Anasayfa » okul » Araçları Sarma ve Birlikte Kullanma

    Araçları Sarma ve Birlikte Kullanma

    SysInternals serimizin sonundayız ve ilk dokuz ders boyunca kapsamadığımız tüm küçük programları konuşarak her şeyi tamamlamanın zamanı geldi. Bu kitin içinde kesinlikle birçok araç var..

    OKUL GEÇİŞİ
    1. SysInternals Araçları Nedir ve Bunları Nasıl Kullanırsınız??
    2. Process Explorer'ı Anlamak
    3. Sorun Gidermek ve Tanılamak için İşlem Gezgini'ni Kullanma
    4. İşlem İzleyiciyi Anlamak
    5. Kayıt Korsanlığı Sorunlarını Gidermek ve Bulmak için İşlem İzleyiciyi Kullanma
    6. Başlangıç ​​İşlemleri ve Kötü Amaçlı Yazılımlarla Başa Çıkmak için Otomatik Çalıştırmaları Kullanma
    7. Masaüstünde Sistem Bilgilerini Görüntülemek için BgInfo Kullanımı
    8. Komut Satırından Diğer Bilgisayarları Kontrol Etmek İçin PsTools Kullanma
    9. Dosyalarınızı, Klasörlerinizi ve Sürücülerinizi Analiz Etme ve Yönetme
    10. Araçları Sarma ve Birlikte Kullanma

    Sistemdeki hatalı işlemleri gidermek için İşlem Gezgini'ni ve başlık altında ne yaptıklarını görmek için İşlem Monitörü'nü kullanmayı öğrendik. Kötü amaçlı yazılımların bulaştığı en güçlü araçlardan biri olan Autoruns ve diğer bilgisayarları komut satırından kontrol etmek için PsTools'u öğrendik..

    Bugün, kitdeki ağ yardımcı programlarını izlemekten dosya sistemi nesneleri üzerinde etkili izinleri görmeye kadar her türlü amaç için kullanılabilen diğer yardımcı programları kapsayacağız..

    Ama önce, bir sorunu çözmek ve neler olup bittiğini araştırmak için bir takım araçları nasıl kullanabileceğinizi görmek için varsayımsal bir örnek senaryodan geçeceğiz..

    Hangi Aracı Kullanmalısınız??

    İş için her zaman tek bir araç yoktur - hepsini bir arada kullanmak çok daha iyidir. İşte size, soruşturmanın nasıl üstesinden gelebileceğinize dair bir fikir vermek için örnek bir senaryo, ancak neler olup bittiğini anlamanın bir çok yolu olduğunu belirtmekte fayda var. Bu sadece örneklemeye yardımcı olmak için hızlı bir örnektir ve kesinlikle izlenecek adımların tam bir listesi değildir..

    Senaryo: Sistem Yavaş Çalışıyor, Şüpheli Kötü Amaçlı Yazılımlar

    Yapmanız gereken ilk şey, İşlem Gezgini'ni açmak ve hangi işlemlerin sistemdeki kaynakları kullandığını görmektir. İşlemi tanımladıktan sonra, işlemin gerçekte ne olduğunu doğrulamak, meşru olduğundan emin olmak ve isteğe bağlı olarak bu yazılımı yerleşik VirusTotal entegrasyonunu kullanarak virüslere karşı bu işlemi taramak için İşlem Gezgini'ndeki yerleşik araçları kullanmalısınız..

    Bu süreç aslında bir SysInternals yardımcı programıdır, ancak olmasaydı kontrol ederdik..

    Not: gerçekten kötü amaçlı yazılım olabileceğini düşünüyorsanız, öncelikle VirusTotal aramalarını yapmak isteyebilirsiniz, ancak sorun giderme sırasında bu makinedeki internet erişimini fişten çekip devre dışı bırakmak genellikle yararlıdır. Aksi takdirde, bu kötü amaçlı yazılım daha fazla kötü amaçlı yazılım indirebilir veya bilgilerinizi daha fazla iletebilir.

    Süreç tamamen meşru ise, rahatsız edici süreci öldürün ya da yeniden başlatın ve parmaklarınızı çarpı işareti olarak işaretleyin. Bu işlemin artık başlamasını istemiyorsanız, işlemi başlangıçta yüklemeyi durdurmak için kaldırabilir veya Otomatik Çalıştır'ı kullanabilirsiniz..

    Bu sorunu çözmezse, İşlem İzleme'yi çıkarmanız ve önceden tanımladığınız süreçleri analiz etmeniz ve neye erişmeye çalıştıklarını anlamanın zamanı olabilir. Bu size gerçekte neler olup bittiğiyle ilgili ipuçlarını verebilir - belki de süreç mevcut olmayan bir kayıt defteri anahtarına veya dosyaya erişmeye çalışıyor ya da erişimi yok, ya da belki de tüm dosyalarınızı çalmaya çalışıyor ve olması gerekmeyen bilgilere erişmek ya da tüm sürücünüzü iyi bir sebep olmadan taramak gibi pek çok kabataslak şey yapın..

    Ayrıca, uygulamanın, olması gerekmeyen bir şeye bağlandığından şüpheleniyorsanız, casus yazılım durumunda çok yaygınsa, durumun böyle olup olmadığını doğrulamak için TCPView yardımcı programını kullanırsınız..

    Bu noktada, sürecin kötü amaçlı yazılım veya yazılımdan kaynaklanmış olduğunu tespit etmiş olabilirsiniz. Her iki şekilde de istemiyorsun. Kaldırma işlemini Denetim Masası'nın Kaldırma Programları listesinde listeleniyorsa, ancak çoğu zaman listelenmemiş ya da düzgün bir şekilde temizlemeyin. Bu, Autoruns'u çıkartıp uygulamanın başlattığı her yeri bulup onları oradan çıkardığınızda ve ardından tüm dosyaları kopyaladığınızda ortaya çıkar..

    Sisteminizde tam virüs taraması yapmak da yararlıdır, ancak dürüst olalım… antivirüs uygulamaları kurulmasına rağmen çoğu crapware ve casus yazılım yüklenir. Tecrübelerimize göre, çoğu virüsten koruma yazılımı "tamamen temiz" olarak bildirir, bilgisayarınız casus yazılım ve yazılımdan dolayı zar zor çalışabilir.

    TCPView

    Bu yardımcı program, bilgisayarınızdaki hangi uygulamaların ağ üzerinden hangi servislere bağlandığını görmek için harika bir yoldur. Bu bilgilerin çoğunu netstat kullanarak komut isteminde veya İşlem Gezgini / İzleyici arabirimine gömülmüş olarak görebilirsiniz, ancak TCPView penceresini açmak ve neye neyin bağlandığını görmek çok daha kolaydır..

    Listedeki renkler oldukça basit ve diğer araçlara benzer - parlak yeşil, bağlantının yeni ortaya çıktığını, kırmızı, bağlantının kapandığını, sarı ise bağlantının değiştiğini gösterir.

    Ayrıca, işlem özelliklerine bakabilir, işlemi sonlandırabilir, bağlantıyı kapatabilir veya bir Whois raporu alabilirsiniz. Basit, işlevsel ve çok kullanışlı.

    Not: TCPView'ü ilk yüklediğinizde, [Sistem İşlemi] 'den tüm internet adreslerine bir ton bağlantı görebilirsiniz, ancak bu genellikle bir sorun değildir. Tüm bağlantılar TIME_WAIT durumundaysa, bu, bağlantının kapatıldığı ve bağlantıya atanacak bir işlem olmadığı anlamına gelir; bu nedenle, PID 0'a atandıkları şekilde kurulmaları gerekir;.

    Bu genellikle bir çok şeye bağlı olduktan sonra TCPView'ü yüklediğinizde olur, ancak tüm bağlantılar kapandıktan sonra kaybolması gerekir ve TCPView'ı açık tutmanız gerekir..

    Coreinfo

    Sistem CPU'su ve tüm özellikleri hakkında bilgi gösterir. CPU'nuzun 64-bit olup olmadığını veya donanım tabanlı sanallaştırmayı desteklediğini hiç merak ettiniz mi? Coreinfo yardımcı programı ile hepsini ve çok daha fazlasını görebilirsiniz. Eski bir bilgisayarın Windows'un 64 bit sürümünü çalıştırıp çalıştırmayacağını görmek istiyorsanız bu gerçekten yararlı olabilir.

     

    Sap

    Bu yardımcı program İşlem Gezgini'nin yaptığı şeyi yapar - hangi işlemin bir kaynağa erişimi engelleyen veya bir kaynağı silmeyi sağlayan açık bir tanıtıcıya sahip olduğunu bulmak için hızlıca arama yapabilirsiniz. Sözdizimi oldukça basittir:

    sap

    Ve tanıtıcıyı kapatmak istiyorsanız, onaltılı tanıtıcı kodunu (-c ile) listedeki işlem kimliği (-p anahtarı) ile birleştirerek kullanabilirsiniz..

    işlemek -c -p

    Bu görev için İşlem Gezgini'ni kullanmak muhtemelen çok daha kolay.

    ListDlls

    İşlem Gezgini gibi, bu yardımcı program da işlemin bir parçası olarak yüklenen DLL'leri listeler. Tabii ki Process Explorer'ı kullanmak çok daha kolay.

    RamMap

    Bu yardımcı program fiziksel bellek kullanımınızı analiz eder ve her bir çalıştırılabilir belleğin yüklendiği konumu RAM'de görebileceğiniz fiziksel sayfalar da dahil olmak üzere hafızayı görselleştirmek için farklı yollar kullanır..

    Dizeler Uygulamalar ve DLL'lerde İnsan Tarafından Okunabilen Metinler Buluyor

    Bazı yazılım paketlerinde dize olarak garip bir URL görürseniz, endişelenmenin zamanı gelmiştir. O garip ipi nasıl görüyorsun? Strings yardımcı programını komut isteminden kullanma (veya bunun yerine İşlem Gezgini'nde işlevi kullanma).

    Sonraki Sayfa: Otomatik Oturum Açma ve ShellRunA'ları Yapılandırma