Bulletin Sysinternals Vol. 8, č. 1 - Sysinternals

[Archiv bulletinů ^] [< Svazek 7, číslo 2] [Svazek 8, číslo 2 >]

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2. března 2006 – V tomto problému:

ÚVOD
AKTUALIZACE NÁSTROJŮ
AKTUALIZACE LICENCOVÁNÍ
FÓRUM SYSINTERNALS
BLOG MARKA
ČLÁNKY MARKA
MARKŮV PLÁN MLUVENÍ
ŽIVÉ INTERNÍ INFORMACE / TŘÍDY ŘEŠENÍ POTÍŽÍ
NOVÁ KNIHOVNA VIDEÍ PRO ŘEŠENÍ POTÍŽÍ S SYSINTERNALS

Winternals Software je přední vývojář a poskytovatel pokročilých systémových nástrojů pro Windows. Společnost byla označena jako "horká společnost" v průvodci produkty zabezpečení informací (viz http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

Také Recovery Manager a Správce Pak získali SearchWinSystems.com 2005 Products of the Year Awards. Recovery Manager získal zlato v kategorii Správa plochy, zatímco Správce Pak byl v rámci skupiny Systems Management (http://searchwinsystems.techtarget.com/productsOfTheYear/0294801,sid68_ayr2005,00.html) považován za vítěze Silver Award.

Pokud chcete získat úplné podrobnosti o produktu, multimediální ukázky, webináře nebo požádat o zkušební disk CD některého produktu, navštivte prosím http://www.winternals.com

ÚVOD

Dobrý den,

Vítejte v bulletinu Sysinternals. Bulletin má aktuálně 60 000 odběratelů.

V únoru měl Sysinternals 1,26 milionu jedinečných návštěvníků a 20 milionů pohledů na stránky. Nyní seřadí číslo 6 900 na internetu podle Alexa.com (http://www.alexa.com/data/details/?url=www.sysinternals.com).

Nejstahovanější nástroje jsou:

Procexp: 375 000 stažení za měsíc
Autoruns: 120 000 stažení za měsíc
Rootkit Revealer: 120 000 stažení za měsíc
Filemon: 100 000 stažení za měsíc
Regmon: 90 000 stažení za měsíc
Tcpview: 63 000 stažení za měsíc

Účastníci diskusní skupiny Alt.comp.freeware newsgroup zvolili jako nejlepší soubor, regmon, Průzkumník procesů a autoruns. http://www.pricelesswarehome.org/2006/about2006PL.php).

Život byl zajímavý minulý listopad, když jsem publikoval své nálezy na Sony rootkit. Kromě desítek tiskových pohovorů a článků v časopisech a novinách jsem měl svůj první národní televizní vystoupení a rozhlasový rozhovor. Věci se teď ustálily, což znamená, že jsem byl zpátky v práci vylepšení nástrojů Sysinternals. Kompletní zápis změn od posledního bulletinu najdete níže.

Jsem také velmi nadšený z nové knihovny Sysinternals Video Library, 6 DVD sada pokrývající klíčová témata pro řešení potíží s Windows s nástroji Sysinternals. Měly by být k dispozici do června. Podívejte se na Sysinternals pro náhled videoklipů a bezplatné stažení jednoho z videí.

A konečně, pokud se účastníte konference, kde mluvím, prosím, přestaňte pozdravit. Nebo, strávit 5 dní se mnou a Dave Solomon na jednom z našich živých tříd Windows Internals & Advanced Troubleshooting v Londýně, San Franciscu nebo Austinu.

-Mark Russinovich

AKTUALIZACE NÁSTROJŮ

Od posledního bulletinu v srpnu bylo aktualizováno mnoho nástrojů. Vzhledem k tomu, že nástroje často aktualizujem, ujistěte se, že používáte nejnovější verzi. Nejlepší způsob, jak držet krok se změnami, je přihlásit se k odběru informačního kanálu RSS na adrese http://www.sysinternals.com/sysinternals.xml (a pokud ještě nepoužíváte RSS k udržování přehledu s weby, musíte začít!).

Tady je podrobný seznam změn podle nástroje:

Process Explorer v10.06

Tato hlavní aktualizace Průzkumníka procesů obsahuje rozsáhlý seznam nových funkcí a vylepšení zaměřených na použitelnost a proaktivní vyhledávání malwaru. Mezi příklady patří příkazy Runas a Spustit jako omezeného uživatele, restartování procesu, sady sloupců, vylepšené popisy procesů pro hostování služeb a procesy Rundll32, sloupce rozpisu pracovních sad a ověření image knihovny DLL a detekce zabalených imagí.

RootkitRevealer verze 1.7

Tato nová verze RootkitRevealer zahrnuje sofistikovanější protiměry rootkitu, kontrolu všech podregistrů registru včetně profilů uživatelů, spuštění z relací vzdálené plochy systému Windows XP, podporu svazků NTFS s velikostmi clusterů větších než 4 kB a zahrnuje řadu oprav chyb a snižuje počet falešně pozitivních nesrovnalostí. I placená anti-detekační verze Hacker Defenderu se v této verzi neskrývají.

RegDelNull v1.1

Pomocí tohoto nového apletu vyhledejte a odstraňte klíče registru, které jsou "nedefinovatelné" standardními nástroji pro úpravy registru, protože mají ve svých názvech vložené znaky null. V reakci na použití těchto klíčů malwarem může RegDelNull nyní odemknout a odstranit klíče, které mají nejen vložené hodnoty null, ale mají také oprávnění zabezpečení, která je jinak nepřístupná.

Sigcheck v1.3

Sigcheck, výkonný nástroj pro ověření verze souboru příkazového řádku a ověřovací nástroj pro podpis, teď obsahuje nový příznak, který zobrazuje jenom číslo verze souboru.

PsExec v1.7

Tato aktualizace PsExec obsahuje nový přepínač -l pro použití účty pro správu ke spouštění procesů s omezenými uživatelskými oprávněními. Spusťte internet Explorer s nízkými právy před IE 7 (v vista) se zobrazí jednoduše vytvořením zástupce pro spuštění s přepínačem.

Autoruns v8.42

Autoruns teď ví o ještě více umístěních automatického startu, včetně hodnoty registru ověřování spouštění Winlogon, otevřené napadení shellu, ovladačů v režimu jádra, tisk monitorů DLL a obslužných rutin sloupců Průzkumníka , které byly používány skutečným malwarem. Přidali jsme také ověření podpisu na vyžádání pro jednotlivé položky a výrazně zlepšili výkon doby kontroly při výběru ověření obrázku.

Autoruns teď podporuje libovolnou délku cest registru a systému souborů, přidává funkci hledání pro vyhledávání prostřednictvím konfigurovaných položek, zavádí funkci porovnání pro porovnání aktuálních automatických startů s dříve uloženou verzí, abyste mohli snadno identifikovat nové doplňky.

ProcFeatures v1.0

Tento applet hlásí procesor a podporu Systému Windows pro rozšíření fyzických adres a ochranu proti přetečení vyrovnávací paměti nespustí.

DiskView v2.2

Diskview, nástroj, který umožňuje podívat se na přidělení clusteru svazku, teď zobrazuje souhrn fragmentů souboru, když dvakrát kliknete na některý z clusterů souborů a tlačítko Zobrazit další přejde na další fragment vybraného souboru.

DebugView v4.5

DebugView je vývojářský nástroj, který zachycuje výstup ladění v režimu uživatele a jádra. Po mnoha uživatelských žádostech o funkci DebugView teď můžete vytvořit nový soubor protokolu a vymazat zobrazení každý den.

AccessEnum v1.3

AccessEnum je výkonný nástroj zabezpečení, který usnadňuje zjišťování chybně nakonfigurovaných souborů a popisovačů zabezpečení registru. Verze 1.3 obsahuje opravy chyb, motivy systému Windows XP a nový formát souborů, který je kompatibilní s importem aplikace Excel.

Livekd v3.0

LiveKd, nástroj, který umožňuje zobrazit místní systém, jako by se jednalo o výpis stavu systému pomocí standardních ladicích programů jádra Společnosti Microsoft, nyní podporuje verze x64 systému Windows a obsahuje některé menší opravy chyb.

Regmon v7.02

Tato dílčí aktualizace má jasnější chybové zprávy, pokud účet nemá oprávnění požadovaná ke spuštění Regmon nebo Regmon je již spuštěn a konsoliduje 32bitové a 64bitové (x64) verze do jednoho binárního souboru.

AKTUALIZACE LICENCOVÁNÍ

Často se ptáme, jaká jsou pravidla pro naše bezplatné nástroje. Začali jsme zobrazovat automaticky otevírané okno licenční smlouvy s koncovým uživatelem, které se zobrazí při prvním spuštění nástroje – text se přečte takto:

"Můžete používat software publikovaný na tomto webu doma nebo v práci bez placení poplatku za komerční licenci za předpokladu, že jste software stáhli sami od společnosti Sysinternals, použijte software na počítačích, pro které jste primárním uživatelem, použijte software v systémech, pro které neexistuje žádný primární uživatel (např. server, včetně terminálového serveru) a jste zaměstnancem společnosti, která vlastní server na plný úvazek, nebo používáte software na počítačích v rámci domova, ze kterého jste bydliště."

Stránka s bezplatnou licencí Sysinternals teď http://www.sysinternals.com/Licensing.html vysvětluje scénáře, ve kterých se vyžaduje placená komerční licence pro použití.

FÓRUM SYSINTERNALS

Přijďte navštívit jedno z 16 interaktivních fór Sysinternals (http://www.sysinternals.com/forum). Kromě vyhrazených fór na každém z hlavních nástrojů existují čtyři technická fóra windows: malware, řešení potíží, interní a vývoj.

S více než 7352 členy (do téměř 6000 v 6 měsících) bylo 14667 příspěvků k dnešnímu dni v 4384 různých tématech, která přichází na 2000 příspěvků měsíčně za posledních 6 měsíců!

BLOG MARKA

Můj blog obdržel novou úroveň pozornosti s publikováním mých zjištění na Sony rootkit, ale tam bylo několik dalších příspěvků nesouviset s problémem Sony. Tady je seznam článků od posledního bulletinu:

2.6.2006 Použití rootkitů k porazit službu Digital Rights Management
1. 18. 2006 Uvnitř zadního vrátka WMF
1.15.2006 Rootkits in Commercial Software
1/3/2006 Antispyware spiknutí
12/30/2005 Sony Usadit
12.12.2005 Obcházení zásad skupiny jako omezený uživatel
11.30.2005 Předčasné prohlášení o vítězství?
11.16.2005 Vítězství!
11/14/2005 Sony: No More Rootkit - Prozatím
11/9/2005 Sony: Nejste reeeeaaaally chcete odinstalovat, že?
11/6/2005 Sony Rootkit: První 4 Internet Reaguje
11/4/2005 Více na Sony: Nebezpečné Decloaking Patch, EULA a Phoning Home
10/31/2005 Sony, Rootkits a Digital Rights Management pryč příliš daleko
10.19.2005 Kontrola obejití procházení (nebo je to upozornění na změnu?) Výsada
10/2/2005 Registry Junk: A Windows Fact of Life
19.9.2005 Multi-platform Images
28. 8. 2005 Případ přerušovaného (a otravného) Průzkumníka přestane reagovat

Úplný seznam článků najdete v tématu http://www.sysinternals.com/blog/blogindex.html

ČLÁNKY MARKA

Můj nejnovější článek ve Windows a IT Pro Magazine byl na AccessEnum, který prohledá zadaný svazek, podadresář nebo klíč registru, aby vám pomohl najít potenciální problémy v nastavení zabezpečení.

Je k dispozici online pro předplatitele na adrese http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1

MARKŮV PLÁN MLUVENÍ

Minulý podzim jsem mluvil na konferenci Microsoft 2005 Professional Developers Conference (září v Los Angeles), připojení k Windows (listopad v San Franciscu, CA) a Microsoft IT Forum (listopad v Barceloně, Španělsku).

Moje další konferenční přednášky jsou v Microsoft TechEdu 2006 v Bostonu v červnu. Prezentujem předkonferenční kurz s Dave Solomon o pokročilém čištění malwaru 11. června (http://www.msteched.com/content/precons.aspx). Budu také poskytovat čtyři breakout relace o tématech, včetně změn jádra Vista, řešení potíží s Filemon a Regmon, analýza chybových ukončení a zablokování Windows a pokročilé techniky čištění malwaru.

Nejnovější aktualizace najdete v tématu http://www.sysinternals.com/Information/SpeakingSchedule.html

ŽIVÉ INTERNÍ INFORMACE / TŘÍDY ŘEŠENÍ POTÍŽÍ

Pokud se vám líbí Sysinternals, kniha Windows Internals nebo chcete získat další informace o interních operačních systémech Windows, včetně toho, co přichází v Vista, pak se budete chtít zúčastnit pouze naplánovaných semináře, kde dave Solomon i já doručovat naše 5denní praktické cvičení (přineste si vlastní notebook) Windows Internals a Advanced Troubleshooting seminář. Kalendářní data tohoto roku jsou:

Londýn, 26. června 2006
San Francisco, 18. září 2006
Austin, TX, prosinec 11-15, 2006

V této třídě získáte podrobné znalosti o architektuře jádra Systému Windows, včetně interních procesů, plánování vláken, správy paměti, vstupně-výstupních operací, služeb, zabezpečení, registru a procesu spouštění. Probírané jsou také pokročilé techniky řešení potíží, jako je třeba malwarová distribuce, analýza výpisu stavu systému (modrá obrazovka) a získání problémů s dřívějším spuštěním.

Dozvíte se také pokročilé tipy k používání klíčových nástrojů z www.sysinternals.com (například Filemon, Regmon, &Process Explorer) k řešení potíží s řadou problémů se systémem a aplikacemi, jako jsou pomalé počítače, detekce virů, konflikty knihoven DLL, problémy s oprávněními a problémy s registrem. Tyto nástroje se používají každý den od podpory produktů společnosti Microsoft a byly použity efektivně k řešení široké škály problémů s desktopem a serverem, takže znalost jejich provozu a aplikace vám pomůže při řešení různých problémů ve Windows. Příklady z reálného světa budou uvedeny, které ukazují úspěšné použití těchto nástrojů k řešení skutečných problémů. A protože kurz byl vyvinut s úplným přístupem ke zdrojovému kódu jádra Windows A vývojářům, víte, že získáváte skutečný příběh.

A pokud máte 20 nebo více lidí, může být atraktivní spustit soukromou třídu na místě (e-mail seminars@... podrobnosti).

Další podrobnosti a registraci najdete na stránce
http://www.sysinternals.com/Troubleshooting.html

NOVÁ KNIHOVNA VIDEÍ PRO ŘEŠENÍ POTÍŽÍ S SYSINTERNALS

Dave Solomon a nedávno jsem natočili novou video série s názvem "Sysinternals Troubleshooting Library". Bude to 6 DVD sada, která pokrývá základní interní windows a pokročilá témata řešení potíží s nástroji Sysinternals. Názvy disků jsou:

Disk 1 – prohlídka nástrojů Sysinternals
Disk 2 – Řešení potíží s Průzkumníkem procesů
Disk 3 – Řešení potíží s filemonem a regmonem
Disk 4 – Řešení potíží s pamětí
Disk 5 – Analýza výpisu stavu systému a zablokování
Disk 6 – Řešení potíží se spouštěním a spouštěním

Očekáváme, že budeme mít k dispozici ukázkový videoobsah ke stažení tento měsíc. Disky by měly být expedovány do června. Při otevření předobjednávek budeme mít slevu , snad v květnu. Jakmile budou k dispozici pro předobjednávku, pošleme oznámení tomuto seznamu zájmů.

Děkujeme vám za přečtení bulletinu Sysinternals.

Publikováno 2. května 2006 18:29 od ottoh