Pagina inicial » escola » Encerrando e usando as ferramentas juntas

    Encerrando e usando as ferramentas juntas

    Estamos no final da nossa série SysInternals, e é hora de encerrar tudo falando sobre todas as pequenas utilidades que não cobrimos nas nove primeiras lições. Definitivamente, há muitas ferramentas neste kit.

    NAVEGAÇÃO ESCOLAR
    1. Quais são as ferramentas SysInternals e como você as usa?
    2. Entendendo o Process Explorer
    3. Usando o Process Explorer para solucionar problemas e diagnosticar
    4. Entendendo o Process Monitor
    5. Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
    6. Usando o Autoruns para lidar com processos de inicialização e malware
    7. Usando o BgInfo para exibir informações do sistema na área de trabalho
    8. Usando o PsTools para controlar outros PCs a partir da linha de comando
    9. Analisando e gerenciando seus arquivos, pastas e unidades
    10. Encerrando e usando as ferramentas juntas

    Aprendemos a usar o Process Explorer para solucionar problemas de processos indisciplinados no sistema e o Process Monitor para ver o que eles estão fazendo sob o capô. Aprendemos sobre o Autoruns, uma das ferramentas mais poderosas para lidar com infecções por malware, e o PsTools para controlar outros PCs a partir da linha de comando.

    Hoje vamos cobrir os utilitários restantes no kit, que podem ser usados ​​para todos os tipos de propósitos, desde a visualização de conexões de rede até a visualização de permissões efetivas em objetos do sistema de arquivos..

    Mas primeiro, vamos percorrer um cenário de exemplo hipotético para ver como você pode usar várias ferramentas para resolver um problema e fazer uma pesquisa sobre o que está acontecendo..

    Qual ferramenta você deveria usar?

    Nem sempre há apenas uma ferramenta para o trabalho - é muito melhor usá-las todas juntas. Aqui está um cenário de exemplo para lhe dar uma idéia de como você pode lidar com a investigação, embora seja importante notar que existem várias maneiras de descobrir o que está acontecendo. Este é apenas um exemplo rápido para ajudar a ilustrar, e não é de forma alguma uma lista exata dos passos a seguir.

    Cenário: o sistema está executando lento, malware suspeito

    A primeira coisa que você deve fazer é abrir o Process Explorer e ver quais processos estão usando recursos no sistema. Depois de identificar o processo, você deve usar as ferramentas internas no Process Explorer para verificar qual é o processo, certificar-se de que é legítimo e, se desejar, verificar esse processo em busca de vírus usando a integração integrada do VirusTotal.

    Este processo é na verdade um utilitário SysInternals, mas se não fosse, estaríamos checando.

    Nota: Se você realmente acha que pode haver malware, geralmente é útil desconectar ou desabilitar o acesso à Internet nessa máquina durante a solução de problemas, embora você queira primeiro fazer pesquisas com o VirusTotal. Caso contrário, esse malware pode baixar mais malware ou transmitir mais informações.

    Se o processo for completamente legítimo, mate ou reinicie o processo ofensivo, e cruze os dedos que foi um acaso. Se você não quiser mais iniciar esse processo, poderá desinstalá-lo ou usar o Autoruns para impedir que o processo seja carregado na inicialização.

    Se isso não resolver o problema, talvez seja hora de retirar o Process Monitor e analisar os processos que você já identificou e descobrir o que eles estão tentando acessar. Isso pode lhe dar pistas sobre o que realmente está acontecendo - talvez o processo esteja tentando acessar uma chave de registro ou arquivo que não existe ou não tem acesso, ou talvez esteja apenas tentando roubar todos os seus arquivos. e fazer muitas coisas esquisitas, como acessar informações que provavelmente não deveria, ou escanear sua unidade inteira sem um bom motivo.

    Além disso, se você suspeitar que o aplicativo está se conectando a algo que não deveria, o que é muito comum no caso de spyware, você extrairia o utilitário TCPView para verificar se esse é o caso..

    Neste ponto, você pode ter determinado que o processo é malware ou crapware. De qualquer forma você não quer. Você pode executar o processo de desinstalação se eles estiverem listados na lista Desinstalar Programas do Painel de Controle, mas muitas vezes eles não estão listados ou não são limpos adequadamente. É quando você extrai o Autoruns e encontra todos os locais que o aplicativo conectou à inicialização, e os libera de lá, e depois explode todos os arquivos..

    Executar uma verificação de vírus completa do seu sistema também é útil, mas, sejamos honestos… a maioria dos crapwares e spywares é instalada, apesar dos aplicativos antivírus estarem sendo instalados. Em nossa experiência, a maioria dos antivírus relata "tudo bem" enquanto seu PC mal consegue funcionar por causa de spyware e crapware.

    TCPView

    Este utilitário é uma ótima maneira de ver quais aplicativos em seu computador estão se conectando a quais serviços na rede. Você pode ver a maioria dessas informações no prompt de comando usando o netstat, ou enterrado na interface Process Explorer / Monitor, mas é muito mais fácil simplesmente abrir o TCPView e ver o que está se conectando ao que.

    As cores na lista são bastante simples e semelhantes aos outros utilitários - verde brilhante significa que a conexão acabou de aparecer, vermelho significa que a conexão está se fechando e amarelo significa que a conexão mudou.

    Você também pode examinar as propriedades do processo, encerrar o processo, fechar a conexão ou obter um relatório Whois. É simples, funcional e muito útil.

    Nota: Quando você carregar o TCPView pela primeira vez, poderá ver uma tonelada de conexões do [Processo do Sistema] para todos os tipos de endereços da Internet, mas isso geralmente não é um problema. Se todas as conexões estiverem no estado TIME_WAIT, isso significa que a conexão está sendo fechada, e não há um processo para atribuir a conexão, então elas devem ser atribuídas ao PID 0, já que não há PID para atribuí-la a.

    Isso geralmente acontece quando você carrega o TCPView depois de ter se conectado a um monte de coisas, mas ele deve desaparecer depois que todas as conexões forem fechadas e você mantiver o TCPView aberto.

    Coreinfo

    Mostra informações sobre a CPU do sistema e todos os recursos. Você já se perguntou se sua CPU é de 64 bits ou se suporta virtualização baseada em hardware? Você pode ver tudo isso e muito, muito mais com o utilitário coreinfo. Isso pode ser realmente útil se você quiser ver se um computador mais antigo pode executar a versão de 64 bits do Windows ou não.

     

    Lidar com

    Esse utilitário faz a mesma coisa que o Process Explorer - você pode pesquisar rapidamente para descobrir qual processo tem um identificador aberto que está bloqueando o acesso a um recurso ou excluindo um recurso. A sintaxe é bem simples:

    lidar com

    E se você quiser fechar o identificador, você pode usar o código identificador hexadecimal (com -c) na lista combinada com a identificação do processo (a opção -p) para fechá-lo.

    manusear -c -p

    Provavelmente é muito mais fácil usar o Process Explorer para esta tarefa.

    ListDlls

    Assim como o Process Explorer, este utilitário lista as DLLs que são carregadas como parte de um processo. É muito mais fácil usar o Process Explorer, é claro.

    RamMap

    Este utilitário analisa o uso da memória física, com vários modos diferentes de visualizar a memória, inclusive por páginas físicas, nas quais é possível ver o local na RAM em que cada executável é carregado.

    Seqüências de caracteres localiza texto legível em aplicativos e DLLs

    Se você vir uma URL estranha como uma string em algum pacote de software, é hora de se preocupar. Como você veria aquela corda estranha? Usando o utilitário strings no prompt de comando (ou usando a função no Process Explorer).

    Próxima Página: Configurando o Logon Automático e o ShellRunAs

    Escritores 10 subreddits para encontrar dicas de escrita que você precisa
    Escrevendo para as dicas da Web e erros comuns que fazemos
    O uso de quantidades desiguais de RAM em cada slot diminui o desempenho?
    Artigo seguinte
    Escreva no Google Docs, Publique no WordPress. Veja como.
    Artigo anterior
    O desempenho da gravação melhoraria se um disco rígido reformatado fosse preenchido com zeros?