キャンペーンシステム管理者。 問題を最も効果的に解決するためのユーティリティの最小セット

各システム管理者は、使い慣れたコンピューターを保守したり、自宅を訪問しなければならない場合があります。 この場合、実証済みのユーティリティセットが役立ちます。 私たちのレビューでは、インストールを必要とせず、事実上の標準となった無料のものについてのみ説明します。

自動実行

このプログラムは、長い間Microsoftに吸収されていたMark RussinovichとWinternals Software（サイト名-Sysinternals.comで知られる）の特徴となっています。 現在はまだ著者によって開発されていますが、合法的にマイクロソフトの技術部門に属しています。 現在のバージョン13.3は2015年4月に作成されました。 v.13.0では、プログラムがより便利になっただけでなく、特に高度なフィルタリングツール、他のシステムユーティリティやオンラインサービスとの統合など、多くの新機能が追加されました。



自動実行は、種類に関係なく、最も包括的かつ詳細なスタートアップコンポーネントのリストを表示します。 このユーティリティは、すべてのドライバー、プログラム（システムのものを含む）、およびそれらのモジュールをレジストリキーで読み込む方法を示します。 さらに、すべてのWindowsエクスプローラー拡張機能、ツールバー、自動的に起動されるサービス、および通常他の同様のプログラムを除外する他の多くのオブジェクトのリストを作成します。



カラーコーディングにより、何百ものエントリのリストから、Microsoftによってデジタル署名された標準コンポーネント、疑わしいファイル、存在しないファイルを参照するエラーのある行をすばやく特定できます。 コンポーネントを自動起動する機能を無効にするには、左側のボックスのチェックを外します。





黄色で強調表示されたゴーストオブジェクトを自動実行します



一部のコンポーネントは、特定のアカウントでログインしたときにのみ自動的にロードされます。 自動実行では、各アカウントに対応するエントリを選択して、個別に表示できます。



コマンドラインモードには注意が必要です。 スタートアップアイテムのリストをテキストファイルにエクスポートし、高度なレポートを作成し、すべての疑わしいオブジェクトの選択的なウイルス対策スキャンに非常に便利です。 完全なヘルプはサイトで見つけることができます、ここで典型的なコマンドの例を示します：

autorunsc -a blt -vrs -vt > C:\Autor.log
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで、「autorunsc」はコマンドラインモードで実行されるプログラムモジュールです。 `-a`スイッチは、検証のためにオブジェクトがその後にリストされることを示します。 この例には、次の3つがあります。b-ブート実行（つまり、システムの起動後、ユーザーがログインする前に起動するすべてのもの）。 lはログオン、特定のユーザーのスタートアップコンポーネント、tはスケジュールされたタスクです。 bltを列挙する代わりにアスタリスク（*）を指定すると、すべての起動オブジェクトがチェックされます。



`-vrs`および` -vt`キーは、VirusTotalオンラインサービスの動作モードを示します。 最初のセットは、Microsoftによってデジタル署名されておらず、以前に検証されていないファイルのみの送信を指定します。 少なくとも50のウイルス対策がファイルを悪意があると判断した場合、詳細なレポートが別のブラウザータブで開きます。 VirusTotalサービスの使用に関するユーザー同意書のタブが開かず、その同意書を確認する必要がないように、2番目のキーセットが必要です。



Autorunscレポートは通常、数十および数百キロバイト単位で取得されます。 画面上で読み取るのは不便です。したがって、この例では、出力はログファイルにリダイレクトされます。 これは、UCS-2リトルエンディアンでエンコードされたプレーンテキスト形式です。 以下に、1つの誤検知のあるレコードの例を示します。

 HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Adobe ARM "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" Adobe Reader and Acrobat Manager Adobe Systems Incorporated 1.801.10.4720 c:\program files (x86)\common files\adobe\arm\1.0\adobearm.exe 20.11.2014 21:03 VT detection: 1/56 VT permalink: (   VirusTotal).
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

署名されていない2つのドライバーがクリーンであることが判明し、署名された1つのドライバーに対するVTの反応があります



このページで自動実行をダウンロードできます 。

プロセスエクスプローラー

AutorunsのGUIバージョンは、同じ作成者の別のユーティリティであるProcess Explorer（PE）と連携できます。 最初にPEを起動してから自動実行した場合、最後のメニューには、自動実行メニューから各アクティブプロセスのプロパティを表示するための追加項目が表示されます。



PE設定では、すべてのアクティブなプロセスを表示するための望ましい方法を指定できます。名前またはCPU使用率でソートされた単純なリスト、または依存関係のあるツリーリストです。 VirusTotalで不明なファイル（ハッシュで決定）をスキャンできるオプションも設定されています。 有効にすると、しばらくするとチェック結果が右側に表示されます。 少なくとも1つのアンチウイルスが誓うすべてのオブジェクトは、赤で強調表示されます。



<Ctrl + L>を押すと、ウィンドウが水平方向に分割され、下部にシステムで選択されたプロセスとそのアクションに関する完全な情報が表示されます。 <Ctrl + I>を押すと、CPU、GPU、RAM、I / Oレート、ドライブ、およびネットワーク使用率をロードするためのインジケーターを備えた追加のウィンドウが表示されます。 コンポーネントごとに、合計負荷と最もリソースを消費するプロセスが表示されます。 GPの場合、占有されているビデオメモリの割合と各チップの負荷（複数ある場合）も表示されます。 多くの（悪意のある）プログラムが非グラフィカルコンピューティングにビデオカードを積極的に使用しているため、これは特に当てはまります。 この動作は、トロイの木馬暗号通貨マイナーの特徴です。





テスト用のトロイの木馬はまだ疑わしくありません。また、4つのウイルス対策ソフトがすでにµTorrentを悪用しています



PEリストから任意のプロセスを右クリックすると、コンテキストメニューが表示されます。 ビルトインタスクマネージャーのすべての機能を複製し、いくつかの新しい機能を追加します。 特に、ワ​​ンクリックでVirusTotalの分析のために疑わしいプロセスに対応するファイルを送信したり、インターネット上でその説明を検索したり、ダンプを作成したり、実行を中断したりできます。 一時停止したプロセスは、コマンド（内部コマンドを含む）への応答を停止し、分析が容易になります。 理解したら、Process Explorerから再開コマンドを送信できます。 もちろん、緊急の必要がなければ、低レベルの操作を実行するシステムプロセスとユーティリティでこれを行うべきではありません。 BIOS / UEFIのフラッシュ、ディスクレイアウトの変更、パーティションのアライメント、およびその他の同様の操作は、中断しないことが最善です。



通常、各ウィンドウのタイトルには、それを生成したアプリケーションの名前が含まれていますが、匿名のままであることがあります。 これは、よく知られているプログラムやエラーコード付きの小さなダイアログボックスを模倣するトロイの木馬に特に当てはまります。 Process Explorerには、「ウィンドウでプロセスを見つける」という便利な機能があります。 トップパネルのこのボタンを押し、マウスの左ボタンを押しながら、奇妙なウィンドウの領域にカーソルを移動するだけで十分です。 PEテーブルでは、対応するプロセスが自動的に強調表示されます。





Process Explorerで一時停止したテストトロイの木馬



Process Explorerのすべての機能を使用するには、管理者権限で実行し、（場合によっては）Debugging Tools for Windowsをインストールする必要があります。 これらは個別にダウンロードするか、 Windows Driver Kitの一部としてダウンロードできます。 Process Explorerの最新バージョンは、MicrosoftのWebサイトからダウンロードできます。

ロック解除

疑いもなく、Mark RussinovichはWindows用システムユーティリティの作者の真の第一人者ですが、彼のプログラムはユニバーサルツールとして作成されました。 時には、より高度に専門化された手段を使用する価値があります。 フランスのプログラマーCedrick Collomb（Cedrick Collomb）の作成など。 彼の小さなユーティリティUnlockerができることは1つだけです。プロセスの制御を取り戻すために、プロセスが占有しているファイルシステムオブジェクトをロック解除します。 最新バージョンは2013年にリリースされましたが、プログラムはすべてのアナログよりも機能が優れています。 たとえば、動的ライブラリをメモリからアンロードし、index.datファイルを削除し、Windowsで禁止されているファイル名を操作し、再起動せずにほとんどのアクションを実行できます。





一部のプロセスがSafariの削除をブロックする



Unlokerは、目的のファイルまたはディレクトリでの作業を現在ブロックしている実行中のプロセスの記述子を定義します。 このロックは、マルチタスク環境でのアプリケーションの相互影響を排除するために必要です。 OSとプログラムが正常に機能しているため、使用したファイルを誤って削除することはありませんが、エラーが発生する場合があります。 それらのいずれかの結果として、ウィンドウを閉じた後、アプリケーションがフリーズしたり、メモリに残ることがあります。 これにより、ファイルシステムオブジェクトの必要性がなくなった後でも、ファイルシステムオブジェクトをロックしたままにすることができます。



現在、通常のユーザーのアクティブなプロセスのリストは50から始まっているため、長期間にわたってゾンビを検索できます。 Unlockerを使用すると、選択したファイルまたはディレクトリの変更または削除をブロックしているプロセスをすぐに特定できます。 Win32 APIの制限のために理解できない場合でも、オブジェクトの名前変更、移動、または削除という目的のアクションを強制的に実行することを提案します。





Unlockerはロックの理由を見つけられませんでしたが、反抗的なファイルを削除する可能性があります



複数のプログラムが一度に同じディレクトリにアクセスできる場合があるため、それをブロックするプロセス間で複数の記述子が定義されます。 Unlockerには、1つのボタンですべてのロックを解除する機能があります。



バージョン1.9.0以降、Windowsの64ビットバージョンがサポートされています。 このユーティリティは、エクスプローラのコンテキストメニューに統合するか、ポータブルアプリケーションとしてグラフィカルモードで実行できます。 Unlocker Assistantをインストールすることもできます。 ユーザーがロックされたファイルを操作しようとするたびに、トレイにハングアップし、Unlockerを自動的に呼び出します。 `-h`オプションで開始すると、コマンドラインモードに関するヘルプが表示されます。 このユーティリティは40の言語で利用できますが、翻訳する特別なものはありません-すべてがすでに直感的に明確です。

Avz

AVZユーティリティの機能のリストを見て、アンチウイルスではなく分析と呼びたいと思います。 Oleg Zaitsevの小さなプログラムには、管理者の日常的なタスクと上級ユーザーの生活を促進する多くのかけがえのない機能があります。 システムの調査、組み込みOSコンポーネントの失われた設定のデフォルト設定への復元、前回の監査以降の変更の検出、潜在的なセキュリティ問題の発見、SPI Winsockからのトロイの木馬コンポーネントの削除、インターネット接続の復元、奇妙なプログラムの動作の検出、ルートキットの検出を支援しますカーネル。





AVZには多くのシステム分析ツールが含まれています



既知のマルウェアは、他のウイルス対策スキャナーを使用して削除するのが最適です。 AVZは、未知の悪との戦い、漏洩する可能性のある穴の発見、感染の結果の排除に役立ちます。 ほとんどの場合、AVZは深刻なウイルス攻撃の後でもOSを再インストールせずに実行できます。



AVZはポータブルアプリケーションとして使用できますが、ユーティリティ機能の完全なセットは、独自のカーネルモードドライバであるAVZPMをインストールした場合にのみ表示されます。 すべてのモジュール、ドライバー、およびアクティブなアプリケーションを制御し、マスキングプロセスと、それらの識別子を置き換えるテクノロジを簡単に識別できるようにします。



AVZGuardは、AVZメニューからアクティブ化できる別のカーネルモードドライバーです。 アクティブなプロセスへのアクセスを制限し、感染したコンピューターでのウイルス対策活動を抑制します。 このアプローチにより、保護モードでAVZウィンドウから任意のアプリケーション（別のアンチウイルスを含む）を実行できます。



巧妙なマルウェア対策テクノロジーの1つは、ファイルをロックし、OSの次回起動時にウイルス対策によって削除された要素を再構築する方法です。 手動で、Unlockerを使用して部分的に管理しますが、AVZには独自のテクノロジーであるBoot Cleanerがあります。 これは、再起動時にWindowsの組み込みの遅延削除機能を拡張する別のカーネルモードドライバーです。 以前にロードし、作業結果を記録し、レジストリエントリとファイルを削除できます。



AVZウイルス対策スキャナー自体にも多くのノウハウがあります。 Microsoftディレクトリまたは独自のデータベースから安全であると認識されたファイルを除外することにより、代替NTFSストリームをスキャンし、スキャンを高速化できます。 すべての脅威は特定のタイプで検索できます-たとえば、すぐにHackToolカテゴリを除外します。 トロイの木馬と行動分析によって開かれたキーボードインターセプターを見つけるための個別のモジュールがあります。 AVZを使用すると、疑わしいファイルや削除されたファイルを個別のフォルダーにコピーして、さらに詳細に調査できます。





AVZで詳細な研究プロトコルを作成する



AVZとそのシステム調査モジュールにレポートを送信する要件は、多くのウイルス学フォーラムで標準的な慣行となっており、重要な問題の解決に役立っています。



もちろん、経験豊富な管理者の救急キットには12個以上のプログラムを含めることができますが、これらの4つのユーティリティでほとんどの問題を解決できます。 コレクション内の残りの部分は、記事に示されているリンクから簡単に見つけることができます。

WWW

システムユーティリティSysInternalsの完全なアーカイブ-73プログラムlive.sysinternals.com/Files/SysinternalsSuite.zip

NirSoftシステムユーティリティの完全なアーカイブ-56プログラムwww.nirsoft.net/system_tools.html

開発者サイトAVZ z-oleg.com

警告！

システムユーティリティを使用するには、作業のロジックとOS自体のデバイスを理解する必要があります。 レジストリを変更してアクティブなプロセスの作業を妨げる前に、ヘルプをお読みください。

Hacker Magazine＃197で最初に発行されました。

投稿者：84ckf1r3



ハッカーを購読する

• サイト資料
• 紙版
• iOS / iPadのハッカー
• Androidのハッカー