Zalomenie a spoločné používanie nástrojov
Sme na konci našej série SysInternals a je načase zabaliť všetko tým, že hovoríme o všetkých malých nástrojoch, ktoré sme nepokryli počas prvých deviatich hodín. V tejto súprave je určite veľa nástrojov.
ŠKOLSKÁ NAVIGÁCIA- Aké sú nástroje SysInternals a ako ich používate??
- Pochopenie Process Explorer
- Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie
- Porozumenie procesu sledovania
- Používanie monitora procesov na riešenie problémov a vyhľadanie hackov v registri
- Použitie autorunov na riešenie spúšťacích procesov a malware
- Použitie programu BgInfo na zobrazenie informácií o systéme na ploche
- Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
- Analýza a správa súborov, priečinkov a diskov
- Zalomenie a spoločné používanie nástrojov
Naučili sme sa, ako používať Process Explorer na riešenie problémov s neprípustnými procesmi v systéme a Process Monitor, aby sme videli, čo robia pod kapotou. O autorunsoch sme sa dozvedeli, jeden z najsilnejších nástrojov na riešenie infekcií škodlivého softvéru a PsTools na ovládanie iných počítačov z príkazového riadku.
Dnes budeme pokrývať zostávajúce nástroje v súprave, ktoré sa dajú použiť na rôzne účely, počnúc sledovaním sieťových pripojení až po efektívne povolenia objektov systému súborov.
Ale najprv prejdeme hypotetickým príkladom scenára a uvidíme, ako by ste mohli spolu použiť niekoľko nástrojov na vyriešenie problému a urobiť nejaký výskum o tom, čo sa deje.
Aký nástroj by ste mali použiť?
Nie je vždy len jeden nástroj pre prácu - je oveľa lepšie ich používať spolu. Tu je príklad scenára, ktorý vám poskytne predstavu o tom, ako by ste mohli vyriešiť vyšetrovanie, aj keď stojí za zmienku, že existuje niekoľko spôsobov, ako zistiť, čo sa deje. Toto je len rýchly príklad, ktorý slúži na ilustráciu a v žiadnom prípade nie je presný zoznam krokov, ktoré treba nasledovať.
Scenár: systém je spustený pomalý, podozrivý škodlivý softvér
Prvá vec, ktorú by ste mali urobiť, je otvoriť Process Explorer a zistiť, aké procesy využívajú zdroje v systéme. Akonáhle ste identifikovali proces, mali by ste používať v aplikácii Process Explorer vstavané nástroje na overenie toho, aký je proces v skutočnosti, ubezpečte sa, že je to legitímne, a voliteľne skenujte tento proces pre vírusy pomocou vstavanej integrácie VirusTotal.
Tento proces je v skutočnosti nástroj SysInternals, ale ak by to nebolo, skúmali by sme to.Poznámka: ak si naozaj myslíte, že by mohlo dôjsť k malvéru, je často užitočné odpojiť alebo zakázať prístup k internetu na tomto počítači pri odstraňovaní problémov, aj keď možno budete chcieť najskôr vykonať vyhľadávanie v programe VirusTotal. V opačnom prípade by škodlivý softvér mohol prevziať viac škodlivého softvéru alebo odoslať viac vašich informácií.
Ak je proces úplne legitímny, zabite alebo reštartujte proces porušovania pravidiel a pretiahnite prsty, že to bol náhodný. Ak nechcete, aby sa tento proces už začal, môžete ho buď odinštalovať, alebo pomocou programu Autoruns zastaviť proces pri načítaní pri štarte.
Ak to problém nevyrieši, môže byť čas vytiahnuť monitorovací proces a analyzovať procesy, ktoré ste už identifikovali, a zistiť, na čo sa pokúšajú pristupovať. To vám dá stopy do toho, čo sa deje - možno proces sa pokúša získať prístup k kľúču alebo súboru databázy Registry, ktorý neexistuje, alebo k nemu nemá prístup, alebo sa možno pokúša uniesť všetky vaše súbory a robiť veľa nápadných vecí, ako je prístup k informáciám, ktoré by pravdepodobne nemali, alebo skenovanie celého disku za žiadny dobrý dôvod.
Okrem toho, ak máte podozrenie, že sa aplikácia pripája k niečomu, čo by nemalo, čo je veľmi časté v prípade spywaru, vytiahnite nástroj TCPView a overte, či je to tak.
V tomto okamihu ste pravdepodobne zistili, že proces je škodlivý softvér alebo v prípade crapware. Či tak nechcete. Proces odinštalovania môžete spustiť, ak sú uvedené v zozname Programy odinštalovania na ovládacom paneli, ale mnohokrát sa nenachádzajú v zozname, alebo sa nevyčistia správne. Toto je, keď vytiahnete Autoruns a nájdeme každé miesto, ktoré aplikácia zapli do štartu, a nuke je odtiaľ, a potom nuke všetky súbory.
Spustenie úplnej antivírusovej kontroly vášho systému je tiež užitočné, ale umožňuje byť úprimný ... väčšina crapware a spyware sa nainštaluje napriek inštalácii antivírusových aplikácií. Podľa našich skúseností väčšina antivírusov bude šťastne hlásiť "všetko jasné", zatiaľ čo váš počítač môže sotva fungovať kvôli spywaru a crapware.
TCPView
Tento nástroj je skvelý spôsob, ako zistiť, aké aplikácie na vašom počítači sa pripájajú k službám v sieti. Väčšinu týchto informácií môžete vidieť na príkazovom riadku pomocou netstatu alebo v aplikácii Process Explorer / Monitor, ale je to oveľa jednoduchšie otvoriť TCPView a zistiť, čo sa k nim pripojí.
Farby v zozname sú veľmi jednoduché a podobné ako ostatné nástroje - jasne zelená znamená, že sa pripojenie práve objavilo, červená znamená, že sa spojenie zatvára a žltá znamená zmenu spojenia.
Môžete sa tiež pozrieť na vlastnosti procesu, ukončiť proces, zatvoriť spojenie alebo vytiahnuť správu Whois. Je to jednoduché, funkčné a veľmi užitočné.
Poznámka: Pri prvom načítaní protokolu TCPView sa môže zobraziť tón pripojení z [System Process] na všetky druhy internetových adries, ale zvyčajne to nie je problém. Ak sú všetky pripojenia v stave TIME_WAIT, znamená to, že spojenie je zatvorené a neexistuje proces priraďovania pripojenia, takže by mali byť priradené k PID 0, pretože neexistuje žiadny PID, ktorý by bol pridelený.
To sa zvyčajne stane, keď načítate TCPView potom, čo ste sa pripojili k veľa vecí, ale mali by zmiznúť po zatvorení všetkých pripojení a nechať TCPView otvorený.
Coreinfo
Zobrazuje informácie o systémovom CPU a všetkých funkciách. Niekedy ste sa pýtali, či váš procesor je 64-bitový alebo ak podporuje virtualizáciu založenú na hardvéri? Môžete vidieť všetko a veľa, oveľa viac s nástrojom coreinfo. To môže byť naozaj užitočné, ak chcete zistiť, či starší počítač môže spustiť 64-bitovú verziu systému Windows alebo nie.
rukoväť
Tento nástroj robí to isté, čo Process Explorer robí - môžete rýchlo vyhľadať, ktorý proces má otvorený popisovač, ktorý blokuje prístup k prostriedku alebo z odstránenia zdroja. Syntax je veľmi jednoduchý:
rukoväť
A ak chcete zatvoriť kľučku, môžete v zozname v kombinácii s procesným ID (prepínačom -p) použiť hexadecimálny kód (s -c) a zatvoriť ho.
handle -c -p
Je pravdepodobne oveľa jednoduchšie používať Process Explorer pre túto úlohu.
ListDlls
Rovnako ako Process Explorer, tento nástroj uvádza DLL, ktoré sú načítané ako súčasť procesu. Je to oveľa jednoduchšie použiť Process Explorer, samozrejme.
RamMap
Tento nástroj analyzuje využitie vašej fyzickej pamäte s množstvom rôznych spôsobov vizualizácie pamäte vrátane fyzických stránok, kde môžete vidieť umiestnenie v pamäti RAM, do ktorej je každý spustiteľný súbor načítaný.
Struny nájdu text čitateľný človekom v aplikáciách a DLL
Ak v niektorom softvérovom balíku vidíte zvláštnu adresu URL ako reťazec, je čas sa obávať. Ako by ste videli tento podivný reťazec? Použitie pomôcky reťazcov z príkazového riadka (alebo pomocou funkcie v Process Explorer miesto).
Ďalšia strana: Konfigurácia automatického prihlásenia a ShellRunAs