Dela via

  • Artikel

[Nyhetsbrev arkiv ^] [< Volym 7, nummer 2] [Volym 8, nummer 2 >]

System Internals Newsletter Volym 8, Nummer 1

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2 mars 2006 – I det här problemet:

  1. INTRODUKTION
  2. VERKTYGSUPPDATERINGAR
  3. LICENSUPPDATERING
  4. SYSINTERNALS-FORUM
  5. MARK'S BLOG
  6. MARK'S ARTICLES
  7. MARK'S SPEAKING-SCHEMA
  8. LIVE HANDS-ON INTERNALS/FELSÖKNINGSKLASSER
  9. NYTT SYSINTERNALS-FELSÖKNING AV VIDEOBIBLIOTEK

Winternals Software är den ledande utvecklaren och leverantören av avancerade systemverktyg för Windows. Det utsågs till ett 2006 "hett företag" av Info Security Products Guide (se http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

Dessutom vann Recovery Manager och Administrator's Pak SearchWinSystems.com's 2005 Products of the Year Awards. Recovery Manager tilldelades guld i kategorin Desktop Management, medan administratörens Pak erkändes som Silver Award-vinnare i System Management-gruppen (http://searchwinsystems.techtarget.com/productsOfTheYear/0294801,sid68_ayr2005,00.html)

Fullständig produktinformation, multimediademonstrationer, webbseminarier eller för att begära en utvärderings-CD av någon av produkterna finns i http://www.winternals.com

INTRODUKTION

Hej!

Välkommen till Sysinternals nyhetsbrev. Nyhetsbrevet har för närvarande 60 000 prenumeranter.

I februari hade Sysinternals 1,26 miljoner unika besökare och 20 miljoner sidvisningar. Den har nu rankats som nummer 6 900 på Internet av Alexa.com (http://www.alexa.com/data/details/?url=www.sysinternals.com).

De mest nedladdade verktygen är:

  • Procexp: 375 000 nedladdningar/månad
  • Autoruns: 120 000 nedladdningar/månad
  • Rootkit Revealer: 120 000 nedladdningar/månad
  • Filemon: 100 000 nedladdningar/månad
  • Regmon: 90 000 nedladdningar/månad
  • Tcpview: 63 000 nedladdningar/månad

Filemon, Regmon, Process Explorer och Autoruns har valts som "bästa av de bästa" av alt.comp.freeware diskussionsgruppsdeltagare (se http://www.pricelesswarehome.org/2006/about2006PL.php).

Livet blev intressant i november förra året när jag publicerade mina resultat om Sony rootkit. Jag hade mitt första nationella TV-framträdande och radiointervju förutom dussintals pressintervjuer och artiklar i tidskrifter och tidningar. Saker och ting har lugnat ner sig nu, vilket innebär att jag har varit tillbaka på jobbet och förbättrat Sysinternals-verktygen. Du hittar en fullständig uppskrivning av ändringar sedan det senaste nyhetsbrevet nedan.

Jag är också mycket glada över den nya Sysinternals Video Library, en 6 DVD-uppsättning som täcker viktiga Windows felsökning ämnen med Sysinternals verktyg. De bör vara tillgängliga i juni. Titta på Sysinternals för förhandsversion av videoklipp och en kostnadsfri nedladdning av en av videorna.

Slutligen, om du deltar i en konferens där jag talar, kom förbi för att säga hej. Eller tillbringa 5 dagar med mig och Dave Solomon på en av våra live Windows Internals & Advanced Felsökning klasser i London, San Francisco eller Austin.

-Mark Russinovich

VERKTYGSUPPDATERINGAR

Många verktyg har uppdaterats sedan det senaste nyhetsbrevet i augusti. Eftersom jag uppdaterar verktygen ofta kontrollerar du att du använder den senaste versionen. Det bästa sättet att hänga med i ändringarna är att prenumerera på mitt RSS-flöde på http://www.sysinternals.com/sysinternals.xml (och om du ännu inte använder RSS för att hålla jämna tid med webbplatser måste du börja!).

Här är en detaljerad lista över ändringar efter verktyg:

Process Explorer v10.06

Den här stora uppdateringen av Process Explorer innehåller en omfattande lista över nya funktioner och förbättringar som syftar till användbarhet och jakt på skadlig kod. Bara några av exemplen är Runas- och Run As Limited User-kommandon, omstart av processer, kolumnuppsättningar, förbättrade processknappbeskrivningar för tjänstvärd- och Rundll32-processer, uppdelningskolumner för arbetsuppsättningar och DLL-bildverifiering och identifiering av paketerade bilder.

RootkitRevealer v1.7

Den här nya RootkitRevealer-versionen innehåller mer avancerade rootkit-motmått, genomsökning av alla registerdatafiler, inklusive användarprofiler, körningar från Windows XP-fjärrskrivbordssessioner, stöd för NTFS-volymer med klusterstorlekar som är större än 4 KB och innehåller ett antal felkorrigeringar och minskar antalet falska positiva avvikelser. Inte ens Hacker Defender Rootkits betalda antiidentifieringsversioner döljs från den här versionen.

RegDelNull v1.1

Använd den här nya appleten för att hitta och ta bort registernycklar som är "oborttagningsbara" av standardverktygen för registerredigering eftersom de har inbäddade null-tecken i sina namn. Som svar på användningen av sådana nycklar av skadlig kod kan RegDelNull nu låsa upp och ta bort nycklar som inte bara har inbäddade null-värden, utan som också har säkerhetsbehörigheter som gör dem annars otillgängliga.

Sigcheck v1.3

Sigcheck, ett kraftfullt kommandoradsfilversionsinformation och signaturverifieringsverktyg, innehåller nu en ny flagga som bara visar en fils versionsnummer.

PsExec v1.7

Den här PsExec-uppdateringen innehåller en ny -l-växel för användning av administrativa konton för att köra processer med begränsad behörighet för användarkonton. Kör en Internet Explorer med låga rättigheter innan IE 7 (i Vista) kommer ut helt enkelt genom att skapa en genväg för att starta den med växeln.

Kör automatiskt v8.42

Autoruns känner nu till ännu fler platser för automatisk start, inklusive winlogon-startverifieringsregistrets värde, öppna shell-kapningar, drivrutiner i kernelläge, DLL:er för utskriftsövervakare och Explorer-kolumnhanterare – som alla har använts av verklig skadlig kod. Dessutom läggs signaturverifiering på begäran för enskilda objekt och avsevärt bättre genomsökningstidsprestanda när bildverifiering väljs.

Autokörningar stöder nu godtycklig längd Register- och filsystemsökvägar, lägger till en sökfunktion för att söka igenom konfigurerade objekt, introducerar en jämförelsefunktion för att jämföra aktuella autostarter med en tidigare sparad version så att du enkelt kan identifiera nya tillägg.

ProcFeatures v1.0

Den här appleten rapporterar processor- och Windows-stöd för fysiska adresstillägg och Skydd mot buffertspill utan körning.

DiskView v2.2

Diskview, ett verktyg som låter dig titta på klusterallokeringarna för en volym, visar nu en sammanfattning av en fils fragment när du dubbelklickar på något av filens kluster och knappen Visa nästa navigerar till nästa fragment i en vald fil.

FelsökView v4.5

DebugView är ett utvecklarverktyg som samlar in felsökningsutdata för användar- och kernelläge. Efter många användarbegäranden för funktionen DebugView har nu ett alternativ för att skapa en ny loggfil och rensa visningen varje dag.

AccessEnum v1.3

AccessEnum är ett kraftfullt säkerhetsverktyg som gör det enkelt att upptäcka felkonfigurerade fil- och registersäkerhetsbeskrivningar. Version 1.3 innehåller felkorrigeringar, Windows XP-teman och ett nytt filformat som är kompatibelt med Excel-import.

Livekd v3.0

LiveKd, ett verktyg som gör att du kan visa det lokala systemet som om det vore en kraschdump med standardfelsökarna i Microsoft-kärnan, stöder nu x64-versioner av Windows och innehåller några mindre felkorrigeringar.

Regmon v7.02

Den här mindre uppdateringen har tydligare felmeddelanden för när ett konto inte har behörighet att köra Regmon eller Regmon redan körs och konsoliderar 32-bitars- och 64-bitarsversionerna (x64) till en enda binär fil.

LICENSUPPDATERING

Vi får ofta frågor om vilka regler som gäller för våra kostnadsfria verktyg. Vi har börjat lägga till ett popup-fönster för slutanvändarlicensavtalet som visas första gången du kör ett verktyg – texten lyder så här:

"Du får använda programvara som publiceras på den här webbplatsen hemma eller på jobbet utan att betala en kommersiell licensavgift förutsatt att du laddade ned programvaran själv direkt från Sysinternals, använder programvaran på datorer som du är den primära användaren för, använder programvaran på system där det inte finns någon primär användare (t.ex. en server, inklusive en terminalserver) och du är heltidsanställd på företaget som äger servern, eller använder programvaran på en dator i ett hem där du är bosatt."

På sidan http://www.sysinternals.com/Licensing.html Sysinternals freeware-licens beskrivs nu scenarier där en betald kommersiell licens krävs för användning.

SYSINTERNALS-FORUM

Besök ett av de 16 interaktiva Sysinternals-forumen (http://www.sysinternals.com/forum). Förutom dedikerade forum för vart och ett av de viktigaste verktygen finns det fyra tekniska Windows-forum: Skadlig kod, felsökning, internt och utveckling.

Med över 7352 medlemmar (upp med nästan 6000 i 6 månader), har det varit 14667 inlägg hittills i 4384 olika ämnen, som kommer till 2000 inlägg per månad för de senaste 6 månaderna!

MARK'S BLOG

Min blogg fick en ny nivå av uppmärksamhet med publiceringen av mina resultat på Sony rootkit, men det har varit flera andra inlägg som inte är relaterade till Sony frågan. Här är en lista över artiklar sedan det senaste nyhetsbrevet:

  • 2006-02-06 med Rootkits för att besegra Digital Rights Management
  • 1/18/2006 Inuti WMF-bakdörren
  • 1/15/2006 Rootkits i kommersiell programvara
  • 1/3/2006 Antispyware Konspiration
  • 12/30/2005 Sony Settles
  • 12/12/2005 Kringgående grupprincip som begränsad användare
  • 11/30/2005 Tidig segerdeklaration?
  • 11/16/2005 Seger!
  • 11/14/2005 Sony: Ingen mer Rootkit - för tillfället
  • 11/9/2005 Sony: Du vill inte reeeeaaaally vill avinstallera, eller hur?
  • 11/6/2005 Sonys Rootkit: Första 4 Internet svarar
  • 11/4/2005 Mer om Sony: Dangerous Decloaking Patch, EULAs och Phoning Home
  • 10/31/2005 Sony, Rootkits och Digital Rights Management Gått för långt
  • 10/19/2005 Förbikopplingskontrollen (eller är det Ändringsa meddela?) Privilegium
  • 10/2/2005 Registry Junk: A Windows Fact of Life
  • 2005-09-19-2005 Avbildningar för flera plattformar
  • 2005-08-28 Fallet med den tillfälliga (och irriterande) utforskaren hänger sig

En fullständig lista över artiklar finns i http://www.sysinternals.com/blog/blogindex.html

MARK'S ARTICLES

Min senaste artikel i Windows och IT Pro Magazine var på AccessEnum, som söker igenom en angiven volym, underkatalog eller registernyckel som hjälper dig att hitta potentiella problem i dina säkerhetsinställningar.

Den är tillgänglig online för prenumeranter på http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1

MARK'S SPEAKING-SCHEMA

I höstas talade jag på Microsoft 2005 Professional Developers Conference (september i Los Angeles), Windows-anslutningar (november i San Francisco, CA) och Microsoft IT Forum (november i Barcelona, Spanien).

Mina nästa konferenssamtal är på Microsoft TechEd 2006 i Boston i juni. Jag presenterar en förkonferens självstudiekurs med Dave Solomon om avancerad rengöring av skadlig kod den 11 juni (http://www.msteched.com/content/precons.aspx). Jag kommer också att leverera fyra breakout sessioner om ämnen inklusive Vista kernel ändringar, felsökning med Filemon och Regmon, analysera Windows krascher och låser sig, och avancerade tekniker för rensning av skadlig kod.

De senaste uppdateringarna finns i http://www.sysinternals.com/Information/SpeakingSchedule.html

LIVE HANDS-ON INTERNALS/FELSÖKNINGSKLASSER

Om du gillar Sysinternals, boken Windows Internals, eller vill lära dig mer om Windows OS internals, inklusive vad som kommer i Vista, så vill du delta i de enda schemalagda seminarierna där både Dave Solomon och jag levererar vår 5-dagars praktiska (ta med din egen bärbara dator) Windows Internals och Advanced Troubleshooting seminarium. Årets datum är:

  • London, 26-30 juni 2006
  • San Francisco, 18-22 september 2006
  • Austin, TX, 11-15 december 2006

I den här klassen får du en djupgående förståelse för kernelarkitekturen i Windows, inklusive interna processer, trådschemaläggning, minneshantering, I/O, tjänster, säkerhet, registret och startprocessen. Dessutom beskrivs avancerade felsökningstekniker, till exempel desinfektion av skadlig kod, kraschdumpanalys (blå skärm) och att komma förbi startproblem.

Du får också lära dig avancerade tips om hur du använder viktiga verktyg från www.sysinternals.com (till exempel Filemon, Regmon och Process Explorer) för att felsöka en rad system- och programproblem, till exempel långsamma datorer, virusidentifiering, DLL-konflikter, behörighetsproblem och registerproblem. Dessa verktyg används dagligen av Microsoft Product Support och har använts effektivt för att lösa en mängd olika skrivbords- och serverproblem, så att känna till deras drift och program hjälper dig att hantera olika problem i Windows. Verkliga exempel kommer att ges som visar framgångsrik tillämpning av dessa verktyg för att lösa verkliga problem. Och eftersom kursen utvecklades med fullständig åtkomst till Windows kernel källkod OCH utvecklare, vet du att du får den verkliga historien.

Och om du har 20 eller fler personer kan det vara mer attraktivt att köra en privat klass på plats på din plats (e-post seminars@... för mer information).

Mer information och för att registrera dig finns i
http://www.sysinternals.com/Troubleshooting.html

NYTT SYSINTERNALS-FELSÖKNING AV VIDEOBIBLIOTEK

Dave Solomon och jag spelade nyligen in en ny videoserie som ska kallas "The Sysinternals Troubleshooting Library". Det blir en 6 DVD-uppsättning som täcker viktiga interna Windows-enheter och avancerade felsökningsämnen, med Sysinternals-verktygen. Disktitlarna är:

  • Disk 1 – Genomgång av Sysinternals Tools
  • Disk 2 – Felsökning med Process Explorer
  • Disk 3 – Felsökning med Filemon och Regmon
  • Disk 4 – Felsöka minnesproblem
  • Disk 5 – Kraschdump och låsningsanalys
  • Disk 6 – Felsöka start- och startproblem

Vi förväntar oss att ha ett exempel på videoinnehåll tillgängligt för nedladdning den här månaden. Diskarna ska levereras senast i juni. Vi kommer att ha ett rabatterat pris när vi öppnar förbeställningar - förhoppningsvis i maj. När de är tillgängliga för förbeställning skickar vi ett meddelande till den här intresselistan.

Tack för att du läser Sysinternals nyhetsbrev.

Publicerad tisdag 2 maj 2006 16:29 av ottoh

[Nyhetsbrev arkiv ^] [< Volym 7, nummer 2] [Volym 8, nummer 2 >]