Sdílet prostřednictvím

[Archiv bulletinů ^] [< Svazek 6, číslo 2] [Svazek 7, zvláštní oznámení >]

The Systems Internals Bulletin volume 7, Number 1

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

5. ledna 2005 – V tomto problému:

  1. ÚVODNÍK

    • Máte DEP?

  2. WINDOWS INTERNALS, 4TH EDITION

  3. CO JE NOVÉHO VE SPOLEČNOSTI SYSINTERNALS

    • Listopadová statistika
    • Články časopisu Sysinternals
    • Kanál RSS sysinternals
    • Mark je MVP Microsoftu.
    • Autoruns v6.01
    • Process Explorer v8.61
    • Sigcheck v1.0
    • Bginfo v4.07
    • Regjump v1.0
    • Hex2dec v1.0
    • Tcpvcon v2.34
    • Aktualizace PsTools
    • Sysinternals ve společnosti Microsoft

  4. INTERNÍ INFORMACE

    • Procházení internetu
    • Řešení potíží s nemocnými systémy pomocí LiveKd
    • Creekside?
    • ChkReg Registry Fixer
    • Diagnostika paměti systému Windows
    • Zkoumání nezdokumentovaných rozhraní

  5. INTERNÍ ŠKOLENÍ

    • Připojení windows v San Franciscu
    • Praktická třída Windows Internals/Sysinternals mark Russinovich a David Solomon

Bulletin Sysinternals je sponzorován společností Winternals Software na webu na http://www.winternals.comadrese . Winternals Software je přední vývojář a poskytovatel pokročilých systémů nástrojů pro systém Windows NT/2000/XP/2003.

Winternals s radostí oznamuje nadcházející vydání Pak 5.0 správce s komplexní aktualizací, včetně ERD Commander 2005.

Mezi nové funkce ERD Commander 2005 patří:

  • Crash Analyzer: Rychle a snadno diagnostikovat ovladač zodpovědný za selhání Systému Windows – i když se systém nespustí
  • DiskWipe - Bezpečné vymazání pevných disků nebo svazků; Autoruns: Podívejte se, které aplikace začínají nastavením systému Windows a přihlášením uživatelů – užitečné při diagnostice problémů se systémovými prostředky a hledání potenciálního malwaru
  • Webový prohlížeč FireFox: stáhněte si opravy hotfix, aktualizace ovladačů, vyhledejte nápovědu ve znalostní bázi Microsoft Knowledge Base – vše v systému, který se pokoušíte opravit.
  • Průvodce odinstalací oprav hotfix, který umožňuje odebrat opravy hotfix a aktualizace Service Pack v nebooovatelném systému
  • Oprava systémových souborů, která kontroluje integritu systémových souborů systému Windows.

Tyto funkce, řadu vylepšení a použitelnosti nástroje ERD Commander 2005 a nové jednodušší sestavování a používání klienta vzdáleného obnovení založeného na prostředí Windows PE jsou součástí nového správce Pak 5.0, který je k dispozici na konci ledna 2005. Pokud se chcete zaregistrovat k vyhodnocení Pak 5.0 správce při jeho vydání, navštivte http://www.winternals.com/ap5preview/.

ÚVODNÍK

Dobrý den,

Vítejte v bulletinu Sysinternals. Bulletin má aktuálně 40 000 odběratelů.

Rostoucí příliv malwaru, včetně spywaru a virů, má všechny obavy o zabezpečení. Mezi vhodná bezpečnostní opatření patří udržování operačního systému a oprav aplikací, instalace a konfigurace nástrojů pro odebrání firewallu, antivirového softwaru a spywaru a výkon rozhodnutí při stahování z internetu nebo otevírání příloh e-mailu. I přes důkladná opatření však malware může stále najít způsoby, jak se plížit obranou a infikovat počítač. Nejběžnější smyčkou v ochraně systému je ohrožení zabezpečení přetečení vyrovnávací paměti, a proto byste měli být obeznámeni s funkcí Zabránění spuštění dat (DEP) systému Windows XP Service Pack 2.

Přetečení vyrovnávací paměti je programovací chyba, kterou škodlivé programy mohou využít k převzetí kontroly nad vláknem, které spouští chybu kódování. Přetečení vyrovnávací paměti jsou obvykle založené na zásobníku, což znamená, že útočník dává programu více dat, než se vejde do vyrovnávací paměti uložené v zásobníku. Data se vytvoří takovým způsobem, že když se funkce s přetečením pokusí vrátit k funkci, ze které byla vyvolána, vrátí se místo toho do umístění v datech.

Chyby přetečení vyrovnávací paměti bohužel můžou zatěžovat i nejlépe otestovaný a revidovaný software. Více přetečení vyrovnávací paměti se oznamuje pro Windows a jeho komponentní software měsíčně (Linux a jeho aplikace nejsou imunitní, s řadou přetečení vyrovnávací paměti na par s Windows). Běžným motivem většiny zneužití přetečení vyrovnávací paměti je, že výsledkem je spuštění kódu umístěného v oblastech paměti, které by měly obsahovat pouze data.

Zatímco procesor Intel Itanium podporuje ochranu bez spuštění z jeho vydání, nebylo to až do windows XP SP2 (a nadcházející Windows Server 2003 SP1), že Systém Windows skutečně využívá tuto hardwarovou podporu, například označení zásobníků vláken a paměti haldy jako nespustitelné. Mezi další procesory, které podporují hardwarovou ochranu bez provedení, patří 64bitové procesory AMD64 Opteron a Athlon 64 a Klon Intelu s názvem EM64T nyní k dispozici na procesorech Xeon a Pentium 4. AMD a Intel nedávno zavedly 32bitové procesory s podporou bez provedení: AMD Sempron a rodina Pentium 4 "J" (například 520J, 540J atd.).

Může se zdát zřejmé, že systém Windows by ve výchozím nastavení neměl vynucovat ochranu zásobníků a paměti haldy aplikace, aby se zabránilo zneužití přetečení vyrovnávací paměti, ale existují stovky tisíc stávajících aplikací, z nichž některé můžou ve skutečnosti spoléhat na nastavení, které se nevynucuje pro správnou operaci. Proto systém Windows XP SP2, první verze systému Windows, která vynucuje ochranu bez provedení, poskytuje správci kontrolu nad tím, jaké procesy jsou chráněny a které ne. Za prvé, v rozhodnutí zaměřeném na zlepšení zabezpečení v budoucnu 64bitová verze Windows vždy vynucuje příznaky bez spuštění pro všechny 64bitové procesy. Pokud dodavatel softwaru chce uvolnit 64bitovou aplikaci, musí se ujistit, že nespustí kód z nespouštětelných oblastí paměti (může označit datovou oblast jako spustitelný, pokud často generuje kód za běhu, jako aplikace Java a .NET).

Za druhé, protože zneužití přetečení vyrovnávací paměti jsou nejčastěji zaměřena na součásti operačního systému, 32bitové systémy Windows XP a Windows Server 2003 ve výchozím nastavení chrání základní bitové kopie operačního systému. Pro 32bitové aplikace (spuštěné v 32bitovém systému Windows nebo 64bitová verze Windows) ale systém Windows XP ve výchozím nastavení používá strategii "opt-in" (aplikace nejsou ve výchozím nastavení chráněné), zatímco Windows Server 2003 ve výchozím nastavení "odhlášení" (aplikace jsou ve výchozím nastavení chráněné, ale konkrétní aplikace mohou být vyloučeny). To dává smysl, protože zabezpečení má obvykle vyšší prioritu v serverových systémech. Nastavení výslovného souhlasu nebo odhlášení můžete změnit v dialogovém okně konfigurace DEP, ke kterému přistupujete pomocí tlačítka Nastavení v části Výkon na stránce Upřesnit v apletu ovládacích panelů Systému.

Jak jsme zmínili dříve, s výjimkou relativně nových procesorů AMD Sempron a Pentium 4 "J", všechny čipy kompatibilní s x86 vydané k datu nemají podporu bez provedení. Systém Windows XP a Windows Server 2003 však na těchto procesorech implementují omezenou formu PROGRAMU DEP s názvem "software DEP". Vzhledem k tomu, že operační systém získá kontrolu nad vláknem, když vlákno vygeneruje chybu, může zajistit, aby obslužná rutina selhání, která se spustí, je ta, která je staticky zaregistrována kódem programu. Tím zabráníte zneužití, které přesměruje obslužnou rutinu chyby vlákna tak, aby spustil škodlivý kód v přetečení vyrovnávací paměti zásobníku, což je to, co virus CodeRed způsobil iis, když byl vydán v roce 2001.

Navzdory své relativní jednoduchosti je program DEP jednou z nejsilnějších obran, které operační systém nabízí ve svém štítu před vlastním šířením malwaru. Bohužel tři věci omezují jeho výkon: nedostatek hardwarové podpory v aktuálně nasazených procesorech pro nastavení bez spuštění, výchozí nastavení výslovného souhlasu v systému Windows XP tak, aby byly chráněny pouze základní procesy operačního systému a nedostatek povědomí. Program DEP softwaru je omezený v jeho rozsahu, takže program DEP je pouze okrajově efektivní, pokud nepoužíváte Systém Windows na hardwaru, který podporuje bez provedení. Skutečnost, že Se systémem Windows XP se ve výchozím nastavení přihlašuje, znamená to, že i když uživatelé používají systém Windows bez spuštění, jedinými procesy, které získají ochranu DEP, jsou ty operačního systému – pokud máte přetečení vyrovnávací paměti v bráně firewall, webovém prohlížeči, e-mailové čtečce nebo jiné aplikaci s podporou sítě, stále jste zranitelní. Ve skutečnosti některé z aplikací, které jsou nejvíce zneužité malwarem, službou IIS a Outlookem, nejsou chráněny nastavením výslovného souhlasu. Vzhledem k tomu, že většina lidí neví o svém výchozím chování, nebo dokonce o dep vůbec, zůstanou systémy pro většinu případů ohroženy problémy s přetečením vyrovnávací paměti.

Jeho čas, kdy Microsoft umožňuje uživatelům zaplatit cenu kompatibility za lepší zabezpečení nebo uživatelé budou nakonec platit mnohem vyšší cenu v ruce s viry - a oni zase předají fakturu do Microsoftu. Mezitím důrazně doporučuji upgradovat na Systém Windows XP SP2 (Windows XP 64-bit Edition a Windows Server 2003 SP1 také mít podporu pro no-execute), přepnout na výslovný souhlas a upgradovat na procesor s bez-provedení podpory (bohužel, nebudu získat provize).

Předejte prosím bulletin přátelům, o které si myslíte, že by vás mohl zajímat jeho obsah.

Díky!

-Známka

WINDOWS INTERNALS, 4TH EDITION

Oficiální kniha Microsoftu na vnitřních stránkách Systému Windows Server 2003, Windows 2000 a Windows XP, kterou jsem spoluvytváření s Dave Solomon, je nyní k dispozici v knihprodejích. Dave a já rozšířili pokrytí předchozí edice o přibližně 25 %, přidání nového materiálu nejen na změny systému Windows Server 2003 a XP, ale na řešení potíží s nástroji a technikami. Najdete zde pokročilé tipy k používání Průzkumníka procesů, Filemonu a Regmonu a k dispozici je celá nová kapitola analýzy výpisu stavu systému Windows.

Další informace o obsahu a objednávce knihy najdete na adrese

http://www.sysinternals.com/windowsinternals.shtml

CO JE NOVÉHO VE SPOLEČNOSTI SYSINTERNALS

KANÁL RSS SYSINTERNALS

Mám žádost o přidání nového mechanismu oznámení do Sysinternals tak často, že jsem konečně sledoval webový trend a přidal rss kanál (pokud nejste obeznámeni s informačními kanály RSS, tady je dobrý úvod: http://rss.softwaregarden.com/aboutrss.html). Informační kanál mi také dává příležitost oznámit vám drobné opravy chyb a aktualizace, které neopravňují úplný výpis na přední stránce. Už to vypadá jako upřednostňovaný způsob, jak se lidé dozvědět o aktualizacích na základě počtu přístupů, které kanál dostane za den.

Přístup k informačnímu kanálu RSS sysinternals na adrese:

http://www.sysinternals.com/sysinternals.xml

ČLÁNKY ČASOPISU SYSINTERNALS

Asi před šesti měsíci jsem začal vytvářet půlroční sloupec v systému Windows IT Pro Magazine (dříve Windows a .NET Magazine) na nástrojích Sysinternals. Každý sloupec popisuje jiný nástroj a poskytuje tipy na pokročilé využití a informace o tom, jak fungují.

Z těchto tří, které byly publikovány níže, jsou první dva přístupné online pro uživatele bez předplatného a třetí bude brzy:

Autoruns: http://www.win2000mag.com/Windows/Article/ArticleID/44089/44089.html

Pslist a Pskill: http://www.winnetmag.com/Windows/Article/ArticleID/43569/43569.html

PsExec: http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

MARK JE MVP MICROSOFTU

Vedoucí MVP (Platform SDK Microsoft Most Valuable Professional) pojmenoval MVP pro 2005. Jsem vděčný za toto oficiální potvrzení příspěvků, které jsem udělal pro zákazníky Microsoftu s Sysinternals.

LISTOPADOVÉ STATISTIKY

Konečně jsem získal slušný program pro analýzu webového provozu pro Sysinternals a analyzoval soubory protokolu za měsíc listopadu. Velikost čísel ohromovala i já. Tady je několik hlavních bodů:

  • 3,6 milionu zobrazení stránek
  • 775 000 jedinečných návštěvníků
  • 1,2 milionu stažení utility
  • 200 000 stažení Průzkumníka procesů, stažení #1

AUTORUNS V6.01

Autoruns se v posledních několika měsících vyvinul hodně s dvěma aktualizacemi hlavních verzí. Nejnovější verze autoruns zobrazuje umístění automatického spuštění kromě standardních složek Spustit klíč a spouštěcí složky, včetně knihoven DLL oznámení Winlogon, panelů nástrojů Průzkumníka, rozšíření oboru názvů a pomocných objektů prohlížeče a knihoven DLL automatické inicializace. Další nová funkce, položka nabídky Google (zapůjčený z Průzkumníka procesů) pomáhá identifikovat neznámé obrázky otevřením prohlížeče a zahájením hledání vybraného názvu obrázku.

Další nová funkce, ověřování podepisování obrázků, vám může pomoct rozlišit mezi malwarem a systémovými komponentami nebo důvěryhodnými aplikacemi. Microsoft obecně zahrnuje hodnoty hash souborů operačního systému, které jsou podepsané privátním podpisovým klíčem Microsoftu. Kryptografické funkce Systému Windows dešifrují podepsané hodnoty hash pomocí veřejného podpisového klíče Microsoftu a Autoruns ověří image ve vašem systému porovnáním jejich hodnot hash s dešifrovanými verzemi a předponou názvu společnosti image "(Ověřeno)", když dojde ke shodě. Pokud byla image zfalšována, poškozena, nahrazena nebo má hodnotu hash podepsanou vydavatelem, kterému systém nedůvěřuje, Autoruns hlásí název společnosti pro image jako "(Neověřené)".

Jako správce systémů můžete chtít zkontrolovat automatické spouštění imagí v jiných účtech než v případě, že jste přihlášeni, takže automatické spuštění teď obsahuje nabídku Uživatel s výběrem pro každý účet, který má profil uložený v počítači.

Nakonec je teď k dispozici ekvivalent příkazového řádku grafického uživatelského rozhraní Autoruns s názvem Autorunsc, který vypíše informace o autoruns do konzoly. Jeho schopnost formátovat výstup jako CSV v kombinaci s nástrojem PsExec nástroje Sysinternals usnadňuje generování inventáře nakonfigurovaných automaticky spouštěcích imagí pro počítače v síti.

Stáhnout autoruns na adrese
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

PROCESS EXPLORER V8.61

Znovu, Process Explorer, nástroj, který nahrazuje Správce úloh jako pokročilý nástroj pro správu procesů, byl nástroj, na který jsem se zaměřil nejvíce, a to je proto, že dostávám tolik zpětné vazby k němu. Od posledního bulletinu Process Explorer od verze 8.4 do 8.6. Označit tyto dvě verze novými funkcemi, včetně položky nabídky Google, která iniciuje hledání informací o vybraném procesu, kartu s řetězci v dialogovém okně vlastností procesu, která obsahuje řetězce ASCII a Unicode v souboru obrázku procesu, položku nabídky řetězců, která obsahuje řetězce ve vybraném souboru obrázku knihovny DLL, a název nejpotřebnějšího procesu v popisu, který se zobrazí, když najedete myší na ikonu panelu Průzkumník procesů.

Mnoho lidí požádalo o funkce, které při přechodu z Správce úloh zmeškali, například na kartě Aplikace Správce úloh. Karta Aplikace zobrazuje seznam oken nejvyšší úrovně na interaktivní ploše spolu se stavem vlákna, které vlastní každé okno: "Spuštěno", pokud vlákno aktuálně čeká na přijetí zprávy windows nebo zpracovalo zprávu windows během posledních pěti sekund a "nereaguje" jinak (ironicky to znamená, že "spuštěno" znamená, že vlákno čeká a "nereaguje", že jeho spuštění). Pomocí Průzkumníka procesů teď můžete získat stejné informace tak, že do zobrazení procesu přidáte sloupce Název okna a Stav okna.

Průzkumník procesů už nějakou dobu měl funkce cílené na procesy at.NET, včetně zvýraznění procesů .NET a karty Výkon .NET v dialogovém okně vlastností procesu procesů .NET. Proces .NET je proces, který je načtený a zaregistrovaný v modulu runtime .NET. Pokud proces zaregistruje nějakou dobu po spuštění Průzkumníka procesů, nemusí si uvědomit, že se jedná o proces .NET, ale nejnovější verze znovu zkontroluje procesy pro stav .NET a členství objektů úloh při ruční aktualizaci zobrazení, buď stisknutím tlačítka panelu nástrojů aktualizace, klávesou F5 nebo výběrem položky nabídky Aktualizovat.

V situacích, kdy si nejste jistí, jaký proces vlastní okno, můžete k jeho identifikaci použít tlačítko nového panelu nástrojů pro vyhledávání oken. Jednoduše přetáhněte tlačítko panelu nástrojů, které vypadá jako cíl, z panelu nástrojů a přes příslušné okno a Průzkumník procesů vybere v zobrazení procesu vlastnící proces.

Přidání, které bude pro vás okamžitě zřejmé, je mini cpu graf, který se zobrazí poblíž panelu nástrojů. Tento graf zobrazuje historii využití procesoru systému a podobně jako rozšířená verze, kterou získáte po kliknutí na ni a otevře se dialogové okno Průzkumník procesů Informace o systému, zobrazí popis, který obsahuje časové razítko a nejvyšší využití procesoru pro bod v grafu, přes který přesunete myš. Graf můžete přesunout na libovolné místo v oblasti panelu nástrojů, a to i na jeden řádek, aby se roztáhl přes šířku okna Průzkumníka procesů.

Dvě funkce související se zabezpečením jsou ověření podepisování imagí a stav ochrany proti spuštění dat (DEP). Když povolíte možnost podepsání obrázku, Průzkumník procesů zkontroluje, jestli je image procesu digitálně podepsaná důvěryhodným podepisovačem, a například Autoruns, předpona názvu společnosti v dialogovém okně vlastností procesu s textem Ověření nebo Neověřená. Tato možnost je ve výchozím nastavení zakázaná, protože kontrola podepisování obrázků může trvat několik sekund, protože kontrola přejde na weby a ověří platnost podpisových certifikátů.

DEP, který popíšem v úvodu tohoto bulletinu, je něco, co byste měli povolit v systému Windows XP SP2 pro lepší ochranu proti zneužití přetečení vyrovnávací paměti. Stav DEP procesu můžete zkontrolovat buď přidáním sloupce Stav DEP do zobrazení procesu, nebo zaškrtnutím pole Stav DEP na stránce obrázku dialogového okna vlastností procesu.

A konečně, Process Explorer nyní vypíše ovladače načtené v systému v zobrazení DLL procesu systému, což je proces přidružený k jádru a ovladače zařízení pracovních vláken. Stejné informace jsou k dispozici pro každý ovladač jako knihovny DLL uvedené pro jiné procesy, včetně verze, názvu společnosti, úplné cesty a adresy načtení v adresního prostoru systému.

Stažení Průzkumníka procesů na adrese
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

SIGCHECK V1.0

Mnoho nástrojů Sysinternals přijímá funkce, které uživatelům pomáhají identifikovat malware a Sigcheck je nástroj příkazového řádku zaměřený téměř výhradně na tento cíl. Používá stejnou funkci ověření podepisování obrázků, která je součástí Autoruns a Process Explorer, aby vám řekla, jestli byl soubor digitálně podepsaný důvěryhodným vydavatelem. Kromě toho hlásí informace o verzi souboru pro obrázek nebo obrázky, které zadáte, včetně názvu produktu, popisu, názvu společnosti a verze. Tyto informace se podobají tomu, které nástroj Filever, který se dodává se sestavami systému Windows XP a Windows Server 2003, ale Sigcheck také hlásí časové razítko, kdy byl soubor původně "propojený" nebo vytvořen pro nepodepsané obrázky, a časové razítko podepisování obrázků pro ty, které podepsaly. A konečně většina podepsaných hodnot hash je podepsána pomocí klíčů, které byly podepsány, což je posloupnost, která tvoří, co se nazývá řetěz podepisování certifikátů. Sigcheck podporuje možnost příkazového řádku, která ji přesměruje na tisk podpisového řetězce s informacemi o každém z podepisujících v řetězci.

Jedním z možných použití nástroje Sigcheck související se zabezpečením je prozkoumat všechny nepodepsané .exe .dll nebo .sys image v libovolném adresáři pod kořenem instalace systému Windows (obvykle \Windows). Bez znaménka .exe imagí můžete snadno identifikovat spuštěním nástroje Sigcheck pomocí tohoto příkazového řádku, například:

sigcheck -s -u c:\windows\*.exe

Všechny obrázky Microsoftu by měly obsahovat platné podpisy, ale výše uvedený příkaz bohužel odhalí, že mnoho z nich nemá, což vede k souborům, které mohou být potenciálně zneužity ke skrytí malwaru.

Stáhnout Sigcheck na adrese
http://www.sysinternals.com/ntw2k/source/misc.shtml

BGINFO V4.07

Tato dílčí aktualizace nástroje Bginfo, která zobrazuje informace, které nakonfigurujete na ploše počítače, na kterém ji spouštíte pro snadné prohlížení, má lepší podporu rastrových obrázků, které musí roztáhnout tak, aby odpovídaly zadané velikosti, vylepšení detekce procesoru, podpoře pro MySQL a lepší kompatibilitu zobrazení s více monitory.

Stáhnout Bginfo na adrese
http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml

REGJUMP V1.0

Pokud jste někdy chtěli vytvořit zástupce Průzkumníka pro konkrétní klíče registru nebo jednoduše zadat cestu ke klíči a mít příkaz Regedit otevřený do cílového umístění, pak najdete užitečné regjump. Regjump je nástroj příkazového řádku, který používá stejnou technologii "jump-to" registru, kterou jsme povýšili v Regmonu. Jako argument příkazového řádku dejte regjump cestu registru a regedit se otevře a přejde na zadaný klíč nebo hodnotu.

Stáhnout Regjump na adrese
http://www.sysinternals.com/ntw2k/source/misc.shtml

HEX2DEC V1.0

Práce s ladicím programem a demontáží často zjistím, že musím převést šestnáctkové na desítkové a naopak. Konečně jsem unavoval otevření Calcu, zadání čísla a pak přepnutím základu vidět převod a tak jsem napsal malý nástroj pro převod příkazového řádku. Hex2dec se převede v obou směrech a pohodlně identifikuje vstup jako šestnáctkový, pokud má předponu "0x" nebo "x", nebo obsahuje písmena 'a'-'f' (jeho případ nerozlišuje).

Stáhnout Hex2dec na adrese
http://www.sysinternals.com/ntw2k/source/misc.shtml

TCPVCON V2.34

Netstat je nástroj příkazového řádku integrovaný do systém Windows NT a vyšší, který ukazuje aktuálně aktivní koncové body TCP a UDP v systému. Verze microsoftu zavedená v systému Windows XP obsahuje užitečné informace: identifikátor procesu (PID) procesu, který otevřel každý koncový bod. Chcete-li však určit název procesu nebo jakékoli další informace o něm, musíte otevřít nástroj pro výpis procesů a najít proces s tímto PID.

TCPView je aplikace grafického uživatelského rozhraní Sysinternals, která zobrazuje stejné aktivní informace o koncovém bodu, ale mnohem pohodlnější než Netstat, protože obsahuje název procesu, rychle přepíná mezi názvy DNS a nezpracovanými IP adresami a zvýrazňuje se barvami nových a odstraněných koncových bodů. Stažení tcpView teď zahrnuje TCPVCon, konzolovou verzi TCPView pro ty, kteří rádi používají rozhraní příkazového řádku. Na rozdíl od Netstatu zobrazí tcpVCon úplnou cestu procesu přidruženého ke každému koncovému bodu a obsahuje přepínač, který vypíše výstup ve formátu CSV.

Stáhnout Tcpvcon na adrese
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

AKTUALIZACE PSTOOLS

PsKill a PsLoglist jsou dva Nástroje PsTools, které získaly vylepšení v posledních několika měsících. PsKill, nástroj příkazového řádku, který ukončuje procesy v místním nebo vzdáleném systému, teď podporuje -t přepínač, abyste mohli ukončit celý strom procesů. Řada lidí požádala o tuto možnost, aby bylo možné snadno vyčistit stromy runaway skriptů.

PsLoglist je nástroj příkazového řádku, který vyhlásí protokoly událostí v místních nebo vzdálených systémech. Nedávné aktualizace přidaly 5 možností do již zdlouhavého seznamu kvalifikátorů příkazového řádku. Nové argumenty umožňují vyloučit zadané typy událostí nebo zdroje událostí z výstupu nebo pouze události výpisu z posledních několika minut nebo hodin. Teď také podporuje režim monitorování protokolu událostí, ve kterém běží, dokud ho neukončíte, a při generování se vygenerují záznamy protokolu událostí.

Stáhnout PsTools, včetně PsKill a PsLoglist, at
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Tady je nejnovější instalace odkazů sysinternals v článcích znalostní báze Microsoft Knowledge Base (KB) vydaných od posledního bulletinu. To přináší 63 celkový počet veřejných odkazů KB na Sysinternals.

  • Oprava: Přehrávač médií Windows 9 Series pro Windows často přistupuje k registru a může mít vliv na výkonhttp://support.microsoft.com/?kbid=886423

  • Přehled aktualizace zabezpečení GDI+ 1.0 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/gdiplus10security.asp

  • Úpravy http://support.microsoft.com/default.aspx?scid=kbregistru ; en-gb; 835818

  • Při pokusu o přístup k zobrazení http://support.microsoft.com/default.aspx?scid=kbprojektu se zobrazí chybová zpráva "V tomto zobrazení nejsou k dispozici žádné informace" ; en-us; 810596

INTERNÍ INFORMACE

PROCHÁZENÍ INTERNETU

Asi před rokem jsem oznámil, že jsem se přepnul z IE na Mozilla, protože IE neměl funkce považovány za povinné pro slušný internetový prohlížeč, jako je blokování překryvných oken, procházení na záložkách, automatické vyplňování formulářů a reklamy filtrování. Ne dlouho poté mě někdo ukázal na Avant Browser, malý stáhnout, který používá IE (to není jeho vlastní prohlížeč) dát to vše a další. Mozilla je nepohledné uživatelské rozhraní a nedostatek kompatibility s určitými weby jsem často učinil rozhodnutí přepnout snadno. Zatímco nová verze FireFox je lepší v obou ohledech, stále existují některé nekompatibilní weby (například služba Windows Update, například) a proto jsem nebyl nucen znovu přepnout.

Microsoft je pomalý pokrok zlepšení IE, i když s ohledem na skromné vylepšení Systému Windows XP SP2, měl by je stydět za nákup Avant Browser a jeho sestavení do další verze IE.

Stáhněte si Avant Browser na adrese: http://www.avantbrowser.com

ŘEŠENÍ POTÍŽÍ S NEMOCNÝMI SYSTÉMY POMOCÍ LIVEKD

LiveKd je nástroj, který jsem napsal pro 3. vydání Inside Windows 2000 (je to nyní freeware nástroj na Sysinternals). Umožňuje používat Windbg nebo Kd balíčku Microsoft Debugging Tools for Windows ke spouštění ladicí příkazy běžně používané k prošetřování výpisů stavu systému a zablokovaných systémů v systému, který je online a aktivní. Společnost Microsoft představila podobnou funkci, která se nazývá ladění místního jádra, pro nástroje ladění při spuštění v systému Windows XP a vyšší. S LiveKd můžete dělat několik věcí, ale nemůžete s laděním místního jádra. Například nemůžete se podívat na zásobníky vláken režimu jádra s místním laděním jádra a příkazem modulů list-kernel, lm kuvádí pouze jádro operačního systému a ne ostatní ovladače zatížení při spuštění v místním ladění jádra. Oba příkazy fungují uvnitř LiveKd.

Dalším příkazem, který nefunguje v ladění místního jádra, ale to dělá v LiveKd, je .dump. Naučil jsem se od inženýra služeb podpory produktů Microsoftu (PSS), že .dump příkaz může být užitečný pro řešení potíží s nemocným systémem. Počítač, u kterého dochází k problémům, ale poskytování služeb, jako je web nebo databáze, nemusí být kandidátem na restartování nebo tradiční ladění, kdy je systém pozastaven během vyšetřování. Spuštěním liveKd a spuštěním příkazu .dump se zobrazí formátovaný soubor s výpisem stavu systému, který obsahuje obsah fyzické paměti systému. Soubor s výpisem paměti můžete převést na jiný počítač a analyzovat stav operačního systému a aplikací služeb načtením souboru s výpisem paměti do WinDbg nebo Kd, čímž se vyhnete výpadku, když se podíváte na příčinu problému.

Stáhnout LiveKd na adrese
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml

CREEKSIDE?

Nedávno jsem prošetřoval inicializaci windows XP Service Pack 2 verze Winlogon, systémový proces zodpovědný za prezentaci přihlašovacího uživatelského rozhraní, když jsem narazil na kód v demontáži, kde Winlogon kontroluje přítomnost knihovny DLL s názvem ediskeer.dll v \Windows\System32 adresáři, zajišťuje, že jeho digitálně podepsaná důvěryhodným podepisujícím, pokud existuje, a pak ji načte a zavolá nepojmenovanou funkci exportovanou knihovnou DLL. Kód Winlogon, který se spustí, když se někdo přihlásí do systému, volá také knihovnu DLL, pokud byla načtena během inicializace.

Hledal jsem knihovnu DLL v mém systému a nenalezl jsem ji, a to také není k dispozici na Service Pack 2 CD. Tak co je knihovna DLL? Pomocí symbolů ladění, které Microsoft dodává pro operační systém, jsem viděl Winlogon nakonfigurovat proměnnou s názvem "Creekside", pokud ediskeer.dll je přítomna a podepsána a pak jsem si uvědomil, že "ediskeer" se skládá z posledních 8 písmen "creekside" v obráceném pořadí. Stále nevím, co Creekside odkazuje, ale jsem silně podezřelý, že DLL je jeden, který je dodáván pouze s Windows XP Starter Edition, nízkonákladová verze systému Windows XP, kterou Microsoft nedávno zavedl pro rozvojové země. Starter Edition je založená na stejném jádru operačního systému jako Windows XP Professional a Home Editions, ale omezuje počet aplikací, které může uživatel mít současně spuštěné. Pokud jsem správně, Winlogon načte knihovnu DLL, aby vynucuje tento limit, a aktivuje ho pokaždé, když se přihlásí nový uživatel.

CHKREG REGISTRY FIXER

V průběhu let Bryce a já jsem dostal mnoho požadavků na registr-analogie pro Chkdsk, nástroj pro kontrolu konzistence systému souborů. Nikdy jsme ho nenapsali, protože jsme cítili, že cílová skupina pro jednoho je příliš malá, aby ospravedlňovala úsilí. Přibližně před rokem společnost Microsoft vydala málo známý Chkreg, Chkdsk pro registr, který opravuje mnoho typů poškození registru.

Chkreg je bohužel podporován pouze v systému Windows 2000 (může také fungovat na registrech systém Windows NT 4 a Windows XP) a je implementována jako "nativní" aplikace, která používá nativní rozhraní API místo rozhraní API systému Windows, a proto se nebude spouštět v systému Windows. Když si ho stáhnete, budete ho muset nainstalovat do sady šesti spouštěcích floppů systému Windows, zdlouhavé a časově náročné záležitosti. Kontaktovali jsme vývojáře společnosti Chkreg a doporučili jsme jim, aby veřejně vydávali verzi Systému Windows, kterou jsme zjistili, že služby podpory produktů Společnosti Microsoft (PSS) používají interně, ale nemají žádné slovo, kdy nebo jestli ji uvolní.

Chkreg si můžete stáhnout na adrese
http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en

DIAGNOSTIKA PAMĚTI SYSTÉMU WINDOWS

Jedním z nejvíce frustrujících prostředí pro uživatele Windows je chybový systém. Ve většině případů je chyba ovladačem zařízení jiného výrobce, který můžete napravit zakázáním ovladače nebo aktualizací na verzi pomocí opravy. Přibližně 10 % chybových ukončení hlášených službou Microsoft Online Crash Analysis (OCA) je způsobeno hardwarovými problémy, z nichž většina souvisí s diskem a pamětí.

Pokud dojde k chybovému ukončení, že OCA nemůže diagnostikovat nebo máte podezření na problém s pamětí, měli byste strávit několik minut s nástrojem Microsoft Windows Memory Diagnostic (WMD), nástroj pro kontrolu paměti, který microsoft nedávno vydal. Instalační program pro WMD požádá o disketu nebo disk CD, do kterého uloží program WMD. Při spuštění počítače z diskety nebo disku CD, který jste vytvořili WMD, spustí a provede důkladný test paměti počítače, hlásí jeho průběh a případné problémy na obrazovce. Pokud máte chyby paměti WMD vám může ušetřit frustraci nekonečné chyby Windows.

Diagnostiku paměti systému Windows si můžete stáhnout na adrese http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en

ZKOUMÁNÍ NEZDOKUMENTOVANÝCH ROZHRANÍ

Funkce stavu DEP, kterou popíšem v části o vylepšeních Průzkumníka procesů dříve v bulletinu, závisí na nezdokumentované funkci. Myslel jsem, že mnoho z vás bude zajímat, jak jsem se objevil, bez přístupu ke zdrojovému kódu Windows (Dave Solomon, můj spoluvytváření pro Windows Internals, má přístup, ale já ne), funkce a jeho správné použití.

Prvním krokem v procesu analýzy bylo hypotéza, že dotaz stavu DEP procesu by se směroval přes NtQueryInformationProcess rozhraní API. Mnoho funkcí rozhraní API systému Windows, které načítají informace o procesu, používají NtQueryInformationProcess rozhraní k získání informací. Tato funkce, která je prototypována v souboru Ntddk.h sady Windows Driver Development Kit (DDK), je přístupná z uživatelského režimu prostřednictvím rozhraní pro volání nativního rozhraní API:

NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength OPTIONAL
);

První dva argumenty jsou popisovačem procesu a "třída informací o procesu". Výčet PROCESSINFOCLASS, první několik definic, které jsou uvedeny níže, je také zahrnuta v NTDDK. H:

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
//...

Vzhledem k tomu, že program DEP byl zaveden v systému Windows XP SP2 Neočekával jsem, že informační třída pro dotazy DEP bude uvedena ve verzích systému Windows XP nebo Windows Server 2003 Ntddk.h a rychlá kontrola potvrdila její nepřítomnost. Proto jsem musel prozkoumat demontáž SP 2 Ntoskrnl.exe, obrázek, kde NtQueryInformationProcess je implementováno, zjistit, zda bych mohl určit třídu informací o dotazech DEP empiricky.

Disassembler vezme spustitelný obrázek a zobrazí seznam instrukcí jazyka sestavení, které tvoří jeho kód. Instrukce jazyka sestavení se mapují přímo na pokyny spuštěné procesorem. Zpětný překlad, který používám, je IDA Pro, protože http://www.datarescue.com rozumí ladicí informační soubory Microsoftu a integruje informace do výstupu jazyka sestavení. V zpětném překladu jsem zjistil konvolutovanou sekvenci instrukcí na začátku NtQueryInformationProcess, které přebírají parametr třídy informací o procesu a spouští kód specifický pro každou třídu. Protože jsem věděl, že informační třída je nová, mohl bych přeskočit provádění tříd, pro které jsem viděl definice v Ntddk výčtu PROCESSINFOCLASS . Toto zúžilo mé šetření na zhruba 3 nebo 4 nové třídy zavedeny od vydání systému Windows XP.

Jedna z tříd, která odpovídá hodnotě ProcessInformationClass 0x22, mě vzala cestou kódu do funkce s názvem MmGetExecuteOptions, začátek, který je zde znázorněn:

PAGE:0054D7CC ; __stdcall MmGetExecuteOptions(x)
PAGE:0054D7CC _MmGetExecuteOptions@4 proc near ; CODE XREF:
NtQueryInformationPro0063ess(x,x,x,x,x)+251C p
PAGE:0054D7CC
PAGE:0054D7CC arg_4 = dword ptr 8
PAGE:0054D7CC
PAGE:0054D7CC mov edi, edi
PAGE:0054D7CE push ebp
PAGE:0054D7CF mov ebp, esp
PAGE:0054D7D1 mov eax, large fs:124h
PAGE:0054D7D7 mov eax, [eax+44h]
PAGE:0054D7DA mov cl, [eax+6Bh]
PAGE:0054D7DD mov eax, [ebp+arg_4]
PAGE:0054D7E0 and dword ptr [eax], 0
PAGE:0054D7E3 xor edx, edx
PAGE:0054D7E5 inc edx
PAGE:0054D7E6 test dl, cl
PAGE:0054D7E8 jz short loc_54D7EC
PAGE:0054D7EA mov [eax], edx
PAGE:0054D7EC
PAGE:0054D7EC loc_54D7EC: ; CODE XREF:
MmGetExecuteOptions(x)+1C j
PAGE:0054D7EC test cl, 2
PAGE:0054D7EF jz short loc_54D7F4
PAGE:0054D7F1 or dword ptr [eax], 2
PAGE:0054D7F4
PAGE:0054D7F4 loc_54D7F4: ; CODE XREF:
MmGetExecuteOptions(x)+23 j
PAGE:0054D7F4 test cl, 4
PAGE:0054D7F7 jz short loc_54D7FC
PAGE:0054D7F9 or dword ptr [eax], 4
PAGE:0054D7FC

IDA Pro mi ukázal na prvním řádku ve výše uvedeném výstupu, že funkce přijímá jeden argument, který jsem podezření, že je ukazatel na proměnnou, která přijímá nastavení DEP. Strávil(a) jsem dostatek času vyhledáváním zpětného překladu jádra Windows, aby se sekvence mov eax, large fs:124h; mov eax,[eax+44h] instrukcí rozpoznala jako čtení aktuální struktury dat vlákna _KTHREAD ve struktuře oblasti řízení procesoru (PCR) následované odkazem KPROCESS na pole při posunu 0x44 ve _KTHREAD struktuře. Následující pokyny čtou jednotlivé bity v bajtu při posunu 0x6B ve struktuře _KPROCESS .

Nevím, co je mimo ruku, co je při posunu 0x6B ve spuštěné _KPROCESS aplikaci Windbg v režimu ladění místního jádra a spustil příkaz dt _kprocess, který oznámil toto:

+0x06b Flags : _KEXECUTE_OPTIONS

Looking at that structure with another dt command showed the bit definitions:

+0x000 ExecuteDisable : Pos 0, 1 Bit
+0x000 ExecuteEnable : Pos 1, 1 Bit
+0x000 DisableThunkEmulation : Pos 2, 1 Bit
+0x000 Permanent : Pos 3, 1 Bit
+0x000 ExecuteDispatchEnable : Pos 4, 1 Bit
+0x000 ImageDispatchEnable : Pos 5, 1 Bit
+0x000 Spare : Pos 6, 2 Bits

Je jisté, že tyto bity souvisí s programem DEP a zdá se, že MmGetExecuteOptions je kopíruje z této struktury do odpovídajících bitů v umístění paměti předané jako ProcessInformation argument NtQueryInformationProcess. Proto jsem zjistil, že jsem mohl dotazovat stav DEP procesu voláním NtQueryInformationProcess s ProcessInformationClass 0x22, adresou DWORD (4 bajtové celé číslo) a délkou 4. Zdá se, že vrací pouze příznaky pro aktuální proces a ignoruje ProcessHandle parametr (Průzkumník procesů se dotazuje na stav DEP jiných procesů tím, že MmGetExecuteOptions do nich KeAttachProcess pomocí rozhraní API přepne jeho pomocný ovladač).

Byl jsem hotový s výjimkou několika drobných rozdílů v 64bitové verzi Windows, protože jsem zpřístupnit 64bitovou verzi Process Exploreru. V 64bitovém systému Windows MmGetExecuteOptions vyžaduje ProcessHandle hodnotu -1 a vrací STATUS_INVALID_PARAMETER chybu, pokud je aktuální proces 64bitový proces, protože dep je vždy zapnutý pro 64bitové procesy. Použil jsem Windbg k demontáži 64bitové verze Ntoskrnl.exe, ačkoli od té doby jsem získal verzi IDA Pro, která podporuje AMD64 image disassembly.

INTERNÍ ŠKOLENÍ

PŘIPOJENÍ WINDOWS V SAN FRANCISCU

Vydávám dvě zasedání na konferenci Windows Connections, která je spuštěna společností Windows IT Pro Magazine a pořádám 17. dubna 20 v San Franciscu. Jedna je obecná relace s názvem "Understanding and Fighting Malware: Viruss, Spyware a Rootkits" (Principy a boj proti malwaru: Viry, Spyware a Rootkits), kde popíšem, jak malware zneužije ohrožení zabezpečení k šíření a obejití bezpečnostních opatření, jak skrýt pomocí sofistikovaných technik nazývaných "rootkits" a jak je rozpoznat a vyčistit z vašeho systému.

Druhá relace je "Řešení potíží s pamětí systému Windows", kde vám ukážu, jak odpovědět na staré "co jsou význam hodnot, které vidím ve Správci úloh", "co používám paměť" a "jak velký mám udělat stránkovací soubor" otázky.

Stáhněte si konferenční brožuru a zaregistrujte se na adrese
http://www.devconnections.com/shows/win/default.asp?s=60#

PRAKTICKÁ OKNA INTERNALS/SYSINTERNALS – TŘÍDY MARK RUSSINOVICH

Strávit 5 dní s Markem Russinovichem a Davidem Solomonem, autory nové knihy Windows Internals 4. vydání, učení pokročilých technik řešení potíží při procházení interních informací o jádru operačního systému systém Windows NT/2000/XP/2003. Pokud jste it specialista na nasazování a podporu serverů a pracovních stanic s Windows, musíte být schopni prozkoumat pod povrchem, když se něco pokazí. Znalost interních informací o operačním systému Windows a znalost použití pokročilých nástrojů pro řešení potíží vám pomůže řešit tyto problémy a efektivněji porozumět problémům s výkonem systému. Porozumění interním informacím může programátorům pomoct lépe využívat platformu Windows a poskytovat pokročilé techniky ladění. A protože kurz byl vyvinut s úplným přístupem ke zdrojovému kódu jádra Windows A vývojářům, víte, že získáváte skutečný příběh.

Nadcházející data zahrnují:

  • ČERVEN 6-10, ORLANDO, FLORIDA
  • ČERVENEC 11-15, MNICHOV, NĚMECKO
  • ZÁŘÍ 19-23, SAN FRANCISCO, KALIFORNIE
  • PROSINCE 5-9, AUSTIN, TEXAS

POZNÁMKA: Jedná se o praktickou třídu – každý účastník musí mít vlastní přenosný počítač (pokyny ke konfiguraci se odešlou předem).

Získáte podrobné informace o architektuře jádra systém Windows NT/2000/XP/2003, včetně interních procesů, plánování vláken, správy paměti, vstupně-výstupních operací, služeb, zabezpečení, registru a procesu spouštění. Probírané jsou také pokročilé techniky řešení potíží, jako je třeba malwarová distribuce, analýza výpisu stavu systému (modrá obrazovka) a získání problémů s dřívějším spuštěním. Dozvíte se také pokročilé tipy k používání klíčových nástrojů z www.sysinternals.com (například Filemon, Regmon, &Process Explorer) k řešení potíží s řadou problémů se systémem a aplikacemi, jako jsou pomalé počítače, detekce virů, konflikty knihoven DLL, problémy s oprávněními a problémy s registrem. Tyto nástroje se používají každý den od podpory produktů společnosti Microsoft a byly použity efektivně k řešení široké škály problémů s desktopem a serverem, takže znalost jejich provozu a aplikace vám pomůže při řešení různých problémů ve Windows. Příklady z reálného světa budou uvedeny, které ukazují úspěšné použití těchto nástrojů k řešení skutečných problémů.

Pokud se chcete zaregistrovat, navštivte http://www.sysinternals.com/troubleshoot.shtml

Děkujeme vám za přečtení bulletinu Sysinternals.

Publikováno ve středu, 5. ledna 2005 19:36 od ottoh

[Archiv bulletinů ^] [< Svazek 6, číslo 2] [Svazek 7, zvláštní oznámení >]