Avvolgimento e utilizzo degli strumenti insieme
Siamo alla fine della nostra serie SysInternals ed è ora di concludere tutto parlando di tutte le piccole utility che non abbiamo incluso nelle prime nove lezioni. Ci sono sicuramente molti strumenti in questo kit.
NAVIGAZIONE SCOLASTICA- Quali sono gli strumenti di SysInternals e come li usi?
- Capire Process Explorer
- Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
- Comprensione del monitor di processo
- Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
- Utilizzare Autoruns per gestire i processi di avvio e il malware
- Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
- Usare PsTools per controllare altri PC dalla riga di comando
- Analisi e gestione di file, cartelle e unità
- Avvolgimento e utilizzo degli strumenti insieme
Abbiamo appreso come utilizzare Process Explorer per risolvere i processi indisciplinati sul sistema e Process Monitor per vedere cosa stanno facendo sotto il cofano. Abbiamo imparato a conoscere Autoruns, uno degli strumenti più potenti per affrontare le infezioni da malware, e PsTools per controllare altri PC dalla riga di comando.
Oggi copriremo le restanti utilità del kit, che possono essere utilizzate per tutti i tipi di scopi, dalla visualizzazione delle connessioni di rete alla visualizzazione di autorizzazioni efficaci sugli oggetti del file system..
Ma prima, passeremo attraverso uno scenario di esempio ipotetico per vedere come è possibile utilizzare un numero di strumenti insieme per risolvere un problema e fare qualche ricerca su cosa sta succedendo.
Quale strumento dovresti usare?
Non c'è sempre solo uno strumento per il lavoro: è molto meglio usarli tutti insieme. Ecco uno scenario di esempio per darti un'idea di come potresti affrontare l'indagine, anche se vale la pena notare che ci sono molti modi per capire cosa sta succedendo. Questo è solo un breve esempio per illustrare e non è in alcun modo un elenco preciso di passi da seguire.
Scenario: il sistema è in esecuzione lento, sospetto di malware
La prima cosa da fare è aprire Process Explorer e vedere quali processi stanno utilizzando risorse sul sistema. Una volta identificato il processo, è necessario utilizzare gli strumenti integrati in Process Explorer per verificare quale sia effettivamente il processo, assicurarsi che sia legittimo e, a scelta, eseguire la scansione di tale processo alla ricerca di virus utilizzando l'integrazione di VirusTotal integrata..
Questo processo è in realtà un'utilità SysInternals, ma se non lo fosse, lo controlleremmo.Nota: se pensi davvero che possa esserci del malware, spesso è utile scollegare o disabilitare l'accesso a Internet su quella macchina durante la risoluzione dei problemi, anche se potresti voler eseguire prima le ricerche di VirusTotal. Altrimenti il malware potrebbe scaricare più malware o trasmettere più informazioni.
Se il processo è completamente legittimo, uccidi o riavvia il processo incriminato e incrocia le dita che è stato un colpo di fortuna. Se non si desidera avviare più quel processo, è possibile disinstallarlo o utilizzare Autoruns per interrompere il caricamento del processo all'avvio.
Se ciò non risolve il problema, potrebbe essere il momento di estrarre Process Monitor e analizzare i processi che hai già identificato e capire a cosa stanno cercando di accedere. Questo può darti indizi su ciò che sta realmente accadendo - forse il processo sta tentando di accedere a una chiave di registro oa un file che non esiste o a cui non ha accesso, o forse sta solo cercando di dirottare tutti i tuoi file e fare un sacco di cose abbozzate come l'accesso alle informazioni che probabilmente non dovrebbe, o la scansione dell'intera unità senza una buona ragione.
Inoltre, se si sospetta che l'applicazione si stia connettendo a qualcosa che non dovrebbe, il che è molto comune nel caso dello spyware, si estrae l'utilità TCPView per verificare se questo è il caso.
A questo punto potresti aver stabilito che il processo è malware o crapware. In entrambi i casi non lo vuoi. È possibile eseguire il processo di disinstallazione se sono elencati nell'elenco Programmi di disinstallazione del Pannello di controllo, ma molte volte non sono elencati o non si puliscono correttamente. Questo è quando estrai Autoruns e trovi ogni posto che l'applicazione è stata collegata all'avvio, quindi esegui l'atomizzazione da lì, quindi esegui l'atomizzazione di tutti i file.
È anche utile eseguire una scansione antivirus completa del sistema, ma essere onesti ... la maggior parte di crapware e spyware viene installata nonostante vengano installate applicazioni anti-virus. Nella nostra esperienza, la maggior parte dell'anti-virus segnalerà felicemente "tutto chiaro" mentre il tuo PC può a malapena funzionare a causa di spyware e crapware.
TCPView
Questa utility è un ottimo modo per vedere quali applicazioni sul tuo computer si connettono a quali servizi sulla rete. Puoi vedere la maggior parte di queste informazioni sul prompt dei comandi usando netstat, o sepolto nell'interfaccia Process Explorer / Monitor, ma è molto più semplice aprire il TCPView e vedere cosa si connette a cosa.
I colori nell'elenco sono piuttosto semplici e simili alle altre utilità: il verde chiaro indica che la connessione è appena stata visualizzata, rosso indica che la connessione sta per chiudersi e che il colore giallo indica che la connessione è cambiata.
Puoi anche esaminare le proprietà del processo, terminare il processo, chiudere la connessione o aprire un rapporto Whois. È semplice, funzionale e molto utile.
Nota: Quando carichi TCPView per la prima volta, potresti vedere un sacco di connessioni da [Processo di sistema] a tutti i tipi di indirizzi Internet, ma questo di solito non è un problema. Se tutte le connessioni sono nello stato TIME_WAIT, significa che la connessione viene chiusa e non esiste un processo a cui assegnare la connessione, quindi devono essere assegnate a PID 0 poiché non è disponibile alcun PID per assegnarlo a.
Questo di solito accade quando carichi TCPView dopo esserti collegato a un sacco di cose, ma dovrebbe sparire dopo che tutte le connessioni sono state chiuse e hai tenuto aperto TCPView.
Coreinfo
Mostra informazioni sulla CPU del sistema e su tutte le funzionalità. Ti sei mai chiesto se la tua CPU è a 64 bit o se supporta la virtualizzazione basata su hardware? Puoi vedere tutto questo e molto altro ancora con l'utilità coreinfo. Questo può essere davvero utile se vuoi vedere se un vecchio computer può eseguire o meno la versione a 64 bit di Windows.
Maniglia
Questa utility fa la stessa cosa che fa Process Explorer: puoi cercare rapidamente per scoprire quale processo ha un handle aperto che sta bloccando l'accesso a una risorsa o dall'eliminazione di una risorsa. La sintassi è piuttosto semplice:
maniglia
E se si desidera chiudere l'handle, è possibile utilizzare il codice di handle esadecimale (con -c) nell'elenco combinato con l'ID di processo (l'opzione -p) per chiuderlo.
handle -c -p
Probabilmente è molto più semplice utilizzare Process Explorer per questa attività.
ListDlls
Proprio come Process Explorer, questa utility elenca le DLL che vengono caricate come parte di un processo. È molto più semplice usare Process Explorer, ovviamente.
RamMap
Questa utility analizza l'utilizzo della memoria fisica, con un sacco di modi diversi di visualizzare la memoria, comprese le pagine fisiche, dove è possibile vedere la posizione nella RAM in cui ogni eseguibile viene caricato.
Le stringhe trovano testo leggibile da un utente in App e DLL
Se vedi un URL strano come una stringa in qualche pacchetto software, è tempo di preoccuparti. Come vedresti quella strana corda? Utilizzo dell'utilità per le stringhe dal prompt dei comandi (oppure utilizzare la funzione in Process Explorer).
Pagina successiva: configurazione dell'accesso automatico e ShellRunAs