2024 Autor: Peter John Melton | [email protected]. Naposledy změněno: 2023-12-16 04:44
ŠKOLNÍ NAVIGACE
- Jaké jsou nástroje SysInternals a jak je používáte?
- Porozumění procesu průzkumu
- Použití Process Explorer k odstraňování a diagnostice
- Porozumění procesu sledování
- Použití monitorovacího procesu k odstraňování a nalezení hacků v registru
- Použití autorunů k řešení spouštěcích procesů a malwaru
- Pomocí BgInfo zobrazte informace o systému na ploše
- Použití PsTools pro ovládání jiných počítačů z příkazového řádku
- Analýza a správa souborů, složek a disků
- Zalomení a používání nástrojů společně
V minulých dnech by se software automaticky spouštěl přidáním položky do složky Startup v nabídce Start nebo přidáním hodnoty do klíče Run v registru, ale jako lidé a software se stali více zdatnějšími při hledání nežádoucích záznamů a jejich odstranění, tvůrci sporného softwaru začali hledat způsoby, jak dostat stále víc záludnosti.
Tyto společnosti se stinnými crapwaremi začaly zjišťovat, jak automaticky načíst svůj software pomocí pomocných objektů prohlížeče, služeb, ovladačů, naplánovaných úkolů a dokonce i pomocí extrémně pokročilých technik, jako je například hijacking obrázků a AppInit_dlls.
Kontrola ručně za každou z těchto podmínek by nebyla jen časově náročná, ale pro průměrného člověka je téměř nemožné.
To je místo, kde Autoruns přijde a zachrání ten den. Jistě můžete použít Process Explorer pro prohlížení seznamu procesů a ponořit se hluboko do podprocesů a úchytek a Process Monitor dokáže přesně zjistit, které klíče registru jsou otevřeny tím, který proces a ukázat neuvěřitelné množství informací. Ale ani jeden neumožňuje, aby se při příštím spuštění vašeho počítače znovu načtily crapware nebo malware.
Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.
Autoruns vám umožňuje vidět téměř každou věc, která je automaticky načtena do vašeho počítače, a jednoduše ji vypnout tak, že kliknete na zaškrtávací políčko. Je to neuvěřitelně snadné použití a téměř samozřejmostí, s výjimkou některých skutečně komplikovaných věcí, které potřebujete vědět, abyste pochopili, co vlastně znamenají některé karty. To je to, co tato lekce učí.
Práce s rozhraním Autoruns
Můžete získat nástroj Autoruns ze serveru SysInternals stejně jako všechny ostatní a spustit bez instalace. Budete chtít to udělat, než budete pokračovat.
Poznámka: Autoruns nevyžaduje běh jako správce, ale realisticky to dělá nejvíce smysl udělat to jen proto, že existuje několik funkcí, které nebudou fungovat jinak a je tu dobrá šance, že váš malware běží jako správce také.
Když poprvé spustíte rozhraní, uvidíte tón karet a seznam věcí, které se automaticky spouštějí v počítači. Výchozí karta Vše zobrazuje vše od každé karty, ale může to být trochu matoucí a zdlouhavé, proto bychom vám radili prostě projít každou kartu samostatně.
Zakázání položek
Chcete-li zakázat libovolnou položku v seznamu, stačí zaškrtnout políčko. To je vše, co musíte udělat, prostě projděte seznam a odstraňte vše, co nepotřebujete, restartujte počítač a spusťte jej znovu, abyste se ujistili, že vše je dobré.
Poznámka:nějaký malware bude neustále sledovat místa, odkud spustí autostart, a okamžitě vrátí hodnotu zpět. Klávesou F5 můžete znovu provést kontrolu a zjistit, zda se některé položky vrátily po jejich vypnutí. Pokud se některý z nich znovu objevil, měli byste program Explorer Explorer před tím, než jej deaktivujete, pozastavit nebo zabít tento malware.
Barvy
Stejně jako většina nástrojů SysInternals, položky v seznamu mohou mít různé barvy a zde je to, co znamenají:
- Růžový - to znamená, že nebyla nalezena žádná informace o vydavateli nebo je-li ověření kódu zapnuto, znamená to, že digitální podpis buď neexistuje nebo neodpovídá, nebo neexistují žádné informace o vydavateli.
- Zelená - tato barva se používá při srovnání s předchozí sadou dat Autoruns, která označuje položku, která tam nebyla naposledy.
- Žlutá - spouštěcí položka je tam, ale soubor nebo úloha, na kterou odkazuje, již neexistuje.
Stejně jako většina nástrojů SysInternals můžete kliknout pravým tlačítkem myši na libovolný záznam a provést několik akcí, včetně přeskakování na položku nebo obrázek (skutečný soubor v aplikaci Explorer). Můžete vyhledat online název procesu nebo údaje ve sloupci, zobrazit detailní vlastnosti nebo zjistit, zda je daná položka spuštěna pomocí rychlého vyhledávání pomocí Process Explorer - i když mnoho procesů má zavaděč, který pak spouští něco jiného opuštění, takže jen proto, že tato funkce nevykazuje žádné výsledky, nic neznamená.
Ověření podpisů kódu
Položka nabídky Možnosti filtru vás přenese do panelu možností, kde můžete vybrat jednu velmi užitečnou možnost: Ověřte podpisy kódu. Tím se zkontroluje, zda je každý digitální podpis analyzován a ověřen, a zobrazuje výsledky přímo v okně. Všimnete si, že všechny položky na růžovém obrázku na obrazovce níže nejsou ověřeny nebo informace o vydavateli neexistují.
A kvůli zvýšenému kreditu můžete zaznamenat, že tento snímek obrazovky níže je téměř stejný jako snímek na začátku, s výjimkou toho, že některé položky v seznamu, které nejsou označeny jako růžové. Rozdíl spočívá v tom, že ve výchozím nastavení bez možnosti zapisování podpisu ověřovacího kódu zapne Autoruns pouze rudý řádek, pokud neexistují žádné informace o vydavateli.
Analyzujte systém offline (stejně jako při připojení pevného disku k jinému počítači)
Představte si, že váš počítač vašeho přítele je úplně zklamaný a buď nebude bootovat, nebo se jen obléká tak pomalu, že jej nemůžete opravdu použít. Vyzkoušeli jste nouzový režim a možnosti obnovy, jako je Obnovení systému, ale nezáleží na tom, protože je nepoužitelný.
Spíše než vytahovat kartu "přeinstalovat", která je často jen kartou "vzdát se", můžete vyndat pevný disk a připojit ho k počítači nebo notebooku pomocí praktického doku pro pevný disk USB. Máte jedno, že? Pak stačí nahrát Autoruns a přejděte do Soubor -> Analyzovat Offline systém.
Porovnání proti jinému počítači (nebo předchozí čisté instalaci)
Možnost Soubor -> Porovnat se zdá být nepopsatelná, ale může to být jeden z nejúčinnějších způsobů, jak analyzovat počítač a zjistit, co bylo přidáno od posledního naskenování, nebo porovnávat se se známým čistým počítačem.
Chcete-li tuto funkci použít, stačí načíst Autoruns v počítači, který se pokoušíte zkontrolovat, nebo pomocí režimu offline, který jsme popsali dříve, a pak přejděte na položku Soubor -> Porovnat. Všechno, co bylo přidáno od verze porovnávaného souboru, se zobrazí v jasně zelené barvě. Je to tak jednoduché. Chcete-li uložit novou verzi, použijte volbu Soubor -> Uložit.
Podívejte se na záložky
Jak jste zatím viděli, Autoruns je velmi jednoduchý, ale výkonný nástroj, který by pravděpodobně mohl použít téměř každý. Chci říct jenom, že musíte zrušit zaškrtnutí políčka, že jo? Je však užitečné mít nějaké další informace o tom, co znamenají všechny tyto karty, a proto se zde budeme snažit a vzdělávat.
Další stránka: Přihlášení, naplánované úlohy a únosy obrázků
Doporučuje:
Použití htop pro sledování systémových procesů na Linuxu
Většina lidí, kteří jsou s Linuxem obeznámeni, použili nástroj top příkazového řádku, aby zjistili, jaký proces využívá nejvíce CPU nebo paměti. Existuje podobná utilita s názvem htop, která je mnohem jednodušší pro běžné úkoly.
Použití monitorovacího procesu k odstraňování a nalezení hacků v registru
V dnešním vydání Geek School vás naučíme, jak používat procesní monitor pro skutečné řešení problémů a zjišťování hackerů v registrech, o kterých byste jinak nevěděli.
Použití skrytého Správce úloh terminálu Mac pro zobrazení procesů na pozadí
Zavíráte Terminálové okno, pouze abyste se dozvěděli, že tak bude ukončen běžící proces. Což je matoucí, protože jste nevěděli, že ještě vůbec běží.
Zpět nahoru | Dejte nám zpětnou vazbu Řešení Zpět nahoru Dejte nám zpětnou vazbu Řešení Zpět nahoru |
Už jste někdy omylem smazali nesprávný soubor nebo duplicitní soubory, když jste je pokoušeli vybrat pomocí myši? Tyhle chyby mohou být velmi frustrující, ale je opravdu, opravdu jednoduchý způsob, jak je zvrátit.
Použití nástroje Autoruns pro sledování spouštěcích aplikací a doplňků
Při instalaci stále více softwaru do počítače se vaše položky při spouštění posílí aplikacemi, které zpomalují čas zavádění a zpravidla ztrácejí paměť počítače.