Kết hợp và sử dụng các công cụ cùng nhau

Mục lục:

Kết hợp và sử dụng các công cụ cùng nhau
Kết hợp và sử dụng các công cụ cùng nhau

Video: Kết hợp và sử dụng các công cụ cùng nhau

Video: Kết hợp và sử dụng các công cụ cùng nhau
Video: Những Bức Hình Ám Ảnh Không Lời Giải Thích | Điều Thú Vị Có Thể Bạn Chưa Biết | Davo's Lingo #shorts - YouTube 2024, Tháng tư
Anonim
Chúng tôi đang ở cuối loạt SysInternals của chúng tôi và đã đến lúc kết thúc mọi thứ bằng cách nói về tất cả các tiện ích nhỏ mà chúng tôi không trình bày trong chín bài học đầu tiên. Chắc chắn có rất nhiều công cụ trong bộ công cụ này.
Chúng tôi đang ở cuối loạt SysInternals của chúng tôi và đã đến lúc kết thúc mọi thứ bằng cách nói về tất cả các tiện ích nhỏ mà chúng tôi không trình bày trong chín bài học đầu tiên. Chắc chắn có rất nhiều công cụ trong bộ công cụ này.

TRƯỜNG HƯỚNG DẪN

  1. Công cụ SysInternals là gì và bạn sử dụng chúng như thế nào?
  2. Tìm hiểu về Process Explorer
  3. Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
  4. Hiểu quy trình giám sát
  5. Sử dụng Process Monitor để khắc phục sự cố và tìm Registry Hacks
  6. Sử dụng Autoruns để xử lý các quá trình khởi động và phần mềm độc hại
  7. Sử dụng BgInfo để hiển thị thông tin hệ thống trên màn hình nền
  8. Sử dụng PsTools để điều khiển các PC khác từ dòng lệnh
  9. Phân tích và quản lý tệp, thư mục và ổ đĩa của bạn
  10. Kết hợp và sử dụng các công cụ cùng nhau

Chúng tôi đã học cách sử dụng Process Explorer để gỡ rối các quy trình không đúng trên hệ thống và Trình theo dõi quy trình để xem những gì họ đang thực hiện dưới mui xe. Chúng tôi đã tìm hiểu về Autoruns, một trong những công cụ mạnh mẽ nhất để xử lý nhiễm phần mềm độc hại và PsTools để kiểm soát các máy tính khác từ dòng lệnh.

Hôm nay chúng tôi sẽ giới thiệu các tiện ích còn lại trong bộ công cụ, có thể được sử dụng cho tất cả các mục đích, từ xem kết nối mạng để xem các quyền hiệu quả trên các đối tượng hệ thống tệp.

Nhưng trước tiên, chúng tôi sẽ xem xét một kịch bản ví dụ giả định để xem cách bạn có thể sử dụng một số công cụ cùng nhau để giải quyết vấn đề và thực hiện một số nghiên cứu về những gì đang diễn ra.

Bạn nên dùng dụng cụ nào?

Không phải lúc nào cũng chỉ là một công cụ cho công việc - tốt hơn hết là nên sử dụng chúng cùng nhau. Dưới đây là một trường hợp ví dụ để cung cấp cho bạn ý tưởng về cách bạn có thể giải quyết điều tra, mặc dù đáng lưu ý rằng có nhiều cách để tìm hiểu điều gì đang xảy ra. Đây chỉ là một ví dụ nhanh để giúp minh họa và không phải là danh sách chính xác các bước cần làm theo.

Kịch bản: Hệ thống đang chạy chậm, phần mềm độc hại đáng ngờ

Việc đầu tiên bạn nên làm là mở Process Explorer và xem những tiến trình nào đang sử dụng hết tài nguyên trên hệ thống. Khi bạn đã xác định được quy trình, bạn nên sử dụng các công cụ tích hợp trong Process Explorer để xác minh quá trình thực sự là gì, đảm bảo quá trình đó hợp pháp và quét tùy chọn quy trình đó bằng vi-rút tích hợp trong VirusTotal.

Image
Image

Chú thích:nếu bạn thực sự nghĩ rằng có thể có phần mềm độc hại, thường hữu ích khi rút hoặc tắt truy cập internet trên máy đó trong khi khắc phục sự cố, mặc dù bạn có thể muốn thực hiện tra cứu VirusTotal trước. Nếu không, phần mềm độc hại có thể tải xuống nhiều phần mềm độc hại hơn hoặc truyền nhiều thông tin của bạn hơn.

Nếu quá trình này là hoàn toàn hợp pháp, hãy giết hoặc khởi động lại quá trình vi phạm, và vượt qua các ngón tay của bạn rằng đó là một con sán. Nếu bạn không muốn quá trình đó bắt đầu nữa, bạn có thể gỡ cài đặt hoặc sử dụng Autoruns để ngăn quá trình tải khi khởi động.

Nếu điều đó không giải quyết được vấn đề, có thể đã đến lúc rút ra Process Monitor và phân tích các quy trình mà bạn đã xác định và tìm ra những gì họ đang cố gắng truy cập. Điều này có thể cung cấp cho bạn manh mối về những gì đang thực sự xảy ra - có thể quá trình đang cố gắng truy cập khóa hoặc tệp sổ đăng ký không tồn tại hoặc không có quyền truy cập hoặc có thể chỉ đang cố chiếm đoạt tất cả các tệp của bạn và thực hiện rất nhiều điều sơ sài như truy cập thông tin mà có thể không nên, hoặc quét toàn bộ ổ đĩa của bạn mà không có lý do chính đáng.

Ngoài ra, nếu bạn nghi ngờ rằng ứng dụng đang kết nối với nội dung nào đó không được, điều này rất phổ biến trong trường hợp phần mềm gián điệp, bạn sẽ rút tiện ích TCPView để xác minh xem đó có phải là trường hợp không.

Tại thời điểm này, bạn có thể đã xác định rằng quá trình này là phần mềm độc hại hoặc tại crapware. Dù bằng cách nào bạn cũng không muốn. Bạn có thể chạy qua quá trình gỡ cài đặt nếu chúng được liệt kê trong danh sách Gỡ cài đặt Chương trình của Bảng điều khiển, nhưng nhiều lần chúng không được liệt kê hoặc không dọn dẹp đúng cách. Đây là khi bạn kéo ra Autoruns và tìm mọi nơi mà ứng dụng đã nối vào khởi động, và nuke chúng từ đó, và sau đó nuke tất cả các tập tin.

Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.

TCPView

Tiện ích này là một cách tuyệt vời để xem những ứng dụng nào trên máy tính của bạn đang kết nối với những dịch vụ nào qua mạng. Bạn có thể thấy hầu hết thông tin này trên dấu nhắc lệnh bằng cách sử dụng netstat, hoặc được chôn trong giao diện Process Explorer / Monitor, nhưng dễ dàng hơn nhiều khi chỉ cần mở TCPView và xem những gì đang kết nối với cái gì.

Các màu trong danh sách khá đơn giản và tương tự như các tiện ích khác - màu xanh lục sáng nghĩa là kết nối vừa xuất hiện, màu đỏ nghĩa là kết nối đang đóng, và màu vàng nghĩa là kết nối đã thay đổi.

Bạn cũng có thể xem các thuộc tính quy trình, kết thúc quá trình, đóng kết nối hoặc kéo lên báo cáo Whois. Nó đơn giản, chức năng và rất hữu ích.

Image
Image

Chú thích:Khi bạn tải TCPView lần đầu tiên, bạn có thể thấy rất nhiều kết nối từ [Process System] đến tất cả các loại địa chỉ internet, nhưng điều này thường không phải là vấn đề. Nếu tất cả các kết nối đều ở trạng thái TIME_WAIT, điều đó có nghĩa là kết nối đang bị đóng và không có quá trình gán kết nối, vì vậy chúng sẽ được gán cho PID 0 vì không có PID để gán nó cho.

Điều này thường xảy ra khi bạn tải lên TCPView sau khi đã kết nối với một loạt các thứ, nhưng nó sẽ biến mất sau khi tất cả các kết nối đóng và bạn giữ TCPView mở.

Coreinfo

Hiển thị thông tin trên CPU hệ thống và tất cả các tính năng. Bao giờ tự hỏi nếu CPU của bạn là 64-bit hoặc nếu nó hỗ trợ ảo hóa dựa trên phần cứng? Bạn có thể thấy tất cả điều đó và nhiều thứ khác, nhiều hơn nữa với tiện ích coreinfo. Điều này có thể thực sự hữu ích nếu bạn muốn xem liệu một máy tính cũ có thể chạy phiên bản Windows 64 bit hay không.

Image
Image

Xử lý

Tiện ích này thực hiện điều tương tự mà Process Explorer thực hiện - bạn có thể nhanh chóng tìm kiếm để tìm ra quy trình nào có một xử lý mở đang chặn quyền truy cập vào tài nguyên hoặc từ việc xóa tài nguyên. Cú pháp khá đơn giản:

handle

Và nếu bạn muốn đóng chốt, bạn có thể sử dụng mã xử lý thập lục phân (với -c) trong danh sách kết hợp với ID tiến trình (nút chuyển đổi -p) để đóng nó.

handle -c -p

Có thể dễ dàng hơn khi sử dụng Process Explorer cho tác vụ này.
Có thể dễ dàng hơn khi sử dụng Process Explorer cho tác vụ này.

ListDlls

Cũng giống như Process Explorer, tiện ích này liệt kê ra các tệp DLL được tải như một phần của quy trình. Dĩ nhiên, việc sử dụng Process Explorer cũng dễ dàng hơn rất nhiều.

Image
Image

RamMap

Tiện ích này phân tích việc sử dụng bộ nhớ vật lý của bạn, với vô số cách khác nhau để trực quan hóa bộ nhớ, bao gồm các trang vật lý, nơi bạn có thể thấy vị trí trong RAM mà mỗi tệp thực thi được nạp vào.

Image
Image

Strings tìm văn bản có thể đọc được bằng con người trong ứng dụng và DLL

Nếu bạn thấy một URL lạ như là một chuỗi trong một số gói phần mềm, đó là thời gian để lo lắng. Làm thế nào bạn sẽ thấy chuỗi kỳ lạ? Sử dụng tiện ích chuỗi từ dấu nhắc lệnh (hoặc sử dụng hàm trong Process Explorer).

Đề xuất:

Cách sử dụng "Chế độ kết hợp" của Parallels để chạy các ứng dụng Windows và Mac cạnh nhau

Cách sử dụng "Chế độ kết hợp" của Parallels để chạy các ứng dụng Windows và Mac cạnh nhau

Bạn có bao giờ muốn bạn có thể chạy phần mềm MacOS và Windows, cạnh nhau, sắp xếp các cửa sổ từ mỗi hệ điều hành mà bạn thích? Nhờ có một tính năng trong Parallels gọi là Chế độ kết hợp, mà bạn có thể sử dụng nếu bạn đã thiết lập Parallels để chạy Windows bên trong hệ điều hành MacOS, chỉ cần một cú nhấp chuột.

Cách tổ chức và kết hợp nhiều bookmarklets cùng nhau

Cách tổ chức và kết hợp nhiều bookmarklets cùng nhau

Bookmarklets tạo sự bổ sung tuyệt vời cho bất kỳ trình duyệt nào, nhưng giống như các dấu trang thông thường, chúng có thể chiếm không gian nếu bạn có một bộ sưu tập lớn. Xem việc kết hợp chúng thành một bookmarklet đơn giản bằng cách sử dụng trang web Bookmarklet Combiner dễ dàng như thế nào.

Kết hợp thanh địa chỉ và thanh tiến trình cùng nhau trong Firefox

Kết hợp thanh địa chỉ và thanh tiến trình cùng nhau trong Firefox

Bạn có thích cách Thanh tiến trình được tích hợp vào Thanh địa chỉ trong Trình duyệt Safari không? Bạn có thể nhận được cùng một chức năng trong Firefox với phần mở rộng Phân hạch.

Hiển thị các ô Live khác nhau cho các tài khoản email khác nhau trong Windows 8

Hiển thị các ô Live khác nhau cho các tài khoản email khác nhau trong Windows 8

Nếu bạn có nhiều tài khoản email thì trên Màn hình Bắt đầu Windows 8, ô Live mail hiển thị các thư mới nhất từ tất cả các tài khoản của bạn. Dưới đây là mẹo sử dụng ô Live khác nhau cho tài khoản thư khác nhau.

Điều khiển Nút X-Chuột: Nhắc lại các nút chuột khác nhau cho các phần mềm khác nhau

Điều khiển Nút X-Chuột: Nhắc lại các nút chuột khác nhau cho các phần mềm khác nhau

Điều khiển Nút X-Mouse cho Windows cho phép bạn tạo lại các nút chuột khác nhau cho các phần mềm khác nhau.