Compartilhar via

  • Artigo

[Arquivo de Boletins Informativos ^] [< Volume 7, Número 2] [Volume 8, Número 2 >]

O Boletim Informativo Interno de Sistemas Volume 8, Número 1

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2 de março de 2006 – Nesta edição:

  1. INTRODUÇÃO
  2. ATUALIZAÇÕES DE FERRAMENTAS
  3. ATUALIZAÇÃO DE LICENCIAMENTO
  4. FÓRUM DA SYSINTERNALS
  5. BLOG DO MARK
  6. ARTIGOS DO MARK
  7. AGENDA DE FALA DO MARK
  8. AULAS PRÁTICAS DE SOLUÇÃO DE PROBLEMAS/INTERNOS AO VIVO
  9. NOVA BIBLIOTECA DE VÍDEOS DE SOLUÇÃO DE PROBLEMAS DA SYSINTERNALS

O Winternals Software é o principal desenvolvedor e provedor de ferramentas de sistemas avançados do Windows. Foi designada uma "empresa quente" de 2006 pelo Info Security Products Guide (confira http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

Além disso, Gerenciador de Recuperação e Pak do Administrador ganharam os Prêmios de Produtos do Ano do SearchWinSystems.com em 2005. O Gerenciador de Recuperação foi premiado com Ouro na categoria Gerenciamento de Área de Trabalho, enquanto Pak do Administrador foi reconhecido como o vencedor do Prêmio Prata no grupo Gerenciamento de Sistemas (http://searchwinsystems.techtarget.com/productsOfTheYear/0,294801,sid68_ayr2005,00.html)

Para obter detalhes completos do produto, demonstrações multimídia, webinars ou solicitar um CD de avaliação de qualquer produto, visite http://www.winternals.com

INTRODUÇÃO

Olá, pessoal.

Bem-vindos ao boletim informativo do Sysinternals. Atualmente, o boletim informativo tem 60.000 assinantes.

Em fevereiro, a Sysinternals teve 1,26 milhão de visitantes únicos e 20 milhões de visualizações de páginas. Agora ela é classificado como o site número 6.900 na Internet por Alexa.com (http://www.alexa.com/data/details/?url=www.sysinternals.com).

As ferramentas mais baixadas são:

  • Procexp: 375.000 downloads/mês
  • Execuções automática: 120.000 downloads/mês
  • Revelador do Rootkit: 120.000 downloads/mês
  • Filemon: 100.000 downloads/mês
  • Regmon: 90.000 downloads/mês
  • Tcpview: 63.000 downloads/mês

Filemon, Regmon, Process Explorer e Autoruns foram escolhidos como os "melhores dos melhores" pelos participantes do grupo de notícias alt.comp.freeware (confira http://www.pricelesswarehome.org/2006/about2006PL.php).

A vida ficou interessante em novembro passado, quando publiquei minhas descobertas sobre o rootkit da Sony. Tive minha primeira aparição na TV nacional e entrevista de rádio, além de dezenas de entrevistas à imprensa e artigos em revistas e jornais. As coisas se estabeleceram agora, o que significa que voltei ao trabalho aprimorando as ferramentas da Sysinternals. Você encontrará uma gravação completa das alterações desde o último boletim informativo abaixo.

Também estou muito animado com a nova Biblioteca de Vídeos da Sysinternals, um conjunto de seis DVDs que abrange os principais tópicos de solução de problemas do Windows com as ferramentas da Sysinternals. Elas devem estar disponíveis até junho. Assista à Sysinternals para ver clipes de vídeo de versão prévia e um download gratuito de um dos vídeos.

Finalmente, se você participar de uma conferência onde eu esteja falando, por favor, pare para dar um oi. Ou, passe cinco dias comigo e o Dave Solomon em uma de nossas aulas sobre a Solução de Problemas Avançada e o Windows Internals ao vivo em Londres, São Francisco ou Austin.

-Mark Russinovich

ATUALIZAÇÕES DE FERRAMENTAS

Muitas ferramentas foram atualizadas desde o último boletim informativo em agosto. Como atualizo as ferramentas com frequência, verifique se está usando a versão mais recente. A melhor maneira de acompanhar as alterações é assinar meu feed RSS em http://www.sysinternals.com/sysinternals.xml (e se você ainda não estiver usando o RSS para acompanhar sites, precisa começar!).

Veja uma lista detalhada de alterações por ferramenta:

Process Explorer v10.06

Essa atualização principal do Process Explorer tem uma ampla lista de novos recursos e aprimoramentos voltados para a usabilidade e a busca de malware. Alguns exemplos incluem os comandos Runas e Run As Limited User, reinicialização de processos, conjuntos de colunas, dicas de ferramentas de processos aprimoradas para processos de hospedagem de serviços e Rundll32, colunas de detalhamento de conjuntos de trabalho e verificação de imagens de DLL e detecção de imagens compactadas.

RootkitRevealer v1.7

Essa nova versão do RootkitRevealer inclui contramedidas de rootkit mais sofisticadas, varredura de todos os arquivos do Registro, incluindo perfis de usuário, execução a partir de sessões de área de trabalho remota do Windows XP, suporte para volumes NTFS com tamanhos de cluster maiores que 4 KB, além de incluir várias correções de bugs e reduzir o número de discrepâncias de falsos positivos. Mesmo as versões pagas de antidetecção de rootkit do Hacker Defender não estão fora desse lançamento.

RegDelNull v1.1

Use esse novo miniaplicativo para localizar e excluir chaves do Registro que são "impossíveis de serem excluídas" pelos utilitários padrão de edição do Registro porque têm caracteres nulos incorporados em seus nomes. Em resposta ao uso dessas chaves por malware, o RegDelNull agora pode desbloquear e excluir chaves que não apenas têm nulos incorporados, mas que também têm permissões de segurança que as tornam inacessíveis de outra forma.

Sigcheck v1.3

O Sigcheck, uma poderosa ferramenta de verificação de assinatura e informações de versão de arquivos em linha de comando, agora inclui um novo sinalizador mostra apenas o número da versão de um arquivo.

PsExec v1.7

Essa atualização do PsExec inclui uma nova opção -l para ser usada por contas administrativas para executar processos com privilégios de conta de usuário limitado. Execute um Internet Explorer de baixo custo antes que o IE 7 (no Vista) seja lançado, simplesmente criando um atalho para iniciá-lo com a opção.

Autoruns v8.42

O Autoruns agora conhece ainda mais locais de inicialização automática, incluindo o valor do Registro de verificação de inicialização do Winlogon, sequestros de abertura do Shell, drivers de modo kernel, DLLs de monitor de impressão e manipuladores de coluna do Explorer, todos foram usados por malware real. Também foi adicionada a verificação de assinatura sob demanda para itens individuais e a performance do tempo de varredura foi drasticamente aprimorado quando a verificação de imagens for selecionada.

O Autoruns agora dá suporte a caminhos do sistema de arquivos e do Registro de tamanho arbitrário, adiciona um recurso de localização para pesquisar itens configurados, apresenta um recurso de comparação para comparar as inicializações automáticas atuais com uma versão salva anteriormente para que você possa identificar facilmente novas adições.

ProcFeatures v1.0

Esse applet informa o suporte do processador e do Windows para extensões de endereço físico e proteção contra estouro de buffer sem execução.

DiskView v2.2

O Diskview, um utilitário que permite examinar as alocações de cluster de um volume, agora mostra um resumo dos fragmentos de um arquivo ao clicar duas vezes em qualquer um dos clusters do arquivo e o botão Mostrar Próximo navega para o próximo fragmento de um arquivo selecionado.

DebugView v4.5

O DebugView é uma ferramenta de desenvolvedor que captura a saída de depuração do modo kernel e do usuário. Após muitas solicitações de usuários para o recurso, o DebugView agora tem uma opção para criar um novo arquivo de log e limpar a exibição todos os dias.

AccessEnum v1.3

O AccessEnum é um utilitário de segurança avançado que facilita a detecção de arquivos configurados incorretamente e descritores de segurança do Registro. A versão 1.3 inclui correções de bugs, temas do Windows XP e um novo formato de arquivo compatível com a importação do Excel.

Livekd v3.0

O LiveKd, um utilitário que permite exibir o sistema local como se fosse um despejo de memória usando os depuradores de kernel padrão da Microsoft, agora dá suporte a versões x64 do Windows e inclui algumas correções de bugs secundárias.

Regmon v7.02

Essa atualização secundária tem mensagens de erro mais claras para quando uma conta não tem os privilégios necessários para executar o Regmon ou quando o Regmon já está em execução e consolida as versões de 32 e 64 bits (x64) em um único binário.

ATUALIZAÇÃO DE LICENCIAMENTO

Sempre nos perguntam quais são as regras para nossas ferramentas de freeware. Começamos a colocar um pop-up de Contrato de Licença de Usuário Final que aparece na primeira vez que você executa uma ferramenta. O texto diz o seguinte:

“Você tem permissão para usar o software publicado neste site em casa ou no trabalho sem pagar uma taxa de licença comercial, desde que tenha feito o download do software diretamente da Sysinternals. Use o software em computadores dos quais você é o usuário principal, use o software em sistemas para os quais não há usuário principal (por exemplo, um servidor, incluindo um servidor de terminal) e você seja funcionário em tempo integral da empresa proprietária do servidor, ou use o software em computadores dentro de uma casa que você reside.”

A página de licença de freeware da Sysinternals no momento http://www.sysinternals.com/Licensing.html explica os cenários sob os quais uma licença comercial paga é necessária para uso.

FÓRUM DA SYSINTERNALS

Visite um dos 16 fóruns interativos da Sysinternals (http://www.sysinternals.com/forum). Além dos fóruns dedicados a cada uma das principais ferramentas, há quatro fóruns técnicos do Windows: Malware, Solução de Problemas, Internos e Desenvolvimento.

Com mais de 7352 membros (um aumento de quase 6000 em 6 meses), houve 14667 postagens até o momento em 4384 tópicos diferentes, o que equivale a 2000 postagens por mês nos últimos 6 meses!

BLOG DO MARK

Meu blog recebeu um novo nível de atenção com a publicação de minhas descobertas sobre o rootkit da Sony, mas houve várias outras postagens não relacionadas ao problema da Sony. Veja uma lista de artigos desde o último boletim informativo:

  • 6/2/2006 Usar Rootkits para Derrotar o Gerenciamento de Direitos Digitais
  • 18/1/2006 Dentro do Backdoor do WMF
  • 15/1/2006 Rootkits no Commercial Software
  • 3/1/2006 A Conspiração Antispyware
  • 30/12/2005 Acordo da Sony
  • 12/12/2005 Contornar a Política de Grupo como Usuário Limitado
  • 30/11/2005 Declaração de Vitória Prematura?
  • 16/11/2005 Vitória!
  • 14/11/2005 Sony: Não Há Mais Rootkit, por Enquanto
  • 9/11/2005 Sony: Você não quer desinstalar novamente, não é?
  • 6/11/2005 Rootkit da Sony: Primeiras Quatro Respostas da Internet
  • 4/11/2005 Mais sobre a Sony: Patch de Desocultação Perigoso, EULAs e Chamadas Para Casa
  • 31/10/2005 Sony, Rootkits e Gerenciamento de Direitos Digitais Exagerados
  • 19/10/2005 O Privilégio de Verificação ao Percorrer o Bypass (ou é a Notificação de Alteração?)
  • 2/10/2005 Lixo do Registro: Um Fato da Vida do Windows
  • 19/09/2005 Imagens Multiplataforma
  • 28/08/2005 O Caso do Explorer Intermitente (e Irritante) Travando

Para uma lista completa de artigos, confira http://www.sysinternals.com/blog/blogindex.html

ARTIGOS DO MARK

Meu artigo mais recente na Windows and IT Pro Magazine foi sobre o AccessEnum, que examina um volume, subdiretório ou chave de registro específico para ajudar a encontrar possíveis pontos problemáticos nas configurações de segurança.

Ele está disponível online para assinantes em http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1

AGENDA DE FALA DO MARK

No último outono, falei na Microsoft 2005 Professional Developers Conference (setembro em Los Angeles), no Windows Connections (novembro em São Francisco, CA) e no Microsoft IT Forum (novembro em Barcelona, Espanha).

Minhas próximas palestras serão no Microsoft TechEd 2006, em Boston, em junho. Vou apresentar um tutorial de pré-conferência com Dave Solomon sobre limpeza avançada de malware em 11 de junho (http://www.msteched.com/content/precons.aspx). Também apresentarei quatro sessões de discussão sobre tópicos que incluem alterações no kernel do Vista, solução de problemas com Filemon e Regmon, análise de falhas e travamentos do Windows e técnicas avançadas de limpeza de malware.

Para obter as atualizações mais recentes, confira http://www.sysinternals.com/Information/SpeakingSchedule.html

AULAS PRÁTICAS DE SOLUÇÃO DE PROBLEMAS/INTERNOS AO VIVO

Se você gosta da Sysinternals, do livro Windows Internals ou deseja saber mais sobre os aspectos internos do sistema operacional Windows, inclusive o que está por vir no Vista, então você vai querer participar dos únicos seminários programados em que Dave Solomon e eu ministramos nosso seminário prático de cinco dias (traga seu próprio laptop) sobre Windows Internals e Solução de Problemas Avançada. As datas deste ano são:

  • Londres, 26 a 30 de junho de 2006
  • São Francisco, 18 a 22 de setembro de 2006
  • Austin, TX: 11 a 15 de dezembro de 2006

Nessa aula, você obterá uma compreensão aprofundada da arquitetura do kernel do Windows, incluindo os aspectos internos dos processos, agendamento de threads, gerenciamento de memória, E/S, serviços, segurança, registro e processo de inicialização. Também serão abordadas técnicas avançadas de solução de problemas, como desinfecção de malware, análise de despejo de memória (tela azul) e problemas de inicialização anteriores.

Você também aprenderá dicas avançadas sobre como usar as principais ferramentas www.sysinternals.com (como Filemon, Regmon, Process Explorer) para solucionar uma série de problemas de sistema e aplicativos, como computadores lentos, detecção de vírus, conflitos de DLL, e problemas de permissão e problemas de registro. Essas ferramentas são usadas diariamente pelo Suporte a Produtos da Microsoft e têm sido usadas efetivamente para resolver uma ampla variedade de problemas de área de trabalho e servidor, portanto, estar familiarizado com a operação e o aplicativo o ajudará a lidar com diferentes problemas no Windows. Serão dados exemplos do mundo real que mostram a aplicação bem-sucedida dessas ferramentas para resolver problemas reais. E como o curso foi desenvolvido com acesso completo ao código-fonte do kernel do Windows e aos desenvolvedores, você sabe que está recebendo a história real.

E se você tiver 20 ou mais pessoas, talvez seja mais interessante fazer uma aula privada no local (email seminars@... para obter detalhes).

Para obter mais detalhes e se registrar, visite
http://www.sysinternals.com/Troubleshooting.html

NOVA BIBLIOTECA DE VÍDEOS DE SOLUÇÃO DE PROBLEMAS DA SYSINTERNALS

Dave Solomon e eu gravamos recentemente uma nova série de vídeos a ser chamada de "A Biblioteca de Solução de Problemas da Sysinternals". Será um conjunto de seis DVDs que abrange os tópicos de solução de problemas internos e avançados do Windows essenciais, com as ferramentas da Sysinternals. Os títulos de disco são:

  • Disco 1 – Tour pelas Ferramentas da Sysinternals
  • Disco 2 – Solução de Problemas com o Process Explorer
  • Disco 3 – Solução de Problemas com o Filemon e o Regmon
  • Disco 4 – Solução de Problemas de Memória
  • Disco 5 – Análise de Despejo de Memória e Travamento
  • Disco 6 – Solução de Problemas de inicialização

Esperamos ter algum conteúdo de vídeo de exemplo disponível para download este mês. Os discos devem ser enviados até junho. Teremos um preço com desconto quando abrirmos pré-encomendas, espero que em maio. Quando estiverem disponíveis para pré-encomenda, enviaremos um aviso para a lista de interessados.

Obrigado por ler o Boletim Informativo do Sysinternals.

Publicado terça-feira, 02 de maio de 2006 16:29 por ottoh

[Arquivo de Boletins Informativos ^] [< Volume 7, Número 2] [Volume 8, Número 2 >]