Olemme SysInternals-sarjan lopussa, ja on aika kääriä kaiken puhumalla kaikista pienistä apuohjelmista, joita emme käsittele ensimmäisten yhdeksän oppitunnin kautta. Tässä pakkauksessa on varmasti paljon työkaluja.
Koulun navigointiOlemme oppineet käyttämään Process Explorer -ohjelmaa vianmäärityksessä systeemien epäluotettavien prosessien vianmäärityksessä ja Process Monitor -ohjelman avulla, jotta näet, mitä he tekevät koneen alla. Olemme oppineet Autorunsista, joka on yksi tehokkaimmista työkaluista haittaohjelmatartuntojen käsittelemiseksi ja PsToolsin hallitsemaan muita tietokoneita komentoriviltä.
Tänään aiomme kattaa sarjan jäljellä olevat apuohjelmat, joita voidaan käyttää kaikenlaisiin tarkoituksiin, jotka ulottuvat verkkoyhteyksien katselemisesta, jotta voisivat nähdä tehokkaat käyttöoikeudet tiedostojärjestelmien objekteissa.
Mutta ensin käymme läpi hypoteettisen esimerkkis skenaarion nähdäksesi kuinka voit käyttää useita työkaluja yhdessä ongelman ratkaisemiseksi ja tehdä tutkimusta siitä, mitä tapahtuu.
Työssä ei ole aina vain yhtä työkalua - on paljon parempi käyttää niitä yhdessä. Tässä on esimerkki skenaariosta, joka antaa sinulle käsityksen siitä, miten voit käsitellä tutkimusta, vaikka onkin huomattava, että on olemassa useita tapoja selvittää, mitä tapahtuu. Tämä on vain nopea esimerkki havainnollistamiseen, eikä se ole tarkka luettelo noudatettavista vaiheista.
Skenaario: Järjestelmä on käynnissä hidas, epäilty haittaohjelma
Ensimmäinen asia, jonka pitäisi tehdä, on avata Process Explorer ja katso, mitä prosessit käyttävät resursseja järjestelmään. Kun olet tunnistanut prosessin, sinun on käytettävä sisäänrakennettuja työkaluja Process Explorerissa varmistaakseen, mikä prosessi todella on, varmista, että se on oikeutettu ja valinnaisesti tarkistaa kyseinen prosessi viruksille sisäänrakennetulla VirusTotal-integraatiolla.
Tämä prosessi on itse asiassa SysInternals-apuohjelma, mutta jos ei olisi, olisimme tarkistamassa sitä. Huomautus:jos todella oletetaan, että haittaohjelmia saattaa esiintyä, on usein hyödyllistä irrottaa tai poistaa käytöstä internetyhteys kyseisessä koneessa vianmäärityksen aikana, vaikka ehkä haluat tehdä ensin VirusTotal-haun. Muussa tapauksessa haittaohjelmat saattavat ladata lisää haittaohjelmia tai lähettää enemmän tietoja.
Jos prosessi on täysin laillinen, tappaa tai käynnistää rikkomus ja ristiriidassa sormesi kanssa, että se oli huijaus. Jos et halua, että prosessi käynnistyy enää, voit joko poistaa sen tai käyttää Autorunsia lopettamaan lataamisen käynnistyksen yhteydessä.
Jos tämä ei ratkaise ongelmaa, saattaa olla aika vetää Process Monitor ja analysoida prosessit, jotka olet jo tunnistanut ja selvitä, mitä he yrittävät käyttää. Tämä voi antaa sinulle vihjeitä siihen, mitä todella tapahtuu - ehkä prosessi yrittää käyttää rekisteriavainta tai -tiedostoa, jota ei ole olemassa tai jolla ei ole pääsyä tai ehkä vain yrittää kaapata kaikki tiedostosi ja tehdä paljon sketchy asioita, kuten saada tietoja, joita se luultavasti ei pitäisi, tai skannaa koko asema mitään hyvää syytä.
Lisäksi, jos epäilet, että sovellus on yhteydessä jotain, jota ei pitäisi käyttää, mikä on hyvin yleistä vakoiluohjelmien tapauksessa, vedä TCPView-apuohjelma ja tarkista, onko kyse.
Tässä vaiheessa olet ehkä päättänyt, että prosessi on haittaohjelma tai crapware. Joko niin et halua sitä. Voit suorittaa asennuksen poistamisprosessin, jos ne on lueteltu Ohjauspaneelin Poistaohjelmat-luettelossa, mutta monta kertaa ne eivät ole luettelossa tai älä puhdista kunnolla. Tämä on silloin, kun vedät Autorunsit ja löydät joka paikka, johon sovellus on koukussa käynnistykseen, ja nuke heitä sieltä ja sitten lataa kaikki tiedostot.
Järjestelmän täydellinen virustarkistus on myös hyödyllinen, mutta anna olla rehellinen ... useimmat crapware- ja spyware-ohjelmat asennetaan huolimatta siitä, että virustorjuntasovelluksia asennetaan. Kokemuksemme mukaan useimmat virustentorjunta ovat mielellään raportoineet "kaikki selvät", kun taas tietokoneesi voi tuskin toimia vakoiluohjelmien ja crapware-ohjelmien vuoksi.
Tämä apuohjelma on erinomainen tapa nähdä, mitä tietokoneesi sovelluksia yhdistää mihin verkon palveluihin. Suurin osa näistä tiedoista on näkyvissä komentorivillä netstatin avulla tai haudattu Process Explorer / Monitorin käyttöliittymään, mutta on helpompi vain ponnahtaa avoin TCPView ja katsoa, mikä liittyy siihen.
Luettelossa olevat värit ovat melko yksinkertaisia ja samanlaisia kuin muut apuohjelmat - kirkkaan vihreä tarkoittaa, että yhteys on juuri ilmestynyt, punainen tarkoittaa, että yhteys sulkeutuu ja keltainen tarkoittaa, että yhteys muuttui.
Voit myös tarkastella prosessin ominaisuuksia, lopettaa prosessin, sulkea yhteyden tai vetää Whois-raportin. Se on yksinkertainen, toimiva ja erittäin hyödyllinen.
Huomautus:Kun lataat ensin TCPView-sovelluksen, saatat nähdä useita yhteyksiä [Järjestelmäprosessista] kaikenlaisiin Internet-osoitteisiin, mutta tämä ei yleensä ole ongelma. Jos kaikki yhteydet ovat TIME_WAIT-tilassa, se tarkoittaa, että yhteys suljetaan ja yhteyttä ei ole määritetty, joten niiden pitäisi olla PID 0: n määrittämiä, koska PID: tä ei ole määritetty .
Tämä tapahtuu yleensä, kun lataat TCPView-sovelluksen, kun olet liittynyt joukkoon asioita, mutta sen pitäisi mennä pois, kun kaikki yhteydet ovat lähellä ja pidät TCPView auki.
Näyttää järjestelmän keskusyksikön ja kaikkien ominaisuuksien tiedot. Oletko koskaan miettinyt, onko suorittimesi 64-bittinen vai onko se tue laitteistopohjaista virtualisointia? Näet kaiken tämän ja paljon enemmän Coreinfo-apuohjelmalla. Tämä voi olla todella hyödyllinen, jos haluat nähdä, voiko vanhempi tietokone käyttää 64-bittistä Windows-versiota vai ei.
Tämä apuohjelma toimii samalla tavalla kuin Process Explorer - voit etsiä nopeasti, mikä prosessi sisältää avoimen kädensijan, joka estää resurssin käytön tai poistaa resurssin. Syntaksi on melko yksinkertainen:
käsitellä
Ja jos haluat sulkea kahvan, voit sulkea sen heksadesimaalisen kädensijan koodin (-c) kanssa yhdessä prosessi-ID: n kanssa (-p-kytkin).
kahva -c -p
Prosessi Explorer on todennäköisesti helpompi käyttää tätä tehtävää varten.
Aivan kuten Process Explorer, tämä apuohjelma luetteloi DLL-tiedostot, jotka ladataan osana prosessia. Tietenkin on paljon helpompaa käyttää Process Explorer -ohjelmaa.
Tämä apuohjelma analysoi fyysisen muistin käytön, jossa on paljon eri tavoin visualisoida muisti, mukaan lukien fyysiset sivut, joissa voit nähdä RAM-muistin sijainnin jokaisesta suoritustiedostosta.
Jos näet outo-URL-osoitteen jonkin ohjelmistopaketin merkkijonona, on aika huolehtia. Kuinka näet, että outo merkkijono? Käytä merkkijono-apuohjelmaa komentokehotteesta (tai käytä toimintoa Process Explorer -ohjelmassa).
Seuraava sivu: Automaattisen sisäänkirjautumisen ja ShellRunA: n määrittäminen
