Опаковане и използване на инструментите заедно

Ние сме в края на нашата серия SysInternals и е време да обгърнем всичко, като говорим за всички малки услуги, които не сме обхванали през първите девет урока. Определено има много инструменти в този комплект.

НАВИГАЦИЯ НА УЧИЛИЩАТА

1. Какви са инструментите на SysInternals и как ги използвате?
2. Запознаване с Process Explorer
3. Използване на Process Explorer за отстраняване на неизправности и диагностика
4. Разбиране на процесния монитор
5. Използване на процесния монитор за отстраняване на неизправности и търсене на регистър Hacks
6. Използване на Autoruns да се справят с процеси на стартиране и Malware
7. Използване на BgInfo за показване на системна информация на работния плот
8. Използване на PsTools за контрол на други компютри от командния ред
9. Анализ и управление на вашите файлове, папки и устройства
10. Опаковане и използване на инструментите заедно

Научихме как да използваме Process Explorer за отстраняване на неуправляеми процеси в системата и Process Monitor, за да видим какво правят под капака. Научихме за Autoruns, един от най-мощните инструменти за справяне с инфекции със зловреден софтуер, и PsTools за контрол на други компютри от командния ред.

Днес ще покрием останалите помощни програми в комплекта, които могат да се използват за всякакви цели, като се започне от гледане на мрежови връзки до виждане на ефективни разрешения за обекти на файловата система..

Но първо, ще преминем през хипотетичен примерен сценарий, за да видим как можете да използвате няколко инструмента заедно, за да решите проблема и да направите някои изследвания за това, което се случва.

Кой инструмент трябва да използвате?

Не винаги има само един инструмент за работа - много по-добре е да ги използвате всички заедно. Ето един примерен сценарий, който да ви даде представа как можете да се справите с разследването, въпреки че си струва да се отбележи, че има много начини да разберете какво се случва. Това е само един бърз пример за илюстриране и в никакъв случай не е точен списък от стъпки, които трябва да се следват.

Сценарий: Системата се изпълнява бавно, подозрителен злонамерен софтуер

Първото нещо, което трябва да направите, е да отворите Process Explorer и да видите какви процеси използват ресурсите в системата. След като сте идентифицирали процеса, трябва да използвате вградените инструменти в Process Explorer, за да проверите какво всъщност е процесът, да се уверите, че е законно и по желание да сканирате този процес за вируси, използвайки вградената интеграция с VirusTotal..

Този процес всъщност е помощна програма SysInternals, но ако не беше, ще го проверим.

Забележка: ако наистина мислите, че може да има злонамерен софтуер, често е полезно да изключите или забраните достъпа до интернет на тази машина, докато отстранявате неизправности, въпреки че първо може да искате да извършите справки с VirusTotal. В противен случай зловредният софтуер може да изтегли повече злонамерен софтуер или да предаде повече информация.

Ако процесът е напълно легитимен, убийте или рестартирайте нарушаващия процес, и кръстосайте пръстите си, че това е случайност. Ако не искате този процес да се стартира вече, можете или да го деинсталирате, или да използвате Autoruns, за да спрете процеса от зареждане при стартиране.

Ако това не реши проблема, може би е време да извадите Process Monitor и да анализирате процесите, които вече сте идентифицирали, и да разберете какво се опитват да получат. Това може да ви даде информация за това какво всъщност се случва - може би процесът се опитва да получи достъп до ключ или файл от регистъра, който не съществува или няма достъп до, или може би просто се опитва да отвлече всичките ви файлове и правите много скрити неща като достъп до информация, която вероятно не би трябвало, или сканиране на целия ви диск без основателна причина.

Освен това, ако подозирате, че приложението се свързва с нещо, което не трябва, което е много често срещано в случай на шпионски софтуер, бихте извадили помощната програма TCPView, за да проверите дали това е така.

В този момент може да сте определили, че процесът е злонамерен софтуер или в crapware. Така или иначе не искате. Можете да изпълните процеса на деинсталиране, ако те са изброени в списъка Деинсталиращи програми на контролния панел, но многократно не са в списъка или не се почистват правилно. Това е, когато изтеглите Autoruns и да намерите всяко място, че приложението е закачен в стартиране, и ги nuke от там, и след това nuke всички файлове \ t.

Изпълнението на пълно вирусно сканиране на вашата система също е полезно, но ви позволява да бъдете честни… повечето crapware и spyware се инсталират въпреки инсталираните антивирусни приложения. В нашия опит повечето антивирусни програми ще се радват на „всичко ясно“, докато вашият компютър едва може да работи поради шпионски софтуер и crapware.

TCPView

Тази помощна програма е чудесен начин да видите какви приложения на вашия компютър се свързват с услугите, които се намират в мрежата. Можете да видите по-голямата част от тази информация в командния ред, използвайки netstat или погребан в интерфейса Process Explorer / Monitor, но е много по-лесно да отворите TCPView и да видите какво се свързва с това.

Цветовете в списъка са доста прости и сходни с другите помощни програми - ярко зелено означава, че връзката е показана, червеното означава, че връзката се затваря, а жълтата означава, че връзката е променена..

Можете също да погледнете свойствата на процеса, да приключите процеса, да затворите връзката или да извикате доклад Whois. Тя е проста, функционална и много полезна.

Забележка: Когато за първи път зареждате TCPView, може да видите тон връзки от [System Process] към всички видове интернет адреси, но това обикновено не е проблем. Ако всички връзки са в състояние TIME_WAIT, това означава, че връзката е затворена и няма процес за присвояване на връзката, така че те трябва да се присвоят на PID 0, тъй като няма PID, за да го зададете на.

Това обикновено се случва, когато зареждате TCPView, след като сте се свързали с няколко неща, но трябва да изчезнат, след като всички връзки се затворят и поддържате TCPView отворен.

Coreinfo

Показва информация за системния процесор и всички функции. Чудили ли сте се дали вашият процесор е 64-битов или поддържа виртуализация на хардуер? Можете да видите всичко това и много, много повече с помощната програма coreinfo. Това може да бъде наистина полезно, ако искате да видите дали по-стар компютър може да изпълнява 64-битовата версия на Windows или не.

 

дръжка

Тази програма прави същото нещо, което прави Process Explorer - можете бързо да търсите, за да разберете кой процес има отворена дръжка, която блокира достъпа до ресурс, или да изтриете ресурс. Синтаксисът е доста прост:

дръжка

И ако искате да затворите дръжката, можете да използвате шестнадесетичния код на обработване (с -c) в списъка, комбиниран с идентификатора на процеса (ключът -p), за да го затворите..

handle -c -p

Вероятно е много по-лесно да използвате Process Explorer за тази задача.

ListDlls

Точно както Process Explorer, тази помощна програма изброява DLL файловете, които са заредени като част от процеса. Разбира се, много по-лесно е да използвате Process Explorer.

RamMap

Тази помощна програма анализира използването на физическата ви памет с множество различни начини за визуализиране на паметта, включително от физически страници, където можете да видите местоположението в RAM, че всеки изпълним файл се зарежда в.

Strings Намира четения от човека текст в Apps и DLL

Ако видите някакъв странен URL като низ в някакъв софтуерен пакет, е време да се притеснявате. Как ще видите този странен низ? Използване на помощната програма за низове от командния ред (или използване на функцията в Process Explorer).

Следваща страница: Конфигуриране на Auto Logon и ShellRunAs