SYSINTERNALS PRO: סיכום ושימוש בכלים ביחד

sysinternals-pro-corapup-and-using-the-tools-together תמונה 1

אנחנו בסוף סדרת SysInternals שלנו, וזה הזמן לסכם הכל על ידי דיבור על כל כלי השירות הקטנים שלא כיסינו בתשעת השיעורים הראשונים. בהחלט יש הרבה כלים בערכה הזו.

למדנו כיצד להשתמש ב-Process Explorer כדי לפתור בעיות בתהליכים סוררים במערכת, וב-Process Monitor כדי לראות מה הם עושים מתחת למכסה המנוע. למדנו על Autoruns, אחד הכלים החזקים ביותר להתמודדות עם זיהומים של תוכנות זדוניות, ו-PsTools לשליטה במחשבים אחרים משורת הפקודה.

היום אנחנו הולכים לכסות את שאר כלי השירות בערכה, שיכולים לשמש לכל מיני מטרות, החל מצפייה בחיבורי רשת ועד לראות הרשאות יעילות על אובייקטים של מערכת קבצים.

אבל ראשית, נעבור על תרחיש דוגמה היפותטי כדי לראות כיצד תוכל להשתמש במספר כלים יחד כדי לפתור בעיה ולעשות מחקר על מה שקורה.

באיזה כלי כדאי להשתמש?

לא תמיד יש רק כלי אחד לעבודה - הרבה יותר טוב להשתמש בכולם ביחד. להלן תרחיש לדוגמה כדי לתת לך מושג כיצד תוכל להתמודד עם החקירה, אם כי ראוי לציין כי ישנן מספר דרכים להבין מה קורה. זוהי רק דוגמה מהירה להמחשה, והיא בשום אופן לא רשימה מדויקת של שלבים שיש לבצע.

תרחיש: המערכת פועלת לאט, חשד לתוכנה זדונית

הדבר הראשון שעליך לעשות הוא לפתוח את Process Explorer ולראות אילו תהליכים משתמשים במשאבים במערכת. לאחר שזיהית את התהליך, עליך להשתמש בכלים המובנים ב-Process Explorer כדי לוודא מהו התהליך בפועל, לוודא שהוא לגיטימי, ולחלופין לסרוק את התהליך הזה לאיתור וירוסים באמצעות האינטגרציה המובנית של VirusTotal.

sysinternals-pro-corapup-and-using-the-tools-together תמונה 2

התהליך הזה הוא למעשה כלי עזר של SysInternals, אבל אם הוא לא היה, היינו בודקים אותו.

הערה: אם אתה באמת חושב שאולי יש תוכנה זדונית, לעתים קרובות זה מועיל לנתק או להשבית את הגישה לאינטרנט במחשב הזה בזמן פתרון בעיות, אם כי אולי תרצה לבצע חיפושי VirusTotal תחילה. אחרת תוכנה זדונית עשויה להוריד יותר תוכנות זדוניות, או להעביר יותר מידע שלך.

אם התהליך לגיטימי לחלוטין, הרוג או התחל מחדש את התהליך הפוגע, והחזיק אצבעות שזה היה מזל. אם אתה לא רוצה שהתהליך הזה יתחיל יותר, אתה יכול להסיר את התקנתו, או להשתמש בהפעלה אוטומטית כדי לעצור את טעינת התהליך בעת ההפעלה.

אם זה לא פותר את הבעיה, אולי הגיע הזמן להוציא את Process Monitor ולנתח את התהליכים שכבר זיהיתם ולהבין למה הם מנסים לגשת. זה יכול לתת לך רמזים למה שקורה בפועל - אולי התהליך מנסה לגשת למפתח רישום או קובץ שלא קיים או שאין לו גישה אליו, או אולי הוא פשוט מנסה לחטוף את כל הקבצים שלך ולעשות הרבה דברים מעורפלים כמו גישה למידע שהוא כנראה לא צריך, או סריקה של כל הכונן ללא סיבה מוצדקת.

בנוסף, אם אתה חושד שהיישום מתחבר למשהו שהוא לא צריך, דבר שכיח מאוד במקרה של תוכנות ריגול, תוציא את כלי השירות TCPView כדי לוודא אם זה המקרה.

בשלב זה אולי החלטת שהתהליך הוא תוכנות זדוניות או תוכנות חרא. בכל מקרה אתה לא רוצה את זה. אתה יכול לעבור את תהליך הסרת ההתקנה אם הם מופיעים ברשימת תוכניות הסרת ההתקנה של לוח הבקרה, אך פעמים רבות הן אינן מופיעות ברשימה, או אינן מנקות כראוי. זה כאשר אתה שולף Autoruns ומוצא כל מקום שהאפליקציה התחברה לאתחול, ומוציא אותם משם, ואז מוציא גרעין לכל הקבצים.

הפעלת סריקת וירוסים מלאה של המערכת שלך גם מועילה, אבל בואו נהיה כנים... רוב תוכנות החרא ותוכנות הריגול מותקנות למרות שיישומי אנטי-וירוס מותקנים. מניסיוננו, רוב האנטי וירוסים ידווחו בשמחה על הכל כשהמחשב שלכם בקושי יכול לפעול בגלל תוכנות ריגול ותוכנות חרא.

TCPView

כלי זה הוא דרך מצוינת לראות אילו יישומים במחשב שלך מתחברים לאילו שירותים דרך הרשת. אתה יכול לראות את רוב המידע הזה בשורת הפקודה באמצעות netstat, או קבור בממשק Process Explorer / Monitor, אבל הרבה יותר קל פשוט לפתוח את TCPView ולראות מה מתחבר למה.

הצבעים ברשימה די פשוטים ודומים לכלי השירות האחרים - ירוק בהיר אומר שהחיבור פשוט הופיע, אדום אומר שהחיבור נסגר, וצהוב אומר שהחיבור השתנה.

אתה יכול גם להסתכל על מאפייני התהליך, לסיים את התהליך, לסגור את החיבור או להעלות דוח Whois. זה פשוט, פונקציונלי ושימושי מאוד.

sysinternals-pro-copping-up-and-using-the-tools-together תמונה 3

הערה: כאשר אתה טוען לראשונה TCPView, ייתכן שתראה המון חיבורים מ-[מערכת תהליך] לכל מיני כתובות אינטרנט, אבל זה בדרך כלל לא מהווה בעיה. אם כל החיבורים נמצאים במצב TIME_WAIT, זה אומר שהחיבור נסגר, ואין תהליך להקצות אליו את החיבור, אז הם צריכים לעלות כפי שהוקצו ל-PID 0 מכיוון שאין PID להקצות אותו. .

זה קורה בדרך כלל כשאתה טוען TCPView לאחר שהתחברת להרבה דברים, אבל זה אמור להיעלם אחרי שכל החיבורים נסגרים ואתה משאיר את TCPView פתוח.

Coreinfo

מציג מידע על מעבד המערכת וכל התכונות. תהיתם פעם אם המעבד שלכם הוא 64 סיביות או שהוא תומך בווירטואליזציה מבוססת חומרה? אתה יכול לראות את כל זה והרבה, הרבה יותר עם כלי השירות coreinfo. זה יכול להיות מאוד שימושי אם אתה רוצה לראות אם מחשב ישן יותר יכול להריץ את גירסת 64 סיביות של Windows או לא.

sysinternals-pro-corapup-and-using-the-tools-together תמונה 4

ידית

כלי השירות הזה עושה את אותו הדבר שעושה Process Explorer - אתה יכול לחפש במהירות כדי לגלות לאיזה תהליך יש ידית אחיזה פתוחה שחוסמת גישה למשאב, או למחיקת משאב. התחביר די פשוט:

ידית

ואם אתה רוצה לסגור את הידית, אתה יכול להשתמש בקוד הידית ההקסדצימלי (עם -c) ברשימה בשילוב עם מזהה התהליך (מתג -p) כדי לסגור אותו.

ידית -c -p

sysinternals-pro-corapup-and-using-the-tools-together תמונה 5

זה כנראה הרבה יותר קל להשתמש ב-Process Explorer למשימה זו.

ListDlls

בדיוק כמו Process Explorer, כלי השירות הזה מפרט את קובצי ה-DLL שנטענים כחלק מתהליך. הרבה יותר קל להשתמש ב-Process Explorer, כמובן.

sysinternals-pro-corapup-and-using-the-tools-together תמונה 6

RamMap

כלי זה מנתח את השימוש בזיכרון הפיזי שלך, עם המון דרכים שונות להמחיש את הזיכרון, כולל לפי דפים פיזיים, שבהם אתה יכול לראות את המיקום ב-RAM שאליו כל קובץ הפעלה נטען.

sysinternals-pro-corapup-and-using-the-tools-together תמונה 7

מחרוזות מוצאות טקסט הניתן לקריאה לאדם באפליקציות ובקובצי DLL

אם אתה רואה כתובת אתר מוזרה כמחרוזת בחבילת תוכנה כלשהי, הגיע הזמן לדאוג. איך היית רואה את המחרוזת המוזרה הזו? שימוש בכלי המחרוזות משורת הפקודה (או שימוש בפונקציה ב-Process Explorer במקום זאת).

sysinternals-pro-corapup-and-using-the-tools-together תמונה 8

העמוד הבא: הגדרת כניסה אוטומטית ו-ShellRunAs

עוד סיפורים

טריוויה של חנון: איזה אוכל עשוי בעצם משמרי בירה משוחזרים?

חושבים שאתם יודעים את התשובה? לחץ כדי לראות אם אתה צודק!

כיצד לעקוב בקלות אחר רשימת המטלות שלך באמצעות אפליקציית TaskIt ב-Word 2013

ישנן דרכים רבות לעקוב אחר המשימות שלך, מכלים מקוונים, מחשבים וניידים ועד לשיטות מיושנות כמו פתקים ופיסות נייר. עם זאת, אם אתה עובד ב-Word לעתים קרובות, אתה יכול לעקוב אחר המשימות שלך ישירות ב-Word.

Word for Teams: הגבלת והגנה על מסמכים ותבניות

הגבלה והגנה על מסמך מבטיחות שאתה הסמכות האולטימטיבית לגבי התקדמותו.

טריוויה של חנון: עכביש בג'ונגל האמזונס הוא ייחודי בכך שהוא?

חושבים שאתם יודעים את התשובה? לחץ כדי לראות אם אתה צודק!

כיצד לתקן את השגיאה 'לא ניתן היה לגשת לשירות Windows Installer' ב-Windows 7

האם ניסית להתקין תוכנית ב-Windows 7 שמשתמשת בקובץ MSI כמתקין שלה ובמקום זאת ראית את השגיאה לעיל? אל תפחד לעולם. יש פתרון קל ואנחנו כאן כדי לעזור לך איתו.

Word for Teams: שימוש בהערות לציון שינויים במסמך

בנוסף לשימוש ב- Track Changes כדי לרשום כל תיקונים ושינויים במסמך (הנדון בשיעור 2), אתה יכול גם לספק משוב במקום שינוי הטקסט או הפריסה בפועל.

האם shutdown.exe נחוץ כדי לכבות את Windows?

האם shutdown.exe נחוץ בעת כיבוי של Windows, או שזה רק חלק ממה שמשמש לכיבוי של Windows? האם נעשה שימוש בקבצים ו/או תהליכים אחרים במקום זאת? פוסט השאלות והתשובות של SuperUser של היום מכיל את התשובה לשאלת קורא סקרן.

טריוויה של חנון: מה נחשב פעם עונש אכזרי ויוצא דופן להאכיל אסירים?

חושבים שאתם יודעים את התשובה? לחץ כדי לראות אם אתה צודק!

Microsoft OneNote זמין כעת בחינם

OneNote היא אפליקציה נפלאה לרישום הערות, שמירה על רשימות ועוד, אך היה צורך לרכוש אותה לפני הוספתה למחשב האהוב עליך, ולא הייתה זמינה עבור Mac. אבל כבר לא! החל מאתמול, מיקרוסופט הפכה את OneNote בחינם עבור כל מערכות Windows 7 ו-8.x בתוספת גרסה חדשה

Word for Teams: מעקב אחר שינויים שבוצעו במסמך

כעת, לאחר שהגדרת את התבנית עבור המסמך שלך בשיעור 1, והטיוטה הראשונה של המסמך שלך נכתבה, הגיע זמן העריכה. אם יש לך מספר אנשים שמשתפים פעולה במסמך, תוכל להשתמש בתכונה 'עקוב אחר שינויים' ב-Word כדי לדעת אילו שינויים בוצעו ומי ביצע אותם.