Sysinternals Suite是微軟技術團隊開發的一套功能強大的免費工具程序集年月日微軟發布了它的最新版本其版本號為Build 新版本的Sysinternals Suite包括個相互獨立的工具這些工具囊括了文件進程磁盤網絡安全等系統管理的方方面面而Sysinternals Suite中的工具比系統中集成的類似工具功能更為強大針對系統的可操作性更靈活系統管理員如果能夠熟練靈活使用這些工具無疑將會極大地提升系統管理效率下面筆者基於系統管理的實際需要實例演示其中某些工具的使用方法
下載及其安裝
訪問cn/sysinternals/ebbaccca(enus)aspx可下載Sysinternals Suite包下載完畢後不需要安全只需將其解壓到某個目錄即可
用數字簽名甄別可疑程序
隨著使用時間的增長就會在系統中會匯集越來越多的文件這些文件大多數是正常的但也有不少可疑文件特別上網安裝軟件等操作很容易造成系統中毒中馬現在的病毒木馬非常狡猾它們往往將自己裝扮成系統文件以逃避殺毒軟件和用戶的追殺這些可疑文件不僅與系統文件同名而且其大小文件屬性都和系統文件一樣系統管理員遇到這些此類情況如何甄別呢?
數字簽名是我們分辨系統程序和可疑程序的依據大家知道對於Windows系統來說重要的系統文件都有類似Verified: SignedSigning date:: Publisher: Microsoft Corporation的微軟的數字簽名而可疑程序則沒有比如在筆者的C:\Windows下有一個名為svchostexe的程序其大小及文件屬性和系統中的svchostexe的完全一樣利用Sysinternals Suite工具集中的sigcheckexe就可以查看程序的數字簽名進行甄別sigcheckexe是命令行工具需要在命令提示符下運行打開命令提示符進入Sysinternals Suite目錄然後執行sigcheckexe c:\windows\svchostexe如圖所示顯示為Publisher:????Description:VPN??????????????????毫無疑問該svchostexe絕對不是微軟的程序而企圖裝扮成系統程序行跡可疑直接刪除即可(圖)
讓Windows具有Linux的虛擬桌面功能
使用過Linux的朋友一定知道Linux的虛擬桌面功能當前用戶可以同時擁有多個桌面然後在不同的桌面進行不同的操作執行不同的任務這是非常方便而人性化的設計不知道為什麼一直到Windows 微軟也一種沒有將虛擬桌面功能引進來當然大家可以用第三方的虛擬桌面工具實現類似的功能不過在安全及其兼容性方面也許會存在一定的問題何況有些軟件還要收費
可喜的是在Sysinternals Suite工具中有一個名為Desktops的工具它不但可以完成類似於Linux虛擬桌面這樣的任務還可以在任務欄處設置縮略圖幫助快速識別這個虛擬桌面所運行的程序並且在使用虛擬桌面時並不額外占用系統資源Desktops可以虛擬出個桌面這已經足夠大家使用了Desktops是圖形化工具進入Sysinternals Suite目錄直接雙擊運行該工具彈出設置對話框在對話框中可設置虛擬桌面切換快捷鍵而且可選擇開機後自動運行設置完成後會在系統任務欄中顯示Desktops圖標點擊Desktops圖標的第一個小方格可進入第一個虛擬桌面然後運行任務開展工作其它的依此類推如果要在四個虛擬桌面之間進行切換只需單擊該圖標就會以略縮圖的形式顯示這四個虛擬桌面的內容(見圖)然後選擇需要進入的虛擬桌面即可(圖)
注冊表及文件監控進行程序分析
系統管理員在部署工具前搭建環境進行測試以保證程序運行的可靠性穩定性這是非常有益的另外有的時候我們需要要進行病毒木馬分析諸如此類除了要搭建實驗環境還需要相應的監控軟件對於系統監控來說注冊表及文件監控是重點在Sysinternals Suite工具有兩個非常不錯的工具其中Regmonexe是用來進行文件監控的Filemonexe可用用於文件監控
下面以木馬分析為例演示這兩個工具的使用筆者最近幫朋友殺毒獲取了一個危險的VB腳本文件文件名為configvbs我們在虛擬機中運行Regmonexe和Filemonexe然後執行configvbs腳本看它對系統都做了哪些操作需要說明的是默認情況下Regmonexe和Regmonexe會記錄系統中所有的注冊表及其文件操作這不利於我們進行分析首先需要對軟件進行設置過濾掉無用的信息使其只記錄與configvbs相關的信息以Regmonexe為例運行該軟件然後依次點擊Options(選項)→Filter/Highlight(過濾/高亮)打開設置對話框在Include(包含)後面的文本框中輸入configvbsExclude(排除)後輸入explorerexeHighlight(高亮)後輸入configvbs(見圖)最後點擊OK退出Filemonexe的過濾設置方法類似(圖)
設置完成後首先分別單擊Regmonexe和Filemonexe工具欄中的Clear(清除)按鈕以清除此前的記錄然後雙擊執行configvbsRegmonexe和Filemonexe開始對其操作進行記錄記錄完畢後分別分別單擊Regmonexe和Filemonexe工具欄中的Capture(捕捉)按鈕此時看到Regmonexe和Filemonexe高亮顯示的注冊表及文件監控結果
圖是Regmonexe監控的結果可以看到configvbs腳本在注冊表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中添加
system=wscriptexe C:\\windows\\configvbs自啟動項目雙擊該監控結果可自動運行注冊表編輯器並且定位到該注冊表項下這樣我們就知道了病毒腳本對注冊表的操作然後刪除該鍵值即可(圖)
圖是Filemonexe監控的結果可以看到該病毒腳本進行了多項操作通過分析看到其操作有在每個分區的根目錄下創建了configvbs文件另外還生成了一個autoruninf文件及其名為System Volume Information的一個快捷方式此外在系統C:\Windows\目錄下
configvbs腳本對自身進行了備份分析完成後我們雙擊相應的監控項就會進入對於的磁盤路徑然後可刪除惡意腳本創建的文件(圖)
除了可用RegmonexeFilemonexe進行病毒木馬監控了解其運行機制外這兩個工具在軟件測試破解中也非常有用大家可以挖掘其更多的功用另外除了這兩個工具外在Sysinternals Suite還有幾個監控工具Diskmonexe用於磁盤監控portmonexe用於系統中網絡端口的監控Procmonexe用於進程監控
挑戰系統完成特殊任務
微軟出於安全性考慮對系統做了很多限制比如隱藏某些系統功能限制用戶進行某些操作等等而作為系統管理員在系統操作過程中因為某些特殊需求需要挑戰系統進行某些非常規操作對於這樣的任務利用系統自帶的工具幾乎是不能完成的而借用Sysinternals Suite工具包的工具就能輕松搞定其實Sysinternals Suite中工具不也是微軟的技術人員基於某些特殊需要方便自己而開發出來下面列舉幾個例子利用Sysinternals Suite中的工具完成的非常任務
使用同樣的SID所謂的SID就是系統標識符當創建一個新的用戶後系統將自動為其生成一個位的SID這個SID是隨機生成的並且也是唯一的是不可能重復的我們知道NTFS文件系統的EFS加密就是基於SID的如果某用戶對文件做了EFS加密而沒有保存密鑰那麼當有人惡意刪除該用戶後哪怕你重新創建同樣的用戶設置同樣的密碼也是打不可該文件的不過如果你知道該用戶的SID那麼就可以將當前用戶(同帳戶同密碼)的SID改為此前的SID一般就能夠打開該加密文件了運行Sysinternals Suite工具包中的psgetsidexe命令和獲取用戶的SID如S知道了SID後運行newsidexe工具彈出SID更改向導可選擇將指定的SID拷貝到網絡中的其他計算機我們是本地修改SID點選Specify SID(指定 SID)將SID拷貝到其後的文本框中然後依次下一步(見圖)開始更新系統設置更新完畢後重啟系統就會完成當前用戶SID的修改(圖)
遠程進程管理系統管理不僅在本地進行管理員有時候需要在本地對遠程系統進行維護(比如進程維護)不需要借助其他第三方工具利用Sysinternals Suite的工具可輕松搞定(遠程主機需要開啟Remote Registry服務)比如管理員要查看並清除IP為的主機上的進程並殺死惡意進程可這樣操作打開命令提示符進入Sysinternals Suite目錄執行命令pslist \\ u administrator p test可列出其所運行的進程通過分析發現名為muma的進程比較可疑我們可以執行命令pskill t \\ u administrator p test muma(遠程主機的admin$默認共享是開啟的如果沒有開啟可執行命令net share admin$)可以看到遠程主機中的可疑進程被殺死(見圖)(圖)
幾個有趣而實用的工具
運行autorunsexe可查看系統中幾乎所有的自動運行加載的項目然後可通過勾選或者取消勾選管理員可決定其是否加載其中我們比較關注的項目有注冊表自啟動項IE加載項驅動程序加載項計劃任務系統服務等(圖)
對磁盤分區進行碎片整理可節省磁盤空間提升磁盤性能但大家忽視了虛擬內存(頁面文件)也需要進行整理pagedfrgexe是虛擬內存碎片整理工具運行該工具彈出設置面板大家和根據需要設置系統啟動時整理及其整理倒計時時間等設置完成後單擊OK即可(圖)
whoisexe工具可用來查詢指定域名的詳細信息這在上網浏覽網頁中非常有用在訪問目標網站(特別是比較可疑的網站)之前首先對其域名進行解析確保其安全性這是安全上網的保證例如我們可以在命令提示符下進入Sysinternals Suite目錄運行命令whois 可獲得IT專家網所使用的域名的詳細信息比如域名狀態注冊機構dns服務器注冊時間等信息這些信息是大家安全上網的可靠保證(圖)
為了方便使用個人用戶願意系統啟動時不用輸入用戶名密碼就能登錄系統利用Autologonexe可滿足需求運行該工具後分別屬於自動登錄的用戶帳戶和密碼後點擊Enable就可以了而且會將密碼加密更安全(圖)
Bginfoexe工具可幫你將當前系統的信息作為桌面背景顯示出來既方便了管理員隨時了解系統信息而且也非常有個性運行Bginfoexe彈出設置窗口我們可以自定義桌面上顯示的項目從右側的Fields下拉列表中選擇相應的項目添加進來即可另外還可對字體桌面背景等進行設置設置完成後單擊OK系統信息就會在桌面上顯示出來(圖)
總結在Sysinternals Suite工具包中還有很多實用的工具本文就不一一演示了工欲善其事必先利其器相信靈活使用這些工具能夠在很大程度上提升系統管理員的工作效率和管理水平
From:http://tw.wingwit.com/Article/os/xtgl/201311/8826.html