Connect with us

Schule

Zusammenfassen und Verwenden der Tools

Zusammenfassen und Verwenden der Tools

Wir sind am Ende unserer SysInternals-Reihe und es ist Zeit, alles zusammenzufassen, indem wir über all die kleinen Dienstprogramme sprechen, die wir in den ersten neun Lektionen nicht behandelt haben. Es gibt definitiv viele Werkzeuge in diesem Kit.

Wir haben gelernt, wie Sie mit Process Explorer fehlerhafte Prozesse auf dem System beheben und mit Process Monitor sehen, was sie unter der Haube tun. Wir haben Informationen zu Autoruns, einem der leistungsstärksten Tools zur Behandlung von Malware-Infektionen, und PsTools zur Steuerung anderer PCs über die Befehlszeile erhalten.

Heute werden wir die verbleibenden Dienstprogramme im Kit behandeln, die für alle Arten von Zwecken verwendet werden können, von der Anzeige von Netzwerkverbindungen bis zur Anzeige effektiver Berechtigungen für Dateisystemobjekte.

Aber zuerst werden wir ein hypothetisches Beispielszenario durchgehen, um zu sehen, wie Sie eine Reihe von Tools zusammen verwenden können, um ein Problem zu lösen und einige Nachforschungen darüber anzustellen, was vor sich geht.

Welches Tool sollten Sie verwenden?

Es gibt nicht immer nur ein Werkzeug für den Job – es ist viel besser, sie alle zusammen zu verwenden. Hier ist ein Beispielszenario, um Ihnen eine Vorstellung davon zu geben, wie Sie die Untersuchung angehen könnten. Es ist jedoch erwähnenswert, dass es verschiedene Möglichkeiten gibt, um herauszufinden, was los ist. Dies ist nur ein kurzes Beispiel zur Veranschaulichung und keineswegs eine genaue Liste der zu befolgenden Schritte.

Szenario: Das System läuft langsam, vermutete Malware

Öffnen Sie zunächst den Prozess-Explorer und sehen Sie, welche Prozesse Ressourcen auf dem System verbrauchen. Sobald Sie den Prozess identifiziert haben, sollten Sie die im Prozess-Explorer integrierten Tools verwenden, um den tatsächlichen Prozess zu überprüfen, sicherzustellen, dass er legitim ist, und diesen Prozess optional mithilfe der integrierten VirusTotal-Integration auf Viren zu scannen.

Dieser Prozess ist eigentlich ein SysInternals-Dienstprogramm, aber wenn dies nicht der Fall wäre, würden wir es überprüfen.

Wenn Sie wirklich glauben, dass möglicherweise Malware vorhanden ist, ist es häufig hilfreich, den Internetzugang auf diesem Computer während der Fehlerbehebung zu trennen oder zu deaktivieren, obwohl Sie möglicherweise zuerst VirusTotal-Suchvorgänge durchführen möchten. Andernfalls lädt diese Malware möglicherweise mehr Malware herunter oder überträgt mehr Ihrer Informationen.

Wenn der Prozess völlig legitim ist, beenden oder starten Sie den fehlerhaften Prozess neu und drücken Sie die Daumen, dass es ein Zufall war. Wenn Sie nicht möchten, dass dieser Prozess mehr gestartet wird, können Sie ihn entweder deinstallieren oder mithilfe von Autoruns verhindern, dass der Prozess beim Start geladen wird.

Wenn das Problem dadurch nicht behoben wird, ist es möglicherweise an der Zeit, Process Monitor aufzurufen, die bereits identifizierten Prozesse zu analysieren und herauszufinden, auf was sie zugreifen möchten. Dies kann Ihnen Hinweise geben, was tatsächlich vor sich geht – möglicherweise versucht der Prozess, auf einen Registrierungsschlüssel oder eine Registrierungsdatei zuzugreifen, die nicht vorhanden sind oder auf die er keinen Zugriff hat, oder versucht lediglich, alle Ihre Dateien zu entführen und machen Sie viele skizzenhafte Dinge wie den Zugriff auf Informationen, die es wahrscheinlich nicht sollte, oder das Scannen Ihres gesamten Laufwerks ohne guten Grund.

Wenn Sie den Verdacht haben, dass die Anwendung eine Verbindung zu etwas herstellt, das sie nicht sollte, was bei Spyware sehr häufig vorkommt, ziehen Sie das Dienstprogramm TCPView heraus, um zu überprüfen, ob dies der Fall ist.

Zu diesem Zeitpunkt haben Sie möglicherweise festgestellt, dass es sich bei dem Prozess um Malware oder Crapware handelt. So oder so willst du es nicht. Sie können den Deinstallationsvorgang ausführen, wenn sie in der Liste „Programme deinstallieren“ der Systemsteuerung aufgeführt sind, aber häufig nicht aufgeführt sind oder nicht ordnungsgemäß bereinigt werden. In diesem Fall ziehen Sie Autoruns heraus und suchen jeden Ort, an dem sich die Anwendung in den Start eingebunden hat, und nuken sie von dort aus und nuken dann alle Dateien.

Das Ausführen eines vollständigen Virenscans Ihres Systems ist ebenfalls hilfreich, aber seien wir ehrlich … die meisten Crapware- und Spyware-Programme werden installiert, obwohl Antiviren-Anwendungen installiert sind. Nach unserer Erfahrung melden die meisten Antivirenprogramme gerne „Entwarnung“, während Ihr PC aufgrund von Spyware und Crapware kaum funktionieren kann.

TCPView

Mit diesem Dienstprogramm können Sie sehen, welche Anwendungen auf Ihrem Computer über das Netzwerk eine Verbindung zu welchen Diensten herstellen. Sie können die meisten dieser Informationen an der Eingabeaufforderung mit netstat oder in der Process Explorer / Monitor-Oberfläche anzeigen. Es ist jedoch viel einfacher, TCPView einfach zu öffnen und zu sehen, was mit was verbunden ist.

Die Farben in der Liste sind ziemlich einfach und ähneln den anderen Dienstprogrammen. Hellgrün bedeutet, dass die Verbindung gerade angezeigt wurde, Rot bedeutet, dass die Verbindung geschlossen wird, und Gelb bedeutet, dass die Verbindung geändert wurde.

Sie können auch die Prozesseigenschaften anzeigen, den Prozess beenden, die Verbindung schließen oder einen Whois-Bericht aufrufen. Es ist einfach, funktional und sehr nützlich.

Wenn Sie TCPView zum ersten Mal laden, sehen Sie möglicherweise eine Menge Verbindungen von [System Process] an alle Arten von Internetadressen, aber dies ist normalerweise kein Problem. Wenn sich alle Verbindungen im Status TIME_WAIT befinden, bedeutet dies, dass die Verbindung geschlossen wird und es keinen Prozess gibt, dem die Verbindung zugewiesen werden kann. Daher sollten sie der PID 0 zugewiesen sein, da keine PID vorhanden ist, der sie zugewiesen werden kann .

Dies geschieht normalerweise, wenn Sie TCPView laden, nachdem Sie eine Verbindung zu einer Reihe von Dingen hergestellt haben. Es sollte jedoch verschwinden, nachdem alle Verbindungen geschlossen wurden und Sie TCPView geöffnet lassen.

Coreinfo

Zeigt Informationen zur System-CPU und allen Funktionen an. Haben Sie sich jemals gefragt, ob Ihre CPU 64-Bit ist oder ob sie hardwarebasierte Virtualisierung unterstützt? All das und noch viel mehr können Sie mit dem Dienstprogramm coreinfo sehen. Dies kann sehr nützlich sein, wenn Sie sehen möchten, ob auf einem älteren Computer die 64-Bit-Version von Windows ausgeführt werden kann oder nicht.

Griff

Dieses Dienstprogramm macht dasselbe wie der Prozess-Explorer: Sie können schnell suchen, um herauszufinden, welcher Prozess über ein offenes Handle verfügt, das den Zugriff auf eine Ressource blockiert oder eine Ressource löscht. Die Syntax ist ziemlich einfach:

Handle

Wenn Sie das Handle schließen möchten, können Sie den hexadezimalen Handle-Code (mit -c) in der Liste zusammen mit der Prozess-ID (dem Schalter -p) verwenden, um es zu schließen.

Handle -c -p

Es ist wahrscheinlich viel einfacher, Process Explorer für diese Aufgabe zu verwenden.

ListDlls

Genau wie der Prozess-Explorer listet dieses Dienstprogramm die DLLs auf, die als Teil eines Prozesses geladen werden. Es ist natürlich viel einfacher, Process Explorer zu verwenden.

RamMap

Dieses Dienstprogramm analysiert Ihre physische Speichernutzung mit einer Vielzahl von Möglichkeiten zur Visualisierung des Speichers, einschließlich anhand physischer Seiten, auf denen Sie den Speicherort im RAM sehen können, in den jede ausführbare Datei geladen wird.

Strings findet in Apps und DLLs lesbaren Text

Wenn Sie in einem Softwarepaket eine seltsame URL als Zeichenfolge sehen, ist es Zeit, sich Sorgen zu machen. Wie würdest du diese seltsame Saite sehen? Verwenden Sie das Dienstprogramm „Strings“ an der Eingabeaufforderung (oder verwenden Sie stattdessen die Funktion im Prozess-Explorer).

Es gibt eine Reihe von Befehlszeilenschaltern, mit denen Sie die Ausgabe und das, was Sie durchsehen, anpassen können. Wir empfehlen jedoch, die meiste Zeit die Process Explorer-Version zu verwenden, da dies einfach ist.

RegJump

Dieses Befehlszeilenprogramm öffnet den Registrierungseditor und navigiert zu dem Schlüssel, den Sie als Argument in der Befehlszeile angeben. Kein manuelles Klicken mehr durch den Baum… vorausgesetzt, Sie verwenden ihn. Die Syntax:

regjump

Hex2Dec

Dadurch werden Zahlen in der Befehlszeile von hexadezimal in dezimal und umgekehrt konvertiert.

Autologon

Dieses Dienstprogramm ermöglicht sehr schnell die automatische Anmeldung für Ihr Konto. Geben Sie einfach Ihr Passwort ein, klicken Sie auf Aktivieren und fertig. Sie können dies auch verwenden, um die automatische Anmeldung zu deaktivieren, wenn sie aktiviert ist und Sie keine Lust haben, herauszufinden, wie Sie sie zurückschalten können.

Es ist erwähnenswert, dass das Aktivieren der automatischen Anmeldung in Windows in erster Linie sehr einfach ist.

AccessChk

Dieses einfache Dienstprogramm gibt die effektiven Berechtigungen für Dateien und Ordner sowie Registrierungsschlüssel, -prozesse und viele andere Dinge an. Grundsätzlich können Berechtigungen sehr kompliziert sein. Dieses Dienstprogramm zeigt also an, welche Berechtigungen ein Konto tatsächlich für das Objekt hat.

AccessEnum

Dieses Dienstprogramm ist sehr nützlich, da Sie die Berechtigungen vollständig überprüfen können und wer Zugriff auf Dateien, Ordner und Registrierungsschlüssel auf Ihrem System hat. Wenn Sie ein wirklich kompliziertes Sicherheits-Setup haben, können Sie mit diesem Tool herausfinden, wer Zugriff hat, und feststellen, ob Sie irgendwo einen Fehler gemacht haben.

ShellRunAs

Dieses Dienstprogramm ist eigentlich eine Shell-Erweiterung, mit der Sie eine Anwendung schnell als anderer Benutzer ausführen können. Dies war in den XP-Tagen sehr nützlich, als es keine gute Möglichkeit gab, Anwendungen als Administrator auszuführen, wenn Sie einen Standardbenutzer hatten. Es ist immer noch sehr nützlich in der Unternehmensumgebung (für ältere Computer).

Die Installation ist einfach. Verwenden Sie dazu einfach die Befehlszeile:

Shellrunas / reg

Und die Deinstallation ist genauso einfach:

Shellrunas / unreg

Wenn Sie es nach der Installation verwenden möchten, klicken Sie einfach mit der rechten Maustaste auf eine ausführbare Datei und wählen Sie die Option Als anderen Benutzer ausführen.

Geben Sie dann den Benutzernamen und das Kennwort für den alternativen Benutzer ein.

RegDelNull

Findet und löscht Registrierungsschlüssel mit Nullzeichen im Namen. Wahrscheinlich nicht etwas, was Sie tun möchten.

Ctrl2Cap

Dieses Dienstprogramm ordnet Ihre CAPS LOCK-Taste stattdessen STRG zu.

BlueScreen-Bildschirmschoner

Ja. Dieser macht jede Menge Spaß – installieren Sie ihn einfach, indem Sie mit der rechten Maustaste klicken und Installieren auswählen, und dann können Sie die ganze Zeit über einen lustigen BSOD genießen.

Das ist alles, was es für diese Lektion der Geek School gibt. Bleiben Sie nächste Woche auf dem Laufenden, um noch mehr tolle Tutorials zu erhalten.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia