszköz található.

SCHOOL NAVIGÁCIÓ

1. Mik a SysInternals eszközök és hogyan használják őket??
2. A Process Explorer megértése
3. A Process Explorer használata a hibaelhárításhoz és a diagnózishoz
4. A Process Monitor megértése
5. A Process Monitor használata a rendszerleíró adatbázisok hibaelhárításához és kereséséhez
6. Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
7. A BgInfo használata a rendszerinformációk megjelenítése az asztalon
8. A PsTools használata más PC-k vezérlésére a parancssorból
9. Fájlok, mappák és meghajtók elemzése és kezelése
10. Az Eszközök együttes csomagolása és használata

Megtanultuk, hogyan kell a Process Explorer-et használni a rendszerben a nem megfelelő folyamatok elhárításához, és a Process Monitor segítségével megnézni, hogy mit csinálnak a motorháztető alatt. Megtanultuk az Autoruns-t, az egyik leghatékonyabb eszközt a rosszindulatú fertőzések kezelésére, és a PsTools-t más PC-k vezérlésére a parancssorból.

Ma fedezzük fel a készlet többi segédprogramját, amely mindenféle célra használható, a hálózati kapcsolatok megtekintésétől a fájlrendszer-objektumok hatékony engedélyeinek megtekintéséig.

De először egy hipotetikus példaképen járunk el, hogy megtudjuk, hogyan használhatná egy sor eszközt egy probléma megoldásához, és végezzen néhány kutatást arról, hogy mi történik.

Melyik eszközt kell használni?

Mindig csak egy eszköz áll a munkához - sokkal jobb, ha mindet együtt használják. Íme egy példakénti forgatókönyv arra, hogy elképzelje, hogyan lehet kezelni a vizsgálatot, bár érdemes megjegyezni, hogy számos lehetőség van arra, hogy kitaláljuk, mi történik. Ez csak egy gyors példa arra, hogy illusztrálja, és semmiképpen sem a követendő lépések pontos listája.

Szcenárió: A rendszer lassú, gyanús rosszindulatú program fut

Az első dolog, amit meg kell tennie, nyissa meg a Process Explorer programot, és nézze meg, milyen folyamatokat használ fel a rendszer erőforrásai. Miután azonosította a folyamatot, használja a Process Explorer beépített eszközeit annak ellenőrzésére, hogy a folyamat valójában melyik, győződjön meg róla, hogy jogszerű, és adott esetben szkennelje be a folyamatot a vírusok használatával a beépített VirusTotal integráció segítségével.

Ez a folyamat valójában egy SysInternals segédprogram, de ha nem, akkor azt ellenőrizzük.

Jegyzet: ha valóban úgy gondolja, hogy rosszindulatú szoftver lehet, gyakran hasznos, ha a hibaelhárítás során húzza ki vagy tiltsa le az internet-hozzáférést az adott gépen, bár először érdemes a VirusTotal kereséseket elvégezni. Ellenkező esetben a rosszindulatú szoftverek több rosszindulatú szoftvert tölthetnek le, vagy továbbíthatják az információkat.

Ha a folyamat teljesen legitim, ölje meg vagy indítsa újra a bűncselekményes eljárást, és áthúzza ujjait, hogy ez egy fluke volt. Ha nem szeretné, hogy a folyamat elinduljon, akkor eltávolíthatja azt, vagy az Autoruns segítségével leállíthatja a folyamatot az indításkor történő betöltéstől.

Ha ez nem oldja meg a problémát, ideje, hogy kihúzza a folyamatot, és elemezze a már azonosított folyamatokat, és kitalálja, mit próbál hozzáférni. Ez nyomokat adhat a ténylegesen zajló folyamatokhoz - talán a folyamat megpróbál hozzáférni egy olyan rendszerleíró kulcshoz vagy fájlhoz, amely nem létezik, vagy nem fér hozzá, vagy talán csak megpróbálja megragadni az összes fájlt és csináljon sok vázlatos dolgot, például olyan információkhoz való hozzáférést, amelyeket valószínűleg nem kellene, vagy az egész meghajtót szkennelés nélkül.

Ezen túlmenően, ha azt gyanítja, hogy az alkalmazás valamilyen módon csatlakozik ahhoz, amit nem kell, ami a kémprogramok esetében nagyon gyakori, húzza ki a TCPView segédprogramot annak ellenőrzésére, hogy ez a helyzet.

Ezen a ponton valószínűleg megállapította, hogy a folyamat malware vagy crapware. Akárhogy is, nem akarod. Futtathatja az eltávolítási folyamatot, ha azok szerepelnek a Vezérlőpult Uninstall Programs (Eltávolítási programok) listájában, de sokszor nem szerepelnek a listában, vagy nem tisztítják meg megfelelően. Ez az, amikor kihúzza az Autoruns-t, és minden olyan helyet talál, amelyet az alkalmazás az indításhoz csatlakoztatott, és onnan kinyomtathatja őket, majd az összes fájlt leeresztheti.

A rendszer teljes vírusellenőrzésének futtatása szintén hasznos, de legyen őszinte ... a legtöbb crapware és kémprogram telepítve van a telepített anti-vírus alkalmazások ellenére. Tapasztalataink szerint a legtöbb vírusirtó örömmel beszámol „minden világos” -ról, míg a számítógépe alig működik a kémprogramok és a crapware miatt.

TCPView

Ez a segédprogram nagyszerű módja annak, hogy megnézze, milyen alkalmazások kapcsolódnak a számítógéphez a hálózaton keresztül elérhető szolgáltatásokhoz. A legtöbb információt láthatja a parancssorban a netstat használatával, vagy eltárolva a Process Explorer / Monitor felületen, de sokkal könnyebb csak megnyitni a TCPView-t, és megnézni, mi kapcsolódik ahhoz, amihez.

A lista színei meglehetősen egyszerűek és hasonlóak a többi segédprogramhoz - az élénkzöld azt jelenti, hogy a kapcsolat csak megjelenik, a piros azt jelenti, hogy a kapcsolat zár, és a sárga azt jelenti, hogy a kapcsolat megváltozott.

A folyamat tulajdonságait is megnézheti, befejezheti a folyamatot, bezárhatja a kapcsolatot, vagy felvetheti a Whois jelentését. Ez egyszerű, funkcionális és nagyon hasznos.

Jegyzet: Amikor először betölti a TCPView-t, előfordulhat, hogy egy csomó kapcsolat van a [System Process] -ről mindenféle internetes címre, de ez általában nem probléma. Ha az összes kapcsolat TIME_WAIT állapotban van, ez azt jelenti, hogy a kapcsolat zárva van, és nincs folyamat ahhoz, hogy a kapcsolatot hozzárendelje, így a PID 0-hoz rendeltek, mivel nincs PID, hogy hozzárendelje azt.

Ez általában akkor fordul elő, ha a TCPView-t feltöltötte, miután csatlakozott egy csomó dolghoz, de az összes kapcsolat bezárása után el kell mennie, és a TCPView nyitva marad.

Coreinfo

Megjeleníti a rendszer CPU-ját és az összes funkciót. Valaha csodálkozott, hogy a CPU 64-bites, vagy ha támogatja a hardver alapú virtualizációt? Láthatjuk mindezt, sőt, sokkal többet a coreinfo segédprogrammal. Ez nagyon hasznos lehet, ha azt szeretné látni, hogy egy régebbi számítógép futtathatja-e a Windows 64 bites verzióját.

 

Fogantyú

Ez a segédprogram ugyanazt teszi, mint a Process Explorer - gyorsan kereshet, hogy megtudja, melyik folyamat rendelkezik egy nyitott fogantyúval, amely blokkolja az erőforráshoz való hozzáférést, vagy egy erőforrás törlését. A szintaxis meglehetősen egyszerű:

fogantyú

Ha be akarja zárni a fogantyút, akkor a hexadecimális fogantyúkódot (-c) használhatja a listában a folyamatazonosítóval (a -p kapcsolóval), hogy bezárja azt.

kezelni -c -p

Ez a feladat valószínűleg sokkal könnyebb a Process Explorer használatával.

ListDlls

Csakúgy, mint a Process Explorer, ez a segédprogram felsorolja azokat a DLL-eket, amelyek egy folyamat részeként vannak betöltve. Természetesen sokkal könnyebb a Process Explorer használata.

RamMap

Ez a segédprogram elemzi a fizikai memóriahasználatot, és sokféle módon képes megjeleníteni a memóriát, beleértve a fizikai oldalakat is, ahol láthatja a RAM-ban található helyet, amelybe minden egyes végrehajtható fájl be van töltve.

A karakterláncok emberi olvasható szöveget találnak az alkalmazásokban és a DLL-ekben

Ha furcsa URL-t lát egy karakterláncként egyes szoftvercsomagokban, itt az ideje aggódni. Hogyan látnád ezt a furcsa karakterláncot? A parancssori segédprogram használata a parancssorból (vagy a Futtató Explorer funkció használatával).

Következő oldal: Auto Logon és ShellRunAs konfigurálása