Zalomení a používání nástrojů společně
Jsme na konci série SysInternals a je načase vše zabalit tím, že mluvíme o všech malých nástrojích, které jsme nezahrnovali během prvních devět lekcí. V této sadě je určitě mnoho nástrojů.
ŠKOLNÍ NAVIGACE- Jaké jsou nástroje SysInternals a jak je používáte?
- Porozumění procesu průzkumu
- Použití Process Explorer k odstraňování a diagnostice
- Porozumění procesu sledování
- Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
- Použití autorunů k řešení spouštěcích procesů a malwaru
- Pomocí BgInfo zobrazíte informace o systému na ploše
- Použití PsTools pro ovládání jiných počítačů z příkazového řádku
- Analýza a správa souborů, složek a disků
- Zalomení a používání nástrojů společně
Naučili jsme se, jak pomocí Průzkumníka Explorer řešit potíže s nespravedlivými procesy v systému a Monitor procesů, aby zjistili, co dělají pod kapotou. Naučili jsme se o Autoruns, jeden z nejsilnějších nástrojů pro řešení infekcí malware a PsTools pro ovládání ostatních počítačů z příkazové řádky.
Dnes budeme pokrývat zbývající nástroje v sadě, které mohou být použity pro nejrůznější účely, od zobrazení síťových připojení až po efektivní povolení objektů systému souborů.
Nejprve však projdeme hypotetickým příkladem scénáře, abychom zjistili, jak můžete několik nástrojů použít společně k vyřešení problému a provést nějaký výzkum o tom, co se děje.
Který nástroj byste měli použít?
Neexistuje vždy jen jeden nástroj pro práci - je mnohem lepší použít je všechny dohromady. Zde je příklad scénáře, který vám poskytne představu o tom, jak se můžete vypořádat s vyšetřováním, i když stojí za zmínku, že existuje mnoho způsobů, jak zjistit, co se děje. Jedná se pouze o rychlý příklad, který pomáhá ilustrovat a není v žádném případě přesný seznam kroků, které je třeba následovat.
Scénář: systém běží pomalu, existuje podezření na malware
První věc, kterou byste měli udělat, je otevřít Process Explorer a zjistit, jaké procesy využívají zdroje v systému. Jakmile proces zjistíte, měli byste v procesoru Explore Explorer používat vestavěné nástroje, abyste ověřili, jaký proces je skutečný, ujistěte se, že je to legitimní, a případně prozkoumejte tento proces virů pomocí vestavěné integrace VirusTotal.
Tento proces je ve skutečnosti nástrojem SysInternals, ale pokud ne, zkontrolovali jsme to.Poznámka: pokud si opravdu myslíte, že by mohlo docházet k malwaru, je často užitečné při odstraňování problémů odpojit nebo zakázat přístup k internetu na tomto počítači, i když možná budete chtít nejprve vyhledávat VirusTotal. V opačném případě může malware stáhnout více škodlivého softwaru nebo vysílat více vašich informací.
Pokud je proces zcela oprávněný, zabijte nebo znovu spusťte proces porušování předpisů a přejděte prsty, že to byla náhoda. Pokud nechcete, aby byl tento proces spuštěn, můžete jej buď odinstalovat, nebo použít automatické ukončení procesu při načítání při spuštění.
Pokud to problém nevyřeší, může být čas vynechat monitorovací proces a analyzovat procesy, které jste již identifikovali, a zjistit, na co se pokoušejí získat přístup. To vám může dát stopy do toho, co se skutečně děje - možná se proces pokouší získat přístup k klíči registru nebo k souboru, který neexistuje, nebo nemá přístup, nebo se možná jen pokouší unést všechny vaše soubory a dělají spoustu nápadných věcí, jako je přístup k informacím, které by asi neměly, nebo skenování celého vašeho disku bez dobrého důvodu.
Navíc, pokud máte podezření, že se aplikace připojuje k něčemu, co by nemělo, což je velmi časté v případě spywaru, vytáhnete nástroj TCPView a ověříte, zda tomu tak je.
V tomto okamžiku jste pravděpodobně zjistili, že proces je malware nebo crapware. V každém případě to nechcete. Proces odinstalace můžete spustit, pokud jsou uvedeny v seznamu Ovládací panely odinstalace programů, ale mnohokrát nejsou uvedeny nebo správně nevyčistěte. Toto je, když vyndáte Autoruns a najdeš všechno místo, které aplikace spoutala do spuštění, a nuke je odtamtud a pak nuke všechny soubory.
Spuštění úplného antivirového testování vašeho systému je také užitečné, ale dovolte si být upřímný ... většina crapware a spyware se nainstaluje i přes nainstalované antivirové aplikace. Podle našich zkušeností bude většina anti-virus šťastně hlásit "vše jasné", zatímco vaše PC může sotva fungovat kvůli spywaru a crapware.
TCPView
Tento nástroj je skvělý způsob, jak zjistit, jaké aplikace v počítači se připojují k službám v síti. Většinu těchto informací můžete vidět na příkazovém řádku pomocí příkazu netstat nebo pohřbený v rozhraní Process Explorer / Monitor, ale je mnohem jednodušší jednoduše otevřít TCPView a zjistit, co se k němu připojuje.
Barvy v seznamu jsou poměrně jednoduché a podobné ostatním nástrojům - jasně zelená znamená, že spojení se právě objevilo, červená znamená, že se spojení zavře a žlutá znamená, že se spojení změnilo.
Můžete se také podívat na vlastnosti procesu, ukončit proces, zavřít spojení nebo vytisknout sestavu Whois. Je to jednoduché, funkční a velmi užitečné.
Poznámka: Když poprvé načtete protokol TCPView, můžete vidět spoustu připojení z [System Process] na všechny druhy internetových adres, ale to obvykle není problém. Pokud jsou všechna spojení ve stavu TIME_WAIT, znamená to, že spojení je uzavřeno a není k němu přiřazen žádný proces, takže by měl být přiřazen k PID 0, protože neexistuje žádný PID, který by mu přiřadil.
Obvykle se to stává, když načtete TCPView poté, co jste se připojili ke spoustě věcí, ale po ukončení všech spojů by měla jít pryč a TCPView zůstane otevřená.
Coreinfo
Zobrazuje informace o CPU systému a všech funkcích. Přemýšleli jste někdy o tom, zda je procesor 64bitový nebo zda podporuje virtualizaci založenou na hardwaru? Můžete vidět všechno a hodně, mnohem více s nástrojem coreinfo. To může být opravdu užitečné, pokud chcete zjistit, zda starší počítač může spustit 64bitovou verzi systému Windows nebo ne.
Rukojeť
Tento nástroj provádí totéž, co aplikace Process Explorer dělá - můžete rychle vyhledat, který proces má otevřenou kliku, která blokuje přístup k prostředku nebo odstraní zdroj. Syntaxe je velmi jednoduchá:
Rukojeť
A pokud chcete zavřít rukojeť, můžete v seznamu kombinovat hexadecimální kód (s -c) v kombinaci s ID procesu (přepínač -p) a zavřít jej.
handle -c -p
Pro tento úkol je pravděpodobně mnohem jednodušší použít Process Explorer.
ListDlls
Stejně jako Process Explorer, tento nástroj uvádí seznam DLL, které jsou načteny jako součást procesu. Proces Explorer je samozřejmě mnohem jednodušší.
RamMap
Tento nástroj analyzuje využití vaší fyzické paměti s množstvím různých způsobů vizualizace paměti včetně fyzických stránek, kde můžete vidět umístění v paměti RAM, do které je každý spustitelný soubor načten.
Řetězec nalezne text čitelný pro člověka v aplikacích a knihovnách DLL
Pokud v nějakém softwarovém balíku vidíte podivnou adresu URL jako řetězec, je čas se obávat. Jak bys viděl ten podivný řetězec? Pomocí nástroje řetězce z příkazového řádku (nebo pomocí funkce v Process Explorer namísto toho).
Další stránka: Konfigurace funkce Automatické přihlášení a ShellRunAs