Ние сме в края на нашата серия SysInternals и е време да приключим всичко, като говорим за всички малки комунални услуги, които не покрихме през първите девет урока. Определено има много инструменти в този комплект.
УЧИЛИЩНА НАВИГАЦИЯНаучихме как да използваме Process Explorer за отстраняване на неизправните процеси в системата и Process Monitor, за да видим какво правят под качулката. Научихме за Autoruns, един от най-мощните инструменти за справяне с инфекции на зловреден софтуер и PsTools за контрол на други персонални компютри от командния ред.
Днес ще покрием останалите помощни средства в комплекта, които могат да бъдат използвани за всякакви цели, като се започне от преглеждането на мрежовите връзки до ефективните разрешения на обектите на файловата система.
Но първо ще преминем през хипотетичен примерен сценарий, за да видим как можете да използвате редица инструменти заедно, за да решите проблем и да направите някои изследвания за това, което се случва.
Не винаги има само един инструмент за работа - много по-добре е да ги използвате заедно. Ето един пример за сценарий, който да ви даде представа как да се справите с разследването, въпреки че заслужава да се отбележи, че има много начини да разберете какво става. Това е само един бърз пример, който може да помогне за илюстрирането и в никакъв случай не е точен списък на стъпките, които трябва да следвате.
Сценарий: Системата работи бавно, има съмнения за злонамерен софтуер
Първото нещо, което трябва да направите, е да отворите Process Explorer и да видите какви процеси използват ресурси в системата. След като идентифицирате процеса, трябва да използвате вградените инструменти в Process Explorer, за да проверите действителността на процеса, да сте сигурни, че е легитимен и по избор да сканирате този процес за вируси, като използвате вградената интеграция на VirusTotal.
Този процес всъщност е помощна програма SysInternals, но ако не беше така, щяхме да го проверим. Забележка:ако наистина смятате, че може да има злонамерен софтуер, често е полезно да изключите или да деактивирате достъпа до интернет на тази машина, докато отстранявате неизправности, въпреки че може да искате да направите първо търсенето на VirusTotal. В противен случай зловредният софтуер може да изтегли повече злонамерен софтуер или да предаде повече информация.
Ако процесът е напълно легитимен, убийте или рестартирайте процеса на нарушение и прекоси пръстите си, че това е грешка. Ако не искате този процес да започне повече, можете или да го деинсталирате, или да използвате "Автоматични", за да спрете процеса да се зарежда при стартиране.
Ако това не разреши проблема, може би е време да извадите Process Monitor и да анализирате процесите, които вече сте идентифицирали, и да разберете какво се опитват да получат. Това може да ви даде улики в това, което всъщност се случва - може би процесът се опитва да получи достъп до ключ или файл в регистъра, който не съществува или няма достъп до него, или може би просто се опитва да отвлече всички ваши файлове и правят много скитник неща като достъп до информация, която вероятно не трябва, или сканиране на целия си диск, без основателна причина.
Освен това, ако подозирате, че приложението се свързва с нещо, което не би трябвало, което е много често срещано в случай на шпионски софтуер, бихте извадили помощната програма TCPView, за да проверите дали е така.
В този момент може би сте установили, че процесът е злонамерен софтуер или в crapware. Така или иначе не го искаш. Можете да преминете през процеса на деинсталиране, ако са изброени в списъка "Деинсталиране на програми" на контролния панел, но многократно не са изброени или не се почистват правилно. Това е, когато извадите Autoruns и намерете всяко място, което приложението е закачило в стартирането, и ги отстрани от там, и след това ядете всички файлове.
Извършването на цялостно вирусно сканиране на вашата система също е полезно, но нека да бъдем честни ... повечето crapware и шпионски програми се инсталират въпреки инсталирането на антивирусни приложения. В нашия опит повечето антивируси ще щастливо докладват "всичко ясно", докато вашият компютър едва може да работи поради шпионски и шпионски софтуер.
Тази програма е чудесен начин да видите какви приложения на вашия компютър се свързват с какви услуги в мрежата. Можете да видите по-голямата част от тази информация в командния ред, използвайки netstat или погребан в интерфейса Process Explorer / Monitor, но е много по-лесно просто да отворите TCPView и да видите какво се свързва с това.
Цветовете в списъка са доста прости и сходни с другите помощни програми - ярко зеленото означава, че връзката се появи, червеното означава, че връзката се затваря, а жълтото означава, че връзката е променена.
Можете също така да разгледате свойствата на процеса, да прекратите процеса, да затворите връзката или да изтеглите отчет на Whois. Това е проста, функционална и много полезна.
Забележка:Когато заредите TCPView за първи път, може да видите тон от връзки от [System Process] до всички видове интернет адреси, но това обикновено не е проблем. Ако всички връзки са в състояние TIME_WAIT, това означава, че връзката е затворена и няма процес, по който да се свърже връзката, така че те трябва да бъдат зададени като PID 0, тъй като няма PID, за да я присвоите ,
Това обикновено се случва, когато заредите TCPView, след като сте се свързали с куп неща, но трябва да изчезне, след като всички връзки се затварят и поддържате TCPView отворен.
Показва информация за системния процесор и всички функции. Някога се чудите дали вашият процесор е 64-битов или ако поддържа хардуерно базирана виртуализация? Можете да видите всичко това и много, много повече с помощта на coreinfo. Това може да бъде наистина полезно, ако искате да видите дали по-старият компютър може да стартира 64-битовата версия на Windows или не.
Тази програма изпълнява едно и също нещо, което Process Explorer прави - можете бързо да търсите, за да разберете кой процес има отворена дръжка, която блокира достъпа до ресурс или от изтриване на ресурс. Синтаксисът е доста прост:
дръжка
И ако искате да затворите дръжката, можете да използвате шестнадесетичния код на дръжката (с -c) в списъка, комбиниран с ID на процеса (превключвателя -p), за да го затворите.
handle -c -p
Вероятно е много по-лесно да използвате Process Explorer за тази задача.
Подобно на Process Explorer, тази помощна програма показва списъците на DLL, които се зареждат като част от процеса. Много по-лесно е да използвате Process Explorer, разбира се.
Тази помощна програма анализира физическата ви памет с много различни начини за визуализиране на паметта, включително чрез физически страници, където можете да видите местоположението в оперативната памет, в която се зарежда всеки изпълним файл.
Ако виждате странен URL адрес като низ в някои софтуерни пакети, е време да се притеснявате. Как ще видите тази странна струна? Използване на помощната програма за низове от командния ред (или използване на функцията в Process Explorer вместо това).
Следващата страница: Конфигуриране на автоматично зареждане и ShellRunAs
