Aracılığıyla paylaş

  • Makale

[Bülten Arşivi ^] [< Cilt 6, Sayı 2] [7. Cilt, Özel Duyuru >]

The Systems Internals Newsletter Volume 7, Number 1

http://www.sysinternals.com
Telif Hakkı (C) 2005 Mark Russinovich

5 Ocak 2005 - Bu sorunda:

  1. EDİTORYAL

    • DEP var mı?

  2. WINDOWS INTERNALS, 4. SÜRÜM

  3. SYSINTERNALS'DEKI YENILIKLER

    • Kasım İstatistikleri
    • Sysinternals Dergisi Makaleleri
    • Sysinternals RSS Akışı
    • Mark bir Microsoft MVP'dir
    • v6.01'i otomatik çalıştırma
    • İşlem Gezgini v8.61
    • Sigcheck v1.0
    • Bginfo v4.07
    • Regjump v1.0
    • Hex2dec v1.0
    • Tcpvcon v2.34
    • PsTools Güncelleştirmeleri
    • Microsoft'ta Sysinternals

  4. İç BİlGİLER

    • İnternet'e Gözatma
    • Hastalıklı sistemlerde sorun gidermek için LiveKd kullanma
    • Creekside?
    • ChkReg Kayıt Defteri Düzelticisi
    • Windows Bellek Tanılama
    • Belgelenmemiş arabirimleri araştırma

  5. İÇ EĞITIM

    • San Francisco'da Windows Bağlantıları
    • Mark Russinovich & David Solomon Tarafından Uygulamalı Windows internals/Sysinternals Sınıfları

Sysinternals Bülteni, Adresinde Web'de Winternals Software sponsorluğundadır http://www.winternals.com. Winternals Software, Windows NT/2000/XP/2003 için gelişmiş sistem araçlarının önde gelen geliştiricisi ve sağlayıcısıdır.

Winternals, ERD Commander 2005 de dahil olmak üzere kapsamlı bir güncelleştirmeyle Administrator's Pak 5.0'ın yakında kullanıma sunulacak olan sürümünü duyurmaktan mutluluk duyuyor.

ERD Commander 2005'teki yeni özellikler şunlardır:

  • Kilitlenme Çözümleyicisi: Sistem önyükleme yapmasa bile Windows kilitlenmesinin sorumlu olduğu sürücüyü hızlı ve kolay bir şekilde tanılayın
  • DiskWipe - Sabit diskleri veya birimleri güvenli bir şekilde silin; Otomatik çalıştırmalar: Windows kurulumunda ve kullanıcı oturumunda hangi uygulamaların başlatıldığına bakın; sistem kaynağı sorunlarını tanılamak ve olası kötü amaçlı yazılımları bulmak için kullanışlıdır
  • FireFox Web Tarayıcısı: Düzeltmeleri indirme, sürücü güncelleştirmeleri, Microsoft Bilgi Bankası'nda yardım arayın - hepsi onarmaya çalıştığınız sistemde
  • Önyüklemesi kaldırılamayan bir sistemdeki düzeltmeleri ve hizmet paketlerini kaldırmanıza olanak tanıyan Düzeltme Kaldırma Sihirbazı
  • Windows sistem dosyalarının bütünlüğünü denetleyen Sistem Dosyası Onarımı.

Bu özellikler, ERD Commander 2005'te yapılan çok sayıda iyileştirme ve kullanılabilirlik iyileştirmesi ve Windows PE tabanlı uzaktan kurtarma istemcisinin oluşturulması ve kullanılması daha kolay yeni özellikler, Ocak 2005'in sonlarında kullanıma sunulan yeni Administrator's Pak 5.0'da yer alır. Yayınlandığında Yöneticinin Pak 5.0 değerlendirmesine kaydolmak için http://www.winternals.com/ap5preview/.

EDİTORYAL

Herkese merhaba,

Sysinternals bültenine hoş geldiniz. Bültenin şu anda 40.000 abonesi var.

Casus yazılımlar ve virüsler de dahil olmak üzere kötü amaçlı yazılımların yükselen gelgitleri, herkesin güvenlik konusunda endişe duymasını sağlar. İyi güvenlik önlemleri arasında işletim sistemi ve uygulama yamalarını takip etme, güvenlik duvarı, virüsten koruma ve casus yazılım kaldırma araçlarını yükleyip yapılandırma ve İnternet'ten indirme veya e-posta eklerini açma konusunda karar verme işlemleri yer alır. Ancak, kapsamlı önlemlere rağmen, kötü amaçlı yazılımlar yine de savunmaya sızmanın ve bilgisayara bulaşmanın yollarını bulabilir. Sistemin savunmasında en yaygın boşluk arabellek taşması güvenlik açığıdır ve bu nedenle Windows XP Service Pack 2'nin Veri Yürütme Engellemesi (DEP) özelliği hakkında bilgi sahibi olmanız gerekir.

Arabellek taşması, kötü amaçlı programların kodlama hatasını yürüten iş parçacığının denetimini almak için yararlanabileceği bir programlama hatasıdır. Arabellek taşmaları genellikle yığın tabanlıdır; başka bir deyişle, bir saldırgan programa yığında depolanan arabelleğe sığmayacak kadar fazla veri verir. Veriler, taşma işlevi çağrıldığı işleve geri dönmeye çalıştığında, bunun yerine verilerdeki bir konuma geri dönecek şekilde oluşturulur.

Ne yazık ki arabellek taşması hataları en iyi test edilmiş ve gözden geçirilmiş yazılımları bile rahatsız edebilir. Windows ve bileşen yazılımı için aylık olarak birden fazla arabellek taşması duyurulur (Linux ve uygulamaları, Windows ile eşit olarak bir dizi arabellek taşması ile bağışık değildir). Arabellek taşması açıklarının çoğu için yaygın bir tema, yalnızca veri içermesi gereken bellek bölgelerine yerleştirilen kodun yürütülmesine neden olmalarıdır.

Intel Itanium işlemcisi sürümünden yürütme yok korumasını desteklese de, Windows XP SP2 (ve yaklaşan Windows Server 2003 SP1) bu donanım desteğini kullanana kadar (örneğin, iş parçacığı yığınlarını ve yığın belleği yürütülemeyen olarak işaretleme) değildi. Yürütmesiz donanım korumasını destekleyen diğer işlemciler arasında 64 bit AMD64 Opteron ve Athlon 64 ile Intel'in EM64T-now adlı kopyası Xeon ve Pentium 4 işlemcilerde kullanılabilir. AMD ve Intel kısa süre önce yürütme desteği olmayan 32 bit işlemciler tanıttı: AMD Sempron ve Pentium 4 "J" ailesi (520J, 540J vb.).

Windows'un arabellek taşması açıklarından yararlanmalarını önlemek için yığınlar ve uygulama yığını belleği için varsayılan olarak yürütmesiz koruma uygulaması gerektiği açıktır, ancak bazıları doğru işlem için zorunlu tutulmayan ayarı kullanan yüz binlerce mevcut uygulama vardır. Bu nedenle, Windows'un yürütmesiz koruma uygulayan ilk sürümü olan Windows XP SP2, hangi işlemlerin korunduğu ve hangilerinin korunmadığı üzerinde bir yönetici denetimi sağlar. İlk olarak, gelecekte güvenliği artırmayı amaçlayan bir kararda, Windows'un 64 bit sürümü her zaman tüm 64 bit işlemler için yürütme yok bayrakları uygular. Yazılım satıcısı 64 bitlik bir uygulama yayınlamak istiyorsa, yürütülemeyen bellek bölgelerinden kod yürütmediğinden emin olması gerekir (Java ve .NET uygulamalarının sıklıkla yaptığı gibi, anında kod oluştururlarsa veri bölgesini yürütülebilir olarak işaretleyebilirler).

İkincisi, arabellek taşması açıklarından yararlanma işlemleri en yaygın olarak işletim sistemi bileşenlerini hedeflediğinden, 32 bit Windows XP ve Windows Server 2003 varsayılan olarak çekirdek işletim sistemi görüntülerini korur. Ancak, 32 bit uygulamalar için (32 bit Windows veya 64 bit Windows üzerinde çalışan), Windows XP varsayılan olarak "kabul etme" stratejisini kullanır (uygulamalar varsayılan olarak korunmaz), Windows Server 2003 ise varsayılan olarak "geri çevirme" olarak ayarlanır (uygulamalar varsayılan olarak korunur, ancak belirli uygulamalar hariç tutulabilir). Bu mantıklıdır çünkü güvenlik genellikle sunucu sistemlerinde daha yüksek önceliklidir. Sistem denetim masası uygulamasındaki Gelişmiş sayfasının Performans bölümündeki Ayarlar düğmesi aracılığıyla erişebileceğiniz DEP yapılandırma iletişim kutusundaki kabul etme veya geri çevirme ayarlarını değiştirebilirsiniz.

Daha önce de belirttiğim gibi, nispeten yeni AMD Sempron ve Pentium 4 "J" işlemciler dışında, bugüne kadar piyasaya sürülen tüm x86 uyumlu yongalarda yürütme desteği yoktur. Ancak, Windows XP ve Windows Server 2003 bu işlemcilerde "software DEP" adlı sınırlı bir DEP biçimi uygular. İş parçacığı bir hata oluşturduğunda işletim sistemi bir iş parçacığının denetimini kazandığından, yürüteceği hata işleyicisinin programın kodu tarafından statik olarak kaydedilen bir iş parçacığı olduğundan emin olabilir. Bu, bir iş parçacığının hata işleyicisini taşan bir yığın arabelleğinde kötü amaçlı kod yürütmek üzere yeniden yönlendiren bir açıklardan yararlanmayı önler. Bu, CodeRed virüsünün IIS'nin 2001'de yayımlandığında yaptığı işlemdir.

Göreli basitliğine rağmen DEP, işletim sisteminin kendi kendine yayılan kötü amaçlı yazılımlara karşı korumasında sunduğu en güçlü savunmalardan biridir. Ne yazık ki gücünü sınırlayan üç şey vardır: şu anda dağıtılan işlemcilerin çoğunda yürütme yok ayarı için donanım desteği olmaması, Windows XP'de yalnızca çekirdek işletim sistemi işlemlerinin korunduğu varsayılan kabul etme ayarı ve farkındalığın olmaması. Yazılım DEP'i kapsamında sınırlıdır ve bu nedenle, Windows'un yürütmeyi desteklemediği donanımlarda çalıştırılmadıkça DEP yalnızca marjinal olarak etkilidir. Windows XP'nin varsayılan olarak kabul edilir olması, kullanıcılar Windows'u yürütmeyen donanımlarda çalıştırdığında bile, DEP koruması alan tek işlemlerin işletim sisteminin işlemleri olduğu anlamına gelir. Üçüncü taraf güvenlik duvarı, Web tarayıcısı, e-posta okuyucusu veya ağ özellikli başka bir uygulamanızda arabellek taşması varsa, hala savunmasızsınız demektir. Aslında, kötü amaçlı yazılım, IIS ve Outlook tarafından en çok yararlanılan uygulamalardan bazıları, kabul etme ayarı altında korunmaz. Son olarak, çoğu kişi varsayılan davranışının, hatta DEP'in bile farkında olmadığından, sistemler çoğu zaman arabellek taşması sorunları için risk altında kalır.

Microsoft'un kullanıcılara daha iyi güvenlik karşılığında uyumluluk fiyatını ödemesini sağladığı zaman veya kullanıcılar virüslerin elinde çok daha yüksek bir fiyat ödeyecekler ve faturayı Microsoft'a geçirecekler. Bu arada, Windows XP SP2'ye yükseltmenizi (Windows XP 64 bit Edition ve Windows Server 2003 SP1'de yürütme desteği de vardır), kabul etmeye geçmenizi ve yürütme desteği olmayan bir işlemciye yükseltmenizi şiddetle tavsiye ederim (ne yazık ki komisyon almayacağım).

Lütfen bülteni içeriğiyle ilgilenebileceğini düşündüğünüz arkadaşlarınıza iletin.

Teşekkürler!

-İşaret

WINDOWS INTERNALS, 4. SÜRÜM

Dave Solomon ile birlikte yazan Windows Server 2003, Windows 2000 ve Windows XP'nin içleriyle ilgili resmi Microsoft kitabı artık kitap mağazalarında kullanılabilir. Dave ve ben önceki sürümün kapsamını yaklaşık %25 genişlettik, yalnızca Windows Server 2003 ve XP değişikliklerine değil, sorun giderme araçlarına ve tekniklerine de yeni malzeme ekledik. İşlem Gezgini, Filemon ve Regmon kullanma hakkında gelişmiş ipuçları bulacaksınız ve Windows kilitlenme bilgi dökümü analiziyle ilgili yepyeni bir bölüm var.

Kitabın içeriği ve çevrimiçi siparişi hakkında daha fazla bilgi için

http://www.sysinternals.com/windowsinternals.shtml

SYSINTERNALS'DEKI YENILIKLER

SYSINTERNALS RSS AKıŞı

Sysinternals'a sık sık yeni bir gönderim bildirim mekanizması ekleme isteği aldım, böylece sonunda web genelindeki eğilimi takip ettim ve bir RSS akışı ekledim (RSS akışları hakkında bilginiz yoksa, işte iyi bir astar: http://rss.softwaregarden.com/aboutrss.html). Akış ayrıca, ön sayfada tam listelemeyi garanti etmeyen küçük hata düzeltmeleri ve güncelleştirmeleri size bildirme fırsatı da sunar. Bu, akışın günlük isabet sayısına göre güncelleştirmeleri öğrenmesi için zaten tercih edilen yol gibi görünüyor.

Sysinternals RSS akışına şu konumdan erişin:

http://www.sysinternals.com/sysinternals.xml

SYSINTERNALS DERGISI MAKALELERI

Yaklaşık altı ay önce Sysinternals araçları üzerinde Windows IT Pro Magazine'de (eski adıYla Windows ve .NET Magazine) yarı aylık bir sütun yazmaya başladım. Her sütunda farklı bir araç açıklanır ve gelişmiş kullanımla ilgili ipuçları ve bunların nasıl çalıştığı hakkında bilgi sağlanır.

Aşağıda listelenen üç yayından ilk ikisine abone olmayanlar tarafından on-line erişilebilir ve üçüncüsü yakında olacaktır:

Otomatik çalıştırmalar: http://www.win2000mag.com/Windows/Article/ArticleID/44089/44089.html

Pslist ve Pskill: http://www.winnetmag.com/Windows/Article/ArticleID/43569/43569.html

PsExec: http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

MARK BIR MICROSOFT MVP'DIR

Platform SDK'sı Microsoft En Değerli Profesyonel (MVP) müşteri adayı 2005 için bana MVP adını verdi. Sysinternals ile Microsoft müşterilerine yaptığım katkıları kabul eden bu resmi onay için ona ve Microsoft'a minnettarım.

KASıM ISTATISTIKLERI

Sonunda Sysinternals için iyi bir web trafiği analiz programı aldım ve Kasım ayı için günlük dosyalarını analiz ettim. Sayıların büyüklüğü beni bile şaşırtmıştı. Bazı önemli noktalar şunlardır:

  • 3,6 milyon sayfa görüntüleme
  • 775.000 benzersiz ziyaretçi
  • 1,2 milyon yardımcı program indirmesi
  • İşlem Gezgini'nin 200.000 indirmesi, 1.

AUTORUNS V6.01

Otomatik çalıştırmalar son birkaç ay içinde iki ana sürüm numarası güncelleştirmesi ile çok gelişti. Otomatik Çalıştırmalar'ın en son sürümünde Winlogon bildirim DLL'leri, Gezgin araç çubukları, ad alanı uzantıları ve tarayıcı yardımcı nesneleri ve otomatik başlatma DLL'leri dahil olmak üzere standart Çalıştırma anahtarı ve başlangıç klasörlerine ek olarak otomatik başlatma konumları görüntülenir. Bir diğer yeni özellik olan Google menü öğesi (İşlem Gezgini'nden ödünç alınan) bir tarayıcı açarak ve seçili resim adında bir arama başlatarak bilinmeyen görüntüleri tanımlamanıza yardımcı olur.

Başka bir yeni özellik olan görüntü imzalama doğrulaması, kötü amaçlı yazılımlar ile sistem bileşenleri veya güvenilen uygulamalar arasında ayrım oluşturmanıza yardımcı olabilir. Microsoft genellikle Microsoft'un özel imzalama anahtarıyla imzalanan işletim sistemi dosyalarının karmalarını içerir. Windows şifreleme işlevleri imzalı karmaların şifresini Microsoft'un ortak imzalama anahtarıyla çözer ve Otomatik Çalıştırmalar, karmalarını şifresi çözülen sürümlerle karşılaştırarak sisteminizdeki görüntüleri doğrular ve bir eşleşme olduğunda görüntünün şirket adına "(Doğrulanmış)" ön ekini ekler. Bir görüntü üzerinde oynanmış, bozulmuş, değiştirilmiş veya sisteminiz tarafından güvenilmeyen bir yayımcı tarafından imzalanmış bir karma varsa, Otomatik Çalıştır özelliği görüntünün şirket adını "(Doğrulanmadı)" olarak bildirir.

Sistem yöneticisi olarak, oturum açtığınız hesap dışındaki hesaplarda otomatik olarak başlatılan görüntüleri denetlemek isteyebilirsiniz, bu nedenle Otomatik Çalıştırmalar artık bilgisayarda depolanan bir profili olan her hesap için seçimleri içeren bir Kullanıcı menüsü içerir.

Son olarak, otomatik çalıştırma bilgilerini konsola listeleyen Otomatik Çalıştır GUI'sinin Otomatik Çalıştır adlı komut satırı eşdeğeri vardır. Sysinternals'ın PsExec yardımcı programıyla birlikte çıktıyı CSV olarak biçimlendirme özelliği, ağınızdaki bilgisayarlar için yapılandırılmış otomatik başlatma görüntülerinin envanterlerini oluşturmanızı kolaylaştırır.

Otomatik Çalıştırmaları şu konumdan indirin:
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

İŞLEM GEZGINI V8.61

Bir kez daha, gelişmiş bir işlem yönetimi yardımcı programı olarak Görev Yöneticisi'nin yerini alan İşlem Gezgini, en çok odaklandığım araç oldu ve bunun nedeni bunun için çok fazla geri bildirim almamdır. Son bülten İşlem Gezgini sürüm 8.4'ten 8.6'ya geçtiğinden beri. Seçilen bir işlem hakkında bilgi araması başlatan bir Google menü öğesi, işlem özellikleri iletişim kutusunda bir işlem görüntüsü dosyasında bulunan ASCII ve Unicode dizelerini listeleyen dizeler sekmesi, seçili DLL görüntü dosyasındaki dizeleri listeleyen dizeler menü girişi dahil olmak üzere bu iki sürümü bir dizi yeni özellik işaretler. ve fareyi İşlem Gezgini tepsi simgesinin üzerine getirdiğinizde görüntülenen araç ipucunda en çok CPU tüketen işlemin adı.

Birçok kişi Görev Yöneticisi Uygulamaları sekmesi gibi Görev Yöneticisi'nden geçiş yaparken kaçırdıkları özellikleri istedi. Uygulamalar sekmesi, etkileşimli masaüstünde en üst düzey pencerelerin listesini ve her pencerenin sahibi olan iş parçacığının durumunu gösterir: İş parçacığı şu anda bir windows iletisini almayı bekliyorsa veya son beş saniye içinde bir Windows iletisini işlediyse "Çalışıyor", aksi halde "yanıt vermiyor" (ironik olarak, bu genellikle "çalıştırılıyor" ifadesi iş parçacığının beklediğini ve "yanıt vermediğini" gösterir). Artık işlem görünümüne "Pencere Başlığı" ve "Pencere Durumu" sütunlarını ekleyerek İşlem Gezgini ile aynı bilgileri alabilirsiniz.

İşlem Gezgini'nde bir süredir .NET işlemleri için vurgulama ve .NET işlemlerinin işlem özellikleri iletişim kutusunda bir .NET Performansı sekmesi de dahil olmak üzere at.NET işlemleri hedefleyen özellikler vardır. .NET işlemi, .NET çalışma zamanına yüklenmiş ve kaydedilmiş bir işlemdir. İşlem başlatıldıktan bir süre sonra kaydolduğunda İşlem Gezgini bunun bir .NET işlemi olduğunu fark etmeyebilir, ancak en son sürüm, ekranı el ile yenilediğinizde (yenileme araç çubuğu düğmesine, F5 tuşuna basarak veya Yenile menü öğesini seçerek) .NET durumu ve iş nesnesi üyeliği işlemlerini yeniden denetler.

Hangi işlemin bir pencereye sahip olduğundan emin olmadığınız durumlarda, yeni pencere bulucu araç çubuğu düğmesini kullanarak pencereyi tanımlayabilirsiniz. Hedef gibi görünen araç çubuğu düğmesini araç çubuğunun dışına ve söz konusu pencerenin üzerine sürüklemeniz yeterlidir; İşlem Gezgini işlem görünümünde sahip olan işlemi seçer.

Araç çubuğunun yakınında görüntülenen mini CPU grafiği, sizin için hemen belli olacak bir ektir. Bu grafik, sistemin CPU kullanım geçmişini gösterir ve İşlem Gezgini Sistem Bilgileri iletişim kutusunu açmak için üzerine tıkladığınızda elde ettiğiniz genişletilmiş sürüm gibi, grafikte fareyi hareket ettirdiğiniz nokta için zaman damgasını ve en yüksek CPU tüketen işlemi içeren bir araç ipucu sunar. Grafiği araç çubuğu alanında herhangi bir yere, hatta tek bir satıra taşıyabilirsiniz, böylece İşlem Gezgini penceresinin genişliği boyunca esnetilir.

Güvenlikle ilgili iki özellik, görüntü imzalama doğrulaması ve veri yürütme koruması (DEP) durumudur. Görüntü imzalama seçeneğini etkinleştirdiğinizde İşlem Gezgini, bir işlem görüntüsünün güvenilir imzalayan tarafından dijital olarak imzalanıp imzalanmadığını denetler ve Otomatik Çalıştırmalar gibi işlem özellikleri iletişim kutusundaki şirket adını "Doğrulandı" veya "Doğrulanmadı" ile önek olarak ekler. İmzalama sertifikalarının geçerliliğini doğrulamak için denetim web sitelerine gittiği için görüntü imzalama denetimi birkaç saniye sürebileceğinden bu seçenek varsayılan olarak devre dışı bırakılır.

Bu bültenin girişinde açıkladığım DEP, arabellek taşması açıklarına karşı gelişmiş koruma için Windows XP SP2'de etkinleştirmeniz gereken bir şeydir. İşlem görünümüne "DEP Durumu" sütununu ekleyerek veya işlem özellikleri iletişim kutusunun görüntü sayfasındaki "DEP durumu" alanını denetleyerek bir işlemin DEP durumunu de kontrol edebilirsiniz.

Son olarak, İşlem Gezgini artık sisteme yüklenen sürücüleri, çekirdek ve cihaz sürücüsü çalışan iş parçacıklarıyla ilişkili işlem olan Sistem işleminin DLL görünümünde listeler. Her sürücü için sürüm, şirket adı, tam yol ve sistem adres alanında yük adresi gibi diğer işlemler için listelenen DLL'lerle aynı bilgiler sağlanır.

İşlem Gezgini'ne şu konumdan indirin:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

SIGCHECK V1.0

Sysinternals araçlarının çoğu kullanıcıların kötü amaçlı yazılımları tanımlamalarına yardımcı olan özellikleri benimsemektedir ve Sigcheck neredeyse yalnızca bu hedefe odaklanan bir komut satırı yardımcı programıdır. Bir dosyanın güvenilir bir yayımcı tarafından dijital olarak imzalanıp imzalanmadığını size bildirmek için Otomatik Çalıştırmalar ve İşlem Gezgini'nde bulunan görüntü imzalama doğrulama işlevselliğini kullanır. Buna ek olarak, ürün adı, açıklama, şirket adı ve sürüm dahil olmak üzere belirttiğiniz görüntü veya görüntüler için dosya sürümü bilgilerini bildirir. Bu bilgiler, Windows XP ve Windows Server 2003 ile birlikte gelen Filever aracının raporladığına benzer, ancak Sigcheck dosyanın ilk olarak "bağlantılı" veya imzasız görüntüler için oluşturulduğu zaman damgasını ve imzalananlar için görüntü imzalama zaman damgasını da bildirir. Son olarak, çoğu imzalı karma, sertifika imzalama zinciri olarak adlandırılan bir dizi olan, kendileri imzalanmış anahtarlarla imzalanmıştır. Sigcheck, zincirdeki imzalayanların her biri hakkında bilgi içeren imzalama zincirini yazdırmaya yönlendiren bir komut satırı seçeneğini destekler.

Sigcheck'in güvenlikle ilgili olası kullanımlarından biri, Windows yüklemenizin kökü altındaki dizinlerden herhangi birinde (genellikle \Windows) imzalanmamış .exe .dll veya .sys görüntüleri araştırmaktır. Sigcheck'i şu komut satırıyla çalıştırarak imzalanmamış .exe görüntüleri kolayca tanımlayabilirsiniz, örneğin:

sigcheck -s -u c:\windows\*.exe

Tüm Microsoft görüntüleri geçerli imzalar içermelidir, ancak yukarıdaki komut ne yazık ki birçoğunun içermediğini ortaya çıkarır ve kötü amaçlı yazılımları gizlemek için kötüye kullanılabilecek dosyalara neden olur.

Sigcheck'i şu konumdan indirin:
http://www.sysinternals.com/ntw2k/source/misc.shtml

BGINFO V4.07

Kolay görüntüleme için çalıştırdığınız bilgisayarın masaüstünde yapılandırdığınız bilgileri görüntüleyen bginfo'ya yönelik bu küçük güncelleştirme, belirttiğiniz boyuta uyacak şekilde genişletmesi gereken bit eşlemler, CPU algılama geliştirmeleri, MySQL desteği ve geliştirilmiş çoklu monitör ekran uyumluluğu için daha iyi destek sağlar.

Bginfo'nun indirilmesi için:
http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml

REGJUMP V1.0

Daha önce belirli Kayıt Defteri anahtarları için Gezgin kısayolları oluşturmak veya yalnızca bir anahtarın yolunu girmek ve Regedit'in hedef konuma açık olmasını istiyorsanız, Regjump'ı yararlı bulacaksınız. Regjump, Regmon'da öncülük ettiğimiz aynı Registry "jump-to" teknolojisini kullanan bir komut satırı yardımcı programıdır. Regjump'a komut satırı bağımsız değişkeni olarak bir Kayıt Defteri yolu verin; Regedit açılır ve belirtilen anahtara veya değere gider.

Regjump'ı şu konumdan indirin:
http://www.sysinternals.com/ntw2k/source/misc.shtml

HEX2DEC V1.0

Hata ayıklayıcılar ve ayrıştırma ile çalışırken genellikle onaltılık değerini ondalık veya tam tersi olarak dönüştürmem gerekmektedir. Sonunda Calc'i açmaktan, bir sayı girmekten ve ardından tabanı değiştirerek dönüştürmeyi görmekten yoruldum ve bu yüzden küçük bir komut satırı dönüştürme yardımcı programı yazdım. Hex2dec her iki yönde de dönüştürür ve "0x" veya "x" ön ekine sahipse veya 'a'-'f' harflerini (büyük/küçük harfe duyarsız) içeriyorsa girişi onaltılık olarak rahatça tanımlar.

Hex2dec'i şu konumdan indirin:
http://www.sysinternals.com/ntw2k/source/misc.shtml

TCPVCON V2.34

Netstat, Windows NT ve üzeri sürümlerde yerleşik olarak bulunan ve sistemde şu anda etkin olan TCP ve UDP uç noktalarını gösteren bir komut satırı yardımcı programıdır. Microsoft'un Windows XP ile tanıttığı sürüm yararlı bir bilgi içerir: her uç noktayı açan işlemin işlem tanımlayıcısı (PID). Ancak, işlemin adını veya bununla ilgili diğer bilgileri belirlemek için bir işlem listeleme aracı açmanız ve bu PID ile işlemi bulmanız gerekir.

TCPView, aynı etkin uç nokta bilgilerini gösteren, ancak işlemin adını içerdiğinden, DNS adları ile ham IP adresleri arasında hızla geçiş yaptığı ve yeni ve silinmiş uç noktaların vurgulandığı Netstat'tan çok daha rahat bir Sysinternals GUI uygulamasıdır. TCPView'un indirilmesi, komut satırı arabirimlerini kullanmayı sevenler için TCPView'un konsol sürümü olan TCPVCon'ı içerir. Netstat'ın aksine, TCPVCon her uç noktayla ilişkili işlemin tam yolunu görüntüler ve çıkışı CSV biçiminde dökümleyen bir anahtar içerir.

Tcpvcon'ı şu konumdan indirin:
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

PSTOOLS GÜNCELLEŞTIRMELERI

PsKill ve PsLoglist, son birkaç ay içinde iyileştirmeler kazanan iki PsTool'dur. Yerel veya uzak sistemdeki işlemleri sonlandıran bir komut satırı yardımcı programı olan PsKill, artık bir işlem ağacının tamamını sonlandırabilmeniz için bir -t anahtarı destekliyor. Bir dizi kişi, toplu betiklerin kaçamak ağaçlarını temizlemeyi kolaylaştırmak için bu seçeneği istedi.

PsLoglist, yerel veya uzak sistemlerde olay günlüklerini döküm eden bir komut satırı aracıdır. Son güncelleştirmeler, zaten uzun olan komut satırı niteleyicileri listesine 5 seçenek ekledi. Yeni bağımsız değişkenler, belirtilen olay türlerini veya olay kaynaklarını çıkıştan hariç tutmanızı ya da yalnızca son birkaç dakika veya saat içinde olayları döküme almanızı sağlar. Artık, siz sonlandırana kadar çalıştığı bir olay günlüğü izleme modunu da destekliyor ve olay günlüğü kayıtlarını oluşturdukları gibi yazdırıyor.

PsKill ve PsLoglist dahil olmak üzere PsTools'ı şu konumdan indirin:
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

WWW.MICROSOFT.COM'DA SYSINTERNALS

Son bültenden bu yana yayımlanan Microsoft Bilgi Bankası (KB) makalelerindeki Sysinternals başvurularının en son yüklemesini burada bulabilirsiniz. Bu, Sysinternals için genel KB başvurularının toplam sayısını 63'e getirir.

  • DÜZELTME: Windows için Windows Medya Oynatıcı 9 Serisi kayıt defterine sık sık erişir ve performansı etkileyebilirhttp://support.microsoft.com/?kbid=886423

  • GDI+ 1.0 Güvenlik Güncelleştirmesi'ne Genel Bakış http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/gdiplus10security.asp

  • Kayıt Defteri Düzenleme http://support.microsoft.com/default.aspx?scid=kb; en-gb; 835818

  • Proje Görünümü'ne http://support.microsoft.com/default.aspx?scid=kberişmeye çalıştığınızda "Bu görünümde görüntülenecek bilgi yok" hata iletisini alıyorsunuz; en-us; 810596

İç BİlGİLER

İNTERNET'E GÖZATMA

Yaklaşık bir yıl önce IE'den Mozilla'ya geçtiğimi duyurdum çünkü IE açılır pencere engelleme, sekmeli tarama, otomatik form doldurma ve reklam filtreleme gibi iyi bir İnternet tarayıcısı için zorunlu olarak kabul edilen özelliklerden yoksundu. Kısa bir süre sonra birisi beni Avant Browser'a işaret etti, tüm bunları ve daha fazlasını yapmak için IE kullanan küçük bir indirme (kendi tarayıcısı değil). Mozilla'nın hantal kullanıcı arabirimi ve bazı sitelerle uyumluluk eksikliği Sık sık geçiş yapma kararı aldım. Yeni FireFox sürümü her iki açıdan da daha iyi olsa da, hala bazı uyumsuz siteler (örneğin Windows Update gibi) var ve bu yüzden tekrar geçiş yapmak zorunda değilim.

Microsoft'un, IE'nin mütevazı Windows XP SP2 geliştirmeleri ışığında bile IE'yi geliştirmedeki yavaş ilerlemesi, Avant Browser'ı satın alıp IE'nin sonraki sürümüne derleme konusunda utanç verici olmalıdır.

Avant Browser'ı şu konumdan indirin: http://www.avantbrowser.com

HASTA SISTEMLERIYLE ILGILI SORUNLARı GIDERMEK IÇIN LIVEKD KULLANMA

LiveKd, Inside Windows 2000'in 3. sürümü için yazdığım bir yardımcı programdır (artık Sysinternals üzerinde bir ücretsiz yazılım aracıdır). Windows için Microsoft Hata Ayıklama Araçları paketinin Windbg veya Kd'sini kullanarak, normalde çalışır ve etkin bir sistemdeki kilitlenme dökümlerini ve dondurulmuş sistemleri araştırmak için kullanılan hata ayıklama komutlarını yürütmenizi sağlar. Microsoft, Windows XP ve üzeri sürümlerde çalışırken hata ayıklama araçları için "yerel çekirdek hata ayıklama" olarak adlandırılan benzer bir özellik kullanıma sunulmuştur. Bununla birlikte, LiveKd ile yapabileceğiniz ve yerel çekirdek hata ayıklaması ile yapılamaz. Örneğin, yerel çekirdek hata ayıklaması ile çekirdek modu iş parçacığı yığınlarına ve list-kernel modules komutuna lm kbakamazsınız; yalnızca işletim sistemi çekirdeği listelenir ve yerel çekirdek hata ayıklamasında yürütülürken diğer yük sürücüleri listelenmez. Her iki komut da LiveKd içinde çalışır.

Yerel çekirdek hata ayıklamasında çalışmayan, ancak LiveKd'de çalışan başka bir komut da şeklindedir .dump. Bir Microsoft Ürün Destek Hizmetleri (PSS) mühendisinden, komutun .dump hasta bir sistemle ilgili sorunları gidermek için yararlı olabileceğini öğrendim. Sorun yaşayan ancak web veya veritabanı gibi hizmetler sunan bir bilgisayar, araştırma sırasında sistemin duraklatıldığı yeniden başlatma veya geleneksel hata ayıklama için aday olmayabilir. LiveKd'nin çalıştırılması ve .dump'ın yürütülmesi, sistemin fiziksel belleğinin içeriğini içeren kilitlenme dökümü biçimlendirilmiş bir dosyaya neden olur. Döküm dosyasını başka bir makineye alabilir ve döküm dosyasını WinDbg veya Kd'ye yükleyerek işletim sistemi ve hizmet uygulamalarının durumunu analiz edebilir, böylece bir sorunun nedenini araştırırken kesinti yaşanmasını önleyebilirsiniz.

LiveKd'i şu konumdan indirin:
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml

CREEKSİDE?

Kısa süre önce, Winlogon'un dizinde ediskeer.dll \Windows\System32 adlı bir DLL'nin varlığını denetlediği ayrıştırmada kodla karşılaştığımda oturum açma kullanıcı arabirimini sunmaktan sorumlu sistem işlemi olan Winlogon'un Windows XP Service Pack 2 sürümünün başlatılmasını araştırıyordum. ve ardından bunu yükler ve DLL tarafından dışarı aktarılan adlandırılmamış bir işlevi çağırır. Birisi sistemde oturum açtığında yürütülen Winlogon kodu, başlatma sırasında yüklendiyse DLL'ye de çağrı yapar.

Sistemimde DLL'yi aradım ve bulamadım ve Service Pack 2 CD'sinde de yok. Peki DLL nedir? Microsoft'un işletim sistemi için gönderdiği hata ayıklama sembollerini kullanarak Winlogon'un ediskeer.dll varsa ve imzalanırsa "Creekside" adlı bir değişken yapılandırdığını görebiliyordum ve sonra "ediskeer"in ters sırada "dere kenarı"nın son 8 harfinden oluştuğunun farkına vardım. Creekside'ın ne anlama geldiğini hala bilmiyorum, ancak DLL'nin yalnızca Microsoft'un yakın zamanda gelişmekte olan ülkeler için tanıttığı düşük maliyetli Windows XP Starter Edition sürümüyle birlikte gelen bir dll olduğundan kesinlikle şüpheleniyorum. Starter Edition, Windows XP Professional ve Home Edition'larla aynı işletim sistemi çekirdeğini temel alır, ancak kullanıcının eşzamanlı olarak çalıştırabileceği uygulama sayısına sınırlar uygular. Doğruysam, Winlogon bu sınırı zorlamak için DLL'yi yükler ve yeni bir kullanıcı her oturum açtığında etkinleştirir.

CHKREG KAYıT DEFTERI DÜZELTICISI

Yıllar içinde Bryce ve ben chkdsk için kayıt defteri benzetmesi için çok sayıda istek aldık, dosya sistemi tutarlılık denetleme yardımcı programı. Hiç yazmadık çünkü hedef kitlenin çabayı haklı çıkarmak için çok küçük olduğunu hissettik. Yaklaşık bir yıl önce Microsoft, Kayıt Defteri için birçok tür Kayıt Defteri bozulmasını düzelten bir Chkdsk olan az bilinen Chkreg'i yayınladı.

Ne yazık ki Chkreg yalnızca Windows 2000'de desteklenir (Windows NT 4 ve Windows XP Kayıt Defterleri üzerinde de çalışabilir) ve Windows API yerine yerel API'yi kullanan bir "yerel" uygulama olarak uygulanır ve bu nedenle Windows altında çalışmaz. İndirdiğinizde, bunu altı Windows kurulumu önyükleme ipi, yorucu ve zaman alan bir ilişkiye yüklemeniz gerekir. Chkreg geliştiricileriyle iletişime geçtik ve Microsoft Ürün Destek Hizmetleri'nin (PSS) şirket içinde kullandığını öğrendiğimiz, ancak ne zaman veya ne zaman yayınlayacakları konusunda bir haberimiz olmadığını öğrendiğimiz Windows sürümünü herkese açık olarak yayınlamalarını teşvik ettik.

Chkreg'i şu konumdan indirebilirsiniz:
http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en

WINDOWS BELLEK TANıLAMA

Windows kullanıcısı için en sinir bozucu deneyimlerden biri kilitlenen bir sistemdir. Çoğu durumda hata, sürücüyü devre dışı bırakarak veya bir düzeltme ile bir sürüme güncelleştirerek düzeltebileceğiniz bir buggy 3. taraf cihaz sürücüsüdür. Microsoft Çevrimiçi Kilitlenme Analizi'ne (OCA) bildirilen kilitlenmelerin yaklaşık %10'u, çoğu disk ve bellekle ilgili donanım sorunlarından kaynaklanmaktadır.

OCA'nın tanılayamadığı kilitlenmeler alırsanız veya bir bellek sorunundan şüpheleniyorsanız, Microsoft'un yakın zamanda yayımlamış olduğu bir bellek denetleme aracı olan Microsoft Windows Bellek Tanılama (WMD) ile birkaç dakika geçirmeniz gerekir. WMD yükleyicisi, WMD programını kaydettiği bir disket veya CD ister. Bir makineyi disketten veya CD'den önyüklerken WMD çalıştırılır ve bilgisayarın belleğinin kapsamlı bir testini gerçekleştirir, ilerleme durumunu ve sorunları ekrana bildirir. Bellek hatalarınız varsa WMD sizi sonsuz Windows kilitlenmelerinden kurtarabilir.

Windows Bellek Tanılama'yı adresinden http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C&indirebilirsiniz: ; displaylang=en

BELGELENMEMIŞ ARABIRIMLERI ARAŞTıRMA

Bültenin önceki bölümlerinde yer alan İşlem Gezgini geliştirmeleri bölümünde açıklanan DEP durum özelliği, belgelenmemiş bir işleve dayanır. Birçoğunun Windows kaynak koduna erişmeden nasıl keşfettiğini öğrenmekle ilgileneceğini düşündüm (Dave Solomon, Windows internals için ortak yazarım, erişimi var, ama ben yok), işlevi ve uygun kullanımı.

Çözümleme sürecimin ilk adımı, bir işlem için DEP durum sorgusunun API üzerinden NtQueryInformationProcess yönlendirildiğini varsamaktı. Bir işlem hakkında bilgi alan birçok Windows API işlevi, bilgileri almak için arabirimini kullanır NtQueryInformationProcess . Windows Sürücü Geliştirme Seti'nin (DDK) Ntddk.h dosyasında prototipi oluşturulan bu işleve kullanıcı modundan "yerel API" sistem çağrı arabirimi aracılığıyla erişilebilir:

NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength OPTIONAL
);

İlk iki bağımsız değişkeni, bir işlemin tanıtıcısı ve "işlem bilgileri sınıfı"dır. Tanımlarının ilk birkaçı aşağıda gösterilen PROCESSINFOCLASS sabit listesi DE NTDDK'ye dahil edilir. H:

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
//...

DEP, Windows XP SP2'de sunulduğundan, DEP sorguları için bilgi sınıfının Ntddk.h'nin Windows XP veya Windows Server 2003 sürümlerinde listelendiğini beklemiyordum ve bir hızlı denetim yokluğunu doğruladı. Bu nedenle, DEP sorgu bilgileri sınıfını ampirik olarak belirleyip belirleyemediğimi görmek için SP 2'nin Ntoskrnl.exe( uygulanan görüntü NtQueryInformationProcess ) bir ayrıştırma araştırmam gerekiyordu.

Ayrıştırıcı yürütülebilir bir görüntü alır ve kodunu oluşturan derleme dili yönergelerini listeler. Derleme dili yönergeleri doğrudan bir işlemci tarafından yürütülen yönergelerle eşler. Kullandığım ayrıştırıcı, Microsoft'un http://www.datarescue.com hata ayıklama bilgi dosyalarını anladığı ve bilgileri derleme dili çıkışıyla tümleştireceği için IDA Pro'dur. Ayrıştırmada, NtQueryInformationProcess'in başında işlem bilgileri sınıfı parametresini alan ve her sınıfa özgü kodu yürüten birleştirilmiş yönergeler dizisi keşfettim. Bilgi sınıfının yeni olduğunu bildiğimden, Ntddk PROCESSINFOCLASS numaralandırmasında tanımlarını gördüğüm sınıfların yürütülmesini atlayabilirdim. Bu, araştırmamı Windows XP'nin sürümünden bu yana sunulan yaklaşık 3 veya 4 yeni sınıfa daraltmıştı.

Sınıflardan biri olan ve 0x22 değerine karşılık gelen ProcessInformationClass sınıflardan biri, beni adlı MmGetExecuteOptionsbir işleve kod yolundan geçirerek başlangıcı burada gösterilmiştir:

PAGE:0054D7CC ; __stdcall MmGetExecuteOptions(x)
PAGE:0054D7CC _MmGetExecuteOptions@4 proc near ; CODE XREF:
NtQueryInformationPro0063ess(x,x,x,x,x)+251C p
PAGE:0054D7CC
PAGE:0054D7CC arg_4 = dword ptr 8
PAGE:0054D7CC
PAGE:0054D7CC mov edi, edi
PAGE:0054D7CE push ebp
PAGE:0054D7CF mov ebp, esp
PAGE:0054D7D1 mov eax, large fs:124h
PAGE:0054D7D7 mov eax, [eax+44h]
PAGE:0054D7DA mov cl, [eax+6Bh]
PAGE:0054D7DD mov eax, [ebp+arg_4]
PAGE:0054D7E0 and dword ptr [eax], 0
PAGE:0054D7E3 xor edx, edx
PAGE:0054D7E5 inc edx
PAGE:0054D7E6 test dl, cl
PAGE:0054D7E8 jz short loc_54D7EC
PAGE:0054D7EA mov [eax], edx
PAGE:0054D7EC
PAGE:0054D7EC loc_54D7EC: ; CODE XREF:
MmGetExecuteOptions(x)+1C j
PAGE:0054D7EC test cl, 2
PAGE:0054D7EF jz short loc_54D7F4
PAGE:0054D7F1 or dword ptr [eax], 2
PAGE:0054D7F4
PAGE:0054D7F4 loc_54D7F4: ; CODE XREF:
MmGetExecuteOptions(x)+23 j
PAGE:0054D7F4 test cl, 4
PAGE:0054D7F7 jz short loc_54D7FC
PAGE:0054D7F9 or dword ptr [eax], 4
PAGE:0054D7FC

IDA Pro, yukarıdaki çıktıdaki ilk satırda işlevin bir bağımsız değişkeni kabul ettiğini gösterdi. Bu, DEP ayarlarını alan bir değişkenin işaretçisi olduğundan şüpheleniyordum. Yönerge dizisini mov eax, large fs:124h; mov eax,[eax+44h] işlemci denetim bölgesi (PCR) yapısındaki geçerli iş parçacığı veri yapısının okunması ve ardından yapıdaki uzaklık _KTHREAD 0x44 _KTHREAD alanındaki bir başvuru KPROCESS olarak tanımak için Windows çekirdeğinin ayrıştırmalarına bakarak yeterince zaman harcadım. Bu yönergeleri izleyen yönergeler, bayt içindeki tek tek bitleri, yapıdaki _KPROCESS uzaklıkta 0x6B okur.

Yerel çekirdek hata ayıklama modunda Windbg'yi _KPROCESS başlattım ve komutunu dt _kprocessyürütürken 0x6B uzaklıkta ne olduğunu bilmeden şunu bildirdi:

+0x06b Flags : _KEXECUTE_OPTIONS

Looking at that structure with another dt command showed the bit definitions:

+0x000 ExecuteDisable : Pos 0, 1 Bit
+0x000 ExecuteEnable : Pos 1, 1 Bit
+0x000 DisableThunkEmulation : Pos 2, 1 Bit
+0x000 Permanent : Pos 3, 1 Bit
+0x000 ExecuteDispatchEnable : Pos 4, 1 Bit
+0x000 ImageDispatchEnable : Pos 5, 1 Bit
+0x000 Spare : Pos 6, 2 Bits

Elbette, bu bitler DEP ile ilişkilidir MmGetExecuteOptions ve bu bitleri bu yapıdan bağımsız değişken olarak ProcessInformation geçirilen bellek konumundaki ilgili bitlere NtQueryInformationProcesskopyalar. Bu nedenle, 0x22, adresi DWORD (4 baytlık tamsayı) ve uzunluğu 4 ile ProcessInformationClass çağırarak NtQueryInformationProcess bir işlemin DEP durumunu sorgulayabildiğimi belirledim. Yalnızca geçerli işlemin bayraklarını döndüren MmGetExecuteOptions ve parametresini yoksayan ProcessHandle bir görüntü görüntülenir (İşlem Gezgini, yardımcı sürücüsünün API aracılığıyla bunlara geçişini sağlayarak diğer işlemlerin KeAttachProcess DEP durumunu sorgular).

İşlem Gezgini'nin 64 bit sürümünü kullanıma sunacağımdan, Windows'un 64 bit sürümündeki birkaç küçük fark dışında yaptım. 64 bit Windows MmGetExecuteOptions için bunun ProcessHandle -1 olması gerekir ve DEP 64 bit işlemler için her zaman açık olduğundan geçerli işlem 64 bit işlemse hata STATUS_INVALID_PARAMETER döndürür. Windbg'yi Ntoskrnl.exe 64 bit sürümünü sökmek için kullandım, ancak o zamandan beri AMD64 görüntü ayrıştırma destekleyen IDA Pro sürümünü edindim.

İÇ EĞITIM

SAN FRANCISCO'DA WINDOWS BAĞLANTıLARı

Windows IT Pro Magazine tarafından çalıştırılan ve 17-20 Nisan tarihleri arasında San Francisco'da gerçekleşen Windows Bağlantıları konferansında iki oturum veriyorum. Bunlardan biri, kötü amaçlı yazılımların güvenlik önlemlerini yaymak ve atlamak için güvenlik açıklarından nasıl yararlandıklarını, "rootkits" olarak adlandırılan gelişmiş teknikleri kullanarak nasıl gizlendiklerini ve bunları algılamayı ve sisteminizden temizlemeyi anlattığım "Kötü Amaçlı Yazılımları Anlama ve Mücadele: Virüsler, Casus Yazılımlar ve Rootkitler" adlı genel bir oturumdur.

Diğer oturum ise eski "Görev Yöneticisi'nde gördüğüm değerlerin anlamı nedir", "belleğimi kullananlar" ve "Disk belleği dosyasını ne kadar büyük yapmalıyım" sorularını nasıl yanıtlayabileceğinizi gösterdiğim "Windows Bellek Sorunlarını Giderme" oturumudur.

Konferans broşürü indirin ve adresinden kaydolun
http://www.devconnections.com/shows/win/default.asp?s=60#

MARK RUSSINOVICH TARAFıNDAN UYGULAMALı WINDOWS INTERNALS/SYSINTERNALS SıNıFLARı

Windows NT/2000/XP/2003 işletim sistemi çekirdeğinin iç bileşenlerini araştırırken gelişmiş sorun giderme tekniklerini öğrenen yeni Windows Internals 4. baskı kitabının yazarları Mark Russinovich ve David Solomon ile 5 gün geçirin. Windows sunucularını ve iş istasyonlarını dağıtan ve destekleyen bir BT uzmanıysanız, işler yolunda gitmediğinde yüzeyin altına inebilmeniz gerekir. Windows işletim sisteminin iç özelliklerini anlamak ve gelişmiş sorun giderme araçlarını kullanmayı bilmek, bu tür sorunlarla başa çıkmanıza ve sistem performansı sorunlarını daha etkili anlamanıza yardımcı olur. İç bilgileri anlamak, programcıların Windows platformundan daha iyi yararlanmasına ve gelişmiş hata ayıklama teknikleri sağlamasına yardımcı olabilir. Kurs, Windows çekirdek kaynak kodu ve geliştiricilerine tam erişimle geliştirildiği için gerçek hikayeyi öğrendiğinizi biliyorsunuz.

Yaklaşan tarihler şunlardır:

  • 6-10 HAZIRAN, ORLANDO, FLORIDA
  • 11-15 TEMMUZ, MÜNIH, ALMANYA
  • 19-23 EYLÜL, SAN FRANCISCO, CALIFORNIA
  • 5-9 ARALıK, AUSTIN, TEXAS

NOT: Bu uygulamalı bir sınıftır; her katılımcı kendi dizüstü bilgisayarını getirmelidir (yapılandırma yönergeleri önceden gönderilecektir).

İşlemlerin iç özellikleri, iş parçacığı zamanlama, bellek yönetimi, G/Ç, hizmetler, güvenlik, kayıt defteri ve önyükleme işlemi dahil olmak üzere Windows NT/2000/XP/2003 çekirdek mimarisi hakkında ayrıntılı bilgi edineceksiniz. Ayrıca kötü amaçlı yazılım dezenfeksiyonu, kilitlenme bilgi dökümü (mavi ekran) analizi ve önyükleme sorunlarının aşılması gibi gelişmiş sorun giderme teknikleri de ele alınmıştır. Ayrıca yavaş bilgisayarlar, virüs algılama, DLL çakışmaları, izin sorunları ve kayıt defteri sorunları gibi çeşitli sistem ve uygulama sorunlarını gidermek için www.sysinternals.com (Filemon, Regmon ve İşlem Gezgini gibi) temel araçları kullanma hakkında gelişmiş ipuçları da öğreneceksiniz. Bu araçlar, Microsoft Ürün Desteği tarafından günlük olarak kullanılır ve çok çeşitli masaüstü ve sunucu sorunlarını çözmek için etkili bir şekilde kullanılmıştır, bu nedenle bunların çalışmasına ve uygulamasına aşina olmak Windows'taki farklı sorunlarla ilgilenmenize yardımcı olur. Gerçek sorunları çözmek için bu araçların başarılı bir şekilde uygulanmasını gösteren gerçek dünya örnekleri verilecektir.

Kaydolmak için http://www.sysinternals.com/troubleshoot.shtml

Sysinternals Bülteni'ni okuduğun için teşekkür ederiz.

Yayın tarihi: 05 Ocak 2005 Çarşamba 16:36 ottoh

[Bülten Arşivi ^] [< Cilt 6, Sayı 2] [7. Cilt, Özel Duyuru >]