Megosztás a következőn keresztül:


[Hírlevelek archívuma ^] [< 6. kötet, 2. szám] [7. kötet, Különleges közlemény >]

The Systems Internals Newsletter Volume 7, Number 1

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich


2005. január 5. – Ebben a kérdésben:

  1. VEZÉRCIKK

    • Van dep?
  2. WINDOWS INTERNALS, 4. KIADÁS

  3. A SYSINTERNALS ÚJDONSÁGAI

    • Novemberi statisztikák
    • Sysinternals Magazin cikkek
    • Sysinternals RSS-hírcsatorna
    • Mark egy Microsoft MVP
    • Automatikus futtatás v6.01
    • Process Explorer v8.61
    • Sigcheck v1.0
    • Bginfo v4.07
    • Regjump 1.0-s verzió
    • Hex2dec 1.0-s verzió
    • Tcpvcon v2.34
    • PsTools-frissítések
    • Sysinternals a Microsoftnál
  4. BELSŐ ADATOK

    • Internetböngészés
    • A LiveKd használata a beteg rendszerek hibaelhárításához
    • Creekside?
    • ChkReg beállításjegyzék-javító
    • Windows memóriadiagnosztika
    • Nem dokumentált felületek kutatása
  5. INTERNALS TRAINING

    • Windows-kapcsolatok San Franciscóban
    • Gyakorlati Windows Internals/Sysinternals osztályok Mark Russinovich & David Solomon

A Sysinternals Hírlevél által szponzorált Winternals Software, a weben a http://www.winternals.com. A Winternals Software a Windows NT/2000/XP/2003 fejlett rendszereszközök vezető fejlesztője és szolgáltatója.

Winternals örömmel jelenti be a közelgő kiadása rendszergazda Pak 5.0 egy átfogó frissítés, beleértve az ERD Commander 2005.

Az ERD Commander 2005 új funkciói a következők:

  • Összeomláselemző: A Windows összeomlásáért felelős illesztőprogram gyors és egyszerű diagnosztizálása – még akkor is, ha a rendszer nem indul el
  • DiskWipe – Merevlemezek vagy kötetek biztonságos törlése; Automatikus futtatások: Mely alkalmazások indulnak el a Windows beállításánál és a felhasználói bejelentkezésnél – hasznos a rendszererőforrás-problémák diagnosztizálásában és a potenciális kártevők megtalálásában
  • FireFox webböngésző: gyorsjavítások letöltése, illesztőprogram-frissítések, segítség keresése a Microsoft Tudásbázisban – minden a javításra váró rendszeren
  • Gyorsjavítás eltávolítása varázsló, amely lehetővé teszi, hogy eltávolítsa a gyorsjavításokat és szervizcsomagokat egy nem kiosztható rendszeren
  • Rendszerfájl-javítás, amely ellenőrzi a Windows rendszerfájljainak integritását.

Ezek a funkciók, az ERD Commander 2005 számos továbbfejlesztése és használhatósága, valamint a Windows PE-n alapuló távoli helyreállítást használó ügyfél új, egyszerűbb felépítése és használata mind megtalálható az új rendszergazda Pak 5.0-s csomagjában, amely 2005. január végén érhető el. A rendszergazda Pak 5.0 kiadásának kiértékeléséhez látogasson el a http://www.winternals.com/ap5preview/.

VEZÉRCIKK

Üdvözlök mindenkit!

Üdvözöljük a Sysinternals hírlevélben. A hírlevélnek jelenleg 40 000 előfizetője van.

A kártevők növekvő áradása, beleértve a kémprogramokat és a vírusokat, mindenkit foglalkoztat a biztonság. A megfelelő biztonsági intézkedések közé tartozik az operációs rendszer és az alkalmazás javítása, a tűzfal, a víruskereső és a kémprogram-eltávolító eszközök telepítése és konfigurálása, valamint az internetről való letöltéskor vagy az e-mail mellékletek megnyitásakor az ítélőképesség gyakorlása. Az alapos intézkedések ellenére azonban a kártevők továbbra is találhatnak módszereket a védekezésre és a számítógép megfertőzésére. A rendszer védelmének leggyakoribb kiskapuja a puffertúllépés biztonsági rése, ezért érdemes ismernie a Windows XP Service Pack 2 adatvégrehajtás-megelőzési (DEP) funkcióját.

A puffer túlcsordulása olyan programozási hiba, amelyet a rosszindulatú programok kihasználhatnak a kódolási hibát végrehajtó szál irányításával. A puffertúllépések általában veremalapúak, ami azt jelenti, hogy a támadó több adatot ad a programnak, mint amennyi elfér a veremen tárolt pufferben. Az adatok úgy lesznek elkészítve, hogy amikor a túlcsordulással rendelkező függvény megpróbál visszatérni ahhoz a függvényhez, amelyből meghívták, akkor az adatok egy helyére tér vissza.

Sajnos a puffer túlcsordulási hibái még a legjobban tesztelt és áttekintett szoftvereket is sújthatják. Havi rendszerességgel több puffertúlcsordulást jelentenek be a Windows és annak összetevő szoftverei számára (a Linux és alkalmazásai nem immunisak, a Windowshoz hasonló számos puffertúllépéssel). A puffertúllépési kihasználtságok többségének gyakori témája, hogy olyan memóriarégiókban elhelyezett kód végrehajtásához vezetnek, amelyeknek csak adatokat kell tartalmazniuk.

Bár az Intel Itanium processzor támogatja a kiadással szembeni végrehajtás nélküli védelmet, addig a Windows XP SP2 (és a hamarosan megjelenő Windows Server 2003 SP1) nem használta ki ezt a hardvertámogatást, például a szálverem és a halommemória nem végrehajthatóként való megjelölését. A hardveres védelem nélküli védelmet támogató egyéb processzorok közé tartozik a 64 bites AMD64 Opteron és az Athlon 64, valamint az Intel EM64T-now nevű klónja, amely a Xeon és a Pentium 4 processzorokon érhető el. Az AMD és az Intel nemrég 32 bites processzorokat vezetett be végrehajtás nélküli támogatással: az AMD Sempron és a Pentium 4 "J" család (például az 520J, 540J stb.).

Magától értetődőnek tűnhet, hogy a Windowsnak alapértelmezés szerint végrehajtás nélküli védelmet kell érvényesítenie a verem és az alkalmazás halommemóriái számára a puffer túlcsordulásának megakadályozása érdekében, de több százezer meglévő alkalmazás létezik, amelyek némelyike esetleg arra támaszkodik, hogy a beállítás nem lesz kényszerítve a megfelelő működéshez. Ezért a Windows XP SP2, a Windows első olyan kiadása, amely nem hajt végre védelmet, a rendszergazda szabályozni tudja, hogy mely folyamatok legyenek védettek, és melyek ne. Először is, a jövőben a biztonság javítását célzó döntésben a Windows 64 bites verziója mindig kényszeríti a végrehajtás nélküli jelzőket az összes 64 bites folyamathoz. Ha egy szoftvergyártó egy 64 bites alkalmazást szeretne kiadni, győződjön meg arról, hogy nem futtatható memóriaterületekről hajt végre kódot (az adatrégiót végrehajthatóként jelölheti meg, ha menet közben hoz létre kódot, ahogyan a Java és a .NET-alkalmazások gyakran teszik).

Másodszor, mivel a puffer túlcsordulási kihasználtság leggyakrabban az operációs rendszer összetevőire irányul, a 32 bites Windows XP és a Windows Server 2003 alapértelmezés szerint védi az alapvető operációsrendszer-lemezképeket. A 32 bites (32 bites Windows vagy 64 bites Windows rendszeren futó) alkalmazások esetében azonban a Windows XP alapértelmezés szerint "opt-in" (az alkalmazások alapértelmezés szerint nem védettek), míg a Windows Server 2003 alapértelmezés szerint "opt-out" (az alkalmazások alapértelmezés szerint védettek, de bizonyos alkalmazások kizárhatók). Ennek azért van értelme, mert a biztonság általában magasabb prioritást élvez a kiszolgálórendszereken. A dep konfigurációs párbeszédpanelen módosíthatja az opt-in vagy opt-out beállításokat, amelyeket a Rendszer vezérlőpultjának Speciális lapjának Teljesítmény szakaszában a Beállítások gombra kattintva érhet el.

Ahogy korábban említettem, a viszonylag új AMD Sempron és Pentium 4 "J" processzorok kivételével az eddig kiadott összes x86 kompatibilis chip nem támogatja a végrehajtást. A Windows XP és a Windows Server 2003 azonban a DEP egy korlátozott formáját implementálja a "software DEP" nevű processzorokon. Mivel az operációs rendszer akkor veszi át a szál irányítását, amikor a szál hibát okoz, biztosíthatja, hogy a futtatni kívánt hibakezelő olyan legyen, amelyet a program kódja statikusan regisztrál. Ez megakadályozza azt a biztonsági rést, amely átirányítja a szál hibakezelőjét a rosszindulatú kódok túlcsordult verempufferben való végrehajtásához, és ezt a CodeRed vírus okozta az IIS-nek, amikor 2001-ben megjelent.

Viszonylagos egyszerűsége ellenére a DEP az egyik legerősebb védelem, amelyet az operációs rendszer nyújt a pajzsában az önterjesztő kártevők ellen. Sajnos három dolog korlátozza a teljesítményét: a legtöbb jelenleg telepített processzor hardvertámogatásának hiánya a végrehajtás nélküli beállításhoz, a Windows XP alapértelmezett opt-in beállítása, hogy csak az alapvető operációsrendszer-folyamatok legyenek védve, és a tudatosság hiánya. A szoftveres DEP hatóköre korlátozott, ezért a DEP csak kis mértékben hatékony, kivéve, ha a Windowst olyan hardveren futtatja, amely támogatja a végrehajtást. Az a tény, hogy a Windows XP alapértelmezés szerint engedélyezi az engedélyezést, azt jelenti, hogy még akkor is, ha a felhasználók nem futtatott hardveren futtatják a Windowst, az egyetlen olyan folyamat, amely deP-védelmet kap, az operációs rendszeré – ha a külső tűzfal, webböngésző, e-mail-olvasó vagy más hálózatbarát alkalmazás puffertúlcsordulása van, akkor is sebezhető marad. Valójában a kártevők által leggyakrabban kihasznált alkalmazások, az IIS és az Outlook nem védettek az opt-in beállítás alatt. Végül, mivel a legtöbb ember nem ismeri az alapértelmezett viselkedését, vagy akár a DEP-t sem, a rendszerek nagyrészt továbbra is veszélyben maradnak a puffer-túlcsordulási problémák miatt.

A Microsoft arra kötelezi a felhasználókat, hogy a jobb biztonságért cserébe fizessenek a kompatibilitási árat, vagy a felhasználók sokkal magasabb árat fognak fizetni a vírusokért – és a számlát átadják a Microsoftnak. Addig is erősen ajánlom, hogy frissítsen a Windows XP SP2-re (Windows XP 64 bites kiadás és Windows Server 2003 SP1 is támogatja a nem-végrehajtást), váltson az opt-inre, és frissítsen egy olyan processzorra, amely nem támogatja a végrehajtást (sajnos nem kapok jutalékot).

Kérjük, adja át a hírlevelet barátainak, akikről úgy gondolja, hogy érdeklik a tartalmai.

Köszönjük!

-Jegy

WINDOWS INTERNALS, 4. KIADÁS

A Hivatalos Microsoft-könyv a Windows Server 2003, a Windows 2000 és a Windows XP belső részeiről, amelyeket Dave Solomon-nal közösen gyűjtöttem össze, már elérhető a könyvesboltokban. Dave és én kiterjesztettük a lefedettség az előző kiadás mintegy 25%, hozzátéve, új anyag nem csak a Windows Server 2003 és XP változások, hanem a hibaelhárítási eszközök és technikák. A Process Explorer, a Filemon és a Regmon használatával kapcsolatos speciális tippeket talál, és a Windows összeomlási memóriakép-elemzésének egy teljesen új fejezete is van.

További információ a könyv tartalmáról és az online rendelésről:

http://www.sysinternals.com/windowsinternals.shtml

A SYSINTERNALS ÚJDONSÁGAI

SYSINTERNALS RSS-HÍRCSATORNA

Megkaptam a kérést, hogy adjon hozzá egy új közzétételi értesítési mechanizmus a Sysinternals olyan gyakran, hogy végre követte a webes trendet, és hozzáadott egy RSS-hírcsatornát (ha nem ismeri az RSS-hírcsatornákat, íme egy jó alapozó: http://rss.softwaregarden.com/aboutrss.html). A hírcsatorna lehetőséget ad arra is, hogy értesítést kapjak azokról az apró hibajavításokról és frissítésekről, amelyek nem garantálják a teljes listát az első oldalon. Már így is úgy tűnik, hogy a felhasználók a naponta elért találatok száma alapján ismerhetik meg a frissítéseket.

A Sysinternals RSS-hírcsatornájának elérése a következő címen:

http://www.sysinternals.com/sysinternals.xml

SYSINTERNALS MAGAZIN CIKKEK

Körülbelül hat hónappal ezelőtt elkezdtem egy féléves oszlopot létrehozni a Windows IT Pro Magazinban (korábban Windows és .NET Magazine) a Sysinternals-eszközökön. Minden oszlop egy másik eszközt ír le, amely tippeket ad a speciális használathoz, és tájékoztatást nyújt a működésükről.

Az alább felsorolt három közül az első kettő elérhető online a nem előfizetők számára, a harmadik pedig hamarosan:

Automatikus futtatások: http://www.win2000mag.com/Windows/Article/ArticleID/44089/44089.html

Pslist és Pskill: http://www.winnetmag.com/Windows/Article/ArticleID/43569/43569.html

PsExec: http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

MARK EGY MICROSOFT MVP

A Platform SDK Microsoft Legértékesebb Szakmai (MVP) érdeklődője 2005-ben MVP-nek nevezett. Hálás vagyok neki és a Microsoftnak azért a hivatalos elismerésért, amit a Sysinternals szolgáltatással a Microsoft ügyfeleinek nyújtottam.

NOVEMBERI STATISZTIKÁK

Végül kaptam egy tisztességes webes forgalomelemzési programot a Sysinternals számára, és elemeztem a naplófájlokat a novemberi hónapra vonatkozóan. A számok nagysága még engem is lenyűgözött. Íme néhány fontos elem:

  • 3,6 millió oldalmegtekintés
  • 775 000 egyedi látogató
  • 1,2 millió segédprogram letöltése
  • 200 000 letöltés a Process Explorerből, az #1 letöltés

AUTORUNS V6.01

Az autoruns sokat fejlődött az elmúlt hónapokban két fő verziószámfrissítéssel. Az Autoruns legújabb kiadása az automatikus indítási helyeket a szokásos Futtatási kulcs és indítási mappák mellett jeleníti meg, beleértve a Winlogon értesítési DLL-jeit, az Explorer eszköztárait, a névtérbővítményeket és a böngésző segédobjektumait, valamint az automatikus inicializálási DLL-eket. Egy másik új funkció, a Google menüelem (amelyet a Process Explorertől kölcsönzött) segít azonosítani az ismeretlen képeket egy böngésző megnyitásával és a kiválasztott képnév keresésének elindításával.

Egy másik új funkció, a képaláírás ellenőrzése segíthet megkülönböztetni a kártevőket és a rendszerösszetevőket vagy a megbízható alkalmazásokat. A Microsoft általában olyan operációsrendszer-fájlok kivonatait tartalmazza, amelyek a Microsoft titkos aláírókulcsával vannak aláírva. A Windows titkosítási függvényei visszafejtik az aláírt kivonatokat a Microsoft nyilvános aláírókulcsával, és az Autoruns ellenőrzi a rendszer rendszerképeit úgy, hogy összehasonlítják a kivonataikat a visszafejtett verziókkal, és a rendszerkép cégnevét "(Ellenőrzött)" előtaggal előtaggal írják le, ha egyezés van. Ha egy rendszerképet illetéktelenül módosítottak, sérültek, lecseréltek, vagy egy olyan közzétevő által aláírt kivonatot írtak alá, amelyet a rendszer nem megbízható, az Autoruns a rendszerkép cégnevét "(Nem ellenőrzött)" néven jelenti.

Rendszeradminisztrátorként érdemes lehet ellenőrizni az automatikus indítási rendszerképeket a bejelentkezett fióktól eltérő fiókokban, így az Automatikus futtatás mostantól tartalmaz egy Felhasználói menüt, amelyen a számítógépen tárolt profillal rendelkező összes fiókhoz kiválaszthatók a beállítások.

Végül itt található az Autoruns grafikus felhasználói felületének egy parancssori megfelelője, az Autorunsc, amely felsorolja az automatikus futtatások adatait a konzolon. A kimenet CSV-ként való formázása a Sysinternals PsExec segédprogramjával kombinálva megkönnyíti a konfigurált automatikus indítási rendszerképek készleteinek generálását a hálózaton belüli számítógépek számára.

Automatikus futtatások letöltése a
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

PROCESS EXPLORER V8.61

Ismét a Folyamatkezelő, egy olyan eszköz, amely a Feladatkezelőt egy speciális folyamatkezelő segédprogramként helyettesíti, az volt az eszköz, amelyre a legjobban összpontosítottam, és ennek az az oka, hogy olyan sok visszajelzést kapok. Mivel a legutóbbi hírlevél Folyamatkezelő 8.4-es verzióról 8.6-ra vált. Ez a két kiadás számos új funkciót jelöl, köztük egy Google-menüelemet, amely egy kijelölt folyamat információinak keresését kezdeményezi, egy sztringek lapot a folyamattulajdonságok párbeszédpanelen, amely felsorolja a folyamatképfájlban található ASCII- és Unicode-sztringeket, egy sztringek menübejegyzést, amely egy kijelölt DLL-képfájlban lévő sztringeket sorol fel, és az elemleírásban szereplő, a processzort leginkább használó folyamat neve, amely akkor jelenik meg, amikor az egérmutatót a Folyamatkezelő tálca ikonjára viszi.

Sokan olyan funkciókat kértek, amelyeket kihagytak a Feladatkezelőről való váltáskor, például a Feladatkezelő alkalmazások lapján. Az Alkalmazások lapon látható az interaktív asztal legfelső szintű ablakainak listája, valamint az egyes ablakokat birtokló szál állapota: "Futtatás", ha a szál jelenleg arra vár, hogy windowsos üzenetet fogadjon, vagy az elmúlt öt másodpercben feldolgozta a windowsos üzenetet, és egyébként "nem válaszol" (ironikusan ez általában azt jelenti, hogy a "futtatás" azt jelzi, hogy a szál várakozik, és "nem válaszol", hogy nem fut). Ugyanezeket az információkat a Folyamatkezelővel is lekérheti, ha hozzáadja az "Ablak címe" és az "Ablak állapota" oszlopot a folyamatnézethez.

A Folyamatkezelő egy ideje at.NET folyamatokat céloz meg, például a .NET-folyamatok kiemelését és a .NET-folyamatok folyamattulajdonságok párbeszédpaneljének .NET-teljesítmény lapját. A .NET-folyamat olyan folyamat, amely betöltötte és regisztrálta a .NET-futtatókörnyezetet. Ha egy folyamat regisztrál valamikor a Folyamatkezelő elindítása után, előfordulhat, hogy nem veszi észre, hogy .NET-folyamatról van szó, de a legújabb kiadás a megjelenítés manuális frissítésekor újraellenőrzi a .NET-állapot és a feladatobjektum-tagság folyamatait a frissítési eszköztár gomb, az F5 billentyű vagy a Frissítés menüelem kiválasztásával.

Olyan helyzetekben, amikor nem biztos abban, hogy melyik folyamat rendelkezik egy ablakkal, az új ablakkereső eszköztárgombbal azonosíthatja azt. Egyszerűen húzza a célnak tűnő eszköztárgombot az eszköztárról és a kérdéses ablak fölé, és a Folyamatkezelő kiválasztja a tulajdonosi folyamatot a folyamatnézetben.

Egy olyan kiegészítés, amely azonnal nyilvánvalóvá válik az eszköztár közelében megjelenő mini-CPU gráf. Ez a grafikon a rendszer processzorhasználati előzményeit mutatja be, és a folyamatkezelő Rendszerinformáció párbeszédpanel megnyitásához kattintáskor megjelenő bővített verzióhoz hasonlóan egy elemleírást jelenít meg, amely tartalmazza az egér mozgatását lehetővé tevő gráf pontjának időbélyegét és legmagasabb processzorhasználati folyamatát. A gráfot áthelyezheti az eszköztár tetszőleges pontjára, akár egy sorra is, hogy az a Folyamatkezelő ablakának szélességén átnyúljon.

Két biztonsági funkció a képaláírás ellenőrzése és az adatvégrehajtás elleni védelem (DEP) állapota. Ha engedélyezi a képaláírási beállítást, a Folyamatkezelő ellenőrzi, hogy a folyamatképet megbízható aláíró digitálisan aláírta-e, és az Automatikus futtatásokhoz hasonlóan a cég nevét a folyamattulajdonságok párbeszédpanelen az "Ellenőrzött" vagy a "Nem ellenőrzött" előtaggal látja el. A beállítás alapértelmezés szerint le van tiltva, mert a képaláírás ellenőrzése több másodpercet is igénybe vehet, amikor az ellenőrzés a webhelyekre kerül az aláíró tanúsítványok érvényességének ellenőrzéséhez.

DEP, amit írok ebben a hírlevél bevezetőjében, van valami, amit engedélyeznie kell a Windows XP SP2-n a puffer túlcsordulása elleni fokozott védelem érdekében. A folyamat DEP-állapotának ellenőrzéséhez adja hozzá a "DEP Állapot" oszlopot a folyamatnézethez, vagy a folyamattulajdonságok párbeszédpanel képoldalának "DEP állapot" mezőjét.

Végül a Folyamatkezelő most felsorolja a rendszerbe betöltött illesztőprogramokat a Rendszerfolyamat DLL-nézetében, amely a kernel- és eszközillesztő-feldolgozó szálakhoz társított folyamat. Ugyanazok az információk érhetők el az egyes illesztőprogramok esetében, mint a más folyamatokhoz felsorolt DLL-ekhez, beleértve a verziót, a vállalat nevét, a teljes elérési utat és a betöltési címet a rendszer címterében.

A Folyamatkezelő letöltése a
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

SIGCHECK V1.0

Számos Sysinternals-eszköz olyan funkciókat vezet be, amelyek segítenek a felhasználóknak azonosítani a kártevőket, és a Sigcheck egy parancssori segédprogram, amely szinte kizárólag erre a célra összpontosít. Az Automatikus futtatások és a Folyamatkezelőben található képaláírás-ellenőrzési funkcióval állapítja meg, hogy egy megbízható közzétevő digitálisan aláírta-e a fájlokat. Emellett a megadott kép vagy képek fájlverzió-adatait is jelenti, beleértve a termék nevét, leírását, cégnevét és verzióját. Ezek az információk hasonlóak a Windows XP és a Windows Server 2003 rendszerhez készült Filever-eszközhöz, de a Sigcheck az időbélyeget is jelenti, amikor a fájl eredetileg "csatolt" vagy nem aláírt képekhez lett létrehozva, valamint az aláírt képek aláírásának időbélyegét. Végül a legtöbb aláírt kivonat aláírása a maguk által aláírt kulcsokkal történik, amelyek egy tanúsítvány-aláírási láncot formázó sorozatot alkotnak. A Sigcheck egy parancssori beállítást támogat, amely arra utasítja, hogy az aláírási láncot a lánc minden aláírójával kapcsolatos információkkal nyomtassa ki.

A Sigcheck egyik lehetséges biztonsági célú felhasználása az aláíratlan .exe .dll vagy .sys rendszerképek vizsgálata a Windows-telepítés gyökérkönyvtáraiban (általában \Windows). Az aláíratlan .exe lemezképek egyszerűen azonosíthatók a Sigcheck paranccsal, például a következő parancssorban:

sigcheck -s -u c:\windows\*.exe

Minden Microsoft-rendszerképnek érvényes aláírásokat kell tartalmaznia, de a fenti parancs sajnos azt fogja felfedni, hogy sokan nem, ami olyan fájlokat eredményez, amelyek potenciálisan kihasználhatók a kártevők elrejtéséhez.

A Sigcheck letöltése:
http://www.sysinternals.com/ntw2k/source/misc.shtml

BGINFO V4.07

A Bginfo kisebb frissítése, amely a számítógép asztalán konfigurált információkat jeleníti meg a könnyű megtekintés érdekében, jobban támogatja azokat a bitképeket, amelyeket a megadott méretnek megfelelően kell nyújtania, a processzorészlelés fejlesztései, a MySQL támogatása és a továbbfejlesztett többmonitoros megjelenítési kompatibilitás.

Töltse le a Bginfo-t a
http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml

REGJUMP V1.0

Ha valaha is létre akart hozni Explorer-parancsikonokat adott beállításkulcsokhoz, vagy egyszerűen be szeretné írni egy kulcs elérési útját, és meg szeretné nyitni a Regeditet a célhelyre, akkor hasznosnak fogja találni a Regjumpot. A Regjump egy parancssori segédprogram, amely ugyanazt a Registry "jump-to" technológiát használja, amelyet a Regmonban úttörőnek tartunk. Adjon meg egy Beállításjegyzék-elérési utat a Regjumpnak parancssori argumentumként, és a Regedit megnyílik, és a megadott kulcsra vagy értékre navigál.

A Regjump letöltése:
http://www.sysinternals.com/ntw2k/source/misc.shtml

HEX2DEC 1.0-s verzió

A hibakeresőkkel és a szétszereléssel együtt gyakran tapasztalom, hogy a hexadecimálist decimálissá kell konvertálnom, és fordítva. Végül elegem lett a Calc megnyitásából, egy szám beírásából, majd a bázis váltásából, hogy lássam az átalakítást, ezért írtam egy kis parancssori konverziós segédprogramot. A Hex2dec mindkét irányban konvertál, és kényelmesen hexadecimálisként azonosítja a bemenetet, ha "0x" vagy "x" előtaggal rendelkezik, vagy tartalmazza az "a"-'f" betűket (esete érzéketlen).

A Hex2dec letöltése a
http://www.sysinternals.com/ntw2k/source/misc.shtml

TCPVCON V2.34

A Netstat egy windowsos NT-be épített parancssori segédprogram, amely a rendszeren jelenleg aktív TCP- és UDP-végpontokat jeleníti meg. A Windows XP-vel bevezetett Microsoft-verzió hasznos információkat tartalmaz: az egyes végpontokat megnyitó folyamatazonosítót (PID). A folyamat nevének vagy bármilyen más információnak a meghatározásához azonban meg kell nyitnia egy folyamatlista-eszközt, és meg kell keresnie a folyamatot az adott PID-vel.

A TCPView egy Sysinternals GUI-alkalmazás, amely ugyanazokat az aktív végpontadatokat jeleníti meg, de sokkal kényelmesebben, mint a Netstat, mivel tartalmazza a folyamat nevét, gyorsan vált a DNS-nevek és a nyers IP-címek között, és kiemeli az új és törölt végpontok színét. A TCPView letöltése mostantól tartalmazza a TCPVCont, a TCPView konzolverzióját azok számára, akik parancssori felületeket szeretnének használni. A Netstattól eltérően a TCPVCon megjeleníti az egyes végpontokhoz társított folyamat teljes elérési útját, és tartalmaz egy kapcsolót, amely CSV formátumban jeleníti meg a kimenetet.

Tcpvcon letöltése:
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

PSTOOLS-FRISSÍTÉSEK

PsKill és PsLoglist a két PsTools, hogy szerzett fejlesztések az elmúlt néhány hónapban. A PsKill parancssori segédprogram, amely leállítja a helyi vagy távoli rendszeren futó folyamatokat, mostantól támogatja a kapcsolót -t , hogy teljes folyamatfát zárjon be. Többen kérték ezt a lehetőséget, hogy megkönnyítse a kötegelt szkriptek elszabadult fáinak eltávolítását.

A PsLoglist egy parancssori eszköz, amely az eseménynaplókat helyi vagy távoli rendszereken dobja ki. A legutóbbi frissítések 5 lehetőséget adtak hozzá a parancssori minősítők már hosszadalmas listájához. Az új argumentumok lehetővé teszik a megadott eseménytípusok vagy eseményforrások kizárását a kimenetből, vagy csak az utolsó néhány percből vagy órából származó eseményeket. Mostantól támogatja az eseménynapló-figyelési módot is, ahol addig fut, amíg le nem állítja azt, és az eseménynapló-rekordokat a generálásuk során nyomtatja.

PsTools letöltése, beleértve a PsKill és a PsLoglist, a
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Íme a Sysinternals-hivatkozások legújabb részlete a Microsoft Tudásbázis (KB) legutóbbi hírlevél óta megjelent cikkeiben. Ez 63-ra emeli a Sysinternalsre mutató nyilvános KB-hivatkozások teljes számát.

  • JAVÍTÁS: Windows Médialejátszó Windows 9-es sorozata gyakran hozzáfér a beállításjegyzékhez, és hatással lehet a teljesítményrehttp://support.microsoft.com/?kbid=886423

  • GDI+ 1.0 biztonsági frissítés áttekintése http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/gdiplus10security.asp

  • Beállításjegyzék szerkesztése http://support.microsoft.com/default.aspx?scid=kb; en-gb; 835818

  • "Nincs megjeleníthető információ ebben a nézetben" hibaüzenet jelenik meg, amikor megpróbál hozzáférni egy Projektnézethez http://support.microsoft.com/default.aspx?scid=kb; en-us; 810596

BELSŐ ADATOK

INTERNETBÖNGÉSZÉS

Körülbelül egy évvel ezelőtt bejelentettem, hogy váltottam az IE-ről a Mozilla-ra, mert az IE nem rendelkezik a tisztességes internetböngésző számára kötelezőnek ítélt funkciókkal, például az előugró ablakok blokkolásával, a lapozott böngészéssel, az automatikus űrlapkitöltéssel és a hirdetésszűréssel. Nem sokkal később valaki mutatott nekem Avant Browser, egy kis letöltés, amely használja IE (ez nem a saját böngésző), hogy mindent, és így tovább. Mozilla a clunky UI és a kompatibilitás hiánya bizonyos oldalak gyakran hozta meg a döntést, hogy könnyen váltson. Bár az új FireFox kiadás mindkét szempontból jobb, még mindig vannak inkompatibilis webhelyek (például a Windows Update), és így nem kényszerítették, hogy váltsak újra.

A Microsoft lassú előrehaladása az IE-t javítja, még az IE szerény Windows XP SP2 fejlesztései fényében is szégyenkeznie kell az Avant Browser megvásárlásában és az IE következő verziójában való kiépítésében.

Töltse le az Avant Browsert a következő címen: http://www.avantbrowser.com

A LIVEKD HASZNÁLATA A BETEGRENDSZEREK HIBAELHÁRÍTÁSÁHOZ

A LiveKd egy segédprogram, amelyet az Inside Windows 2000 3. kiadásához írtam (ez most egy ingyenes eszköz a Sysinternalsen). Lehetővé teszi, hogy a Windows microsoft hibakeresési eszközeinek Windbg vagy Kd használatával olyan hibakeresési parancsokat hajthat végre, amelyek általában az összeomlási memóriaképek és a befagyott rendszerek vizsgálatára szolgálnak egy on-line és aktív rendszeren. A Microsoft a Windows XP és újabb rendszereken futó hibakereső eszközökhöz hasonló, úgynevezett "helyi kernel-hibakeresést" vezetett be. A LiveKddel azonban számos olyan dolgot tehet, amelyet a helyi kernel hibakeresésével nem lehet elvégezni. Például nem tekintheti meg a kernel módú szálvermeket a helyi kernel hibakeresésével és a listamagmodulok parancsával, csak az operációs rendszer kernelét listázza, lm ka többi betöltési illesztőprogramot pedig nem, amikor helyi kernel-hibakeresésben hajtják végre. Mindkét parancs a LiveKd-ben működik.

Egy másik parancs, amely nem működik a helyi kernel hibakeresésében, de ez a LiveKdben működik, az ..dump A Microsoft terméktámogatási szolgálatának (PSS) mérnökétől megtudtam, hogy a .dump parancs hasznos lehet egy beteg rendszer hibaelhárításához. Előfordulhat, hogy a problémákat tapasztaló, de olyan szolgáltatásokat nyújtó számítógép, mint a web vagy az adatbázis, nem feltétlenül alkalmas újraindításra vagy hagyományos hibakeresésre, ha a rendszer a vizsgálat során szüneteltetve van. A LiveKd futtatása és a .dump végrehajtása összeomlás-memóriakép formátumú fájlt eredményez, amely a rendszer fizikai memóriájának tartalmát tartalmazza. A memóriaképfájlt egy másik gépre viheti, és elemezheti az operációs rendszer és a szolgáltatásalkalmazások állapotát úgy, hogy betölti a memóriaképfájlt a WinDbg-be vagy a Kd-be, így elkerülheti a kimaradásokat a probléma okának megvizsgálása során.

A LiveKd letöltése:
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml

CREEKSIDE?

Nemrég vizsgáltam a Winlogon Windows XP Service Pack 2-es verziójának inicializálását, a bejelentkezési felhasználói felület bemutatásáért felelős rendszerfolyamatot, amikor olyan kódra bukkantam a szétszerelés során, ahol a Winlogon egy ediskeer.dll nevű DLL jelenlétét ellenőrzi a \Windows\System32 címtárban, biztosítja, hogy annak digitális aláírását egy megbízható aláíró írja alá, ha létezik, ezután betölti, és meghív egy, a DLL által exportált névtelen függvényt. Az a Winlogon-kód, amely akkor fut, amikor valaki bejelentkezik a rendszerbe, a DLL-be is meghívja, ha az inicializálás során be lett töltve.

Megkerestem a DLL-t a rendszeremben, és nem találtam, és a Service Pack 2 CD-n sem található meg. Mi tehát a DLL? A Microsoft által az operációs rendszerhez küldött hibakeresési szimbólumok használatával láttam, hogy Winlogon konfigurál egy "Creekside" nevű változót, ha ediskeer.dll jelen van és aláírt, majd rájöttem, hogy az "ediskeer" a "creekside" utolsó 8 betűjéből áll fordított sorrendben. Még mindig nem tudom, mire utal a Creekside, de erősen gyanítom, hogy a DLL az, amely csak a Windows XP Starter Editiont, a Windows XP alacsony költségű verzióját tartalmazza, amelyet a Microsoft a közelmúltban vezetett be a fejlődő országok számára. A Starter Edition ugyanazon az operációsrendszer-magon alapul, mint a Windows XP Professional és a Home Edition, de korlátozza a felhasználó által egyidejűleg futtatható alkalmazások számát. Ha helyes vagyok, a Winlogon betölti a DLL-t a korlát kikényszerítéséhez, és aktiválja azt minden alkalommal, amikor egy új felhasználó bejelentkezik.

CHKREG BEÁLLÍTÁSJEGYZÉK-JAVÍTÓ

Az évek során Bryce és én ütött számos kérelmet a Registry-analógia Chkdsk, a fájlrendszer konzisztencia-ellenőrző segédprogram. Még soha nem írtunk egyet, mert úgy éreztük, hogy az egyik közönsége túl kicsi ahhoz, hogy igazolja az erőfeszítést. Körülbelül egy évvel ezelőtt a Microsoft kiadta a kevéssé ismert Chkreget, a Beállításjegyzék chkdsk-ját, amely számos típusú beállításjegyzék-sérülést javít.

Sajnos a Chkreg csak Windows 2000 rendszeren támogatott (Windows NT 4 és Windows XP regisztrációs rendszereken is használható), és "natív" alkalmazásként van implementálva, amely a Windows API helyett a natív API-t használja, ezért nem fut a Windows alatt. Amikor letölti, telepítenie kell egy hat windowsos telepítő flopp-ra, amely fárasztó és időigényes ügy. Kapcsolatba léptünk a Chkreg fejlesztőivel, és arra biztattuk őket, hogy nyilvánosan bocsássák ki a Windows-verziót, amelyről megtudtuk, hogy a Microsoft Terméktámogatási szolgáltatások (PSS) házon belül használják, de nincs szó arról, hogy mikor vagy mikor fogják kiadni.

A Chkreg innen tölthető le:
http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=hu

WINDOWS MEMÓRIADIAGNOSZTIKA

A Windows-felhasználók számára az egyik leg frusztrálóbb élmény egy összeomló rendszer. A legtöbb esetben a hiba egy harmadik féltől származó hibás eszközillesztő, amelyet kijavíthat az illesztőprogram letiltásával vagy egy javítással ellátott verzióra való frissítéssel. A Microsoft Online Összeomláselemzés (OCA) által jelentett összeomlások körülbelül 10%-át hardverproblémák okozzák, amelyek többsége lemezzel és memóriával kapcsolatos.

Ha összeomlik, hogy az OCA nem tudja diagnosztizálni, vagy memóriaproblémára gyanakszik, akkor néhány percet a Microsoft által nemrég kiadott Microsoft Windows Memóriadiagnosztika (WMD) memóriaellenőrző eszközzel kell töltenie. A WMD telepítője olyan hajlékonylemezt vagy CD-t kér, amelyhez menti a WMD programot. Amikor elindít egy gépet a hajlékonylemezről vagy a CD-ről, a létrehozott WMD fut, és elvégzi a számítógép memóriájának alapos tesztelését, amely a folyamat előrehaladását és a képernyőn megjelenő problémákat jelenti. Ha memóriahibái vannak, a WMD mentheti meg a Windows összeomlásainak végtelen frusztrációját.

A Windows memóriadiagnosztika http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C&innen tölthető le: ; displaylang=hu

NEM DOKUMENTÁLT FELÜLETEK KUTATÁSA

A DEP állapot funkció, amelyet a folyamatkezelő fejlesztéseiről szóló szakaszban ismertetek, a hírlevél korábbi részében egy nem dokumentált függvényre támaszkodik. Azt hittem, sokan érdekelné a tanulás, hogyan fedeztem fel, anélkül, hogy a Windows forráskód (Dave Solomon, az én társalapító a Windows Internals, hozzáféréssel, de én nem), a függvény és annak megfelelő használatát.

Az elemzési folyamat első lépése annak feltételezése volt, hogy egy folyamat DEP-állapot lekérdezése az NtQueryInformationProcess API-n keresztül fog haladni. Számos Olyan Windows API-függvény, amely adatokat kér le egy folyamatról, az interfész használatával NtQueryInformationProcess szerzi be az információkat. Ez a függvény, amely a Windows Driver Development Kit (DDK) Ntddk.h fájljában prototípusként készült, felhasználói módban érhető el a "natív API" rendszerhívási felületen keresztül:

NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength OPTIONAL
);

Első két argumentuma egy folyamat leírója és egy "folyamatinformációs osztály". Az NTDDK tartalmazza a PROCESSINFOCLASS enumerálást is, amelynek első néhány definíciója alább látható. H:

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
//...

Mivel a DEP-t bevezették a Windows XP SP2-ben, nem számítottam arra, hogy a DEP-lekérdezések információs osztálya szerepel az Ntddk.h Windows XP vagy Windows Server 2003 verzióiban, és egy gyors ellenőrzés megerősítette a hiányát. Ezért meg kellett vizsgálnom az SP 2 Ntoskrnl.exe szétszerelését, a rendszerképet, ahol NtQueryInformationProcess implementálva van, hogy megállapíthassam a DEP lekérdezési információs osztályt empirikusan.

A szétszerelő egy végrehajtható rendszerképet vesz fel, és felsorolja a kódját alkotó szerelvénynyelvi utasításokat. A szerelvény nyelvi utasításai közvetlenül a processzor által végrehajtott utasításokra képeznek le. A használt szétszerelő az IDA Pro, http://www.datarescue.com mivel megérti a Microsoft hibakeresési információs fájljait, és integrálja az információkat a szerelvény nyelvi kimenetébe. A szétszerelésben felfedeztem az utasítások konvolúciós sorozatát az NtQueryInformationProcess elején, amely átveszi a folyamatinformációs osztály paraméterét, és végrehajtja az egyes osztályokra vonatkozó kódot. Mivel tudtam, hogy az információs osztály új, átugorhattam azon osztályok végrehajtását, amelyek definícióit láttam az Ntddk számbavételében PROCESSINFOCLASS . Ez szűkítette a vizsgálatot, hogy körülbelül 3 vagy 4 új osztályok bevezetése óta Windows XP kiadás.

Az egyik osztály, amely egy 0x22 értékének felel meg ProcessInformationClass , átvitt egy kódútvonalon egy nevesített MmGetExecuteOptionsfüggvénybe, amelynek kezdete itt látható:

PAGE:0054D7CC ; __stdcall MmGetExecuteOptions(x)
PAGE:0054D7CC _MmGetExecuteOptions@4 proc near ; CODE XREF:
NtQueryInformationPro0063ess(x,x,x,x,x)+251C p
PAGE:0054D7CC
PAGE:0054D7CC arg_4 = dword ptr 8
PAGE:0054D7CC
PAGE:0054D7CC mov edi, edi
PAGE:0054D7CE push ebp
PAGE:0054D7CF mov ebp, esp
PAGE:0054D7D1 mov eax, large fs:124h
PAGE:0054D7D7 mov eax, [eax+44h]
PAGE:0054D7DA mov cl, [eax+6Bh]
PAGE:0054D7DD mov eax, [ebp+arg_4]
PAGE:0054D7E0 and dword ptr [eax], 0
PAGE:0054D7E3 xor edx, edx
PAGE:0054D7E5 inc edx
PAGE:0054D7E6 test dl, cl
PAGE:0054D7E8 jz short loc_54D7EC
PAGE:0054D7EA mov [eax], edx
PAGE:0054D7EC
PAGE:0054D7EC loc_54D7EC: ; CODE XREF:
MmGetExecuteOptions(x)+1C j
PAGE:0054D7EC test cl, 2
PAGE:0054D7EF jz short loc_54D7F4
PAGE:0054D7F1 or dword ptr [eax], 2
PAGE:0054D7F4
PAGE:0054D7F4 loc_54D7F4: ; CODE XREF:
MmGetExecuteOptions(x)+23 j
PAGE:0054D7F4 test cl, 4
PAGE:0054D7F7 jz short loc_54D7FC
PAGE:0054D7F9 or dword ptr [eax], 4
PAGE:0054D7FC

Az IDA Pro a fenti kimenet első sorában megmutatta, hogy a függvény egy argumentumot fogad el, amelyet gyanítottam, hogy egy olyan változó mutatója, amely megkapja a DEP-beállításokat. Elég időt töltöttem a Windows kernel szétszerelési hibáinak megtekintésével, hogy felismerhessem az utasításütemezést mov eax, large fs:124h; mov eax,[eax+44h] a processzorvezérlő régió (PCR) struktúrájának aktuális száladat-szerkezetének _KTHREAD olvasásaként, majd a mező hivatkozását KPROCESS a szerkezet 0x44 _KTHREAD eltolásánál. A bájt egyes bitjeinek olvasási utasításai eltoláskor 0x6B a _KPROCESS szerkezetben.

Nem tudva, hogy mi az eltolás 0x6B egy _KPROCESS helyi kernel hibakeresési módban indítottam el a Windbget, és végrehajtottam a parancsot dt _kprocess, amely a következőt jelentette:

+0x06b Flags : _KEXECUTE_OPTIONS

Looking at that structure with another dt command showed the bit definitions:

+0x000 ExecuteDisable : Pos 0, 1 Bit
+0x000 ExecuteEnable : Pos 1, 1 Bit
+0x000 DisableThunkEmulation : Pos 2, 1 Bit
+0x000 Permanent : Pos 3, 1 Bit
+0x000 ExecuteDispatchEnable : Pos 4, 1 Bit
+0x000 ImageDispatchEnable : Pos 5, 1 Bit
+0x000 Spare : Pos 6, 2 Bits

Persze, ezek a bitek a DEP-hez kapcsolódnak, és úgy tűnik, hogy MmGetExecuteOptions azokat az adott struktúrából az argumentumként ProcessInformation átadott memóriahely megfelelő bitjeire NtQueryInformationProcessmásolja. Ezért úgy döntöttem, hogy lekérdezhetem egy folyamat NtQueryInformationProcess DEP-állapotát egy ProcessInformationClass 0x22 hívásával, egy DWORD (4 bájtos egész szám) címével és 4-nel. Úgy tűnik, hogy MmGetExecuteOptions csak az aktuális folyamat jelzőit adja vissza, és figyelmen kívül hagyja a ProcessHandle paramétert (a Folyamatkezelő lekérdezi a többi folyamat DEP-állapotát úgy, hogy a segédillesztője az KeAttachProcess API-n keresztül vált hozzájuk).

Végeztem, kivéve néhány apró különbséget a Windows 64 bites verziójában, mivel elérhetővé tettem a Process Explorer 64 bites verzióját. A 64 bites Windows MmGetExecuteOptions esetében a -1 értékre van szükség ProcessHandle , és hibát ad STATUS_INVALID_PARAMETER vissza, ha az aktuális folyamat 64 bites folyamat, mivel a DEP mindig be van kapcsolva a 64 bites folyamatokhoz. A Windbg-et használtam a Ntoskrnl.exe 64 bites verziójának szétszereléséhez, de azóta beszereztem az AMD64-lemezképek szétszerelését támogató IDA Pro verzióját.

INTERNALS TRAINING

WINDOWS-KAPCSOLATOK SAN FRANCISCÓBAN

Két előadást tartok a Windows Connections konferencián, amelyet a Windows IT Pro Magazine futtat, és amelyet április 17-20-án rendeznek San Franciscóban. Az egyik egy általános munkamenet úgynevezett "Understanding and Fighting Malware: Viruses, Spyware, and Rootkits", ahol leírom, hogy a kártevők hogyan használják ki a biztonsági réseket a biztonsági intézkedések propagálása és megkerülése érdekében, hogyan rejtik el kifinomult technikákkal, úgynevezett "rootkits" és hogyan lehet észlelni őket, és tisztítsa meg őket a rendszerből.

A másik szekció a "Windows memóriaproblémák elhárítása" című előadás, ahol bemutatom, hogyan válaszolhat a régi "mit jelentenek az értékek, amelyeket a Feladatkezelőben látok", "mi használja a memóriámat" és "mekkora legyen a lapozófájl" kérdések megválaszolása.

Töltse le a konferencia brosúrát, és regisztráljon a következő címen:
http://www.devconnections.com/shows/win/default.asp?s=60#

GYAKORLATI WINDOWS INTERNALS/SYSINTERNALS OSZTÁLYOK MARK RUSSINOVICH SZERINT

Töltsön 5 napot Mark Russinovich és David Solomon, a Windows Internals 4. kiadás új könyvének szerzőivel, aki fejlett hibaelhárítási technikákat tanul, miközben a Windows NT/2000/XP/2003 operációsrendszer-kernel belső részeibe kerül. Ha Ön informatikai szakember, aki Windows-kiszolgálókat és munkaállomásokat helyez üzembe és támogat, akkor képesnek kell lennie a felszín alá ásni, amikor a dolgok elromlanak. A Windows operációs rendszer belső elemeinek ismerete és a speciális hibaelhárítási eszközök használatának ismerete segít az ilyen problémák kezelésében és a rendszer teljesítményével kapcsolatos problémák hatékonyabb megértésében. A belső megoldások megértése segíthet a programozóknak a Windows platform előnyeinek jobb kihasználásában, valamint fejlett hibakeresési technikák biztosításában. És mivel a kurzust úgy fejlesztették ki, hogy teljes hozzáféréssel rendelkezik a Windows kernel forráskódjához és fejlesztőihez, tudja, hogy a valódi történetet kapja.

A közelgő dátumok a következők:

  • JÚNIUS 6-10, ORLANDO, FLORIDA
  • JÚLIUS 11-15, MÜNCHEN, NÉMETORSZÁG
  • SZEPTEMBER 19-23. SAN FRANCISCO, KALIFORNIA
  • DECEMBER 5-9. AUSTIN, TEXAS

MEGJEGYZÉS: Ez egy gyakorlati osztály - minden résztvevőnek saját laptopot kell hoznia (a konfigurációs utasításokat előre elküldjük).

Alapos ismereteket szerezhet a Windows NT/2000/XP/2003 kernelarchitektúrájáról, beleértve a folyamatok belső felépítését, a szálütemezést, a memóriakezelést, az I/O-t, a szolgáltatásokat, a biztonságot, a beállításjegyzéket és a rendszerindítási folyamatot. Emellett olyan speciális hibaelhárítási technikákat is ismertetünk, mint a kártevők fertőtlenítése, az összeomlási memóriakép (kék képernyő) elemzése és a korábbi rendszerindítási problémák elhárítása. A www.sysinternals.com (például a Filemon, a Regmon és a Folyamatkezelő) kulcsfontosságú eszközeivel kapcsolatos speciális tippeket is megismerhet a rendszer- és alkalmazásproblémák, például a lassú számítógépek, a vírusészlelés, a DLL-ütközések, az engedélyekkel és a beállításjegyzékkel kapcsolatos problémák elhárításához. Ezeket az eszközöket a Microsoft terméktámogatása napi rendszerességgel használja, és hatékonyan használják az asztali és kiszolgálói problémák széles körének megoldására, így a működésük és alkalmazásuk ismerete segít a Windows különböző problémáinak kezelésében. Valós példákat fogunk kapni, amelyek bemutatják ezeknek az eszközöknek a sikeres alkalmazását a valós problémák megoldásához.

A regisztrációhoz látogasson el a http://www.sysinternals.com/troubleshoot.shtml


Köszönjük, hogy elolvasta a Sysinternals hírlevelet.

Közzétéve: 2005. január 05. szerda, 16:36

[Hírlevelek archívuma ^] [< 6. kötet, 2. szám] [7. kötet, Különleges közlemény >]