УЧИЛИЩНА НАВИГАЦИЯ
- Какви са SysInternals Tools и как ги използвате?
- Разбиране на процеса Explorer
- Използване на Process Explorer за отстраняване на неизправности и диагностика
- Разбиране на процеса на наблюдение
- Използване на процесния монитор за отстраняване на неизправности и откриване на системни хакове
- Използване на автомати за работа с процеси на стартиране и злонамерен софтуер
- Използване на BgInfo за показване на информация за системата на работния плот
- Използване на PsTools за управление на други компютри от командния ред
- Анализиране и управление на вашите файлове, папки и дискове
- Обвиване и използване на инструментите заедно
В по-старите дни софтуерът ще се стартира автоматично, като добави запис в папката "Стартиране" в менюто "Старт" или добави стойност в клавиша "Изпълни" в системния регистър, но хората и софтуерът станаха по-разбираеми при намирането на нежелани записи и изтриването им, създателите на съмнителен софтуер започнаха да намират начини да се подхлъзят все повече и повече.
Тези компании за сенчести компютри започнаха да разберат как автоматично да зареждат софтуера си чрез помощни обекти на браузъра, услуги, драйвери, планирани задачи и дори чрез някои изключително усъвършенствани техники като хакерство на изображения и AppInit_dlls.
Проверката на всяко от тези условия ръчно не само ще отнеме много време, но ще бъде почти невъзможно за обикновения човек.
Това е мястото, където Автомобилите влизат и спасяват деня. Разбира се, можете да използвате Process Explorer, за да прегледате списъка с процеси и да се захванете дълбоко в нишките и дръжките, а Process Monitor може да разбере точно кои ключове в регистъра се отварят от кой процес и да ви покаже невероятно количество информация. Но никой не спира да се зарежда отново crapware или зловреден софтуер следващия път, когато заредите компютъра си.
Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.
Автоматиците ви позволяват да виждате почти всяко нещо, което се зарежда автоматично на компютъра ви, и да го забраните толкова лесно, колкото и да поставите отметка в квадратче. Това е невероятно лесна за използване и почти самообяснително, с изключение на някои от много сложните неща, които трябва да знаете, за да разберете какво всъщност означават някои раздели. Това е, което този урок ще научи.
Работа с интерфейса на авторите
Можете да вземете инструмента Autoruns от уеб сайта SysInternals точно като всички останали и да го стартирате без да го инсталирате. Ще искате да направите това, преди да продължите.
Забележка: Autoruns не изисква да работи като администратор, но реалистично прави най-смисъл да направите това, тъй като има няколко функции, които няма да работят както добре, и има голям шанс вашият злонамерен софтуер да работи и като администратор.
Когато стартирате интерфейса за пръв път, ще видите тон от раздели и списък с неща, които се стартират автоматично на компютъра ви. Разделът "Всичко за всичко" показва всичко от всеки раздел, но може да е малко объркващо и продължително, така че бихме посъветвали да преминем всеки раздел отделно.
Деактивиране на елементи
За да деактивирате който и да е елемент в списъка, можете просто да премахнете отметката. Това е всичко, което трябва да направите, просто преминете през списъка и премахнете всичко, от което не се нуждаете, рестартирайте компютъра и го стартирайте отново, за да сте сигурни, че всичко е добро.
Забележка:някои злонамерени програми непрекъснато ще наблюдават местата, от които те задействат автоматичното стартиране, и веднага ще възстановят стойността. Можете да използвате клавиша F5 за повторно сканиране и да видите дали някои от записите са се върнали след деактивирането им. Ако някой от тях се появи отново, трябва да използвате Process Explorer, за да спрете или убиете този злонамерен софтуер, преди да го деактивирате тук.
Цветовете
Подобно на повечето инструменти на SysInternals, елементите в списъка могат да бъдат различни цветове и ето какво означават те:
- розов - това означава, че не е намерена информация за издателя или ако проверката на код е включена, означава, че цифровият подпис или не съществува или не съвпада, или няма информация за издател.
- зелен - този цвят се използва, когато се сравнява с предишен набор от данни от Автоматични данни, за да се посочи елемент, който не е имал последния път.
- жълт - Входът за стартиране е там, но файлът или задачата, към която той сочи, вече не съществува.
Също като повечето инструменти на SysInternals, можете да кликнете с десния бутон на мишката върху всеки запис и да извършите редица действия, включително прескачане на влизането или изображението (действителния файл в Explorer). Можете да търсите онлайн името на процеса или данните в колоната, да видите подробните свойства или да видите дали влизането се изпълнява, като извършите бързо търсене чрез Process Explorer - въпреки че много процеси имат товарач, който след това стартира нещо друго излизането, така че само защото тази функция не показва резултати, не означава нищо.
Проверка на подписите на кода
Елементът от менюто "Опции за филтри" ви отвежда до панела с опции, където можете да изберете една много полезна опция: Потвърдете подписите на кода. Това ще провери, за да се уверите, че всеки цифров подпис е анализиран и проверен и да се показват резултатите точно в прозореца. Ще забележите, че всички елементи в розово изображение от екрана по-долу не са потвърдени или информацията за издателя не съществува.
И за допълнителен кредит може да забележите, че тази екранна снимка по-долу е почти същата като тази в началото, с изключение на това, че някои от елементите в списъка не са отбелязани като розови. Разликата е, че по подразбиране, без включена опцията "Потвърждаване на подписа на код", Autoruns ще ви предупреди само с розовия ред, ако няма информация за издателя.
Анализирайте офлайн система (както при свързване на твърд диск към друг компютър)
Представете си, че компютърът на вашия приятел е напълно объркан и няма да стартира или просто да ботуши толкова бавно, че не можете да го използвате. Опитали сте безопасен режим и опции за възстановяване, като възстановяване на системата, но няма значение, защото е неизползваем.
Вместо да издърпате картата "преинсталиране", която често е само картата "Аз се отказвам", можете да издърпате твърдия диск и да го свържете към компютъра или лаптопа си с удобния USB порт за твърд диск. Имате едно, нали? След това просто заредите Autoruns и отидете в File -> Analyze Offline System.
Сравняване срещу друг компютър (или Предишна чиста инсталация)
Опцията Файл -> Сравнение изглежда незаличима, но може да бъде един от най-мощните начини да анализирате компютър и да видите какво е добавено от последния път, когато сте сканирали или да се сравните с познат чист компютър.
За да използвате тази функция, просто заредете Autoruns на компютъра, който се опитвате да проверите, или използвайте офлайн режима, който описахме по-рано, след това отидете на File -> Compare. Всичко, което е добавено от сравняваната версия на файла, ще се появи в ярко зелено. Това е толкова просто. За да запазите нова версия, бихте използвали опцията Файл -> Запазване.
Гледайки разделите
Както сте видели досега, Автоматиците са много проста, но мощна програма, която може би ще бъде използвана от почти всеки. Искам да кажа, всичко, което трябва да направите, е да махнете отметката от кутията, нали? Полезно е обаче да имате още информация за това, което означават всички тези раздели, затова ще се опитаме да ви образоваме тук.
Следваща страница: Логване, зададени задачи и отвличане на изображения