Freigeben über

  • Artikel

[Newsletter-Archiv ^] [< Band 7, Nummer 2] [Band 8, Nummer 2 >]

Der Systems Internals-Newsletter, Band 8, Nummer 1

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2. März 2006 – In dieser Ausgabe:

  1. EINFÜHRUNG
  2. UPDATES FÜR TOOLS
  3. LIZENZIERUNGSUPDATE
  4. SYSINTERNALS-FORUM
  5. MARKS BLOG
  6. ARTIKEL VON MARK
  7. MARKS VORTRAGSPLAN
  8. LIVE-EINFÜHRUNGEN IN INTERNA/PROBLEMBEHANDLUNGSKURSE
  9. NEUE VIDEOBIBLIOTHEK ZUR PROBLEMBEHANDLUNG VON SYSINTERNALS

Winternals Software ist ein führender Entwickler und Anbieter innovativer Systemtools für Windows. Das Unternehmen wurde 2006 vom Info Security Products Guide als „angesagtes Unternehmen“ ausgezeichnet (siehe http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

Außerdem wurden Recovery Manager und Administrator's Pak von SearchWinSystems.com als Produkte des Jahres 2005 gekürt. Recovery Manager wurde in der Kategorie „Desktop Management“ mit Gold ausgezeichnet, während „Administrator Pak“ in der Gruppe „Systems Management“ (http://searchwinsystems.techtarget.com/productsOfTheYear/0294801,sid68_ayr2005,00.html) mit Silber dekoriert wurde.

Für vollständige Produktdetails, Multimedia-Demos, Webinare oder um eine Test-CD eines der Produkte anzufordern, besuchen Sie bitte http://www.winternals.com

EINFÜHRUNG

Guten Tag,

Willkommen beim Sysinternals-Newsletter. Der Newsletter hat aktuell 60.000 Abonnenten.

Im Februar verzeichnete Sysinternals 1,26 Mio. eindeutige Besucher und 20 Mio. Seitenaufrufe. Die Website liegt jetzt auf Alexa.com im Internet auf Platz 6.900 (http://www.alexa.com/data/details/?url=www.sysinternals.com).

Die folgenden Tools werden am häufigsten heruntergeladen:

  • Procexp: 375.000 Downloads/Monat
  • Autoruns: 120.000 Downloads/Monat
  • Rootkit Revealer: 120.000 Downloads/Monat
  • Filemon: 100.000 Downloads/Monat
  • Regmon: 90.000 Downloads/Monat
  • Tcpview: 63.000 Downloads/Monat

Filemon, Regmon, Process Explorer und Autoruns wurden von den Teilnehmern der Newsgroup alt.comp.freeware als die „Besten der Besten“ eingestuft (siehe http://www.pricelesswarehome.org/2006/about2006PL.php).

Im November letzten Jahres wurde es richtig spannend, nachdem ich meine Erkenntnisse über das Sony-Rootkit veröffentlicht hatte. Ich hatte meinen ersten nationalen Fernsehauftritt, gab ein Radiointerview und Dutzende von Presseinterviews und veröffentlichte Artikel in Fachmagazinen und Zeitungen. Die Lage hat sich nun wieder beruhigt, was bedeutet, dass ich mich wieder mit der Verbesserung der Sysinternals-Tools beschäftigen konnte. Nachstehend finden Sie eine vollständige Auflistung der Änderungen seit dem letzten Newsletter.

Ich freue mich auch sehr über die neue Sysinternals-Videobibliothek, ein Paket mit 6 DVDs, auf denen wichtige Themen der Windows-Problembehandlung mit den Sysinternals-Tools behandelt werden. Die DVDs sollten ab Juni verfügbar sein. Auf Sysinternals finden Sie eine Vorschau der Videoclips und können eines der Videos kostenlos herunterladen.

Wenn Sie an einer Konferenz teilnehmen, auf der ich einen Vortrag halte, kommen Sie bitte vorbei, um mir Hallo zu sagen. Oder verbringen Sie fünf Tage mit Dave Solomon und mir bei einem unserer Livekurse zu Windows Internals und Advanced Troubleshooting in London, San Francisco oder Austin.

– Mark Russinovich

UPDATES FÜR TOOLS

Viele Tools wurden seit dem letzten Newsletter im August aktualisiert. Da ich die Tools häufig aktualisiere, achten Sie darauf, dass Sie die neueste Version verwenden. Am besten bleiben Sie auf dem neuesten Stand, indem Sie meinen RSS-Feed unter http://www.sysinternals.com/sysinternals.xml abonnieren. (Sollten Sie RSS noch nicht verwenden, um bei Websites auf dem Laufenden zu bleiben, wird es höchste Zeit!)

Hier finden Sie eine detaillierte Liste der Änderungen nach Tool:

Process Explorer v10.06

Dieses größere Update von Process Explorer enthält eine Vielzahl neuer Features und Verbesserungen, die der Benutzerfreundlichkeit und zum Aufspüren von Schadsoftware dienen. Zu den Beispielen gehören die Befehle „Runas“ und „Run As Limited User“, der Neustart von Prozessen, Spaltensätze, erweiterte QuickInfos für Prozesse für das Hosten von Diensten und Rundll32-Prozessen, Spalten zur Aufschlüsselung von Arbeitssätzen sowie die Überprüfung von DLL-Images und die Erkennung komprimierter Images.

RootkitRevealer v1.7

Dieses neue Release von RootkitRevealer bietet ausgefeiltere Gegenmaßnahmen für Rootkits, prüft alle Registrierungsstrukturen, einschließlich Benutzerprofilen, wird in Windows XP-Remotedesktopsitzungen ausgeführt, unterstützt NTFS-Volumes mit Clustergrößen von mehr als 4 KB, enthält eine Reihe von Fehlerkorrekturen und reduziert die Anzahl falsch positiver Diskrepanzen. Selbst die kostenpflichtigen Anti-Erkennungsversionen des Hacker Defender Rootkits bleiben von diesem Release nicht unentdeckt.

RegDelNull v1.1

Mit diesem neuen Applet können Sie Registrierungsschlüssel finden und löschen, die von normalen Hilfsprogrammen zur Registrierungsbearbeitung nicht gelöscht werden können, weil ihre Namen NULL-Zeichen enthalten. Als Reaktion auf die Tatsache, dass solche Schlüssel von Schadsoftware genutzt werden, kann RegDelNull jetzt Schlüssel entsperren und löschen, die nicht nur eingebettete NULL-Zeichen enthalten, sondern auch Sicherheitsberechtigungen aufweisen, die sie ansonsten unzugänglich machen.

Sigcheck v1.3

Sigcheck, ein leistungsfähiges Tool zur Überprüfung von Dateiversionen und Signaturen über die Befehlszeile, enthält jetzt ein neues Flag, das nur die Versionsnummer einer Datei angibt.

PsExec v1.7

Dieses Update von PsExec enthält den neuen Schalter „-l“ zur Verwendung durch administrative Konten, um Prozesse mit eingeschränkten Benutzerkontoberechtigungen auszuführen. Führen Sie Internet Explorer mit geringen Rechten aus, ehe IE 7 (unter Vista) veröffentlicht wird, indem Sie einfach eine Verknüpfung erstellen, um den Browser mit dem Schalter zu starten.

Autoruns v8.42

Autoruns kennt jetzt noch mehr Autostart-Speicherorte, darunter den Registrierungswert für die Winlogon-Startüberprüfung, Hijacks zum Öffnen der Shell, Kernelmodustreiber, Druckmonitor-DLLs und Explorer-Spaltenhandler, die alle von echter Schadsoftware verwendet wurden. Hinzugekommen ist eine bedarfsgesteuerte Signaturprüfung für einzelne Elemente und eine erheblich beschleunigte Prüfgeschwindigkeit, wenn die Imageprüfung ausgewählt ist.

Autoruns unterstützt jetzt beliebig lange Registrierungs- und Dateisystempfade, bietet nun eine Suchfunktion für das Durchsuchen konfigurierter Elemente und führt ein Feature zum Vergleichen aktueller Autostarts mit einer zuvor gespeicherten Version ein, sodass Sie neue Ergänzungen leicht feststellen können.

ProcFeatures v1.0

Dieses Applet meldet Prozessor- und Windows-Unterstützung für physische Adresserweiterungen und NX-Pufferüberlaufschutz (No execute).

DiskView v2.2

Diskview, ein Hilfsprogramm, mit dem Sie die Clusterzuteilungen eines Volumes einsehen können, zeigt jetzt eine Übersicht über die Fragmente einer Datei an, wenn Sie auf einen der Cluster der Datei doppelklicken, und über die Schaltfläche „Show Next“ navigieren Sie zum nächsten Fragment einer ausgewählten Datei.

DebugView v4.5

DebugView ist ein Entwicklertool, das die Debugausgabe im Benutzer- und Kernelmodus erfasst. Nach vielen Benutzeranfragen zu diesem Feature bietet DebugView nun die Möglichkeit, eine neue Protokolldatei zu erstellen und die Anzeige jeden Tag zu leeren.

AccessEnum v1.3

AccessEnum ist ein leistungsfähiges sicherheitsorientiertes Hilfsprogramm, das die Erkennung falsch konfigurierter Sicherheitsdeskriptoren von Dateien und Registrierungen erleichtert. Version 1.3 enthält Fehlerbehebungen, ein Windows XP-Design und ein neues Dateiformat, das mit dem Import aus Excel kompatibel ist.

Livekd v3.0

LiveKd, ein Hilfsprogramm, mit dem Sie das lokale System mit den standardmäßigen Kerneldebuggern von Microsoft wie ein Absturzabbild anzeigen können, unterstützt jetzt x64-Versionen von Windows und weist einige kleinere Fehlerbehebungen auf.

Regmon v7.02

Dieses Nebenupdate enthält klarere Fehlermeldungen für den Fall, dass ein Konto nicht über die für die Ausführung von Regmon erforderlichen Berechtigungen verfügt oder Regmon bereits ausgeführt wird, und fasst die 32-Bit- und die 64-Bit-Version (x64) in einer einzigen Binärdatei zusammen.

LIZENZIERUNGSUPDATE

Wir werden oft gefragt, welche Regeln für unsere Freewaretools gelten. Wir haben damit begonnen, ein Popup-Fenster für die Endbenutzer-Lizenzvereinbarung einzufügen, das beim ersten Ausführen eines Tools angezeigt wird. Der Text lautet wie folgt:

„You are allowed to use software published on this Web site at home or at work without paying a commercial license fee provided that you downloaded the software yourself directly from Sysinternals, use the software on computers for which you are the primary user, use the software on systems for which there is no primary user (e.g. a server, including a terminal server) and you are a full-time employee of the company that owns the server, or use the software on a computers within a home of which you are residence.“ (Sie dürfen die auf dieser Website veröffentlichte Software zu Hause oder am Arbeitsplatz ohne Entrichtung einer Gebühr für eine kommerzielle Lizenz verwenden, sofern Sie die Software selbst direkt von Sysinternals heruntergeladen haben, die Software auf Computern verwenden, auf denen Sie der primäre Benutzer sind, die Software auf Systemen verwenden, für die es keinen primären Benutzer gibt (z. B. ein Server, einschließlich eines Terminalservers) und Sie ein Vollzeitbeschäftigter des Unternehmens sind, das Eigentümer des Servers ist, oder die Software auf einem Computer innerhalb Ihres Wohnsitzes verwenden.)

Auf der Lizenzseite für Freeware von Sysinternals unter http://www.sysinternals.com/Licensing.html werden jetzt Szenarien erläutert, in denen eine kostenpflichtige kommerzielle Lizenz für die Nutzung erforderlich ist.

SYSINTERNALS-FORUM

Besuchen Sie eines der 16 interaktiven Sysinternals-Foren (http://www.sysinternals.com/forum). Neben dedizierten Foren für jedes der wichtigsten Tools gibt es vier technische Windows-Foren: Malware, Troubleshooting, Internals und Development.

Bei inzwischen mehr als 7.352 Mitgliedern (ein Zuwachs von fast 6.000 in 6 Monaten) wurden bisher 14.667 Beiträge in 4.384 verschiedenen Themen verfasst. Das sind 2.000 Beiträge pro Monat in den letzten 6 Monaten!

MARKS BLOG

Mein Blog hat mit der Veröffentlichung meiner Erkenntnisse über das Sony-Rootkit neue Aufmerksamkeit erhalten, aber es gab auch einige andere Beiträge, die nicht mit dem Sony-Problem zusammenhängen. Hier ist eine Liste der Artikel seit dem letzten Newsletter:

  • 06.02.2006: Using Rootkits to Defeat Digital Rights Management (Verwenden von Rootkits zum Umgehen von Digital Rights Management)
  • 18.01.2006: Inside the WMF Backdoor (Informationen zur Schwachstelle in WMF)
  • 15.01.2006: Rootkits in Commercial Software (Rootkits in kommerzieller Software)
  • 03.01.2006: The Antispyware Conspiracy (Die Antispyware-Verschwörung)
  • 30.12.2005: Sony Settles (Einigung mit Sony)
  • 12.12.2005: Circumventing Group Policy as a Limited User (Umgehen von Gruppenrichtlinie als eingeschränkter Benutzer)
  • 30.11.2005: Premature Victory Declaration? (Voreilige Siegesmeldung?)
  • 16.11.2005: Victory! (Sieg!)
  • 14.11.2005: Sony: No More Rootkit – For Now (Kein Rootkit mehr – Vorerst)
  • 09.11.2005: Sony: You don't reeeeaaaally want to uninstall, do you? (Sie möchten nicht wirkliche eine Deinstallation vornehmen, oder?)
  • 06.11.2005: Sony's Rootkit: First 4 Internet Responds (Das Rootkit von Sony: die ersten 4 Reaktionen im Internet)
  • 04.11.2005: More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home (Mehr zu Sony: Gefährlicher Enttarnungspatch, EULAs und Anrufe zu Hause)
  • 31.10.2005: Sony, Rootkits and Digital Rights Management Gone Too Far (Sony, Rootkits und Digital Rights Management – zu weit gegangen)
  • 19.10.2005: The Bypass Traverse Checking (or is it the Change Notify?) Privilege (Die Berechtigung zur Umgehung der Traversierungsüberprüfung [oder ist es die Änderungsmitteilung?])
  • 02.10.2005: Registry Junk: A Windows Fact of Life (Registrierungsmüll: Ein Faktum unter Windows)
  • 19.09.2005: Multi-platform Images (Images für mehrere Plattformen)
  • 28.08.2005: The Case of the Intermittent (and Annoying) Explorer Hangs (Der Fall der sporadischen [und lästigen] Explorer-Blockaden)

Eine vollständige Liste der Artikel finden Sie unter http://www.sysinternals.com/blog/blogindex.html

ARTIKEL VON MARK

In meinem letzten Artikel im Windows and IT Pro Magazine ging es um AccessEnum, das ein bestimmtes Volume, ein Unterverzeichnis oder einen Registrierungsschlüssel durchsucht, um Sie bei der Suche nach potenziellen Problemstellen in Ihren Sicherheitseinstellungen zu unterstützen.

Es steht Abonnenten online unter http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1 zur Verfügung.

MARKS VORTRAGSPLAN

Im letzten Herbst habe ich als Redner auf der Microsoft 2005 Professional Developers Conference (im September in Los Angeles), der Windows Connections (im November in San Francisco, Kalifornien) und dem Microsoft IT Forum (im November in Barcelona, Spanien) fungiert.

Meine nächsten Konferenzvorträge halte ich im Juni auf der Microsoft TechEd 2006 in Boston. Am 11. Juni gebe ich zusammen mit Dave Solomon im Vorfeld der Konferenz ein Tutorial zur erweiterten Bereinigung von Schadsoftware (http://www.msteched.com/content/precons.aspx). Außerdem werde ich vier Breakoutsitzungen zu Themen wie Änderungen am Vista-Kernel, Problembehandlung mit Filemon und Regmon, Analyse von Windows-Abstürzen und -Blockaden sowie verbesserte Techniken zur Bereinigung von Schadsoftware anbieten.

Aktuelle Informationen finden Sie unter http://www.sysinternals.com/Information/SpeakingSchedule.html.

LIVE-EINFÜHRUNGEN IN INTERNA/PROBLEMBEHANDLUNGSKURSE

Wenn Sie Sysinternals oder das Buch „Windows Internals“ mögen oder mehr über die Interna von Windows-Betriebssystemen erfahren möchten, einschließlich Neuerungen unter Vista, dann sollten Sie an den einzigen terminierten Seminaren teilnehmen, bei denen sowohl Dave Solomon als auch ich unser fünftägiges praktisches Seminar „Windows Internals and Advanced Troubleshooting“ abhalten (bringen Sie Ihren eigenen Laptop mit). Die Termine in diesem Jahr sind wie folgt:

  • London, 26.–30. Juni 2006
  • San Francisco, 18.–22. September 2006
  • Austin, Texas, 11.–15. Dezember 2006

In diesem Kurs lernen Sie die Kernelarchitektur von Windows im Detail kennen, einschließlich der Interna von Prozessen, Threadplanung, Arbeitsspeicherverwaltung, E/A, Diensten, Sicherheit, Registrierung und Startprozess. Darüber hinaus werden erweiterte Problembehandlungstechniken wie Schadsoftwaredesinfektion, Absturzabbildanalyse (Bluescreen) und das Abrufen früherer Startprobleme behandelt.

Außerdem erhalten Sie fortgeschrittene Tipps zur Verwendung der wichtigsten Tools von www.sysinternals.com (z. B. Filemon, Regmon, Process Explorer), um eine Reihe von System- und Anwendungsproblemen zu beheben, z. B. langsame Computer, Virenerkennung, DLL-Konflikte, Probleme mit Berechtigungen und Registrierungsprobleme. Diese Tools werden täglich vom Microsoft-Produktsupport verwendet und wurden effektiv eingesetzt, um eine Vielzahl von Desktop- und Serverproblemen zu lösen. Wenn Sie also mit dem Betrieb und der Anwendung vertraut sind, können Sie mit verschiedenen Problemen unter Windows umgehen. Beispiele aus der Praxis zeigen die erfolgreiche Anwendung dieser Tools zur Lösung realer Probleme. Und da der Kurs mit vollem Zugang zum Quellcode des Windows-Kernels UND zu den Entwicklern entwickelt wurde, können Sie sicher sein, dass Sie die wahre Geschichte erfahren.

Und ab 20 Personen ist es für Sie vielleicht attraktiver, einen privaten Kurs an Ihrem Standort zu buchen. (Senden Sie dazu eine E-Mail an „seminars@...“, um ausführlichere Informationen zu erhalten.)

Weitere Details sowie die Möglichkeit zur Registrierung finden Sie unter
http://www.sysinternals.com/Troubleshooting.html

NEUE VIDEOBIBLIOTHEK ZUR PROBLEMBEHANDLUNG VON SYSINTERNALS

Dave Solomon und ich haben kürzlich eine neue Videoreihe aufgezeichnet, die den Namen „The Sysinternals Troubleshooting Library“ trägt. Es handelt sich um ein Paket mit 6 DVDs, auf denen grundlegende Windows-Interna und weiterführende Themen zur Problembehandlung mit den Sysinternals-Tools behandelt werden. Die Titel der DVDs lauten wie folgt:

  • DVD 1: Tour of the Sysinternals Tools (Einführung in die Sysinternals-Tools)
  • DVD 2: Troubleshooting with Process Explorer (Problembehandlung mit Process Explorer)
  • DVD 3: Troubleshooting with Filemon and Regmon (Problembehandlung mit Filemon und Regmon)
  • DVD 4: Troubleshooting Memory Problems (Behandeln von Arbeitsspeicherproblemen)
  • DVD 5: Crash Dump und Hang Analysis (Analyse von Absturzabbildern und Blockaden)
  • DVD 6: Troubleshooting Boot und Startup Problems (Behandeln von Systemstart- und Startproblemen)

Wir gehen davon aus, dass wir noch in diesem Monat einige Beispielvideos zum Herunterladen bereitstellen werden. Die DVDs sollten ab Juni versendet werden. Wir bieten einen ermäßigten Preis auf Vorbestellungen an, was hoffentlich im Mai möglich sein wird. Wenn die DVDs zur Vorbestellung verfügbar sind, senden wir eine Benachrichtigung an diese Interessentenliste.

Vielen Dank, dass Sie den Sysinternals-Newsletter gelesen haben.

Veröffentlicht am Dienstag, den 02. Mai 2006 um 16:29 Uhr von ottoh

[Newsletter-Archiv ^] [< Band 7, Nummer 2] [Band 8, Nummer 2 >]