Početna » škola » Zamatanje i korištenje alata zajedno

    Zamatanje i korištenje alata zajedno

    Na kraju smo serije SysInternals i vrijeme je da sve završimo govoreći o svim malim programima koje nismo pokrili tijekom prvih devet sati. Definitivno ima mnogo alata u ovom kompletu.

    ŠKOLSKA NAVIGACIJA
    1. Što su SysInternals alati i kako ih koristite?
    2. Razumijevanje procesa Explorer
    3. Korištenje Process Explorer za rješavanje problema i dijagnosticiranje
    4. Razumijevanje procesa Monitor
    5. Korištenje procesa Monitor za rješavanje problema i pronaći Registry Hacks
    6. Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa
    7. Koristeći BgInfo za prikaz informacija o sustavu na radnoj površini
    8. Korištenje PsTools za kontrolu drugih računala iz naredbenog retka
    9. Analiziranje i upravljanje vašim datotekama, mapama i pogonima
    10. Zamatanje i korištenje alata zajedno

    Naučili smo koristiti Process Explorer za otklanjanje neispravnih procesa na sustavu i Process Monitor kako bi vidjeli što rade pod haubom. Saznali smo o autoruns, jednom od najmoćnijih alata za rješavanje infekcija zlonamjernim softverom, i PsTools za kontrolu drugih računala iz naredbenog retka.

    Danas ćemo pokriti preostale uslužne programe u kompletu, koji se mogu koristiti za sve vrste namjena, od gledanja mrežnih veza do uočavanja učinkovitih dozvola na objektima datotečnog sustava..

    Ali najprije ćemo proći kroz hipotetički primjer kako bismo vidjeli kako možete koristiti nekoliko alata za rješavanje problema i napraviti istraživanje o tome što se događa.

    Koji alat trebate koristiti?

    Ne postoji uvijek samo jedan alat za posao - mnogo je bolje koristiti ih sve zajedno. Evo primjera scenarija koji će vam dati predodžbu o tome kako biste se mogli pozabaviti istragom, iako vrijedi napomenuti da postoji mnogo načina da se shvati što se događa. Ovo je samo brz primjer za ilustraciju i nipošto nije točan popis koraka koje treba slijediti.

    Scenarij: Sustav pokreće spor, sumnjiv zlonamjerni softver

    Prva stvar koju trebate učiniti je otvoriti Process Explorer i vidjeti koji procesi koriste resurse na sustavu. Nakon što ste identificirali proces, trebali biste koristiti ugrađene alate u programu Process Explorer da biste provjerili što je zapravo proces, pobrinite se da je legitiman i opcionalno skenirajte taj proces za viruse pomoću ugrađene integracije s programom VirusTotal.

    Ovaj proces je zapravo uslužni program SysInternals, ali ako nije, provjerili bismo ga.

    Bilješka: ako doista mislite da postoji zlonamjerni softver, često je korisno da isključite ili onemogućite pristup internetu na tom računalu dok rješavate probleme, iako ćete možda najprije zatražiti pretraživanje od VirusTotal. Inače bi zlonamjerni softver mogao preuzeti više zlonamjernog softvera ili prenijeti više vaših podataka.

    Ako je proces potpuno legitiman, ubijte ili ponovno pokrenite uvredljivi proces i prekrižite prste da je to bila slučajnost. Ako više ne želite da se taj proces pokrene, možete ga ili deinstalirati ili upotrijebiti Autoruns da biste zaustavili proces učitavanja pri pokretanju.

    Ako to ne riješi problem, možda je vrijeme da izvadite Process Monitor i analizirate procese koje ste već identificirali i shvatite što pokušavaju pristupiti. To vam može dati naznake o tome što se zapravo događa - možda proces pokušava pristupiti registarskom ključu ili datoteci koja ne postoji ili nema pristup, ili možda samo pokušava oteti sve vaše datoteke i učinite mnogo skiciranih stvari kao što je pristup informacijama koje vjerojatno ne bi smjele, ili skeniranje cijelog vašeg pogona bez dobrog razloga.

    Osim toga, ako sumnjate da se aplikacija povezuje s nečim što ne bi trebalo, što je vrlo uobičajeno u slučaju špijunskog softvera, izvukli biste uslužni program TCPView da biste provjerili je li to slučaj.

    U ovom trenutku možda ste utvrdili da je taj proces zlonamjerni softver ili da je to crapware. U svakom slučaju ga ne želite. Možete pokrenuti proces deinstalacije ako su navedeni na popisu Uninstall Programs na upravljačkoj ploči, ali mnogo puta nisu navedeni ili se ne čiste ispravno. To je kada izvadite Autoruns i pronađite svako mjesto koje je aplikacija zakačila u startup, i nuke ih od tamo, a zatim nuke sve datoteke.

    Trčanje pun virus skandirati što tvoj sustav je također koristan, ali omogućuje biti iskren ... većina crapware i spyware dobiva instaliran unatoč anti-virus aplikacija se instalira. Prema našem iskustvu, većina anti-virusa će rado prijaviti "sve jasno" dok vaše računalo jedva može raditi zbog špijunskog softvera i softvera.

    TCPView

    Ovaj uslužni program je odličan način da vidite koje se aplikacije na vašem računalu povezuju s kojim uslugama putem mreže. Većinu ovih informacija možete vidjeti u naredbenom retku pomoću netstat-a ili pokopati u sučelju Process Explorer / Monitor, ali je mnogo lakše jednostavno otvoriti TCPView i vidjeti što se povezuje s onim.

    Boje na popisu su prilično jednostavne i slične drugim uslužnim programima - svijetlo zelena znači da se veza samo pojavila, crvena znači da se veza zatvara, a žuta znači da je veza promijenjena.

    Također možete pogledati svojstva procesa, završiti proces, zatvoriti vezu ili povući izvješće Whois. Jednostavan je, funkcionalan i vrlo koristan.

    Bilješka: Kada prvi put učitate TCPView, možda ćete vidjeti tonu veza od [System Process] do svih vrsta internetskih adresa, ali to obično nije problem. Ako su sve veze u stanju TIME_WAIT, to znači da se veza zatvara, a ne postoji postupak za dodjelu veze, tako da bi se trebali pridružiti PID-u 0 jer nema PID-a za dodjelu veze.

    To se obično događa kada se TCPView učitava nakon što ste se povezali s hrpom stvari, ali bi se trebalo ukloniti nakon što se sve veze zatvore i TCPView otvori.

    Coreinfo

    Prikazuje informacije o procesoru sustava i svim značajkama. Jeste li se ikada zapitali je li vaš CPU 64-bitni ili podržava virtualizaciju temeljenu na hardveru? Možete vidjeti sve to i mnogo, mnogo više s uslužnim programom coreinfo. To može biti vrlo korisno ako želite vidjeti može li starije računalo pokrenuti 64-bitnu verziju sustava Windows ili ne.

     

    rukovati

    Ovaj uslužni program radi istu stvar kao i Process Explorer - možete brzo pretražiti kako biste saznali koji proces ima otvorenu ručku koja blokira pristup resursu ili brisanje resursa. Sintaksa je prilično jednostavna:

    rukovati

    A ako želite zatvoriti ručku, možete koristiti heksadecimalni kôd ručke (s -c) na popisu u kombinaciji s ID-om procesa (prekidač -p) da biste ga zatvorili.

    handle -c -p

    To je vjerojatno puno lakše koristiti Process Explorer za ovaj zadatak.

    ListDlls

    Baš kao i Process Explorer, ovaj uslužni program ispisuje DLL-ove koji se učitavaju kao dio procesa. Naravno, mnogo je lakše koristiti Process Explorer.

    RamMap

    Ovaj uslužni program analizira vaše korištenje fizičke memorije, s mnoštvom različitih načina vizualizacije memorije, uključujući fizičke stranice, gdje možete vidjeti lokaciju u RAM-u koju je svaka izvršna datoteka učitana u.

    Nizovi pronalaze čitljiv tekst u aplikacijama i DLL-ovima

    Ako vidite neki čudan URL kao niz u nekom softverskom paketu, vrijeme je za zabrinutost. Kako biste vidjeli taj čudan niz? Korištenje uslužnog programa za nizove iz naredbenog retka (ili upotrebom funkcije u Process Explorer-u).

    Sljedeća stranica: Konfiguriranje automatske prijave i ShellRunAs