NAVIGAZIONE SCOLASTICA
- Quali sono gli strumenti di SysInternals e come li usi?
- Capire Process Explorer
- Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
- Comprensione del monitor di processo
- Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
- Utilizzo di Autoruns per gestire i processi di avvio e il malware
- Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
- Usare PsTools per controllare altri PC dalla riga di comando
- Analisi e gestione di file, cartelle e unità
- Avvolgimento e utilizzo degli strumenti insieme
Abbiamo imparato a utilizzare Process Explorer per risolvere i processi indisciplinati sul sistema e Process Monitor per vedere cosa stanno facendo sotto il cofano. Abbiamo imparato a conoscere Autoruns, uno degli strumenti più potenti per affrontare le infezioni da malware, e PsTools per controllare altri PC dalla riga di comando.
Oggi copriremo le restanti utility del kit, che possono essere utilizzate per tutti i tipi di scopi, dalla visualizzazione delle connessioni di rete alle autorizzazioni effettive sugli oggetti del file system.
Ma prima, passeremo attraverso uno scenario di esempio ipotetico per vedere come è possibile utilizzare un numero di strumenti insieme per risolvere un problema e fare qualche ricerca su cosa sta succedendo.
Quale strumento dovresti usare?
Non c'è sempre un solo strumento per il lavoro: è molto meglio usarli tutti insieme. Ecco uno scenario di esempio per darti un'idea di come potresti affrontare l'indagine, anche se vale la pena notare che ci sono diversi modi per capire cosa sta succedendo. Questo è solo un breve esempio per illustrare e non è in alcun modo un elenco preciso di passi da seguire.
Scenario: il sistema è in esecuzione lento, sospetto di malware
La prima cosa da fare è aprire Process Explorer e vedere quali processi stanno utilizzando risorse sul sistema. Una volta identificato il processo, è necessario utilizzare gli strumenti integrati in Process Explorer per verificare quale sia effettivamente il processo, assicurarsi che sia legittimo e, a scelta, scansionare tale processo alla ricerca di virus utilizzando l'integrazione di VirusTotal integrata.
Nota:se pensi davvero che potrebbe esserci del malware, spesso è utile scollegare o disabilitare l'accesso a Internet su quella macchina durante la risoluzione dei problemi, anche se potresti voler effettuare prima le ricerche di VirusTotal. Altrimenti il malware potrebbe scaricare più malware o trasmettere più informazioni.
Se il processo è completamente legittimo, uccidi o riavvia il processo incriminato e incrocia le dita che è stato un colpo di fortuna. Se non si desidera avviare più questo processo, è possibile disinstallarlo o utilizzare Autoruns per interrompere il caricamento del processo all'avvio.
Se ciò non risolve il problema, potrebbe essere il momento di estrarre Process Monitor e analizzare i processi che hai già identificato e capire a cosa stanno cercando di accedere. Questo può darti indizi su ciò che sta realmente accadendo - forse il processo sta tentando di accedere a una chiave di registro oa un file che non esiste o a cui non ha accesso, o forse sta solo cercando di dirottare tutti i tuoi file e fare un sacco di cose abbozzate come l'accesso alle informazioni che probabilmente non dovrebbe, o la scansione dell'intera unità senza una buona ragione.
Inoltre, se si sospetta che l'applicazione si stia connettendo a qualcosa che non dovrebbe, il che è molto comune nel caso dello spyware, si estrarre l'utilità TCPView per verificare se questo è il caso.
A questo punto potresti aver stabilito che il processo è malware o crapware. In entrambi i casi non lo vuoi. È possibile eseguire il processo di disinstallazione se sono elencati nell'elenco Programmi di disinstallazione del Pannello di controllo, ma molte volte non sono elencati o non si puliscono correttamente. Questo è quando estrai Autoruns e trovi ogni posto che l'applicazione è stata collegata all'avvio, quindi esegui l'atomizzazione da lì, quindi esegui l'atomizzazione di tutti i file.
Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.
TCPView
Questa utility è un ottimo modo per vedere quali applicazioni sul tuo computer si connettono a quali servizi sulla rete. È possibile visualizzare la maggior parte di queste informazioni sul prompt dei comandi utilizzando netstat o sepolto nell'interfaccia Process Explorer / Monitor, ma è molto più semplice aprire semplicemente TCPView e vedere cosa si sta connettendo a cosa.
I colori nell'elenco sono piuttosto semplici e simili alle altre utilità: il verde chiaro indica che la connessione è appena stata visualizzata, rosso indica che la connessione è in fase di chiusura e il colore giallo indica che la connessione è cambiata.
Puoi anche esaminare le proprietà del processo, terminare il processo, chiudere la connessione o aprire un rapporto Whois. È semplice, funzionale e molto utile.
Nota:Quando carichi TCPView per la prima volta, potresti vedere un sacco di connessioni da [Processo di sistema] a tutti i tipi di indirizzi Internet, ma questo di solito non è un problema. Se tutte le connessioni sono nello stato TIME_WAIT, significa che la connessione viene chiusa e non esiste un processo a cui assegnare la connessione, quindi devono essere assegnate a PID 0 poiché non c'è alcun PID da assegnare a.
Questo di solito accade quando si carica TCPView dopo essersi connessi a un sacco di cose, ma dovrebbe sparire dopo che tutte le connessioni si chiudono e si tiene aperto TCPView.
Coreinfo
Mostra le informazioni sulla CPU del sistema e su tutte le funzionalità. Ti sei mai chiesto se la tua CPU è a 64 bit o se supporta la virtualizzazione basata su hardware? Puoi vedere tutto questo e molto altro ancora con l'utilità coreinfo. Questo può essere davvero utile se vuoi vedere se un vecchio computer può eseguire o meno la versione a 64 bit di Windows.
Maniglia
Questa utility fa la stessa cosa che fa Process Explorer: puoi cercare rapidamente per scoprire quale processo ha un'apertura aperta che blocca l'accesso a una risorsa o l'eliminazione di una risorsa. La sintassi è piuttosto semplice:
handle
E se si desidera chiudere l'handle, è possibile utilizzare il codice di handle esadecimale (con -c) nell'elenco combinato con l'ID di processo (l'opzione -p) per chiuderlo.
handle -c -p
ListDlls
Proprio come Process Explorer, questa utility elenca le DLL che vengono caricate come parte di un processo. È molto più semplice usare Process Explorer, ovviamente.
RamMap
Questa utility analizza l'utilizzo della memoria fisica, con un sacco di modi diversi di visualizzare la memoria, comprese le pagine fisiche, dove è possibile vedere la posizione nella RAM in cui è caricato ciascun eseguibile.
Le stringhe trovano testo leggibile da un utente in App e DLL
Se vedi un URL strano come una stringa in qualche pacchetto software, è tempo di preoccuparti. Come vedresti quella strana corda? Utilizzando l'utility stringhe dal prompt dei comandi (o utilizzando invece la funzione in Process Explorer).