Zusammenfassen und Verwenden der Tools
Wir sind am Ende unserer SysInternals-Serie, und es ist Zeit, alles zu beenden, indem wir über die kleinen Hilfsmittel sprechen, die wir in den ersten neun Lektionen nicht behandelt haben. Es gibt definitiv viele Werkzeuge in diesem Kit.
SCHULNAVIGATION- Was sind die SysInternals-Tools und wie verwenden Sie sie??
- Prozess-Explorer verstehen
- Verwenden von Process Explorer zur Fehlerbehebung und Diagnose
- Prozessmonitor verstehen
- Verwenden von Process Monitor zur Problembehandlung und zum Suchen von Registrierungs-Hacks
- Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware
- Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
- Verwenden von PsTools zur Steuerung anderer PCs über die Befehlszeile
- Analysieren und Verwalten von Dateien, Ordnern und Laufwerken
- Zusammenfassen und Verwenden der Tools
Wir haben gelernt, wie Sie Process Explorer verwenden, um widerspenstige Prozesse im System zu behandeln, und Process Monitor, um zu sehen, was sie unter der Haube tun. Wir haben über Autoruns, eines der leistungsfähigsten Tools zum Umgang mit Malware-Infektionen, und PsTools zur Steuerung anderer PCs über die Befehlszeile informiert.
Heute werden wir die verbleibenden Dienstprogramme im Kit behandeln, die für alle möglichen Zwecke verwendet werden können, von der Anzeige von Netzwerkverbindungen bis hin zum Anzeigen effektiver Berechtigungen für Dateisystemobjekte.
Zuerst werden wir jedoch ein hypothetisches Beispielszenario durchgehen, um zu sehen, wie Sie eine Reihe von Tools zusammen verwenden können, um ein Problem zu lösen und etwas darüber zu erfahren, was los ist.
Welches Tool sollten Sie verwenden??
Es gibt nicht immer nur ein Werkzeug für den Job - es ist viel besser, sie alle zusammen zu verwenden. Hier ein Beispielszenario, in dem Sie eine Vorstellung davon bekommen, wie Sie die Ermittlungen angehen könnten, obwohl es erwähnenswert ist, dass es verschiedene Möglichkeiten gibt, um herauszufinden, was los ist. Dies ist nur ein kurzes Beispiel zur Veranschaulichung und ist keinesfalls eine genaue Liste der zu befolgenden Schritte.
Szenario: Das System läuft langsam, vermutete Malware
Als erstes sollten Sie Process Explorer öffnen und sehen, welche Prozesse Ressourcen im System verbrauchen. Nachdem Sie den Prozess identifiziert haben, sollten Sie die integrierten Tools in Process Explorer verwenden, um den Prozess zu überprüfen, um sicherzustellen, dass er wirklich legitim ist, und überprüfen Sie diesen Prozess optional mit der integrierten VirusTotal-Integration auf Viren.
Dieser Prozess ist eigentlich ein SysInternals-Dienstprogramm. Wenn dies nicht der Fall ist, prüfen wir es.Hinweis: Wenn Sie wirklich der Meinung sind, dass es möglicherweise Malware gibt, ist es oft hilfreich, während der Fehlerbehebung den Internetzugriff auf diesem Computer zu trennen oder zu deaktivieren, auch wenn Sie zuerst VirusTotal-Suchvorgänge durchführen möchten. Andernfalls lädt diese Malware möglicherweise weitere Malware herunter oder überträgt mehr Informationen.
Wenn der Prozess völlig legitim ist, beenden oder starten Sie den Prozess erneut, und drücken Sie die Daumen, dass es ein Zufall war. Wenn der Prozess nicht mehr gestartet werden soll, können Sie ihn entweder deinstallieren oder mithilfe von Autoruns den Prozess beim Start stoppen.
Wenn sich das Problem dadurch nicht lösen lässt, ist es möglicherweise an der Zeit, Process Monitor aufzurufen und die Prozesse zu analysieren, die Sie bereits identifiziert haben, und zu ermitteln, auf welchen Zugriff sie zugreifen möchten. Dies kann Ihnen Anhaltspunkte für das geben, was tatsächlich vor sich geht. Möglicherweise versucht der Prozess, auf einen Registrierungsschlüssel oder eine Datei zuzugreifen, die nicht vorhanden ist oder auf die er keinen Zugriff hat, oder er versucht möglicherweise, alle Ihre Dateien zu entführen und machen Sie viele skizzenhafte Dinge wie den Zugriff auf Informationen, die möglicherweise nicht dazu gehören, oder das Scannen Ihres gesamten Laufwerks ohne triftigen Grund.
Wenn Sie den Verdacht haben, dass die Anwendung eine Verbindung zu etwas herstellt, über das sie nicht verfügen sollte, was im Fall von Spyware sehr häufig ist, würden Sie das Dienstprogramm TCPView herausziehen, um zu überprüfen, ob dies der Fall ist.
An diesem Punkt haben Sie möglicherweise festgestellt, dass es sich bei dem Prozess um Malware oder um Crapware handelt. So oder so wollen Sie es nicht. Sie können den Deinstallationsvorgang durchlaufen, wenn sie in der Liste der Deinstallationsprogramme der Systemsteuerung aufgeführt sind. Oft werden sie jedoch nicht aufgelistet oder werden nicht ordnungsgemäß bereinigt. Dies ist, wenn Sie Autoruns herausziehen und jeden Ort finden, an dem die Anwendung mit dem Startvorgang verbunden ist, und von dort aus nuke und dann alle Dateien nuke.
Das Durchführen einer vollständigen Virenprüfung Ihres Systems ist ebenfalls hilfreich, aber lassen Sie uns ehrlich sein… Die meisten Crapware- und Spyware-Programme werden trotz der Installation von Antiviren-Anwendungen installiert. Nach unserer Erfahrung werden die meisten Antivirenprogramme gerne "all clear" melden, während Ihr PC aufgrund von Spyware und Crapware kaum noch funktionieren kann.
TCPView
Mit diesem Dienstprogramm können Sie feststellen, welche Anwendungen auf Ihrem Computer über das Netzwerk mit welchen Diensten verbunden sind. Sie können die meisten dieser Informationen an der Eingabeaufforderung mit netstat oder in der Prozess-Explorer / Monitor-Schnittstelle sehen. Es ist jedoch viel einfacher, TCPView zu öffnen und zu sehen, was mit dem verbunden ist.
Die Farben in der Liste sind ziemlich einfach und ähneln den anderen Dienstprogrammen. Hellgrün bedeutet, dass die Verbindung gerade angezeigt wurde, Rot bedeutet, dass die Verbindung geschlossen wird, und Gelb bedeutet, dass die Verbindung geändert wurde.
Sie können auch die Prozesseigenschaften anzeigen, den Prozess beenden, die Verbindung schließen oder einen Whois-Bericht anzeigen. Es ist einfach, funktional und sehr nützlich.
Hinweis: Wenn Sie TCPView zum ersten Mal laden, werden möglicherweise zahlreiche Verbindungen von [Systemprozess] zu allen möglichen Internetadressen angezeigt. Dies ist jedoch normalerweise kein Problem. Wenn sich alle Verbindungen im TIME_WAIT-Status befinden, bedeutet dies, dass die Verbindung geschlossen wird und es keinen Prozess gibt, dem die Verbindung zugewiesen werden kann. Sie sollten daher der PID 0 zugewiesen werden, da keine PID vorhanden ist.
Dies ist normalerweise der Fall, wenn Sie TCPView nach dem Herstellen einer Verbindung mit einigen Dingen laden. Nachdem alle Verbindungen geschlossen wurden und TCPView geöffnet bleibt, sollte es jedoch verschwinden.
Coreinfo
Zeigt Informationen zur System-CPU und zu allen Funktionen an. Haben Sie sich schon immer gefragt, ob Ihre CPU 64-Bit hat oder hardwarebasierte Virtualisierung unterstützt? Mit dem Dienstprogramm coreinfo können Sie all das und noch viel mehr sehen. Dies kann sehr nützlich sein, wenn Sie sehen möchten, ob ein älterer Computer die 64-Bit-Version von Windows ausführen kann oder nicht.
Griff
Dieses Dienstprogramm führt dasselbe aus wie Process Explorer. Sie können schnell suchen, um herauszufinden, welcher Prozess über eine offene Kennung verfügt, die den Zugriff auf eine Ressource blockiert oder eine Ressource löscht. Die Syntax ist ziemlich einfach:
Griff
Wenn Sie den Handle schließen möchten, können Sie den hexadezimalen Handle-Code (mit -c) in der Liste in Kombination mit der Prozess-ID (Schalter -p) verwenden, um ihn zu schließen.
Handle -c -p
Es ist wahrscheinlich viel einfacher, Process Explorer für diese Aufgabe zu verwenden.
ListDlls
Genau wie Process Explorer listet dieses Dienstprogramm die DLLs auf, die als Teil eines Prozesses geladen werden. Es ist natürlich viel einfacher, Process Explorer zu verwenden.
RamMap
Dieses Dienstprogramm analysiert die Nutzung des physischen Speichers und bietet verschiedene Möglichkeiten zur Visualisierung des Speichers, einschließlich der physischen Seiten, auf denen Sie die Position im RAM sehen können, in die jede ausführbare Datei geladen wird.
Strings Findet für Menschen lesbaren Text in Apps und DLLs
Wenn Sie in einem Softwarepaket eine seltsame URL als Zeichenfolge sehen, müssen Sie sich Sorgen machen. Wie würdest du diese komische Saite sehen? Verwenden des Zeichenfolgen-Dienstprogramms an der Eingabeaufforderung (oder stattdessen die Funktion in Process Explorer).
Nächste Seite: Konfigurieren der automatischen Anmeldung und ShellRunAs