Jaké jsou nástroje SysInternals a jak je používáte?
Tato sada nápovědy Geek School vás naučí, jak používat nástroje SysInternals jako profesionál, takže vaše geekové názory nikdy nebudou zpochybňovány. Ne, že bychom zpochybňovali své zručnosti. Použijete nástroje SysInternals, správně?
ŠKOLNÍ NAVIGACE- Jaké jsou nástroje SysInternals a jak je používáte?
- Porozumění procesu průzkumu
- Použití Process Explorer k odstraňování a diagnostice
- Porozumění procesu sledování
- Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
- Použití autorunů k řešení spouštěcích procesů a malwaru
- Pomocí BgInfo zobrazíte informace o systému na ploše
- Použití PsTools pro ovládání jiných počítačů z příkazového řádku
- Analýza a správa souborů, složek a disků
- Zalomení a používání nástrojů společně
V systému Windows je k dispozici mnoho dalších nástrojů pro správu, které jsou k dispozici zdarma na webu nebo dokonce prostřednictvím komerčních zdrojů, ale nikdo z nich není stejně nezbytný jako sada nástrojů SysInternals. To je pravda, je zde plná sada bezplatných nástrojů, jak provádět téměř všechny úkoly administrátora, od monitorování nebo spouštění procesů k pohledu pod kapotou, abyste zjistili, jaké soubory a klíče registru skutečně přistupují k vašim aplikacím.
Tyto nástroje používají každý renomovaný chlapík počítače - pokud chcete oddělit pšenici od plevy, zeptejte se vašeho místního opraváře počítače, pro který je používán Process Explorer. Pokud nemáte tušení, pravděpodobně není tak dobrý, jak říká. (Nemějte obavy, pokud nemáte ponětí o procexp.exe, budeme pokrývat, že hlouběji začíná v lekci 2 této série zítra).
Pamatujte si, že čas se Sony pokusil vložit rootkity do svých hudebních disků CD? Jo, to byl nástroj SysInternals, který nejprve zjistil problém a byli to chlapci SysInternals, kteří dali oznámení. V roce 2006 společnost Microsoft konečně koupila společnost za systémem SysInternals a na svých webových stránkách i nadále poskytovala nástroje zdarma.
Tato série vás provede všemi důležitými nástroji v sadě, seznámíte se s nimi a jejich mnoha funkcemi a pak vám pomůže pochopit, jak je používat v reálném scénáři. Je to hodně velice rušivý materiál, ale bude to zábavná jízda, takže nezapomeňte zůstat naladěni.
Jaké jsou SysInternals Tools přesně?
Sada nástrojů SysInternals je jednoduše sada aplikací systému Windows, které lze bezplatně stáhnout z jejich části webu Microsoft Technet. Všechny jsou přenosné, což znamená, že je nemusíte instalovat, můžete je přilepit na flash disk a používat je z libovolného počítače. Ve skutečnosti je můžete skutečně spustit bez instalace pomocí SysInternals Live (což budeme ilustrovat trochu).
Nástroje zahrnují nástroje jako Průzkumník procesů, který je hodně podobný Správci úloh s množstvím dalších funkcí nebo Process Monitor, který sleduje váš počítač pro souborový systém, registru nebo dokonce síťovou činnost z téměř libovolného procesu ve vašem systému.
Autoruns vám pomůže vypořádat se s procesy spouštění, TCPView vám ukáže, co se připojuje k prostředkům na internetu, a existuje celá řada nástrojů, které běží z příkazového řádku a pomáhají vám řešit procesy, služby a další.
Process Explorer je pravděpodobně nejužitečnějším nástrojem v sadě.Většina těchto nástrojů bude vyžadovat přístup administrátora k počítači, takže byste bylo rozumné otestovat je ve virtuálním počítači nebo zkušebním počítači, pokud si nejste jisti, co děláte - to jsou některé těžké nástroje.
Řekněme například, že máte opravdu pomalý počítač k řešení problémů a chcete zkontrolovat všechny podprocesy pro určitou aplikaci a pak chcete vidět celý zásobník pro jeden z těchto podprocesů, abyste viděli přesně, jaké DLL a funkce jsou volal. Průzkumník procesu dělá toto triviální - můžete jednoduše dvojitým kliknutím na tento proces, přejít na záložku Threads a poté kliknout na tlačítko Stack.
Tento zásobník dosud nebyl přetečen.Co to všechno znamená? Počkejte až do lekcí 2 a 3, kde se budeme snažit vysvětlit vám pojmy a co je ještě důležitější, vysvětlit, proč byste chtěli obtěžovat tuto hloubku.
Jak získáte nástroje?
Získání ruky na některý z nástrojů SysInternals je stejně snadné jako vracet se k webu, stahování zip souboru se všemi utilitami nebo jen popadnutím souboru zip pro jednotlivé aplikace, kterou chcete použít.
V obou případech rozbalte a poklepejte na konkrétní nástroj, který chcete otevřít. A je to. Není instalátor.
Spuštění nástrojů ze systému SysInternals Live
Nechcete-li mít problémy se stahováním, rozbalením a spuštěním aplikace, a nechcete, aby se jednotka USB aktualizovala s nejnovějšími verzemi, nebo když nemáte přístup k vaší jednotce při práci někdo jiný počítač, vždy se můžete uchýlit k SysInternals Live.
V podstatě se stalo to, že před několika lety byli synové SysInternals zvědaví, zda mohou najít nový způsob, jak distribuovat svůj software ... tak vytvořili sdílení souborů Windows mimo svůj server a umožnili všem na internetu přístup k němu.
Můžete tedy jednoduše zadejte \\ live.sysinternals.com \ do pole Spustit Windows po stisku tohoto tlačítka pomocí klávesové zkratky WIN + R a budete moci procházet jejich sdílení souborů a rozhlížet se.
Poznámka: formát \\ server \ share se nazývá cesta UNC (Universal Naming Convention) a funguje téměř kdekoli v systému Windows. Můžete jej využít v adresním řádku aplikace Explorer, v dialogovém okně Otevřít a uložit soubor nebo kdekoli, kde obvykle používáte cestu k souboru.
Užitečná složka je pravděpodobně nástroj One, který obsahuje všechny různé nástroje a je snadno přístupný pouze kliknutím myší.
Prohlížení pomůcek na vzdáleně přístupném souboru není opravdu nejrychlejší způsob, jak dělat věci, a tak je naštěstí mnohem rychlejší způsob, jak spustit libovolný nástroj SysInternals z libovolného počítače se systémem Windows připojeného k internetu.
Jednoduše postupujte podle tohoto formátu, chcete-li přímo spouštět jeden z nástrojů pomocí pole Spustit:
\\ live.sysinternals.com \ tools \
Chcete-li například spustit aplikaci Process Explorer, je spustitelný název procexp.exe, abyste mohli spustit aplikaci Process Explorer nebo spustit proces proměnnou procexp.exe na příkaz procmon.exe \\ live.sysinternals.com \ tools \ procexp.exe. Monitor namísto toho.
Když spustíte některý z nástrojů, budete vyzváni k dialogu s upozorněním zabezpečení, než skutečně spustíte některý z těchto nástrojů. To je samozřejmě dobrá věc, protože byste nechtěli, aby systém Windows umožnil, aby někdo spustil něco ze sdílené složky. To by byla katastrofa!
Velmi doporučujeme stahovat a vkládat kopii nástrojů na každý počítač, na který se dotknete, spíše než běžící z webu Live. Ale je to skvělé vědět, že to dokážete.
Další lekce: Porozumění procesu průzkumu
Zítřejší lekce vás seznámí s aplikací Process Explorer, výměnou správce úloh s mnoha dalšími funkcemi. Rozhraní je plné dat a možností, takže projdeme a vysvětlíme vše, co potřebujete vědět - jako to, co všechny barvy v seznamu procesů skutečně znamenají.
Poté se budeme zabývat tím, jak ji používat v reálném světě k řešení problémových procesů, malware a další. Pak se vydáme do oblasti Monitorování procesů a vysvětlíme, jak používat jednu z nejvýkonnějších aplikací pro řešení problémů, abyste zjistili, co se skutečně děje pod kapotou počítače.
A příští týden pojedeme přes některé z dalších nástrojů, jako jsou Autoruns, Bginfo a mnoho dalších nástrojů příkazové řádky, které jsou součástí sady nástrojů.
Je tu spousta materiálu, který je třeba zakrýt, takže se chyťte do kopie nástrojů, abyste mohli pokračovat zítra.