Kết hợp và sử dụng các công cụ với nhau

Chúng tôi đang ở cuối loạt SysIternals của chúng tôi và đã đến lúc kết thúc mọi thứ bằng cách nói về tất cả các tiện ích nhỏ mà chúng tôi không bao gồm trong chín bài học đầu tiên. Chắc chắn có rất nhiều công cụ trong bộ này.

CHUYỂN ĐỔI TRƯỜNG

1. Công cụ SysIternals là gì và bạn sử dụng chúng như thế nào?
2. Hiểu quy trình Explorer
3. Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
4. Hiểu quy trình giám sát
5. Sử dụng Trình giám sát quy trình để khắc phục sự cố và Tìm Hacks Registry
6. Sử dụng Autorun để xử lý các quy trình khởi động và phần mềm độc hại
7. Sử dụng BgInfo để hiển thị thông tin hệ thống trên máy tính để bàn
8. Sử dụng PsTools để điều khiển các PC khác từ Dòng lệnh
9. Phân tích và quản lý tập tin, thư mục và ổ đĩa của bạn
10. Kết hợp và sử dụng các công cụ với nhau

Chúng tôi đã học cách sử dụng Process Explorer để khắc phục các quá trình không đáng tin cậy trên hệ thống và Trình giám sát quy trình để xem những gì họ đang làm dưới mui xe. Chúng tôi đã tìm hiểu về Autorun, một trong những công cụ mạnh nhất để xử lý nhiễm phần mềm độc hại và PsTools để kiểm soát các PC khác từ dòng lệnh.

Hôm nay chúng tôi sẽ đề cập đến các tiện ích còn lại trong bộ công cụ, có thể được sử dụng cho tất cả các mục đích, từ xem kết nối mạng đến xem quyền hiệu quả trên các đối tượng hệ thống tệp.

Nhưng trước tiên, chúng ta sẽ đi qua một kịch bản ví dụ giả thuyết để xem làm thế nào bạn có thể sử dụng một số công cụ cùng nhau để giải quyết vấn đề và thực hiện một số nghiên cứu về những gì đang xảy ra.

Bạn nên dùng dụng cụ nào?

Không phải lúc nào cũng chỉ có một công cụ cho công việc - tốt hơn hết là sử dụng tất cả chúng cùng nhau. Đây là một kịch bản ví dụ để cung cấp cho bạn ý tưởng về cách bạn có thể giải quyết cuộc điều tra, mặc dù đáng lưu ý rằng có bất kỳ cách nào để tìm hiểu điều gì đang xảy ra. Đây chỉ là một ví dụ nhanh để giúp minh họa và không có nghĩa là một danh sách chính xác các bước cần tuân theo.

Kịch bản: Hệ thống đang chạy chậm, phần mềm độc hại đáng ngờ

Điều đầu tiên bạn nên làm là mở Process Explorer và xem những quy trình nào đang sử dụng hết tài nguyên trên hệ thống. Khi bạn đã xác định quy trình, bạn nên sử dụng các công cụ tích hợp trong Process Explorer để xác minh quy trình thực sự là gì, đảm bảo rằng nó hợp pháp và quét tùy chọn quá trình đó để tìm vi-rút bằng tích hợp VirusTotal tích hợp.

Quá trình này thực sự là một tiện ích SysIternals, nhưng nếu không, chúng tôi sẽ kiểm tra nó.

Chú thích: nếu bạn thực sự nghĩ rằng có thể có phần mềm độc hại, việc rút phích cắm hoặc vô hiệu hóa truy cập internet trên máy đó trong khi khắc phục sự cố, mặc dù trước tiên bạn có thể muốn thực hiện tra cứu VirusTotal. Mặt khác, phần mềm độc hại có thể tải xuống nhiều phần mềm độc hại hơn hoặc truyền thêm thông tin của bạn.

Nếu quy trình này là hoàn toàn hợp pháp, hãy tiêu diệt hoặc khởi động lại quy trình vi phạm và vượt qua ngón tay của bạn rằng đó là một con sán. Nếu bạn không muốn quá trình đó bắt đầu nữa, bạn có thể gỡ cài đặt nó hoặc sử dụng Autorun để ngăn quá trình tải khi khởi động.

Nếu điều đó không giải quyết được vấn đề, có lẽ đã đến lúc rút ra Trình giám sát quy trình và phân tích các quy trình mà bạn đã xác định và tìm ra những gì họ đang cố gắng truy cập. Điều này có thể cung cấp cho bạn manh mối về những gì đang thực sự xảy ra - có thể quá trình đang cố truy cập vào khóa đăng ký hoặc tệp không tồn tại hoặc không có quyền truy cập hoặc có thể nó chỉ đang cố chiếm đoạt tất cả các tệp của bạn và thực hiện nhiều việc sơ sài như truy cập thông tin mà có lẽ không nên hoặc quét toàn bộ ổ đĩa của bạn mà không có lý do chính đáng.

Ngoài ra, nếu bạn nghi ngờ rằng ứng dụng đang kết nối với thứ gì đó không nên, điều rất phổ biến trong trường hợp phần mềm gián điệp, bạn sẽ rút tiện ích TCPView để xác minh xem đó có phải là trường hợp không.

Tại thời điểm này, bạn có thể đã xác định rằng quy trình là phần mềm độc hại hoặc tại crapware. Dù bằng cách nào bạn không muốn nó. Bạn có thể chạy qua quy trình gỡ cài đặt nếu chúng được liệt kê trong danh sách Chương trình gỡ cài đặt của Control Panel, nhưng nhiều lần chúng không được liệt kê hoặc không dọn dẹp đúng cách. Đây là khi bạn rút Autorun và tìm mọi vị trí mà ứng dụng đã kết nối vào phần khởi động và khởi động chúng từ đó, sau đó nuke tất cả các tệp.

Chạy quét toàn bộ hệ thống của bạn cũng rất hữu ích, nhưng hãy trung thực, hầu hết các phần mềm và phần mềm gián điệp được cài đặt mặc dù các ứng dụng chống vi-rút được cài đặt. Theo kinh nghiệm của chúng tôi, hầu hết các phần mềm chống vi-rút sẽ vui vẻ báo cáo về tất cả các trò chơi rõ ràng trong khi PC của bạn hầu như không thể hoạt động do phần mềm gián điệp và crapware.

TCPView

Tiện ích này là một cách tuyệt vời để xem ứng dụng nào trên máy tính của bạn đang kết nối với dịch vụ nào qua mạng. Bạn có thể thấy hầu hết các thông tin này trên dấu nhắc lệnh bằng cách sử dụng netstat hoặc được chôn trong giao diện Process Explorer / Monitor, nhưng sẽ dễ dàng hơn khi chỉ mở TCPView và xem những gì đang kết nối với những gì.

Màu sắc trong danh sách khá đơn giản và giống với các tiện ích khác - màu xanh lá cây tươi sáng có nghĩa là kết nối vừa hiển thị, màu đỏ có nghĩa là kết nối đang đóng và màu vàng có nghĩa là kết nối đã thay đổi.

Bạn cũng có thể xem các thuộc tính quy trình, kết thúc quá trình, đóng kết nối hoặc kéo lên báo cáo Whois. Nó đơn giản, chức năng và rất hữu ích.

Chú thích: Khi bạn tải TCPView lần đầu tiên, bạn có thể thấy hàng tấn kết nối từ [Quy trình hệ thống] đến tất cả các loại địa chỉ internet, nhưng điều này thường không phải là vấn đề. Nếu tất cả các kết nối đều ở trạng thái TIME_WAIT, điều đó có nghĩa là kết nối đó đang bị đóng và không có quá trình gán kết nối cho chúng, vì vậy chúng sẽ được gán cho PID 0 vì không có PID để gán cho.

Điều này thường xảy ra khi bạn tải lên TCPView sau khi đã kết nối với một loạt các thứ, nhưng nó sẽ biến mất sau khi tất cả các kết nối đóng và bạn giữ TCPView mở.

Coreinfo

Hiển thị thông tin trên CPU hệ thống và tất cả các tính năng. Bạn đã bao giờ tự hỏi liệu CPU của bạn là 64 bit hay nó có hỗ trợ ảo hóa dựa trên phần cứng không? Bạn có thể thấy tất cả những điều đó và nhiều hơn thế nữa với tiện ích coreinfo. Điều này có thể thực sự hữu ích nếu bạn muốn xem liệu một máy tính cũ hơn có thể chạy phiên bản Windows 64 bit hay không.

 

Xử lý

Tiện ích này thực hiện tương tự như Process Explorer thực hiện - bạn có thể nhanh chóng tìm kiếm để tìm ra quy trình nào có xử lý mở đang chặn quyền truy cập vào tài nguyên hoặc xóa tài nguyên. Cú pháp khá đơn giản:

xử lý

Và nếu bạn muốn đóng tay cầm, bạn có thể sử dụng mã xử lý thập lục phân (có -c) trong danh sách kết hợp với ID tiến trình (công tắc -p) để đóng nó.

xử lý -c -p

Có lẽ việc sử dụng Process Explorer cho nhiệm vụ này có thể dễ dàng hơn nhiều.

Danh sách

Giống như Process Explorer, tiện ích này liệt kê các DLL được tải như một phần của quy trình. Dĩ nhiên, sử dụng Process Explorer dễ dàng hơn nhiều.

Bản đồ

Tiện ích này phân tích việc sử dụng bộ nhớ vật lý của bạn, với vô số cách khác nhau để trực quan hóa bộ nhớ, bao gồm cả các trang vật lý, nơi bạn có thể thấy vị trí trong RAM mà mỗi tệp thực thi được tải vào.

Chuỗi tìm văn bản có thể đọc được trong ứng dụng và DLL

Nếu bạn thấy một URL lạ dưới dạng một chuỗi trong một số gói phần mềm, thì đã đến lúc phải lo lắng. Làm thế nào bạn sẽ thấy chuỗi kỳ lạ đó? Sử dụng tiện ích chuỗi từ dấu nhắc lệnh (hoặc sử dụng chức năng trong Process Explorer thay thế).

Trang tiếp theo: Định cấu hình Đăng nhập tự động và ShellRunAs