NAVEGAÇÃO ESCOLAR
- Quais são as ferramentas SysInternals e como você as usa?
- Entendendo o Process Explorer
- Usando o Process Explorer para solucionar problemas e diagnosticar
- Entendendo o Process Monitor
- Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
- Usando o Autoruns para lidar com processos de inicialização e malware
- Usando o BgInfo para exibir informações do sistema na área de trabalho
- Usando o PsTools para controlar outros PCs a partir da linha de comando
- Analisando e gerenciando seus arquivos, pastas e unidades
- Encerrando e usando as ferramentas juntas
Aprendemos a usar o Process Explorer para solucionar problemas de processos indisciplinados no sistema e o Process Monitor para ver o que eles estão fazendo sob o capô. Aprendemos sobre o Autoruns, uma das ferramentas mais poderosas para lidar com infecções por malware, e o PsTools para controlar outros PCs a partir da linha de comando.
Hoje, abordaremos os utilitários restantes no kit, que podem ser usados para todos os tipos de propósitos, desde a visualização de conexões de rede até a visualização de permissões efetivas em objetos do sistema de arquivos.
Mas primeiro, percorreremos um cenário de exemplo hipotético para ver como você pode usar várias ferramentas para resolver um problema e fazer uma pesquisa sobre o que está acontecendo.
Qual ferramenta você deveria usar?
Nem sempre há apenas uma ferramenta para o trabalho - é muito melhor usá-las todas juntas. Veja um cenário de exemplo para dar uma ideia de como você pode enfrentar a investigação, embora seja interessante notar que há várias maneiras de descobrir o que está acontecendo. Este é apenas um exemplo rápido para ajudar a ilustrar e não é de forma alguma uma lista exata dos passos a seguir.
Cenário: o sistema está executando lento, malware suspeito
A primeira coisa que você deve fazer é abrir o Process Explorer e ver quais processos estão usando recursos no sistema. Depois de identificar o processo, você deve usar as ferramentas internas do Process Explorer para verificar o que realmente é o processo, certificar-se de que é legítimo e, opcionalmente, verificar esse processo em busca de vírus usando a integração integrada do VirusTotal.
Nota:Se você realmente acha que pode haver malware, geralmente é útil desconectar ou desabilitar o acesso à Internet nessa máquina durante a solução de problemas, embora você queira fazer pesquisas de VirusTotal primeiro. Caso contrário, esse malware pode baixar mais malware ou transmitir mais informações.
Se o processo for completamente legítimo, mate ou reinicie o processo ofensivo, e cruze os dedos que foi um acaso. Se você não quiser mais iniciar esse processo, poderá desinstalá-lo ou usar o Autoruns para impedir que o processo seja carregado na inicialização.
Se isso não resolver o problema, talvez seja hora de retirar o Process Monitor e analisar os processos que você já identificou e descobrir o que eles estão tentando acessar. Isso pode lhe dar pistas sobre o que realmente está acontecendo - talvez o processo esteja tentando acessar uma chave de registro ou arquivo que não existe ou não tem acesso, ou talvez esteja apenas tentando roubar todos os seus arquivos. e fazer muitas coisas esquisitas, como acessar informações que provavelmente não deveria, ou escanear sua unidade inteira sem um bom motivo.
Além disso, se você suspeitar que o aplicativo está se conectando a algo que não deveria, o que é muito comum no caso de spyware, remova o utilitário TCPView para verificar se esse é o caso.
Neste ponto, você pode ter determinado que o processo é malware ou crapware. De qualquer maneira você não quer. Você pode executar o processo de desinstalação se ele estiver listado na lista Desinstalar programas do Painel de controle, mas muitas vezes eles não estão listados ou não são limpos corretamente. É quando você extrai o Autoruns e encontra todos os lugares que o aplicativo conectou à inicialização, e os libera de lá, e depois explode todos os arquivos.
Running a full virus scan of your system is also helpful, but lets be honest… most crapware and spyware gets installed despite anti-virus applications being installed. In our experience, most anti-virus will happily report “all clear” while your PC can barely operate because of spyware and crapware.
TCPView
Este utilitário é uma ótima maneira de ver quais aplicativos em seu computador estão se conectando a quais serviços na rede. Você pode ver a maioria dessas informações no prompt de comando usando o netstat ou enterradas na interface Process Explorer / Monitor, mas é muito mais fácil simplesmente abrir o TCPView e ver o que está se conectando com o quê.
As cores da lista são bem simples e semelhantes a outros utilitários - verde claro significa que a conexão acabou de aparecer, vermelho significa que a conexão está se fechando e amarelo significa que a conexão foi alterada.
Você também pode examinar as propriedades do processo, encerrar o processo, fechar a conexão ou obter um relatório Whois. É simples, funcional e muito útil.
Nota:Quando você carrega o TCPView pela primeira vez, pode ver uma tonelada de conexões do [Processo do Sistema] para todos os tipos de endereços da Internet, mas isso geralmente não é um problema. Se todas as conexões estiverem no estado TIME_WAIT, isso significa que a conexão está sendo fechada, e não há um processo para atribuir a conexão, então elas devem ser atribuídas ao PID 0, já que não há PID para atribuí-la a.
Isso geralmente acontece quando você carrega o TCPView depois de ter se conectado a um monte de coisas, mas ele deve desaparecer depois que todas as conexões forem fechadas e você manter o TCPView aberto.
Coreinfo
Mostra informações sobre a CPU do sistema e todos os recursos. Você já se perguntou se sua CPU é de 64 bits ou se suporta virtualização baseada em hardware? Você pode ver tudo isso e muito, muito mais com o utilitário coreinfo. Isso pode ser realmente útil se você quiser ver se um computador mais antigo pode executar a versão de 64 bits do Windows ou não.
Lidar com
Esse utilitário faz a mesma coisa que o Process Explorer - você pode pesquisar rapidamente para descobrir qual processo tem um identificador aberto que está bloqueando o acesso a um recurso ou excluindo um recurso. A sintaxe é bem simples:
handle
E se você quiser fechar o identificador, você pode usar o código de identificador hexadecimal (com -c) na lista combinada com o ID do processo (a opção -p) para fechá-lo.
handle -c -p
ListDlls
Assim como o Process Explorer, este utilitário lista as DLLs que são carregadas como parte de um processo. É muito mais fácil usar o Process Explorer, é claro.
RamMap
Esse utilitário analisa o uso da memória física, com várias maneiras diferentes de visualizar a memória, inclusive por páginas físicas, nas quais é possível ver o local na RAM em que cada executável é carregado.
Strings localiza texto legível em aplicativos e DLLs
Se você vir uma URL estranha como uma string em algum pacote de software, é hora de se preocupar. Como você veria aquela corda estranha? Usando o utilitário strings no prompt de comando (ou usando a função no Process Explorer).
