[電子報封存 ^][ Volume 5, Number 1] [<Volume 6, Number 1 >]
Sysinternals 電子報第 5 卷,第 2 期
http://www.sysinternals.com
Copyright (c) 2003 Mark Russinovich
2003 年 6 月 23 日 - 本期內容:
編輯
SYSINTERNALS 最新動向
- Filemon v6.06, Regmon v6.06
- PsPassword v1.01
- PsLoglist v2.3
- AccessEnum v1.0
- Process Explorer v6.03
內部資訊
- Deloader Worm 的 PsExec 部分
- 使用 PsTools 造成問題
- Microsoft 文件 NtQuerySystemInformation (類似)
內部訓練
- 夏季影片特別節目
- Microsoft TechEd Europe
- 下一個公開 Windows 內部課程
Sysinternals 電子報由 Winternals Software 贊助,該公司的網址為 http://www.winternals.com. Winternals Software 是一家領先的開發公司,提供了諸多適用於 Windows NT/2K/XP 的先進系統工具。
Winternals 很高興宣布發布 Administrator's Pak 4.0,並對我們的旗艦產品 ERD Commander 2003 進行了全面更新。 ERD Commander 2003 的新功能包括:FileRestore,用於復原已刪除的檔案;能夠使用 Windows XP 系統還原點來復原無法啟動的系統;Disk Commander,用於主要開機記錄 (MBR) 修復和搶救資料,甚至是已刪除的磁碟區:以及「系統比較」診斷工具,可比較無效系統上的系統與組態檔與工作系統。 如需要求試用版,請造訪 http://www.winternals.com/sn
編輯
大家好,
歡迎閱讀 Sysinternals 電子報。 本電子報目前有 36,000 名訂閱者。
我終於做到了。 我從 Internet Explorer 換到了 Mozilla (http://www.mozilla.org)。 Bryce Cogswell (我的 Sysinternals 和 Winternals 聯合創辦人) 已經使用 Mozilla 幾年了,而且他會定期對我更新 Mozilla 擁有,但 IE 沒有的所有酷功能。 最明顯的功能就是,您可以在相同瀏覽器視窗的索引標籤頁面中開啟新頁面,而不是在不同的視窗中開啟新頁面。 如果您希望瀏覽器在啟動時開啟多個頁面,只要在啟動群組建立一組索引標籤即可。
雖然 IE 具備記住網頁密碼的全域設定,但 Mozilla 可讓您指定您想要記住密碼的網頁,而且您可以使用密碼管理員隨時移除記住的密碼。 新增內建下載管理員、整合式電子郵件用戶端 (我不用這個功能)、多個設定檔、內建聊天程式、與熱門搜尋引擎整合,Mozilla 與 IE 之間的距離開始讓人感到印象深刻。
然而,Mozilla 在遇到惱人的網站時表現確實出色。 它包含內建的快顯管理員,您可以視需要逐一在網站設定彈出視窗過濾。 它有一個用來封鎖 Cookie 的 Cookie 管理員,您也可以依網站進行封鎖,以及檢視系統上已卸載的 Cookie。 您也可以設定 Mozilla 處裡影像的行為。 大部分有討厭橫幅的網站都會從外部贊助網站提取圖形檔案,而且您可以視需要將 Mozilla 設定為忽略外部影像。 最後,讓人賞心悅目的是 Mozilla 的外觀設定支援,有許多免費的外觀可以設定。
我知道這聽起來像是在業配,但其實沒有。 這比較像是在評論競爭者在產品方面的缺失。 在 Mozilla 具備這些 Cookie 管理和快顯封鎖等更多免費功能時,為什麼消費者必須在 IE 上花錢才能享有? IE 在第 5 版到 6 版之間的差異為什麼這麼小,為什麼長達兩年沒有更新? 絕大多數消費者會使用他們電腦上既有的任何軟體,而且不會閱讀開放原始碼新聞群組或瀏覽 Slashdot.org,因此他們不知道其實有更好的可用替代方案存在。 Microsoft 和 Netscape 透過免費提供的瀏覽器,讓他們主宰了 Web 伺服器應用程式市場,因此改善 IE 對 Microsoft 而言也不會多賺一點錢 - 像我這樣經驗豐富的人改用 Mozilla 時,他們不會有任何損失。
即使在 Microsoft 的附加元件軟體中,您也能看到相同的效果。 我過去曾使用 Eudora 作為電子郵件用戶端,但大約兩年前就改用 Outlook。 似乎每個人都在使用 Outlook,而我想利用它的行事曆功能。 我立刻發現一些小麻煩。 例如,您可以設定 Eudora 在伺服器上保留特定大小的電子郵件,當您在旅館房間使用 25 Kb 撥接網路時,這就很實用。 Outlook 有類似的功能,但 Eudora 會下載郵件文字的前幾行,讓您看到該郵件的目的,並決定是否要忍耐長時間的下載。 Outlook 則不會。
我可以繼續講下去,但您已經知道我想傳達的訊息了,或許可以列入您自己的笑話清單。 重點是,競爭是否對電腦消費者帶來好處。 IE「Longhorn」有可能擊敗 Mozilla 嗎?
請將電子報轉發給您認為可能對其內容感興趣的朋友。
感謝您!
-標記
SYSINTERNALS 最新動向
FILEMON V6.06, REGMON V6.06
Filemon 和 Regmon 在不到六個月內躍升了兩個完整版本號碼。 這個最新的重大更新帶來了增強功能,讓它們更容易使用,並且顯示的資訊更豐富。
在執行新版本時,您會立即看到處理序圖示顯示在處理序資料行中,並提供視覺提示,說明與您所看到的 I/O 相關聯的應用程式。 如果您想要處理序的詳細資訊,包括版本資訊、完整路徑和命令列,請以滑鼠右鍵按一下具有該程式 I/O 的行,然後選取 [處理序屬性]。
在某些情況下,當您嘗試檢視其屬性時,可能不會看到適當的程式圖示,並收到錯誤對話方塊。 在使用者介面有機會存取處理序並取得其路徑之前,處理序可以啟動和結束的話,就會產生這個結果。
當您開啟操作功能表時,也會看到可新增處理序或路徑至包含或排除篩選的項目。 如果您選擇套用新的篩選條件,系統會顯示新的提示,詢問是否要將新篩選套用至收集的輸出。 這可讓您快速將輸出修剪成您感興趣的資訊,而不需要儲存輸出,並將它載入試算表以進行後續處理。
另一項增強功能是將已儲存的記錄檔載入回顯示器。 這項功能與新的篩選功能與醒目提示結合時,可在事後剖析問題時使用工具。
下載 Filemon v6.06:
http://www.sysinternals.com/ntw2k/source/filemon.shtml
下載 Regmon v6.06:
http://www.sysinternals.com/ntw2k/source/regmon.shtml
PSPASSWORD V1.01
這個 PsTools 套件的最新新增功能,使組成套件的命令列、遠端系統管理工具總數達到 12 個。 許多系統管理員,包括我共同創辦的 Winternals 公司的系統管理員,都會定期變更他們管理的用戶端電腦的本機管理密碼。 您無法用內建方式遠端變更本機密碼,這就是 PsPassword 的目的。 您可以使用它來變更遠端電腦上的本機 (或網域) 密碼。 將它新增至針對電腦清單執行的腳本或批次檔,使其成為理想的大量密碼變更公用程式。
下載 PsPassword v1.01:
http://www.sysinternals.com/ntw2k/freeware/pspasswd.shtml
下載整個 PsTools 套件:
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml
PSLOGLIST V2.3
PsLoglist 是我許多經常收到功能請求的 Sysinternals 工具之一。 2.3 版的增強功能完全回應了使用者的回饋。 改進最多的領域是篩選。 PsLoglist 有新的參數,可讓您將顯示的事件記錄限制為僅符合指定事件 ID 或具有指定事件來源 (例如 IIS) 的事件記錄。 在過去版本中,事件類型篩選只接受一個事件類型,但現在它可讓您輸入多個類型。 例如,要查看所有錯誤和警告,您可以使用以下命令列:psloglist -t f w。
下載 PsLogList v2.3:
http://www.sysinternals.com/ntw2k/freeware/psloglist.shtml
下載整個 PsTools 套件:
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml
ACCESSENUM V1.0
NTFS 採用的豐富權限模型提供極大的彈性。 這種彈性可能帶來複雜性和錯誤設定的安全性。 不幸的是,沒有任何內建工具可輕鬆管理目錄和檔案安全性。 雖然 cacls 命令列公用程式想法是正確的,但它畢竟是命令列工具,這使其輸出難以剖析。 這就是 AccessEnum 派上用場的地方。 AccessEnum 可讓您輕鬆了解整個樹狀目錄的檔案和目錄權限檢視。 透過 AccessEnum,您可以輕鬆地找出權限問題。
在您執行 AccessEnum 時,您會指定目錄,且 AccessEnum 會顯示哪些使用者可存取該目錄,如果適用,該目錄下的檔案和目錄。 根據預設,如果目錄的權限與其父目錄的權限不同,AccessEnum 只會列出目錄,而且只有在檔案的權限比其父目錄更寬鬆時,才會顯示檔案。 如果您願意,可以使用 [選項] 對話方塊讓 AccessEnum 顯示檔案 (如果它們的權限與其父目錄不同)。
下載 AccessEnum v1.0:
http://www.sysinternals.com/ntw2k/source/accessenum.shtml
PROCESS EXPLORER V6.03
處理序總管是處理序檢視器和控制公用程式,可挑選工作管理員離開的位置。 在其廣泛的功能清單中,處理序總管會顯示處理序建立樹狀結構、顯示處理序已開啟的控制碼、列出處理常式已載入的 DLL (和其他記憶體對應檔案),並可讓您搜尋已開啟特定檔案的處理序。
6.0 版中最重要的增強功能與檢視資料行有關。 因為在此之前的版本都不能設定資料行,所以我仔細選擇要顯示哪些資料行,以最大化可用的有限空間。 這會限制在未開啟屬性對話方塊的情況下看到的資料,也是我認為最普遍實用的資料。
現在,就像使用工作管理員一樣,您可以使用 [檢視]|選取 [資料行] 功能表項目,選擇要在處理序、控制碼和 DLL 的三種檢視中查看哪些資料行。 您也可以拖曳資料行來重新排序資料行。 除了可讓您依喜好自訂顯示,還有更多資料行選擇。 例如,處理序檢視支援工作管理員執行的資料行選取項目以及其他實用選項,例如處理序映像路徑、命令列、版本號碼和公司名稱。
舊版的處理序總管會同步重新整理其顯示,這表示使用者介面可能會有一段時間沒有回應,特別是在處理使用中檢視且選取的處理序有數千個控制碼時。 6.0 版引進了這三個檢視的非同步更新,讓使用者介面一律會有回應,而處理序總管看起來更貼齊。
我在處理序總管的早期版本中首創的一項強大功能是差異醒目提示,其中,顯示醒目提示中的新項目會以綠色顯示,並以紅色標示刪除的項目。 我已擴充在 6.0 版中的此功能,除非您已暫停顯示,否則重新整理醒目提示會持續 4 秒,讓您更容易發現變更 (在暫停模式中,反白顯示會持續到下一次手動更新為止)。
了解處理序內執行的服務是處理序總管處理序檢視的其中一項功能。 您可以選取 [選項]|[醒目提示服務] 來選擇醒目提示服務裝載處理序。 如果您檢視服務裝載處理序的屬性,則會有一個名為「服務」的額外索引標籤,向您顯示處理序中執行的服務清單,包括它們的服務和顯示名稱。 現在在 Win2K 和更新版本上,如果服務的開發人員有提供服務,處理序總管也會顯示您在服務清單中選取的服務描述。 這項額外資訊可讓使用處理序總管比任何其他工具 (例如 XP 和 2003 中的 Tlist /s 或新的 tasklist /svc 命令) 更容易識別服務。
一些較小的改進包括在儲存時,處理序總管現在會儲存處理序檢視和底部檢視的內容 (控制碼或 DLL),而不只是底部檢視。 現在也有最小化到系統匣的選項,讓您能夠方便使用處理序總管。
下載 Process Explorer v6.03:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
SYSINTERNALS AT WWW.MICROSOFT.COM
以下是自上期電子報以來發行的 Microsoft 知識庫文章中 Sysinternals 參考内容的最新一期。 知識庫中對 Sysinternals 的引用總次數達到了 41 次。
ACC2002:錯誤訊息:ActiveX 元件無法建立物件 http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B319844
修正:從快取移除瀏覽器功能評估工具時效能降低 http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B819612
如何:針對 Microsoft 內容管理 Server 2002 中的站台部署問題進行疑難排解 http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B814774
PSVR2002: 當您嘗試存取專案檢視時,「此檢視中沒有資訊可顯示」錯誤訊息 http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B810596
內部資訊
DELOADER 蠕蟲病毒的 PSEXEC 部分
PsExec 是一種工具,可讓您在具有系統管理員存取權的遠端系統上執行處理序,該工具已侵入多種蠕蟲病毒,其中最著名的是今年春天在網路上流行的 Deloader (http://www.f-secure.com/v-descs/deloader.shtml)。 我收到了一些不熟悉 Sysinternals 的使用者的電子郵件,因為他們在 PsExec 執行時所顯示的橫幅中看到我的名字,指責我試圖破解他們的系統。
不幸的是,人們選擇惡意使用 Sysinternals 軟體,但我對此無能為力。 要記住的一個重要事實是,使用者無法使用任何工具來影響遠端系統,除非他們執行的帳戶具有遠端系統的管理權限。 有了這樣的權限,他們就可以對遠端系統進行任何他們想要的破壞,而無需使用任何工具:rmdir /s \\remotesystem\admin$ 將會清除遠端系統的 SystemRoot 目錄。
至於遠端處理序執行,如果他們未使用 PsExec,則會使用其他工具。 事實上,Windows Management Instrumentation 內建於 Windows 2000 和更新版本中,而且可作為 NT 4 和 Windows 9x 附加元件使用,具有遠端處理序執行介面,可提供 PsExec 功能的子集。
使用 PSTOOLS 造成問題
Bryce 和我在 Sysinternals 上發佈的大多數工具主要用於系統管理和疑難排解。 值得注意的例外是 Sysinternals Bluescreen Screen Saver (http://www.sysinternals.com/ntw2k/freeware/bluescreensaver)),這個程式描繪了一個真實外觀的藍色畫面當機和重新開機序列,這個程式是在您執行的 Windows NT 版本上特有的 (它甚至也可在 Windows 9x 上執行)。 不過您可能還沒有意識到,網站上的一些其他工具也可以用來在辦公室捉弄同事。
有三個工具可輕易折磨你的同事:PsExec、PsKill 和 PsSuspend。 只要您的帳戶具有遠端系統的系統管理存取權,或您有權存取執行該動作的帳戶,您就可以使用它們從遠端操作電腦。
PsExec 可讓您在遠端系統上啟動應用程式,讓某人感到困惑的簡單方法,就是在他們的主控台上啟動隨機程式。 若要在他們的電腦上執行 Solitaire,您會使用以下的行:
psexec \\remotesystem -i sol.exe
參數 -i 會讓 PsExec 在主控台上啟動程式,而不是在隱藏的服務桌面上啟動。 當使用者關閉 Solitaire 程式時,PsExec 將會結束。 如果您想要啟動多個執行個體以拖垮使用者,可使用 -d 參數讓 PsExec 結束,而不需要等待處理序結束。
更狡猾的是在他們的系統上啟動 Bluescreen Screen Saver,讓他們以為系統已經當機。 使用此命令列來執行此動作:
psexec \\remotesystem -i -c "sysinternals bluescreen.scr" /s
參數 -c 會將指定的檔案複製到遠端系統。
如果您想要造成更多問題,請使用 PsKill 來終止其系統上的處理序。 Explorer 是很好的選擇,畢竟每個人都在執行,這將會導致自動重新開機,並在一般作業期間隨機當機 (總之,我會這樣做)。
最後,如果您真的想惡搞某人,可以使用 PsSuspend 短暫暫停其系統上的隨機處理序。 同樣,他們可能會覺得那只是正常的 Windows 異常行為,但只有您知道是怎麼回事!
下載 PsExec、PsKill 和 PsSuspend:
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml
MICROSOFT DOCUMENTS NTQUERYSYSTEMINFORMATION (SORT OF)
有一天,我在查找 2003 年 4 月的 MSDN 程式庫時發現了 NtQuerySystemInformation 的文件頁面。 NtQuerySystemInformation 是位於大部分 WIN32 API 之下的「原生」API 的一部分,幾乎完全由屬於作業系統的系統處理序使用 (您可以在 http://www.sysinternals.com/ntw2k/info/ntdll.shtml). 中閱讀有關原生 API 的資訊 部分 Sysinternals 工具會利用 API 來存取 Win32 未公開的功能,但該功能只與取得處理序和執行緒資訊有關。
因此,我很驚訝地發現了 NtQuerySystemInformation,我的第一個想法是,Microsoft 已決定公開 API 所提供的一些實用功能。 閱讀文件後,我覺得事實並非如此。 所有描述的 API 用法均由定義完善的 WIN32 API 所提供,同時這些文件也強烈建議您改用這些 API,從函式描述頂端的語句開始,內容如下:「NtQuerySystemInformation 是一個內部 Windows 函式,可擷取各種系統資訊。 由於此函式在未來的 Windows 版本中可能會發生變更,請使用下面所列的替代函式。」
事實上,文件中顯示的一些用法是完全無用的。 例如,API 變體 SYSTEM_PERFORMANCE_INFORMATION 的描述指出您取回數據結構,而不是以 Windows 使用它的相同方式,您應該將 它視為位元組的隨機配置,而且您可能使用做為隨機數。 然後,它會指出您確實不應該使用 API 產生亂數,而是改為呼叫記錄的 Win32 函式 CryptGenRandom。 重點是,他們記載的東西真的沒有用,也沒有比 Win32 提供的內容更可靠且更容易使用。
出於好奇,我注意到他們列出包含使用 API 所需的資訊包含 SDK 中的 winternl.h 檔案。 在 MSDN 檔中搜尋該檔案會顯示更多相同的內容:少數同樣無用的原生 API 文件,或者透過 Win32 存取的功能性還更好。 標頭檔本身不會顯示 SDK 中未記載的內容。
那麼,這些無用 API 在 MSDN 和 SDK 中有何用途? 我猜測,這是 Microsoft 遵守 DOJ 同意法令的一部分,其中 Microsoft 正在「記載」其部分應用程式所使用的更多內部 API。 以下是 NtOpenFile 檔中的一行,暗示其存在只不過是為了合乎法規:「NtOpenFile 文件是為了完整 API 涵蓋範圍而提供。」
由於缺少實用資訊,而且我相當確定任何使用 NtQuerySystemInformation API 的 SYSTEM_PERFORMANCE_INFORMATION 類別的 Microsoft 應用程式都不會使用它來取得亂數,因此我只能推斷 Winternl.h 函式文件真的是為了符合任何法律指令,導致它們包含在 SDK 中。
如果您對 NtQuerySystemInformation 和其他原生 API 的完整文件感興趣,可以在 http://www.amazon.com/exec/obidos/ASIN/1578701996/103-8560745-7945431 取得「Windows NT/2000 原生 API 參考」
內部訓練
夏季影片特別節目
購買:Windows 2000 內部原理 取得:XP/Server 2003 免費更新
現在您可以以優惠價格購買終極內部訓練套件。 當您以折扣的網路價購買非常熱門的 INSIDE Windows 2000 影片時,您將可限期取得 XP/Server 2003 UPDATE,完全免費。 這幾乎比零售價低 35%。
Microsoft 在全球都使用這兩種出色的工具來進行企業訓練。 Microsoft 核心技術副總裁 Rob Short 表示,「這些影片深入平台的核心,捕捉其技術精髓,並以強大的互動式影片格式呈現。」
請參閱產品詳細資料,或在 www.solsem.com 下載影片範例。 別猶豫太久。 立即把握此限時優惠!
MICROSOFT TECHED EUROPE 2003
Dave Solomon (http://www.solsem.com) 和我兩周前在達拉斯的 TechEd US 教授了為期一天的會前教學課程,包括強調 Sysinternals 工具使用的實驗室練習以及 1 小時 15 分鐘的分組會議,其中涵蓋了一小部分內容相同的資料。 兩場都是評分最高的會議。 如果您住在歐洲,您可能有興趣知道我們下周將在 TechEd Europe 上進行更多活動。
TechEd Europe 將於 6 月 30 日至 7 月 4 日在巴賽隆納舉行。 Dave 和我再次列為「熱門演講者」(http://www.microsoft.com/europe/teched/Speakers.asp) 並聯合教學為期一天的會前教學課程 (http://www.microsoft.com/europe/teched/PreConfWinInt.asp) 針對 Windows 程式、記憶體和當機問題進行疑難排解 (不含實驗室),以及其他四個會議,包括:Sysinternals 工具導覽、Sysinternals 工具疑難排解、Windows 損毀傾印分析,以及 Windows XP 和 Server 2003 核心變更。
您可以在以下連結找到完整描述和註冊資訊
http://www.microsoft.com/europe/teched/home.asp
我們期待在西班牙與您相見!
下一個公用 WINDOWS 內部和進階疑難解答類別
我們的下一個 3 天公開 Windows 內部和進階疑難解答課程計劃於 9 月在紐約市舉行(如果您迫不及待,我們倫敦課程的最後一分鐘註冊仍可能於本周 6 月 25 日開始! 請持續關注 www.sysinternals.com 以取得日期和註冊詳細資料。
感謝您閱讀 Sysinternals 電子報。
發佈時間:2003 年 6 月 23 日星期一下午 4:46,發佈者:ottoh