[Archiwum biuletynów ^][< Wolumin 6, Numer 2][Tom 7, ogłoszenie >specjalne ]
System wewnętrzny biuletyn woluminu 7, numer 1
http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich
5 stycznia 2005 r. — w tym problemie:
REDAKCJI
- Masz program DEP?
WINDOWS INTERNALS, 4 WYDANIE
CO NOWEGO W SYSINTERNALS
- Statystyki listopada
- Artykuły dotyczące magazynu Sysinternals
- Kanał informacyjny RSS sysinternals
- Mark to MVP firmy Microsoft
- Autoruns v6.01
- Eksplorator procesów w wersji 8.61
- Sigcheck v1.0
- Bginfo v4.07
- Regjump v1.0
- Hex2dec v1.0
- Tcpvcon v2.34
- Aktualizacje PsTools
- Sysinternals w firmie Microsoft
INFORMACJE WEWNĘTRZNE
- Przeglądanie internetowe
- Używanie rozwiązania LiveKd do rozwiązywania problemów z systemami chorymi
- Creekside?
- Poprawka rejestru ChkReg
- Diagnostyka pamięci systemu Windows
- Badanie nieudokumentowanych interfejsów
SZKOLENIA WEWNĘTRZNE
- Połączenie windows w San Francisco
- Praktyczne klasy Windows Internals/Sysinternals Mark Russinovich i David Solomon
Biuletyn Sysinternals jest sponsorowany przez Winternals Software w sieci Web pod adresem http://www.winternals.com. Winternals Software jest wiodącym deweloperem i dostawcą zaawansowanych narzędzi systemów dla systemu Windows NT/2000/XP/2003.
Winternals z przyjemnością ogłasza nadchodzące wydanie Administracja istratora Pak 5.0 z kompleksową aktualizacją, w tym ERD Commander 2005.
Nowe funkcje w komanderze ERD 2005 obejmują:
- Analizator awarii: szybkie i łatwe diagnozowanie sterownika odpowiedzialnego za awarię systemu Windows — nawet jeśli system nie zostanie uruchomiony
- DiskWipe — bezpieczne wymazywanie dysków twardych lub woluminów; Autoruns: zobacz, które aplikacje zaczynają się od instalacji systemu Windows i logowania użytkowników — przydatne do diagnozowania problemów z zasobami systemu i znajdowania potencjalnego złośliwego oprogramowania
- FireFox Web Browser: pobieranie poprawek, aktualizacji sterowników, wyszukiwanie pomocy w bazie wiedzy Microsoft Knowledge Base — wszystko w systemie, który próbujesz naprawić
- Kreator dezinstalacji poprawek, który umożliwia usunięcie poprawek i dodatków Service Pack w systemie, który nie można uruchomić
- System File Repair, który sprawdza pliki systemowe systemu Windows pod kątem integralności.
Te funkcje, liczne ulepszenia i ulepszenia użyteczności dla ERD Commander 2005, a nowe łatwiejsze do skompilowania i używania klienta odzyskiwania zdalnego opartego na systemie Windows PE są dostępne pod koniec stycznia 2005 r. w nowym Administracja istratora Pak 5.0. Aby zarejestrować się w celu oceny Administracja istrator's Pak 5.0 po jego wydaniu, odwiedź stronęhttp://www.winternals.com/ap5preview/.
REDAKCJI
Witam wszystkich,
Witamy w biuletynie Sysinternals. Biuletyn ma obecnie 40 000 subskrybentów.
Rosnąca fala złośliwego oprogramowania, w tym programy szpiegujące i wirusy, ma wszystkich zaniepokojonych bezpieczeństwem. Dobre środki bezpieczeństwa obejmują utrzymanie systemu operacyjnego i poprawek aplikacji, instalowanie i konfigurowanie narzędzi do usuwania zapory, oprogramowania antywirusowego i programów szpiegujących oraz ocenianie podczas pobierania z Internetu lub otwierania załączników poczty e-mail. Pomimo dokładnych środków złośliwe oprogramowanie nadal może znaleźć sposoby skradania się przez obronę i zainfekować komputer. Najczęstszą luką w zabezpieczeniach systemu jest luka w zabezpieczeniach przepełnienia buforu i dlatego warto zapoznać się z funkcją zapobiegania wykonywaniu danych (DEP) dodatku Service Pack 2 systemu Windows XP.
Przepełnienie buforu to błąd programowania, z którego mogą korzystać złośliwe programy, aby przejąć kontrolę nad wątkiem, który wykonuje błąd kodowania. Przepełnienia buforu są zwykle oparte na stosie, co oznacza, że osoba atakująca daje programowi więcej danych niż zmieści się w buforze przechowywanym na stosie. Dane są spreparowane w taki sposób, że gdy funkcja z przepełnieniem próbuje powrócić do funkcji, z której została wywołana, zamiast tego powróci do lokalizacji w danych.
Niestety błędy przepełnienia buforu mogą nękać nawet najlepiej przetestowane i sprawdzone oprogramowanie. Wiele przepełnienia buforu jest ogłaszanych dla systemu Windows i jego oprogramowania składników co miesiąc (system Linux i jego aplikacje nie są odporne, z liczbą przepełnienia buforu na równi z systemem Windows). Typowym motywem dla większości luk w przepełnieniu buforu jest to, że powodują one wykonanie kodu umieszczonego w regionach pamięci, które powinny zawierać tylko dane.
Podczas gdy procesor Intel Itanium nie obsługuje ochrony przed wykonaniem z wydania, nie było to dopiero system Windows XP z dodatkiem SP2 (i nadchodzący system Windows Server 2003 z dodatkiem SP1), że system Windows rzeczywiście korzysta z tej obsługi sprzętu, na przykład oznaczanie stosów wątków i pamięci sterty jako nie wykonywalne. Inne procesory, które obsługują ochronę sprzętową bez wykonywania, obejmują 64-bitowe procesory AMD64 Opteron i Athlon 64 oraz klon intela o nazwie EM64T-teraz dostępne na procesorach Xeon i Pentium 4. Procesory AMD i Intel niedawno wprowadziły procesory 32-bitowe bez wykonywania: AMD Sempron i rodzinę Pentium 4 "J" (np. 520J, 540J itp.).
Może się wydawać oczywiste, że system Windows powinien domyślnie wymuszać ochronę bez wykonywania dla stosów i pamięci stert aplikacji, aby zapobiec przepełnieniu buforu, ale istnieje setki tysięcy istniejących aplikacji, z których niektóre mogą faktycznie polegać na ustawieniu, które nie jest wymuszane dla poprawnej operacji. W związku z tym system Windows XP z dodatkiem SP2, pierwsza wersja systemu Windows, która wymusza ochronę bez wykonywania, zapewnia administratorowi kontrolę nad tym, jakie procesy są chronione, a które nie. Po pierwsze, w decyzji mającej na celu poprawę bezpieczeństwa w przyszłości, 64-bitowa wersja systemu Windows zawsze wymusza flagi bez wykonywania dla wszystkich procesów 64-bitowych. Jeśli dostawca oprogramowania chce wydać 64-bitową aplikację, musi upewnić się, że nie wykonuje kodu z nie wykonywalnych regionów pamięci (może oznaczyć region danych jako plik wykonywalny, jeśli generuje kod na bieżąco, ponieważ aplikacje Java i .NET często wykonują).
Po drugie, ponieważ luki w przepełnieniu buforu są najczęściej przeznaczone dla składników systemu operacyjnego, 32-bitowych systemów Windows XP i Windows Server 2003 domyślnie chronić podstawowe obrazy systemu operacyjnego. Jednak w przypadku aplikacji 32-bitowych (działających w 32-bitowym systemie Windows lub 64-bitowym systemie Windows), system Windows XP domyślnie wybiera strategię "zgody" (aplikacje nie są domyślnie chronione), a ustawienia domyślne systemu Windows Server 2003 to "rezygnacja" (aplikacje są domyślnie chronione, ale można wykluczyć określone aplikacje). Ma to sens, ponieważ zabezpieczenia zazwyczaj mają wyższy priorytet w systemach serwerowych. Możesz zmienić ustawienia zgody lub rezygnacji w oknie dialogowym konfiguracji programu DEP, do którego uzyskujesz dostęp za pomocą przycisku Ustawienia w sekcji Wydajność na stronie Zaawansowane apletu Panelu sterowania systemu.
Jak wspomniano wcześniej, z wyjątkiem stosunkowo nowych procesorów AMD Sempron i Pentium 4 "J", wszystkie procesory zgodne x86 wydane do tej pory nie mają obsługi wykonania. Jednak systemy Windows XP i Windows Server 2003 implementują ograniczoną formę programu DEP dla tych procesorów o nazwie "program DEP". Ponieważ system operacyjny uzyskuje kontrolę nad wątkiem, gdy wątek generuje błąd, może upewnić się, że program obsługi błędów, który zostanie wykonany, jest tym, który jest statycznie zarejestrowany przez kod programu. Zapobiega to wykorzystaniu luki, która przekierowuje program obsługi błędów wątku w celu wykonania złośliwego kodu w przepełnionym buforze stosu, co wirus CodeRed spowodował, że usługi IIS zostały wydane w 2001 roku.
Pomimo względnej prostoty program DEP jest jedną z najsilniejszych mechanizmów obronnych, które system operacyjny oferuje w swojej tarczy przed samopropagacją złośliwego oprogramowania. Niestety, trzy elementy ograniczają swoją moc: brak obsługi sprzętu w większości aktualnie wdrożonych procesorów dla ustawienia bez wykonywania, domyślne ustawienie zgody w systemie Windows XP takie, że tylko podstawowe procesy systemu operacyjnego są chronione i brak świadomości. Program DEP oprogramowania jest ograniczony w zakresie, dlatego program DEP jest tylko nieznacznie skuteczny, chyba że korzystasz z systemu Windows na sprzęcie, który obsługuje brak wykonywania. Fakt, że system Windows XP domyślnie wyraża zgodę oznacza, że nawet gdy użytkownicy korzystają z systemu Windows na sprzęcie bez wykonywania, jedynymi procesami, które uzyskują ochronę w programie DEP, są te z systemu operacyjnego — jeśli w zaporze innej firmy występuje przepełnienie buforu, przeglądarka sieci Web, czytnik poczty e-mail lub inna aplikacja z obsługą sieci, nadal są narażone. W rzeczywistości niektóre aplikacje, które są najczęściej wykorzystywane przez złośliwe oprogramowanie, usługi IIS i program Outlook, nie są chronione w ramach ustawienia zgody. Na koniec, ponieważ większość osób nie jest świadoma swojego domyślnego zachowania, a nawet programu DEP, systemy w większości pozostają zagrożone problemami z przepełnieniem buforu.
Czas, w jaki firma Microsoft sprawia, że użytkownicy płacą cenę zgodności w zamian za lepsze bezpieczeństwo lub użytkownicy będą płacić znacznie wyższą cenę za rękę wirusów - i z kolei przekażą rachunek firmie Microsoft. W międzyczasie zdecydowanie polecam uaktualnienie do systemu Windows XP z dodatkiem SP2 (Windows XP 64-bit Edition i Windows Server 2003 z dodatkiem SP1 również ma obsługę bez wykonywania), przełącz się do zgody i uaktualnij do procesora bez obsługi wykonania (niestety, nie otrzymam prowizji).
Przekaż biuletyn do znajomych, którzy mogą cię zainteresować.
Dziękujemy.
-Mark
WINDOWS INTERNALS, 4 WYDANIE
Oficjalna książka firmy Microsoft na temat wewnętrznych systemów Windows Server 2003, Windows 2000 i Windows XP, które współtworzyłem z Dave Solomon, jest teraz dostępna w księgarniach. Dave i ja rozszerzyłem zasięg poprzedniej edycji o około 25%, dodając nowy materiał nie tylko w systemie Windows Server 2003 i XP zmiany, ale na narzędzia i techniki rozwiązywania problemów. Znajdziesz zaawansowane porady dotyczące korzystania z Eksploratora procesów, plikówmonów i regmonów oraz zupełnie nowego rozdziału na temat analizy zrzutu awaryjnego systemu Windows.
Dowiedz się więcej o zawartości i zamówieniu książki w witrynie
http://www.sysinternals.com/windowsinternals.shtml
CO NOWEGO W SYSINTERNALS
KANAŁ INFORMACYJNY RSS SYSINTERNALS
Mam żądanie dodania nowego mechanizmu powiadamiania publikowania do Sysinternals tak często, że w końcu poszedłem za trendem internetowym i dodał kanał informacyjny RSS (jeśli nie znasz kanałów informacyjnych RSS, oto dobry element primer: http://rss.softwaregarden.com/aboutrss.html). Kanał informacyjny daje mi również możliwość powiadomienia o drobnych poprawkach usterek i aktualizacjach, które nie uzasadniają pełnej listy na pierwszej stronie. Wygląda to już na preferowany sposób, aby ludzie nauczyli się aktualizacji na podstawie liczby trafień, które kanał informacyjny otrzymuje dziennie.
Uzyskaj dostęp do kanału informacyjnego RSS Sysinternals pod adresem:
http://www.sysinternals.com/sysinternals.xml
ARTYKUŁY MAGAZYNU SYSINTERNALS
Około sześciu miesięcy temu zacząłem tworzyć półmiesięczna kolumna w magazynie Windows IT Pro Magazine (dawniej Windows i .NET Magazine) na narzędziach Sysinternals. Każda kolumna opisuje inne narzędzie, udostępniając wskazówki dotyczące zaawansowanego użycia i informacji na temat sposobu ich działania.
Spośród trzech, które zostały opublikowane, wymienionych poniżej, pierwsze dwa są dostępne online przez nieskrybenci, a trzeci będzie wkrótce:
Autoruns: http://www.win2000mag.com/Windows/Article/ArticleID/44089/44089.html
Pslist i Pskill: http://www.winnetmag.com/Windows/Article/ArticleID/43569/43569.html
Psexec: http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html
MARK TO MVP FIRMY MICROSOFT
Lider zespołu Microsoft Most Valuable Professional (MVP) zestawu SDK platformy nazwał mnie MVP na 2005 roku. Jestem mu wdzięczny i firmie Microsoft za to oficjalne uznanie wkładów, które złożyłem klientom firmy Microsoft z usługą Sysinternals.
LISTOPADOWE STATYSTYKI
W końcu mam przyzwoity program analizy ruchu internetowego dla sysinternals i przeanalizował pliki dziennika na miesiąc listopada. Wielkość liczb zdumiona nawet ja. Oto kilka najważniejszych informacji:
- 3,6 mln wyświetleń stron
- 775 000 unikatowych odwiedzających
- 1,2 mln pobrań narzędzi
- 200 000 plików do pobrania w Eksploratorze procesów, pobieranie pliku #1
AUTORUNS V6.01
Autoruns ewoluował wiele w ciągu ostatnich kilku miesięcy z dwoma głównymi aktualizacjami numerów wersji. W najnowszej wersji funkcji Autoruns są wyświetlane lokalizacje automatycznego uruchamiania oprócz standardowych folderów Uruchamiania i uruchamiania, w tym biblioteki DLL powiadomień Winlogon, paski narzędzi Eksploratora, rozszerzenia przestrzeni nazw i obiekty pomocnika przeglądarki oraz biblioteki DLL automatycznego inicjowania. Kolejna nowa funkcja, element menu Google (pożyczony z Eksploratora procesów) pomaga zidentyfikować nieznane obrazy, otwierając przeglądarkę i inicjując wyszukiwanie wybranej nazwy obrazu.
Kolejna nowa funkcja, weryfikacja podpisywania obrazów, może pomóc w odróżnieniu od składników złośliwego oprogramowania i składników systemowych lub zaufanych aplikacji. Firma Microsoft zazwyczaj zawiera skróty plików systemu operacyjnego, które są podpisane przy użyciu prywatnego klucza podpisywania firmy Microsoft. Funkcje kryptograficzne systemu Windows odszyfrowywają podpisane skróty przy użyciu publicznego klucza podpisywania firmy Microsoft i autoruns weryfikują obrazy w systemie, porównując ich skróty z odszyfrowaną wersją, prefiksując nazwę firmy obrazu z wartością "(Zweryfikowane)" w przypadku dopasowania. Jeśli obraz został naruszony, uszkodzony, zastąpiony lub ma skrót podpisany przez wydawcę, który nie jest zaufany przez system, autoruns zgłasza nazwę firmy dla obrazu jako "(Nie zweryfikowano)".
Administrator systemów może chcieć sprawdzić obrazy automatyczne na kontach innych niż zalogowany, więc autoruns zawiera teraz menu Użytkownik z wyborami dla każdego konta, które ma profil przechowywany na komputerze.
Na koniec istnieje teraz odpowiednik wiersza polecenia interfejsu UŻYTKOWNIKA Autoruns o nazwie Autorunsc, który wyświetla informacje autoruns do konsoli. Możliwość formatowania danych wyjściowych jako csv w połączeniu z narzędziem PsExec sysinternals ułatwia generowanie spisów skonfigurowanych obrazów automatycznego uruchamiania dla komputerów w całej sieci.
Pobierz autoruns pod adresem
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml
PROCESS EXPLORER V8.61
Po raz kolejny Eksplorator procesów, narzędzie, które zastępuje Menedżera zadań jako zaawansowane narzędzie do zarządzania procesami, było narzędziem, na którym najbardziej się skupiłem, i to dlatego, że dostaję tyle opinii. Od czasu ostatniego biuletynu Process Explorer przeszedł z wersji 8.4 do 8.6. Mnóstwo nowych funkcji oznacza te dwie wersje, w tym element menu Google, który inicjuje wyszukiwanie informacji o wybranym procesie, kartę ciągów w oknie dialogowym właściwości procesu, który wyświetla listę ciągów ASCII i Ciągi Unicode obecnych w pliku obrazu procesu, wpis menu ciągów, który wyświetla ciągi w wybranym pliku obrazu DLL, oraz nazwa najbardziej zużywającego procesora CPU procesu w etykietce narzędzia, która jest wyświetlana po umieszczeniu wskaźnika myszy na ikonie paska zadań Eksploratora procesów.
Wiele osób zażądało funkcji, których brakowało podczas przełączania z Menedżera zadań, na przykład na karcie Aplikacje Menedżera zadań. Karta Aplikacje zawiera listę okien najwyższego poziomu na pulpicie interaktywnym wraz ze stanem wątku, który jest właścicielem każdego okna: "Uruchomiono", jeśli wątek oczekuje obecnie na odebranie komunikatu systemu Windows lub przetworzył komunikat systemu Windows w ciągu ostatnich pięciu sekund, a "nie odpowiada" w przeciwnym razie (jak na ironię, oznacza to, że "uruchomiono" oznacza, że wątek oczekuje i "nie odpowiada", że działa). Teraz możesz uzyskać te same informacje w Eksploratorze procesów, dodając kolumny "Tytuł okna" i "Stan okna" do widoku procesu.
Eksplorator procesów ma funkcje przeznaczone dla procesów at.NET od jakiegoś czasu, w tym wyróżnianie procesów platformy .NET i kartę Wydajność platformy .NET w oknie dialogowym właściwości procesu procesów platformy .NET. Proces platformy .NET to proces, który został załadowany i zarejestrowany w środowisku uruchomieniowym platformy .NET. Jeśli proces rejestruje się czasami po uruchomieniu Eksploratora procesów może nie zdawać sobie sprawy, że jest to proces platformy .NET, ale najnowsza wersja ponownie wyszukuje procesy pod kątem członkostwa w stanie platformy .NET i obiektu zadania podczas ręcznego odświeżania ekranu, naciskając przycisk odświeżenia paska narzędzi, klawisz F5 lub wybierając element menu Odśwież.
W sytuacjach, gdy nie masz pewności, jaki proces jest właścicielem okna, możesz użyć nowego przycisku paska narzędzi wyszukiwania okien, aby go zidentyfikować. Wystarczy przeciągnąć przycisk paska narzędzi, który wygląda jak element docelowy, z paska narzędzi i na danym oknie, a Eksplorator procesów wybiera proces będący właścicielem w widoku procesu.
Dodanie, które będzie natychmiast oczywiste, to wykres mini-CPU, który jest wyświetlany w pobliżu paska narzędzi. Ten wykres przedstawia historię użycia procesora CPU systemu i podobnie jak rozszerzona wersja uzyskana po kliknięciu go, aby otworzyć okno dialogowe Eksploratora procesów Informacje o systemie, przedstawia etykietkę narzędzia zawierającą sygnaturę czasową i najwyższy proces zużywania procesora CPU dla punktu na grafie, nad którym przesuwasz mysz. Wykres można przenieść do dowolnego miejsca w obszarze paska narzędzi, nawet w jednym wierszu, tak aby rozciągał się na szerokość okna Eksploratora procesów.
Dwie funkcje związane z zabezpieczeniami to weryfikacja podpisywania obrazów i stan ochrony przed wykonywaniem danych (DEP). Po włączeniu opcji podpisywania obrazu Eksplorator procesów sprawdzi, czy obraz procesu został podpisany cyfrowo przez zaufanego osoby podpisującego i, na przykład Autoruns, prefiks nazwy firmy w oknie dialogowym właściwości procesu z wartością "Zweryfikowano" lub "Nie zweryfikowano". Opcja jest domyślnie wyłączona, ponieważ sprawdzanie podpisywania obrazu może potrwać kilka sekund, ponieważ sprawdzanie przechodzi do witryn internetowych w celu sprawdzenia poprawności certyfikatów podpisywania.
Program DEP opisany w tym biuletynie jest czymś, co należy włączyć w systemie Windows XP z dodatkiem SP2 w celu zapewnienia rozszerzonej ochrony przed programami wykorzystującymi przepełnienie buforu. Stan programu DEP procesu można sprawdzić, dodając kolumnę "Stan programu DEP" do widoku procesu lub sprawdzając pole "Stan programu DEP" na stronie obrazu okna dialogowego właściwości procesu.
Na koniec Eksplorator procesów wyświetla teraz sterowniki załadowane do systemu w widoku DLL procesu systemowego, który jest procesem skojarzonym z wątkami procesów roboczych jądra i sterownika urządzenia. Te same informacje są dostępne dla każdego sterownika co w przypadku bibliotek DLL wymienionych dla innych procesów, w tym wersji, nazwy firmy, pełnej ścieżki i adresu ładowania w przestrzeni adresowej systemu.
Pobierz Eksploratora procesów pod adresem
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
SIGCHECK V1.0
Wiele narzędzi Sysinternals wdraża funkcje, które ułatwiają użytkownikom identyfikowanie złośliwego oprogramowania i Sigcheck jest narzędziem wiersza polecenia skoncentrowanym prawie wyłącznie na tym celu. Używa ona tej samej funkcji weryfikacji podpisywania obrazu zawartej w autoruns i Eksploratorze procesów, aby poinformować, czy plik został podpisany cyfrowo przez zaufanego wydawcę. Ponadto raportuje informacje o wersji pliku dla określonego obrazu lub obrazów, w tym nazwę produktu, opis, nazwę firmy i wersję. Te informacje są podobne do tych, które narzędzie Filever dostarczane z raportami systemu Windows XP i Windows Server 2003, ale Sigcheck zgłasza również sygnaturę czasową, gdy plik został pierwotnie "połączony" lub utworzony dla niepodpisanych obrazów, oraz sygnaturę czasową podpisywania obrazu dla tych, które zostały podpisane. Na koniec większość podpisanych skrótów jest podpisana przy użyciu kluczy, które zostały podpisane, czyli sekwencji tworzącej łańcuch podpisywania certyfikatów. Sigcheck obsługuje opcję wiersza polecenia, która kieruje go do drukowania łańcucha podpisywania z informacjami o każdym z podpisujących w łańcuchu.
Jednym z potencjalnych zastosowań zabezpieczeń sigcheck jest zbadanie wszelkich niepodpisanych .exe .dll lub .sys obrazów w dowolnym z katalogów w katalogu głównym instalacji systemu Windows (zazwyczaj \Windows). Możesz łatwo zidentyfikować niepodpisane obrazy .exe, uruchamiając polecenie Sigcheck za pomocą tego wiersza polecenia, na przykład:
sigcheck -s -u c:\windows\*.exe
Wszystkie obrazy firmy Microsoft powinny zawierać prawidłowe podpisy, ale powyższe polecenie niestety ujawni, że wiele z nich nie powoduje wykorzystania plików, które mogą być potencjalnie wykorzystywane w celu ukrycia złośliwego oprogramowania.
Pobierz sigcheck na
http://www.sysinternals.com/ntw2k/source/misc.shtml
BGINFO V4.07
Ta pomocnicza aktualizacja bginfo — narzędzie, które wyświetla informacje skonfigurowane na pulpicie komputera, na którym jest uruchamiany w celu łatwego wyświetlania, ma lepszą obsługę map bitowych, które muszą być rozciągnięte w celu dopasowania do określonego rozmiaru, ulepszenia wykrywania procesora CPU, obsługę programu MySQL i ulepszoną zgodność wyświetlania z wieloma monitorami.
Pobierz aplikację Bginfo pod adresem
http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml
REGJUMP V1.0
Jeśli kiedykolwiek chcesz utworzyć skróty Eksploratora do określonych kluczy rejestru lub po prostu wprowadzić ścieżkę klucza i otworzyć regedit w lokalizacji docelowej, znajdziesz regjump przydatne. Regjump to narzędzie wiersza polecenia, które korzysta z tej samej technologii "jump-to" rejestru, którą wprowadziliśmy w regmonie. Nadaj regjump ścieżki rejestru jako argument wiersza polecenia, a regedit otworzy i przejdzie do określonego klucza lub wartości.
Pobierz plik Regjump na
http://www.sysinternals.com/ntw2k/source/misc.shtml
HEX2DEC V1.0
Praca z debugerami i dezasemblowaniem często uważam, że muszę konwertować szesnastkowe na dziesiętne i odwrotnie. W końcu zmęczyłem się otwarciem obliczenia, wprowadzeniem liczby, a następnie przełączeniem bazy w celu wyświetlenia konwersji i dlatego napisałem małe narzędzie konwersji wiersza polecenia. Kod szesnastkowy konwertuje w obu kierunkach i wygodnie identyfikuje dane wejściowe jako szesnastkowe, jeśli ma prefiks "0x" lub "x" lub zawiera litery "a"-"f" (bez uwzględniania wielkości liter).
Pobierz plik Hex2dec na
http://www.sysinternals.com/ntw2k/source/misc.shtml
TCPVCON V2.34
Netstat to narzędzie wiersza polecenia wbudowane w system Windows NT i nowsze, które pokazuje aktualnie aktywne punkty końcowe TCP i UDP w systemie. Wersja firmy Microsoft wprowadzona w systemie Windows XP zawiera przydatne informacje: identyfikator procesu (PID) procesu, który otworzył każdy punkt końcowy. Jednak aby określić nazwę procesu lub inne informacje o nim, musisz otworzyć narzędzie do wyświetlania listy procesów i znaleźć proces z tym identyfikatorem PID.
TCPView to aplikacja interfejsu GUI Sysinternals, która wyświetla te same aktywne informacje o punkcie końcowym, ale znacznie wygodniej niż Netstat, ponieważ zawiera nazwę procesu, szybko przełącza się między nazwami DNS i nieprzetworzonymi adresami IP oraz wyróżnia kolory nowych i usuniętych punktów końcowych. Pobieranie tcpView obejmuje teraz TCPVCon, wersję konsoli TCPView, dla tych, które lubią używać interfejsów wiersza polecenia. W przeciwieństwie do netstat, TCPVCon wyświetla pełną ścieżkę procesu skojarzonego z każdym punktem końcowym i zawiera przełącznik, który zrzutuje dane wyjściowe w formacie CSV.
Pobierz plik Tcpvcon pod adresem
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
AKTUALIZACJE NARZĘDZIA PSTOOLS
PsKill i PsLoglist to dwa narzędzia PsTools, które zyskały ulepszenia w ciągu ostatnich kilku miesięcy. PsKill, narzędzie wiersza polecenia, które kończy procesy w lokalnym lub zdalnym systemie, obsługuje -t teraz przełącznik, aby można było zakończyć całe drzewo procesów. Wiele osób poprosiło o tę opcję, aby ułatwić czyszczenie uciekanych drzew wsadowych skryptów.
PsLoglist to narzędzie wiersza polecenia, które zrzutuje dzienniki zdarzeń w systemach lokalnych lub zdalnych. Najnowsze aktualizacje dodały 5 opcji do swojej długiej listy kwalifikatorów wiersza polecenia. Nowe argumenty umożliwiają wykluczenie określonych typów zdarzeń lub źródeł zdarzeń z danych wyjściowych lub tylko zdarzeń zrzutu z ostatnich kilku minut lub godzin. Teraz obsługuje również tryb monitorowania dziennika zdarzeń, w którym jest uruchamiany do momentu jego zakończenia, drukowania rekordów dziennika zdarzeń podczas ich generowania.
Pobierz narzędzia PsTools, w tym PsKill i PsLoglist, na
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml
SYSINTERNALS AT WWW.MICROSOFT.COM
Oto najnowsza wersja odwołań sysinternals w artykułach bazy wiedzy Microsoft Knowledge Base (KB) wydanych od ostatniego biuletynu. Spowoduje to 63 łączną liczbę publicznych odwołań KB do programu Sysinternals.
POPRAWKA: Odtwarzacz multimedialny Windows serii 9 dla systemu Windows często uzyskuje dostęp do rejestru i może mieć wpływ na wydajnośćhttp://support.microsoft.com/?kbid=886423
Omówienie aktualizacji zabezpieczeń GDI+ 1.0 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/gdiplus10security.asp
Edytowanie http://support.microsoft.com/default.aspx?scid=kbrejestru ; en-gb; 835818
Podczas próby uzyskania dostępu do widoku http://support.microsoft.com/default.aspx?scid=kbprojektu zostanie wyświetlony komunikat o błędzie "Brak informacji do wyświetlenia w tym widoku"; en-us; 810596
INFORMACJE WEWNĘTRZNE
PRZEGLĄDANIE INTERNETU
Około rok temu ogłosiłem, że przeszedłem z IE do Mozilla, ponieważ IE brakowało funkcji uważanych za obowiązkowe dla przyzwoitej przeglądarki internetowej, jak blokowanie wyskakujących okienek, przeglądanie kart, automatyczne wypełnianie formularzy i filtrowanie reklam. Niedługo potem ktoś wskazał mnie w Awangardy Browser, mały download, który używa IE (nie jest własną przeglądarką), aby dać to wszystko i więcej. Clunky UI Mozilla i brak zgodności z niektórymi witrynami często podjąłem decyzję o przełączeniu się łatwo. Chociaż nowa wersja FireFox jest lepsza w obu względach, nadal istnieją pewne niezgodne witryny (na przykład Windows Update), a więc nie zostałem zmuszony do ponownego przełączenia.
Powolne postępy firmy Microsoft w ulepszaniu programu IE, nawet w świetle skromnych ulepszeń systemu Windows XP z dodatkiem SP2 w systemie IE, powinny zawstydzić je zakupem Przeglądarki Awangardy i zbudowaniem go w następnej wersji programu IE.
Pobierz przeglądarkę Awangarda pod adresem: http://www.avantbrowser.com
ROZWIĄZYWANIE PROBLEMÓW Z SYSTEMAMI CHORYMI PRZY UŻYCIU NARZĘDZIA LIVEKD
LiveKd to narzędzie, które napisałem dla 3. edycji Inside Windows 2000 (jest to teraz narzędzie freeware na Sysinternals). Umożliwia użycie narzędzia Windbg lub Kd pakietu Microsoft Debugging Tools for Windows do wykonywania poleceń debugowania zwykle używanych do badania zrzutów awaryjnych i zamrożonych systemów w systemie, który jest w trybie online i aktywnym. Firma Microsoft wprowadziła podobną funkcję o nazwie "lokalne debugowanie jądra" dla narzędzi debugowania podczas uruchamiania w systemie Windows XP i nowszych wersjach. Istnieje kilka czynności, które można wykonać za pomocą rozszerzenia LiveKd, jednak nie można przeprowadzić lokalnego debugowania jądra. Na przykład nie można przyjrzeć się stosom wątków trybu jądra z lokalnym debugowaniem jądra i poleceniem list-kernel modules, wyświetla tylko jądro systemu operacyjnego, lm ka nie inne sterowniki ładowania podczas wykonywania w lokalnym debugowaniu jądra. Oba polecenia działają wewnątrz elementu LiveKd.
Innym poleceniem, które nie działa w lokalnym debugowaniu jądra, ale w funkcji LiveKd, jest .dump. Nauczyłem się od inżyniera usług pomocy technicznej firmy Microsoft (PSS), że .dump polecenie może być przydatne do rozwiązywania problemów z chorym systemem. Komputer, na którym występują problemy, ale dostarczanie usług, takich jak sieć Web lub baza danych, może nie być kandydatem do ponownego uruchomienia lub tradycyjnego debugowania, w którym system jest wstrzymany podczas badania. Uruchomienie pliku LiveKd i wykonanie zrzutu powoduje wyświetlenie pliku w formacie zrzutu awaryjnego, który zawiera zawartość pamięci fizycznej systemu. Plik zrzutu można przełączyć na inną maszynę i przeanalizować stan systemu operacyjnego i aplikacji usług, ładując plik zrzutu do windbg lub Kd, co pozwala uniknąć awarii podczas analizowania przyczyny problemu.
Pobierz plik LiveKd pod adresem
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml
CREEKSIDE?
Ostatnio badałem inicjację systemu Windows XP z dodatkiem Service Pack 2 winlogon, proces systemowy odpowiedzialny za prezentowanie interfejsu użytkownika logowania, kiedy natknąłem się na kod w dezasemblacji, gdzie Winlogon sprawdza obecność biblioteki DLL o nazwie ediskeer.dll w \Windows\System32 katalogu, zapewnia, że jego cyfrowo podpisany przez zaufanego użytkownika, jeśli istnieje, a następnie ładuje ją i wywołuje nienazwaną funkcję wyeksportowaną przez bibliotekę DLL. Kod Winlogon wykonywany, gdy ktoś loguje się do systemu, wywołuje również bibliotekę DLL, jeśli został załadowany podczas inicjowania.
Szukałem biblioteki DLL w moim systemie i nie znalazłem go, a także nie jest obecny na dysku CD dodatku Service Pack 2. Więc co to jest biblioteka DLL? Używając symboli debugowania dostarczanych przez firmę Microsoft dla systemu operacyjnego, widziałem Winlogon skonfigurować zmienną o nazwie "Creekside", jeśli ediskeer.dll jest obecny i podpisany, a następnie zdałem sobie sprawę, że "ediskeer" składa się z ostatnich 8 liter "creekside" w odwrotnej kolejności. Nadal nie jestem pewien, co Creekside odnosi się do, ale zdecydowanie podejrzewam, że BIBLIOTEKA DLL jest taka, która jest dostarczana tylko z Windows XP Starter Edition, taniej wersji systemu Windows XP, że Microsoft niedawno wprowadzone dla krajów rozwijających się. Wersja starter jest oparta na tym samym rdzeniu systemu operacyjnego co Windows XP Professional i Home Edition, ale nakłada limity na liczbę aplikacji, które użytkownik może jednocześnie uruchomić. Jeśli jestem poprawny, winlogon ładuje bibliotekę DLL, aby wymusić ten limit, aktywując go za każdym razem, gdy nowy użytkownik loguje się.
POPRAWKA REJESTRU CHKREG
Przez lata Bryce i ja dostałem wiele żądań dla analogii rejestru dla Chkdsk, narzędzie sprawdzania spójności systemu plików. Nigdy nie napisaliśmy jednego, ponieważ czuliśmy, że publiczność dla jednego jest zbyt mała, aby uzasadnić wysiłek. Około rok temu firma Microsoft wydała mało znaną Chkreg, Chkdsk dla rejestru, która naprawia wiele typów uszkodzenia rejestru.
Niestety, Chkreg jest obsługiwany tylko w systemie Windows 2000 (może również działać w rejestrach systemu Windows NT 4 i Windows XP) i jest implementowany jako "natywna" aplikacja, która używa natywnego interfejsu API zamiast interfejsu API systemu Windows i dlatego nie będzie działać w systemie Windows. Po pobraniu go musisz zainstalować go w zestawie sześciu dyskietek rozruchowych instalacji systemu Windows, żmudny i czasochłonny romans. Skontaktowaliśmy się z deweloperami Chkreg i zachęciliśmy ich do publicznego wydania wersji systemu Windows, którą dowiedzieliśmy się, że usługi pomocy technicznej firmy Microsoft (PSS) używają w firmie, ale nie mają żadnego słowa na temat tego, kiedy lub kiedy go wydają.
Możesz pobrać aplikację Chkreg na stronie
http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en
DIAGNOSTYKA PAMIĘCI SYSTEMU WINDOWS
Jednym z najbardziej frustrujących środowisk dla użytkownika systemu Windows jest system awarii. W większości przypadków błąd to sterownik urządzenia innej firmy, który można naprawić, wyłączając sterownik lub aktualizując wersję przy użyciu poprawki. Około 10% awarii zgłoszonych w usłudze Microsoft Online Crash Analysis (OCA) jest spowodowanych problemami sprzętowymi, z których większość jest związana z dyskiem i pamięcią.
Jeśli wystąpi awaria, której analiza OCA nie może zdiagnozować lub podejrzewasz problem z pamięcią, należy poświęcić kilka minut na diagnostykę pamięci systemu Microsoft Windows (WMD), narzędzie do sprawdzania pamięci niedawno wydane przez firmę Microsoft. Instalator WMD prosi o dyskietkę lub dysk CD, do którego zapisuje program WMD. Podczas rozruchu maszyny z dyskietki lub dysku CD, który został utworzony WMD działa i wykonuje dokładny test pamięci komputera, raportowanie jego postępu i wszelkich problemów na ekranie. Jeśli masz błędy pamięci WMD, możesz zaoszczędzić frustrację niekończących się awarii systemu Windows.
Diagnostykę pamięci systemu Windows można pobrać na stronie http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en
BADANIE NIEUDOKUMENTOWANYCH INTERFEJSÓW
Funkcja stanu programu DEP opisana w sekcji dotyczącej ulepszeń Eksploratora procesów we wcześniejszej części biuletynu opiera się na funkcji nieudokumentowanej. Myślałem, że wielu z was interesuje się tym, jak odkryłem, bez dostępu do kodu źródłowego systemu Windows (Dave Solomon, mój współtworzenie wewnętrznych systemu Windows, ma dostęp, ale nie), funkcji i jej odpowiedniego użycia.
Pierwszym krokiem w procesie analizy było hipoteza, że zapytanie o stan programu DEP dla procesu będzie kierowane przez NtQueryInformationProcess interfejs API. Wiele funkcji interfejsu API systemu Windows, które pobierają informacje o procesie, używają interfejsu NtQueryInformationProcess do uzyskiwania informacji. Ta funkcja, która jest prototypowana w pliku Ntddk.h zestawu Windows Driver Development Kit (DDK), jest dostępna z trybu użytkownika za pośrednictwem interfejsu wywołania systemowego "natywnego interfejsu API":
NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
IN HANDLE ProcessHandle,
IN PROCESSINFOCLASS ProcessInformationClass,
OUT PVOID ProcessInformation,
IN ULONG ProcessInformationLength,
OUT PULONG ReturnLength OPTIONAL
);
Jego pierwsze dwa argumenty to uchwyt procesu i "klasa informacji o procesie". Wyliczenie PROCESSINFOCLASS, z których pokazano poniżej kilka pierwszych definicji, znajduje się również w zestawie NTDDK. H:
typedef enum _PROCESSINFOCLASS {
ProcessBasicInformation,
ProcessQuotaLimits,
ProcessIoCounters,
ProcessVmCounters,
ProcessTimes,
//...
Ponieważ program DEP został wprowadzony w systemie Windows XP z dodatkiem SP2, nie spodziewałem się, że klasa informacji dla zapytań PROGRAMU DEP będzie wyświetlana w wersjach systemu Windows XP lub Windows Server 2003 Ntddk.h, a szybkie sprawdzenie potwierdziło jego brak. Dlatego musiałem zbadać dezasemblacji Ntoskrnl.exe SP 2, obraz, w którym NtQueryInformationProcess jest zaimplementowany, aby sprawdzić, czy mogę określić klasę informacji o kwerendzie PROGRAMU DEP empirycznie.
Dezasemblator pobiera obraz wykonywalny i wyświetla instrukcje języka zestawu, które składają się na jego kod. Instrukcje dotyczące języka zestawów są mapowane bezpośrednio na instrukcje wykonywane przez procesor. Dezasemblator używany przeze mnie jest IDA Pro, http://www.datarescue.com ponieważ rozumie pliki informacji o debugowaniu firmy Microsoft i zintegruje informacje z danymi wyjściowymi języka zestawu. W dezasemblacji odkryłem zawiłą sekwencję instrukcji na początku NtQueryInformationProcess, które przyjmują parametr klasy informacji o procesie i wykonuje kod specyficzny dla każdej klasy. Ponieważ wiedziałem, że klasa informacyjna była nowa, mogę pominąć wykonywanie klas, dla których widziałem definicje w wyliczenie Ntddk PROCESSINFOCLASS . To zawęziło moje badanie do około 3 lub 4 nowych klas wprowadzonych od wydania systemu Windows XP.
Jedna z klas, która odpowiada ProcessInformationClass wartości 0x22, zabrała mnie przez ścieżkę kodu do funkcji o nazwie MmGetExecuteOptions, której początek pokazano tutaj:
PAGE:0054D7CC ; __stdcall MmGetExecuteOptions(x)
PAGE:0054D7CC _MmGetExecuteOptions@4 proc near ; CODE XREF:
NtQueryInformationPro0063ess(x,x,x,x,x)+251C p
PAGE:0054D7CC
PAGE:0054D7CC arg_4 = dword ptr 8
PAGE:0054D7CC
PAGE:0054D7CC mov edi, edi
PAGE:0054D7CE push ebp
PAGE:0054D7CF mov ebp, esp
PAGE:0054D7D1 mov eax, large fs:124h
PAGE:0054D7D7 mov eax, [eax+44h]
PAGE:0054D7DA mov cl, [eax+6Bh]
PAGE:0054D7DD mov eax, [ebp+arg_4]
PAGE:0054D7E0 and dword ptr [eax], 0
PAGE:0054D7E3 xor edx, edx
PAGE:0054D7E5 inc edx
PAGE:0054D7E6 test dl, cl
PAGE:0054D7E8 jz short loc_54D7EC
PAGE:0054D7EA mov [eax], edx
PAGE:0054D7EC
PAGE:0054D7EC loc_54D7EC: ; CODE XREF:
MmGetExecuteOptions(x)+1C j
PAGE:0054D7EC test cl, 2
PAGE:0054D7EF jz short loc_54D7F4
PAGE:0054D7F1 or dword ptr [eax], 2
PAGE:0054D7F4
PAGE:0054D7F4 loc_54D7F4: ; CODE XREF:
MmGetExecuteOptions(x)+23 j
PAGE:0054D7F4 test cl, 4
PAGE:0054D7F7 jz short loc_54D7FC
PAGE:0054D7F9 or dword ptr [eax], 4
PAGE:0054D7FC
Usługa IDA Pro pokazała mnie w pierwszym wierszu w powyższych danych wyjściowych, że funkcja akceptuje jeden argument, który podejrzewam, że jest wskaźnikiem do zmiennej, która odbiera ustawienia programu DEP. Spędziłem wystarczająco dużo czasu, patrząc przez dezasemblowanie jądra systemu Windows, aby rozpoznać sekwencję mov eax, large fs:124h; mov eax,[eax+44h] instrukcji jako odczyt bieżącej struktury danych wątku _KTHREAD w strukturze regionu sterowania procesorem (PCR), a następnie odwołanie KPROCESS do pola z przesunięciem 0x44 w _KTHREAD strukturze.
Instrukcje, zgodnie z tymi instrukcjami odczytują poszczególne bity w bajtach przy 0x6B przesunięcia w _KPROCESS strukturze.
Nie wiedząc, co jest z przesunięciem 0x6B w uruchomionym _KPROCESS Windbg w trybie debugowania lokalnego jądra i wykonał polecenie dt _kprocess, które zgłosiło to:
+0x06b Flags : _KEXECUTE_OPTIONS
Looking at that structure with another dt command showed the bit definitions:
+0x000 ExecuteDisable : Pos 0, 1 Bit
+0x000 ExecuteEnable : Pos 1, 1 Bit
+0x000 DisableThunkEmulation : Pos 2, 1 Bit
+0x000 Permanent : Pos 3, 1 Bit
+0x000 ExecuteDispatchEnable : Pos 4, 1 Bit
+0x000 ImageDispatchEnable : Pos 5, 1 Bit
+0x000 Spare : Pos 6, 2 Bits
Na pewno te bity odnoszą się do programu DEP i wydaje się, że MmGetExecuteOptions kopiuje je z tej struktury do odpowiednich bitów w lokalizacji pamięci przekazanej ProcessInformation jako argument do NtQueryInformationProcess. W związku z tym ustaliłem, że mogę wysłać zapytanie dotyczące stanu dep procesu przez wywołanie NtQueryInformationProcess z wartością ProcessInformationClass 0x22, adresu liczby całkowitej DWORD (4-bajtowej) i długości 4. Wygląda na to, że MmGetExecuteOptions zwraca flagi tylko dla bieżącego procesu i ignoruje ProcessHandle parametr (Eksplorator procesów wysyła zapytanie do stanu DEP innych procesów, ponieważ jego sterownik pomocnika przełącza się do nich za pośrednictwem interfejsu KeAttachProcess API).
Zrobiłem z wyjątkiem kilku subtelnych różnic w 64-bitowej wersji systemu Windows, ponieważ udostępniam 64-bitową wersję Eksploratora procesów. W 64-bitowych systemach Windows MmGetExecuteOptions wymaga ProcessHandle wartości -1 i zwraca STATUS_INVALID_PARAMETER błąd, jeśli bieżący proces jest procesem 64-bitowym, ponieważ program DEP jest zawsze włączony dla procesów 64-bitowych. Używałem Windbg do dezasemblowania 64-bitowej wersji Ntoskrnl.exe, choć od tego czasu uzyskałem wersję IDA Pro, która obsługuje dezasemblacji obrazu AMD64.
SZKOLENIA WEWNĘTRZNE
POŁĄCZENIA SYSTEMU WINDOWS W SAN FRANCISCO
Dostarczam dwie sesje na konferencji Windows Połączenie ions, która jest prowadzona przez Windows IT Pro Magazine i odbywa się 17-20 kwietnia w San Francisco. Jedną z nich jest ogólna sesja o nazwie "Understanding and Fighting Malware: Virus, Spyware i Rootkits", w której opisano, jak złośliwe oprogramowanie wykorzystuje luki w zabezpieczeniach w celu propagowania i pomijania środków zabezpieczeń, sposobu ukrywania się przy użyciu zaawansowanych technik nazywanych "rootkitami" oraz wykrywania ich i czyszczenia z systemu.
Druga sesja to "Rozwiązywanie problemów z pamięcią systemu Windows", w której pokazano, jak odpowiedzieć na starość "jakie są znaczenie wartości, które widzę w Menedżerze zadań", "co używa pamięci" i "jak duży powinienem zrobić plik stronicowania".
Pobierz broszurę konferencji i zarejestruj się na stronie
http://www.devconnections.com/shows/win/default.asp?s=60#
PRAKTYCZNE KLASY WEWNĘTRZNE SYSTEMU WINDOWS/SYSINTERNALS MARK RUSSINOVICH
Spędź 5 dni z Markem Russinovichem i Davidem Solomonem, autorami nowej książki Windows Internals 4. edycji, ucząc się zaawansowanych technik rozwiązywania problemów podczas zagłębiania się w wewnętrzne elementy jądra systemu operacyjnego Windows NT/2000/XP/2003. Jeśli jesteś specjalistą IT wdrażającym i obsługującym serwery z systemem Windows i stacje robocze, musisz mieć możliwość kopania pod powierzchnią, gdy coś pójdzie nie tak. Zrozumienie wewnętrznych elementów systemu operacyjnego Windows i poznanie sposobu korzystania z zaawansowanych narzędzi do rozwiązywania problemów pomoże Ci skuteczniej radzić sobie z takimi problemami i lepiej zrozumieć problemy z wydajnością systemu. Zrozumienie wewnętrznych elementów może pomóc programistom lepiej wykorzystać platformę Windows, a także zapewnić zaawansowane techniki debugowania. A ponieważ kurs został opracowany z pełnym dostępem do kodu źródłowego jądra systemu Windows i deweloperów, wiesz, że otrzymujesz prawdziwą historię.
Nadchodzące daty obejmują:
- 6-10 CZERWCA, ORLANDO, FLORYDA
- 11-15 LIPCA, MONACHIUM, NIEMCY
- 19-23 WRZEŚNIA, SAN FRANCISCO, KALIFORNIA
- 5-9 GRUDNIA, AUSTIN, TEXAS
UWAGA: Jest to praktyczne rozwiązanie — każdy uczestnik musi przynieść własny laptop (instrukcje konfiguracji będą wysyłane z wyprzedzeniem).
Poznasz szczegółowo architekturę jądra systemu Windows NT/2000/XP/2003, w tym wewnętrzne procesy, planowanie wątków, zarządzanie pamięcią, we/wy, usługi, zabezpieczenia, rejestr i proces rozruchu. Omówiono również zaawansowane techniki rozwiązywania problemów, takie jak dezynfekcja złośliwego oprogramowania, analiza zrzutu awaryjnego (niebieski ekran) i problemy z rozruchem w przeszłości. Poznasz również zaawansowane porady dotyczące używania kluczowych narzędzi z www.sysinternals.com (takich jak Filemon, Regmon i Process Explorer) w celu rozwiązywania różnych problemów z systemem i aplikacjami, takich jak powolne komputery, wykrywanie wirusów, konflikty bibliotek DLL, problemy z uprawnieniami i problemy z rejestrem. Te narzędzia są używane codziennie przez pomoc techniczną firmy Microsoft i są używane skutecznie do rozwiązywania wielu różnych problemów z komputerami stacjonarnymi i serwerami, więc zapoznanie się z ich działaniem i aplikacją pomoże Ci w radzeniu sobie z różnymi problemami w systemie Windows. W rzeczywistych przykładach pokazano pomyślne zastosowanie tych narzędzi w celu rozwiązania rzeczywistych problemów.
Aby się zarejestrować, odwiedź stronę http://www.sysinternals.com/troubleshoot.shtml
Dziękujemy za przeczytanie biuletynu Sysinternals.
Opublikowano środę, 05 stycznia 2005 16:36 przez ottoh
[Archiwum biuletynów ^][< Wolumin 6, Numer 2][Tom 7, ogłoszenie >specjalne ]