Laman » sekolah » Bungkus dan Menggunakan Alat Bersama

    Bungkus dan Menggunakan Alat Bersama

    Kami berada di penghujung siri SysInternals kami, dan sudah tiba masanya untuk membungkus segala-galanya dengan membicarakan semua utiliti kecil yang tidak kami sampaikan melalui sembilan pelajaran pertama. Terdapat banyak alat dalam kit ini.

    NAVIGASI SEKOLAH
    1. Apakah Alat SysInternals dan Bagaimana Anda Menggunakannya?
    2. Memahami Proses Explorer
    3. Menggunakan Explorer Proses untuk Menyelesaikan Masalah dan Diagnosa
    4. Memahami Proses Monitor
    5. Menggunakan Monitor Proses untuk Memecahkan Masalah dan Cari Hacks Pendaftaran
    6. Menggunakan Autoruns untuk Berurusan dengan Proses Permulaan dan Malware
    7. Menggunakan BgInfo untuk Memaparkan Maklumat Sistem pada Desktop
    8. Menggunakan PsTools untuk Mengawal PC Lain dari Barisan Perintah
    9. Menganalisa dan Mengurus Fail, Folder dan Pemacu Anda
    10. Bungkus dan Menggunakan Alat Bersama

    Kami telah belajar cara menggunakan Process Explorer untuk menyelesaikan masalah proses yang tidak teratur pada sistem, dan Proses Monitor untuk melihat apa yang mereka lakukan di bawah hud. Kami telah belajar tentang Autoruns, salah satu alat yang paling berkuasa untuk menangani jangkitan malware, dan PsTools untuk mengawal PC lain dari baris arahan.

    Hari ini kita akan menampung utiliti yang tinggal di dalam kit, yang boleh digunakan untuk pelbagai tujuan, mulai dari melihat sambungan rangkaian untuk melihat keizinan yang berkesan pada objek sistem fail.

    Tetapi pertama, kita akan melalui senario contoh hypothetical untuk melihat bagaimana anda boleh menggunakan beberapa alat bersama untuk menyelesaikan masalah dan melakukan penyelidikan mengenai apa yang berlaku.

    Alat Yang Harus Anda Gunakan?

    Tidak semestinya hanya satu alat untuk kerja - lebih baik menggunakannya bersama-sama. Berikut adalah contoh senario untuk memberi anda idea tentang bagaimana anda boleh menangani siasatan, walaupun perlu diperhatikan bahawa terdapat beberapa cara untuk mengetahui apa yang sedang berlaku. Ini hanya contoh cepat untuk membantu menggambarkan, dan tidak semestinya senarai langkah yang tepat untuk diikuti.

    Senario: Sistem Running Slow, Malware yang disyaki

    Perkara pertama yang perlu anda lakukan ialah membuka Process Explorer dan melihat proses menggunakan sumber-sumber di sistem. Sebaik sahaja anda mengenal pasti proses tersebut, anda harus menggunakan alat terbina dalam Process Explorer untuk mengesahkan prosesnya sebenarnya, pastikan ia sah, dan mengimbas secara pilihan proses itu untuk virus menggunakan integrasi VirusTotal terbina dalam.

    Proses ini sebenarnya merupakan utiliti SysInternals, tetapi jika tidak, kami akan menyemaknya.

    Catatan: jika anda benar-benar berfikir mungkin terdapat perisian hasad, sering membantu untuk mencabut atau melumpuhkan akses internet pada mesin itu semasa menyelesaikan masalah, walaupun anda mungkin ingin melakukan pemeriksaan VirusTotal terlebih dahulu. Jika tidak, malware itu mungkin memuatkan lebih banyak perisian hasad, atau menghantar lebih banyak maklumat anda.

    Sekiranya proses itu benar-benar sah, bunuh atau mulakan semula proses yang menyinggung itu, dan lepasan jari anda bahawa ia adalah kebetulan. Sekiranya anda tidak mahu proses itu bermula lagi, anda sama ada boleh menyahpasangnya, atau menggunakan Autoruns untuk menghentikan proses dari pemuatan pada permulaan.

    Jika itu tidak menyelesaikan masalah, mungkin ada masa untuk menarik Monitor Proses dan menganalisis proses yang telah anda kenali dan mengetahui apa yang mereka cuba akses. Ini boleh memberi petunjuk kepada apa yang sedang berlaku - mungkin proses ini cuba mengakses kunci atau fail pendaftaran yang tidak wujud atau tidak mempunyai akses ke, atau mungkin ia hanya cuba merampas semua fail anda dan melakukan banyak perkara yang samar seperti mengakses maklumat yang mungkin tidak seharusnya, atau mengimbas seluruh pemacu anda tanpa alasan yang baik.

    Di samping itu, jika anda mengesyaki bahawa aplikasi itu menyambung kepada sesuatu yang tidak seharusnya, yang sangat biasa dalam kes spyware, anda akan mengeluarkan utiliti TCPView untuk mengesahkan sama ada itu.

    Pada ketika ini anda mungkin telah menentukan bahawa proses itu adalah malware atau pada crapware. Sama ada anda tidak mahu. Anda boleh menjalankan proses penyahpepijatan jika mereka disenaraikan dalam senarai Program Penginstalan Panel Kawalan, tetapi banyak kali mereka tidak disenaraikan atau tidak dibersihkan dengan betul. Ini adalah apabila anda mengeluarkan Autoruns dan mencari setiap tempat yang aplikasinya disambungkan ke permulaan, dan nuke mereka dari sana, dan kemudian nuke semua fail.

    Menjalankan pengimbasan virus penuh sistem anda juga berguna, tetapi semestinya jujur ​​... kebanyakan crapware dan spyware akan dipasang walaupun aplikasi anti-virus dipasang. Dalam pengalaman kami, kebanyakan anti-virus dengan gembira melaporkan "semua jelas" sementara PC anda hampir tidak boleh beroperasi kerana spyware dan crapware.

    TCPView

    Utiliti ini adalah cara yang baik untuk melihat apa aplikasi di komputer anda yang menyambung ke perkhidmatan apa yang ada di rangkaian. Anda boleh melihat kebanyakan maklumat ini pada arahan arahan menggunakan netstat, atau dikebumikan dalam antara muka Proses Explorer / Monitor, tetapi lebih mudah untuk hanya membuka TCPView terbuka dan melihat apa yang menghubungkan dengan apa yang.

    Warna dalam senarai itu cukup mudah dan serupa dengan utiliti lain - hijau terang bermakna bahawa sambungan hanya muncul, merah bermaksud sambungan sedang ditutup, dan kuning bermakna sambungan berubah.

    Anda juga boleh melihat sifat proses, menamatkan proses, menutup sambungan, atau menarik laporan Whois. Ia mudah, berfungsi, dan sangat berguna.

    Catatan: Apabila anda mula-mula memuat TCPView, anda mungkin melihat satu tan sambungan dari [Proses Sistem] ke semua jenis alamat internet, tetapi ini biasanya tidak menjadi masalah. Sekiranya semua sambungan berada dalam keadaan TIME_WAIT, ini bermakna bahawa sambungan sedang ditutup, dan tidak ada satu proses untuk menyerahkan sambungan kepada, jadi mereka sepatutnya diberikan kepada PID 0 kerana tidak ada PID untuk memberikannya kepada.

    Ini biasanya berlaku apabila anda memuatkan TCPView selepas disambungkan kepada banyak perkara, tetapi ia harus hilang selepas semua sambungan ditutup dan anda menyimpan TCPView terbuka.

    Coreinfo

    Menunjukkan maklumat mengenai CPU sistem dan semua ciri. Pernah bertanya-tanya apakah CPU anda adalah 64-bit atau jika ia menyokong virtualisasi berasaskan perkakasan? Anda boleh melihat semua itu dan banyak lagi dengan utiliti coreinfo. Ini boleh menjadi sangat berguna jika anda mahu melihat sama ada komputer lama boleh menjalankan Windows versi 64-bit atau tidak.

     

    Mengendalikan

    Utiliti ini melakukan perkara yang sama yang dilakukan oleh Process Explorer - anda boleh dengan cepat mencari untuk mengetahui proses mana yang mempunyai pemegang terbuka yang menyekat akses ke sumber, atau memadam sumber. Sintaksnya agak mudah:

    mengendalikan

    Dan jika anda ingin menutup pemegang, anda boleh menggunakan kod pemegang hexadecimal (dengan -c) dalam senarai yang digabungkan dengan ID proses (suis -p) untuk menutupnya.

    mengendalikan -c -p

    Mungkin lebih mudah untuk menggunakan Process Explorer untuk tugas ini.

    ListDlls

    Sama seperti Process Explorer, utiliti ini menyenaraikan DLL yang dimuat sebagai sebahagian daripada proses. Sudah tentu lebih mudah untuk menggunakan Process Explorer, tentu saja.

    RamMap

    Utiliti ini menganalisis penggunaan memori fizikal anda, dengan banyak cara yang berbeza untuk memvisualisasikan memori, termasuk oleh halaman fizikal, di mana anda dapat melihat lokasi dalam RAM yang setiap laksana dimuatkan ke dalam.

    Strings Cari Teks Boleh Dibaca Manusia dalam Aplikasi dan DLL

    Jika anda melihat URL pelik sebagai rentetan dalam beberapa pakej perisian, sudah tiba masanya untuk dibimbangkan. Bagaimana anda akan melihat rentetan aneh itu? Menggunakan utiliti rentetan dari arahan prompt (atau menggunakan fungsi dalam Proses Explorer sebaliknya).

    Halaman seterusnya: Mengkonfigurasi Logon Auto dan ShellRunAs