Sysinternals pro: inpakken en het gebruik van de tools samen

We zijn aan het einde van onze SysInternals serie, en het is tijd om alles te verpakken door te praten over alle kleine hulpprogramma’s die we niet te dekken door middel van de eerste negen lessen. Er zijn zeker een hoop tools in deze kit.

We hebben geleerd hoe je Process Explorer te gebruiken om onhandelbare processen oplossen van problemen op het systeem, en Process Monitor om te zien wat ze aan het doen zijn onder de motorkap. We hebben geleerd over Autoruns, een van de meest krachtige tools om te gaan met malware-infecties, en PsTools naar andere pc’s vanaf de command line te controleren.

Vandaag gaan we de resterende nutsbedrijven in de kit, die kan worden gebruikt voor allerlei doeleinden, variërend van het bekijken van netwerkverbindingen om effectieve machtigingen voor het bestandssysteem objecten zien te dekken.

Maar eerst zullen we lopen door een hypothetisch voorbeeld scenario te zien hoe je een aantal van de instrumenten bij elkaar zou kunnen gebruiken om een ​​probleem op te lossen en te doen wat onderzoek op wat er gaande is.

Er is niet altijd slechts één tool voor de job – het is veel beter om ze allemaal samen te gebruiken. Hier is een voorbeeld scenario om u een idee van hoe je het onderzoek zou kunnen pakken te geven, maar het is vermeldenswaard dat er een aantal manieren om erachter te komen wat er gaande is. Dit is slechts een snel voorbeeld om te illustreren, en is geenszins een exacte lijst van de te volgen stappen.

Scenario: systeem draait Slow, Verdacht Malware

Het eerste wat je moet doen is het openstellen van Process Explorer en te zien welke processen worden met behulp van bronnen op het systeem. Zodra u het proces hebt geïdentificeerd, moet u de ingebouwde tools te gebruiken in Process Explorer om na te gaan wat het proces eigenlijk is, zorg ervoor dat het legitiem, en optioneel scannen dat proces op virussen met behulp van de ingebouwde VirusTotal integratie.

Let op: als je echt denkt dat er misschien malware zijn, is het vaak nuttig om de stekker uit of toegang tot internet te schakelen op die machine, terwijl het oplossen van problemen, hoewel je zou willen doen VirusTotal lookups eerste. Anders dat malware kan downloaden meer malware, of te verzenden meer van uw informatie.

Als het proces is volledig legitiem, doden of de gewraakte proces opnieuw op en steek uw vingers dat het een toevalstreffer. Als u niet wilt dat proces meer te starten, kunt u verwijderen, of gebruik Autoruns om het proces te stoppen van het laden bij het opstarten.

Als dat het probleem niet oplost, is het misschien tijd Process Monitor uit te trekken en de processen die je al hebt geïdentificeerd analyseren en erachter te komen wat ze proberen om toegang te krijgen zijn. Dit kan je aanwijzingen geven in wat er werkelijk gaande is – misschien het proces probeert om toegang te krijgen tot een registersleutel of bestand dat niet bestaat of het geen toegang te hebben, of misschien is het gewoon proberen om al uw bestanden te kapen en doe veel schetsmatig dingen zoals toegang tot informatie dat het waarschijnlijk niet zou moeten, of het scannen van uw hele schijf zonder goede reden.

Bovendien, als u vermoedt dat de toepassing verbinding maakt met iets dat het niet mag, dat is heel gebruikelijk in het geval van spyware, zou je trek de TCPView hulpprogramma te gaan of dat het geval is.

Op dit punt u zou kunnen hebben vastgesteld dat het proces is malware of op crapware. Hoe dan ook je het niet wilt. U kunt lopen door de uninstall proces als ze in Uninstall Programs lijst Configuratiescherm zijn genoteerd, maar vele keren dat ze zijn niet vermeld, of niet goed schoon. Dit is wanneer u de stekker uit Autoruns en vind elke plek die de aanvraag heeft gehaakt in het opstarten, en nuke ze van daar, en vervolgens nuke alle bestanden.

Het runnen van een volledige virus scan van uw systeem is ook nuttig, maar laten we eerlijk zijn … de meeste crapware en spyware wordt geïnstalleerd, ondanks anti-virus applicaties geïnstalleerd. In onze ervaring, zullen de meeste anti-virus gelukkig rapporteren “all clear” terwijl uw PC nauwelijks kunnen werken als gevolg van spyware en crapware.

Deze tool is een geweldige manier om te zien welke programma’s op uw computer aansluit op welke diensten over het netwerk. U kunt de meeste van deze informatie te zien over de command prompt met behulp van netstat, of begraven in de Process Explorer / Monitor-interface, maar het is veel makkelijker om gewoon openspringen TCPView en zien wat maakt verbinding met wat.

De kleuren in de lijst zijn vrij eenvoudig en vergelijkbaar met de andere nutsbedrijven – helder groen betekent dat de verbinding gewoon opdagen, rood betekent dat de verbinding wordt gesloten, en geel betekent dat de verbinding veranderd.

U kunt ook kijken naar het proces eigenschappen, het proces beëindigt, sluit de verbinding, of trek een Whois rapport. Het is eenvoudig, functioneel en zeer nuttig.

Opmerking: Als u voor het eerst last TCPView, je zou een ton van de verbindingen van [System Process] Zie voor allerlei internet-adressen, maar dit is meestal geen probleem. Wanneer alle verbindingen zijn in de TIME_WAIT staat, betekent dit dat de verbinding wordt gesloten en er geen werkwijze om de verbinding toe te wijzen en moeten daarom als gedefineerd PID 0 omdat er geen PID toe te wijzen aan .

Dit gebeurt meestal wanneer u na verbonden met een heleboel dingen laden TCPView, maar het moet verdwijnen na alle aansluitingen dicht en je blijft TCPView geopend.

Toont informatie over het systeem CPU en alle functies. Ooit afgevraagd of je CPU is 64-bit of als het ondersteunt hardware-gebaseerde virtualisatie? Je kunt zien dat alles en nog veel meer met de coreinfo hulpprogramma. Dit kan erg handig zijn als u wilt zien of een oudere computer de 64-bits versie van Windows of niet kan draaien.

Deze tool doet het zelfde ding dat Process Explorer heeft – kunt u snel zoeken om erachter te komen welk proces een open handvat die de toegang blokkeert tot een bron of van een bron te verwijderen is. De syntax is vrij eenvoudig

handvat

En als je wilt om het handvat te sluiten, kunt u de hexadecimale code handvat (met -c) in de lijst in combinatie met het proces-ID (de -p switch) gebruikt om te sluiten.

handvat -c -p

Het is waarschijnlijk een stuk makkelijker om Process Explorer te gebruiken voor deze taak.

Net als Process Explorer, dit programma geeft je de DLL’s die als onderdeel van een proces worden geladen. Het is een stuk makkelijker om Process Explorer gebruikt, natuurlijk.

Deze tool analyseert je fysieke geheugen gebruik, met tal van verschillende manieren om het geheugen te visualiseren, onder meer door fysieke pagina, waar je de locatie in het RAM dat elk uitvoerbaar in geladen kunnen zien.

Als je een vreemde URL als een string in een aantal software-pakket, is het tijd om te zorgen. Hoe zou je zien dat raar touwtje? Met behulp van de snaren hulpprogramma vanaf de command prompt (of met de functie in Process Explorer in plaats daarvan).

Volgende pagina: Auto Logon en ShellRunas configureren

Over ShellRunas: Als je in een bedrijfsomgeving waarin smart card-gebruik voor verificatie dwingt tot het systeem, kan dit niet voor je werken. Ook in Windows 7 (misschien Vista en 8 mede) de functionaliteit is ingebouwd in de Shift + snelmenu.

Ik wist dat ik iets als ik het schrijven was het vergeten … uiteindelijk een beetje gehaast tijdens het schrijven van deze, en het komt zeker door middel van in de tekst.

De sectie ShellRunas.

Koel. Ik moest dit op de harde manier ene keer vind mezelf toen mijn organisatie uitgerold smartcardaanmelding handhaving en plotseling de ShellRunas niet zou werken voor mij. Ik riep steun en ze konden niet achterhalen waarom het niet werkte ook niet – totdat uiteindelijk kwam het dat ik niet met behulp van Shift + Right-Click. Ze waren in de veronderstelling dat ik probeerde om Windows ‘ingebouwde RunAs-functionaliteit (die ondersteunt smartcardaanmelding) gebruiken in plaats van een Sysinternals tool.

Vond een prachtige GUI die zowel Sysinternals en Nirsoft nutsbedrijven importeert en werkt als een front-end.

http://www.kls-soft.com/wscc/

Scheelt een hoop tijd en moeite.

Houd vaststelling ….

Fred

De link die u in de sectie Autologon is een gemakkelijke manier om hetzelfde te doen, ja. Toch zal deze methode niet werken voor een domein machines. Autologon wil.

De Boeing 737 is de best verkopende en meest gebruikte passagiersvliegtuig in de wereld, het is sinds 1968 in dienst is.