Tööriistade kokkuklapitamine ja kasutamine koos
Me oleme SysInternals'i seeria lõpus ja on aeg kõike üles kõnelda, rääkides kõigist väikestest kommunaalkuludest, mida me ei katnud esimese 9 õppetunni jooksul. Selles komplektis on kindlasti palju tööriistu.
KOOLI NAVIGATSIOON- Millised on SysInternals'i tööriistad ja kuidas neid kasutate?
- Protsessi Exploreri mõistmine
- Protsessi Exploreri kasutamine tõrkeotsinguks ja diagnoosimiseks
- Protsessimonitori mõistmine
- Process Monitori kasutamine registrihäirete tõrkeotsinguks ja leidmiseks
- Autorunsi kasutamine käivitusprotsesside ja pahavara käitlemiseks
- BgInfo kasutamine süsteemi teabe kuvamiseks töölaual
- PsTools kasutamine muude arvutite juhtimiseks käsurealt
- Failide, kaustade ja draivide analüüsimine ja haldamine
- Tööriistade kokkuklapitamine ja kasutamine koos
Oleme õppinud, kuidas kasutada protsessi Explorerit süsteemi tõrgeteta protsesside tõrkeotsinguks ja protsessi jälgimiseks, et näha, mida nad kapoti all teevad. Oleme õppinud Autorunssi, mis on üks kõige võimsamaid pahavarainfektsioonidega tegelemise vahendeid, ja PsTools, et juhtida käsurealt teisi arvuteid.
Täna me katame ülejäänud komplekti kommunaalteenused, mida saab kasutada igasugustel eesmärkidel, alates võrguühenduse vaatamisest kuni failisüsteemi objektide tõhusate õiguste vaatamiseni.
Kõigepealt jalutame läbi hüpoteetilise näite stsenaariumi, et näha, kuidas probleemi lahendamiseks kasutada mitmeid tööriistu ja teha uuringuid selle kohta, mis toimub.
Millist tööriista peaksite kasutama?
Töö jaoks pole alati ainult ühte tööriista - neid on palju parem kasutada koos. Siin on näide stsenaariumist, mis annab teile ettekujutuse sellest, kuidas uurimist võidelda, ehkki tasub märkida, et on olemas mitmeid viise, kuidas aru saada, mis toimub. See on vaid kiire näide illustreerimiseks ja pole mingil juhul järgitavate sammude täpne nimekiri.
Stsenaarium: süsteem töötab aeglaselt, kahtlustatakse pahavara
Esimene asi, mida sa peaksid tegema, on protsessi Explorer avamine ja näha, millised protsessid kasutavad süsteemis ressursse. Kui olete protsessi tuvastanud, peaksite kasutama protsessi Exploreri sisseehitatud tööriistu, et kontrollida, mis protsess tegelikult on, veenduge, et see on seaduslik ja skannige see protsess valikuliselt viiruste jaoks, kasutades integreeritud VirusTotali integratsiooni.
See protsess on tegelikult SysInternals'i utiliit, aga kui see poleks olnud, kontrolliksime seda.Märge: kui te tõesti arvate, et võib olla pahavara, on sageli kasulik tõmmata või keelata selle seadme internetiühendus tõrkeotsingu ajal, kuigi te võiksite kõigepealt teha VirusTotali otsinguid. Vastasel juhul võib pahavara alla laadida rohkem pahavara või edastada rohkem teavet.
Kui protsess on täiesti õiguspärane, siis tappa või taaskäivitada süütegud ja ületada sõrmed, et see oli fluke. Kui te ei soovi seda protsessi enam alustada, võite selle eemaldada või kasutada autorunssi protsessi peatamiseks käivitamisel.
Kui see ei lahenda probleemi, võib olla aeg tõmmata protsess ja jälgida juba tuvastatud protsesse ning selgitada välja, mida nad üritavad juurde pääseda. See võib anda teile vihjeid selle kohta, mis tegelikult toimub - võib-olla üritab protsess pääseda registrivõtmele või -failile, mida ei eksisteeri või millel ei ole ligipääsu või võib-olla üritab ta lihtsalt kõik failid kaaperdada ja tehke palju visuaalseid asju, näiteks juurdepääsu teabele, mida see ilmselt ei peaks, või kogu oma sõidu skaneerimine ilma mõjuva põhjuseta.
Lisaks, kui kahtlustate, et rakendus ühendab midagi, mida see ei tohiks, mis on nuhkvara puhul väga levinud, tõmmake TCPView utiliit välja, et kontrollida, kas see on nii.
Siinkohal oleksite võinud kindlaks teha, et protsess on pahavara või crapware. Mõlemal juhul sa ei taha seda. Eemaldamisprotsessi saab käivitada, kui need on loetletud loendis Control Panel (desinstalliprogrammid) Uninstall Programs (desinstalli programmid), kuid neid ei ole mitu korda loetletud või ei puhastata neid korralikult. See on siis, kui te tõmmate Autoruns'i välja ja leiate kõik kohad, kus rakendus on käivitu, ja laske neil sealt nuke ja seejärel tuua kõik failid.
Täielikult viirusekontrollimine teie süsteemis on samuti kasulik, kuid laseb ausalt ... enamik crapware ja nuhkvara saab installida, hoolimata viirusetõrje rakendustest. Meie kogemuste kohaselt teatab enamik viirusetõrjeid rõõmuga “kõik selgeid”, kui teie arvuti ei suuda spyware- ja crapware-tarkvara tõttu vaevalt töötada.
TCPView
See utiliit on suurepärane võimalus näha, millised rakendused teie arvutis ühenduvad võrguteenustega. Suuremat osa sellest teabest näete käsurealt netstat abil või maetud Protsessi Exploreri / Monitori liidesesse, kuid see on palju lihtsam lihtsalt avada TCPView ja vaadata, mis on sellega seotud.
Loendis olevad värvid on üsna lihtsad ja sarnased teiste kommunaalteenustega - erkroheline tähendab, et ühendus lihtsalt ilmus, punane tähendab, et ühendus on suletud ja kollane tähendab, et ühendus on muutunud.
Saate vaadata ka protsessi omadusi, lõpetada protsess, sulgeda ühendus või tõmmata Whois'i aruanne. See on lihtne, funktsionaalne ja väga kasulik.
Märge: Kui te TCPView esmakordselt laadite, näete [Süsteemiprotsessist] kõiki ühendusi igasuguste Interneti-aadressidega, kuid see pole tavaliselt probleem. Kui kõik ühendused on TIME_WAIT olekus, siis tähendab see, et ühendus on suletud ja puudub ühendusühenduse määramise protsess, nii et need peaksid olema määratud PID 0-le, kuna PID-d pole selle määramiseks määratud.
See juhtub tavaliselt siis, kui laadite TCPView'i üles pärast seda, kui olete ühendatud mõne reaga, kuid see peaks minema, kui kõik ühendused on suletud ja TCPView on avatud.
Coreinfo
Näitab teavet süsteemi CPU ja kõigi funktsioonide kohta. Kas olete kunagi mõelnud, kas teie CPU on 64-bitine või kas see toetab riistvarapõhist virtualiseerimist? Näete seda kõike ja palju, palju rohkem koos coreinfo kasulikkusega. See võib olla tõesti kasulik, kui soovite näha, kas vanem arvuti võib käivitada Windowsi 64-bitise versiooni või mitte.
Käepide
See utiliit teeb sama protsessi, mida Process Explorer teeb - saate kiiresti otsida, milline protsess on avatud käepidemega, mis blokeerib juurdepääsu ressursile või kustutab ressursi. Süntaks on üsna lihtne:
käepide
Ja kui soovite käepidet sulgeda, saate selle sulgemiseks kasutada loendi kombineeritud kuueteistkümnendnurga koodi (-c) koos protsessi ID-ga (-p-lüliti).
käsitsege -c -p
Protsessi Exploreri kasutamine selle ülesande täitmiseks on ilmselt palju lihtsam.
ListDlls
Just nagu Process Explorer, loetleb see utiliit DLL-i, mis laaditakse protsessi osana. Protsessi Exploreri kasutamine on muidugi palju lihtsam.
RamMap
See utiliit analüüsib teie füüsilise mälu kasutamist, kus on palju erinevaid viise mälu visualiseerimiseks, sealhulgas füüsiliste lehtede abil, kus näete RAM-i asukohta, kuhu iga käivitatav fail on laaditud.
Stringid leiab rakendustes ja DLL-is inimese loetava teksti
Kui näete mõne tarkvarapaketi stringina kummalist URL-i, on aeg muretseda. Kuidas sa näeksid seda imelist stringi? Stringide utiliidi kasutamine käsurealt (või funktsiooni kasutamine Explorer Exploreris).
Järgmine lehekülg: Auto sisselogimise ja ShellRunAs seadistamine