Завршавање и коришћење алата заједно
Ми смо на крају наше серије СисИнтерналс, и време је да све завршимо тако што ћемо говорити о свим малим услужним програмима које нисмо покрили кроз првих девет часова. Дефинитивно постоји много алата у овом комплету.
СЦХООЛ НАВИГАТИОН- Шта су СисИнтерналс алати и како их користите?
- Разумевање Процесс Екплорер-а
- Користећи Процесс Екплорер за решавање проблема и дијагностиковање
- Разумевање процеса Монитор
- Користећи Процесс Монитор за отклањање проблема и проналажење Регистри Хацкс
- Користећи Ауторунс да се баве процесима покретања и малваре
- Користећи БгИнфо да прикажете информације о систему на радној површини
- Коришћење ПсТоолс за контролу других рачунара из командне линије
- Анализирање и управљање вашим датотекама, фасциклама и погонима
- Завршавање и коришћење алата заједно
Научили смо како да користимо Процесс Екплорер за отклањање неисправних процеса на систему, и Процесс Монитор да видимо шта раде под хаубом. Научили смо о ауторунс-има, једном од најмоћнијих алата за рјешавање инфекција малваре-ом, и ПсТоолс за контролу других рачунала из командне линије.
Данас ћемо покрити преостале услужне програме у комплету, који се могу користити за све врсте сврхе, од гледања мрежних веза до уочавања ефективних дозвола на објектима датотечног система..
Али прво, проћи ћемо кроз хипотетички примјер сценарија да видимо како можете користити неколико алата заједно како бисте ријешили проблем и направили нека истраживања о томе што се догађа.
Који алат треба да користите?
Не постоји увек само један алат за посао - много је боље користити их све заједно. Ево примера сценарија који вам даје идеју о томе како бисте могли да се позабавите истрагом, мада је вредно напоменути да постоји много начина да се утврди шта се дешава. Ово је само кратак пример који може да помогне да се илуструје и никако није тачна листа корака које треба следити.
Сценариј: Систем је покренут спор, сумњив малвер
Прва ствар коју треба да урадите је да отворите Процесс Екплорер и видите који процеси користе ресурсе на систему. Када сте идентификовали процес, требало би да користите уграђене алате у Процесс Екплорер-у да бисте проверили шта је процес у ствари, проверите да ли је легитиман и опционално скенирајте тај процес за вирусе користећи уграђену ВирусТотал интеграцију.
Овај процес је заправо СисИнтерналс услужни програм, али ако није, ми бисмо га провјерили.Белешка: ако заиста мислите да постоји злонамерни софтвер, често је корисно да искључите или онемогућите приступ интернету на тој машини док решавате проблеме, мада бисте прво хтели да урадите претраге за ВирусТотал. У супротном, злонамерни софтвер може преузети више злонамјерних програма или пренијети више ваших података.
Ако је процес потпуно легитиман, убијте или поново покрените прекршајни процес и прекрижите прсте да је то био случајност. Ако више не желите да се тај процес покрене, можете га или деинсталирати или употребити ставке Ауторунс да бисте зауставили процес учитавања при покретању.
Ако то не реши проблем, можда је време да извадите Процесс Монитор и анализирате процесе које сте већ идентификовали и схватите шта покушавају да приступе. Ово вам може дати назнаке о томе шта се заправо дешава - можда процес покушава да приступи кључу регистра или датотеци која не постоји или нема приступ, или можда само покушава да отме све ваше датотеке и урадите много скицираних ствари као што је приступ информацијама које вјеројатно не би требало, или скенирање цијелог вашег погона без доброг разлога.
Осим тога, ако сумњате да се апликација повезује са нечим што не би требало, што је врло уобичајено у случају шпијунског софтвера, извукли бисте услужни програм ТЦПВиев да бисте провјерили да ли је то случај.
У овом тренутку можда сте утврдили да је процес малваре или црапваре. У сваком случају то не желите. Можете да покренете процес деинсталације ако су наведени на листи Унинсталл Програмс на контролној табли, али много пута нису наведени или се не чисте исправно. Ово је када извлачите Ауторунс и нађете свако место које је апликација закачила у стартуп, и нуке их одатле, а затим нуке све датотеке.
Покретање потпуног скенирања вируса вашег система је такође корисно, али будимо искрени ... већина црапваре-а и спиваре-а се инсталира упркос инсталирању антивирусних апликација. Према нашем искуству, већина анти-вируса ће радо пријавити "све јасно" док ваш рачунар једва може да ради због шпијунског софтвера и софтвера.
ТЦПВиев
Овај услужни програм је одличан начин да видите које апликације на вашем рачунару се повезују са којим услугама преко мреже. Већину ових информација можете видети у командној линији користећи нетстат или закопане у интерфејсу Процесс Екплорер / Монитор, али је много лакше једноставно отворити ТЦПВиев и видети шта се повезује са оним.
Боје на листи су прилично једноставне и сличне другим услужним програмима - свијетло зелена значи да се веза само појавила, црвена значи да се веза затвара, а жута значи да је веза промијењена.
Такође можете погледати својства процеса, завршити процес, затворити везу или повући Вхоис извјештај. Једноставан је, функционалан и веома користан.
Белешка: Када први пут учитате ТЦПВиев, можда ћете видети тону веза од [Систем Процесс] са свим врстама интернет адреса, али то обично није проблем. Ако су све везе у стању ТИМЕ_ВАИТ, то значи да се веза затвара, а не постоји процес за додјелу везе, тако да би се требали придружити ПИД-у 0 јер нема ПИД-а који га додјељује.
То се обично дешава када учитате ТЦПВиев након што сте се повезали са гомилом ствари, али би требало да нестане након што се све везе затворе и ТЦПВиев отвори.
Цореинфо
Приказује информације о системском процесору и свим функцијама. Јесте ли се икада запитали да ли је ваш ЦПУ 64-битни или подржава виртуализацију засновану на хардверу? Можете да видите све то и много, много више са услужним програмом цореинфо. Ово може бити веома корисно ако желите да видите да ли старији рачунар може да покреће 64-битну верзију оперативног система Виндовс или не.
Хандле
Овај услужни програм ради исту ствар као и Процесс Екплорер - можете брзо претражити да бисте сазнали који процес има отворену ручку која блокира приступ ресурсу или да избрише ресурс. Синтакса је прилично једноставна:
хандле
Ако желите да затворите ручицу, можете да користите хексадецимални код (са -ц) у листи комбинованој са ИД-ом процеса (прекидач -п) да бисте га затворили.
хандле -ц -п
Вероватно је много лакше користити Процесс Екплорер за овај задатак.
ЛистДллс
Баш као и Процесс Екплорер, овај алат наводи ДЛЛ-ове који се учитавају као део процеса. Много је лакше користити Процесс Екплорер, наравно.
РамМап
Овај услужни програм анализира ваше коришћење физичке меморије, са мноштвом различитих начина визуелизације меморије, укључујући и физичке странице, где можете да видите локацију у РАМ-у да се свака извршна датотека учитава у.
Низови проналазе читљив текст у апликацијама и ДЛЛ-овима
Ако видите неки чудан УРЛ као стринг у неком софтверском пакету, време је да бринете. Како бисте видели тај чудан низ? Коришћење алатке стрингс из командне линије (или коришћење функције у Процесс Екплорер-у).
Следећа страница: Конфигурирање аутоматске пријаве и СхеллРунАс