KOOLI NAVIGATSIOON
- Millised on SysInternalsi tööriistad ja kuidas neid kasutada?
- Process Exploreri mõistmine
- Tõrkeotsing ja diagnostika kasutades Protsessoritarkvara
- Process Monitori mõistmine
- Protsessori monitori kasutamine registrirakenduste tõrkeotsingute ja leidmiseks
- Autorunsi kasutamine käivitusprotsesside ja pahavara käsitlemiseks
- Kasutades BgInfo süsteemi kuvamiseks töölaual
- Kasutades käsku PsTools muude arvutite juhtimiseks käsurealt
- Failide, kaustade ja draivide analüüsimine ja haldamine
- Tööriistade koondamine ja kasutamine koos
Oleme õppinud, kuidas Protsessi Explorerit kasutada, et tõrkeotsinguks süsteemis toimuvat ebakorrapäraseid protsesse ja protsessihaldurit, et näha, mida nad kontori all hoiavad. Oleme saanud teada autorunutest, mis on üks enim võimasid tööriistu võitluses pahavara infektsioonidega, ja PsTools juhtida teisi arvuteid käsurealt.
Täna kavatseme katta komplekti kuuluvad allesjäänud kommunikatsioonid, mida saab kasutada igasugusteks eesmärkideks, alates vaatamise võrguühendustest kuni failisüsteemi objektide tõhusate õiguste nägemiseni.
Aga kõigepealt läbime hüpoteetilise näite stsenaariumi, et näha, kuidas saaksite probleemi lahendamiseks koos mõne tööriistaga koos teha ja uurida, mis toimub.
Millist tööriista peaksite kasutama?
Töö jaoks pole alati ainult üks tööriist - neid on palju parem kasutada koos. Siin on näide stsenaariumi kohta, mis annab teile ülevaate sellest, kuidas uurimine võidelda, kuigi tasub märkida, et selle kohta on palju võimalusi. See on vaid üks näide, mis illustreerib ja ei ole mingil juhul täpne nimekiri järgitavatest sammudest.
Stsenaarium: süsteem käib aeglaselt, arvatavalt pahavara
Esimene asi, mida peaks tegema, on avada Protsessijuht ja näha, millised protsessid kasutavad süsteemis ressursse. Kui olete protsessi tuvastanud, peate kasutama Process Exploreris sisseehitatud tööriistu, et kontrollida protsessi tegelikkust, veenduda, et see on õigustatud, ja valikuliselt skannida seda protsessi viiruste jaoks, kasutades sisseehitatud VirusTotalintegratsiooni.
Märge:kui tõesti arvate, et seal võib olla pahavara, on sageli kasulik tõrkeotsingu ajal selle pordi pistikupesa lahti ühendada või keelata, kuigi võite esmalt VirusTotali otsingut teha. Vastasel juhul võib pahavarastus laadida rohkem pahavara või edastada rohkem teie teavet.
Kui protsess on täiesti õigustatud, tapa või taaskäivitage rikkuva protsessi ja ületage oma sõrmed, et see on pettus. Kui te ei soovi enam seda protsessi käivitada, saate selle desinstallida või kasutada Autorunsi, et protsessi käivitamisel laadimine peatada.
Kui see probleemi ei lahenda, võib olla aeg tõmmata protsessi jälgija ja analüüsida juba kindlaksmääratud protsesse ning selgitada välja, mida nad proovivad pääseda. See võib teile anda vihjeid sellele, mis tegelikult toimub - võibolla protsess üritab pääseda registrivõti või faili, mida ei ole olemas või millele pole juurdepääsu, või võib-olla üritab ta ainult kõiki oma faile kaaperdada ja tehke palju visuaalseid asju nagu juurdepääs informatsioonile, mida see tõenäoliselt ei tohiks, või kogu oma autot ilma kogu mõistliku põhjuseta skannida.
Kui kahtlustate, et rakendus ühendab midagi, mida see ei tohiks, mis on nuhkvara korral väga levinud, võite tõrjuda TCPView utiliidi, et kontrollida, kas see nii on.
Sel hetkel võisid teil olla kindel, et protsess on pahavara või nuhkvara. Mõlemal juhul te ei soovi seda. Desinstalliprotsessi saate käivitada, kui need on loetletud juhtpaneeli desinstalliprogrammide loendis, kuid neid ei ole paljudel juhtudel loetletud ega korrektset. See on siis, kui tõmbate Autorunsi välja ja leidke kõik kohad, kus rakendus on käivitamisel konksuga ühendatud, ja nuke need seal, ja seejärel nuke kõik failid.
Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.
TCPView
See utiliit on suurepärane võimalus näha, millised teie arvuti rakendused loovad võrgu teenuseid. Enamikku sellest informatsioonist leiate käsuriiverist netstati kasutades või protsess Exploreri / monitori liidesesse maetud, kuid on palju lihtsam lihtsalt avada TCPView ja näha, mis sellega on ühendatud.
Nimekirjas olevad värvid on üsna lihtsad ja sarnased teiste kommunikatsioonidega - erkroheline tähendab, et ühendus just näitas üles, punane tähendab, et ühendus suletakse ja kollaselt tähendab, et ühendus muutus.
Võite ka vaadata protsessi omadusi, lõpetada protsessi, sulge ühendust või tõmmata Whois aruannet. See on lihtne, funktsionaalne ja väga kasulik.
Märge:TCPViewi esmakordsel laadimisel võite näha [Connecti protsessi] ühendusi kõigile Interneti-aadressidele, kuid see pole tavaliselt probleem. Kui kõik ühendused on TIME_WAIT olekus, tähendab see, et ühendus suletakse ja ühendus ei ole ühendatud, nii et nad peaksid üles pandud vastavalt PID 0-le, kuna selle määramiseks pole PID-d.
See juhtub tavaliselt siis, kui laadite TCPView'i pärast seda, kui olete ühendanud hulga asju, kuid see peaks pärast kõigi ühenduste sulgemist ja TCPViewi avamist jätkama.
Coreinfo
Näitab süsteemi protsessorit ja kõiki funktsioone. Kunagi mõelnud, kas teie CPU on 64-bitine või kui see toetab riistvaralise virtualiseerimise? Põhiteabe utiliidi näete kõike seda ja palju, palju rohkem. See võib olla tõesti kasulik, kui soovite näha, kas vanem arvuti saab Windowsi 64-bitise versiooni käitada või mitte.
Käepide
See utiliit teeb sama asja, mida Process Explorer kasutab - saate kiiresti otsida, et teada saada, milline protsess sisaldab avatud käepide, mis blokeerib ressursile juurdepääsu või ressursi kustutamist. Süntaks on üsna lihtne:
handle
Ja kui soovite käepideme sulgeda, saate selle sulgemiseks kasutada loendis koos protsessi ID-ga (-p-lüliti) heksade kummagi käepideme koodiga (-c).
handle -c -p
ListDlls
Nagu protsess Exploreri, loetleb see utiliit välja DLL-failid, mis on protsessi osana laaditud. Muidugi on protsess Exploreri kasutamine palju lihtsam.
RamMap
See utiliit analüüsib teie füüsilist mälu kasutamist koos mälu kujutise visualiseerimiseks mitmel erineval viisil, sealhulgas füüsiliste lehtede abil, kus saate näha, millises asukohas RAM iga käivitatav fail on laaditud.
Stringid leiab rakendustes ja DLL-is inimloitavat teksti
Kui mõnes tarkvarapaketis näete mõnda URL-d kui stringi, on aeg muretseda. Kuidas sa näeksid seda imelikku stringi? Stringide utiliidi kasutamine käsurealt (või kasutades funktsiooni protsessori Exploreris).
