ШКОЛЬНАЯ НАВИГАЦИЯ
- Каковы инструменты SysInternals и как их использовать?
- Понимание Process Explorer
- Использование Process Explorer для устранения неполадок и диагностики
- Понимание Process Monitor
- Использование Process Monitor для устранения неполадок и поиска файлов реестра
- Использование автозапуска для работы с процессами запуска и вредоносными программами
- Использование BgInfo для отображения информации о системе на рабочем столе
- Использование PsTools для управления другими ПК из командной строки
- Анализ и управление файлами, папками и дисками
- Объединение и использование инструментов вместе
Мы узнали, как использовать Process Explorer для устранения непокорных процессов в системе и Process Monitor, чтобы узнать, что они делают под капотом. Мы узнали об Autoruns, одном из самых мощных инструментов борьбы с вредоносными заражениями, и PsTools для управления другими ПК из командной строки.
Сегодня мы рассмотрим оставшиеся утилиты в наборе, которые можно использовать для различных целей: от просмотра сетевых подключений до получения эффективных разрешений на объекты файловой системы.
Но сначала мы рассмотрим гипотетический примерный сценарий, чтобы увидеть, как вы можете использовать ряд инструментов для решения проблемы и провести некоторое исследование того, что происходит.
Какой инструмент следует использовать?
Для работы не всегда есть один инструмент - гораздо лучше использовать их все вместе. Вот примерный сценарий, чтобы дать вам представление о том, как вы можете заниматься расследованием, хотя стоит отметить, что существует множество способов выяснить, что происходит. Это просто быстрый пример, который поможет проиллюстрировать, и ни в коем случае не является точным перечнем шагов.
Сценарий: система запускает медленные, подозрительные вредоносные программы
Первое, что вам нужно сделать, это открыть Process Explorer и посмотреть, какие процессы используют ресурсы в системе. После того, как вы определили процесс, вы должны использовать встроенные инструменты в Process Explorer, чтобы проверить, действительно ли это процесс, убедитесь, что он является законным и, возможно, сканирует этот процесс на вирусы, используя встроенную интеграцию VirusTotal.
Замечания:если вы действительно считаете, что может быть вредоносное ПО, часто бывает полезно отключить или отключить доступ к Интернету на этом компьютере при устранении неполадок, хотя сначала вы можете сначала выполнить поиск VirusTotal. В противном случае это вредоносное ПО может загружать больше вредоносных программ или передавать больше вашей информации.
Если процесс полностью закончен, убейте или перезапустите процесс оскорбления, и перекрестите пальцы, что это была случайность. Если вы больше не хотите, чтобы этот процесс запускался, вы можете удалить его или использовать Autoruns, чтобы остановить загрузку процесса при запуске.
Если это не решит проблему, возможно, пришло время вытащить Process Monitor и проанализировать процессы, которые вы уже определили, и выяснить, к чему они стремятся получить доступ. Это может дать вам ключ к тому, что на самом деле происходит - возможно, процесс пытается получить доступ к разделу реестра или файлу, который не существует или к нему нет доступа, или, может быть, он просто пытается захватить все ваши файлы и делать много отрывочных вещей, таких как доступ к информации, которую он, вероятно, не должен, или сканирование всего вашего диска без уважительной причины.
Кроме того, если вы подозреваете, что приложение подключается к чему-то, что ему не нужно, что очень часто встречается в случае шпионских программ, вы вытаскиваете утилиту TCPView, чтобы проверить, так ли это.
На этом этапе вы могли бы определить, что этот процесс является вредоносным программным обеспечением или crapware. В любом случае вы не хотите этого. Вы можете запустить процесс удаления, если они перечислены в списке «Программы удаления» панели управления, но много раз они не указаны или не очищаются должным образом. Это когда вы вытаскиваете Autoruns и находите каждое место, которое приложение подключилось к запуску, и открутите их оттуда, а затем удалите все файлы.
Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.
TCPView
Эта утилита - отличный способ увидеть, какие приложения на вашем компьютере подключаются к каким сервисам по сети. Вы можете увидеть большую часть этой информации в командной строке с помощью netstat или похоронить в интерфейсе Process Explorer / Monitor, но гораздо проще просто открыть TCPView и посмотреть, что связано с чем.
Цвета в списке довольно просты и похожи на другие утилиты - ярко-зеленый означает, что соединение только что появилось, красный означает, что соединение закрывается, а желтый означает, что соединение изменилось.
Вы также можете посмотреть свойства процесса, завершить процесс, закрыть соединение или вывести отчет Whois. Это просто, функционально и очень полезно.
Замечания:Когда вы впервые загружаете TCPView, вы можете увидеть тонну соединений из [Системного процесса] для всех видов интернет-адресов, но это обычно не проблема. Если все соединения находятся в состоянии TIME_WAIT, это означает, что соединение закрывается, и нет процесса для назначения соединения, поэтому они должны соответствовать назначению PID 0, так как нет PID, чтобы назначить его,
Обычно это происходит, когда вы загружаете TCPView после подключения к кучу вещей, но он должен исчезнуть после закрытия всех соединений и сохранить TCPView открытым.
Coreinfo
Показывает информацию о системном ЦП и всех функциях. Вы когда-нибудь задавались вопросом, является ли ваш процессор 64-разрядным или если он поддерживает аппаратную виртуализацию? Вы можете увидеть все это и многое, многое другое с помощью утилиты coreinfo. Это может быть действительно полезно, если вы хотите узнать, может ли более старый компьютер запускать 64-разрядную версию Windows или нет.
Справиться
Эта утилита выполняет то же самое, что делает Process Explorer - вы можете быстро найти, какой процесс имеет открытый дескриптор, который блокирует доступ к ресурсу или удаляет ресурс. Синтаксис довольно прост:
handle
И если вы хотите закрыть дескриптор, вы можете использовать шестнадцатеричный код дескриптора (с -c) в списке в сочетании с идентификатором процесса (ключ -p), чтобы закрыть его.
handle -c -p
ListDLLs
Как и Process Explorer, эта утилита перечисляет библиотеки DLL, которые загружаются как часть процесса. Разумеется, гораздо проще использовать Process Explorer.
RamMap
Эта утилита анализирует использование физической памяти с множеством различных способов визуализации памяти, в том числе физическими страницами, где вы можете видеть местоположение в ОЗУ, в которое загружается каждый исполняемый файл.
Строки находят текст, читаемый человеком в приложениях и библиотеках DLL
Если в каком-то программном пакете вы видите странный URL-адрес в виде строки, пришло время волноваться. Как вы увидите эту странную строку? Использование утилиты strings из командной строки (или использование функции в Process Explorer вместо этого).
Следующая страница: Настройка автоматического входа в систему и ShellRunAs
