SysInternals Pro: afronden en de tools samen gebruiken

sysinternals-pro-inpakken-en-de-tools-samen gebruiken foto 1

We zijn aan het einde van onze SysInternals-serie en het is tijd om alles af te ronden door te praten over alle kleine hulpprogramma's die we tijdens de eerste negen lessen niet hebben behandeld. Er zitten zeker veel tools in deze kit.

We hebben geleerd hoe we Process Explorer kunnen gebruiken om problemen met onhandelbare processen op het systeem op te lossen, en Process Monitor om te zien wat ze onder de motorkap doen. We hebben geleerd over Autoruns, een van de krachtigste tools om malware-infecties aan te pakken, en PsTools om andere pc's vanaf de opdrachtregel te besturen.



Vandaag gaan we de resterende hulpprogramma's in de kit behandelen, die voor allerlei doeleinden kunnen worden gebruikt, variërend van het bekijken van netwerkverbindingen tot het zien van effectieve machtigingen voor bestandssysteemobjecten.

Maar eerst zullen we een hypothetisch voorbeeldscenario doorlopen om te zien hoe u een aantal tools samen kunt gebruiken om een ​​probleem op te lossen en wat onderzoek te doen naar wat er aan de hand is.

Welk hulpmiddel moet u gebruiken?

Er is niet altijd maar één tool voor de klus - het is veel beter om ze allemaal samen te gebruiken. Hier is een voorbeeldscenario om u een idee te geven van hoe u het onderzoek zou kunnen aanpakken, hoewel het vermeldenswaard is dat er een aantal manieren zijn om erachter te komen wat er aan de hand is. Dit is slechts een snel voorbeeld ter illustratie, en het is geenszins een exacte lijst met te volgen stappen.

Scenario: systeem werkt traag, vermoedelijke malware

Het eerste dat u moet doen, is Process Explorer openen en kijken welke processen bronnen op het systeem gebruiken. Nadat u het proces hebt geïdentificeerd, moet u de ingebouwde hulpprogramma's in Process Explorer gebruiken om te verifiëren wat het proces eigenlijk is, ervoor te zorgen dat het legitiem is en optioneel dat proces op virussen scannen met behulp van de ingebouwde VirusTotal-integratie.

sysinternals-pro-inpakken-en-de-tools-samen gebruiken foto 2

Dit proces is eigenlijk een SysInternals-hulpprogramma, maar als dat niet het geval was, zouden we het controleren.

Opmerking: als je echt denkt dat er malware is, is het vaak handig om de internettoegang op die machine los te koppelen of uit te schakelen tijdens het oplossen van problemen, hoewel je misschien eerst VirusTotal-zoekopdrachten wilt uitvoeren. Anders kan die malware meer malware downloaden of meer van uw informatie verzenden.

Als het proces volledig legitiem is, stop dan of herstart het gewraakte proces en kruis je vingers dat het een toevalstreffer was. Als u niet wilt dat dat proces meer start, kunt u het verwijderen of Autoruns gebruiken om te voorkomen dat het proces bij het opstarten wordt geladen.

Als dat het probleem niet oplost, is het misschien tijd om Process Monitor eruit te halen en de processen te analyseren die u al hebt geïdentificeerd en erachter te komen waartoe ze toegang proberen te krijgen. Dit kan u aanwijzingen geven over wat er werkelijk aan de hand is - misschien probeert het proces toegang te krijgen tot een registersleutel of bestand dat niet bestaat of waar het geen toegang toe heeft, of misschien probeert het gewoon al uw bestanden te kapen en doe veel vage dingen, zoals toegang krijgen tot informatie die het waarschijnlijk niet zou moeten doen, of je hele schijf scannen zonder goede reden.

Als u bovendien vermoedt dat de toepassing verbinding maakt met iets dat niet zou moeten, wat heel gebruikelijk is in het geval van spyware, kunt u het hulpprogramma TCPView gebruiken om te controleren of dat het geval is.

Op dit punt heb je misschien vastgesteld dat het proces malware of crapware is. Hoe dan ook, je wilt het niet. U kunt het verwijderingsproces doorlopen als ze worden vermeld in de lijst met programma's voor verwijderen van het Configuratiescherm, maar vaak worden ze niet vermeld of worden ze niet goed opgeschoond. Dit is wanneer je Autoruns tevoorschijn haalt en elke plaats vindt die de applicatie in het opstarten heeft gehaakt, en ze vanaf daar vernietigt en vervolgens alle bestanden vernietigt.

Het uitvoeren van een volledige virusscan van uw systeem is ook nuttig, maar laten we eerlijk zijn... de meeste crapware en spyware worden geïnstalleerd ondanks het installeren van antivirusprogramma's. Onze ervaring is dat de meeste antivirusprogramma's met plezier alles melden, terwijl uw pc nauwelijks kan werken vanwege spyware en crapware.

TCPView

Dit hulpprogramma is een geweldige manier om te zien welke toepassingen op uw computer verbinding maken met welke services via het netwerk. U kunt de meeste van deze informatie op de opdrachtprompt zien met behulp van netstat, of begraven in de Process Explorer / Monitor-interface, maar het is veel gemakkelijker om gewoon TCPView te openen en te zien wat verbinding maakt met wat.

De kleuren in de lijst zijn vrij eenvoudig en vergelijkbaar met de andere hulpprogramma's - felgroen betekent dat de verbinding zojuist is verschenen, rood betekent dat de verbinding wordt gesloten en geel betekent dat de verbinding is gewijzigd.

U kunt ook de proceseigenschappen bekijken, het proces beëindigen, de verbinding sluiten of een Whois-rapport opvragen. Het is eenvoudig, functioneel en erg handig.

sysinternals-pro-inpakken-en-de-tools-samen gebruiken foto 3

Opmerking: wanneer u TCPView voor het eerst laadt, ziet u mogelijk een heleboel verbindingen van [Systeemproces] naar allerlei internetadressen, maar dit is meestal geen probleem. Als alle verbindingen de status TIME_WAIT hebben, betekent dit dat de verbinding wordt gesloten en dat er geen proces is om de verbinding aan toe te wijzen, dus moeten ze worden toegewezen aan PID 0 omdat er geen PID is om deze aan toe te wijzen .

Dit gebeurt meestal wanneer u TCPView laadt nadat u verbinding hebt gemaakt met een heleboel dingen, maar het zou moeten verdwijnen nadat alle verbindingen zijn gesloten en u TCPView open houdt.

Kerninfo

Toont informatie over de systeem-CPU en alle functies. Heeft u zich ooit afgevraagd of uw CPU 64-bits is of dat deze op hardware gebaseerde virtualisatie ondersteunt? U kunt dat alles en nog veel, veel meer zien met het hulpprogramma coreinfo. Dit kan erg handig zijn als u wilt zien of een oudere computer de 64-bits versie van Windows kan gebruiken of niet.

sysinternals-pro-inpakken-en-de-tools-samen gebruiken foto 4

Handvat

Dit hulpprogramma doet hetzelfde als Process Explorer: u kunt snel zoeken om erachter te komen welk proces een open handvat heeft dat de toegang tot een bron blokkeert of een bron verwijdert. De syntaxis is vrij eenvoudig:

handvat

En als u de handle wilt sluiten, kunt u de hexadecimale handle-code (met -c) in de lijst in combinatie met de proces-ID (de schakeloptie -p) gebruiken om deze te sluiten.

handvat -c -p

sysinternals-pro-inpakken-en-de-tools-samen gebruiken foto 5

Het is waarschijnlijk een stuk eenvoudiger om Process Explorer voor deze taak te gebruiken.

LijstDll's

Net als Process Explorer geeft dit hulpprogramma een overzicht van de DLL's die als onderdeel van een proces zijn geladen. Het is natuurlijk een stuk eenvoudiger om Process Explorer te gebruiken.

sysinternals-pro-inpakken-en-de-tools-samen gebruiken foto 6

RamMap

Dit hulpprogramma analyseert uw fysieke geheugengebruik, met tal van verschillende manieren om het geheugen te visualiseren, inclusief door fysieke pagina's, waar u de locatie in het RAM kunt zien waarin elk uitvoerbaar bestand is geladen.

sysinternals-pro-inpakken-en-de-tools-samen gebruiken foto 7

Strings vindt door mensen leesbare tekst in apps en DLL's

Als je een rare URL ziet als een string in een softwarepakket, is het tijd om je zorgen te maken. Hoe zou je die rare string zien? Het stringhulpprogramma gebruiken vanaf de opdrachtprompt (of in plaats daarvan de functie in Process Explorer gebruiken).

sysinternals-pro-inpakken-en-de-tools-samen gebruiken foto 8

Volgende pagina: Automatisch aanmelden en ShellRunAs configureren

Meer verhalen

Geek Trivia: Welk voedsel is eigenlijk gemaakt van hergebruikte biergist?

Denk je het antwoord te weten? Klik door om te zien of je gelijk hebt!

Hoe u gemakkelijk uw takenlijst kunt bijhouden met de TaskIt-app in Word 2013

Er zijn veel manieren om uw taken bij te houden, van online, pc en mobiele tools tot ouderwetse methoden zoals post-it-notities en stukjes papier. Als u echter vaak in Word werkt, kunt u uw taken rechtstreeks in Word bijhouden.

Word voor teams: documenten en sjablonen beperken en beveiligen

Door een document te beperken en te beschermen, bent u de ultieme autoriteit over de voortgang ervan.

Geek Trivia: Een spin in de Amazone-jungle is daarin uniek?

Denk je het antwoord te weten? Klik door om te zien of je gelijk hebt!

Hoe de fout 'Windows Installer-service kan niet worden geopend' in Windows 7 oplossen

Heb je geprobeerd een programma in Windows 7 te installeren dat een MSI-bestand als installatieprogramma gebruikt en in plaats daarvan zag je de bovenstaande fout? Nooit bang zijn. Er is een eenvoudige oplossing en we zijn er om je daarbij te helpen.

Word voor teams: opmerkingen gebruiken om wijzigingen in een document aan te geven

Naast het gebruik van Wijzigingen bijhouden om alle revisies van een document vast te leggen (besproken in les 2), kunt u ook feedback geven in plaats van de eigenlijke tekst of lay-out te wijzigen.

Is shutdown.exe nodig om Windows af te sluiten?

Is shutdown.exe nodig bij het afsluiten van Windows, of is het slechts een onderdeel van wat wordt gebruikt om Windows af te sluiten? Worden in plaats daarvan andere bestanden en/of processen gebruikt? De SuperUser Q&A-post van vandaag heeft het antwoord op de vraag van een nieuwsgierige lezer.

Geek Trivia: wat werd ooit beschouwd als wrede en ongebruikelijke straf om gevangenen te voeden?

Denk je het antwoord te weten? Klik door om te zien of je gelijk hebt!

Microsoft OneNote is nu gratis beschikbaar

OneNote is een geweldige app voor het maken van aantekeningen, het bijhouden van lijsten en meer, maar moest worden aangeschaft voordat je het aan je favoriete computer kon toevoegen en was niet beschikbaar voor Mac. Maar niet langer! Sinds gisteren heeft Microsoft OneNote gratis gemaakt voor alle Windows 7- en 8.x-systemen plus een nieuwe versie aangeboden

Word voor teams: wijzigingen bijhouden die in een document zijn aangebracht

Nu u de sjabloon voor uw document in les 1 hebt ingesteld en het eerste concept van uw document is geschreven, is het tijd voor bewerking. Als er meerdere mensen aan het document samenwerken, kunt u de functie Wijzigingen bijhouden in Word gebruiken om te weten welke wijzigingen zijn aangebracht en wie deze heeft aangebracht.