Membungkus dan Menggunakan Alat Bersama
Kami berada di akhir seri SysInternals kami, dan inilah saatnya untuk menyelesaikan semuanya dengan membicarakan semua utilitas kecil yang tidak kami bahas melalui sembilan pelajaran pertama. Pasti ada banyak alat dalam kit ini.
NAVIGASI SEKOLAH- Apa Alat SysInternals dan Bagaimana Cara Anda Menggunakannya?
- Memahami Proses Explorer
- Menggunakan Process Explorer untuk Mengatasi Masalah dan Diagnosis
- Memahami Proses Monitor
- Menggunakan Monitor Proses untuk Memecahkan Masalah dan Menemukan Hacks Registry
- Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
- Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
- Menggunakan PsTools untuk Mengontrol PC Lain dari Baris Perintah
- Menganalisis dan Mengelola File, Folder, dan Drive Anda
- Membungkus dan Menggunakan Alat Bersama
Kami telah belajar cara menggunakan Process Explorer untuk memecahkan masalah proses yang tidak teratur pada sistem, dan Process Monitor untuk melihat apa yang mereka lakukan di bawah tenda. Kami telah belajar tentang Autoruns, salah satu alat paling ampuh untuk menangani infeksi malware, dan PsTools untuk mengendalikan PC lain dari baris perintah.
Hari ini kita akan membahas utilitas yang tersisa dalam kit, yang dapat digunakan untuk segala macam tujuan, mulai dari melihat koneksi jaringan hingga melihat izin yang efektif pada objek sistem file.
Tetapi pertama-tama, kita akan membahas skenario contoh hipotetis untuk melihat bagaimana Anda dapat menggunakan sejumlah alat bersama-sama untuk memecahkan masalah dan melakukan penelitian tentang apa yang sedang terjadi.
Alat Yang Harus Anda Gunakan?
Tidak selalu ada hanya satu alat untuk pekerjaan itu - itu jauh lebih baik untuk menggunakannya bersama-sama. Berikut adalah contoh skenario untuk memberi Anda gambaran tentang bagaimana Anda mungkin menangani investigasi, meskipun perlu dicatat bahwa ada sejumlah cara untuk mencari tahu apa yang terjadi. Ini hanyalah contoh singkat untuk membantu menggambarkan, dan sama sekali bukan daftar langkah yang harus diikuti.
Skenario: Sistem Berjalan Lambat, Malware yang Diduga
Hal pertama yang harus Anda lakukan adalah membuka Process Explorer dan melihat proses apa yang menggunakan sumber daya pada sistem. Setelah Anda mengidentifikasi proses, Anda harus menggunakan alat bawaan di Process Explorer untuk memverifikasi apa sebenarnya proses itu, pastikan itu sah, dan secara opsional memindai proses itu untuk virus menggunakan integrasi VirusTotal bawaan.
Proses ini sebenarnya adalah utilitas SysInternals, tetapi jika tidak, kami akan memeriksanya.catatan: jika Anda benar-benar berpikir mungkin ada malware, sering membantu untuk mencabut atau menonaktifkan akses internet pada mesin itu saat pemecahan masalah, meskipun Anda mungkin ingin melakukan pencarian VirusTotal terlebih dahulu. Kalau tidak, malware bisa mengunduh lebih banyak malware, atau mengirimkan lebih banyak informasi Anda.
Jika proses ini sepenuhnya sah, bunuh atau mulai ulang proses yang menyinggung, dan silangkan jari Anda bahwa itu kebetulan. Jika Anda tidak ingin proses itu dimulai lagi, Anda dapat menghapus instalannya, atau menggunakan Autoruns untuk menghentikan proses memuat pada saat startup.
Jika itu tidak menyelesaikan masalah, mungkin sudah waktunya untuk mengeluarkan Process Monitor dan menganalisis proses yang telah Anda identifikasi dan mencari tahu apa yang mereka coba akses. Ini dapat memberi Anda petunjuk tentang apa yang sebenarnya terjadi - mungkin prosesnya mencoba mengakses kunci registri atau file yang tidak ada atau tidak memiliki akses, atau mungkin hanya mencoba untuk membajak semua file Anda dan melakukan banyak hal yang tidak jelas seperti mengakses informasi yang mungkin tidak seharusnya, atau memindai seluruh drive Anda tanpa alasan yang jelas.
Selain itu, jika Anda mencurigai bahwa aplikasi terhubung ke sesuatu yang tidak seharusnya, yang sangat umum dalam kasus spyware, Anda akan mengeluarkan utilitas TCPView untuk memverifikasi apakah itu masalahnya..
Pada titik ini Anda mungkin telah menentukan bahwa prosesnya adalah malware atau di crapware. Bagaimanapun Anda tidak menginginkannya. Anda dapat menjalankan melalui proses uninstall jika mereka terdaftar di daftar Uninstall Program Control Panel, tetapi sering kali mereka tidak terdaftar, atau tidak membersihkan dengan benar. Ini adalah ketika Anda mengeluarkan Autoruns dan menemukan setiap tempat aplikasi tersebut terhubung ke startup, dan nuke mereka dari sana, dan kemudian nuke semua file.
Menjalankan pemindaian virus lengkap dari sistem Anda juga membantu, tetapi mari kita jujur ... sebagian besar crapware dan spyware terinstal meskipun aplikasi anti-virus sedang diinstal. Dalam pengalaman kami, sebagian besar anti-virus akan dengan senang hati melaporkan "semua jelas" sementara PC Anda hampir tidak dapat beroperasi karena spyware dan crapware.
TCPView
Utilitas ini adalah cara yang bagus untuk melihat aplikasi apa di komputer Anda yang terhubung ke layanan apa melalui jaringan. Anda dapat melihat sebagian besar informasi ini pada prompt perintah menggunakan netstat, atau dimakamkan di antarmuka Process Explorer / Monitor, tetapi jauh lebih mudah untuk hanya membuka TCPView dan melihat apa yang menghubungkan ke apa.
Warna dalam daftar cukup sederhana dan mirip dengan utilitas lain - hijau cerah berarti koneksi baru saja muncul, merah berarti koneksi sedang menutup, dan kuning berarti koneksi berubah.
Anda juga dapat melihat properti proses, mengakhiri proses, menutup koneksi, atau menarik laporan Whois. Ini sederhana, fungsional, dan sangat bermanfaat.
catatan: Ketika Anda pertama kali memuat TCPView, Anda mungkin melihat banyak koneksi dari [Sistem Proses] ke semua jenis alamat internet, tetapi ini biasanya tidak masalah. Jika semua koneksi dalam keadaan TIME_WAIT, itu berarti bahwa koneksi sedang ditutup, dan tidak ada proses untuk menetapkan koneksi, jadi mereka harus naik sebagaimana ditugaskan ke PID 0 karena tidak ada PID untuk menetapkan itu ke.
Ini biasanya terjadi ketika Anda memuat TCPView setelah terhubung ke banyak hal, tetapi harus pergi setelah semua koneksi ditutup dan Anda tetap membuka TCPView.
Coreinfo
Memperlihatkan informasi tentang sistem CPU dan semua fitur. Pernah bertanya-tanya apakah CPU Anda 64-bit atau jika mendukung virtualisasi berbasis perangkat keras? Anda dapat melihat semua itu dan banyak lagi, lebih banyak lagi dengan utilitas coreinfo. Ini bisa sangat berguna jika Anda ingin melihat apakah komputer lama dapat menjalankan versi 64-bit Windows atau tidak.
Menangani
Utilitas ini melakukan hal yang sama dengan Process Explorer - Anda dapat dengan cepat mencari tahu proses mana yang memiliki pegangan terbuka yang memblokir akses ke sumber daya, atau dari menghapus sumber daya. Sintaksnya cukup sederhana:
menangani
Dan jika Anda ingin menutup pegangan, Anda dapat menggunakan kode pegangan heksadesimal (dengan -c) dalam daftar yang dikombinasikan dengan ID proses (saklar -p) untuk menutupnya.
handle -c -p
Mungkin jauh lebih mudah untuk menggunakan Process Explorer untuk tugas ini.
ListDlls
Sama seperti Process Explorer, utilitas ini mencantumkan DLL yang dimuat sebagai bagian dari suatu proses. Jauh lebih mudah menggunakan Process Explorer, tentu saja.
RamMap
Utilitas ini menganalisis penggunaan memori fisik Anda, dengan banyak cara berbeda untuk memvisualisasikan memori, termasuk berdasarkan halaman fisik, di mana Anda dapat melihat lokasi dalam RAM yang dapat dieksekusi oleh setiap eksekusi.
Strings Menemukan Teks yang Dapat Dibaca-Manusia di Aplikasi dan DLL
Jika Anda melihat URL aneh sebagai string dalam beberapa paket perangkat lunak, sekarang saatnya untuk khawatir. Bagaimana Anda melihat string aneh itu? Menggunakan utilitas string dari command prompt (atau menggunakan fungsi di Process Explorer).
Halaman Berikutnya: Mengkonfigurasi Logon Otomatis dan ShellRUNA