ISKOLAI NAVIGÁCIÓ
- Mi a SysInternals eszközök és hogyan használja őket?
- A folyamatérzékelő megértése
- A Folyamatérzékelő használata a hibaelhárításhoz és a diagnosztizáláshoz
- A folyamatfigyelő megértése
- A Folyamatmonitor használata a Hibaelhárítás és a Regisztrációs Hackok kereséséhez
- Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
- A BgInfo használatával megjeleníti a rendszerinformációkat az asztalon
- A PsTools használatával más számítógépek vezérlése a parancssorból
- A fájlok, mappák és meghajtók elemzése és kezelése
- Felhúzás és az eszközök együttes használata
Megtanultuk, hogyan használjuk a Process Explorer programot a rendszertelen folyamatok hibáinak elhárítására, és a Process Monitorot, hogy megnézzük, mit csinálnak a motorháztető alatt. Megtudtuk az Autoruns-t, az egyik leghatékonyabb eszközt a rosszindulatú szoftverek fertőzésének kezelésére, és a PsTools-ot, hogy ellenőrizzék a többi PC-t a parancssorból.
Ma megpróbáljuk lefedni a készlet többi segédprogramját, amely mindenféle célra felhasználható, a hálózati kapcsolatok megtekintésétől kezdve a fájlrendszer-objektumok hatékony engedélyeinek megtekintéséhez.
Először is elmélkedünk egy hipotetikus példamutatón, hogy megnézzük, hogyan használhatunk együtt számos eszközt a probléma megoldásához, és megvizsgálhatjuk, hogy mi folyik itt.
Melyik eszközt kell használni?
Nincs mindig egyetlen eszköz a munkához - sokkal jobb, ha együtt használod őket. Itt van egy példa a forgatókönyvre, hogy elmondhasson arról, hogyan kezelheti a vizsgálatot, bár érdemes megjegyezni, hogy számos módja van arra, hogy kitaláljuk, mi folyik itt. Ez csak egy gyors példa az illusztráció érdekében, és semmiképpen sem a pontos lépések felsorolása.
Szcenárió: A rendszer fut, lassú, feltehetően rosszindulatú program
Az első dolog, amit tennie kell, fel kell nyitnia a Process Explorer programot, és meg kell vizsgálnia, hogy a folyamatok mely erőforrásokat használnak a rendszeren. A folyamat azonosítása után a Process Explorerben lévő beépített eszközöket kell ellenőriznie, hogy ellenőrizze, mi a folyamat valójában, győződjön meg róla, hogy törvényes, és opcionálisan beolvassa azt a vírusokat a beépített VirusTotal integrációval.
Jegyzet:Ha valóban úgy gondolja, hogy rosszindulatú programot okozhat, akkor gyakran hiba esetén húzza ki vagy tiltsa le az internetkapcsolatot az adott gépen, de előfordulhat, hogy először a VirusTotal lekérdezéseket szeretné végrehajtani. Ellenkező esetben a rosszindulatú szoftverek több kártékony programot tölthetnek le, vagy több információt továbbítanak.
Ha a folyamat teljesen jogszerű, akkor ölje meg vagy indítsa újra a sértő eljárást, és ujjaival átsétáljon arról, hogy ez hiba volt. Ha nem akarja, hogy ez a folyamat többé elinduljon, eltávolíthatja azt, vagy az Autoruns segítségével megakadályozhatja a folyamatot a betöltéskor indításkor.
Ha ez nem oldja meg a problémát, előfordulhat, hogy el kell távolítania a Folyamatfigyelőt és elemeznie kell azokat a folyamatokat, amelyeket már megtalált, és kitaláljátok, hogy mit próbálnak elérni. Ez nyomon követheti a valójában zajló eseményeket - talán a folyamat megpróbál hozzáférni egy olyan rendszerleíró kulcshoz vagy fájlhoz, amely nem létezik, vagy nem fér hozzá, vagy talán csak az összes fájlt próbálja eltulajdonítani és olyan rengeteg vázlatos dolgot csinálhat, mint az olyan információkhoz való hozzáférés, amelyeknek valószínűleg nem kellene, vagy nem kell ok nélkül megvizsgálni az egész meghajtót.
Továbbá, ha gyanítja, hogy az alkalmazás valami olyasmire csatlakozik, amelyet nem szabad, ami nagyon gyakori a kémprogramok esetében, húzza ki a TCPView segédprogramot annak ellenőrzésére, hogy ez a helyzet.
Ezen a ponton megállapíthatta, hogy a folyamat rosszindulatú program vagy rosszindulatú program. Akárhogyan sem akarod. Futtathatja az eltávolítási folyamatot, ha a Vezérlőpult Uninstall Programs listáján szerepel, de sokszor nem szerepel a listán, vagy nem megfelelően tisztít. Ez az az idő, amikor kihúzza az Autoruns-t, és megtalálja minden olyan helyet, amelyet az alkalmazás bekapcsolt az indításhoz, és onnan dobja le őket, majd hajtsa végre az összes fájlt.
Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.
TCPView
Ez a segédprogram nagyszerű módja annak, hogy megtekinthesse, milyen alkalmazásokat használ a számítógép a hálózaton keresztül nyújtott szolgáltatásokhoz. A legtöbb információ a parancssorban látható a netstat segítségével, vagy a Process Explorer / Monitor felületen van eltemetve, de sokkal könnyebb csak megnyitni a TCPView megnyitását, és megnézni, hogy mi kapcsolódik hozzá.
A listában szereplő színek nagyon egyszerűek és hasonlóak a többi segédprogramhoz - világos zöld azt jelenti, hogy a kapcsolat csak megjelenik, a piros azt jelenti, hogy a kapcsolat bezáródik, és a sárga azt jelenti, hogy a kapcsolat megváltozott.
Megtekintheti a folyamat tulajdonságait, befejezheti a folyamatot, lezárhatja a kapcsolatot, vagy felveheti a Whois-jelentést. Ez egyszerű, funkcionális és nagyon hasznos.
Jegyzet:A TCPView első betöltésekor előfordulhat, hogy egy csomó kapcsolatot lát el a [Rendszerfolyamat] és az összes internetcím között, de ez általában nem jelent problémát. Ha az összes kapcsolat a TIME_WAIT állapotban van, ez azt jelenti, hogy a kapcsolat bezáródik, és nincs folyamat a kapcsolat hozzárendelésére, ezért a PID 0-nak megfelelően fel kell rendelniük, mivel nincs PID-kód, amelyhez hozzá lehet rendelni.
Ez általában akkor következik be, amikor betölti a TCPView-et, miután összekapcsolt egy csomó dolgot, de el kell mennie, miután minden kapcsolat bezáródik, és a TCPView nyitva marad.
Coreinfo
Információkat jelenít meg a rendszer CPU-járól és az összes szolgáltatásról. Valaha azon tűnődött, hogy a CPU 64 bites, vagy ha támogatja a hardveres virtualizációt? Láthatja mindezt, sőt sokkal többet az alapinformációs segédprogrammal. Ez nagyon hasznos lehet, ha meg szeretné tudni, hogy egy régebbi számítógép futtathatja-e a Windows 64 bites verzióját.
Fogantyú
Ez a segédprogram ugyanazt teszi, mint amit a Folyamatérzékelő teszi - gyorsan megtalálhatja, hogy melyik folyamat rendelkezik nyitott fogantyúval, amely blokkolja az erőforrásokhoz való hozzáférést vagy egy erőforrás törlését. A szintaxis nagyon egyszerű:
handle
És ha bezárja a fogantyút, a bezárásához használja a hexadecimális fogantyúkódot (a -c) a folyamatazonosítóval kombinált listában (-p-kapcsoló).
handle -c -p
ListDlls
Csakúgy, mint a Process Explorer, ez a segédprogram felsorolja azokat a DLL-eket, amelyeket egy folyamat részeként töltenek be. Természetesen sokkal könnyebb használni a Process Explorer programot.
RamMap
Ez a segédprogram elemzi a fizikai memóriahasználatot, sok különböző módon megjeleníti a memóriát, beleértve a fizikai oldalakat is, ahol láthatja a helyet a RAM-ban, amelyet minden egyes végrehajtható fájl betöltött.
A karakterláncok humán olvasható szövegeket találnak az alkalmazásokban és a DLL-ben
Ha valamelyik szoftvercsomagban egy furcsa URL-t látsz stringként, itt az ideje aggódni. Hogy fogod látni ezt a furcsa sztringet? Használja a stringek segédprogramot a parancssorból (vagy használja a funkciót a Process Explorerben).
