Pakke opp og bruke verktøyene sammen

Innholdsfortegnelse:

Pakke opp og bruke verktøyene sammen
Pakke opp og bruke verktøyene sammen

Video: Pakke opp og bruke verktøyene sammen

Video: Pakke opp og bruke verktøyene sammen
Video: How to Fix Blurry Pictures on Facebook? [Solved Now! ] - YouTube 2024, November
Anonim
Vi er på slutten av vår SysInternals-serie, og det er på tide å pakke opp alt ved å snakke om alle de små verktøyene som vi ikke dekker gjennom de første ni leksjonene. Det er definitivt mange verktøy i dette settet.
Vi er på slutten av vår SysInternals-serie, og det er på tide å pakke opp alt ved å snakke om alle de små verktøyene som vi ikke dekker gjennom de første ni leksjonene. Det er definitivt mange verktøy i dette settet.

SCHOOL NAVIGASJON

  1. Hva er SysInternals Tools og hvordan bruker du dem?
  2. Forstå Process Explorer
  3. Bruk Prosess Explorer til Feilsøking og Diagnose
  4. Forstå prosessovervåking
  5. Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
  6. Bruke Autoruns å håndtere oppstartsprosesser og malware
  7. Bruke BgInfo til å vise systeminformasjon på skrivebordet
  8. Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
  9. Analysere og administrere filer, mapper og stasjoner
  10. Pakke opp og bruke verktøyene sammen

Vi har lært hvordan du bruker Process Explorer til å feilsøke ustyrlige prosesser på systemet, og Process Monitor for å se hva de gjør under hetten. Vi har lært om Autoruns, et av de kraftigste verktøyene for å håndtere malwareinfeksjoner, og PsTools for å kontrollere andre PCer fra kommandolinjen.

I dag skal vi dekke de gjenværende verktøyene i settet, som kan brukes til alle slags formål, alt fra å se nettverkstilkoblinger for å se effektive tillatelser på filsystemobjekter.

Men først vil vi gå gjennom et hypotetisk eksempel scenario for å se hvordan du kan bruke et antall verktøy sammen for å løse et problem og gjøre litt forskning på hva som skjer.

Hvilket verktøy skal du bruke?

Det er ikke alltid bare ett verktøy for jobben - det er mye bedre å bruke dem alle sammen. Her er et eksempel scenario for å gi deg en ide om hvordan du kan takle undersøkelsen, selv om det er verdt å merke seg at det finnes noen måter å finne ut hva som skjer. Dette er bare et raskt eksempel for å illustrere, og er på ingen måte en nøyaktig liste over trinn som skal følges.

Scenario: Systemet kjører sakte, mistenkt skadelig programvare

Det første du bør gjøre er å åpne Prosess Explorer og se hvilke prosesser som bruker opp ressurser på systemet. Når du har identifisert prosessen, bør du bruke de innebygde verktøyene i Process Explorer for å verifisere hva prosessen egentlig er, sørg for at det er legitimt, og eventuelt skan den prosessen for virus ved hjelp av den innebygde VirusTotal-integrasjonen.

Image
Image

Merk:Hvis du virkelig tror at det kan være skadelig programvare, er det ofte nyttig å koble fra eller deaktivere Internett-tilgang på den maskinen mens du feilsøker, selv om du kanskje vil gjøre VirusTotal-oppslag først. Ellers kan skadelig programvare laste ned flere skadelige programmer, eller overføre mer informasjon.

Hvis prosessen er helt legitim, drep eller start den overgrepende prosessen, og kryss fingrene at det var et fluke. Hvis du ikke vil at denne prosessen skal starte lenger, kan du enten avinstallere den eller bruke Autoruns for å stoppe prosessen fra lasting ved oppstart.

Hvis det ikke løser problemet, kan det være på tide å trekke ut Process Monitor og analysere prosessene du allerede har identifisert, og finne ut hva de prøver å få tilgang til. Dette kan gi deg ledetråder til hva som faktisk skjer - kanskje prosessen prøver å få tilgang til en registernøkkel eller en fil som ikke eksisterer eller det ikke har tilgang til, eller kanskje det bare prøver å kapre alle filene dine og gjør mange sketchy ting som å få tilgang til informasjon som det sannsynligvis ikke burde skje eller skanne hele stasjonen uten god grunn.

I tillegg, hvis du mistenker at programmet kobler til noe som det ikke skal, noe som er veldig vanlig i tilfelle spyware, vil du trekke ut TCPView-verktøyet for å bekrefte om det er tilfelle.

På dette tidspunktet har du kanskje bestemt at prosessen er skadelig programvare eller på crapware. Uansett vil du ikke ha det. Du kan kjøre gjennom avinstalleringsprosessen hvis de er oppført i Kontrollpanelens avinstalleringsprogramliste, men mange ganger er de ikke oppført eller ikke ryddet riktig. Dette er når du trekker ut Autoruns og finner hvert sted som programmet har hekta seg i oppstarten, og nøkle dem derfra, og deretter nøkne alle filene.

Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.

TCPView

Dette verktøyet er en fin måte å se hvilke applikasjoner på datamaskinen din kobler til hvilke tjenester over nettverket. Du kan se mesteparten av denne informasjonen på kommandoprompten ved hjelp av netstat, eller begravet i grensesnittet Process Explorer / Monitor, men det er mye lettere å bare åpne TCPView og se hva som kobles til hva.

Fargene i listen er ganske enkle og ligner på de andre verktøyene - lysegrønn betyr at tilkoblingen bare dukket opp, rød betyr at tilkoblingen er avsluttet, og gul betyr at forbindelsen er endret.

Du kan også se på prosessegenskapene, avslutte prosessen, lukke tilkoblingen eller trekke opp en Whois-rapport. Det er enkelt, funksjonelt og veldig nyttig.

Image
Image

Merk:Når du først legger inn TCPView, ser du kanskje mange samlinger fra [Systemprosess] til alle slags internettadresser, men dette er vanligvis ikke et problem. Hvis alle tilkoblingene er i TIME_WAIT-tilstanden, betyr det at tilkoblingen blir stengt, og det er ikke en prosess for å tilordne tilkoblingen, slik at de skal opp som tildelt PID 0 siden det ikke er PID å tildele det til.

Dette skjer vanligvis når du laster opp TCPView etter at du har koblet til en haug med ting, men det bør gå vekk når alle tilkoblingene er nære og du holder TCPView åpen.

Coreinfo

Viser informasjon om system-CPU og alle funksjonene. Noen gang lurt på om CPUen din er 64-bit eller hvis den støtter maskinvarebasert virtualisering? Du kan se alt det og mye, mye mer med coreinfo-verktøyet. Dette kan være veldig nyttig hvis du vil se om en eldre datamaskin kan kjøre 64-bitersversjonen av Windows eller ikke.

Image
Image

Håndtak

Dette verktøyet gjør det samme som Process Explorer gjør - du kan raskt søke for å finne ut hvilken prosess som har et åpent håndtak som blokkerer tilgang til en ressurs, eller fra å slette en ressurs. Syntaxen er ganske enkel:

handle

Og hvis du vil lukke håndtaket, kan du bruke den heksadesimale håndtakskoden (med -c) i listen kombinert med prosess-ID (-p-bryteren) for å lukke den.

handle -c -p

Det er trolig mye enklere å bruke Process Explorer til denne oppgaven.
Det er trolig mye enklere å bruke Process Explorer til denne oppgaven.

ListDlls

På samme måte som Prosess Explorer, viser dette verktøyet de DLLer som er lastet som en del av en prosess. Det er mye enklere å bruke Process Explorer, selvfølgelig.

Image
Image

RamMap

Dette verktøyet analyserer din fysiske minnebruk, med mange ulike måter å visualisere minnet på, inkludert av fysiske sider, hvor du kan se plasseringen i RAM som hver kjørbar er lastet inn i.

Image
Image

Strings finner menneskelig lesbar tekst i apper og DLLer

Hvis du ser en merkelig URL som en streng i noen programvarepakke, er det på tide å bekymre deg. Hvordan ville du se den rare strengen? Bruke strengerverktøyet fra kommandoprompt (eller bruk funksjonen i Process Explorer istedet).

Anbefalt: