Zalomení a používání nástrojů společně

Obsah:

Video: Zalomení a používání nástrojů společně

Video: Zalomení a používání nástrojů společně
Video: Jak může mít 11 prstů? 😳 2024, Březen
Zalomení a používání nástrojů společně
Zalomení a používání nástrojů společně
Anonim
Jsme na konci našich sérií SysInternals a je načase vše zabalit tím, že mluvíme o všech malých nástrojích, které jsme nezahrnovali během prvních devět lekcí. V této sadě je určitě spousta nástrojů.
Jsme na konci našich sérií SysInternals a je načase vše zabalit tím, že mluvíme o všech malých nástrojích, které jsme nezahrnovali během prvních devět lekcí. V této sadě je určitě spousta nástrojů.

ŠKOLNÍ NAVIGACE

  1. Jaké jsou nástroje SysInternals a jak je používáte?
  2. Porozumění procesu průzkumu
  3. Použití Process Explorer k odstraňování a diagnostice
  4. Porozumění procesu sledování
  5. Použití monitorovacího procesu k odstraňování a nalezení hacků v registru
  6. Použití autorunů k řešení spouštěcích procesů a malwaru
  7. Pomocí BgInfo zobrazte informace o systému na ploše
  8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
  9. Analýza a správa souborů, složek a disků
  10. Zalomení a používání nástrojů společně

Naučili jsme se, jak pomocí Průzkumníka Průzkumu odstraňovat problémy s nepoctivými procesy v systému a Monitor procesů, aby zjistili, co dělají pod kapotou. Naučili jsme se o autorunu, jeden z nejsilnějších nástrojů pro řešení malware infekcí a PsTools pro ovládání ostatních počítačů z příkazové řádky.

Dnes budeme pokrývat zbývající nástroje v sadě, které mohou být použity pro nejrůznější účely, od zobrazení síťových připojení až po efektivní povolení objektů souborového systému.

Nejprve však projdeme hypotetickým příkladem scénáře, abychom zjistili, jak byste mohli společně použít několik nástrojů k vyřešení problému a provést nějaký výzkum o tom, co se děje.

Který nástroj byste měli používat?

Neexistuje vždy jen jeden nástroj pro práci - je mnohem lepší použít je všechny dohromady. Zde je příklad scénáře, který vám poskytne představu o tom, jak se můžete vypořádat s vyšetřováním, i když stojí za zmínku, že existuje mnoho způsobů, jak zjistit, co se děje. Jedná se pouze o rychlý příklad, který pomůže ilustrovat a není v žádném případě přesný seznam kroků, které je třeba následovat.

Scénář: systém běží pomalu, existuje podezření na malware

První věcí, kterou byste měli udělat, je otevřít Process Explorer a zjistit, jaké procesy využívají zdroje v systému. Jakmile proces zjistíte, měli byste v aplikaci Průzkumník použít vestavěné nástroje, abyste ověřili, jaký je proces skutečně, ujistěte se, že je to legitimní, a případně prověřte tento proces virů pomocí vestavěné integrace VirusTotal.

Image
Image

Poznámka:pokud si opravdu myslíte, že by mohlo dojít k malwaru, je často užitečné při odstraňování problémů odpojit nebo zakázat přístup k internetu na tomto počítači, ačkoli nejdříve budete chtít provést vyhledávání VirusTotal. V opačném případě by malware mohl stáhnout další malware nebo vyslat více vašich informací.

Pokud je proces zcela oprávněný, zabijte nebo znovu spusťte proces porušování předpisů a přejděte prsty, že to byla příšerka. Pokud nechcete, aby se tento proces již spouštěl, můžete jej buď odinstalovat, nebo pomocí programu Autoruns zastavit proces při načítání při spuštění.

Pokud to problém nevyřeší, může být čas vyndat monitorovací proces a analyzovat procesy, které jste již identifikovali, a zjistit, na co se pokoušejí získat přístup. To vám může dát stopy do toho, co se skutečně děje - možná se proces pokouší získat přístup k klíči registru nebo k souboru, který neexistuje, nebo nemá přístup, nebo se možná jen pokouší unést všechny vaše soubory a dělat spousty nápadných věcí, jako je přístup k informacím, které by pravděpodobně neměly, nebo skenování celého vašeho disku bez dobrého důvodu.

Navíc, pokud máte podezření, že se aplikace připojuje k něčemu, co by nemělo, což je velmi časté v případě spywaru, vysuňte nástroj TCPView a ověřte, zda tomu tak je.

V tomto okamžiku jste pravděpodobně zjistili, že proces je malware nebo v crackware. V každém případě to nechcete. Proces odinstalace můžete spustit, pokud jsou uvedeny v seznamu Ovládací panely v seznamu Odinstalovat programy, ale mnohokrát nejsou uvedeny nebo správně nečisté. Toto je, když vyndáte Autoruns a najdeme každé místo, které aplikace spoutala do spuštění, a nuke je odtamtud, a pak nuke všechny soubory.

Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.

TCPView

Tento nástroj je skvělý způsob, jak zjistit, jaké aplikace v počítači se připojují k službám, které jsou v síti. Většinu těchto informací můžete vidět na příkazovém řádku pomocí příkazu netstat nebo pohřbený v rozhraní Process Explorer / Monitor, ale je mnohem snazší otevřít TCPView a zjistit, co se k němu připojuje.

Barvy v seznamu jsou poměrně jednoduché a podobné ostatním nástrojům - jasně zelená znamená, že spojení se právě objevilo, červená znamená, že se spojení zavře a žlutá znamená změnu připojení.

Můžete se také podívat na vlastnosti procesu, ukončit proces, zavřít spojení nebo vytisknout sestavu Whois. Je to jednoduché, funkční a velmi užitečné.

Image
Image

Poznámka:Když poprvé načtete protokol TCPView, můžete vidět spoustu spojení z [System Process] na všechny druhy internetových adres, ale obvykle to není problém. Pokud jsou všechna spojení ve stavu TIME_WAIT, znamená to, že spojení je uzavřeno a není k němu přiřazen žádný proces, takže by měl být přiřazen k PID 0, protože neexistuje žádný PID, který by byl přiřazen.

Obvykle se to stane, když načtete TCPView poté, co jste se připojili ke spoustě věcí, ale po ukončení všech spojů by měla jít pryč a TCPView otevřít.

Coreinfo

Zobrazuje informace o CPU systému a všech funkcích. Uvažovalo jste někdy o tom, zda je procesor 64bitový nebo zda podporuje virtualizaci založenou na hardwaru? Můžete vidět všechno a hodně, mnohem více pomocí nástroje coreinfo. To může být opravdu užitečné, pokud chcete zjistit, zda starší počítač může spustit 64bitovou verzi systému Windows nebo ne.

Image
Image

Rukojeť

Tento nástroj provádí totéž, co Process Explorer dělá - můžete rychle vyhledat, který proces má otevřenou kliku, která blokuje přístup k prostředku nebo odstraněním zdroje. Syntaxe je velmi jednoduchá:

handle

A pokud chcete zavřít kliku, můžete použít v kombinaci s ID procesu (přepínač -p) hexadecimální kód popisovače (s -c) a zavřít jej.

handle -c -p

Pro tento úkol je pravděpodobně mnohem jednodušší použít Process Explorer.
Pro tento úkol je pravděpodobně mnohem jednodušší použít Process Explorer.

Seznamy

Stejně jako Process Explorer, tento nástroj uvádí DLL, které jsou načteny jako součást procesu. Proces Explorer je samozřejmě mnohem jednodušší.

Image
Image

RamMap

Tento nástroj analyzuje využití vaší fyzické paměti pomocí mnoha různých způsobů vizualizace paměti včetně fyzických stránek, kde můžete vidět umístění v paměti RAM, do které je každý spustitelný soubor načten.

Image
Image

Řetězec nalezne text v aplikaci Aplikace a knihovny DLL

Pokud v nějakém softwarovém balíku vidíte podivnou adresu URL jako řetězec, je čas se obávat. Jak bys viděl ten podivný řetězec? Pomocí příkazového řádku z příkazového řádku (nebo pomocí funkce v aplikaci Process Explorer namísto toho).

Doporučuje: