Delen via

  • Artikel

[Nieuwsbrievenarchief ^] [< Volume 6, Nummer 2] [Volume 7, Speciale aankondiging >]

The Systems Internals Newsletter Volume 7, Number 1

http://www.sysinternals.com
Copyright (C) 2005 Mark Russinovich

5 januari 2005 - In dit probleem:

  1. HOOFDARTIKEL

    • Hebt u DEP?

  2. WINDOWS INTERNALS, 4E EDITIE

  3. WAT IS ER NIEUW IN SYSINTERNALS

    • Statistieken van november
    • Sysinternals Magazine Artikelen
    • Sysinternals RSS-feed
    • Mark is een Microsoft MVP
    • Autoruns v6.01
    • Process Explorer v8.61
    • Sigcheck v1.0
    • Bginfo v4.07
    • Regjump v1.0
    • Hex2dec v1.0
    • Tcpvcon v2.34
    • PsTools-updates
    • Sysinternals bij Microsoft

  4. INFORMATIE OVER INTERNE GEGEVENS

    • Surfen op internet
    • LiveKd gebruiken om problemen met zieke systemen op te lossen
    • CreekSide?
    • ChkReg Registry Fixer
    • Windows Memory Diagnostic
    • Niet-gedocumenteerde interfaces onderzoeken

  5. INTERNE TRAINING

    • Windows Connections in San Francisco
    • Hands-on Windows Internals/Sysinternals Klassen door Mark Russinovich & David Salomon

De Sysinternals Newsletter wordt gesponsord door Winternals Software, op het web op http://www.winternals.com. Winternals Software is de toonaangevende ontwikkelaar en provider van geavanceerde systeemhulpprogramma's voor Windows NT/2000/XP/2003.

Winternals kondigt de aanstaande release van Administrator's Pak 5.0 aan met een uitgebreide update, waaronder ERD Commander 2005.

Nieuwe functies in ERD Commander 2005 zijn onder andere:

  • Crash Analyzer: snel en eenvoudig het stuurprogramma vaststellen dat verantwoordelijk is voor een Windows-crash, zelfs als het systeem niet opstart
  • DiskWipe - Harde schijven of volumes veilig wissen; Autoruns: Zien welke toepassingen beginnen bij het instellen van Windows en aanmelden van gebruikers, handig voor het diagnosticeren van problemen met systeembronnen en het vinden van mogelijke malware
  • FireFox-webbrowser: hotfixes, stuurprogramma-updates downloaden, hulp zoeken in de Microsoft Knowledge Base - alles op het systeem dat u probeert te herstellen
  • Wizard Hotfix verwijderen, waarmee u hotfixes en servicepacks kunt verwijderen op een niet-opstartbaar systeem
  • Systeembestand herstellen, waarmee Windows-systeembestanden worden gecontroleerd op integriteit.

Deze functies, talloze verbeteringen en bruikbaarheidsverbeteringen aan ERD Commander 2005, en een nieuwe eenvoudiger te bouwen en te gebruiken Remote Recover-client op basis van Windows PE zijn allemaal opgenomen in de pak 5.0 van de nieuwe beheerder, beschikbaar eind januari 2005. Als u zich wilt registreren voor een evaluatie van de Administrator's Pak 5.0 wanneer deze wordt uitgebracht, gaat u naar http://www.winternals.com/ap5preview/.

HOOFDARTIKEL

Hallo allemaal,

Welkom bij de Sysinternals nieuwsbrief. De nieuwsbrief heeft momenteel 40.000 abonnees.

Het stijgende aantal malware, inclusief spyware en virussen, heeft iedereen bezorgd over beveiliging. Goede beveiligingsmaatregelen omvatten het bijhouden van besturingssysteem- en toepassingspatches, het installeren en configureren van firewall-, antivirus- en spywareverwijderingshulpprogramma's, en het uitoefenen van beoordeling bij het downloaden van internet of het openen van e-mailbijlagen. Ondanks grondige maatregelen kan malware echter nog steeds manieren vinden om door verdediging te sluipen en een computer te infecteren. De meest voorkomende lus in de verdediging van een systeem is de bufferoverloopprobleem. Daarom moet u bekend zijn met de functie Preventie van gegevensuitvoering (DEP) van Windows XP Service Pack 2.

Een bufferoverloop is een programmeerfout die schadelijke programma's kunnen gebruiken om controle te krijgen over de thread waarmee de coderingsfout wordt uitgevoerd. Bufferoverloop is meestal gebaseerd op stacks, wat betekent dat een aanvaller het programma meer gegevens geeft dan past in een buffer die op de stack is opgeslagen. De gegevens worden zodanig gemaakt dat wanneer de functie met de overloop probeert terug te keren naar de functie van waaruit deze is aangeroepen, deze in plaats daarvan terugkeert naar een locatie in de gegevens.

Helaas kunnen bufferoverloopfouten zelfs de best geteste en gecontroleerde software plaagen. Meerdere bufferoverschrijdingen worden maandelijks aangekondigd voor Windows en de bijbehorende software (Linux en de toepassingen zijn niet immuun, met een aantal bufferoverschrijdingen in pare met Windows). Een veelvoorkomend thema voor de meeste bufferoverloop-aanvallen is dat ze resulteren in het uitvoeren van code in geheugenregio's die alleen gegevens mogen bevatten.

Hoewel de Intel Itanium-processor bescherming zonder uitvoering heeft ondersteund tegen de release, was het pas tot Windows XP SP2 (en de aanstaande Windows Server 2003 SP1) dat Windows daadwerkelijk gebruikmaakt van deze hardwareondersteuning, bijvoorbeeld het markeren van threadstacks en heapgeheugen als niet-uitvoerbaar bestand. Andere processors die ondersteuning bieden voor hardwarebeveiliging zonder uitvoering zijn onder andere de 64-bits AMD64 Opteron en Athlon 64 en Intel's kloon met de naam EM64T- nu beschikbaar op Xeon- en Pentium 4-processors. AMD en Intel hebben onlangs 32-bits processors geïntroduceerd met no-execute-ondersteuning: de AMD Sempron en de Pentium 4 "J" familie (zoals de 520J, 540J, enzovoort).

Het lijkt u misschien duidelijk dat Windows standaard beveiliging zonder uitvoering moet afdwingen voor stacks en toepassings-heapgeheugen om bufferoverloop-aanvallen te voorkomen, maar er zijn honderdduizenden bestaande toepassingen, waarvan sommige daadwerkelijk afhankelijk zijn van de instelling die niet wordt afgedwongen voor een juiste bewerking. Daarom geeft Windows XP SP2, de eerste versie van Windows die beveiliging zonder uitvoering afdwingt, een beheerder controle over welke processen worden beveiligd en welke niet. Ten eerste, in een beslissing die is gericht op het verbeteren van de beveiliging in de toekomst, dwingt de 64-bits versie van Windows altijd no-execute vlaggen af voor alle 64-bits processen. Als een softwareleverancier een 64-bits toepassing wil vrijgeven, moet deze ervoor zorgen dat ze geen code uitvoeren uit niet-uitvoerbare regio's met geheugen (ze kunnen een gegevensregio markeren als uitvoerbaar als ze code on-the-fly genereren, zoals Java- en .NET-toepassingen vaak doen).

Ten tweede, omdat bufferoverloop-aanvallen het meest gericht zijn op onderdelen van het besturingssysteem, 32-bits Windows XP en Windows Server 2003 standaard kernbesturingssysteeminstallatiekopieën beveiligen. Voor 32-bits toepassingen (die worden uitgevoerd op 32-bits Windows of 64-bits Windows), wordt windows XP standaard ingesteld op een 'opt-in'-strategie (toepassingen worden niet standaard beveiligd) terwijl Windows Server 2003 standaard 'opt-out' is (toepassingen worden standaard beveiligd, maar specifieke toepassingen kunnen worden uitgesloten). Dit is logisch omdat de beveiliging doorgaans een hogere prioriteit heeft op serversystemen. U kunt de instellingen voor opt-in of opt-out wijzigen in het dialoogvenster DEP-configuratie die u opent via de knop Instellingen in de sectie Prestaties van de pagina Geavanceerd van het configuratiescherm van het systeem.

Zoals ik eerder al zei, met uitzondering van de relatief nieuwe AMD Sempron- en Pentium 4 "J"-processors, ontbreken alle x86 compatibele chips die tot op heden zijn uitgebracht, geen ondersteuning voor uitvoering. Windows XP en Windows Server 2003 implementeren echter een beperkte vorm van DEP op deze processors met de naam "software DEP". Omdat het besturingssysteem controle krijgt over een thread wanneer de thread een fout genereert, kan het ervoor zorgen dat de fouthandler die wordt uitgevoerd, een thread is die statisch is geregistreerd door de code van het programma. Dit voorkomt een misbruik die de fouthandler van een thread omleidt om schadelijke code uit te voeren in een overloopstackbuffer. Dit is wat het CodeRed-virus IIS heeft veroorzaakt toen het in 2001 werd uitgebracht.

Ondanks de relatieve eenvoud is DEP een van de sterkste verdedigingen die het besturingssysteem biedt in zijn schild tegen zelfdoorgifte malware. Helaas beperken drie dingen de kracht: gebrek aan hardwareondersteuning in de meeste momenteel geïmplementeerde processors voor de instelling zonder uitvoering, de standaardinstelling voor opt-in in Windows XP, zodat alleen kernbesturingssysteemprocessen worden beveiligd en gebrek aan bewustzijn. Software DEP is beperkt in het bereik en dus is DEP slechts marginaal effectief, tenzij u Windows uitvoert op hardware die ondersteuning biedt voor no-execute. Het feit dat Windows XP standaard wordt gebruikt voor opt-in betekent dat zelfs wanneer gebruikers Windows op no-execute hardware uitvoeren, de enige processen die DEP-beveiliging krijgen, die van het besturingssysteem zijn: als er een bufferoverloop is in de firewall van derden, webbrowser, e-maillezer of andere toepassing met netwerkmogelijkheden, bent u nog steeds kwetsbaar. Sommige toepassingen die het meest worden misbruikt door malware, IIS en Outlook, worden niet beveiligd onder de opt-in-instelling. Ten slotte, omdat de meeste mensen zich niet bewust zijn van het standaardgedrag, of zelfs DEP, blijven systemen voor het grootste deel risico lopen op buffer-overloopproblemen.

Het tijdstip waarop Microsoft gebruikers de compatibiliteitsprijs laat betalen in ruil voor betere beveiliging of gebruikers betalen uiteindelijk een veel hogere prijs aan virussen, en ze zullen de factuur op zijn beurt doorgeven aan Microsoft. Ondertussen raad ik u ten zeerste aan om een upgrade uit te voeren naar Windows XP SP2 (Windows XP 64-bits editie en Windows Server 2003 SP1 hebben ook ondersteuning voor no-execute), overschakelen naar opt-in en upgraden naar een processor met ondersteuning zonder uitvoering (helaas krijg ik geen commissie).

Geef de nieuwsbrief door aan vrienden die u denkt geïnteresseerd te zijn in de inhoud.

Hartelijk dank!

-Merken

WINDOWS INTERNALS, 4E EDITIE

Het officiële Microsoft-boek over de interne functies van Windows Server 2003, Windows 2000 en Windows XP, die ik samen met Dave Salomon heb geschreven, is nu beschikbaar in boekwinkels. Dave en ik breidden de dekking van de vorige editie met ongeveer 25% uit, en voeg niet alleen nieuw materiaal toe op Windows Server 2003- en XP-wijzigingen, maar over hulpprogramma's en technieken voor probleemoplossing. U vindt geavanceerde tips voor het gebruik van Procesverkenner, Filemon en Regmon, en er is een volledig nieuw hoofdstuk over windows-crashdumpanalyse.

Meer informatie over de inhoud en bestelling van het boek vindt u op

http://www.sysinternals.com/windowsinternals.shtml

WAT IS ER NIEUW IN SYSINTERNALS

SYSINTERNALS RSS-FEED

Ik heb de aanvraag gekregen om een nieuw meldingsmechanisme toe te voegen aan Sysinternals, zo vaak dat ik de webbrede trend heb gevolgd en een RSS-feed heb toegevoegd (als u niet bekend bent met RSS-feeds, is dit een goede inleiding: http://rss.softwaregarden.com/aboutrss.html). De feed geeft me ook de mogelijkheid om u op de hoogte te stellen van kleine foutoplossingen en updates die geen volledige vermelding op de voorpagina rechtvaardigen. Het lijkt al op de voorkeurswijze voor mensen om te leren van updates op basis van het aantal hits dat de feed per dag krijgt.

Toegang tot de RSS-feed sysinternals op:

http://www.sysinternals.com/sysinternals.xml

SYSINTERNALS MAGAZINE ARTIKELEN

Ongeveer zes maanden geleden begon ik met het ontwerpen van een semi-maandkolom in Windows IT Pro Magazine (voorheen Windows en .NET Magazine) op Sysinternals tools. Elke kolom beschrijft een ander hulpprogramma, met tips over geavanceerd gebruik en informatie over hoe ze werken.

Van de drie die hieronder zijn gepubliceerd, zijn de eerste twee online toegankelijk voor niet-abonnees en de derde is binnenkort beschikbaar:

Autoruns: http://www.win2000mag.com/Windows/Article/ArticleID/44089/44089.html

Pslist en Pskill: http://www.winnetmag.com/Windows/Article/ArticleID/43569/43569.html

PsExec: http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

MARK IS EEN MICROSOFT MVP

De MVP-lead (Platform SDK Microsoft Most Valuable Professional) heeft me een MVP genoemd voor 2005. Ik ben hem en Microsoft dankbaar voor deze officiële bevestiging van de bijdragen die ik heb geleverd aan Microsoft-klanten met Sysinternals.

STATISTIEKEN VAN NOVEMBER

Ik heb eindelijk een fatsoenlijk webverkeersanalyseprogramma voor Sysinternals en heb de logboekbestanden geanalyseerd voor de maand november. De omvang van de getallen verbaast me zelfs. Hier volgen enkele hoogtepunten:

  • 3,6 miljoen paginaweergaven
  • 775.000 unieke bezoekers
  • 1,2 miljoen downloads van hulpprogramma's
  • 200.000 downloads van Process Explorer, de #1 download

AUTORUNS V6.01

Autoruns heeft de afgelopen maanden veel ontwikkeld met twee belangrijke versienummerupdates. In de nieuwste versie van AutoRuns worden locaties voor automatisch starten weergegeven naast de standaardmappen Run-sleutel en opstartmappen, waaronder Winlogon-meldings-DLL's, Explorer-werkbalken, naamruimteextensies en browserhelperobjecten en DLL's voor automatische initialisatie. Een andere nieuwe functie, het Menu-item van Google (geleend vanuit Process Explorer) helpt u bij het identificeren van onbekende afbeeldingen door een browser te openen en een zoekopdracht naar de geselecteerde afbeeldingsnaam te starten.

Een andere nieuwe functie, verificatie van afbeeldingsondertekening, kan u helpen onderscheid te maken tussen malware en systeemonderdelen of vertrouwde toepassingen. Microsoft bevat over het algemeen hashes van besturingssysteembestanden die zijn ondertekend met de persoonlijke ondertekeningssleutel van Microsoft. Cryptografische Windows-functies ontsleutelen de ondertekende hashes met de openbare ondertekeningssleutel van Microsoft en Autoruns valideert de installatiekopieën op uw systeem door hun hashes te vergelijken met de ontsleutelde versies, waarbij de bedrijfsnaam van de installatiekopieën wordt voorafgegaan door '(Geverifieerd)' wanneer er een overeenkomst is. Als er met een installatiekopieën is geknoeid, beschadigd, vervangen of een hash is ondertekend door een uitgever die niet wordt vertrouwd door uw systeem, rapporteert AutoRuns de bedrijfsnaam voor de installatiekopieën als '(Niet geverifieerd)'.

Als systeembeheerder wilt u mogelijk de automatisch startende installatiekopieën controleren in andere accounts dan de installatiekopieën die u hebt aangemeld, dus Autoruns bevat nu een gebruikersmenu met selecties voor elk account met een profiel dat is opgeslagen op de computer.

Ten slotte is er nu een opdrachtregel-equivalent van de Autoruns-GUI, genaamd Autorunsc, die informatie over autoruns weergeeft aan de console. De mogelijkheid om de uitvoer als CSV te formatteren, in combinatie met het PsExec-hulpprogramma van Sysinternals, maakt het eenvoudig voor u om inventarissen te genereren van de geconfigureerde automatisch startende installatiekopieën voor computers in uw netwerk.

Autoruns downloaden op
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

PROCESS EXPLORER V8.61

Nogmaals, Process Explorer, een hulpprogramma dat Taakbeheer vervangt als een geavanceerd hulpprogramma voor procesbeheer, is het hulpprogramma waarop ik me het meest heb gericht, en dat komt doordat ik zoveel feedback krijg. Sinds de laatste nieuwsbrief is Process Explorer van versie 8.4 naar 8.6 verdwenen. Een reeks nieuwe functies markeren deze twee releases, waaronder een Google-menu-item waarmee een zoekopdracht wordt gestart naar informatie over een geselecteerd proces, een tabblad tekenreeksen in het dialoogvenster met proceseigenschappen met de ASCII- en Unicode-tekenreeksen die aanwezig zijn in een procesafbeeldingsbestand, een menu-item tekenreeksen met tekenreeksen in een geselecteerd DLL-afbeeldingsbestand, en de naam van het meest CPU-verbruikende proces in de knopinfo die wordt weergegeven wanneer u de muisaanwijzer boven het pictogram van het systeemvak van Process Explorer beweegt.

Veel mensen hebben functies aangevraagd die ze misten bij het overschakelen van Taakbeheer, zoals het tabblad Taakbeheertoepassingen. Op het tabblad Toepassingen ziet u een lijst met vensters op het hoogste niveau op het interactieve bureaublad, samen met de status van de thread die eigenaar is van elk venster: 'Wordt uitgevoerd' als de thread momenteel wacht op het ontvangen van een venster of een vensterbericht heeft verwerkt binnen de afgelopen vijf seconden en 'reageert niet' anders (ironisch betekent dit dat 'actief' aangeeft dat de thread wacht en 'niet reageert' dat het wordt uitgevoerd). U kunt nu dezelfde informatie ophalen met Process Explorer door de kolommen 'Venstertitel' en 'Vensterstatus' toe te voegen aan de procesweergave.

Process Explorer heeft gedurende enige tijd functies at.NET processen, waaronder markeren voor .NET-processen en een tabblad .NET-prestaties in het dialoogvenster met proceseigenschappen van .NET-processen. Een .NET-proces is een proces dat is geladen en geregistreerd bij de .NET-runtime. Als een proces zich enige tijd registreert nadat het Procesverkenner is gestart, realiseert het zich mogelijk niet dat het een .NET-proces is, maar de meest recente release controleert processen voor .NET-status en taakobjectlidmaatschap opnieuw wanneer u de weergave handmatig vernieuwt, door op de knop Vernieuwen op de werkbalk, de F5-toets te drukken of door het menu-item Vernieuwen te selecteren.

In situaties waarin u niet zeker weet welk proces eigenaar is van een venster, kunt u de nieuwe werkbalkknop vensterzoeker gebruiken om het te identificeren. Sleep de werkbalkknop, die eruitziet als een doel, van de werkbalk en over het betreffende venster en Process Explorer selecteert het proces dat eigenaar is in de procesweergave.

Een toevoeging die direct duidelijk voor u is, is de mini-CPU-grafiek die wordt weergegeven in de buurt van de werkbalk. In deze grafiek ziet u de geschiedenis van het CPU-gebruik van het systeem en zoals de uitgebreide versie die u krijgt wanneer u erop klikt om het dialoogvenster Procesverkenner Systeeminformatie te openen, wordt er knopinfo weergegeven die de tijdstempel en het hoogste CPU-verbruiksproces bevat voor het punt in de grafiek waarover u de muis beweegt. U kunt de grafiek verplaatsen naar een willekeurige plaats in het werkbalkgebied, zelfs naar de ene rij, zodat deze zich over de breedte van het venster Process Explorer bevindt.

Twee beveiligingsfuncties zijn verificatie bij het ondertekenen van installatiekopieën en de STATUS VAN DEP (Data Execution Protection). Wanneer u de optie voor het ondertekenen van afbeeldingen inschakelt, controleert Process Explorer of een procesafbeelding digitaal is ondertekend door vertrouwde ondertekenaar en, zoals Autoruns, de bedrijfsnaam voorafvoegt in het dialoogvenster Met proceseigenschappen met Geverifieerd of Niet geverifieerd. De optie is standaard uitgeschakeld omdat de controle voor het ondertekenen van afbeeldingen enkele seconden kan duren wanneer de controle naar websites gaat om de geldigheid van ondertekeningscertificaten te controleren.

DEP, die ik in de inleiding van deze nieuwsbrief beschrijf, is iets dat u op Windows XP SP2 moet inschakelen voor verbeterde bescherming tegen bufferoverloop-exploits. U kunt de DEP-status van een proces controleren door de kolom DEP-status toe te voegen aan de procesweergave of door het veld 'DEP-status' te controleren op de afbeeldingspagina van het dialoogvenster Proceseigenschappen.

Ten slotte vermeldt Process Explorer nu de stuurprogramma's die op het systeem zijn geladen in de DLL-weergave van het systeemproces. Dit is het proces dat is gekoppeld aan werkthreads voor kernel- en apparaatstuurprogramma's. Dezelfde informatie is beschikbaar voor elk stuurprogramma als voor DLL's die worden vermeld voor andere processen, waaronder versie, bedrijfsnaam, volledig pad en laadadres in de systeemadresruimte.

Process Explorer downloaden op
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

SIGCHECK V1.0

Veel sysinternals-hulpprogramma's gebruiken functies die gebruikers helpen bij het identificeren van malware en Sigcheck is een opdrachtregelprogramma dat bijna uitsluitend op dat doel is gericht. Deze maakt gebruik van dezelfde functionaliteit voor verificatie van afbeeldingsondertekening die is opgenomen in Autoruns en Process Explorer om u te laten weten of een bestand digitaal is ondertekend door een vertrouwde uitgever. Daarnaast worden bestandsversiegegevens gerapporteerd voor de installatiekopieën die u opgeeft, inclusief de productnaam, beschrijving, bedrijfsnaam en versie. Deze informatie is vergelijkbaar met het bestand dat wordt geleverd met Windows XP- en Windows Server 2003-rapporten, maar Sigcheck rapporteert ook de tijdstempel wanneer het bestand oorspronkelijk is 'gekoppeld' of gemaakt voor niet-ondertekende afbeeldingen, en de tijdstempel van de ondertekening van de installatiekopieën voor degenen die zijn ondertekend. Ten slotte worden de meeste ondertekende hashes ondertekend met sleutels die zelf zijn ondertekend, een reeks die een zogenaamde certificaatondertekeningsketen vormt. Sigcheck ondersteunt een opdrachtregeloptie waarmee deze wordt omgestuurd om de ondertekeningsketen af te drukken met informatie over elk van de ondertekenaars in de keten.

Een van de mogelijke beveiligingsgerelateerde toepassingen van Sigcheck is het onderzoeken van niet-ondertekende .exe .dll of .sys installatiekopieën in een van de mappen onder de hoofdmap van uw Windows-installatie (meestal \Windows). U kunt eenvoudig niet-ondertekende .exe installatiekopieën identificeren door Sigcheck uit te voeren met deze opdrachtregel, bijvoorbeeld:

sigcheck -s -u c:\windows\*.exe

Alle Microsoft-afbeeldingen moeten geldige handtekeningen bevatten, maar de bovenstaande opdracht zal helaas onthullen dat velen dat niet doen, wat resulteert in bestanden die mogelijk kunnen worden misbruikt om malware te verbergen.

Sigcheck downloaden op
http://www.sysinternals.com/ntw2k/source/misc.shtml

BGINFO V4.07

Deze kleine update naar Bginfo, een hulpprogramma dat de informatie weergeeft die u configureert op het bureaublad van de computer waarop u deze uitvoert voor eenvoudige weergave, heeft betere ondersteuning voor bitmaps die het moet uitrekken om de grootte die u opgeeft, CPU-detectieverbeteringen, ondersteuning voor MySQL en verbeterde compatibiliteit met beeldschermen met meerdere beeldschermen.

Bginfo downloaden op
http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml

REGJUMP V1.0

Als u verkenner-snelkoppelingen naar specifieke registersleutels wilt maken of gewoon het pad van een sleutel wilt invoeren en Regedit wilt openen op de doellocatie, zult u Regjump nuttig vinden. Regjump is een opdrachtregelprogramma dat gebruikmaakt van dezelfde register -jump-to-technologie die we in Regmon hebben gebruikt. Geef Regjump een registerpad als het opdrachtregelargument en Regedit wordt geopend en navigeer naar de opgegeven sleutel of waarde.

Regjump downloaden op
http://www.sysinternals.com/ntw2k/source/misc.shtml

HEX2DEC V1.0

Als ik met foutopsporingsprogramma's en demontage werk, moet ik vaak hexadecimaal converteren naar decimaal en omgekeerd. Eindelijk werd ik beu om Calc te openen, een getal in te voeren en vervolgens de basis om de conversie te zien en dus schreef ik een klein opdrachtregelprogramma voor conversie. Hex2dec converteert in beide richtingen en identificeert invoer gemakkelijk als hexadecimaal als het een voorvoegsel '0x' of 'x' heeft of de letters 'a'-'f' bevat (de hoofdlettergevoelig).

Hex2dec downloaden op
http://www.sysinternals.com/ntw2k/source/misc.shtml

TCPVCON V2.34

Netstat is een opdrachtregelprogramma dat is ingebouwd in Windows NT en hoger waarmee u de momenteel actieve TCP- en UDP-eindpunten op het systeem ziet. De versie die Microsoft heeft geïntroduceerd met Windows XP bevat nuttige informatie: de proces-id (PID) van het proces dat elk eindpunt heeft geopend. Als u echter de naam van het proces of andere informatie over het proces wilt bepalen, moet u een hulpprogramma voor procesvermelding openen en het proces zoeken met die PID.

TCPView is een Sysinternals GUI-toepassing met dezelfde actieve eindpuntinformatie, maar veel handiger dan Netstat, omdat het de naam van het proces bevat, snel schakelt tussen DNS-namen en onbewerkte IP-adressen en hoogtepunten met kleuren nieuwe en verwijderde eindpunten. Het downloaden van TCPView bevat nu TCPVCon, een consoleversie van TCPView, voor degenen van u die graag opdrachtregelinterfaces gebruiken. In tegenstelling tot Netstat geeft TCPVCon het volledige pad weer van het proces dat is gekoppeld aan elk eindpunt en bevat een switch die uitvoer dumpt in CSV-indeling.

Tcpvcon downloaden op
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

PSTOOLS-UPDATES

PsKill en PsLoglist zijn de twee PsTools die de afgelopen maanden verbeteringen hebben gekregen. PsKill, een opdrachtregelprogramma dat processen op het lokale of externe systeem beëindigt, ondersteunt nu een -t switch, zodat u een volledige structuur van processen kunt beëindigen. Een aantal mensen vroegen om deze optie om het gemakkelijk te maken om runaway-bomen van batchscripts op te schonen.

PsLoglist is een opdrachtregelprogramma waarmee gebeurtenislogboeken op lokale of externe systemen worden gedumpt. Recente updates hebben vijf opties toegevoegd aan de reeds lange lijst met opdrachtregelkwalificaties. Met de nieuwe argumenten kunt u opgegeven gebeurtenistypen of gebeurtenisbronnen uitsluiten van de uitvoer of alleen dump-gebeurtenissen uit de afgelopen minuten of uren. Het biedt nu ook ondersteuning voor een bewakingsmodus voor gebeurtenislogboeken, waar deze wordt uitgevoerd totdat u het beëindigt, waarbij gebeurtenislogboekrecords worden afgedrukt terwijl ze worden gegenereerd.

Download PsTools, inclusief PsKill en PsLoglist, op
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Hier volgt de nieuwste installatie van Sysinternals-verwijzingen in Microsoft Knowledge Base-artikelen (KB) die zijn uitgebracht sinds de laatste nieuwsbrief. Dit brengt tot 63 het totale aantal openbare KB-verwijzingen naar Sysinternals.

  • OPLOSSING: Windows Mediaspeler 9-serie voor Windows heeft vaak toegang tot het register en kan van invloed zijn op de prestatieshttp://support.microsoft.com/?kbid=886423

  • Overzicht van GDI+ 1.0 Beveiligingsupdate http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/gdiplus10security.asp

  • Register bewerken http://support.microsoft.com/default.aspx?scid=kb; en-gb; 835818

  • U ontvangt het foutbericht 'Er is geen informatie om in deze weergave weer te geven' wanneer u een projectweergave probeert te openen http://support.microsoft.com/default.aspx?scid=kb; en-us; 810596

INFORMATIE OVER INTERNE GEGEVENS

SURFEN OP INTERNET

Ongeveer een jaar geleden kondigde ik aan dat ik van IE naar Mozilla was overgestapt omdat IE de functies miste die verplicht waren voor een fatsoenlijke internetbrowser, zoals pop-upblokkering, browsen op tabbladen, automatisch invullen van formulieren en het filteren van advertenties. Niet lang daarna wees iemand me op Avant Browser, een kleine download die gebruikmaakt van IE (het is niet zijn eigen browser) om alles dat en meer te geven. Mozilla's onbelangrijke gebruikersinterface en gebrek aan compatibiliteit met bepaalde sites heb ik vaak de beslissing genomen om eenvoudig over te schakelen. Hoewel de nieuwe FireFox-release in beide opzichten beter is, zijn er nog steeds enkele incompatibele sites (zoals Windows Update, bijvoorbeeld) en dus ben ik niet gedwongen om opnieuw over te schakelen.

De voortgang van Microsoft verbetert IE, zelfs in het licht van de bescheiden verbeteringen van Windows XP SP2 van IE, moet hen beschamen om Avant Browser te kopen en deze in te bouwen in de volgende versie van IE.

Download Avant Browser op: http://www.avantbrowser.com

LIVEKD GEBRUIKEN OM PROBLEMEN MET ZIEKE SYSTEMEN OP TE LOSSEN

LiveKd is een hulpprogramma dat ik schreef voor de 3e editie van Inside Windows 2000 (het is nu een freeware tool op Sysinternals). Hiermee kunt u Windbg of Kd van het Microsoft Debugging Tools for Windows-pakket gebruiken om foutopsporingsopdrachten uit te voeren die normaal gesproken worden gebruikt om crashdumps en bevroren systemen te onderzoeken op een systeem dat on-line en actief is. Microsoft heeft een vergelijkbare mogelijkheid geïntroduceerd, 'lokale kernelfoutopsporing' genoemd, voor de foutopsporingsprogramma's bij het uitvoeren van Windows XP en hoger. Er zijn verschillende dingen die u kunt doen met LiveKd, maar u kunt geen lokale kernelfoutopsporing uitvoeren. U kunt bijvoorbeeld geen threadstacks in de kernelmodus bekijken met lokale kernelfoutopsporing en de opdracht list-kernelmodules, lm kwaarbij alleen de kernel van het besturingssysteem wordt vermeld en niet de andere laadstuurprogramma's wanneer ze worden uitgevoerd in lokale kernelfoutopsporing. Beide opdrachten werken in LiveKd.

Een andere opdracht die niet werkt in lokale kernelfoutopsporing, maar dat doet in LiveKd, is .dump. Ik heb geleerd van een PSS-engineer (Product Support Services) van Microsoft dat de .dump opdracht nuttig kan zijn voor het oplossen van problemen met een ziek systeem. Een computer die problemen ondervindt, maar services zoals web of database levert, is mogelijk geen kandidaat voor opnieuw opstarten of traditionele foutopsporing waarbij het systeem tijdens het onderzoek wordt onderbroken. LiveKd uitvoeren en uitvoeren van .dump resulteert in een crashdump geformatteerd bestand dat de inhoud van het fysieke geheugen van het systeem bevat. U kunt het dumpbestand naar een andere computer nemen en de status van het besturingssysteem en de servicetoepassingen analyseren door het dumpbestand te laden in WinDbg of Kd, waardoor er geen storing optreedt terwijl u naar de oorzaak van een probleem kijkt.

LiveKd downloaden op
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml

KREEKZIJDE?

Ik onderzocht onlangs de initialisatie van Windows XP Service Pack 2-versie van Winlogon, het systeemproces dat verantwoordelijk is voor het presenteren van de aanmeldingsgebruikersinterface, toen ik code tegenkwam in de demontage waarbij Winlogon controleert op de aanwezigheid van een DLL met de naam ediskeer.dll in de \Windows\System32 map, zorgt ervoor dat het digitaal is ondertekend door een vertrouwde ondertekenaar als deze bestaat, en laadt deze en roept een niet-benoemde functie aan die door het DLL-bestand wordt geëxporteerd. De Winlogon-code die wordt uitgevoerd wanneer iemand zich bij het systeem aanmeldt, roept ook de DLL aan als deze tijdens de initialisatie is geladen.

Ik heb gezocht naar de DLL op mijn systeem en vond het niet, en het is ook niet aanwezig op de Service Pack 2 CD. Wat is de DLL? Met behulp van de foutopsporingssymbolen die Microsoft voor het besturingssysteem verzendt, kan ik Zien dat Winlogon een variabele met de naam "Creekside" configureert als ediskeer.dll aanwezig is en ondertekend en toen realiseerde ik me dat "ediskeer" bestaat uit de laatste 8 letters van "creekside" in omgekeerde volgorde. Ik weet nog steeds niet waar Creekside naar verwijst, maar ik vermoed sterk dat de DLL er een is die alleen wordt geleverd met Windows XP Starter Edition, de goedkope versie van Windows XP die Microsoft onlangs heeft geïntroduceerd voor ontwikkelingslanden. Starter Edition is gebaseerd op dezelfde besturingssysteemkern als Windows XP Professional en Home Editions, maar er gelden limieten voor het aantal toepassingen dat een gebruiker gelijktijdig kan uitvoeren. Als ik juist ben, laadt Winlogon het DLL-bestand om die limiet af te dwingen, waardoor deze telkens wordt geactiveerd wanneer een nieuwe gebruiker zich aanmeldt.

CHKREG REGISTRY FIXER

In de loop der jaren hebben Bryce en ik talloze aanvragen gekregen voor een register-analogie voor Chkdsk, het hulpprogramma voor consistentiecontrole van het bestandssysteem. We hebben er nog nooit een geschreven omdat we het publiek voor één te klein hebben gevoeld om de inspanning te rechtvaardigen. Ongeveer een jaar geleden heeft Microsoft de weinig bekende Chkreg uitgebracht, een Chkdsk voor het register dat veel soorten registerbeschadiging oplost.

Helaas wordt Chkreg alleen ondersteund in Windows 2000 (het kan ook werken in Windows NT 4- en Windows XP-registers) en wordt geïmplementeerd als een 'systeemeigen' toepassing die gebruikmaakt van de systeemeigen API in plaats van de Windows-API en dus niet wordt uitgevoerd onder Windows. Wanneer u het downloadt, moet u het installeren op een set van zes Opstart floppies van Windows Setup, een tijdrovende en tijdrovende affaire. We hebben contact opgenomen met de ontwikkelaars van Chkreg en hen aangemoedigd om de Windows-versie openbaar te maken die we hebben geleerd dat Microsoft Product Support Services (PSS) intern wordt gebruikt, maar geen woord hebt over wanneer of als ze deze vrijgeven.

U kunt Chkreg downloaden op
http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en

DIAGNOSTISCHE WINDOWS-GEHEUGENFUNCTIE

Een van de meest frustrerende ervaringen voor een Windows-gebruiker is een vastlopend systeem. In de meeste gevallen is de fout een buggy apparaatstuurprogramma van derden, dat u kunt verhelpen door het stuurprogramma uit te schakelen of bij te werken naar een versie met een oplossing. Ongeveer 10% van de crashes die zijn gerapporteerd aan Microsoft Online Crash Analysis (OCA) worden veroorzaakt door hardwareproblemen, waarvan de meeste betrekking hebben op schijven en geheugen.

Als u vastloopt dat OCA geen diagnose kan stellen of als u vermoedt dat er een geheugenprobleem is, moet u een paar minuten besteden aan de Microsoft Windows Memory Diagnostic (WMD), een hulpprogramma voor geheugencontrole dat Microsoft onlangs heeft uitgebracht. Het installatieprogramma voor WMD vraagt om een diskette of cd waarop het WMD-programma wordt opgeslagen. Wanneer u een computer opstart vanaf de diskette of cd die u hebt gemaakt WMD wordt uitgevoerd en een grondige test van het geheugen van de computer uitvoert, rapporteert u de voortgang en eventuele problemen op het scherm. Als u geheugenfouten hebt, kunt u met WMD de frustratie eindeloze windows-crashes besparen.

U kunt windows Memory Diagnostic downloaden op http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en

NIET-GEDOCUMENTEERDE INTERFACES ONDERZOEKEN

De FUNCTIE DEP-status die ik in de sectie over verbeteringen van Process Explorer eerder in de nieuwsbrief beschrijf, is afhankelijk van een niet-gedocumenteerde functie. Ik dacht dat velen van jullie geïnteresseerd zouden zijn in het leren hoe ik ontdekte, zonder toegang tot Windows-broncode (Dave Salomon, mijn medeauteur voor Windows Internals, toegang heeft, maar ik niet), de functie en het juiste gebruik.

De eerste stap in mijn analyseproces was om te hypotheseren dat een DEP-statusquery voor een proces via de NtQueryInformationProcess API zou worden gerouteerd. Veel Windows API-functies die informatie over een proces ophalen, gebruiken de NtQueryInformationProcess interface om de informatie te verkrijgen. Deze functie, die in het Ntddk.h-bestand van de Windows Driver Development Kit (DDK) is gemaakt, is toegankelijk vanuit de gebruikersmodus via de systeemaanroepinterface van de systeemaanroepinterface van de systeemeigen API:

NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength OPTIONAL
);

De eerste twee argumenten zijn een ingang voor een proces en een "procesinformatieklasse". De opsomming PROCESSINFOCLASS, waarvan de eerste paar definities hieronder worden weergegeven, is ook opgenomen in NTDDK. H:

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation,
    ProcessQuotaLimits,
    ProcessIoCounters,
    ProcessVmCounters,
    ProcessTimes,
//...

Omdat DEP is geïntroduceerd in Windows XP SP2, verwachtte ik niet dat de informatieklasse voor DEP-query's wordt vermeld in de Windows XP- of Windows Server 2003-versies van Ntddk.h, en een snelle controle bevestigde de afwezigheid. Daarom moest ik een demontage van sp 2's Ntoskrnl.exe onderzoeken, de afbeelding waar NtQueryInformationProcess wordt geïmplementeerd, om te zien of ik de DEP-querygegevensklasse empirisch kan bepalen.

Een disassembler maakt gebruik van een uitvoerbare installatiekopieën en vermeldt de assemblytaalinstructies waaruit de code bestaat. Assemblytaalinstructies worden rechtstreeks toegewezen aan de instructies die door een processor worden uitgevoerd. De demonteerfunctie die ik gebruik, is IDA Pro, http://www.datarescue.com omdat het inzicht heeft in de foutopsporingsgegevensbestanden van Microsoft en de informatie zal integreren in de uitvoer van de assemblytaal. In de demontage ontdekte ik de samengevoegde reeks instructies aan het begin van NtQueryInformationProcess die de parameter procesinformatieklasse neemt en code uitvoert die specifiek is voor elke klasse. Omdat ik wist dat de informatieklasse nieuw was, kon ik de uitvoering overslaan van de klassen waarvoor ik definities zag in de opsomming van Ntddk PROCESSINFOCLASS . Dit beperkt mijn onderzoek tot de ongeveer 3 of 4 nieuwe klassen die zijn geïntroduceerd sinds de release van Windows XP.

Een van de klassen, de klasse die overeenkomt met een ProcessInformationClass waarde van 0x22, heeft me door een codepad geleid naar een functie met de naam MmGetExecuteOptions, waarvan het begin hier wordt weergegeven:

PAGE:0054D7CC ; __stdcall MmGetExecuteOptions(x)
PAGE:0054D7CC _MmGetExecuteOptions@4 proc near ; CODE XREF:
NtQueryInformationPro0063ess(x,x,x,x,x)+251C p
PAGE:0054D7CC
PAGE:0054D7CC arg_4 = dword ptr 8
PAGE:0054D7CC
PAGE:0054D7CC mov edi, edi
PAGE:0054D7CE push ebp
PAGE:0054D7CF mov ebp, esp
PAGE:0054D7D1 mov eax, large fs:124h
PAGE:0054D7D7 mov eax, [eax+44h]
PAGE:0054D7DA mov cl, [eax+6Bh]
PAGE:0054D7DD mov eax, [ebp+arg_4]
PAGE:0054D7E0 and dword ptr [eax], 0
PAGE:0054D7E3 xor edx, edx
PAGE:0054D7E5 inc edx
PAGE:0054D7E6 test dl, cl
PAGE:0054D7E8 jz short loc_54D7EC
PAGE:0054D7EA mov [eax], edx
PAGE:0054D7EC
PAGE:0054D7EC loc_54D7EC: ; CODE XREF:
MmGetExecuteOptions(x)+1C j
PAGE:0054D7EC test cl, 2
PAGE:0054D7EF jz short loc_54D7F4
PAGE:0054D7F1 or dword ptr [eax], 2
PAGE:0054D7F4
PAGE:0054D7F4 loc_54D7F4: ; CODE XREF:
MmGetExecuteOptions(x)+23 j
PAGE:0054D7F4 test cl, 4
PAGE:0054D7F7 jz short loc_54D7FC
PAGE:0054D7F9 or dword ptr [eax], 4
PAGE:0054D7FC

IDA Pro liet me zien op de eerste regel in de bovenstaande uitvoer dat de functie één argument accepteert, wat ik vermoedde een aanwijzer te zijn naar een variabele die de DEP-instellingen ontvangt. Ik heb genoeg tijd besteed aan het bekijken van de demontages van de Windows-kernel om de instructiesreeks mov eax, large fs:124h; mov eax,[eax+44h] te herkennen als een lees van de huidige threadgegevensstructuur _KTHREAD in de PCR-structuur (Processor Control Region), gevolgd door een verwijzing naar het KPROCESS veld op offset 0x44 in de _KTHREAD structuur. De instructies die volgen op afzonderlijke bits in de byte op offset 0x6B in de _KPROCESS structuur.

Ik weet niet wat er met de hand gebeurt 0x6B in een _KPROCESS Ik heb Windbg gestart in de foutopsporingsmodus van de lokale kernel en de opdracht dt _kprocessuitgevoerd, die dit heeft gerapporteerd:

+0x06b Flags : _KEXECUTE_OPTIONS

Looking at that structure with another dt command showed the bit definitions:

+0x000 ExecuteDisable : Pos 0, 1 Bit
+0x000 ExecuteEnable : Pos 1, 1 Bit
+0x000 DisableThunkEmulation : Pos 2, 1 Bit
+0x000 Permanent : Pos 3, 1 Bit
+0x000 ExecuteDispatchEnable : Pos 4, 1 Bit
+0x000 ImageDispatchEnable : Pos 5, 1 Bit
+0x000 Spare : Pos 6, 2 Bits

Zeker genoeg, deze bits hebben betrekking op DEP en het lijkt erop dat MmGetExecuteOptions ze van die structuur worden gekopieerd naar de bijbehorende bits op de geheugenlocatie die als argument ProcessInformation wordt doorgegeven aan NtQueryInformationProcess. Ik had daarom vastgesteld dat ik de DEP-status van een proces kon opvragen door een ProcessInformationClass van 0x22, het adres van een DWORD (geheel getal van 4 bytes) en een lengte van 4 te bellenNtQueryInformationProcess. Het lijkt erop dat MmGetExecuteOptions de vlaggen voor het huidige proces alleen worden geretourneerd en de ProcessHandle parameter wordt genegeerd (Process Explorer voert een query uit op de DEP-status van andere processen door het helperstuurprogramma naar deze te laten overschakelen via de KeAttachProcess API).

Ik was klaar, met uitzondering van een aantal subtiele verschillen in de 64-bits versie van Windows, omdat ik een 64-bits versie van Process Explorer beschikbaar maak. Voor 64-bits Windows MmGetExecuteOptions moet ProcessHandle -1 zijn en wordt er een STATUS_INVALID_PARAMETER fout geretourneerd als het huidige proces een 64-bits proces is, omdat DEP altijd is ingeschakeld voor 64-bits processen. Ik heb Windbg gebruikt om de 64-bits versie van Ntoskrnl.exe te demonteren, maar sindsdien heb ik de versie van IDA Pro verkregen die ondersteuning biedt voor de demontage van AMD64-installatiekopieën.

INTERNE TRAINING

WINDOWS-VERBINDINGEN IN SAN FRANCISCO

Ik lever twee sessies op de Windows Connections-conferentie, die wordt uitgevoerd door Windows IT Pro Magazine en plaatsvindt op 17-20 april in San Francisco. Een is een algemene sessie genaamd "Understanding and Fighting Malware: Virussen, Spyware en Rootkits" waar ik beschrijf hoe malware misbruik maakt van beveiligingsproblemen om beveiligingsmaatregelen door te geven en te omzeilen, hoe ze verbergen met behulp van geavanceerde technieken genaamd 'rootkits' en hoe ze ze kunnen detecteren en opschonen van uw systeem.

De andere sessie is 'Problemen met Windows-geheugen oplossen' waar ik u laat zien hoe u de oude vragen 'wat de betekenis is van de waarden die ik zie in Taakbeheer', 'wat gebruikt mijn geheugen' en 'hoe groot moet ik het wisselbestand maken'.

Download de conferentiebrochure en registreer u op
http://www.devconnections.com/shows/win/default.asp?s=60#

HANDS-ON WINDOWS INTERNALS/SYSINTERNALS KLASSEN DOOR MARK RUSSINOVICH

Breng 5 dagen door met Mark Russinovich en David Salomon, auteurs van het nieuwe boek Windows Internals 4e editie, het leren van geavanceerde probleemoplossingstechnieken terwijl u zich verdiepen in de interne functies van de Windows NT/2000/XP/2003-besturingssysteemkernel. Als u een IT-professional bent die Windows-servers en -werkstations implementeert en ondersteunt, moet u onder het oppervlak kunnen graven wanneer er iets misgaat. Als u inzicht hebt in de interne functies van het Windows-besturingssysteem en weet hoe u geavanceerde hulpprogramma's voor probleemoplossing kunt gebruiken, kunt u dergelijke problemen oplossen en beter inzicht krijgen in systeemprestaties. Inzicht in de interne functies kan programmeurs helpen om beter te profiteren van het Windows-platform, en geavanceerde technieken voor foutopsporing te bieden. En omdat de cursus is ontwikkeld met volledige toegang tot de Broncode en ontwikkelaars van de Windows-kernel, weet u dat u het echte verhaal krijgt.

Geplande datums zijn onder andere:

  • 6-10 JUNI, ORLANDO, FLORIDA
  • 11-15 JULI, MÜNCHEN, DUITSLAND
  • 19-23 SEPTEMBER, SAN FRANCISCO, CALIFORNIË
  • 5-9 DECEMBER, AUSTIN, TEXAS

OPMERKING: Dit is een hands-on klas- elke deelnemer moet hun eigen laptop meenemen (configuratie-instructies worden van tevoren verzonden).

U krijgt een uitgebreid inzicht in de kernelarchitectuur van Windows NT/2000/XP/2003, waaronder de interne functies van processen, threadplanning, geheugenbeheer, I/O, services, beveiliging, het register en het opstartproces. Ook behandeld zijn geavanceerde probleemoplossingstechnieken zoals malware-desinfectie, crashdumpanalyse (blauw scherm) en eerdere opstartproblemen. U leert ook geavanceerde tips voor het gebruik van de belangrijkste hulpprogramma's van www.sysinternals.com (zoals Filemon, Regmon, & Process Explorer) om een reeks systeem- en toepassingsproblemen op te lossen, zoals trage computers, virusdetectie, DLL-conflicten, machtigingsproblemen en registerproblemen. Deze hulpprogramma's worden dagelijks gebruikt door Microsoft-productondersteuning en zijn effectief gebruikt om een groot aantal bureaublad- en serverproblemen op te lossen, dus als u bekend bent met hun werking en toepassing, helpt u bij het oplossen van verschillende problemen in Windows. Praktijkvoorbeelden worden gegeven die een succesvolle toepassing van deze hulpprogramma's tonen om echte problemen op te lossen.

Als u zich wilt registreren, gaat u naar http://www.sysinternals.com/troubleshoot.shtml

Bedankt voor het lezen van de Sysinternals Nieuwsbrief.

Gepubliceerd woensdag 05 januari 2005 16:36 door ottoh

[Nieuwsbrievenarchief ^] [< Volume 6, Nummer 2] [Volume 7, Speciale aankondiging >]