Αρχική σελίδα » σχολείο » Περιτύλιγμα και χρήση των εργαλείων μαζί

    Περιτύλιγμα και χρήση των εργαλείων μαζί

    Είμαστε στο τέλος της σειράς μας SysInternals και είναι καιρός να ολοκληρώσουμε τα πάντα μιλώντας για όλες τις μικρές επιχειρήσεις κοινής ωφέλειας που δεν κάλυψαμε τα πρώτα εννέα μαθήματα. Υπάρχουν σίγουρα πολλά εργαλεία σε αυτό το κιτ.

    ΣΧΟΛΙΚΗ ΠΛΟΗΓΗΣΗ
    1. Ποια είναι τα εργαλεία SysInternals και πώς τα χρησιμοποιείτε?
    2. Κατανόηση διερεύνησης διεργασιών
    3. Χρησιμοποιώντας την Εξερεύνηση διεργασιών για την αντιμετώπιση προβλημάτων και τη διάγνωση
    4. Κατανόηση της διαδικασίας παρακολούθησης
    5. Χρησιμοποιώντας την Παρακολούθηση διαδικασιών για την αντιμετώπιση προβλημάτων και την εύρεση αμυχών στο μητρώο
    6. Χρησιμοποιώντας το Autoruns για την αντιμετώπιση των διαδικασιών εκκίνησης και των κακόβουλων προγραμμάτων
    7. Χρησιμοποιώντας το BgInfo για την εμφάνιση πληροφοριών συστήματος στην επιφάνεια εργασίας
    8. Χρησιμοποιώντας PsTools για τον έλεγχο άλλων υπολογιστών από τη γραμμή εντολών
    9. Ανάλυση και διαχείριση αρχείων, φακέλων και μονάδων δίσκου
    10. Περιτύλιγμα και χρήση των εργαλείων μαζί

    Έχουμε μάθει πώς να χρησιμοποιούμε τον Process Explorer για την αντιμετώπιση προβλημάτων απρόσεκτων διαδικασιών στο σύστημα και το Process Monitor για να δούμε τι κάνουν κάτω από την κουκούλα. Έχουμε μάθει για το Autoruns, ένα από τα πιο ισχυρά εργαλεία αντιμετώπισης μολύνσεων από κακόβουλο λογισμικό και το PsTools για τον έλεγχο άλλων υπολογιστών από τη γραμμή εντολών.

    Σήμερα πρόκειται να καλύψουμε τα υπόλοιπα βοηθητικά προγράμματα στο κιτ, τα οποία μπορούν να χρησιμοποιηθούν για κάθε είδους σκοπούς, από την προβολή συνδέσεων δικτύου έως την προβολή αποτελεσματικών δικαιωμάτων σε αντικείμενα συστήματος αρχείων.

    Πρώτον, θα περάσουμε από ένα υποθετικό σενάριο παράδειγμα για να δούμε πώς μπορείτε να χρησιμοποιήσετε μαζί πολλά εργαλεία για να λύσετε ένα πρόβλημα και να κάνετε κάποια έρευνα για το τι συμβαίνει.

    Ποιο εργαλείο πρέπει να χρησιμοποιήσετε?

    Δεν υπάρχει πάντα μόνο ένα εργαλείο για τη δουλειά - είναι πολύ καλύτερο να τα χρησιμοποιήσετε όλοι μαζί. Ακολουθεί ένα σενάριο παράδειγμα για να σας δώσουμε μια ιδέα για το πώς θα μπορούσατε να αντιμετωπίσετε την έρευνα, αν και αξίζει να σημειωθεί ότι υπάρχουν διάφοροι τρόποι για να καταλάβουμε τι συμβαίνει. Αυτό είναι μόνο ένα γρήγορο παράδειγμα που βοηθά στην απεικόνιση, και δεν είναι σε καμία περίπτωση ένας ακριβής κατάλογος των βημάτων που πρέπει να ακολουθήσετε.

    Σενάριο: Το σύστημα εκτελεί αργό, υποψιασμένο κακόβουλο λογισμικό

    Το πρώτο πράγμα που πρέπει να κάνετε είναι να ανοίξετε τον Process Explorer και να δείτε ποιες διαδικασίες χρησιμοποιούν πόρους στο σύστημα. Μόλις προσδιορίσετε τη διαδικασία, θα πρέπει να χρησιμοποιήσετε τα ενσωματωμένα εργαλεία στον Επεξεργαστή διεργασιών για να επαληθεύσετε την πραγματική διαδικασία, να βεβαιωθείτε ότι είναι νόμιμη και προαιρετικά να σαρώσετε αυτή τη διαδικασία για ιούς χρησιμοποιώντας την ενσωματωμένη ενσωμάτωση VirusTotal.

    Αυτή η διαδικασία είναι στην πραγματικότητα ένα βοηθητικό πρόγραμμα SysInternals, αλλά αν δεν ήταν, θα το ελέγξαμε.

    Σημείωση: εάν πραγματικά πιστεύετε ότι ενδέχεται να υπάρχει κακόβουλο λογισμικό, είναι συχνά χρήσιμο να αποσυνδέσετε ή να απενεργοποιήσετε την πρόσβαση στο Internet σε αυτό το μηχάνημα ενώ αντιμετωπίζετε προβλήματα, αν και ίσως θέλετε να κάνετε πρώτα τις αναζητήσεις του VirusTotal. Διαφορετικά, το κακόβουλο λογισμικό ενδέχεται να κατεβάσει περισσότερα κακόβουλα προγράμματα ή να μεταδώσει περισσότερες από τις πληροφορίες σας.

    Αν η διαδικασία είναι απολύτως νόμιμη, σκοτώστε ή επανεκκινήστε τη διαδικασία που σας παραβιάζει και περάστε τα δάχτυλά σας ότι ήταν ένα τζόγο. Εάν δεν θέλετε να ξεκινήσει πια αυτή η διαδικασία, μπορείτε να την απεγκαταστήσετε ή να χρησιμοποιήσετε το Αυτόματες εντολές για να σταματήσετε τη διαδικασία φόρτωσης κατά την εκκίνηση.

    Εάν αυτό δεν επιλύσει το πρόβλημα, ίσως είναι καιρός να βγείτε από τη διαδικασία παρακολούθησης και να αναλύσετε τις διαδικασίες που έχετε ήδη εντοπίσει και να καταλάβετε τι προσπαθούν να έχουν πρόσβαση. Αυτό μπορεί να σας δώσει ενδείξεις σε αυτό που συμβαίνει στην πραγματικότητα - ίσως η διαδικασία προσπαθεί να αποκτήσει πρόσβαση σε ένα κλειδί μητρώου ή αρχείο που δεν υπάρχει ή δεν έχει πρόσβαση σε, ή ίσως απλώς προσπαθεί να καταλάβει όλα τα αρχεία σας και να κάνουμε πολλά σκανδιναβικά πράγματα, όπως η πρόσβαση σε πληροφορίες που πιθανώς δεν θα έπρεπε, ή σάρωση ολόκληρου του δίσκου σας για κανέναν καλό λόγο.

    Επιπλέον, εάν υποψιάζεστε ότι η εφαρμογή συνδέεται με κάτι που δεν θα έπρεπε, κάτι που είναι πολύ συνηθισμένο στην περίπτωση του λογισμικού υποκλοπής spyware, θα πρέπει να αποσύρετε το βοηθητικό πρόγραμμα TCPView για να επαληθεύσετε αν συμβαίνει αυτό.

    Σε αυτό το σημείο μπορεί να έχετε διαπιστώσει ότι η διαδικασία είναι malware ή crapware. Είτε έτσι είτε αλλιώς το θέλετε. Μπορείτε να εκτελέσετε τη διαδικασία κατάργησης εγκατάστασης, εάν εμφανίζονται στη λίστα προγραμμάτων κατάργησης εγκατάστασης του πίνακα ελέγχου, αλλά πολλές φορές δεν αναφέρονται ή δεν καθαρίζονται σωστά. Αυτό είναι όταν βγάζετε το Autoruns και βρίσκετε κάθε τόπο που η εφαρμογή έχει συνδέσει την εκκίνηση, και πυροδοτώντας τους από εκεί, και στη συνέχεια πυροδοτώντας όλα τα αρχεία.

    Η εκτέλεση μιας πλήρους ανίχνευσης ιών του συστήματός σας είναι επίσης χρήσιμη, αλλά σας επιτρέπει να είστε ειλικρινείς ... τα περισσότερα crapware και spyware εγκαθίστανται παρά τις εγκατεστημένες εφαρμογές προστασίας από ιούς. Από την εμπειρία μας, οι περισσότεροι κατά των ιών θα αναφέρουν ευτυχώς ότι είναι "όλα καθαρά", ενώ ο υπολογιστής σας μπορεί να λειτουργήσει ελάχιστα λόγω του λογισμικού υποκλοπής spyware και crapware.

    TCPView

    Αυτό το βοηθητικό πρόγραμμα είναι ένας πολύ καλός τρόπος για να δείτε τι εφαρμογές στον υπολογιστή σας συνδέονται με τις υπηρεσίες που παρέχονται στο δίκτυο. Μπορείτε να δείτε τις περισσότερες από αυτές τις πληροφορίες στη γραμμή εντολών χρησιμοποιώντας το netstat ή να τις θάβετε στη διεπαφή Process Explorer / Monitor, αλλά είναι πολύ πιο εύκολο να ανοίξετε απλά το ανοικτό TCPView και να δείτε τι συνδέεται με αυτό.

    Τα χρώματα στη λίστα είναι αρκετά απλά και παρόμοια με τα άλλα βοηθητικά προγράμματα - το πράσινο σημαίνει ότι η σύνδεση μόλις εμφανίστηκε, το κόκκινο σημαίνει ότι η σύνδεση κλείνει και το κίτρινο σημαίνει ότι η σύνδεση άλλαξε.

    Μπορείτε επίσης να δείτε τις ιδιότητες της διαδικασίας, να τερματίσετε τη διαδικασία, να κλείσετε τη σύνδεση ή να τραβήξετε μια αναφορά Whois. Είναι απλό, λειτουργικό και πολύ χρήσιμο.

    Σημείωση: Κατά την πρώτη φόρτωση του TCPView, ίσως δείτε έναν τόνο συνδέσεων από τη [System Process] σε όλες τις διευθύνσεις διαδικτύου, αλλά αυτό συνήθως δεν αποτελεί πρόβλημα. Εάν όλες οι συνδέσεις βρίσκονται στην κατάσταση TIME_WAIT, αυτό σημαίνει ότι η σύνδεση είναι κλειστή και δεν υπάρχει διαδικασία για την εκχώρηση της σύνδεσης, ώστε να αναβαθμίζονται ως PID 0 αφού δεν υπάρχει PID για να την εκχωρήσετε.

    Αυτό συμβαίνει συνήθως όταν φορτώνετε το TCPView αφού έχετε συνδεθεί σε ένα σωρό πράγματα, αλλά θα πρέπει να πάει μακριά αφού όλες οι συνδέσεις κλείσουν και διατηρήσετε το TCPView ανοιχτό.

    Coreinfo

    Εμφανίζει πληροφορίες σχετικά με την CPU του συστήματος και όλες τις λειτουργίες. Έχετε αναρωτηθεί ποτέ αν η CPU σας είναι 64-bit ή εάν υποστηρίζει virtualization με βάση το υλικό; Μπορείτε να δείτε όλα αυτά και πολλά, πολύ περισσότερο με το βοηθητικό πρόγραμμα coreinfo. Αυτό μπορεί να είναι πραγματικά χρήσιμο εάν θέλετε να δείτε αν ένας παλαιότερος υπολογιστής μπορεί να τρέξει την έκδοση 64-bit των Windows ή όχι.

     

    Λαβή

    Αυτό το βοηθητικό πρόγραμμα κάνει το ίδιο πράγμα με το Process Explorer - μπορείτε να κάνετε γρήγορη αναζήτηση για να μάθετε ποια διαδικασία έχει μια ανοικτή λαβή που αποκλείει την πρόσβαση σε έναν πόρο ή από τη διαγραφή ενός πόρου. Η σύνταξη είναι αρκετά απλή:

    λαβή

    Και αν θέλετε να κλείσετε τη λαβή, μπορείτε να χρησιμοποιήσετε τον δεκαεξαδικό κωδικό λαβής (με -c) στη λίστα σε συνδυασμό με το αναγνωριστικό διαδικασίας (ο διακόπτης -p) για να το κλείσετε.

    λαβή -c -p

    Είναι πιθανότατα πολύ πιο εύκολη η χρήση του Process Explorer για αυτήν την εργασία.

    ListDlls

    Ακριβώς όπως Process Explorer, αυτό το βοηθητικό πρόγραμμα απαριθμεί τα DLL που φορτώνονται ως μέρος μιας διαδικασίας. Είναι πολύ πιο εύκολο να χρησιμοποιήσετε τον Process Explorer, φυσικά.

    RamMap

    Αυτό το βοηθητικό πρόγραμμα αναλύει τη χρήση της φυσικής σας μνήμης, με πολλά διαφορετικά μέσα απεικόνισης της μνήμης, συμπεριλαμβανομένων και των φυσικών σελίδων, όπου μπορείτε να δείτε τη θέση στη μνήμη RAM που κάθε εκτελέσιμο αρχείο έχει φορτωθεί.

    Οι χορδές βρίσκουν κείμενο αναγνωσιμότητας από άνθρωπο σε εφαρμογές και DLL

    Εάν βλέπετε μια παράξενη διεύθυνση URL ως συμβολοσειρά σε κάποιο πακέτο λογισμικού, είναι καιρός να ανησυχείτε. Πώς θα το δείτε αυτό το παράξενο string; Χρησιμοποιώντας το βοηθητικό πρόγραμμα συμβολοσειρών από τη γραμμή εντολών (ή χρησιμοποιώντας τη λειτουργία του Process Explorer αντί).

    Επόμενη σελίδα: Ρύθμιση αυτόματης σύνδεσης και ShellRunAs