Как сделать

Заключение и совместное использование инструментов

SysInternals 10

Мы находимся в конце нашей серии SysInternals, и пришло время подвести итоги, поговорив обо всех маленьких утилитах, которые мы не рассмотрели в первых девяти уроках. В этом наборе определенно много инструментов.

Мы узнали, как использовать Process Explorer для устранения неполадок в недисциплинированных процессах в системе и Process Monitor, чтобы увидеть, что они делают изнутри. Мы узнали об Autoruns, одном из самых мощных инструментов для борьбы с заражением вредоносным ПО, и PsTools для управления другими ПК из командной строки.

Сегодня мы рассмотрим остальные утилиты в наборе, которые можно использовать для самых разных целей, от просмотра сетевых подключений до просмотра эффективных разрешений для объектов файловой системы.

Но сначала мы рассмотрим гипотетический пример сценария, чтобы увидеть, как вы могли бы совместно использовать несколько инструментов для решения проблемы и провести некоторое исследование того, что происходит.

Какой инструмент вы должны использовать?

Не всегда есть только один инструмент для работы — гораздо лучше использовать их все вместе. Вот пример сценария, который даст вам представление о том, как вы можете заняться расследованием, хотя стоит отметить, что существует множество способов выяснить, что происходит. Это лишь краткий пример, чтобы проиллюстрировать это, и он ни в коем случае не является точным списком шагов, которым нужно следовать.

Сценарий: система работает медленно, подозрительное вредоносное ПО

Первое, что вы должны сделать, это открыть Process Explorer и посмотреть, какие процессы используют ресурсы в системе. После того как вы определили процесс, вы должны использовать встроенные инструменты в Process Explorer, чтобы проверить, что это за процесс на самом деле, убедиться, что он законный, и при желании проверить этот процесс на наличие вирусов, используя встроенную интеграцию VirusTotal.

Этот процесс на самом деле является утилитой SysInternals, но если бы это было не так, мы бы его проверили.

Примечание: если вы действительно думаете, что могут быть вредоносные программы, часто полезно отключить или отключить доступ к Интернету на этом компьютере во время устранения неполадок, хотя вы можете сначала выполнить поиск VirusTotal. В противном случае эта вредоносная программа может загрузить больше вредоносной программы или передать больше вашей информации.

Если процесс полностью легитимен, убейте или перезапустите нарушающий процесс и скрестите пальцы за то, что это случайность. Если вы больше не хотите запускать этот процесс, вы можете либо удалить его, либо использовать автозапуск, чтобы остановить загрузку процесса при запуске.

Если это не решит проблему, возможно, пришло время извлечь Process Monitor и проанализировать процессы, которые вы уже определили, и выяснить, к чему они пытаются получить доступ. Это может дать вам подсказки о том, что на самом деле происходит — возможно, процесс пытается получить доступ к разделу реестра или файлу, который не существует, или к которому у него нет доступа, или, возможно, он просто пытается захватить все ваши файлы и делать много отрывочных вещей, таких как доступ к информации, которой она, вероятно, не должна, или сканирование всего диска без веской причины.

Кроме того, если вы подозреваете, что приложение подключается к чему-то, что не должно, что очень часто встречается в шпионских программах, вы должны извлечь утилиту TCPView, чтобы проверить, так ли это.

В этот момент вы, возможно, определили, что этот процесс является вредоносным или программным обеспечением. В любом случае, вы этого не хотите. Вы можете запустить процесс удаления, если они перечислены в списке «Удаление программ» панели управления, но во многих случаях их нет в списке или они не очищаются должным образом. Это когда вы извлекаете автозапуск и находите все места, которые приложение подключило к автозагрузке, и очищаете их оттуда, а затем уничтожаете все файлы.

Выполнение полной проверки на вирусы в вашей системе также полезно, но давайте будем честными … большинство программ-шпионов и программ-шпионов устанавливается несмотря на то, что устанавливаются антивирусные приложения. По нашему опыту, большинство антивирусов с радостью сообщат «все ясно», в то время как ваш компьютер едва может работать из-за шпионского и программного обеспечения.

TCPView

Эта утилита — отличный способ узнать, какие приложения на вашем компьютере подключаются к каким службам по сети. Вы можете увидеть большую часть этой информации в командной строке с помощью netstat или скрытой в интерфейсе Process Explorer / Monitor, но гораздо проще просто открыть TCPView и посмотреть, что к чему подключается.

Цвета в списке довольно простые и похожи на другие утилиты — ярко-зеленый означает, что соединение только что обнаружилось, красный означает, что соединение закрывается, а желтый означает, что соединение изменилось.

Вы также можете просмотреть свойства процесса, завершить процесс, закрыть соединение или открыть отчет Whois. Это просто, функционально и очень полезно.

Примечание. Когда вы впервые загружаете TCPView, вы можете увидеть тонну соединений из [System Process] со всеми видами интернет-адресов, но обычно это не проблема. Если все соединения находятся в состоянии TIME_WAIT, это означает, что соединение закрывается, и не существует процесса для назначения соединения, поэтому они должны работать как назначено для PID 0, поскольку нет PID для назначения его ,

Обычно это происходит, когда вы загружаете TCPView после подключения к нескольким вещам, но он должен исчезнуть после того, как все соединения будут закрыты, и вы сохраните TCPView открытым.

Coreinfo

Показывает информацию о системном процессоре и всех возможностях. Вы когда-нибудь задумывались, является ли ваш процессор 64-битным или поддерживает аппаратную виртуализацию? Вы можете увидеть все это и многое, многое другое с помощью утилиты coreinfo. Это может быть очень полезно, если вы хотите увидеть, может ли старый компьютер работать под управлением 64-разрядной версии Windows или нет.

 

Ручка

Эта утилита делает то же самое, что и Process Explorer — вы можете быстро найти, какой процесс имеет открытый дескриптор, который блокирует доступ к ресурсу или удаляет ресурс. Синтаксис довольно прост:

обрабатывать <ресурс>

И если вы хотите закрыть дескриптор, вы можете использовать шестнадцатеричный код дескриптора (с -c) в списке вместе с идентификатором процесса (ключ -p), чтобы закрыть его.

handle -c <hex> -p <PID>

Вероятно, гораздо проще использовать Process Explorer для этой задачи.

ListDLLs

Как и Process Explorer, эта утилита выводит список библиотек DLL, которые загружаются как часть процесса. Конечно, намного проще использовать Process Explorer.

RamMap

Эта утилита анализирует использование вашей физической памяти с помощью множества различных способов визуализации памяти, в том числе с помощью физических страниц, где вы можете видеть место в ОЗУ, в которое загружается каждый исполняемый файл.

Strings Находит текст, читаемый человеком, в приложениях и DLL

Если вы видите странный URL-адрес в виде строки в каком-то программном пакете, настало время беспокоиться. Как бы вы увидели эту странную строку? Использование утилиты строк из командной строки (или использование функции в Process Explorer).

Существует множество параметров командной строки для настройки вывода и того, что вы просматриваете, но мы рекомендуем использовать версию Process Explorer большую часть времени, потому что это просто.

RegJump

Эта утилита командной строки открывает редактор реестра и переходит к ключу, который вы указываете в качестве аргумента в командной строке. Больше не нужно вручную нажимать на дерево … при условии, что вы его используете. Синтаксис:

regjump <ключ реестра>

Hex2dec

Это преобразует числа из шестнадцатеричного в десятичное и наоборот в командной строке.

Autologon

Эта утилита очень быстро включает автоматический вход в вашу учетную запись. Просто введите свой пароль, нажмите Включить, и все готово. Вы также можете использовать это, чтобы отключить автоматический вход в систему, если он включен, и вы не хотите выяснить, как переключить его обратно.

Стоит отметить, что в первую очередь включить автоматический вход в Windows очень просто.

AccessChk

Эта простая утилита сообщает об эффективных разрешениях для файлов и папок … и ключей реестра, и процессов, и многих других вещей. В принципе, разрешения могут быть действительно сложными, поэтому эта утилита показывает, что на самом деле имеет разрешение учетной записи на объект.

AccessEnum

Эта утилита действительно полезна, так как вы можете полностью проверять разрешения и доступ к файлам, папкам и разделам реестра в вашей системе. Если у вас действительно сложная настройка безопасности, этот инструмент позволит вам выяснить, у кого есть доступ, и посмотреть, не ошиблись ли вы где-нибудь.

ShellRunas

Эта утилита на самом деле является расширением оболочки, которое позволяет вам быстро запускать приложение от имени другого пользователя, что было действительно полезно в те времена XP, когда не было хорошего способа запуска приложений от имени администратора, если у вас был обычный пользователь. Это все еще весьма полезно в корпоративной среде (для старых компьютеров).

Примечание. Эта функция встроена в Windows 7 и 8, но скрыта за меню Shift + щелчок правой кнопкой мыши.

Установка проста, просто используйте это из командной строки:

ракушки / рег

И удалить так же просто:

Shellrunas / Unreg

Чтобы использовать его после установки, просто щелкните правой кнопкой мыши любой исполняемый файл и выберите параметр «Запуск от имени другого пользователя».

Затем введите имя пользователя и пароль для альтернативного пользователя.

RegDelNull

Находит и удаляет ключи реестра с нулевыми символами в имени. Вероятно, не то, что вы хотите сделать.

Ctrl2cap

Эта утилита переназначает ваш ключ CAPS LOCK вместо CTRL.

BlueScreen Заставка

Ага. Это очень весело — просто установите его, щелкнув правой кнопкой мыши и выбрав «Установить», и тогда вы сможете наслаждаться забавным BSOD все время.

Вот и все, что нужно для этого урока в школе гиков. Оставайтесь с нами на следующей неделе, чтобы получить еще больше отличных уроков.

Похожие посты
Как сделать

Как получить возмещение за покупки в iTunes или App Store

Как сделать

Поверхностное перо не работает? Вот как это исправить

Как сделать

Как настроить и использовать Fire TV Recast

Как сделать

Как изменить рингтон по умолчанию на вашем iPhone