TRƯỜNG HƯỚNG DẪN
- Công cụ SysInternals là gì và bạn sử dụng chúng như thế nào?
- Tìm hiểu về Process Explorer
- Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
- Hiểu quy trình giám sát
- Sử dụng Process Monitor để khắc phục sự cố và tìm Registry Hacks
- Sử dụng Autoruns để xử lý các quá trình khởi động và phần mềm độc hại
- Sử dụng BgInfo để hiển thị thông tin hệ thống trên màn hình nền
- Sử dụng PsTools để điều khiển các PC khác từ dòng lệnh
- Phân tích và quản lý tệp, thư mục và ổ đĩa của bạn
- Kết hợp và sử dụng các công cụ cùng nhau
Có rất nhiều công cụ quản trị khác được tích hợp trong Windows, có sẵn miễn phí trên web, hoặc thậm chí thông qua các nguồn thương mại, nhưng không có công cụ nào là không thể thiếu như bộ công cụ SysInternals. Đúng vậy, có một bộ công cụ miễn phí hoàn chỉnh để thực hiện hầu hết mọi tác vụ quản trị viên, từ việc giám sát hoặc bắt đầu các quy trình để xem lướt qua để xem tệp nào và khóa đăng ký mà ứng dụng của bạn thực sự đang truy cập.
Những công cụ này được sử dụng bởi tất cả các chàng trai máy tính có uy tín duy nhất - nếu bạn muốn tách lúa mì khỏi chaff, chỉ cần hỏi anh chàng sửa chữa máy tính cục bộ của bạn những gì Process Explorer được sử dụng cho. Nếu anh ta không có manh mối, anh ta có lẽ không giỏi như anh ấy nói. (Đừng lo lắng, nếu bạn không có manh mối về procexp.exe, chúng tôi sẽ đề cập đến chiều sâu bắt đầu trong bài 2 của loạt bài này vào ngày mai).
Hãy nhớ rằng thời gian Sony đã cố gắng để nhúng rootkit vào đĩa CD nhạc của họ? Vâng, đó là một tiện ích SysInternals lần đầu tiên phát hiện ra vấn đề, và đó là những kẻ SysInternals đã đưa ra thông báo. Năm 2006, Microsoft cuối cùng đã mua lại công ty đằng sau SysInternals, và họ tiếp tục cung cấp các tiện ích miễn phí trên trang web của họ.
Loạt bài này sẽ hướng dẫn bạn từng công cụ quan trọng trong bộ công cụ, giúp bạn làm quen với chúng và nhiều tính năng của chúng, sau đó giúp bạn hiểu cách sử dụng chúng trong một kịch bản thế giới thực. Đó là rất nhiều tài liệu rất geeky, nhưng nó sẽ là một chuyến đi vui vẻ, vì vậy hãy nhớ theo dõi.
Công cụ SysInternals chính xác là gì?
Bộ công cụ SysInternals chỉ đơn giản là một bộ các ứng dụng Windows có thể được tải xuống miễn phí từ phần của trang web Microsoft Technet. Tất cả chúng đều di động, có nghĩa là không chỉ bạn không phải cài đặt chúng, bạn có thể gắn chúng vào ổ flash và sử dụng chúng từ bất kỳ PC nào. Trên thực tế, bạn có thể thực sự chạy chúng mà không cần cài đặt thông qua SysInternals Live (chúng tôi sẽ minh họa một chút).
Các công cụ bao gồm các tiện ích như Process Explorer, rất giống Task Manager với rất nhiều tính năng bổ sung, hoặc Process Monitor, giám sát PC của bạn cho hệ thống tập tin, registry, hoặc thậm chí hoạt động mạng từ hầu như bất kỳ quá trình nào trên hệ thống của bạn.
Autoruns giúp bạn đối phó với các quá trình khởi động, TCPView cho bạn thấy những gì đang kết nối với các tài nguyên trên internet, và có một bộ công cụ chạy từ dòng lệnh để giúp bạn xử lý các quy trình, dịch vụ và hơn thế nữa.
Ví dụ, giả sử bạn có một máy tính rất chậm để khắc phục sự cố, và bạn muốn kiểm tra tất cả các chủ đề cho một ứng dụng cụ thể, và sau đó bạn muốn xem toàn bộ ngăn xếp cho một trong những chủ đề đó để xem chính xác những gì DLL và các hàm đang được gọi là. Process Explorer làm cho điều này tầm thường - bạn có thể chỉ cần nhấp đúp vào tiến trình, lật qua tab Threads, và sau đó nhấp vào nút Stack.
Làm thế nào để bạn có được các công cụ?
Bắt tay vào bất kỳ công cụ SysInternals nào cũng dễ dàng như hướng đến trang web, tải xuống tệp zip với tất cả các tiện ích hoặc chỉ cần lấy tệp zip cho ứng dụng riêng lẻ mà bạn muốn sử dụng.
Dù bằng cách nào, hãy giải nén và nhấp đúp vào tiện ích cụ thể mà bạn muốn mở. Đó là nó. Không có trình cài đặt nào.
Chạy các công cụ từ SysInternals Live
Nếu bạn không muốn gặp rắc rối khi tải xuống và giải nén và sau đó chạy ứng dụng và bạn không muốn giữ một ổ USB được cập nhật với các phiên bản mới nhất hoặc bạn không có quyền truy cập vào ổ đĩa trong khi làm việc máy tính của người khác, bạn luôn có thể sử dụng SysInternals Live.
Về cơ bản những gì đã xảy ra là một số năm trước, các chàng trai SysInternals tò mò liệu họ có thể tìm ra cách mới để phân phối phần mềm của họ không … vì vậy họ đã tạo ra một tập tin Windows chia sẻ trên máy chủ của họ và cho mọi người truy cập internet vào nó.
Vì vậy, bạn có thể chỉ cần gõ live.sysinternals.com vào hộp Windows Run sau khi kéo lên bằng phím tắt WIN + R và bạn sẽ có thể duyệt qua chia sẻ tệp của họ và nhìn xung quanh.
Chú thích:định dạng server share được gọi là đường dẫn UNC (Universal Naming Convention), và nó hoạt động giống như bất cứ đâu trong Windows. Bạn có thể sử dụng nó trong thanh địa chỉ thám hiểm, tệp mở và lưu hộp thoại hoặc bất kỳ nơi nào bạn thường sử dụng đường dẫn tệp.
Chỉ cần làm theo định dạng này để khởi chạy trực tiếp một trong các tiện ích thông qua hộp Run:
live.sysinternals.com ools
Ví dụ, để khởi chạy Process Explorer, tên thực thi là procexp.exe, vì vậy bạn có thể sử dụng live.sysinternals.com tools procexp.exe để khởi chạy Process Explorer, hoặc thay đổi procexp.exe thành procmon.exe để khởi chạy Process Theo dõi thay vào đó.
Bài học tiếp theo: Tìm hiểu về Process Explorer
Bài học của ngày mai sẽ làm quen với ứng dụng Process Explorer, một trình quản lý tác vụ thay thế với nhiều tính năng khác. Giao diện được đóng gói đầy đủ dữ liệu và tùy chọn, vì vậy chúng tôi sẽ xem xét và giải thích mọi thứ bạn cần biết - giống như tất cả những màu đó trong danh sách quy trình thực sự có ý nghĩa.
Sau đó, chúng tôi sẽ đề cập đến cách sử dụng nó trong thế giới thực để xử lý các quy trình sự cố, phần mềm độc hại và hơn thế nữa. Sau đó, chúng ta sẽ đi vào lãnh thổ Process Monitor và giải thích cách sử dụng một trong những ứng dụng khắc phục sự cố mạnh mẽ nhất để tìm hiểu điều gì đang thực sự xảy ra dưới mui xe của PC.
Và vào tuần tới, chúng tôi sẽ thực hiện một chuyến đi thông qua một số tiện ích khác như Autoruns, Bginfo và nhiều tiện ích dòng lệnh có trong bộ công cụ.
Có rất nhiều tài liệu để trang trải, vì vậy hãy tự lấy bản sao của các tiện ích để bạn có thể theo dõi cùng ngày mai.