Inpakken en de hulpmiddelen samen gebruiken
We zijn aan het einde van onze SysInternals-serie en het is tijd om alles in te pakken door te praten over alle kleine hulpprogramma's die we tijdens de eerste negen lessen niet hebben behandeld. Er zitten beslist veel tools in deze kit.
SCHOOLNAVIGATIE- Wat zijn de SysInternals-hulpmiddelen en hoe gebruikt u ze??
- Procesverkenner begrijpen
- Procesverkenner gebruiken om problemen op te lossen en te stellen
- Procesmonitor begrijpen
- Procesmonitor gebruiken om registerhacks op te sporen en te vinden
- Autoruns gebruiken om opstartprocessen en malware aan te pakken
- BGInfo gebruiken om systeeminformatie op het bureaublad weer te geven
- PsTools gebruiken om andere pc's vanaf de opdrachtregel te besturen
- Analyse en beheer van uw bestanden, mappen en stations
- Inpakken en de hulpmiddelen samen gebruiken
We hebben geleerd hoe we Process Explorer kunnen gebruiken om problemen met onhandelbare processen op het systeem op te lossen en Process Monitor om te zien wat ze onder de motorkap doen. We hebben geleerd over Autoruns, een van de krachtigste tools om malware-infecties aan te pakken, en PsTools om andere pc's te besturen via de opdrachtregel.
Vandaag gaan we de resterende hulpprogramma's in de kit behandelen, die voor allerlei doeleinden kunnen worden gebruikt, van het bekijken van netwerkverbindingen tot het zien van effectieve machtigingen voor bestandssysteemobjecten.
Maar eerst zullen we door een hypothetisch voorbeeldscenario lopen om te zien hoe u een aantal van de hulpmiddelen samen kunt gebruiken om een probleem op te lossen en wat onderzoek te doen naar wat er gaande is..
Welke tool moet je gebruiken??
Er is niet altijd maar één hulpmiddel voor de klus - het is veel beter om ze allemaal samen te gebruiken. Hier is een voorbeeldscenario om u een idee te geven van hoe u het onderzoek kunt aanpakken, hoewel het de moeite waard is om op te merken dat er een aantal manieren zijn om erachter te komen wat er aan de hand is. Dit is slechts een kort voorbeeld om te illustreren en is geenszins een exacte lijst met te volgen stappen.
Scenario: systeem wordt traag uitgevoerd, verdachte malware
Het eerste dat u moet doen, is Process Explorer openen en zien welke processen resources op het systeem gebruiken. Zodra u het proces hebt geïdentificeerd, moet u de ingebouwde hulpprogramma's in Process Explorer gebruiken om te controleren wat het proces werkelijk is, ervoor zorgen dat het legitiem is en optioneel dat proces scannen op virussen met behulp van de ingebouwde VirusTotal-integratie..
Dit proces is eigenlijk een SysInternals-hulpprogramma, maar als dit niet het geval was, zouden we het controleren.Notitie: als je echt denkt dat er mogelijk malware is, is het vaak handig om internettoegang op die machine te ontkoppelen of uit te schakelen tijdens het oplossen van problemen, hoewel je misschien eerst VirusTotal-zoekopdrachten wilt doen. Anders kan malware meer malware downloaden of meer van uw informatie verzenden.
Als het proces volledig legitiem is, kill of start u het overtredingsproces opnieuw en kruist u uw vingers dat het een toevalstreffer was. Als u niet wilt dat dat proces meer start, kunt u het verwijderen of Autoruns gebruiken om te voorkomen dat het proces wordt geladen bij het opstarten.
Als dat het probleem niet oplost, is het misschien tijd om Process Monitor uit te zetten en de processen te analyseren die u al hebt geïdentificeerd en uit te zoeken wat ze proberen te bereiken. Dit kan u aanwijzingen geven over wat er werkelijk aan de hand is - misschien probeert het proces toegang te krijgen tot een registersleutel of bestand dat niet bestaat of waar het geen toegang toe heeft, of misschien al uw bestanden probeert te kapen. en maak een heleboel vage dingen, zoals toegang tot informatie die het waarschijnlijk niet zou moeten zijn, of het scannen van je hele schijf zonder goede reden.
Als u bovendien vermoedt dat de toepassing verbinding maakt met iets dat het niet zou moeten doen, wat heel gebruikelijk is in het geval van spyware, haalt u het TCPView-hulpprogramma eruit om te controleren of dat het geval is.
Op dit punt heb je misschien vastgesteld dat het proces malware is of op crapware. Hoe dan ook, je wilt het niet. U kunt het deïnstallatieproces doorlopen als ze worden vermeld in de lijst Uninstall Programs van het Configuratiescherm, maar vaak worden ze niet vermeld, of worden ze niet goed opgeschoond. Dit is wanneer je Autoruns uittrekt en elke plaats waar de applicatie is aangesloten bij de startup hebt gevonden, en vanaf daar attaakt en vervolgens alle bestanden inschakelt.
Het uitvoeren van een volledige virusscan van uw systeem is ook nuttig, maar laten we eerlijk zijn ... de meeste crapware en spyware worden geïnstalleerd, ondanks de installatie van antivirusprogramma's. In onze ervaring zal het meeste antivirus met plezier 'alles wissen' melden terwijl uw pc nauwelijks kan werken vanwege spyware en crapware.
TCPView
Dit hulpprogramma is een goede manier om te zien welke toepassingen op uw computer verbinding maken met welke services via het netwerk. U kunt het grootste deel van deze informatie op de opdrachtprompt zien met netstat, of begraven in de Process Explorer / Monitor-interface, maar het is veel eenvoudiger om gewoon TCPView te openen en te zien wat er verbinding maakt met wat.
De kleuren in de lijst zijn vrij eenvoudig en vergelijkbaar met de andere hulpprogramma's - fel groen betekent dat de verbinding net is weergegeven, rood betekent dat de verbinding wordt gesloten en geel betekent dat de verbinding is gewijzigd.
Je kunt ook de proceseigenschappen bekijken, het proces beëindigen, de verbinding sluiten of een Whois-rapport opstellen. Het is eenvoudig, functioneel en erg handig.
Notitie: Wanneer u TCPView voor de eerste keer laadt, ziet u mogelijk heel wat verbindingen van [Systeemproces] naar allerlei internetadressen, maar dit is meestal geen probleem. Als alle verbindingen zich in de TIME_WAIT-status bevinden, betekent dit dat de verbinding wordt gesloten en dat er geen proces is om de verbinding toe te wijzen, dus moeten ze worden toegewezen als toegewezen aan PID 0 omdat er geen PID is om deze toe te wijzen aan.
Dit gebeurt meestal wanneer u TCPView laadt nadat u verbinding hebt gemaakt met een heleboel dingen, maar het moet verdwijnen nadat alle verbindingen zijn gesloten en u TCPView open houdt.
Coreinfo
Toont informatie over de systeem-CPU en alle functies. Heeft u zich ooit afgevraagd of uw CPU 64-bit is of hardware-gebaseerde virtualisatie ondersteunt? U kunt dat allemaal en nog veel meer zien met het hulpprogramma coreinfo. Dit kan erg handig zijn als u wilt zien of een oudere computer de 64-bits versie van Windows kan uitvoeren of niet.
Handvat
Dit hulpprogramma doet hetzelfde als Process Explorer - u kunt snel zoeken om te achterhalen welk proces een open handle heeft die de toegang tot een resource blokkeert of een resource verwijdert. De syntaxis is vrij eenvoudig:
handvat
En als u de handle wilt sluiten, kunt u de hexadecimale handlecode (met -c) in de lijst gebruiken in combinatie met de proces-ID (de -p-switch) om deze te sluiten.
omgaan met -c -p
Het is waarschijnlijk een stuk eenvoudiger om Process Explorer voor deze taak te gebruiken.
ListDLLs
Net als Process Explorer geeft dit hulpprogramma een overzicht van de DLL's die zijn geladen als onderdeel van een proces. Het is een stuk eenvoudiger om Process Explorer te gebruiken, natuurlijk.
RamMap
Dit hulpprogramma analyseert het fysieke geheugengebruik, met veel verschillende manieren om het geheugen te visualiseren, inclusief fysieke pagina's, waar u de locatie in het RAM-geheugen kunt zien waarin elk uitvoerbaar bestand is geladen.
Strings vindt door mensen leesbare tekst in apps en DLL's
Als u in een softwarepakket een rare URL ziet als een tekenreeks, is het tijd om u zorgen te maken. Hoe zou je die rare snaar zien? Het strings-hulpprogramma gebruiken vanaf de opdrachtprompt (of in plaats daarvan de functie in Process Explorer gebruiken).
Volgende pagina: automatische aanmelding en ShellRunA's configureren