Membungkus dan Menggunakan Alat Bersama

Daftar Isi:

Membungkus dan Menggunakan Alat Bersama
Membungkus dan Menggunakan Alat Bersama

Video: Membungkus dan Menggunakan Alat Bersama

Video: Membungkus dan Menggunakan Alat Bersama
Video: Cara upload foto di facebook agar tidak pecah / buram - YouTube 2024, November
Anonim
Kami berada di akhir seri SysInternals kami, dan sekarang saatnya untuk menyelesaikan semuanya dengan berbicara tentang semua utilitas kecil yang tidak kami sertakan melalui sembilan pelajaran pertama. Pasti ada banyak alat di kit ini.
Kami berada di akhir seri SysInternals kami, dan sekarang saatnya untuk menyelesaikan semuanya dengan berbicara tentang semua utilitas kecil yang tidak kami sertakan melalui sembilan pelajaran pertama. Pasti ada banyak alat di kit ini.

NAVIGASI SEKOLAH

  1. Apa Alat SysInternals dan Bagaimana Anda Menggunakannya?
  2. Memahami Proses Explorer
  3. Menggunakan Process Explorer untuk Memecahkan Masalah dan Mendiagnosis
  4. Memahami Proses Monitor
  5. Menggunakan Monitor Proses untuk Mengatasi Masalah dan Menemukan Peretasan Registry
  6. Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
  7. Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
  8. Menggunakan PsTools untuk Mengontrol PC Lain dari Command Line
  9. Menganalisis dan Mengelola File, Folder, dan Drive Anda
  10. Membungkus dan Menggunakan Alat Bersama

Kami telah belajar cara menggunakan Process Explorer untuk memecahkan masalah proses yang tidak semestinya pada sistem, dan Memantau Proses untuk melihat apa yang mereka lakukan di bawah kap mesin. Kami telah belajar tentang Autoruns, salah satu alat paling kuat untuk menangani infeksi malware, dan PsTools untuk mengendalikan PC lain dari baris perintah.

Hari ini kita akan membahas utilitas yang tersisa dalam kit, yang dapat digunakan untuk segala macam tujuan, mulai dari melihat koneksi jaringan hingga melihat izin yang efektif pada objek sistem file.

Tetapi pertama-tama, kami akan berjalan melalui skenario contoh hipotetis untuk melihat bagaimana Anda dapat menggunakan sejumlah alat bersama-sama untuk memecahkan masalah dan melakukan penelitian tentang apa yang sedang terjadi.

Alat Mana yang Harus Anda Gunakan?

Tidak selalu ada satu alat untuk pekerjaan itu - lebih baik menggunakan semuanya bersama-sama. Berikut ini contoh skenario untuk memberi Anda gambaran tentang bagaimana Anda dapat menangani penyelidikan, meskipun perlu dicatat bahwa ada sejumlah cara untuk mengetahui apa yang sedang terjadi. Ini hanyalah contoh cepat untuk membantu menggambarkan, dan tidak berarti daftar langkah-langkah yang tepat untuk diikuti.

Skenario: Sistem Berjalan Lambat, Dicurigai Malware

Hal pertama yang harus Anda lakukan adalah membuka Process Explorer dan melihat proses apa yang menggunakan sumber daya di sistem. Setelah Anda mengidentifikasi prosesnya, Anda harus menggunakan alat bawaan di Process Explorer untuk memverifikasi apa sebenarnya prosesnya, memastikannya sah, dan secara opsional memindai proses itu untuk virus menggunakan integrasi VirusTotal bawaan.

Image
Image

catatan:jika Anda benar-benar berpikir mungkin ada malware, sering kali berguna untuk mencabut atau menonaktifkan akses internet pada mesin itu saat memecahkan masalah, meskipun Anda mungkin ingin melakukan pencarian VirusTotal terlebih dahulu. Kalau tidak, malware itu mungkin mengunduh lebih banyak malware, atau mengirimkan lebih banyak informasi Anda.

Jika prosesnya benar-benar sah, bunuh atau mulai kembali proses yang menyinggung, dan silangkan jari-jari Anda bahwa itu adalah kebetulan. Jika Anda tidak ingin proses itu dimulai lagi, Anda dapat menghapusnya, atau menggunakan Autoruns untuk menghentikan proses dari memuat saat startup.

Jika itu tidak menyelesaikan masalah, mungkin saatnya untuk mengeluarkan Proses Monitor dan menganalisis proses yang telah Anda identifikasi dan cari tahu apa yang mereka coba akses. Ini dapat memberi Anda petunjuk tentang apa yang sebenarnya terjadi - mungkin prosesnya mencoba mengakses kunci registri atau file yang tidak ada atau tidak memiliki akses ke, atau mungkin itu hanya mencoba untuk membajak semua file Anda dan melakukan banyak hal yang tidak jelas seperti mengakses informasi yang mungkin tidak seharusnya, atau memindai seluruh drive Anda tanpa alasan.

Selain itu, jika Anda menduga bahwa aplikasi terhubung ke sesuatu yang seharusnya tidak, yang sangat umum dalam kasus spyware, Anda menarik utilitas TCPView untuk memverifikasi apakah itu yang terjadi.

Pada titik ini Anda mungkin telah menentukan bahwa prosesnya adalah malware atau di crapware. Bagaimanapun Anda tidak menginginkannya. Anda dapat menjalankan proses pencopotan pemasangan jika dicantumkan dalam daftar Uninstall Programs Control Panel, tetapi sering kali tidak terdaftar, atau tidak dibersihkan dengan benar. Ini adalah ketika Anda menarik Autoruns dan menemukan setiap tempat yang aplikasi telah terhubung ke startup, dan nuke mereka dari sana, dan kemudian nuke semua file.

Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.

TCPView

Utilitas ini adalah cara yang bagus untuk melihat aplikasi apa di komputer Anda yang terhubung ke layanan apa yang melalui jaringan. Anda dapat melihat sebagian besar informasi ini pada command prompt menggunakan netstat, atau dimakamkan di antarmuka Process Explorer / Monitor, tetapi jauh lebih mudah untuk membuka TCPView dan melihat apa yang terhubung dengan apa.

Warna dalam daftar cukup sederhana dan mirip dengan utilitas lain - hijau terang berarti koneksi baru saja muncul, merah berarti koneksi tertutup, dan kuning berarti koneksi berubah.

Anda juga dapat melihat properti proses, mengakhiri proses, menutup koneksi, atau menarik laporan Whois. Ini sederhana, fungsional, dan sangat berguna.

Image
Image

catatan:Saat pertama kali memuat TCPView, Anda mungkin melihat banyak sekali koneksi dari [System Process] ke semua jenis alamat internet, tetapi ini biasanya bukan masalah. Jika semua koneksi dalam keadaan TIME_WAIT, itu berarti koneksi sedang ditutup, dan tidak ada proses untuk menetapkan koneksi, sehingga mereka harus naik sebagaimana ditugaskan ke PID 0 karena tidak ada PID untuk menetapkannya ke.

Ini biasanya terjadi ketika Anda memuat TCPView setelah terhubung ke banyak hal, tetapi harus pergi setelah semua koneksi ditutup dan Anda tetap membuka TCPView.

Coreinfo

Menunjukkan informasi pada CPU sistem dan semua fitur. Pernah bertanya-tanya apakah CPU Anda 64-bit atau apakah ia mendukung virtualisasi berbasis perangkat keras? Anda dapat melihat semua itu dan banyak lagi dengan utilitas coreinfo. Ini dapat sangat berguna jika Anda ingin melihat apakah komputer yang lebih lama dapat menjalankan Windows versi 64-bit atau tidak.

Image
Image

Menangani

Utilitas ini melakukan hal yang sama dengan Process Explorer - Anda dapat dengan cepat mencari untuk menemukan proses mana yang memiliki pegangan terbuka yang memblokir akses ke sumber daya, atau dari menghapus sumber daya. Sintaksnya cukup sederhana:

handle

Dan jika Anda ingin menutup pegangan, Anda dapat menggunakan kode pegangan heksadesimal (dengan -c) dalam daftar yang digabungkan dengan ID proses (tombol -p) untuk menutupnya.

handle -c -p

Mungkin jauh lebih mudah untuk menggunakan Process Explorer untuk tugas ini.
Mungkin jauh lebih mudah untuk menggunakan Process Explorer untuk tugas ini.

ListDlls

Sama seperti Process Explorer, utilitas ini mencantumkan DLL yang dimuat sebagai bagian dari proses. Jauh lebih mudah menggunakan Process Explorer, tentu saja.

Image
Image

RamMap

Utilitas ini menganalisis penggunaan memori fisik Anda, dengan banyak cara yang berbeda untuk memvisualisasikan memori, termasuk dengan halaman fisik, di mana Anda dapat melihat lokasi dalam RAM yang dapat dieksekusi oleh setiap eksekusi.

Image
Image

Strings Menemukan Teks yang Dapat Dibagikan Manusia dalam Aplikasi dan DLL

Jika Anda melihat URL aneh sebagai string dalam beberapa paket perangkat lunak, sekarang saatnya untuk khawatir. Bagaimana Anda akan melihat senar aneh itu? Menggunakan utilitas string dari command prompt (atau menggunakan fungsi dalam Process Explorer sebagai gantinya).

Direkomendasikan: