Iesaiņošana un instrumentu lietošana kopā

Satura rādītājs:

Iesaiņošana un instrumentu lietošana kopā
Iesaiņošana un instrumentu lietošana kopā

Video: Iesaiņošana un instrumentu lietošana kopā

Video: Iesaiņošana un instrumentu lietošana kopā
Video: How to Fix Blurry Pictures on Facebook? [Solved Now! ] - YouTube 2024, Marts
Anonim
Mēs esam mūsu SysInternals sērijas beigās, un ir pienācis laiks viss ietīt, runājot par visiem mazajiem komunālajiem pakalpojumiem, kurus mēs neaptverim deviņu stundu laikā. Šajā komplektā noteikti ir daudz rīku.
Mēs esam mūsu SysInternals sērijas beigās, un ir pienācis laiks viss ietīt, runājot par visiem mazajiem komunālajiem pakalpojumiem, kurus mēs neaptverim deviņu stundu laikā. Šajā komplektā noteikti ir daudz rīku.

SKOLAS NAVIGĀCIJA

  1. Kādi ir SysInternals rīki un kā jūs tos izmantot?
  2. Izpratne par Process Explorer
  3. Problēmu novēršana, lai novērstu traucējumus un diagnosticētu
  4. Izpratne par procesa monitoru
  5. Izmantojot procesa monitoru, lai novērstu un atrastu reģistra hacks
  6. Autoruns izmantošana, lai veiktu starta procesus un ļaunprogrammatūru
  7. Izmantojot BgInfo, lai parādītu sistēmas informāciju darbvirsmā
  8. Izmantojot PsTools, lai kontrolētu citus datorus no komandrindas
  9. Failu, mapju un disku analīze un pārvaldīšana
  10. Iesaiņošana un instrumentu lietošana kopā

Mēs esam iemācījušies, kā izmantot Process Explorer, lai novērstu neatgriezeniskos procesus sistēmā, un Process Monitor, lai noskaidrotu, ko viņi dara zem pārsega. Mēs esam iemācījušies par Autoruns, vienu no spēcīgākajiem rīkiem ļaunprogrammatūras infekciju novēršanai, un rīku PsTools, lai no komandrindas vadītu citus datorus.

Šodien mēs apskatīsim komplektā esošos komunālos pakalpojumus, kurus var izmantot dažādiem mērķiem, sākot no tīkla savienojumu skatīšanas līdz efektīvu failu sistēmu objektu atļauju uztveršanai.

Bet vispirms mēs izlemsim hipotētisku piemēru scenāriju, lai uzzinātu, kā jūs kopā ar problēmu risināt varat izmantot vairākus rīkus un veikt pētījumus par to, kas notiek.

Kuru rīku vajadzētu izmantot?

Darbam ne vienmēr ir tikai viens rīks - daudz labāk ir tos visus izmantot kopā. Šeit ir piemēru scenārijs, lai sniegtu priekšstatu par to, kā jūs varētu risināt izmeklēšanu, lai gan ir vērts atzīmēt, ka ir daudz veidu, kā noskaidrot, kas notiek. Tas ir tikai ātrs piemērs, kas palīdz ilustrēt, un tas nekādā ziņā nav precīzs soļu saraksts, kas jāievēro.

Scenārijs: sistēma darbojas lēni, aizdomās par ļaunprātīgu programmatūru

Vispirms viss, kas jums jādara, ir atvērt Process Explorer un noskaidrot, kādi procesi sistēmā izmanto resursus. Kad process ir identificēts, jums ir jāizmanto Process Explorer integrētie rīki, lai pārbaudītu, kāds process patiesībā ir, pārliecinieties, ka tas ir likumīgs, un, iespējams, skenējiet šo procesu vīrusiem, izmantojot integrēto VirusTotal integrāciju.

Image
Image

Piezīme:ja jūs patiešām domājat, ka tajā varētu būt ļaundabīga programmatūra, bieži vien ir noderīgi atvienot vai atspējot interneta piekļuvi šai ierīcei traucējummeklēšanas laikā, lai gan vispirms varētu vēlēties veikt VirusTotal meklēšanu. Pretējā gadījumā šī ļaunprogramma varētu lejuplādēt vairāk ļaunprogrammatūras vai pārsūtīt vairāk informācijas.

Ja process ir pilnīgi likumīgs, nogaliniet vai pārtrauciet pārkāpjošo procesu un šķērsojiet pirkstus, ka tas ir pārsteigums. Ja jūs nevēlaties, lai šis process sāktu vairs, jūs to varat vai nu atinstalēt, vai arī izmantot autoruns, lai apturētu procesa ielādi, veicot palaišanu.

Ja tas neizdodas novērst problēmu, iespējams, būs laiks izvilkt Procesa pārraudzību un analizēt jau identificētos procesus un noskaidrot, ko viņi mēģina piekļūt. Tas var dot jums pavedienus par faktiski notiekošo - varbūt process mēģina piekļūt reģistra atslēgu vai failu, kas neeksistē vai tam nav piekļuves, vai varbūt tā vienkārši mēģina nozagt visus jūsu failus un dari daudz sketru lietu, piemēram, piekļūstot informācijai, ko tas droši vien nav jāuzlūko, vai viss disks bez skenēšanas bez pamatota iemesla.

Turklāt, ja jums ir aizdomas, ka lietojumprogramma ir savienota ar kaut ko, kas tai nevajadzētu, kas ir ļoti izplatīta spiegprogrammatūras gadījumā, izņemiet TCPView lietderību, lai pārbaudītu, vai tas tā ir.

Šajā brīdī jūs, iespējams, esat noteicis, ka process ir ļaunprogramma vai crapware. Katrā ziņā jūs to nevēlaties. Jūs varat palaist atinstalēšanas procesu, ja tie ir uzskaitīti vadības paneļa sarakstā Atinstalēšanas programmas, taču daudzas reizes tie nav uzskaitīti vai arī netiek pareizi iztīrīti. Tas ir tad, kad jūs izvelcat Autoruns un atrodiet visas vietas, kur programma ir pievienojusi startēšanai, un nuke tos no turienes, un pēc tam visus failus noņemiet.

Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.

TCPView

Šī lietderība ir lielisks veids, kā noskaidrot, kurus datora lietojumprogrammas savieno ar kādiem pakalpojumiem tīklā. Lielāko daļu šīs informācijas jūs varat redzēt komandrindā, izmantojot netstat vai aprakt procesa pārlūka / monitora interfeisu, taču ir daudz vieglāk vienkārši atvērt TCPView un redzēt, kas savienojas ar to.

Sarakstā esošās krāsas ir diezgan vienkāršas un līdzīgas citām kompaktajām lietojumprogrammām - spilgti zaļš nozīmē, ka savienojums tikko parādījās, sarkans nozīmē, ka savienojums tiek aizvērts, un dzeltenā krāsa nozīmē, ka savienojums ir mainīts.

Varat arī apskatīt procesa īpašības, pabeigt procesu, aizvērt savienojumu vai sagatavot ziņojumu Whois. Tas ir vienkāršs, funkcionāls un ļoti noderīgs.

Image
Image

Piezīme:Pirmo reizi ielādējot TCPView, jūs varat redzēt tonu savienojumus no [System Process] uz visām interneta adresēm, taču parasti tas nav problēma. Ja visi savienojumi atrodas stāvoklī TIME_WAIT, tas nozīmē, ka savienojums tiek aizvērts, un nav savienojuma piešķiršanas procesa, tādēļ tiem jāatrodas tādā pašā līmenī kā PID 0, jo tam nav PID, lai to piešķirtu.

Tas parasti notiek, kad jūs ielādējat TCPView pēc tam, kad esat izveidojis savienojumu ar daudzām lietām, taču pēc tam, kad visi savienojumi ir aizvērti, TCPView ir atvērts.

Coreinfo

Parāda informāciju par sistēmas CPU un visām funkcijām. Vai kādreiz esat interesējušies, vai jūsu CPU ir 64 bitu vai arī tas atbalsta aparatūras virtualizāciju? Jūs varat redzēt visu un daudz, daudz vairāk ar coreinfo lietderību. Tas var patiešām noderīgi, ja vēlaties redzēt, vai vecāks dators var palaist 64 bitu Windows versiju vai nē.

Image
Image

Rokturis

Šī lietderība ir tā pati lieta, ko Process Explorer veic - jūs varat ātri meklēt, lai uzzinātu, kurš process ir atvērts rokturis, kas bloķē piekļuvi resursam vai no resursa dzēšanas. Sintakse ir diezgan vienkārša:

handle

Un, ja vēlaties aizvērt rokturi, varat to izmantot, lai slēptu sarakstu, kas apvienots ar procesa ID (-p slēdzi), izmantojot heksadecimālo roktura kodu (ar -c).

handle -c -p

Šim uzdevumam, iespējams, ir daudz vieglāk izmantot Process Explorer.
Šim uzdevumam, iespējams, ir daudz vieglāk izmantot Process Explorer.

ListDlls

Tāpat kā Process Explorer, šī lietderība uzskaitīti DLL, kas tiek ielādēti kā daļa no procesa. Protams, ir daudz vieglāk izmantot Process Explorer.

Image
Image

RamMap

Šī lietderība analizē jūsu fiziskās atmiņas izmantošanu, izmantojot dažādus atmiņas atveidošanas paņēmienus, tostarp ar fiziskām lapām, kur jūs varat redzēt RAM atrašanās vietu, kurā ir iekļauta katra izpildāmā faila.

Image
Image

Strings Atrod cilvēku lasāmu tekstu lietotnēs un DLL

Ja dažās programmatūras paketēs redzat dīvainu URL kā virkni, ir laiks uztraukties. Kā jūs redzētu šo dīvaini virkni? Stringu lietderība no komandrindas (vai izmantojot funkciju Process Explorer vietā).

Ieteicams: