Delen via

  • Artikel

[Nieuwsbrievenarchief ^] [< Volume 7, Getal 2] [Volume 8, Getal 2 >]

The Systems Internals Newsletter Volume 8, Nummer 1

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2 maart 2006 - In dit probleem:

  1. INLEIDING
  2. UPDATES VAN HULPPROGRAMMA'S
  3. LICENTIE-UPDATE
  4. SYSINTERNALS FORUM
  5. BLOG VAN MARK
  6. ARTIKELEN VAN MARK
  7. SPREEKSCHEMA VAN MARK
  8. LIVE HANDS-ON INTERNALS/TROUBLESHOOTING CLASSES
  9. VIDEOBIBLIOTHEEK VOOR HET OPLOSSEN VAN PROBLEMEN MET SYSINTERNALS

Winternals Software is de toonaangevende ontwikkelaar en provider van geavanceerde systeemhulpprogramma's voor Windows. Het werd aangewezen als een 2006 "hot company" door Info Security Products Guide (zie http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

Ook won Recovery Manager en Administrator's Pak SearchWinSystems.com's 2005 Products of the Year Awards. Recovery Manager werd bekroond met Gold in de categorie Desktop Management, terwijl Administrator's Pak werd erkend als de Silver Award winnaar in de Systems Management group (http://searchwinsystems.techtarget.com/productsOfTheYear/0.294801,sid68_ayr2005,00.html)

Voor volledige productdetails, multimediademo's, webinars of om een proef-CD van een van beide producten aan te vragen, gaat u naar http://www.winternals.com

INLEIDING

Hallo allemaal,

Welkom bij de Sysinternals nieuwsbrief. De nieuwsbrief heeft momenteel 60.000 abonnees.

In februari hadden Sysinternals 1,26 miljoen unieke bezoekers en 20 miljoen paginaweergaven. Het is nu gerangschikt op de nummer 6.900 website op internet door Alexa.com (http://www.alexa.com/data/details/?url=www.sysinternals.com).

De meest gedownloade hulpprogramma's zijn:

  • Procexp: 375.000 downloads/maand
  • Autoruns: 120.000 downloads/maand
  • Rootkit Revealer: 120.000 downloads/maand
  • Filemon: 100.000 downloads/maand
  • Regmon: 90.000 downloads/maand
  • Tcpview: 63.000 downloads/maand

Filemon, Regmon, Process Explorer en Autoruns zijn gekozen als de "beste van de beste" door alt.comp.freeware nieuwsgroepdeelnemers (zie http://www.pricelesswarehome.org/2006/about2006PL.php).

Het leven werd interessant afgelopen november toen ik mijn bevindingen publiceerde op de Sony rootkit. Ik had mijn eerste nationale tv-optreden en radio interview naast tientallen persinterviews en artikelen in tijdschriften en kranten. Dingen zijn nu opgelost, wat betekent dat ik weer aan het werk ben geweest om de Sysinternals-hulpprogramma's te verbeteren. U vindt een volledige schrijfbewerking van wijzigingen sinds de laatste nieuwsbrief hieronder.

Ik ben ook erg enthousiast over de nieuwe Sysinternals Video Library, een 6 dvd-set met belangrijke onderwerpen over het oplossen van problemen met Windows met de Sysinternals-hulpprogramma's. Ze moeten uiterlijk juni beschikbaar zijn. Bekijk Sysinternals voor preview-videoclips en een gratis download van een van de video's.

Ten slotte, als u een conferentie bijwonen waar ik spreek, stop dan met het zeggen van hallo. Of breng 5 dagen met mij en Dave Salomon door in een van onze live Windows Internals & Advanced Troubleshooting-lessen in Londen, San Francisco of Austin.

-Mark Russinovich

UPDATES VAN HULPPROGRAMMA'S

Sinds de laatste nieuwsbrief in augustus zijn veel hulpprogramma's bijgewerkt. Omdat ik de hulpprogramma's regelmatig bijwerk, moet u ervoor zorgen dat u de nieuwste versie gebruikt. De beste manier om wijzigingen bij te houden, is door u te abonneren op mijn RSS-feed op http://www.sysinternals.com/sysinternals.xml (en als u nog geen RSS gebruikt om websites bij te houden, moet u beginnen!).

Hier volgt een gedetailleerde lijst met wijzigingen per hulpprogramma:

Process Explorer v10.06

Deze belangrijke update van Process Explorer bevat een uitgebreide lijst met nieuwe functies en verbeteringen die zijn gericht op bruikbaarheid en malwarejacht. Enkele voorbeelden hiervan zijn Runas- en Run As Limited User-opdrachten, procesopstart, kolomsets, verbeterde procesknopinfo voor servicehosting en Rundll32-processen, uitsplitsingskolommen voor werksets en verificatie van DLL-installatiekopieën en detectie van verpakte installatiekopieën.

RootkitRevealer v1.7

Deze nieuwe RootkitRevealer-release bevat geavanceerdere rootkit-tegenmetingen, het scannen van alle register hives, inclusief gebruikersprofielen, uitvoeringen van extern bureaubladsessies van Windows XP, ondersteuning voor NTFS-volumes met clustergrootten groter dan 4 kB, en bevat een aantal bugfixes en vermindert het aantal fout-positieve discrepanties. Zelfs de betaalde antidetectieversies van de Hacker Defender-rootkit verbergen zich niet voor deze release.

RegDelNull v1.1

Gebruik deze nieuwe applet om registersleutels te zoeken en te verwijderen die niet kunnen worden verwijderd door standaardhulpprogramma's voor registerbewerking, omdat ze null-tekens in hun namen hebben ingesloten. Als reactie op het gebruik van dergelijke sleutels door malware kan RegDelNull nu sleutels ontgrendelen en verwijderen die niet alleen ingesloten null-waarden hebben, maar die ook beveiligingsmachtigingen hebben waardoor ze anders niet toegankelijk zijn.

Sigcheck v1.3

Sigcheck, een krachtig opdrachtregelbestandsversieinformatie en handtekeningverificatieprogramma, bevat nu een nieuwe vlag waarin alleen het versienummer van een bestand wordt weergegeven.

PsExec v1.7

Deze PsExec-update bevat een nieuwe schakeloptie voor gebruik door beheerdersaccounts om processen met beperkte gebruikersaccountbevoegdheden uit te voeren. Voer internet explorer met lage rechten uit voordat IE 7 (in Vista) wordt weergegeven door een snelkoppeling te maken om deze te starten met de switch.

Autoruns v8.42

Autoruns weet nu over nog meer autostartlocaties, waaronder de registerwaarde voor Winlogon-opstartverificatie, Shell open hijacks, kernelmodusstuurprogramma's, printmonitor-DLL's en Explorer-kolomhandlers, die allemaal door echte malware zijn gebruikt. Ook toegevoegd is handtekeningverificatie op aanvraag voor afzonderlijke items en aanzienlijk verbeterde scantijdprestaties wanneer afbeeldingsverificatie is geselecteerd.

Autoruns ondersteunt nu willekeurige lengteregister- en bestandssysteempaden, voegt een zoekmogelijkheid toe om door geconfigureerde items te zoeken, introduceert een vergelijkingsfunctie om huidige autostarts te vergelijken met een eerder opgeslagen versie, zodat u eenvoudig nieuwe toevoegingen kunt identificeren.

ProcFeatures v1.0

Deze applet rapporteert processor en Windows-ondersteuning voor fysieke adresextensies en geen bufferoverloopbeveiliging uitvoeren.

DiskView v2.2

Diskview, een hulpprogramma waarmee u de clustertoewijzingen van een volume kunt bekijken, toont nu een samenvatting van de fragmenten van een bestand wanneer u dubbelklikt op een van de clusters van het bestand en met de knop Volgende weergeven navigeert u naar het volgende fragment van een geselecteerd bestand.

DebugView v4.5

DebugView is een ontwikkelaarshulpprogramma waarmee foutopsporingsuitvoer voor gebruikers- en kernelmodus wordt vastgelegd. Nadat veel gebruikersaanvragen voor de functie DebugView nu een optie hebben om een nieuw logboekbestand te maken en de weergave elke dag te wissen.

AccessEnum v1.3

AccessEnum is een krachtig beveiligingshulpprogramma waarmee u eenvoudig onjuist geconfigureerde bestands- en registerbeveiligingsdescriptors kunt herkennen. Versie 1.3 bevat bugfixes, Windows XP-thema's en een nieuwe bestandsindeling die compatibel is met Het importeren van Excel.

Livekd v3.0

LiveKd, een hulpprogramma waarmee u het lokale systeem kunt weergeven alsof het een crashdump was met behulp van de standaard microsoft-kernelfoutopsporingsprogramma's, ondersteunt nu x64-versies van Windows en bevat enkele kleine bugfixes.

Regmon v7.02

Deze secundaire update bevat duidelijkere foutberichten voor wanneer een account geen bevoegdheden heeft om Regmon uit te voeren of Regmon al wordt uitgevoerd en de 32-bits en 64-bits (x64) versies in één binair bestand consolideert.

LICENTIE-UPDATE

We worden vaak gevraagd wat de regels zijn voor onze freeware tools. We zijn begonnen met het plaatsen van een pop-up van een gebruiksrechtovereenkomst die wordt weergegeven de eerste keer dat u een hulpprogramma uitvoert: de tekst leest als volgt:

"U mag software die op deze website thuis of op het werk is gepubliceerd gebruiken zonder dat u een commerciële licentie betaalt, mits u de software zelf rechtstreeks van Sysinternals hebt gedownload, de software gebruikt op computers waarvoor u de primaire gebruiker bent, de software op systemen waarvoor geen primaire gebruiker is (bijvoorbeeld een server, met inbegrip van een terminalserver) en u bent een fulltime werknemer van het bedrijf dat eigenaar is van de server, of gebruik de software op een computer binnen een woning waar u woont."

De sysinternals freeware licentiepagina op http://www.sysinternals.com/Licensing.html nu legt scenario's uit waaronder een betaalde commerciële licentie is vereist voor gebruik.

SYSINTERNALS FORUM

Bezoek een van de 16 interactieve Sysinternals-forums (http://www.sysinternals.com/forum). Naast speciale forums op elk van de belangrijkste hulpprogramma's, zijn er vier technische Windows-forums: malware, probleemoplossing, internals en ontwikkeling.

Met meer dan 7352 leden (met bijna 6000 in 6 maanden), zijn er in 4384 verschillende onderwerpen 14667 berichten tot op heden, die betrekking hebben op 2000 berichten per maand voor de afgelopen 6 maanden!

BLOG VAN MARK

Mijn blog kreeg een nieuw aandachtsniveau met de publicatie van mijn bevindingen op de Sony rootkit, maar er zijn verschillende andere berichten die niet gerelateerd zijn aan het Sony-probleem. Hier volgt een lijst met artikelen sinds de laatste nieuwsbrief:

  • 2-6-2006 Met rootkits om Digital Rights Management te verslaan
  • 1-18-2006 Binnen de WMF-achterdeur
  • 1-15-2006 Rootkits in commerciële software
  • 1/3/2006 De Antispyware Conspiracy
  • 12/30/2005 Sony Settles
  • 12-12-2005 Groepsbeleid omzeilen als een beperkte gebruiker
  • 11/30/2005 Voortijdige overwinning verklaring?
  • 11/16/2005 Overwinning!
  • 11/14/2005 Sony: No More Rootkit - Voorlopig
  • 11/9/2005 Sony: Je wilt toch niet verwijderen?
  • 11/6/2005 Sony's Rootkit: First 4 Internet Responds
  • 11/4/2005 Meer op Sony: Dangerous Decloaking Patch, EULAs en Phoning Home
  • 10/31/2005 Sony, Rootkits en Digital Rights Management Gone Too Far
  • 10/19/2005 De bypass-controle over traverse (of is het de wijzigingsmelding?) Privilege
  • 10-2-2005 Register ongewenste e-mail: Een Windows-feit van het leven
  • 19-9-2005-installatiekopieën voor meerdere platforms
  • 28/28/2005 De zaak van de onregelmatige (en vervelende) Verkenner hangs

Zie voor een volledige lijst met artikelen http://www.sysinternals.com/blog/blogindex.html

ARTIKELEN VAN MARK

Mijn laatste artikel in Windows en IT Pro Magazine was op AccessEnum, dat een opgegeven volume, submap of registersleutel scant om potentiële problemen in uw beveiligingsinstellingen te vinden.

Het is online beschikbaar voor abonnees op http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1

SPREEKSCHEMA VAN MARK

Vorige herfst sprak ik tijdens de Microsoft 2005 Professional Developers Conference (september in Los Angeles), Windows Connections (november in San Francisco, CA) en Microsoft IT Forum (november in Barcelona, Spanje).

Mijn volgende conferentiegesprekken zijn op Microsoft TechEd 2006 in Boston in juni. Ik presenteer een preconference-zelfstudie met Dave Salomon over geavanceerde malware reiniging op 11 juni (http://www.msteched.com/content/precons.aspx). Ik zal ook vier aparte sessies geven over onderwerpen zoals Vista-kernelwijzigingen, probleemoplossing met Filemon en Regmon, het analyseren van Windows-crashes en vastlopen, en geavanceerde technieken voor het opschonen van malware.

Zie Voor de nieuwste updates http://www.sysinternals.com/Information/SpeakingSchedule.html

LIVE HANDS-ON INTERNALS/TROUBLESHOOTING CLASSES

Als u van Sysinternals houdt, het boek Windows Internals of meer wilt weten over interne windows-besturingssystemen, inclusief wat er in Vista komt, wilt u de enige geplande seminars bijwonen waar zowel Dave Salomon als ik onze 5-daagse hands-on (bring your own laptop) Windows Internals en Advanced Troubleshooting seminar leveren. De datums van dit jaar zijn:

  • Londen, 26-30 juni 2006
  • San Francisco, 18-22 september 2006
  • Austin, TX, 11-15 december 2006

In deze klasse krijgt u een uitgebreid inzicht in de kernelarchitectuur van Windows, waaronder de interne functies van processen, threadplanning, geheugenbeheer, I/O, services, beveiliging, het register en het opstartproces. Ook behandeld zijn geavanceerde probleemoplossingstechnieken zoals malware-desinfectie, crashdumpanalyse (blauw scherm) en eerdere opstartproblemen.

U leert ook geavanceerde tips voor het gebruik van de belangrijkste hulpprogramma's van www.sysinternals.com (zoals Filemon, Regmon, & Process Explorer) om een reeks systeem- en toepassingsproblemen op te lossen, zoals trage computers, virusdetectie, DLL-conflicten, machtigingsproblemen en registerproblemen. Deze hulpprogramma's worden dagelijks gebruikt door Microsoft-productondersteuning en zijn effectief gebruikt om een groot aantal bureaublad- en serverproblemen op te lossen, dus als u bekend bent met hun werking en toepassing, helpt u bij het oplossen van verschillende problemen in Windows. Praktijkvoorbeelden worden gegeven die een succesvolle toepassing van deze hulpprogramma's tonen om echte problemen op te lossen. En omdat de cursus is ontwikkeld met volledige toegang tot de Broncode en ontwikkelaars van de Windows-kernel, weet u dat u het echte verhaal krijgt.

En als u 20 of meer personen hebt, is het misschien aantrekkelijker om een privéklasse op locatie uit te voeren (e-mail seminars@... voor meer informatie).

Ga naar http://www.sysinternals.com/Troubleshooting.html

VIDEOBIBLIOTHEEK VOOR HET OPLOSSEN VAN PROBLEMEN MET SYSINTERNALS

Dave Salomon en ik hebben onlangs een nieuwe videoserie gemaakt om "The Sysinternals Troubleshooting Library" te worden genoemd. Het is een 6 dvd-set met essentiële interne Windows-functies en geavanceerde onderwerpen over probleemoplossing, met de Sysinternals-hulpprogramma's. De schijftitels zijn:

  • Schijf 1 - Rondleiding door de Sysinternals Tools
  • Schijf 2 - Problemen met Process Explorer oplossen
  • Schijf 3 - Problemen met Filemon en Regmon oplossen
  • Schijf 4 - Geheugenproblemen oplossen
  • Schijf 5 - Crashdump - Vastgelopen analyse
  • Schijf 6 - Opstart- en opstartproblemen oplossen

We verwachten dat er enkele voorbeeldvideo-inhoud beschikbaar is om deze maand te downloaden. De schijven moeten per juni worden verzonden. We hebben een kortingsprijs wanneer we pre-orders openen - hopelijk in mei. Wanneer ze beschikbaar zijn voor voorbestelling, sturen we een kennisgeving naar deze interesselijst.

Bedankt voor het lezen van de Sysinternals Nieuwsbrief.

Gepubliceerd dinsdag 02 mei 2006 16:29 door ottoh

[Nieuwsbrievenarchief ^] [< Volume 7, Getal 2] [Volume 8, Getal 2 >]