Zbaliť a používať nástroje spoločne

Obsah:

Zbaliť a používať nástroje spoločne
Zbaliť a používať nástroje spoločne

Video: Zbaliť a používať nástroje spoločne

Video: Zbaliť a používať nástroje spoločne
Video: How to upload high quality images on facebook using only 1 click (Android Or IOS) - YouTube 2024, November
Anonim
Sme na konci našej série SysInternals a je načase zabaliť všetko tým, že hovoríme o všetkých malých nástrojoch, ktoré sme nepokryli počas prvých deviatich hodín. V tejto súprave je určite veľa nástrojov.
Sme na konci našej série SysInternals a je načase zabaliť všetko tým, že hovoríme o všetkých malých nástrojoch, ktoré sme nepokryli počas prvých deviatich hodín. V tejto súprave je určite veľa nástrojov.

ŠKOLSKÁ NAVIGÁCIA

  1. Aké sú nástroje SysInternals a ako ich používate?
  2. Pochopenie Process Explorer
  3. Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovať
  4. Porozumenie procesu sledovania
  5. Používanie monitora procesov na riešenie problémov a hackerov v registri
  6. Použitie autorunov na riešenie spúšťacích procesov a malware
  7. Použitie programu BgInfo na zobrazenie informácií o systéme na pracovnej ploche
  8. Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
  9. Analýza a správa súborov, priečinkov a diskov
  10. Zbaliť a používať nástroje spoločne

Naučili sme sa, ako používať program Process Explorer na riešenie problémov s neprípustnými procesmi v systéme a Process Monitor, aby sme zistili, čo robia pod kapotou. Naučili sme sa o Autoruns, jeden z najsilnejších nástrojov na riešenie malware infekcií, a PsTools na kontrolu ostatných počítačov z príkazového riadku.

Dnes budeme pokrývať zostávajúce nástroje v súprave, ktoré sa dajú použiť na rôzne účely, počnúc sledovaním sieťových pripojení až po efektívne povolenia objektov súborového systému.

Najprv však prejdeme hypotetickým príkladom scenára a uvidíme, ako by ste mohli použiť rad nástrojov spoločne na vyriešenie problému a urobiť nejaký výskum o tom, čo sa deje.

Ktorý nástroj by ste mali používať?

Nie je vždy len jeden nástroj pre prácu - je oveľa lepšie ich použiť spolu. Tu je príklad scenára, ktorý vám poskytne predstavu o tom, ako by ste mohli vyriešiť vyšetrovanie, aj keď stojí za zmienku, že existuje niekoľko spôsobov, ako zistiť, čo sa deje. Toto je len rýchly príklad na ilustráciu a nie je v žiadnom prípade presný zoznam krokov, ktoré treba nasledovať.

Scenár: systém je spustený pomaly, podozrivý škodlivý softvér

Prvá vec, ktorú by ste mali urobiť, je otvoriť Process Explorer a zistiť, aké procesy využívajú zdroje v systéme. Po identifikácii procesu by ste mali používať zabudované nástroje v aplikácii Process Explorer, aby ste si overili, čo je v skutočnosti proces, uistite sa, že je to legitímne a voliteľne skenujte tento proces vírusov pomocou vstavanej integrácie VirusTotal.

Image
Image

Poznámka:ak si naozaj myslíte, že by mohlo dôjsť k malvéru, je často užitočné pri odstraňovaní problémov odpojiť alebo zakázať prístup na internet v danom počítači, aj keď možno budete chcieť najprv vykonať vyhľadávanie v službe VirusTotal. V opačnom prípade by škodlivý softvér mohol prevziať viac škodlivého softvéru alebo odoslať viac vašich informácií.

Ak je proces úplne legitímny, zabite alebo reštartujte proces porušovania pravidiel a pretiahnite si prsty, že to bol náhodný. Ak už nechcete, aby sa tento proces začal, môžete ho buď odinštalovať, alebo pomocou programu Autoruns zastaviť proces pri načítaní pri štarte.

Ak to problém nevyrieši, mohlo by to byť čas vytiahnuť monitorovací proces a analyzovať procesy, ktoré ste už identifikovali, a zistiť, na čo sa pokúšajú pristupovať. To vám môže dať stopy do toho, čo sa vlastne deje - možno proces sa pokúša získať prístup k kľúčom alebo súborom databázy Registry, ktorý neexistuje, alebo nemá prístup, alebo sa možno pokúša uniesť všetky vaše súbory a robiť veľa nápadných vecí, ako je prístup k informáciám, ktoré by pravdepodobne nemali, alebo skenovanie celého disku za žiadny dobrý dôvod.

Navyše, ak máte podozrenie, že sa aplikácia pripája k niečomu, čo by nemalo, čo je veľmi časté v prípade spywaru, vytiahnite nástroj TCPView a overte, či to tak je.

V tomto okamihu ste mohli zistiť, že tento proces je škodlivý softvér alebo v prípade crapware. V každom prípade to nechcete. Proces odinštalovania môžete spustiť, ak sú uvedené v zozname Programy odinštalovania na ovládacom paneli, ale často nie sú uvedené v zozname alebo nie sú správne vyčistené. To je, keď vytiahnete Autoruns a nájdeme každé miesto, ktoré aplikácia zapája do štartu, a nuke je odtiaľ, a potom nuke všetky súbory.

Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.

TCPView

Tento nástroj je skvelý spôsob, ako zistiť, ktoré aplikácie na vašom počítači sa pripájajú k službám v sieti. Väčšinu týchto informácií môžete vidieť na príkazovom riadku pomocou netstatu alebo v aplikácii Process Explorer / Monitor, ale je to oveľa jednoduchšie otvoriť TCPView a zistiť, čo sa k nim pripojí.

Farby v zozname sú veľmi jednoduché a podobné ako ostatné nástroje - jasná zelená znamená, že sa pripojenie práve objavilo, červená znamená, že sa spojenie zatvára a žltá znamená zmenu spojenia.

Môžete sa tiež pozrieť na vlastnosti procesu, ukončiť proces, zatvoriť spojenie alebo vytiahnuť správu Whois. Je to jednoduché, funkčné a veľmi užitočné.

Image
Image

Poznámka:Pri prvom načítaní protokolu TCPView sa môže zobraziť tón pripojení z [System Process] na všetky druhy internetových adries, ale zvyčajne to nie je problém. Ak sú všetky pripojenia v stave TIME_WAIT, znamená to, že spojenie je zatvorené a neexistuje proces priraďovania pripojenia, takže by mali byť priradené k PID 0, pretože neexistuje PID, ktorý by ho priradil,

To sa zvyčajne vyskytuje pri načítavaní TCPView po pripojení k veľa vecí, ale po ukončení všetkých pripojení by to malo zmiznúť a otvoriť TCPView.

Coreinfo

Zobrazuje informácie o CPU systému a všetkých funkciách. Vždy ste sa pýtali, či váš CPU je 64-bitový alebo ak podporuje hardvérovú virtualizáciu? Môžete vidieť všetko a veľa, oveľa viac s nástrojom coreinfo. To môže byť skutočne užitočné, ak chcete zistiť, či starší počítač môže spustiť 64-bitovú verziu systému Windows alebo nie.

Image
Image

rukoväť

Tento nástroj robí to isté, ako Process Explorer robí - môžete rýchlo vyhľadať, ktorý proces má otvorený popisovač, ktorý blokuje prístup k prostriedku alebo vymazaním zdroja. Syntax je veľmi jednoduchý:

handle

A ak chcete zatvoriť kľučku, môžete v zozname kombinovať hexadecimálny kód (s -c) v kombinácii s ID procesu (prepínač -p) a zatvoriť ho.

handle -c -p

Je pravdepodobne oveľa jednoduchšie používať Process Explorer pre túto úlohu.
Je pravdepodobne oveľa jednoduchšie používať Process Explorer pre túto úlohu.

ListDlls

Rovnako ako Process Explorer, tento nástroj uvádza DLL, ktoré sú načítané ako súčasť procesu. Je to oveľa jednoduchšie používať Process Explorer, samozrejme.

Image
Image

RamMap

Tento nástroj analyzuje využitie vašej fyzickej pamäte s množstvom rôznych spôsobov vizualizácie pamäte vrátane fyzických stránok, kde môžete vidieť umiestnenie v pamäti RAM, do ktorej je každý spustiteľný súbor načítaný.

Image
Image

Struny nájdu text čitateľný človekom v aplikáciách a DLL

Ak v niektorom softvérovom balíku vidíte podivnú adresu URL ako reťazec, je načase sa obávať. Ako by ste videli, že podivný reťazec? Použitie pomôcky reťazcov z príkazového riadka (alebo pomocou funkcie v Process Explorer miesto).

Odporúča: