[Arsip Buletin ^] [< Volume 2, Nomor 3] [Volume 2, Angka 5 >]

Buletin Internal Sistem Volume 2, Nomor 4

www.sysinternals.com
Hak Cipta © 2000 Mark Russinovich

30 Agustus 2000 - Dalam masalah ini:

  1. EDITORIAL

  2. APA YANG BARU DI SYSINTERNALS

    • ListDlls v2.23
    • HandleEx v2.26
    • ElogList v2.02
    • LoggedOn v1.1
    • Bluescreen v2.21
    • PageDefrag v2.01
    • LoadOrder v1.1
    • ClockRes v1.0
    • BgInfo v1.0
    • Di dalam Windows 2000, 3rd Ed.
    • Sysinternals di Microsoft

  3. INFORMASI INTERNAL

    • Kekuatan hak istimewa DEBUG
    • API baru di Win2K SP1?
    • WinDev 2000 Barat

  4. APA YANG AKAN TERJADI

    • Tokenmon

SPONSOR BERSAMA: PERANGKAT LUNAK WINTERNALS

Buletin Sysinternals disponsori oleh Winternals Software, di Web pada www.winternals.com. Winternals Software adalah pengembang dan penyedia alat sistem canggih terkemuka untuk Windows NT/2K. Produk Perangkat Lunak Winternals termasuk FAT32 untuk Windows NT 4.0, NTFSDOS Professional Edition (driver NTFS baca/tulis untuk DOS), dan Pemulihan Jarak Jauh.

Komandan ERD Winternals Software 2000 adalah rilis terbaru dalam lini produk Komandan ERD pemenang penghargaan. Fitur baru ERD Commander 2000, termasuk Registri bawaan dan editor file, menjadikannya alat pemulihan Windows NT dan Windows 2000 paling canggih yang ada. Anda dapat menginstal ERD Commander 2000 pada disket, CD-ROM, dan bahkan hard drive sistem untuk akses cepat, dan wizard penginstalannya membuat penambahan SCSI pihak ketiga dan driver penyimpanan massal lainnya sangat mudah. Komandan ERD 2000 adalah $ 349, atau hanya $ 49 untuk pemilik Profesional Komandan ERD yang ada. Cari tahu lebih lanjut dan unduh versi uji coba di www.winternals.com/products/erdcommander2000.shtml.

CO-SPONSOR: WINDOWS 2000 MAGAZINE

Majalah Windows 2000 berisi solusi praktis untuk orang-orang yang bekerja dengan Windows NT/2000 setiap hari. Pesan masalah sampel gratis sekarang dan tanpa risiko. Jika Anda memutuskan untuk melanjutkan langganan, Anda akan menerima 13 masalah lagi dengan diskon 40% dari harga kipas. Berlangganan hari ini di: http://www.win2000mag.com/sub.cfm?code=fs00inhs13

Halo semuanya,

Selamat datang di buletin Sysinternals. Buletin saat ini memiliki 25.000 pelanggan.

Saya menghabiskan banyak waktu di Regmon, Filemon dan DebugView, alat yang telah saya dan Bryce kembangkan di Sysinternals. Regmon adalah monitor akses Registri (www.sysinternals.com/regmon.htm), Filemon adalah monitor akses file (www.sysinternals.com/filemon.htm), dan DebugView adalah monitor output debug (www.sysinternals.com/dbgview.htm). Terkadang, saya akan menemukan aplikasi atau driver perangkat yang diinstal pada salah satu dari beberapa sistem saya yang menghasilkan aktivitas berkelanjutan yang terlihat di salah satu alat ini. Saya tidak berbicara tentang aktivitas yang diperlukan, namun tindakan yang dilakukan perangkat lunak biasanya bersifat berulang dan pemeriksaan jejak output mengungkapkan bahwa perangkat lunak menggunakan teknik polling di mana penggunaan beberapa mekanisme lain yang kurang mengganggu dimungkinkan.

Misalnya, berbagai pemindai virus komersial mengkueri file tanda tangan virus mereka beberapa kali sedetik untuk melihat apakah telah diperbarui. Salah satu sistem saya memiliki driver printer dari produsen printer utama yang terus menghasilkan pernyataan debug yang, melalui dimasukkannya kata "polling", mengiklankan bahwa mereka melakukan polling. Dalam salah satu contoh favorit saya, utilitas yang diiklankan sebagai meningkatkan performa sistem dari vendor utilitas utama meminta beberapa kunci Registri vendor beberapa kali sedetik. Contoh jenis lain dari pengodian ceroboh berada dalam adaptor jaringan dari vendor jaringan utama yang mencakup komponen perangkat lunak mode pengguna yang berisi titik henti debug tersemat yang terus melakukan perjalanan saat perangkat lunak dijalankan. Jika aplikasi perlu mendeteksi perubahan pada file, aplikasi dapat meminta pemberitahuan perubahan direktori. Demikian pula, jika perlu mendeteksi perubahan pada kunci Registri, itu dapat meminta pemberitahuan perubahan kunci, dan perangkat lunak komersial tidak boleh berisi output debug atau titik henti debug yang diaktifkan secara default.

Namun, mungkin contoh yang paling mengerikan adalah Layanan Program Media Microsoft Windows yang dibundel dengan Windows 2000 Server (\Winnt\System32\Windows Media\Server\Npsm.exe): ia membaca 2 KB \Winnt\System32\Windows Media\Server\ASDB\mdsas.mdb pertama dengan kecepatan sekitar 60 kali per detik pada sistem di mana tidak ada aktivitas (termasuk tidak ada media yang melayani). Tidak ada alasan untuk ini, terutama karena ini dapat berdampak buruk pada performa keseluruhan server.

Saya yakin bahwa jika Anda telah menggunakan Regmon, Filemon atau DebugView untuk waktu yang lama, Anda mungkin menemukan contoh serupa. Ketika Anda melihatnya, jangan hanya mengatur filter dan melupakannya, kirim email kepada vendor yang mengeluh tentang pemrograman mereka yang ceroboh.

Berikan buletin kepada teman yang menurut Anda mungkin tertarik dengan kontennya.

Terima kasih!

-Tanda

APA YANG BARU DI SYSINTERNALS

LISTDLLS V2.23

ListDLL adalah utilitas baris perintah yang menunjukkan informasi terperinci tentang DLL yang telah dimuat proses. Misalnya, ListDLL menampilkan alamat memori dasar, ukuran, versi, dan jalur lengkap setiap DLL. Versi baru ini menunjukkan baris perintah yang digunakan untuk meluncurkan proses, termasuk parameter apa pun yang diteruskan pada baris perintah. Ini dapat membantu Anda membedakan antara beberapa proses dan memecahkan masalah yang terkait dengan opsi baris perintah tertentu.

Unduh ListDLLs v2.23 di www.sysinternals.com/listdlls.htm.

HANDLEEX V2.26

HandleEx adalah aplikasi yang menyajikan informasi tentang handel dan proses DLL mana yang telah terbuka atau dimuat. Tampilannya terdiri dari dua sub-jendela. Bagian atas selalu menampilkan daftar proses aktif saat ini, termasuk nama akun pemiliknya, sedangkan informasi yang terungkap di jendela bawah tergantung pada mode handleEx berada di: jika HandleEx berada dalam mode handle, Anda akan melihat handel yang dipilih proses di jendela atas; jika dalam mode DLL, Anda akan melihat DLL dan file yang dipetakan memori yang telah dimuat proses.

Rilis terbaru HandleEx mencakup beberapa fitur baru. Pertama, seperti ListDLL, sekarang menampilkan baris perintah yang digunakan untuk meluncurkan proses saat Anda melihat properti proses.

Salah satu kekurangan HandleEx sebelum versi ini adalah bahwa, meskipun menampilkan nama akun di mana proses sistem dan proses sesi masuk Anda dijalankan, tidak dapat menghindari model keamanan Windows NT/2000 untuk menunjukkan pemilik proses yang dimulai dari akun pengguna lain (program Pview dari Windows NT/2000 Resource Kits juga menderita batasan ini). Ini sangat jelas di lingkungan NT 4 Terminal Server dan Windows 2000 Terminal Services, di mana HandleEx menunjukkan bahwa proses yang dimulai dari sesi pengguna lain memiliki pemilik yang tidak diketahui. HandleEx v2.26 menerapkan trik sehingga dapat menentukan akun pemilik untuk semua proses, tanpa terkecuali, menjadikannya alat yang ideal untuk lingkungan Layanan Terminal.

Fitur baru akhir HandleEx v2.26 memungkinkan Anda menutup paksa handel terbuka apa pun. Saya menambahkan fitur ini setelah menerima banyak permintaan untuk itu. Saya sarankan Anda menggunakannya dengan sangat hati-hati, namun, karena aplikasi umumnya tidak ditulis untuk mengharapkan bahwa handel mungkin tiba-tiba menjadi tidak valid, dan aplikasi dengan handel yang ditutup secara paksa dapat bereaksi tidak menentu atau crash sebagai akibatnya.

Unduh HandleEx v2.26 di www.sysinternals.com/handleex.htm.

ELOGLIST V2.02

Windows 2000 Resource Kit menyertakan alat bernama ELogDmp yang memungkinkan Anda membuang rekaman dari log peristiwa di komputer lokal atau jarak jauh. ELogList lebih kuat daripada ElogDmp karena juga memungkinkan Anda menentukan nama akun dan kata sandi opsional sehingga Anda dapat mengakses log peristiwa komputer dari akun yang berbeda dari yang Anda jalankan alatnya. Selain itu, sedangkan alat ElogDmp menunjukkan entri log peristiwa dalam bentuk mentahnya, membuat output sulit ditafsirkan, pembaruan ElogList ini memformat entri log peristiwa untuk menampilkan teks seperti yang muncul di Pemantau Peristiwa Windows NT/2000. Bahkan ketika Anda menampilkan log peristiwa dari sistem jarak jauh, ElogList menggunakan file pesan yang benar pada sistem jarak jauh untuk data string pemformatannya.

Unduh ElogList v2.02 di www.sysinternals.com/eloglist.htm.

LOGGEDON V1.1

LoggedOn adalah applet baris perintah memberi tahu Anda siapa yang masuk ke komputer tertentu, baik secara lokal atau melalui berbagi sumber daya. Pembaruan versi 1.1 memungkinkan Anda mencari jaringan untuk sesi masuk yang terkait dengan pengguna tertentu. Fitur ini berguna dalam situasi di mana Anda ingin melakukan pembaruan pada akun pengguna dan perlu memverifikasi bahwa pengguna saat ini tidak masuk.

Unduh LoggedOn v1.1 dengan sumber lengkap di www.sysinternals.com/misc.htm.

BLUESCREEN V2.21

Sebagian besar dari Anda sekarang tidak diragukan lagi terbiasa dengan pengaman layar Sysinternals Blue Screen yang terkenal, yang secara akurat menggambarkan crash dan boot ulang Windows NT atau Windows 2000. Sejak rilis awalnya, saya terus menerima permintaan dari pengguna Windows 9x yang ingin menjalankan penghemat layar di komputer mereka, jadi saya akhirnya memindahkannya ke Windows 9x. Pada Windows 9x, simulasi crash dan boot ulang Windows 2000.

Satu-satunya persyaratan untuk menggunakan pengaman layar Layar Biru Sysintenals pada Windows 9x adalah Anda mendapatkan salinan file Windows 2000 Ntoskrnl.exe untuk ditempatkan di \Windows\System direktori - Layar Biru memerlukan file untuk layar splash Windows 2000.

Sekarang Anda benar-benar dapat membingungkan pengguna Windows 9x yang tidak curiga yang kembali ke komputer mereka hanya untuk menemukan bahwa itu terjebak dalam siklus crash dan boot ulang Windows 2000!

Unduh Bluescreen Screen Saver v2.21 di www.sysinternals.com/bluescreen.htm.

PAGEDEFRAG V2.01

PageDefrag adalah utilitas defrag yang berjalan pada waktu boot untuk mendefragmentasi file halaman sistem dan sarang Registri Anda. PageDefrag adalah utilitas pertama yang dapat mendefragmentasi sarang Registri, tetapi karena rilisnya fungsionalitas telah ditambahkan ke beberapa defragger komersial. Namun, PageDefrag masih gratis, dan versi 2.01 berfungsi pada Windows 2000 serta Windows NT 4.

Jika Anda tertarik dengan antarmuka defrag yang disediakan oleh Windows NT 4 dan Windows 2000, Anda dapat mempelajarinya dan mengunduh kode sumber ke pendefrgmentasi file interaktif di www.sysinternals.com/defrag.htm. Sysinternals mendokumentasikan antarmuka defrag bertahun-tahun sebelum Microsoft menyertakannya dalam Platform SDK, dan beberapa defragmenter komersial menggunakan dokumentasi dan kode sampel kami.

Unduh PageDefrag v2.01 di www.sysinternals.com/pagedfrg.htm. Lihat dokumentasi antarmuka defrag di www.sysinternals.com/defrag.htm.

LOADORDER V1.1

Pernahkah Anda bertanya-tanya dalam driver perangkat pesanan dan layanan apa yang dimuat dan diinisialisasi? Sekarang Anda dapat dengan mudah mengetahuinya. LoadOrder adalah utilitas yang memproses informasi di bawah HKLM\System\CurrentControlSet\Services untuk membangun gambar driver dan urutan beban layanan.

Unduh LoadOrder v1.1 di www.sysinternals.com/misc.htm.

CLOCKRES V1.0

Dalam artikel saya tentang penjadwal, saya telah berbicara tentang fakta bahwa kuanta utas Windows NT/2000 (panjang giliran utas untuk dijalankan pada CPU) didasarkan pada resolusi jam sistem. Resolusi jam juga memengaruhi latensi peristiwa berbasis timer Windows. Artikel di www.sysinternals.com/timer.htm bahkan membahas cara aplikasi dapat memanipulasi resolusi jam. Pada sebagian besar SMP, resolusinya adalah 15ms, dan pada uniprocessor 10ms, nilai yang ditetapkan oleh SMP standar dan UNIPROCESSOR HALs (Hardware Abstraction Layer).

Meskipun sebagian besar sistem menggunakan nilai umum yang tercantum di atas, bagaimana Anda dapat menentukan resolusi jam aktual di komputer Anda? Jawabannya terletak pada GETSystemTimeAdjustment Win32 API, yang memberi tahu Anda apakah sistem menerapkan penyesuaian berkala pada jam waktu sehari. Kebetulan API ini juga mengembalikan interval jam. Applet ClockRes menggunakan API untuk memberi tahu Anda resolusi jam sistem.

Unduh ClockRes ditambah sumber di www.sysinternals.com/misc.htm.

BGINFO V1.0

Jika Anda adalah administrator yang bertanggung jawab atas beberapa server, Anda mungkin menghabiskan banyak waktu untuk membuka berbagai dialog informasi untuk mengingatkan diri Anda tentang nilai berbagai properti sistem seperti versi paket layanan yang diinstal, alamat IP, nama komputer, ukuran memori, dan kecepatan prosesor. Sekarang Anda dapat memiliki semua informasi ini dalam tampilan biasa di desktop setiap server menggunakan utilitas BgInfo yang dikembangkan Bryce.

Saat Anda menjalankannya, BgInfo membuat latar belakang desktop yang secara otomatis melaporkan berbagai karakteristik sistem yang berguna. Anda dapat menempatkan BgInfo di folder Mulai sehingga informasi tersedia untuk Anda setiap kali Anda masuk, dan Anda dapat memodifikasi data yang ditunjukkan BgInfo, bahkan menambahkan milik Anda sendiri. Dengan BgInfo terinstal di server Anda, Anda akan menghemat waktu yang Anda habiskan berulang kali mencari informasi yang mudah dilupakan.

Unduh BgInfo v1.0 di www.sysinternals.com/misc.htm.

DI DALAM WINDOWS 2000, EDISI KE-3

Buku resmi di internal Windows 2000 sekarang tersedia! Edisi ini, diautentikasi bersama oleh David Solomon (www.solsem.com) dan Mark Russinovich, lebih besar dari sebelumnya, dengan cakupan baru jaringan, plug-and-play, manajemen daya, layanan, Registri, WMI, boot dan shutdown, dan penyimpanan. Ini juga termasuk CD dengan beberapa alat canggih, tidak tersedia di tempat lain, untuk menyelidiki internal Windows 2000.

Lihat daftar isi buku dan pesan sekarang melalui www.sysinternals.com/insidew2k.htm.

SYSINTERNALS AT WWW.MICROSOFT.COM

Saya tidak memiliki artikel KB baru yang mereferensikan Sysinternals untuk dilaporkan, tetapi Microsoft telah menambahkan beberapa tautan profil tinggi yang cukup tinggi ke Sysinternals di bagian TechNet situsnya. Yang pertama adalah dalam "Tanyakan Kami Tentang... Kolom Keamanan" di www.microsoft.com/TechNet/security/au022800.asp, di mana kolumnis Joel Scambray memperingatkan pembaca bahwa NTFSDOS (www.sysinternals.com/ntfspro.htm) dapat digunakan oleh pengguna berbahaya untuk mengubah konten Active Directory Pengontrol Domain Windows 2000.

Referensi kedua ada di kolom "Inside Microsoft" di www.microsoft.com/technet/inside/default.asp. Kolom ini bergaya Tanya Jawab dan dimulai dengan dua pertanyaan yang terkait dengan menentukan aplikasi apa yang membuka file tertentu. Dalam perjalanan menjawab, di mana pembaca ditunjukkan pada HandleEx (www.sysinternals.com/handleex.htm) dan NtHandle (www.sysinternals.com/nthandle.htm), penulis artikel ("Mole") menyatakan ini tentang Sysinternals: "Hanya ada TON utilitas besar di sana yang tidak akan dikenakan biaya sepeser pun. Bahkan Lalat mengacu pada Sysinternals dari waktu ke waktu (Apa? Anda pikir mungkin Mole menyimpan semua informasi ini di kepalanya?). Sekali lagi, di sinilah ia akan mengirim Anda. Ini tentang sedekat mungkin dengan dukungan resmi situs oleh Microsoft seperti yang kita harapkan.

INFORMASI INTERNAL

KEKUATAN HAK ISTIMEWA DEBUG

Tidak seperti monitor output debug lainnya, termasuk dbmon, monitor debug-output Debug (www.sysinternals.com/dbgview.htm) saya memerlukan hak istimewa Administrator lokal untuk eksekusi, karena menginstal driver perangkat yang menangkap output debug mode kernel. Akibatnya, saya telah menerima puluhan email dari pengembang yang mengeluh bahwa manajemen mereka tidak akan memberi mereka hak istimewa administrator lokal, hanya hak istimewa Debug. Argumen berjalan bahwa hak istimewa Debug ada karena suatu alasan, dan semua pengembang aplikasinya perlu mengembangkan. Pengembang ini meminta saya untuk mengubah DebugView sehingga hanya menginstal driver jika pengguna memiliki hak istimewa administrator, dan jika tidak, hanya mengumpulkan output debug Win32.

Permintaan ini selalu membuat saya terkekeh, karena apa yang membuat argumen hak istimewa Debug gagal diwujudkan adalah bahwa hak istimewa ini membuka pintu untuk hak istimewa administrator lokal. Menggunakan hak istimewa Debug, pengembang dapat memiliki lampirkan debugger ke proses Otoritas Keamanan Lokal (LSASS) dan memanipulasinya sehingga memberi mereka hak istimewa administrator lokal pada login berikutnya. Atau mereka dapat menyuntikkan kode ke dalam proses apa pun yang berjalan di akun Sistem yang akan menambahkan akun mereka ke grup administrator lokal. Ketika saya menjelaskan hal ini kepada pengembang yang mengeluh, mereka kadang-kadang merespons bahwa manajemen mereka tidak membeli argumen. Sampai saat ini, saya belum memiliki apa pun bagi mereka untuk mengambil kembali ke manajemen mereka untuk membuat kasus mereka, tetapi ruam baru-baru ini dari email tersebut telah meminta saya untuk mengambil tindakan.

LogonEx, utilitas yang dapat Anda unduh di www.sysinternals.com/logonex.zip, secara grafis menunjukkan kloning hak istimewa Debug. LogonEx berfungsi pada Windows NT dan Windows 2000. Untuk menampilkannya dengan sebaik-baiknya, buat akun yang merupakan akun pengguna normal kecuali dengan penambahan hak istimewa "Program Debug". Keluar dan masuk di bawah akun tersebut dan jalankan LogonEx. Anda akan memerlukan file simbol untuk msv1_0.dll untuk penginstalan khusus Anda (pengembang biasanya memiliki simbol sistem yang diinstal), yang digunakan LogonEx untuk menemukan titik MsvpPasswordValidate masuk fungsi dan menambalnya. Setelah LogonEx membuat patch-nya, Anda akan dapat masuk ke sistem menggunakan akun apa pun tanpa menentukan kata sandi. Selesaikan demonstrasi dengan masuk sebagai administrator dan tambahkan akun yang Anda buat ke grup administrator lokal.

LogonEx hanyalah salah satu contoh bagaimana hak istimewa Debug memungkinkan pengembang untuk mengendalikan sistem, tetapi ada banyak yang lain. Saya harap LogonEx meyakinkan manajemen bahwa tidak masuk akal untuk tidak memberikan hak istimewa administrator lokal kepada pengembang (Catatan, bagaimanapun, bahwa saya tidak berbicara tentang hak istimewa administrator domain, yang merupakan cerita lain yang diberikan administrator lokal hanya melalui komputer mereka sendiri, bukan yang lain, sedangkan administrator domain memerintah jaringan).

API BARU DI WIN2K SP1?

Setelah banyak pengguna mengalami masalah dengan paket layanan (SP) NT 4 yang menyebabkan bug baru, Microsoft mengadopsi kebijakan tidak menyertakan fungsionalitas baru dalam SP untuk meminimalkan kemungkinan mereka akan memperkenalkan masalah baru saat memperbaiki yang lama. Atau begitulah yang kami pikirkan. Windows 2000 SP 1 baru-baru ini dirilis dan tampaknya tidak memiliki fungsionalitas baru. Namun, inspeksi terperinci Ntoskrnl.exe, file yang berisi komponen eksekutif dan kernel Windows 2000, dan Ntdll.dll, pustaka yang berisi NAtive API dan loader, mengungkapkan bahwa API baru melakukan debut di SP 1.

API baru terdiri dari fungsi-fungsi berikut:

   RtlTraceDatabaseAdd
   RtlTraceDatabaseCreate
   RtlTraceDatabaseDestroy
   RtlTraceDatabaseEnumerate
   RtlTraceDatabaseFind
   RtlTraceDatabaseLock
   RtlTraceDatabaseUnlock
   RtlTraceDatabaseValidate

Nama fungsi cukup deskriptif, jadi ini jelas API untuk peristiwa pengelogan. Aspek yang menarik dari API adalah bahwa implementasinya diduplikasi di Ntdll dan Ntoskrnl ini berbeda dari API Ntdll lainnya yang memanggil layanan implementasi di Ntoskrnl.

Pemeriksaan implementasi API menunjukkan bahwa itu digunakan seperti ini: aplikasi membuat database pelacakan, yang disimpan dalam memori virtual aplikasi, dan menambahkan entri ke database. Pada titik tertentu aplikasi dapat menghitung konten database, dan ketika selesai dengan database, aplikasi akan menghapusnya. Anehnya, tampaknya tidak ada cara untuk menghapus entri database.

Apa yang memanfaatkan API baru ini? Tidak ada yang diinstal pada penginstalan Windows 2000 Advanced Server saya yang cukup lengkap, sehingga tidak jelas bahwa apa pun tidak ada. Mungkin ini adalah API debug yang secara tidak sengaja disertakan dalam kode rilis SP 1.

Diterbitkan Rabu, 30 Agustus 2000 19:07 oleh ottoh

[Arsip Buletin ^] [< Volume 2, Nomor 3] [Volume 2, Angka 5 >]

  • Last updated on