SCHOOL NAVIGASJON
- Hva er SysInternals Tools og hvordan bruker du dem?
- Forstå Process Explorer
- Bruk Prosess Explorer til Feilsøking og Diagnose
- Forstå prosessovervåking
- Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
- Bruke Autoruns å håndtere oppstartsprosesser og malware
- Bruke BgInfo til å vise systeminformasjon på skrivebordet
- Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
- Analysere og administrere filer, mapper og stasjoner
- Pakke opp og bruke verktøyene sammen
I gamle dager ville programvaren starte automatisk ved å legge til en oppføring i oppstartsmappen i Start-menyen, eller legge til en verdi i Kjør-tasten i registeret, men da folk og programvare ble mer kunnskapsrike for å finne uønskede oppføringer og slette dem, begynte beslutningstakere av tvilsom programvare å finne måter å bli mer og mer sneaky.
Disse skyggefulle crapware-selskapene begynte å finne ut hvordan de automatisk kan laste inn programvaren via nettleserhjelpobjekter, tjenester, drivere, planlagte oppgaver, og til og med gjennom ekstremt avanserte teknikker som image hijacks og AppInit_dlls.
Å sjekke for hver av disse forholdene manuelt ville ikke bare være tidkrevende, men nesten umulig å gjøre for den gjennomsnittlige personen.
Det er her Autoruns kommer inn og sparer dagen. Visst, du kan bruke Process Explorer til å se gjennom prosesslisten og dype dypt inn i tråder og håndtak, og Process Monitor kan finne ut nøyaktig hvilke registernøkler som åpnes ved hvilken prosess og viser deg utrolig mye informasjon. Men ingen av dem stopper crapware eller skadelig programvare fra å bli lastet igjen neste gang du starter datamaskinen.
Of course, a smart strategy would be to use all three together. Process Explorer sees what is currently running and using up your CPU and memory, Process Monitor sees what the application is doing under the hood, and then Autoruns comes in to clean things up so they don’t come back.
Autoruns lar deg se nesten alle ting som er lastet automatisk på datamaskinen din, og deaktivere det så enkelt som å klikke i avkrysningsruten. Det er utrolig enkelt å bruke, og nesten selvforklarende, bortsett fra noen av de veldig kompliserte tingene du trenger å vite for å forstå hva noen av kategoriene egentlig betyr. Det er det denne leksjonen skal lære.
Arbeider med Autoruns-grensesnittet
Du kan hente Autoruns-verktøyet fra SysInternals nettside, akkurat som resten, og kjøre det uten å installere. Du vil gjøre det før du fortsetter.
Merk: Autoruns krever ikke å kjøre som administrator, men realistisk er det mest fornuftig å bare gjøre det, siden det er noen funksjoner som ikke fungerer så bra, og det er en god sjanse for at skadelig programvare kjører som administrator også.
Når du først starter grensesnittet, ser du massevis av faner og en liste over ting som startes automatisk på datamaskinen. Standardfanen Alt viser alt fra hver kategori, men det kan være litt forvirrende og lang, så vi anbefaler at du bare går gjennom hver enkelt kategori separat.
Deaktivering av elementer
Hvis du vil deaktivere noe i listen, kan du bare fjerne avkrysningsboksen. Det er alt du trenger å gjøre, bare gå gjennom listen og fjern alt du ikke trenger, start datamaskinen på nytt, og kjør den igjen for å sikre at alt er bra.
Merk:noe malware vil hele tiden overvåke plasseringene der de utløser autostart fra, og vil umiddelbart sette verdien tilbake. Du kan bruke F5-tasten til å søke på nytt og se om noen av postene kom tilbake etter at de ble deaktivert. Hvis en av dem dukket opp igjen, bør du bruke Process Explorer til å suspendere eller drepe den skadelige programvaren før du deaktiverer den her.
Fargene
Som de fleste SysInternals verktøy, kan elementene i listen være forskjellige farger, og her er hva de mener:
- Rosa - Dette betyr at ingen utgiverinformasjon ble funnet, eller hvis kodebekreftelsen er på, betyr at den digitale signaturen heller ikke eksisterer eller ikke samsvarer, eller det er ingen utgiverinformasjon.
- Grønn - denne fargen brukes når du sammenligner med et tidligere sett med Autoruns-data for å indikere et element som ikke var der sist gang.
- Gul - Oppstartsposten er der, men filen eller jobben den peker på eksisterer ikke lenger.
I likhet med de fleste SysInternals-verktøyene kan du også høyreklikke på en oppføring og utføre en rekke handlinger, inkludert å hoppe til oppføringen eller bildet (den faktiske filen i Explorer). Du kan søke på nettet etter navnet på prosessen eller dataene i kolonnen, se de detaljerte egenskapene, eller se om denne oppføringen kjører ved å gjøre et raskt søk gjennom Process Explorer - selv om mange prosesser har en laster som deretter lanserer noe annet før spennende, så bare fordi den funksjonen viser ingen resultater betyr ikke noe.
Verifiserende kodesignaturer
Menyelementet Filtreringsalternativer tar deg til et valgpanel hvor du kan velge et veldig nyttig alternativ: Bekreft kodesignaturer. Dette kontrollerer at alle digitale signaturer analyseres og verifiseres, og viser resultatene rett i vinduet. Du vil legge merke til at alle elementene i rosa i skjermbildet under ikke er verifisert, eller at utgiverinformasjonen ikke eksisterer.
Og for ekstra kreditt kan du legge merke til at dette skjermbildet nedenfor er nesten det samme som det som er nær begynnelsen, bortsett fra i den ene noen av elementene i listen der den ikke er merket som rosa. Forskjellen er at som standard uten at Verify Code Signatures-alternativet er slått på, vil Autoruns bare varsle deg med den rosa rad hvis ingen utgiverinformasjon finnes.
Analyser et frakoblet system (som ved å koble til en harddisk til en annen PC)
Tenk deg at vennen din er fullstendig ødelagt, og det vil heller ikke starte opp eller bare støvler så sakte at du ikke kan bruke den. Du har prøvd sikker modus og gjenopprettingsalternativer som Systemgjenoppretting, men det spiller ingen rolle fordi det er ubrukelig.
I stedet for å trekke på "reinstall" -kortet, som ofte bare er "Jeg gir opp" -kortet, kan du koble ut harddisken og koble den til din PC eller laptop med den praktiske USB-harddiskdokken. Du har en, ikke sant? Da laster du bare opp Autoruns og går til File -> Analyser Offline System.
Sammenligning mot en annen PC (eller tidligere ren installasjon)
Alternativet File -> Sammenlign synes ikke å skrive, men det kan være en av de mest effektive måtene å analysere en PC og se hva som er lagt til siden siste gang du skannet eller sammenlignet med en kjent ren PC.
For å bruke denne funksjonen, bare last opp Autoruns på PCen du prøver å inspisere, eller bruk Offline-modusen vi beskrev tidligere, og hodet til File -> Compare. Alt som er lagt til siden den sammenlignede filversjonen, vil dukke opp i lysegrønn. Det er så enkelt. For å lagre en ny versjon, vil du bruke alternativet Fil -> Lagre.
Ser på fanene
Som du har sett så langt, er Autoruns et veldig enkelt, men kraftig verktøy som sannsynligvis kunne brukes av nesten alle. Jeg mener, alt du trenger å gjøre er å fjerne merket av en boks, ikke sant? Det er imidlertid nyttig å ha litt mer informasjon om hva alle disse kategoriene betyr, så vi vil forsøke å utdanne deg her.
Neste side: Logon, Planlagte oppgaver og Image Hijacking