Kami berada di akhir seri SysInternals kami, dan sudah waktunya untuk menyelesaikan semuanya dengan berbicara tentang semua utilitas kecil yang tidak kami bahas melalui sembilan pelajaran pertama. Pasti ada banyak alat di kit ini.
NAVIGASI SEKOLAHKami telah belajar cara menggunakan Process Explorer untuk memecahkan masalah proses yang tidak teratur pada sistem, dan Memantau Proses untuk melihat apa yang mereka lakukan di bawah kap mesin. Kami telah belajar tentang Autoruns, salah satu alat paling kuat untuk menangani infeksi malware, dan PsTools untuk mengendalikan PC lain dari baris perintah.
Hari ini kita akan membahas utilitas yang tersisa dalam kit, yang dapat digunakan untuk segala macam tujuan, mulai dari melihat koneksi jaringan hingga melihat izin yang efektif pada objek sistem file.
Tapi pertama-tama, kita akan berjalan melalui skenario contoh hipotetis untuk melihat bagaimana Anda dapat menggunakan sejumlah alat bersama untuk memecahkan masalah dan melakukan penelitian tentang apa yang sedang terjadi.
Tidak selalu ada satu alat untuk pekerjaan itu - jauh lebih baik untuk menggunakannya bersama-sama. Berikut ini contoh skenario untuk memberi Anda gambaran tentang bagaimana Anda dapat menangani penyelidikan, meskipun perlu dicatat bahwa ada sejumlah cara untuk mengetahui apa yang terjadi. Ini hanyalah contoh cepat untuk membantu menggambarkan, dan tidak berarti daftar langkah-langkah yang tepat untuk diikuti.
Skenario: Sistem Berjalan Lambat, Dicurigai Malware
Hal pertama yang harus Anda lakukan adalah membuka Process Explorer dan melihat proses apa yang menggunakan sumber daya di sistem. Setelah Anda mengidentifikasi prosesnya, Anda harus menggunakan alat bawaan di Process Explorer untuk memverifikasi apa sebenarnya prosesnya, memastikannya sah, dan secara opsional memindai proses itu untuk virus menggunakan integrasi VirusTotal bawaan.
Proses ini sebenarnya adalah utilitas SysInternals, tetapi jika tidak, kami akan memeriksanya. catatan:jika Anda benar-benar berpikir mungkin ada malware, sering kali bermanfaat untuk mencabut atau menonaktifkan akses internet pada mesin tersebut saat memecahkan masalah, meskipun Anda mungkin ingin melakukan pencarian VirusTotal terlebih dahulu. Kalau tidak, malware itu mungkin mengunduh lebih banyak malware, atau mengirimkan lebih banyak informasi Anda.
Jika prosesnya benar-benar sah, bunuh atau mulai kembali proses yang menyinggung, dan silangkan jari-jari Anda bahwa itu adalah kebetulan. Jika Anda tidak ingin proses itu dimulai lagi, Anda dapat menghapusnya, atau menggunakan Autoruns untuk menghentikan proses dari memuat saat startup.
Jika itu tidak menyelesaikan masalah, mungkin saatnya untuk mengeluarkan Monitor Proses dan menganalisis proses yang sudah Anda identifikasi dan cari tahu apa yang mereka coba akses. Ini dapat memberi Anda petunjuk tentang apa yang sebenarnya terjadi - mungkin prosesnya mencoba mengakses kunci registri atau file yang tidak ada atau tidak memiliki akses ke, atau mungkin itu hanya mencoba untuk membajak semua file Anda dan melakukan banyak hal yang tidak jelas seperti mengakses informasi yang mungkin tidak seharusnya, atau memindai seluruh drive Anda tanpa alasan.
Selain itu, jika Anda menduga bahwa aplikasi terhubung ke sesuatu yang seharusnya tidak, yang sangat umum dalam kasus spyware, Anda akan mengeluarkan utilitas TCPView untuk memverifikasi apakah itu yang terjadi.
Pada titik ini Anda mungkin telah menentukan bahwa prosesnya adalah malware atau di crapware. Bagaimanapun Anda tidak menginginkannya. Anda dapat menjalankan proses pencopotan jika dicantumkan dalam daftar Uninstall Programs Control Panel, tetapi sering kali daftar tersebut tidak terdaftar, atau tidak dibersihkan dengan benar. Ini adalah ketika Anda menarik Autoruns dan menemukan setiap tempat yang aplikasi telah terhubung ke startup, dan nuke mereka dari sana, dan kemudian nuke semua file.
Menjalankan pemindaian virus lengkap dari sistem Anda juga membantu, tetapi mari kita jujur ... sebagian besar crapware dan spyware terinstal meskipun aplikasi anti-virus sedang diinstal. Dalam pengalaman kami, sebagian besar anti-virus dengan senang hati akan melaporkan "semua jelas" sementara PC Anda hampir tidak dapat beroperasi karena spyware dan crapware.
Utilitas ini adalah cara yang bagus untuk melihat aplikasi apa di komputer Anda yang terhubung ke layanan apa yang melalui jaringan. Anda dapat melihat sebagian besar informasi ini pada command prompt menggunakan netstat, atau dimakamkan di antarmuka Process Explorer / Monitor, tetapi jauh lebih mudah untuk membuka TCPView dan melihat apa yang terhubung dengan apa.
Warna dalam daftar cukup sederhana dan mirip dengan utilitas lain - hijau terang berarti koneksi baru saja muncul, merah berarti koneksi tertutup, dan kuning berarti koneksi berubah.
Anda juga dapat melihat properti proses, mengakhiri proses, menutup koneksi, atau menarik laporan Whois. Ini sederhana, fungsional, dan sangat berguna.
catatan:Saat pertama kali memuat TCPView, Anda mungkin melihat banyak sekali koneksi dari [System Process] ke semua jenis alamat internet, tetapi ini biasanya tidak menjadi masalah. Jika semua koneksi dalam keadaan TIME_WAIT, itu berarti koneksi sedang ditutup, dan tidak ada proses untuk menetapkan koneksi, sehingga mereka harus naik seperti ditugaskan ke PID 0 karena tidak ada PID untuk menetapkannya ke .
Ini biasanya terjadi ketika Anda memuat TCPView setelah terhubung ke banyak hal, tetapi harus pergi setelah semua koneksi ditutup dan Anda tetap membuka TCPView.
Menunjukkan informasi pada CPU sistem dan semua fitur. Pernah bertanya-tanya apakah CPU Anda 64-bit atau apakah ia mendukung virtualisasi berbasis perangkat keras? Anda dapat melihat semua itu dan banyak lagi dengan utilitas coreinfo. Ini dapat sangat berguna jika Anda ingin melihat apakah komputer yang lebih lama dapat menjalankan Windows versi 64-bit atau tidak.
Utilitas ini melakukan hal yang sama dengan Process Explorer - Anda dapat dengan cepat mencari untuk menemukan proses mana yang memiliki pegangan terbuka yang memblokir akses ke sumber daya, atau dari menghapus sumber daya. Sintaksnya cukup sederhana:
menangani
Dan jika Anda ingin menutup pegangan, Anda dapat menggunakan kode pegangan heksadesimal (dengan -c) dalam daftar yang digabungkan dengan ID proses (tombol -p) untuk menutupnya.
menangani -c -p
Mungkin jauh lebih mudah untuk menggunakan Process Explorer untuk tugas ini.
Sama seperti Process Explorer, utilitas ini mencantumkan DLL yang dimuat sebagai bagian dari proses. Jauh lebih mudah menggunakan Process Explorer, tentu saja.
Utilitas ini menganalisis penggunaan memori fisik Anda, dengan banyak cara berbeda untuk memvisualisasikan memori, termasuk dengan halaman fisik, di mana Anda dapat melihat lokasi dalam RAM yang dapat dieksekusi oleh setiap eksekusi.
Jika Anda melihat URL aneh sebagai string dalam beberapa paket perangkat lunak, sekarang saatnya untuk khawatir. Bagaimana Anda akan melihat senar aneh itu? Menggunakan utilitas string dari command prompt (atau menggunakan fungsi dalam Process Explorer sebagai gantinya).
Halaman Berikutnya: Mengonfigurasi Logon Otomatis dan ShellRunAs
