[電子報封存 ^][ Volume 7, Number 2] [<Volume 8, Number 2 >]
Systems Internals 電子報第 8 卷第 1 期
http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich
2006 年 3 月 2 日 - 本期內容:
- 簡介
- 工具更新
- 授權更新
- SYSINTERNALS 論壇
- MARK 的部落格
- MARK 的文章
- MARK 的演講排程
- INTERNALS/疑難排解現場實作課程
- 新的 SYSINTERNALS 疑難排解影片庫
Winternals Software 是領先業界的開發商,提供諸多適用於 Windows 的先進系統工具。 資訊安全產品指南將其列為 2006 年「熱門公司」(請參閱 http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)
此外,復原管理員和 Administrator's Pak 也獲得 SearchWinSystems.com 的 2005 年年度產品獎。 復原管理員獲頒「桌面管理」類金獎,而 Administrator's Pak 則榮獲「系統管理」組銀獎 (http://searchwinsystems.techtarget.com/productsOfTheYear/0,294801,sid68_ayr2005,00.html)
如需完整的產品詳細資料、多媒體示範、網路研討會,或欲索取任何產品的試用 CD,請前往 http://www.winternals.com
簡介
大家好,
歡迎閱讀 Sysinternals 電子報。 本電子報目前有 60,000 名訂閱者。
今年 2 月,Sysinternals 有 126 萬名不重複訪客和 2000 萬次頁面瀏覽次數。 現在,它在 Alexa.com 的網際網路網站排名中排在第 6,900 位 (http://www.alexa.com/data/details/?url=www.sysinternals.com).
下載最多的工具如下:
- Procexp:375,000 次下載/月
- Autoruns:120,000 次下載/月
- Rootkit Revealer:120,000 次下載/月
- Filemon:100,000 次下載/月
- Regmon:90,000 次下載/月
- Tcpview:63,000 次下載/月
Filemon、Regmon、Process Explorer 和 Autoruns 被 alt.comp.freeware 新聞群組參與者評選為「Best of the Best」(請參閱 http://www.pricelesswarehome.org/2006/about2006PL.php).
自從我去年 11 月發表 Sony Rootkit 的研究結果後,我的生活變得多采多姿。 除了數十次媒體採訪以及雜誌和報紙報導之外,我還第一次在全國電視頻道亮相並接受電台採訪。 如今一切恢復正常,換句話說,我已經返回改善 Sysinternals 工具的工作崗位。 您將在下方找到上次電子報以來的完整變更記錄。
我對新的 Sysinternals 影片庫也感到非常興奮,這 6 張 DVD 涵蓋重要的 Windows 疑難排解主題,並著重介紹 Sysinternals 工具。 此影片庫預定在 6 月前推出。 歡迎觀看 Sysinternals 提供的預覽片段,並免費下載其中一部影片。
最後,如果我在您參加的研討會中發言,請跟我打個招呼。 或者,在倫敦、三藩市或奧斯丁的即時 Windows 內部和進階疑難解答課程之一,與我和戴夫所羅門共度 5 天。
-Mark Russinovich
工具更新
自從上次發佈 8 月電子報以來,許多工具都更新了。 由於我經常更新工具,請確保您使用的是最新版本。 掌握變更消息的最佳方式是在 http://www.sysinternals.com/sysinternals.xml 訂閱我的 RSS 摘要 (如果您尚未使用 RSS 來追蹤網站資訊,請務必開始追蹤!)。
以下是按工具列出的變更詳細清單:
Process Explorer v10.06
這項 Process Explorer 重要更新包含諸多用於提升可用性和惡意程式碼搜補效能的新功能及增強功能。 其中一些範例包括 Runas 和 Run As Limited User 命令、處理序重新啟動、資料行集、服務裝載和 Rundll32 處理序的增強處理序工具提示、工作集分解資料行,以及 DLL 映像驗證和封裝映像偵測。
RootkitRevealer v1.7
這個新的 RootkitRevealer 版本包含更複雜的 rootkit 計數器量值、掃描所有登錄區 (包括使用者設定檔)、從 Windows XP 遠端桌面工作階段執行、支援叢集大小大於 4 KB 的 NTFS 磁碟區,以及包含一些錯誤修正,並減少誤判差異的數目。 即使是 Hacker Defender Rootkit 的付費反偵測版本也不會隱藏在此版本中。
RegDelNull v1.1
使用此新的小程式來尋找並刪除標準登錄編輯公用程式「無法刪除」的登錄機碼,因為它們的名稱中已內嵌 Null 字元。 為了因應惡意程式碼使用這些機碼的情況,RegDelNull 現在可以解除鎖定和刪除已內嵌 Null 的機碼,以及具有使其無法存取之安全性權限的機碼。
Sigcheck v1.3
Sigcheck 是功能強大的命令列檔案版本資訊和簽章驗證工具,現在包含僅顯示檔案版本號碼的新旗標。
PsExec v1.7
此 PsExec 更新包含新的 -l 交換器,可供系統管理帳戶以有限的使用者帳戶權限來執行處理序。 在 IE 7 (在 Vista 中) 發佈之前,只需建立一個快速鍵,即可使用交換器啟動並執行低權限的 Internet Explorer。
Autoruns v8.42
Autoruns 現在知道更多自動啟動位置,包括 Winlogon 開機驗證登錄值、Shell 開啟劫持、核心模式驅動程式、列印監視器 DLL 和 Explorer 資料行處理常式,這些都已被實際惡意程式碼所用。 此外也新增了個別項目的隨選簽章驗證,並在映像驗證已選取時大幅改善掃描時間效能。
Autoruns 現在支援任意長度的登錄和檔案系統路徑、新增尋找功能來搜尋已設定的項目,並導入比較功能來比較目前的自動啟動與先前儲存的版本,以便您輕鬆識別新增的項目。
ProcFeatures v1.0
這個小程式會將實體位址擴充功能和無執行緩衝區溢位保護回報處理器和 Windows 支援。
DiskView v2.2
Diskview 是一個公用程式,可讓您查看磁碟區的叢集配置;現在當您對任何檔案的叢集按兩下並按 [顯示下一個] 按鈕前往所選檔案的下一個片段時,系統會顯示檔案片段的摘要。
DebugView v4.5
DebugView 是可擷取使用者和核心模式偵錯輸出的開發人員工具。 在許多使用者提出功能要求後,DebugView 現在包含建立新記錄檔的選項,並且每天清除顯示畫面。
AccessEnum v1.3
AccessEnum 是功能強大的安全性公用程式,可讓您輕鬆找出設定錯誤的檔案和登錄安全性描述元。 1.3 版包含錯誤修正、Windows XP 佈景主題,以及與 Excel 匯入相容的新檔案格式。
Livekd v3.0
LiveKd 是一個可讓您檢視本機系統的公用程式 (類似使用標準 Microsoft 核心偵錯工具的損毀傾印),現在支援 x64 版本的 Windows,並包含一些次要錯誤修正。
Regmon v7.02
當帳戶沒有執行 Regmon 所需的權限或 Regmon 已在執行並將 32 位和 64 位元 (x64) 版本合併為單一二進位檔時,這個次要更新會提供更清楚的錯誤訊息。
授權更新
經常有人發問,使用我們的免費軟體工具有哪些規則。 我們已開始在您第一次執行工具時顯示使用者許可協定快顯 , 文字會如下所示:
「您可以在家中或於工作時使用本網站上發佈的軟體,無須支付商業授權費用,前提是您直接從 Sysinternals 自行下載該軟體、在您是主要使用者的電腦上使用該軟體、在沒有主要使用者的系統 (例如終端機伺服器等伺服器,且您是擁有該伺服器的公司全職員工) 中使用該軟體,或在您家中的電腦上使用該軟體。」
Sysinternals 免費軟體授權頁面 (http://www.sysinternals.com/Licensing.html) 現在提供需要付費購買商業授權才能使用的案例說明。
SYSINTERNALS 論壇
歡迎瀏覽 16 個互動式 Sysinternals 論壇 (http://www.sysinternals.com/forum).)。 除了每個主要工具的專用論壇外,還有四個 Windows 技術論壇:惡意程式碼、疑難排解、內部和開發。
論壇擁有超過 7352 名會員 (6 個月內增加了近 6000 名),迄今他們已對 4384 個不同主題發佈了 14667 則貼文,尤其在過去 6 個月,每個月發佈 2000 則貼文!
MARK 的部落格
自從我發表 Sony Rootkit 的研究結果後,我的部落格備受關注,不過也有幾則與 Sony 問題無關的其他貼文。 以下是上次電子報以來所發佈的文章清單:
- 2006/2/6 使用 Rootkits 擊垮數位版權管理
- 2006/1/18 深入解析 WMF 後門程式
- 2006/1/15 商業軟體中的 Rootkit
- 2006/1/3 反間諜程式陰謀
- 2005/12/30 Sony 和解
- 2005/12/12 以受限使用者身分規避群組原則
- 2005/11/30 提前勝利宣言?
- 2005/11/16 勝利!
- 2005/11/14/ Sony:不再有 Rootkit (暫時)
- 2005/11/9 Sony:你真的不想解除安裝,對嗎?
- 2005/11/6/ Sony 的 Rootkit:前 4 個網際網路回應
- 2005/11/4/ 有關 Sony 的更多資訊:危險的解除隱匿修補程式、使用者授權合約和背景連線通訊
- 2005/10/31 Sony、Rootkits 和數位版權管理已操作過頭
- 2005/10/19 略過周遊檢查 (或是變更通知?)權限
- 2005/10/2 登錄垃圾:Windows 面臨的事實
- 2005/9/19 多平台映像
- 2005/8/28 間歇性 (且煩人) 的 Explorer 停止回應情況
如需完整的文章清單,請參閱 http://www.sysinternals.com/blog/blogindex.html
MARK 的文章
我在 Windows 和 IT Pro Magazine 發表的最新文章是有關 AccessEnum 的內容,AccessEnum 會掃描指定的磁碟區、子目錄或登錄機碼,以協助您在安全性設定中找到潛在問題點。
訂閱者可於線上取得:http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1
MARK 的演講排程
去年秋天,我在 Microsoft 2005 專業開發人員大會 (9 月在洛杉磯舉行)、Windows Connections (11 月在加州舊金山舉行) 和 Microsoft IT 論壇(11 月在西班牙巴塞隆納舉行)上發表了演講。
我擔任講者的下一場研討會是 2006 年 6 月在波士頓舉行的 Microsoft TechEd。 我將於 6 月 11 日與 Dave Solomon 一起提供進階惡意程式碼清除的會前教學 (http://www.msteched.com/content/precons.aspx).)。 我也將舉辦四場分組會議,主題包括 Vista 核心變更、使用 Filemon 和 Regmon 進行疑難排解、分析 Windows 當機和停止回應,以及進階惡意程式碼清除技術。
如需最新的更新訊息,請參閱 http://www.sysinternals.com/Information/SpeakingSchedule.html
INTERNALS/疑難排解現場實作課程
如果您喜歡 Sysinternals 和《Windows Internals》一書,或者想了解有關 Windows 作業系統內部架構的更多資訊 (包括 Vista 中即將推出的新功能),建議您參加已排定時程的研討會,Dave Solomon 和我將提供為期 5 天的 Windows Internals 和進階疑難排解實作課程 (請自行攜帶筆記型電腦)。 今年排定的日期如下:
- 倫敦:2006 年 6 月 26 日至 30 日
- 舊金山:2006 年 9 月 18 日至 22 日
- 德州奧斯汀:2006 年 12 月 11 日至 15 日
在本課程中,您將深入了解 Windows 的核心架構,包括處理序內部、執行緒排程、記憶體管理、I/O、服務、安全性、登錄和開機程序。 課程內容還包括進階疑難排解技術,例如惡意程式碼殺毒、損毀傾印 (藍色畫面) 分析,及解決啟動問題。
您也將瞭解使用來自 www.sysinternals.com (例如 Filemon、Regmon 和 Process Explorer) 的密鑰工具,針對一系列系統和應用程式問題進行疑難解答的進階秘訣,例如計算機緩慢、病毒偵測、DLL 衝突、許可權問題和登錄問題。 Microsoft 產品支援每天使用這些工具,有效解決各種電腦和伺服器問題,因此熟悉這些工具的操作和應用,可協助您處理 Windows 的不同問題。 我們提供真實範例,示範應用這些工具成功解決的實際問題。 由於課程使用完整存取 Windows 核心原始程式碼,並且透過開發人員進行開發,因此您看到的會是真實案例。
如果你們至少有 20 人,那麼於你們所在地點進行不公開現場課程可能更有吸引力 (請寄送電子郵件至 Seminars@... 以了解詳細資訊)。
如需詳細資訊及報名課程,請瀏覽
http://www.sysinternals.com/Troubleshooting.html
新的 SYSINTERNALS 疑難排解影片庫
Dave Solomon 和我最近拍攝了一系列新影片,名為「Sysinternals 疑難排解程式影片庫」。 這將是一套包含 6 張 DVD 的影片系列,主題涵蓋重要的 Windows 內部架構和進階疑難排解,並著重介紹 Sysinternals 工具。 光碟標題如下:
- 光碟 1:Sysinternals 工具導覽
- 光碟 2:使用 Process Explorer 進行疑難排解
- 光碟 3:使用 Filemon 和 Regmon 進行疑難排解
- 光碟 4:針對記憶體問題進行疑難排解
- 磁碟 5 - 損毀傾印和停止回應分析
- 磁碟 6 - 針對開機和啟動問題進行疑難解答
我們預計本月將推出一些可供下載的範例影片內容。 光碟應該會在 6 月前出貨。 我們將於開放預購時 (希望在 5 月) 提供折扣價。 當光碟可供預購時,我們會在此興趣主題清單發送通知。
感謝您閱讀 Sysinternals 電子報。
ottoh 於 2006 年 5 月 2 日 (星期二) 下午 4:29 發佈