Udostępnij za pośrednictwem

  • Artykuł

[Archiwum biuletynów ^] [< Wolumin 7, Numer 2] [Wolumin 8, Liczba 2 >]

System wewnętrzny biuletyn woluminu 8, numer 1

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2 marca 2006 r. — w tym problemie:

  1. WPROWADZENIE
  2. AKTUALIZACJE NARZĘDZI
  3. AKTUALIZACJA LICENCJONOWANIA
  4. SYSINTERNALS FORUM
  5. BLOG MARK
  6. ARTYKUŁY MARK
  7. HARMONOGRAM MÓWIENIA MARK
  8. PRAKTYCZNE ZAJĘCIA WEWNĘTRZNE/ROZWIĄZYWANIE PROBLEMÓW
  9. NOWA BIBLIOTEKA WIDEO ROZWIĄZYWANIA PROBLEMÓW Z PROGRAMEM SYSINTERNALS

Winternals Software jest wiodącym deweloperem i dostawcą zaawansowanych narzędzi systemów dla systemu Windows. Został wyznaczony jako "gorąca firma" z 2006 r. przez Przewodnik po produktach zabezpieczeń informacji (patrz http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

Ponadto, Recovery Manager i Administrator's Pak zdobył SearchWinSystems.com 2005 Products of the Year Awards. Program Recovery Manager otrzymał nagrodę Gold w kategorii Zarządzanie pulpitem, podczas gdy Pakiet administratora został uznany za laureata nagrody Silver Award w grupie Zarządzania systemami (http://searchwinsystems.techtarget.com/productsOfTheYear/0294801,sid68_ayr2005,00.html)

Aby uzyskać szczegółowe informacje o produkcie, pokazy multimedialne, seminaria internetowe lub zażądać wersji próbnej dysku CD produktu, odwiedź stronę http://www.winternals.com

WPROWADZENIE

Witam wszystkich,

Witamy w biuletynie Sysinternals. Biuletyn ma obecnie 60 000 subskrybentów.

W lutym sysinternals miał 1,26 milionów unikatowych odwiedzających i 20 milionów wyświetleń stron. Jest ona teraz w rankingu 6900 witryn internetowych w Internecie przez Alexa.com (http://www.alexa.com/data/details/?url=www.sysinternals.com).

Najczęściej pobierane narzędzia to:

  • Procexp: 375 000 pobrań/miesiąc
  • Autoruns: 120 000 pobrań/miesiąc
  • Rootkit Revealer: 120.000 plików do pobrania/miesiąc
  • Filemon: 100 000 plików do pobrania/miesiąc
  • Regmon: 90 000 pobrań/miesiąc
  • Tcpview: 63 000 pobrań/miesiąc

Filemon, Regmon, Process Explorer i Autoruns zostały wybrane jako "najlepsze z najlepszych" przez uczestników alt.comp.freeware grupy dyskusyjnej (zobacz http://www.pricelesswarehome.org/2006/about2006PL.php).

Życie stało się interesujące w listopadzie ubiegłego roku, kiedy opublikowałem moje odkrycia na sony rootkit. Miałem swój pierwszy krajowy występ telewizyjny i wywiad radiowy oprócz kilkudziesięciu wywiadów prasowych i artykułów w czasopismach i gazetach. Sprawy osiadły teraz, co oznacza, że wróciłem do pracy zwiększając narzędzia Sysinternals. Od czasu ostatniego biuletynu poniżej znajdziesz pełny zapis zmian.

Jestem również bardzo podekscytowany nową biblioteką wideo Sysinternals, zestaw dvd 6 obejmujący kluczowe tematy rozwiązywania problemów z systemem Windows z narzędziami Sysinternals. Powinny być dostępne do czerwca. Obejrzyj program Sysinternals, aby obejrzeć klipy wideo w wersji zapoznawczej i bezpłatnie pobrać jeden z filmów wideo.

Na koniec, jeśli uczestniczysz w konferencji, w której mówię, zatrzymaj się, aby powiedzieć cześć. Lub, spędzić 5 dni ze mną i Dave Solomon w jednym z naszych live Windows Internals & Advanced Troubleshooting zajęć w Londynie, San Francisco lub Austin.

-Mark Russinovich

AKTUALIZACJE NARZĘDZI

Wiele narzędzi zostało zaktualizowanych od ostatniego biuletynu w sierpniu. Ponieważ często aktualizuję narzędzia, upewnij się, że używasz najnowszej wersji. Najlepszym sposobem, aby nadążyć za zmianami, jest subskrybowanie mojego kanału informacyjnego RSS pod adresem http://www.sysinternals.com/sysinternals.xml (a jeśli jeszcze nie używasz funkcji RSS, aby nadążyć za witrynami internetowymi, musisz zacząć!).

Oto szczegółowa lista zmian według narzędzia:

Eksplorator procesów w wersji 10.06

Ta główna aktualizacja Eksploratora procesów zawiera obszerną listę nowych funkcji i ulepszeń mających na celu użyteczność i wyszukiwanie złośliwego oprogramowania. Niektóre z przykładów obejmują polecenia Uruchom jako ograniczonego użytkownika, ponowne uruchamianie procesów, zestawy kolumn, ulepszone etykietki narzędzi procesów dla procesów hostingu usług i Rundll32, kolumny podziału zestawu roboczego oraz weryfikację obrazu biblioteki DLL i wykrywanie spakowanych obrazów.

RootkitRevealer v1.7

Ta nowa wersja RootkitRevealer zawiera bardziej zaawansowane miary liczników zestawu rootkit, skanowanie wszystkich gałęzi rejestru, w tym profilów użytkowników, działa z sesji pulpitu zdalnego systemu Windows XP, obsługa woluminów NTFS o rozmiarach klastrów większych niż 4 KB i obejmuje szereg poprawek błędów i zmniejsza liczbę fałszywie dodatnich rozbieżności. Nawet płatne wersje anty-wykrywania oprogramowania Hacker Defender nie ukrywają się przed tą wersją.

RegDelNull v1.1

Użyj tego nowego apletu, aby znaleźć i usunąć klucze rejestru, które są "nie do usunięcia" przez standardowe narzędzia do edycji rejestru, ponieważ mają osadzone znaki null w nazwach. W odpowiedzi na użycie takich kluczy przez złośliwe oprogramowanie regDelNull może teraz odblokować i usunąć klucze, które nie tylko mają osadzone wartości null, ale także mają uprawnienia zabezpieczeń, które sprawiają, że w przeciwnym razie są niedostępne.

Sigcheck v1.3

Sigcheck, zaawansowane informacje o wersji pliku wiersza polecenia i narzędzie weryfikacji podpisu, zawiera teraz nową flagę, która zawiera tylko numer wersji pliku.

PsExec v1.7

Ta aktualizacja psExec obejmuje nowy przełącznik -l do użycia przez konta administracyjne do uruchamiania procesów z ograniczonymi uprawnieniami konta użytkownika. Uruchom program Internet Explorer o niskich prawach, zanim program IE 7 (w systemie Vista) pojawi się po prostu, tworząc skrót do uruchamiania go za pomocą przełącznika.

Autoruns v8.42

Autoruns teraz wie o jeszcze bardziej automatycznych lokalizacjach uruchamiania, w tym wartości rejestru weryfikacji rozruchu Winlogon, open hijacks powłoki, sterowników trybu jądra, monitorów wydruku bibliotek DLL i procedur obsługi kolumn Eksploratora — wszystkie z nich zostały użyte przez prawdziwe złośliwe oprogramowanie. Ponadto dodano weryfikację podpisu na żądanie dla poszczególnych elementów i znacznie zwiększono wydajność czasu skanowania po wybraniu weryfikacji obrazu.

Autoruns obsługuje teraz dowolną długość ścieżki rejestru i systemu plików, dodaje możliwość wyszukiwania za pomocą skonfigurowanych elementów, wprowadza funkcję porównania do porównywania bieżących autostartów z wcześniej zapisaną wersją, dzięki czemu można łatwo zidentyfikować nowe dodatki.

ProcFeatures v1.0

Ten aplet zgłasza procesor i obsługę systemu Windows dla rozszerzeń adresów fizycznych i brak ochrony przepełnienia buforu Execute.

DiskView w wersji 2.2

Diskview — narzędzie, które umożliwia przyjrzenie się alokacjom klastra woluminu, teraz przedstawia podsumowanie fragmentów pliku po dwukrotnym kliknięciu dowolnego klastra pliku, a przycisk Pokaż dalej przechodzi do następnego fragmentu wybranego pliku.

DebugView w wersji 4.5

DebugView to narzędzie deweloperskie, które przechwytuje dane wyjściowe debugowania w trybie użytkownika i jądra. Po wielu żądaniach użytkowników dla funkcji DebugView jest teraz dostępna opcja utworzenia nowego pliku dziennika i wyczyszczenia wyświetlania każdego dnia.

AccessEnum v1.3

AccessEnum to zaawansowane narzędzie zabezpieczeń, które ułatwia odnajdowanie nieprawidłowo skonfigurowanych plików i deskryptorów zabezpieczeń rejestru. Wersja 1.3 zawiera poprawki błędów, motywy systemu Windows XP i nowy format pliku zgodny z importowaniem programu Excel.

Livekd v3.0

LiveKd, narzędzie, które umożliwia wyświetlanie systemu lokalnego tak, jakby był to zrzut awaryjny przy użyciu standardowych debugerów jądra firmy Microsoft, teraz obsługuje wersje x64 systemu Windows i zawiera kilka drobnych poprawek błędów.

Regmon v7.02

Ta aktualizacja pomocnicza zawiera jaśniejsze komunikaty o błędach, jeśli konto nie ma uprawnień wymaganych do uruchomienia regmonu lub regmon jest już uruchomiony i konsoliduje wersje 32-bitowe i 64-bitowe (x64) w pojedynczy plik binarny.

AKTUALIZACJA LICENCJONOWANIA

Często pytamy, jakie są reguły dla naszych narzędzi freeware. Zaczęliśmy umieszczać wyskakujące okienko Umowa licencyjna użytkownika końcowego, które jest wyświetlane przy pierwszym uruchomieniu narzędzia — tekst jest odczytywany w następujący sposób:

"Użytkownik może korzystać z oprogramowania opublikowanego w tej witrynie sieci Web w domu lub w pracy bez płacenia komercyjnej opłaty licencyjnej, pod warunkiem, że oprogramowanie zostało pobrane bezpośrednio z programu Sysinternals, użyj oprogramowania na komputerach, dla których jesteś użytkownikiem podstawowym, użyj oprogramowania w systemach, dla których nie ma użytkownika podstawowego (np. serwera, w tym serwer terminalowy) i jesteś pełnoetatowym pracownikiem firmy, która jest właścicielem serwera, lub używa oprogramowania na komputerach w domu, w którym mieszkasz".

Strona licencji freeware Sysinternals w tej http://www.sysinternals.com/Licensing.html chwili wyjaśnia scenariusze, w których płatna licencja komercyjna jest wymagana do użytku.

SYSINTERNALS FORUM

Odwiedź jedno z 16 interakcyjnych forów Sysinternals (http://www.sysinternals.com/forum). Oprócz dedykowanych forów na każdym z głównych narzędzi istnieją cztery fora techniczne systemu Windows: złośliwe oprogramowanie, rozwiązywanie problemów, wewnętrznych i programowanie.

Z ponad 7352 członków (do prawie 6000 w ciągu 6 miesięcy), było 14667 postów do tej pory w 4384 różnych tematach, które pochodzą do 2000 postów miesięcznie w ciągu ostatnich 6 miesięcy!

BLOG MARK

Mój blog otrzymał nowy poziom uwagi z publikacji moich ustaleń na Sony rootkit, ale było kilka innych postów nie związanych z problemem Sony. Oto lista artykułów od ostatniego biuletynu:

  • 2/6/2006 Używanie zestawów Rootkit do pokonania usługi Digital Rights Management
  • 1/18/2006 Wewnątrz backdoor WMF
  • 1/15/2006 Rootkits in Commercial Software
  • 1/3/2006 Spisek ochrony przed złośliwym kodem
  • 12/30/2005 Sony Osiedla
  • 12/12/2005 Obejście zasad grupy jako ograniczony użytkownik
  • 11/30/2005 Przedwczesna deklaracja zwycięstwa?
  • 11/16/2005 Zwycięstwo!
  • 11/14/2005 Sony: No More Rootkit - Na razie
  • 11/9/2005 Sony: Nie chcesz reeeeaaaally odinstalować, czy?
  • 11/6/2005 Rootkit Sony: Pierwsze 4 Internet odpowiada
  • 11/4/2005 Więcej na Sony: Dangerous Decloaking Patch, EULAs i Phoning Home
  • 10/31/2005 Sony, Rootkits i Digital Rights Management poszedł zbyt daleko
  • 10/19/2005 Sprawdzanie przechodzenia przez obejście (lub czy jest to powiadomienie o zmianie?) Przywilej
  • 10/2/2005 Śmieci rejestru: Windows Fact of Life
  • Obrazy wieloplatformowe 9/19/2005
  • 8/28/2005 Sprawa sporadycznych (i irytujących) Eksplorator zawiesza się

Aby uzyskać pełną listę artykułów, zobacz http://www.sysinternals.com/blog/blogindex.html

ARTYKUŁY MARK

Mój najnowszy artykuł w windows i IT Pro Magazine był w AccessEnum, który skanuje określony wolumin, podkatalog lub klucz rejestru, aby ułatwić znalezienie potencjalnych problemów w ustawieniach zabezpieczeń.

Jest ona dostępna online dla subskrybentów pod adresem http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1

HARMONOGRAM MÓWIENIA MARK

Jesienią ubiegłego roku rozmawiałem na Konferencji Microsoft 2005 Professional Developers Conference (wrzesień w Los Angeles), Połączenia systemu Windows (listopad w San Francisco, CA) i Forum IT firmy Microsoft (listopad w Barcelonie, Hiszpanii).

Moje następne rozmowy konferencyjne są w Microsoft TechEd 2006 w Bostonie w czerwcu. Przedstawiam samouczek prekonferencji z Dave'em Solomonem na temat zaawansowanego czyszczenia złośliwego oprogramowania w dniu 11 czerwca (http://www.msteched.com/content/precons.aspx). Będę również dostarczać cztery sesje breakout na tematy, w tym zmiany jądra Vista, rozwiązywanie problemów z Filemon i Regmon, analizowanie awarii i zawieszania się systemu Windows oraz zaawansowane techniki czyszczenia złośliwego oprogramowania.

Najnowsze aktualizacje można znaleźć w temacie http://www.sysinternals.com/Information/SpeakingSchedule.html

PRAKTYCZNE ZAJĘCIA WEWNĘTRZNE/ROZWIĄZYWANIE PROBLEMÓW

Jeśli lubisz Sysinternals, książkę Windows Internals, lub chcesz dowiedzieć się więcej o wewnętrznych systemu operacyjnego Windows, w tym o tym, co przychodzi w Vista, to chcesz wziąć udział w jedynym zaplanowanych seminariach, w których zarówno Dave Solomon, jak i ja dostarczać nasze 5-dniowe praktyczne (przynieś własne laptop) Windows Internals i Advanced Troubleshooting seminarium. Tegoroczne daty to:

  • Londyn, 26-30 czerwca 2006
  • San Francisco, 18-22 września 2006
  • Austin, TX, 11-15 grudnia 2006

W tej klasie uzyskasz dogłębną wiedzę na temat architektury jądra systemu Windows, w tym wewnętrzne procesy, planowanie wątków, zarządzanie pamięcią, we/wy, usługi, zabezpieczenia, rejestr i proces rozruchu. Omówiono również zaawansowane techniki rozwiązywania problemów, takie jak dezynfekcja złośliwego oprogramowania, analiza zrzutu awaryjnego (niebieski ekran) i problemy z rozruchem w przeszłości.

Poznasz również zaawansowane porady dotyczące używania kluczowych narzędzi z www.sysinternals.com (takich jak Filemon, Regmon i Process Explorer) w celu rozwiązywania różnych problemów z systemem i aplikacjami, takich jak powolne komputery, wykrywanie wirusów, konflikty bibliotek DLL, problemy z uprawnieniami i problemy z rejestrem. Te narzędzia są używane codziennie przez pomoc techniczną firmy Microsoft i są używane skutecznie do rozwiązywania wielu różnych problemów z komputerami stacjonarnymi i serwerami, więc zapoznanie się z ich działaniem i aplikacją pomoże Ci w radzeniu sobie z różnymi problemami w systemie Windows. W rzeczywistych przykładach pokazano pomyślne zastosowanie tych narzędzi w celu rozwiązania rzeczywistych problemów. A ponieważ kurs został opracowany z pełnym dostępem do kodu źródłowego jądra systemu Windows i deweloperów, wiesz, że otrzymujesz prawdziwą historię.

A jeśli masz 20 lub więcej osób, możesz znaleźć go bardziej atrakcyjne, aby uruchomić prywatną klasę na miejscu w twojej lokalizacji (seminars@ e-mail... aby uzyskać szczegółowe informacje).

Aby uzyskać więcej informacji i zarejestrować się, odwiedź stronę
http://www.sysinternals.com/Troubleshooting.html

NOWA BIBLIOTEKA WIDEO ROZWIĄZYWANIA PROBLEMÓW Z PROGRAMEM SYSINTERNALS

Dave Solomon i ja niedawno nakręciłem nową serię wideo o nazwie "The Sysinternals Troubleshooting Library". Będzie to zestaw DVD 6 obejmujący podstawowe elementy wewnętrzne systemu Windows i zaawansowane tematy rozwiązywania problemów z narzędziami Sysinternals. Tytuły dysków to:

  • Dysk 1 — przewodnik po narzędziach Sysinternals
  • Dysk 2 — rozwiązywanie problemów z Eksploratorem procesów
  • Dysk 3 — rozwiązywanie problemów z plikami Filemon i Regmon
  • Dysk 4 — rozwiązywanie problemów z pamięcią
  • Dysk 5 — analiza zrzutu awaryjnego i zawieszania
  • Dysk 6 — rozwiązywanie problemów z rozruchem i uruchamianiem

Spodziewamy się, że w tym miesiącu zostanie udostępniona przykładowa zawartość wideo. Dyski powinny być wysyłkowe do czerwca. Będziemy mieli obniżoną cenę, gdy otworzymy zamówienia wstępne - miejmy nadzieję, że w maju. Gdy są one dostępne dla zamówienia wstępnego, wyślemy powiadomienie do tej listy zainteresowań.

Dziękujemy za przeczytanie biuletynu Sysinternals.

Opublikowano wtorek, 02 maja 2006 16:29 przez ottoh

[Archiwum biuletynów ^] [< Wolumin 7, Numer 2] [Wolumin 8, Liczba 2 >]