Pakke opp og bruke verktøyene sammen
Vi er på slutten av vår SysInternals-serie, og det er på tide å pakke opp alt ved å snakke om alle de små verktøyene som vi ikke dekker gjennom de første ni leksjonene. Det er definitivt mange verktøy i dette settet.
SCHOOL NAVIGASJON- Hva er SysInternals Tools og hvordan bruker du dem?
- Forstå Process Explorer
- Bruk Prosess Explorer til Feilsøking og diagnostisering
- Forstå prosessovervåking
- Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
- Ved hjelp av Autoruns å håndtere oppstartsprosesser og malware
- Bruke BgInfo til å vise systeminformasjon på skrivebordet
- Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
- Analysere og administrere filer, mapper og stasjoner
- Pakke opp og bruke verktøyene sammen
Vi har lært hvordan du bruker Process Explorer til å feilsøke ustyrlige prosesser på systemet, og Process Monitor for å se hva de gjør under hetten. Vi har lært om Autoruns, et av de kraftigste verktøyene for å håndtere malwareinfeksjoner, og PsTools for å kontrollere andre PCer fra kommandolinjen.
I dag skal vi dekke de gjenværende verktøyene i settet, som kan brukes til alle mulige formål, alt fra å se nettverkstilkoblinger for å se effektive tillatelser på filsystemobjekter.
Men først vil vi gå gjennom et hypotetisk eksempel scenario for å se hvordan du kan bruke et antall verktøy sammen for å løse et problem og gjøre litt forskning på hva som skjer.
Hvilket verktøy skal du bruke?
Det er ikke alltid bare ett verktøy for jobben - det er mye bedre å bruke dem alle sammen. Her er et eksempel scenario for å gi deg en ide om hvordan du kan takle undersøkelsen, selv om det er verdt å merke seg at det finnes noen måter å finne ut hva som skjer. Dette er bare et raskt eksempel for å illustrere, og er på ingen måte en nøyaktig liste over trinn som skal følges.
Scenario: Systemet kjører sakte, mistenkt skadelig programvare
Det første du bør gjøre er å åpne Prosess Explorer og se hvilke prosesser som bruker opp ressurser på systemet. Når du har identifisert prosessen, bør du bruke de innebygde verktøyene i Process Explorer for å kontrollere hva prosessen egentlig er, sørg for at det er legitimt, og eventuelt skan den prosessen for virus ved hjelp av den innebygde VirusTotal-integrasjonen.
Denne prosessen er faktisk et SysInternals-verktøy, men hvis det ikke var det, ville vi sjekke det.Merk: Hvis du virkelig tror det kan være skadelig programvare, er det ofte nyttig å koble fra eller deaktivere Internett-tilgang på den maskinen mens du feilsøker, selv om du kanskje vil gjøre VirusTotal-oppslag først. Ellers kan skadelig programvare laste ned flere skadelige programmer, eller overføre mer informasjon.
Hvis prosessen er helt legitim, drep eller start den overordnede prosessen, og kryss fingrene at det var et fluke. Hvis du ikke vil at denne prosessen skal starte lenger, kan du enten avinstallere den eller bruke Autoruns for å stoppe prosessen fra lasting ved oppstart.
Hvis det ikke løser problemet, kan det være på tide å trekke ut Prosess Monitor og analysere prosessene du allerede har identifisert, og finne ut hva de prøver å få tilgang til. Dette kan gi deg ledetråder til hva som skjer - kanskje prosessen prøver å få tilgang til en registernøkkel eller en fil som ikke eksisterer eller den ikke har tilgang til, eller kanskje det bare prøver å kapre alle filene dine og gjør mange sketchy ting som å få tilgang til informasjon som det sannsynligvis ikke burde skje eller skanne hele stasjonen din uten god grunn.
I tillegg, hvis du mistenker at programmet kobler til noe som det ikke bør, noe som er veldig vanlig i tilfelle spyware, vil du trekke ut TCPView-verktøyet for å bekrefte om det er tilfelle.
På dette tidspunktet har du kanskje bestemt at prosessen er skadelig programvare eller på crapware. Uansett vil du ikke ha det. Du kan kjøre gjennom avinstalleringsprosessen hvis de er oppført i Kontrollpanelens avinstalleringsprogramliste, men mange ganger er de ikke oppført eller ikke ryddet opp riktig. Dette er når du trekker ut Autoruns og finner hvert sted som programmet har hekta seg i oppstarten, og nøkle dem derfra, og deretter nøkne alle filene.
Kjører en full virus skanning av systemet ditt er også nyttig, men vær ærlig ... de fleste crapware og spyware blir installert til tross for at antivirusprogrammer blir installert. I vår erfaring vil de fleste anti-virus lykkelig rapportere "helt klart" mens PC-en din knapt kan fungere på grunn av spyware og crapware.
TCPView
Dette verktøyet er en fin måte å se hvilke applikasjoner på datamaskinen din kobler til hvilke tjenester over nettverket. Du kan se mesteparten av denne informasjonen på kommandoprompten ved hjelp av netstat eller begravet i grensesnittet Process Explorer / Monitor, men det er mye lettere å bare åpne TCPView og se hva som kobles til hva.
Fargene i listen er ganske enkle og ligner på de andre verktøyene - lysegrønn betyr at forbindelsen bare viste seg, rød betyr at tilkoblingen er avsluttet, og gul betyr at forbindelsen endret seg.
Du kan også se på prosessegenskapene, avslutte prosessen, lukke tilkoblingen eller trekke opp en Whois-rapport. Det er enkelt, funksjonelt og veldig nyttig.
Merk: Når du først legger inn TCPView, kan du se et antall tilkoblinger fra [Systemprosess] til alle slags internettadresser, men dette er vanligvis ikke et problem. Hvis alle tilkoblingene er i TIME_WAIT-tilstanden, betyr det at tilkoblingen blir stengt, og det er ikke en prosess å tilordne tilkoblingen til, så de skal opp som tildelt til PID 0 siden det ikke er PID å tildele det til.
Dette skjer vanligvis når du laster opp TCPView etter at du har koblet til en haug med ting, men det bør gå vekk når alle tilkoblingene er nære og du holder TCPView åpen.
Coreinfo
Viser informasjon om system-CPU og alle funksjonene. Noen gang lurt på om CPUen din er 64-bit eller hvis den støtter maskinvarebasert virtualisering? Du kan se alt det og mye, mye mer med coreinfo-verktøyet. Dette kan være veldig nyttig hvis du vil se om en eldre datamaskin kan kjøre 64-bitersversjonen av Windows eller ikke.
Håndtak
Dette verktøyet gjør det samme som Process Explorer gjør - du kan raskt søke for å finne ut hvilken prosess som har et åpent håndtak som blokkerer tilgang til en ressurs, eller fra å slette en ressurs. Syntaxen er ganske enkel:
håndtak
Og hvis du vil lukke håndtaket, kan du bruke den heksadesimale håndtakskoden (med -c) i listen kombinert med prosess-ID (-p-bryteren) for å lukke den.
håndtere -c-p
Det er trolig mye enklere å bruke Process Explorer til denne oppgaven.
ListDlls
På samme måte som Prosess Explorer, viser dette verktøyet de DLLer som er lastet som en del av en prosess. Det er mye enklere å bruke Process Explorer, selvfølgelig.
RamMap
Dette verktøyet analyserer din fysiske minnebruk, med mange ulike måter å visualisere minnet på, blant annet ved fysiske sider, hvor du kan se plasseringen i RAM som hver kjørbar er lastet inn i.
Strings finner menneskelig lesbar tekst i apper og DLLer
Hvis du ser en merkelig URL som en streng i noen programvarepakke, er det på tide å bekymre deg. Hvordan ville du se den rare strengen? Bruke strengerverktøyet fra ledeteksten (eller bruk funksjonen i Process Explorer istedet).
Neste side: Konfigurere automatisk pålogging og ShellRunAs