sqlwriter.exe (884) alg.exe (2224) svchost.exe (3216). lsass.exe (1304). explorer.exe (1268) Program Manager hkcmd.exe (1936) igfxpers.exe (1944) PersistWndName. Щелкните процесс Cmd.exe правой кнопкой мыши и выберите команду «Завершить дерево процессов».


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
Вбнсезве лкедлмв (взлмкнжезмив)
кабимх л ИЛ лежеглмва
Microsoft
Windows
Лабикамикзащ кабима
Реввбвщ:



Влмиквщ вбжезезвг
11
.201
Веклвщ 0.
Пекввсзхг диднжезм. Валвевг
Двзбекщвхг,
Веадвлеав Дивмнз,
Иецга Велеецлдащ



ВЛТИРВЯ ВЗМЕЗЕЗВЙ
АБИРАТИРЗАЯ РАБИТА
1.
ЗУСЕЗВЕ ЛРЕДЛТВ
ВЗЛТРУМЕЗТИВ
РАБИТЫ Л
ЛЕМЕЙЛТВА
ICROSOFT
INDOWS
ИПРИЛЫ
ИЛТАЗИВДА ЗАДАСВ
ЕЛЬ
АДАСВ
1.
CCESS
HK
ВЕРЛВЯ
5.0)
2.
CCES
NUM
3.
XPLORER
4.
ESTORE
5.
UTOLOGON
6.
UTORUNS
7.
NFO
8.
ACHE
ET
9.
LOCK
10.
ONTIG
11.
OREINFO V
2.11
12.
TRL
2C
13.
EBUG
IEW
14.
ESKTOPS
15.
ISK
VHD V
1.62
16.
ISK
17.
ISK
ON ДЛЯ
INDOWS
2.01
18.
ISK
IEW
19.
ISK
SAGE
(DU)
20.
EFSD
UMP
21.
ANDLE
22.
EX
DEC
23.
UNCTION
1.05
24.
LDMD
UMP
25.
IST
DLL
26.
IVE
27.
OAD
RDER
28.
OGON
ESSIONS
29.
NTFSI
NFO
30.
AGE
EFRAG
31.
END
OVES
32.
IPE
IST
33.
ORTMON FOR
IND
OWS V
3.02
34.
ROC
UMP
35.
ROCESS
XPLORER
36.
ROCESS
ONITOR
37.
ROC
EATURES
38.
XEC V
1.98
39.
ILE V
1.02
40.
NFO
41.
42.
ILL V
1.13


43.
IST V
1.28
44.
OGGED
ВЕРЛВЯ
1.33)
45.
IST
ВЕРЛВЯ
2.71)
46.
ASSWD V
1.22
47.
ERVICE
2.24
48.
HUTDOWN V
2.52
49.
USPEND V
1.06
50.
RAMM
AP V
1.1
51.
EL
ULL V
1.1
52.
UMP V
1.01
53.
OOTKIT
EVEALER
54.
ELETE
55.
HARE
NUM V
1.6
56.
HELL
UNAS V
1.01
57.
IGCHECK
58.
TREAMS
1.56
59.
TRINGS V
2.4
60.
YNC
2.0
61.TCPV
IEW ДЛЯ
INDOWS
ВЕРЛВЯ V
3.02)
62.
VMM
AP V
2.62
63.
OLUME
2.0
64.
HOIS V
1.01
65.
BJ
ВЕРЛВЯ
2.15)
66.
4.1
АДАЗВЯ
АРВАЗТ
АРВАЗТ
АРВАЗТ
АРВАЗТ
АРВАЗТ
АРВАЗТ
АРВАЗТ
АРВАЗТ
АРВАЗТ
АРЫАЗТ
10
ЧДЛПЕРВМЕЗТ
1:
ПРИЛМИТР ДЕРЕВА ПРИР
ЕЛЛИВ
ЧДЛПЕРВМЕЗТ
2:
ПРИЛМИТР ВЗОИРМАРВВ
И ПРИРЕЛЛАП СЕРЕЗ ДВ
ЛПЕТСЕР ЗАДАС
ЭКСПЕРИМЕНТ
ПРОСМОТР ДЕТАЛЬНЫХ С
ВЕДЕНИЙ О ПРОЦЕССАХ
С ПОМОЩЬЮ
ROCESS
XPLORER
ЭКСПЕРИМЕНТ
ЛЮДЕНИЕ ЗА АКТИВНОСТ
ЬЮ ПОТОКОВ С ПОМОЩЬЮ
UICK
LICE
ЭКСПЕРИМЕНТ
ЕЖИМ ЯДРА И ПОЛЬЗОВА
ТЕЛЬСКИЙ РЕЖИМ
ЧДЛПЕРВМЕЗТ
6:
ИТИБРААЕЗВЕ ВЗОИРМАР
ВВ И ТВПАП ДЛЯ ЛТРУД
ТУР ЯДРА
ЧДЛПЕРВМЕЗТ
7:
ИПРЕДЕЛЕЗВЕ ТВПА ПИД
ЛВЛТЕМЫ
ДЛЯ ДИТИРИЙ ПРЕДЗАЗЗ
АСЕЗ
ВЛПИЛЗЯЕМЫЙ ОАЙЛ
ЧДЛПЕРВМЕЗТ
8:
ПРИЛМИТР УЛТАЗИВЛЕЗЗ
ЫП ДРАЙВЕРИВ УЛТРИЙЛ
ЧДЛПЕРВМЕЗТ
9:
УВЯЗДА ЛВЛТЕМЗИГИ ПИ
ТИДА Л ДРАЙВЕРИМ УЛТ
РИЙЛТВА
ЧДЛПЕРВМЕЗТ
10:
ВЫВИД ЛПВЛДА УЛТАЗИВ
ЛЕЗЗ
ЫП ЛЕРВВЛИВ
ЧДЛПЕРВМЕЗТ
11:
ВЛЛЛЕДИВАЗВЕ ДВЛПЕТС
ЕРА ИБФЕДТИВ
ЧДЛПЕРВМЕЗТ
12:
ПРИЛМИТР ВМЕЗИВАЗЗЫП
БАЗИВЫП ИБФЕДТИВ
ЧДЛПЕРВМЕЗТ
13:
УТВЛВТА
UTORUNS


ЧДЛПЕРВМЕЗТ
14:
ПРИЛМИТР В ВЗМЕЗЕЗВЕ
ПРВВЯЗДВ ПРИРЕЛЛА Д
ПРИРЕЛЛИРАМ
ЧДЛПЕРВМЕЗТ
15:
ПРИЛМИТР ЛИБЫТВЙ УВЕ
ДИМЛЕЗВЯ РЕЛУРЛА ПАМ
ЯТВ
ЧДЛПЕРВМЕЗТ
16:
ПРИЛМИТР ЛИПИЛТАВЛЕЗ
ВЙ
INDOWS
ВМЕЗ УЛТРИЙЛТВ ВЗУТР
ЕЗЗВМ
ВМЕЗАМ УЛТРИЙЛТВ
ЧДЛПЕРВМЕЗТ
17:
ПРИЛМИТР
INF
ОАЙЛА ДРАЙВЕРА
ЧДЛПЕРВМЕЗТ
18:
ПРИЛМИТР
ОАЙЛИВ
ЧДЛПЕРВМЕЗТ
19:
ЗАБЛЮДЕЗВЕ ЗА ВВИДИМ
ВЫВИДИМ ЗА ОВЗВСЕЛДИ
М ДВЛДЕ
ЧДЛПЕРВМЕЗТ
21:
ПРИЛМИТР ПРИЛТРАЗЛТВ
А ВМЕЗ ВМЕЗИВАЗЗЫП Д
АЗАЛИВ В
ЗАБЛЮДЕЗВЕ ЗА АДТВВЗ
ИЛТЬЮ ТАДВП ДАЗАЛИВ
ЧДЛПЕРВМЕЗТ
22:
ПРИЛМИТР
ЧДЛПЕРВМЕЗТ
23:
АЗАЛВЗ УТЕСДВ ПАМЯТВ
В ПУЛЕ
ЧДЛПЕРВМЕЗТ
24:
ИПРЕДЕЛЕЗВЕ ВЛТВЗЗИГ
И ЛТАРТИВИГИ АДРЕЛА
INDOWS
ПИТИДИВ
................................

80
ЧДЛПЕРВМЕЗТ
25:
ЗАБЛЮДЕЗВЕ ЗА САЛТИТ
ИЙ ВЫЗИВА ЛВЛТЕМЗЫП
ЛЕРВВЛИВ
ЧДЛПЕРВМЕЗТ
26:
ПРИЛМИТР ЗАГИЛИВДИВ
ИБФЕДТИВ В ИБФЕДТИВ
ТВПА
ЧДЛПЕРВМЕЗТ
27:
ЗАБЛЮДЕЗВЕ ЗА ЗАГРУЗ
ДИЙ В ВЫГРУЗДИЙ ПРИО
ВЛЕЙ
ЧДЛПЕРВМЕЗТ
28:
АЗАЛВЗ ИПЕРАРВЙ Л РЕ
ЕЛТР
ИМ В ПРИЛТАВВАЮЩЕЙ Л
ВЛТЕМЕ
ЧДЛПЕРВМЕЗТ
29:
ЗАГРУЗДА В ВЫГРУЗДА
ДУЛТИВ ВРУСЗУЮ
ЧДЛПЕРВМЕЗТ
30:
ПРИЛМИТР ИПВЛАТЕЛЕЙ
ДУЛТИВ
ЧДЛПЕРВМЕЗТ
31:
ЗАБЛЮДЕЗВЕ ЗА ВЛПИЛЬ
ЗИВАЗВЕМ ПУЛА ПИДДАС
ВВАЕМИЙ ПАМЯТВ
ДЛЯ ДУЛТИВ РЕЕЛТРА
ЧДЛПЕРВМЕЗТ
32:
ПРИЛМИТР БЛИДИВ УПРА
ВЛЕЗВЯ РАЗДЕЛАМВ
ЛВТЕРАТУРА


Лабикамикзащ кабима
1. Вбнсезве лкедлмв (взлмкнжезмив)
кабимх л ИЛ лежеглмва
Microsoft Windows
Вийкилх
Пилмазивда бадасв.
Мемидвселдве ндабазвщ дещ
лажилмищмеецзиг кабимх.
Пилмазивда бадасв
Реец
1.
Вбнсвмц в зансвмцлщ влйиецбивамц илзивзхе
взлмкнжезмх кабимх л ИЛ.
2.
Зансвмцлщ вхйиезщмц ндабаззхе йкадмвселдве бадазвщ
(чдлйеквжезмх)
3.
Задасв
1.
Ибзадижвмцлщ л илзивзхжв взлмкнжезмажв кабимх л ИЛ лежеглмва
Microsoft Windows мадвжв дад: Windows Sysinternals Suite, Windows
Administrative Kit (ADK), Windows Driver Device Kit (DDK), Platform
Software Development Kit (Platform SDK), Windows Debugging To
ols (WDT),
нжемц вп влйиецбивамц.
2.
Вхйиезвмц ндабаззхе йкадмвселдве бадазвщ (чдлйеквжезмх), кебнецмам
базелмв в имсем.
3.
Иоикжеезве имсема.



1. AccessChk (веклвщ 5.0)
Смибх ндилмивеквмцлщ, сми либдаззащ кабисащ лкеда ИЛ Windows пикити
баувуеза, аджвзвлмкам
икаж салми зеибпидвжи бзамц, дадве йкава дилмнйа
вжешм диздкемзхе йиецбивамеев вев гкнййх д келнклаж
оагеаж, дамаеигаж,
кабдееаж кеелмка в ленабаж ИЛ Windows. Взмнвмввзи йизщмзхе взмекоегл в
вхвидвжхе даззхе йкигкажжх AccessChk йибвиещшм еегди кетвмц чмн
бадасн.
Установка
AccessChk
дизлиецзащ йкигкажжа. Лдийвкнгме ее в ешбнш вб йайид, в
димикхп лвлмежа вуем влйиезщежхе оагех. Введвме “accesschk”
чми
имибкабвм лвзмадлвл влйиецбивазвщ.
Пкигкажжа AccessChk кабимаем в ийекарвиззхп лвлмежап Windows Vista,
Win2K,
Windows XP в Server 2003, вдешсащ 64
кабкщдзхе веклвв.
Использование
синтаксис:
accesschk [
s][
e][
r][
w][
n][
v][[
k][
p][
c]|[
d]] [вжщ
йиецбивамеещ] <вжщ йиецбивамеещ> <оаге, дамаеиг, кабдее кеелмка, ленаба>
c

В даселмве вжезв ндабаза ленаба
Windows, зайквжек ssdpsrv (ндаавме “*”
дещ вхвида за чдказ влеп ленаб)
d

Ибкабамхвамц миецди дамаеигв
e

Вхвидвмц миецди щвзхж ибкабиж бадаззхе нкивзв рееилмзилмв (миецди дещ
ИЛ Windows Vista)
k

В даселмве вжезв ндабаз кабдее кеелмка, зайквжек
hklm
software
Вхвидвмц миецди ибфедмх, зе вжешуве йкавве дилмнйа
p

В даселмве вжезв ндабази вжщ вев вдезмвовдамик йкирелла (PID),
зайквжек cmd.exe (ндаавме в даселмве вжезв “*”, смибх вхвелмв за чдказ
вле йкиреллх)
q

Ийнлмвмц багиеивид
r

Вхвидвмц
миецди ибфедмх, д димикхж елмц йкави дилмнйа за смезве
s

Реднклввзащ ибкабимда
v

Вхвидвмц йидкибзнш взоикжарвш (вдешсащ нкивезц рееилмзилмв ИЛ
Windows Vista)
w

Вхвидвмц миецди ибфедмх, д димикхж елмц йкави дилмнйа за байвлц
Елев ндабази вжщ йиецби
вамеещ вев гкнййх, йкигкажжа AccessChk вхведем
деглмвншуве йкава дилмнйа дещ чмиг нсемзиг байвлв, в йкимввзиж ленсае
делдквймик бебийалзилмв реевдиж. Пи нжиесазвш йнмц мкадмнемлщ дад йнмц
оагеивиг лвлмежх. Дещ даадиги ибфедма йкигкажжа AccessChk вхвидвм
лвжвие
R, елев даззащ нсемзащ байвлц вжеем йкави дилмнйа дещ смезвщ, W
елев елмц
йкави дилмнйа дещ байвлв, в звсеги зе вхвидвм йкв имлнмлмввв ибивп йкав.
Дешс
v йкввидвм д вхвидн диздкемзхп йкав дилмнйа, йкедилмавееззхп дадиг
евби нсемзиг байвлв.
Примеры
Леедншуащ дижазда вхвидвм имсем и йкавап дилмнйа нсемзиг байвлв “Ийхмзхе
йиецбивамеев” д оагеаж в дамаеигаж, калйиеиаеззхж в дамаеиге
Windows
System32:
accesschk "Ийхмзхе йиецбивамеев" c:
windows
system32


Чма дижазда вхвидвм за чдказ лйвлид ленаб,
д димикхж гкнййе “Пиецбивамеев”
йкедилмавеези йкави дилмнйа за байвлц:
accesschk йиецбивамеев
cw *
Дещ йкилжимка впидщувп в HKLM
CurrentUser кабдееив кеелмка, д димикхж н
диздкемзиг нсемзиг байвлв зем йкав дилмнйа:
accesschk
kns austin
mruss hklm
softwa
Дещ йкилжимка йакажемкив дилмнйа д кабдеен кеелмка HKLM
Software:
accesschk
k hklm
software
Дещ йкилжимка влеп запидщувплщ в дамаеиге
Users
Mark оагеив йид
нйкавеезвеж ИЛ Vista, димикхе вжешм щвзхж ибкабиж ндабаззхг нкивезц
рееилмзилмв:
accesschk
s c:
users
mark
2. AccessEnum
Гвбдащ жидеец бебийалзилмв ийекарвиззхп лвлмеж Windows за илзиве
мепзиеигвв NT йибвиещем в йиезиг жеке нйкавещмц бебийалзилмцш в йкаважв
дилмнйа д оагеаж. Идзади калйкедееезве йкав мадвж ибкабиж, смибх вле
йиецбивамеев вжеев з
адееааувг дилмнй д оагеаж, дамаеигаж в кабдееаж
кеелмка, жиаем идабамцлщ леиазиг бадасег. Влмкиеззиги в лвлмежн лйилиба
бхлмкиги йкилжимка йкав дилмнйа йиецбивамееег д декевн дамаеигив вев
кабдееив кеелмка зе лнуелмвнем. Пкигкажжа AccessEnum ба зелдиецди л
еднзд
либдаем демаецзхг имсем йи йакажемкаж бебийалзилмв оагеивиг лвлмежх в
кеелмка, сми дееаем ее вдеаецзхж взлмкнжезмиж дещ йивлда бкетег в лвлмеже
бебийалзилмв в ийкедееезвщ вбевтзвп йкав дилмнйа, димикхе лееднем лзвбвмц.
AccessEnum кабимаем в ийекарвиз
зхп лвлмежап Windows NT/2000/XP/2003.
Пквзрвй кабимх
В йкигкажже AccessEnum дещ байиезезвщ лйвлда взоикжарвег и йкавап
дилмнйа за смезве в байвлц, а мадае иб имдабе в дилмнйе влйиецбншмлщ
лмаздакмзхе API
взмекоеглх йидлвлмежх бебийалзилмв ИЛ Windows.
3. Ad
Explorer
Active Directory Explorer йкедлмавещем либиг кабввмие лкедлмви дещ йкилжимка в
кедадмвкивазвщ Active Directory (AD).
AD Explorer жиази влйиецбивамц дещ ндибзиг заввгарвв бабх даззхп AD,
ийкедеещмц вббказзхе желмийиеиаезвщ, йкилжимк лвиглмв ибфедм
ив в
амквбнмив, кедадмвкивамц кабкетезвщ, йкилжимкввамц лпежх ибфедма в
вхйиезщмц леиазхе йивлдв, димикхе вх жиаеме липказщмц в йивмикзи
вхйиезщмц.
AD Explorer мадае вдешсаем в лебщ вибжиазилмц липказезвщ лзвждив AD бабв
даззхп дещ авмизижзиги йкилжимка в
лкавзезвщ.


4. AdRestore
Виллмазавевваем ленсагзи ндаееззхе ибфедмх Active Directory в дижезап Server
2003. Пкилмащ ленаебзащ йкигкажжа л взмекоеглиж дижаздзиг лмкидв
оикжвкнем лйвлид ндаееззхп ибфедмив дижеза в даем вибжиазилмц
виллмазиввмц даадхг вб звп
Смибх лилмаввмц лйвлид влеп ндаееззхп ибфедмив в меднуеж дижезе, лееднем
байнлмвмц AdRestore беб йакажемкив:
adrestore
Виллмазиввмц ибфедм л жемдиг за ндаеезве жиази л йижиуцш йакажемка
r, ба
димикхж лееднем вжщ виллмазавевваежиги ибфедма. Зайквжек, ле
едншуащ
дижазда виллмазавевваем нсемзнш байвлц йиецбивамеещ John Billings:
adrestore
r «John Billings»
AdRestore евтц салмвсзи виллмазавевваем ибфедм. Виллмазивееззхг ибфедм зе
липказщем влеп амквбнмив влпидзиги ибфедма.
5. Autologon
Ийекарвиззхе лвлмежх
Windows NT в 2000 лидекаам залмкигдв кеелмка,
йибвиещшуве йиецбивамееш вббеаамц исекедзиги имибкааезвщ дваеигивиги
идза впида в лвлмежн в вхйиезвмц авмижамвселдвг впид. Идзади чмв йакажемкх
запидщмлщ дивиецзи генбиди, в залмкивмц вп дилмамисзи леиази. Пки
гкажжа
Autologon вхйиезвм зеибпидвжнш залмкигдн кеелмка в йибвиевм вдешсамц в
имдешсамц авмижамвселдвг впид в лвлмежн.
Пкигкажжа Autologon велцжа йкилма в влйиецбивазвв. Зади евтц байнлмвмц ее,
байиезвмц йиещ дваеигивиги идза в зааамц дзийдн Enable (вдешсв
мц). Смибх
имдешсвмц авмижамвселдвг впид в лвлмежн, заажвме Disable (имдешсвмц). Елев
йакажемк DefaultPassword зе бадаз, авмижамвселдвг впид в лвлмежн бндем
йкивбведез миецди идвз каб, а бамеж бндем имдешсез. Дкиже миги, елев йекед
вхйиезезвеж лвлмежиг авм
ижамвселдиги впида ндекавваемлщ деаввта SHIFT,
авмижамвселдвг впид дещ чмиги леазла зе бндем влйиецбиваз. Миази йекедамц
вжщ йиецбивамеещ, дижез в йакиец в ввде йакажемкив дижаздзиг лмкидв:
autologon йиецбивамеец дижез йакиец
10
6. Autoruns
Чми лкедлмви йкиве
кщем биецтее диевселмви желм, вб димикхп йкивлпидвм
авмибайнлд йкигкажж, сеж ешбиг дкнгиг жизвмик авмибагкнбдв. Изи
йидабхваем, дадве йкигкажжх залмкиезх за байнлд в йкирелле багкнбдв вев
впида в лвлмежн, йквсеж чмв йкигкажжх имибкааашмлщ в миж йикщдде, в
дадиж
лвлмежа Windows ибкабамхваем вп. Тадве йкигкажжх жигнм запидвмцлщ в йайде
авмибагкнбдв вев бхмц йкийвлазх в кабдееап кеелмка Run, RunOnce в дкнгвп.
Лкедлмви Autoruns жиази залмкивмц за имибкааезве в дкнгвп калйиеиаезвг,
мадвп дад калтвкезвщ ибиеисдв
йкивидзвда, йазеев взлмкнжезмив, ибфедмх
жиднеег йиддекадв ибибкевамеещ, нведижеезвщ Winlogon, авмижамвселдв
байнлдаежхе ленабх в жзигве дкнгве. Лкедлмви Autoruns ибеадаем биеее
твкидвж лйедмкиж вибжиазилмег, сеж ленаебзащ йкигкажжа MSConfig, димикащ
впидв
м в лилмав Windows Me в XP.
Пакажемк Hide Signed Microsoft Entries (Зе йидабхвамц чеежезмх л рвокивиг
йидйвлцш Microsoft) лкедлмва Autoruns йибвиещем лилкедимисвмц взвжазве за
авмижамвселдв байнлдаежхп чеежезмап лмикиззвп йкивбвидвмееег, елев мадве
чеежезм
х бхев дибавеезх в лвлмежн. Дкиже миги, жиази йкилжамкввамц
ибфедмх, залмкиеззхе за авмижамвселдвг байнлд дещ дкнгвп нсемзхп байвлег,
вжешувплщ в лвлмеже. В акпвв дещ багкнбдв мадае вдешсез ваквазм йкигкажжх
дещ кабимх вб дижаздзиг лмкидв, Autorunsc. Вхпид
зхе даззхе чмиги лкедлмва
жиази йиенсвмц в оикжаме CSV.
Пкигкажжа Autoruns кабимаем ви влеп веклвщп Windows, вдешсащ Windows XP
64
bit Edition (дещ x64) в Windows Server 2003 64
bit Edition (дещ x64).
Использование
Пкилми байнлмвме лкедлмви Autoruns, в изи
йидааем, дадве йквеиаезвщ
залмкиезх за авмижамвселдвг байнлд, а мадае йкедлмаввм йиезхг лйвлид
кабдееив кеелмка в дамаеигив оагеивиг лвлмежх, димикхе жигнм
влйиецбивамцлщ дещ бадазвщ авмижамвселдиги байнлда. Чеежезмх, димикхе
йидабхваем йкигкажжа Autoruns
, йквзадееаам д зелдиецдвж дамегиквщж:
ибфедмх, авмижамвселдв байнлдаежхе йкв впиде в лвлмежн, дийиезвмеецзхе
дижйизезмх йкивидзвда, дийиезвмеецзхе дижйизезмх Internet Explorer
(вдешсащ ибфедмх жиднеег йиддекадв ибибкевамеещ (BHO)), бвбевимедв DLL
взврваев
барвв йквеиаезвг, йиджезх чеежезмив, ибфедмх, влйиезщежхе за
каззвп лмадвщп багкнбдв, бвбевимедв DLL нведижеезвг Winlogon, ленабх
Windows в жзигинкивзевхе йилмавувдв нленг Winsock. Смибх йкилжимкемц
авмижамвселдв байнлдаежхе ибфедмх мкебнежиг дамегиквв, ди
лмамисзи вхбкамц
зназнш вдеаддн.
Дещ йкилжимка лвиглмв влйиезщежиги ибфедма, залмкиеззиги за авмижамвселдвг
байнлд, зеибпидвжи вхдеевмц чмим ибфедм в вилйиецбивамцлщ йнздмиж жезш вев
дзийдиг йазеев взлмкнжезмив Properties (Лвиглмва). Елев в лвлмеже байнуез
йкигкажжа
Process Explorer
, а вхдеееззхг влйиезщежхг оаге влйиецбнемлщ
дадвж
евби адмввзхж йкиреллиж, ми йкв вхбике в жезш Entry (Чеежезм) йнздма
Process Explorer (Process Explorer) имдкиемлщ дваеигивие идзи лвиглмв йкирелла,
влйиецбншуеги вхдеееззхг
ибфедм.
Смибх йекегмв д кабдеен кеелмка вев дамаеигн оагеивиг лвлмежх, димикхг
имибкаааемлщ в идзе йкигкажжх, евби д залмкигде ибфедма, байнлдаежиги
авмижамвселдв, дилмамисзи вхдеевмц зназхг чеежезм в вилйиецбивамцлщ
дижаздиг жезш вев дзийдиг йазеев взлмкн
жезмив Jump (Пекегмв).
Смибх имдешсвмц ибфедм, байнлдаежхг авмижамвселдв, знази лзщмц
лиимвемлмвншувг ежн оеааид. Удаевмц мадиг ибфедм жиази л йижиуцш
дижаздх жезш вев дзийдв йазеев взлмкнжезмив Delete (Удаевмц).
11
Смибх йкилжимкемц авмижамвселдв байнлдаежхе
чеежезмх дещ нсемзхп байвлег
дкнгвп йиецбивамееег, дилмамисзи вхбкамц зназхг йнздм жезш User
(Пиецбивамеец).
Дийиезвмеецзхе лведезвщ йи йакажемкаж имибкааезвщ в дкнгнш йиеебзнш
взоикжарвш жиази загмв в ийекамввзиг лйкавде.
Влйиецбивазве йкигкажжх Autoruns
Autorunsc
чми ваквазм йкигкажжх Autoruns дещ кабимх в дижаздзиг лмкиде.
Звае йквведез лвзмадлвл влйиецбивазвщ чмиги лкедлмва.
Использование: autorunsc [
x] [[
a] | [
b] [
c] [
d] [
e] [
g] [
h] [
i] [
╫] [
l] [
m] [
o] [
p] [
r] [
s] [
v] [
w] [[
z stemroot> ] | [пользователь]]]
a

йидабхвамц вле чеежезмх;
b

ибфедмх, влйиезщежхе за каззвп лмадвщп багкнбдв;
c

байвламц вхпидзхе даззхе в CSV
оаге;
d

бвбевимедв DLL взврваевбарвв йквеиаезвг;
e

задлмкигдв Explorer;
g

жвзв
йквеиаезвщ
(гадаемх) бидивиг йазеев;
h

йекепвамсвдв оагеив
ибкабив (Image hijacks);
i

дийиезвмеецзхе дижйизезмх Internet Explorer
l

чеежезмх, авмижамвселдв байнлдаежхе йкв впиде в лвлмежн
(чмим йакажемк влйиецбнемлщ йи нжиесазвш);
m

зе йидабхвамц чеежезмх л
рвокивиг йидйвлцш Microsoft;
n

йилмавувдв йкимидиеа Winsock;
p

дкагвекх жизвмика йесамв;
йилмавувдв LSA;
s

ленабх в кеавже авмижамвселдиги байнлда в зеимдешсеззхе
дкагвекх;
забзасеззхе бадазвщ;
v

йкивекщмц рвокивхе йидйвлв;
w

чеежезмх
Winlogon;
x

йесамамц вхвид в оикжаме XML;
z

бадамц дещ лдазвкивазвщ зеадмввзнш лвлмежн Windows;
йиецбивамеец
йидабхвамц авмижамвселдв байнлдаежхе ибфедмх дещ
ндабаззиг нсемзиг байвлв йиецбивамеещ.
7. BgInfo
Чма йиезилмцш залмкавваежащ йкигкажжа
авмижамвселдв гезеквкнем оизивхе
квлнздв кабисеги лмиеа, вдешсашуве ваазнш взоикжарвш и лвлмеже, маднш
дад IP
адкела, вжщ дижйцшмека, лемевхе адаймекх в жзигие дкнгие.
Пкигкажжа BGInfo (лидкауезве им «Илзивзхе лведезвщ» (Background
Information)), байкатвва
ем кабиснш лмазрвш вев леквек Windows® за йкеджем
илзивзхп даззхп
им лемевхп даззхп (IP
адкел, жакткнмвбамик, вжщ дижеза,
MAC
адкел) ди йкигкажжзиги ибелйесезвщ в ибикндивазвщ (вжщ дижйцшмека,
йажщмц, веклвщ ИЛ, нкивезц йадема ибзивеезвщ). Замеж йкигкажж
а вхвидвм вле
даззхе за кабисвг лмие дад салмц оизивиги квлнзда, в, мадвж ибкабиж,
взоикжарвщ исезц пикити ввдза в зе жетаем кабиме.
12
8. CacheSet
CacheSet
чми йквеиаезве, йибвиещшуее нйкавещмц йакажемкажв кабисеги
забика дчта оагеив лвлмежх. В имевсве им
CacheMan, CacheSet кабимаем ви
влеп веклвщп ИЛ NT в бндем кабимамц беб вбжезезвг в йилеедншувп вхйнлдап
йадемив ибзивеезвщ. Пижвжи дизмкиещ жвзвжаецзиги в жадлвжаецзиги
кабжекив кабисеги забика, чма йкигкажжа йибвиещем лбкалхвамц кабисвг забик
дчта мадвж и
бкабиж, сми вйилеедлмввв из нвеевсвваемлщ в кабжеке йи
мкебивазвш л бадаззиг влпидзиг мисдв. Елмц в дкнгие имевсве им CacheMan:
вбжезезвщ кабжека дчта, взелеззхе йкв йижиув CacheSet, ввидщмлщ в
деглмвве зебажедевмеецзи. Вжелме л йквеиаезвеж йилмавещемлщ ег
и йиезхг
влпидзхг дид.
Пкигкажжа CacheSet йижигаем залмкивмц йкивбвидвмеецзилмц кабжека дчта
лвлмежх йнмеж диккедрвв взнмкеззвп йекежеззхп.
Пквжесазве. Дещ чдлйенамарвв CacheSet в NT 4.0 л йадемиж ибзивеезвщ 4 в в
йилеедншувп веклвщп чмиг ИЛ зеибпидвжа йкв
ввеегвщ «Increase Quota»
(Увеевсезве двимх) (в нсемзхп байвлщп аджвзвлмкамикив чма йквввеегвщ
йкеднлжимкеза йи нжиесазвш). Ибзивеезве йкигкажжх CacheSet йибвиещем
бадеглмвивамц чмн йквввеегвш йкв заевсвв йадема ибзивеезвщ SP4
Установка и применение
Пкигк
ажжа CacheSet кабимаем ви влеп вхйнуеззхп веклвщп NT. Пилее байнлда
йкигкажжа вхвидвм меднувг кабжек дчта оагеив лвлмежх (из ибзивещемлщ два
каба в леднздн) в еги йвдивхг кабжек (жадлвжаецзие бзасезве л жижезма
йилеедзег йекебагкнбдв); дкиже миги, иза йибв
иещем нлмазиввмц зивхг
жвзвжаецзхг в жадлвжаецзхг кабжекх кабисеги забика.
Улмазивда зивхп кабжекив
Удабав зивхе бзасезвщ жвзвжаецзиги в жадлвжаецзиги кабжекив, заажвме
дзийдн «Пквжезвмц». Вибзвдзивезве итвбдв лввдемеецлмвнем иб идзиж вб
леедншувп иблмищме
ецлмв: введеззхг жадлвжнж жезцте жвзвжнжа; введеззхг
жвзвжнж жезцте жвзвжаецзи дийнлмвжиги кабжека кабисеги забика лвлмежх;
введеззхг жадлвжнж биецте жадлвжаецзи дийнлмвжиги кабжека кабисеги
забика лвлмежх. Вбжезвме введеззхе бзасезвщ в йивмиквме йийхмдн.
Пилее чмиги, дад вх лжиаеме бажемвмц, кабжек дчта лкабн вбжезвмлщ, а бамеж
засзем бхлмки нжезцтамцлщ вев, заибиким, йквкалмамц. Дееи в миж, сми каб в
леднздн лвлмежа авмижамвселдв нкебаем кабисве забикх. Илвибиадеззхе
лмказврх дчта, димикхе илмашмлщ в йажщ
мв, басалмнш бхлмки йекедашмлщ
дкнгвж йкигкажжаж, димикхж зназа йажщмц в биецтеж ибфеже. Азаеигвсзхж
13
ибкабиж, вибвкам лмказвр в дчт йкивлпидвм йкв дилмнйе йквеиаезвг д даззхж
оагеивиг лвлмежх.
Сброс предыдущих значений
Миази в ешбие вкежщ виллмазиввмц каби
свг забик бзасезвг Cache, димикхг
бхе адмввзхж йкв йилеедзеж байнлде CacheSet, йнмеж зааамвщ дзийдв «Reset»
(Лбкил).
Очистка рабочего набора КЭШа
Смибх в йквзндвмеецзиж йикщдде илвибидвмц вле лмказврх дчта, заажвме
дзийдн «Исвлмвмц». Вжегме в ввдн, сми дчт
жиаем взивц нвеевсвмцлщ в кабжеке
лигеалзи меднувж йимкебзилмщж; йичмижн лееднем имевсамц чмн ийекарвш им
лбкила (flushing) дчта
в даззиж ленсае казее забзасеззхе дчтн лмказврх
лмазивщмлщ дилмнйзхжв дещ дкнгвп йкигкажж в йкв зеибпидвжилмв жигнм бхмц
виб
вкауезх в дчт.
Интерфейс командной строки
Пибвиещем ндабамц бзасезвщ жвзвжаецзиги в жадлвжаецзиги кабжекив кабисеги
забика в дижаздзиг лмкиде CacheSet. CacheSet введем зивхе бзасезвщ в
деглмвве беб йидмвекадезвщ. Леедивамеецзи, йкигкажжн CacheSet жиази
лмв в гкнййн йкигкажж «Start» (Пнлд), в в чмиж ленсае даадхг каб йкв
багкнбде кабжек дчта бндем нлмазавеввамцлщ авмижамвселдв.
Синтаксис
: CacheSet [жвзвжаецзхг кабжек кабисеги забика] [жадлвжаецзхг
кабжек кабисеги забика]
Принцип работы
В йкигкажже CacheSe
t вхбив онздрвв NtQuerySystemInformation йквжезщемлщ
дещ йиенсезвщ даззхп и залмкигдап дчта, а онздрвв NtSetSystemInformation
дещ нлмазивдв зивхп кабжекив. Влпидщ вб лведезвг и кабисеж забике
йкирелла двлйемсек йажщмв NT йквзвжаем кетезве и миж, лдиецди
лмказвр
овбвселдиг йажщмв лееднем йекедамц йквеиаезвш. В лвщбв л чмвж в
ийкедеееззхп нлеиввщп двлйемсек йажщмв жиаем нвеевсвмц кабисвг забик
лвекп жадлвжнжа вев, заибиким, лидкамвмц звае жвзвжнжа. В ми ае вкежщ,
йакажемкх ийкедеещшм ибуве йквзрвйх калйкеде
еезвщ йажщмв, а бзасвм, в
лдикилмц имдевда йквеиаезвщ. Пквжезвмеецзи д CacheSet в киев йквеиаезвщ
вхлмнйаем дчт оагеивиг лвлмежх.
NtSetSystemInformation илнуелмвещем взнмкеззвг вхбив онздрвв
MmAdjustWorkingSetSize, димикащ евби нвеевсвваем, евби нжезцтаем
кабисвг
забик йквеиаезвщ. Елев онздрвв MmAdjustWorkingSetSize йекедаемлщ мкемвг
йакажемк, кавзхг едвзвре, диккедмвкнемлщ кабисвг забик лвлмежзиги дчта; в
йкимввзиж ленсае вхйиезщемлщ диккедрвщ меднуеги йкирелла
(взоикжарвиззхе вхбивх лвлмежх калйкилмказщшм
лщ миецди за лвлмежзхг
дчт). Пекедаса бзасезвг жвзвжаецзиги в жадлвжаецзиги кабжека, кавзхп
1,
йкввидвм д вхйиезезвш онздрвег MmAjustWorkingSetSize ийекарвв исвлмдв
кабисеги забика
взхжв леиважв, вб кабисеги забика йквеиаезвщ
илвибиадашмлщ вле лмказврх.
Брешь в системе защиты
Взмекелзи, сми дещ вхбива взмекоегла CacheSet зе мкебнемлщ илибхп
йквввеегвг. Тадвж ибкабиж, байнлмвмц йкигкажжн CacheSet йибвиещем даае
14
гилмеващ нсемзащ байвлц. Ткндзи йилйиквмц л меж, сми чми исеввдзащ бкетц в
лвлмеже баувмх, беаг
идакщ димикиг взилвмц вбжезезвщ в йиевмвдн кегневкивдв
кабжека лвлмежзиги дчта жиаем даадхг.
Ибзивеезве. В йадеме ибзивеезвщ 4 дещ NT 4.0 ндабаззащ бкетц нлмказеза
мейекц дещ взелезвщ вбжезезвг в кабисвг забик дчта зеибпидвжа йквввеегвщ
«Increase Quota»
(Увеевсезве двимх). Ви влеп нсемзхп байвлщп йиецбивамееег
в гкнйй аджвзвлмкамввзиги нкивзщ чма йквввеегвщ йкеднлжимкеза йи
нжиесазвш.
9. ClockRes
Пквеиаезве ClockRes влйиезщем онздрвш GetSystemTimeAdjustment в
вибвкауаем ее кебнецмам. Чма онздрвщ йибвиещем
ийеквкивамц взоикжарвеш и
лвлмежзхп салап вев жадлвжаецзхж кабкетезвеж магжека, дилмнйзхж дещ
йкигкажжх. Пкигкажжа ClockRes кабимаем миецди в лкедап Windows NT/2K в зе
йквзвжаем акгнжезмх дижаздзиг лмкидв.
10. Contig
За белйеамзиг илзиве калйкилмказщемлщ
веевдие жзиаелмви йкигкажж
деокагжезмарвв двлда дещ NT, лкедв звп жиази вхдеевмц, зайквжек,
Winternals Defrag Manager. Чмв йкигкажжх чооедмввзи вхйиезщшм бадасн
ибуег деокагжезмарвв двлдив. В ми ае вкежщ, зедимикхе оагех, димикхе
леедиваеи бх деокагжезмвки
вамц, запидщмлщ за двлдап взе лоекх деглмввщ
мадвп йкигкажж. Дкиже миги, дивиецзи леиази икгазвбивамц деокагжезмарвш
имдеецзхп кегнещкзи йквжезщежхп оагеив
в лвен илибеззилмег
йквжезщежхп аегиквмжив деокагжезмарвв изв жигнм илмавамцлщ ви
окагжезмвкиваззи
ж лилмищзвв. Задизер, даае елев вле оагех бхев
деокагжезмвкивазх, лвмнарвщ жиаем бхлмки вбжезвмцлщ в кебнецмаме
йилеедншуеги кедадмвкивазвщ дквмвселдвп оагеив. Лвтц йивмикзащ
дижйеедлзащ деокагжезмарвщ лйилибза йкввелмв оагех в аееаежие лилмищзве.
Contig ч
ми йкигкажжа деокагжезмарвв имдеецзхп оагеив, димикащ
йкедзабзасеза дещ лжеазиги кабжеуезвщ за двлде окагжезмив оагеив. Иза
вдеаецзи йидпидвм дещ бхлмкиг иймвжвбарвв оагеив, димикхе йилмищззи
окагжезмвкншмлщ вев йи меж вев взхж йквсвзаж диеазх лилмищмц вб
дад
жиази жезцтеги свлеа окагжезмив.
Установка и применение
Пкигкажжа Contig кабимаем в лкеде NT 4.0 в в биеее йибдзвп веклвщп чмиг ИЛ.
Иза йибвиещем, ви
йеквхп, деокагжезмвкивамц лнуелмвншувг оаге, а, ви
вмикхп, либдамц зивхг оаге ндабаззиги кабжека в вже
зв, иймвжвбвкивав еги
кабжеуезве за двлде. Contig ибкауаемлщ д лмаздакмзхж взмекоеглаж API,
йквжезщежхж в Windows дещ деокагжезмарвв; йичмижн йивкеадезве двлда
влдешсези даае йкв бадкхмвв йкигкажжх ви вкежщ вхйиезезвщ еш ийекарвг.
Дещ лжеазиги кабжеуезвщ о
кагжезмив лнуелмвншуеги оагеа знази байнлмвмц
йкигкажжн Contig леедншувж ибкабиж.
Синтаксис
contig [
v] [
a] [
q] [
s] [
вжщ
оагеа
Пакажемк
v йкедзабзасез дещ вхвида взоикжарвв иб ийекарвщп
деокагжезмарвв оагеа, вхйиезеззхп йкигкажжиг Contig. Смибх ибзадижвмцлщ
л меднувж лилмищзвеж окагжезмарвв оагеа вев оагеив, вилйиецбнгмелц
йакажемкиж
в кебнецмаме йкигкажжа Contig йкиведем аз
аевб
окагжезмарвв. Пакажемк
s йибвиещем йкивелмв кеднклввзнш ибкабимдн
15
йиддамаеигив влпидщ вб ндабаззиги вжезв л табеизажв. Д йквжекн, смибх
деокагжезмвкивамц вле DLL
оагех в дамаеиге c:
winnt, лееднем ввелмв дижаздн
«contig
s c:
winnt
*.dll». Пакажемк
q, димикхг йекеийкедеещем йакажемк
v,
йекевидвм йкигкажжн Contig в «жиесаеввхг» кеавж, в димикиж в йкирелле
деокагжезмарвв вхвидвмлщ миецди вмигиващ лвидда.
Дещ либдазвщ зивиги оагеа, деокагжезмвкиваззиги зейилкедлмвеззи в
йкирелле либдазвщ, вхбиввме йкиг
кажжн Contig леедншувж ибкабиж.
Синтаксис:
contig [
v] [
n вжщ_оагеа девза]
Принцип работы
Пкигкажжа Contig ибкауаемлщ д либлмвеззхе лкедлмваж деокагжезмарвв
Windows NT, вйеквхе кеаевбиваззхж в веклвв NT 4.0 (дийиезвмеецзхе
лведезвщ лж. в живп диднжезмап й
и API
взмекоеглаж деокагжезмарвв). В
йеквнш исекедц йкивидвмлщ йкивекда двлда дещ лбика даззхп и
желмийиеиаезвв в кабжеке лвибидзхп ибеалмег. Замеж ийкедеещемлщ
желмийиеиаезве влдижиги оагеа. Пилее чмиги йкигкажжа Contig вллееднем
вибжиазилмц иймвжвбарвв о
агеа влпидщ вб заевсвщ лвибидзхп ибеалмег в
свлеа окагжезмив, вб димикхп оаге лилмивм в даззхг жижезм. Елев
вибжиазилмц иймвжвбарвв оагеа лнуелмвнем, из йекежеуаемлщ в лвибидзхе
ибеалмв двлда.
11. Coreinfo v2.11
Coreinfo чми нмвевма дижаздзиг лмкидв, димик
ащ йидабхваем лиимвемлмввщ жеадн
еигвселдвж йкирелликиж в овбвселдвж йкирелликиж, NUMA нбеиж, в лидемиж,
за димикхп изв калйиеиаезх, а мадае дчта даадиги еигвселдиги йкиреллика.
Из влйиецбнем "Windows, онздрвш
йиенсвм
ц чмн взоикжарвш в вхвидвм ее за чдказ, йкедлмавещшувг
имибкааезве за еигвселдвг йкиреллик ли бвебдисдиг, зайквжек, '*'.
Улмазивда
Вх байнлдаеме Coreinfo, забкав "coreinfo".
Влйиецбивазве CoreInfo
Дещ даадиги келнкла из йидабхваем дакмн OЛ
ввдвжхп йкирелли
кив, димикхе
лиимвемлмвншм ндабаззхж келнклаж, л '*' йкедлмавещем
йквжезвжи
йкирелликив.
Использование: coreinfo
-c][
g][
l][
m][
n][
Дажй взоикжарвв и щдкап.

g

Дажй взоикжарвв и гкнййап.

l


Дажй взоикжарвв и дчтап.
12. Ctrl2Cap
Пкигкажжа йкедлмавещем либиг дкагвек йквввеегвкиваззиги кеавжа,
ибелйесввашувг овецмкарвш впидщуеги л деаввамнкх лвгзаеа ди дкагвека
деалла деаввамнкх, сми йибвиещем вдешсамц векпзвг кегвлмк йкв зааамвв
дизмкиецзхп деаввт. Овецмкарвщ за чмиж нкивзе йибвиещ
ем вбжезщмц в
лдкхвамц деаввтв, йкеаде, сеж NT даае "нввдвм" вп. Ctrl2cap мадае
йидабхваем, дад влйиецбивамц NtDisplayString() дещ йесамв лиибуезвг за
гиенбиж чдказе йкв взврваевбарвв.
16
13. DebugView
Чма йкигкажжа йекепвамхваем вхбивх DbgPrint дкагвекажв нл
мкиглмв в
OutputDebugString йкигкажжажв Win32. Чми йибвиещем йкилжамкввамц в
байвлхвамц вхпидзхе даззхе леазла имеаддв за еидаецзиг жатвзе вев в
Взмекземе беб адмввзиги имеадсвда.
В Windows 2000, XP, Server 2003 в Vista,
DebugView
бндем овдлвкивамц:
Win32
OutputDebugString
В кеавже щдка
DbgPrint
Вле в кеавже щдка, ваквазмх
DbgPrint
кеаевбивази в Windows XP в Server 2003
Установка и использование
Пкилми вхйиезвме
DebugView
оаге йкигкажжх (dbgview.exe) в
DebugView
зежедееззи засзем лфеждв имеадисзиги вхвида. Ибкамвме взвжазве, сми елев
вх байнлмвме DebugView за Windows 2000/XP вх диеазх вжемц
аджвзвлмкамввзхе йквввеегвв, смибх йилжимкемц в кеавже щдка имеаддв.
Мезш, гикщсве деаввтв вев дзийдв йазеев взлмкн
жезмив жигнм бхмц
влйиецбивазх дещ исвлмдв идза, липказвмц дизмкиец даззхп в оаге, йивлд
вхпида, вбжезезвщ тквома идза в жзигие дкнгие.
14. Desktops
Чма йкигкажжа йибвиещем либдавамц семхке ввкмнаецзхп кабисвп лмиеа,
йекедешсамцлщ жеадн димикхжв жиази е
вби л йижиуцш дижбвзарвг деаввт,
евби л йижиуцш бзасда в йазеев бадас.
Идзи залмкигдв
17
15. Disk2vhd v1.62
Disk2vhd
нмвевма, йибвиещшуащ л еегдилмцш либдамц вб кеаецзиги аелмдиги
двлда ввкмнаецзхг двлд оикжама VHD, димикхг бамеж жиази бндем
влйиецбивамц
л йижиуцш Virtual PC вев Hyper
Лвлмежзхе мкебивазвщ: девезмлдве в леквекзхе ИЛ Windows XP SP2 в Windows
Server 2003 вев вхте.
Примечание:
Virtual PC йиддекавваем жадлвжаецзхг кабжек ввкмнаецзиги
двлда 127GB.
Елев вх либдаеме ввкмнаецзхг аелмдвг двлд л
биецтвж двлдиж
из зе бндем дилмнйез вб
Virtual PC VM.
Смибх влйиецбивамц ввкмнаецзхе аелмдве двлдв Disk2vhd,зади либдавамц
Ввкмнаецзнш
Матхзн л аееаежхжв пакадмеквлмвдажв в дибавещмц
ввкмнаецзхе аелмдве двлдв в дизовгнкарвв ввкмнаецзиг жатвзх, дад двлдв
IDE.
Disk2vhd кабимаем Windows XP SP2, Windows Server 2003 SP1, в вхте, в миж
свлее 64
кабкщдзхп лвлмежап.
Использование командной строк
Влйиецбивазве:
disk2vhd <[двлд: [двлд :]...]|[*]>
Пквжек:
disk2vhd * C:
VHD
snapshot.vhd
18
16. DiskExt
Пкигкажжа DiskExt дежизлмквкнем кабимн дижаздх
IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS, димикащ вибвкауаем даззхе и
калйкедееезвв кабдееив миж
а йи двлдаж (мижа л зелдиецдвжв кабдееажв жигнм
бхмц кабжеуезх за зелдиецдвп двлдап) в кабжеуезвв кабдееив за чмвп
двлдап.
17. DiskMon дещ Windows 2.01
DiskMon
чми йквеиаезве, димикие кегвлмквкнем в вхвидвм лведезвщ иби влеп
ийекарвщп л аелмдвж двлдиж, и
лнуелмвещежхп в лвлмеже Windows. Пкигкажжн
DiskMon жиази лвекзнмц в бзасид за йазеев бадас, димикхг влйиезщем киец
вздвдамика двлда: бееезхг рвем ибибзасаем ийекарвв смезвщ л двлда, а
дкалзхг
ийекарвв байвлв.
Пкигкажжа DiskMon кабимаем в NT 4.0 в в биеее
йибдзвп веклвщп ИЛ.
Установка и применение
Дещ нлмазивдв йкигкажжх DiskMon дилмамисзи калйадивамц ее акпвв в ввелмв
дижаздн diskmon. В лкеде Windows NT гкаовселдвг взмекоегл вхйиезщем
двзажвселднш багкнбдн дкагвека (за илзиве дида в ибкабре instdrv вб йад
ема
DDK Windows NT), димикхг йквлмнйаем д лееаезвш ба кабимиг влеп аелмдвп
двлдив. Дещ Windows 2000 в биеее йибдзвп веклвг ИЛ дижйизезм дкагвека зе
йкеднлжимкез
дещ йиенсезвщ даззхп иб ийекарвщп л двлдиж гкаовселдвг
взмекоегл ибкауаемлщ д лкедлмваж имлее
аввазвщ либхмвг щдка. Пнздмх жезш
в дзийдв за йазеев взлмкнжезмив йибвиещшм вдешсамц в вхдешсамц овдларвш
либхмвг, нйкавещмц йкидкнмдиг лйвлда в липказщмц лидекавжие лйвлда в ASCII
оагее.
Дещ йекевида йкигкажжх DiskMon в кеавж вздвдамика двлда за йазеев ба
дас
вхбеквме дижаздн Minimize to Tray (Лвекзнмц в йазеец бадас) в жезш Options
(Пакажемкх) вев вхбиввме DiskMon вб дижаздзиг лмкидв л йакажемкиж /l (L в
звазеж кегвлмке)
«diskmon /l». Смибх виллмазиввмц идзи DiskMon, дваадх
уеедзвме бзасид DiskMon за йаз
еев бадас. Смибх либдамц щкехд йкигкажжх
Diskmon, либдагме щкехд в йайде Program Files
Startup, имдкигме еги лвиглмва
щкехда в введвме в йиее «Ибфедм» йнмц д влйиезщежижн оаген в давхсдап, а
йакажемк
взе давхсед:
«C:
Sysinternals Tools
Diskmon.exe» /l
евсвзх лжеуезвщ смезвщ в байвлв ндабхвашмлщ йи ледмикаж (йи 512 багм).
Либхмвщ жигнм вдезмвоврвкивамцлщ йи йкидиеавмеецзилмв (в жвдкиледнздап)
вев лзабаамцлщ жемдажв аблиешмзиги вкежезв байнлда. В дваеигивиж идзе
«History Depth» (Генбвза кегвлмкарвв) жиази
ндабамц жадлвжаецзие
диевселмви байвлег, пказщувплщ в гкаовселдиж взмекоегле (бзасезве «0»
лзвжаем ешбхе игказвсезвщ).
Реализация в среде Windows bT 4
Лмаздакмзхе жемидвдв овецмкарвв зе йибвиещшм двзажвселдв багкнааежхж
дкагвекаж, мадвж дад DiskMon, йквдкейещмцлщ д ибфедмаж аелмдиги двлда в
йкилжамкввамц байкилх, имйкавещежхе вб оагеивхп лвлмеж. Дееи в миж, сми
дкагвекх оагеивиг лвлмежх имдкхвашм двлдивх
е нлмкиглмва в пиде
взврваевбарвв лвлмежх в, в имевсве им двлйемсека ввида
вхвида, имйкавещшм
IRP чмвж нлмкиглмваж зайкщжнш. Двлйемсек ввида
вхвида дийнлдаем
йквдкейеезве дкагвекив
овецмкив оагеивиг лвлмежх д нлмкиглмваж чмиг
лвлмежх йилее взврваевбарвв; ч
ми лвщбази л меж, из йкивидвм йкивекдн
19
йиддешсеззхп нлмкиглмв йекед даадиг йийхмдиг имйкавдв IRP оагеивиг
лвлмеже в вжеем вибжиазилмц йекезайкавеезвщ IRP.
Пкигкажжа DiskMon ибпидвм чми игказвсезве беагидакщ жиег либлмвеззиг
жемидвде йекепвама онздрвг дкагв
екив. DiskMon запидвм ибфедм дкагвека
двлдивиги нлмкиглмва в бажезщем еги мисдв впида двлйемсеквбарвв лвивжв
либлмвеззхжв. Онздрвв овецмкарвв DiskMon йекедашм ибзакнавваежхе
байкилх IRP йиддешсеззижн дкагвекн в йекепвамхвашм йкиреднкх бавектезвщ
мад, смибх
йиенсвмц дилмнй д кебнецмамаж ибкабимдв байкилив.
Реализация в среде Windows 2000 и последующих версиях ОС
В Windows 2000 в биеее йибдзвп веклвщп ИЛ йкигкажжа ибкауаемлщ д
лкедлмваж имлееаввазвщ либхмвг щдка. Диднжезмарвщ йи имлееаввазвш
либхмвг лидекавмл
щ в дижйеедме кабкабимсвда Platform Microsoft; маж ае
вжеемлщ влпидзхг дид йкигкажжх TraceDmp, за димикиг илзиваза Diskmon.
18. DiskView
Пкигкажжа DiskView вхвидвм гкаовселднш лпежн двлда, за димикиг жиази
ийкедеевмц желмийиеиаезве оагеа вев нбзамц, дадиг
оаге базвжаем ме вев
взхе деалмекх (дещ чмиги знази уеедзнмц деалмек жхтцш). Двигзиг уеесид
йибвиещем йиенсвмц биеее йидкибзнш взоикжарвш и оагее, димикижн вхдееез
деалмек. Пкигкажжа Diskview кабимаем в ИЛ Windows NT 4, 2000, XP в Server
2003.
19. Disk U
sage (DU)
Пкигкажжа Du (disk usage) вхвидвм лведезвщ иб влйиецбивазвв двлдивиги
йкилмказлмва в ндабаззиж дамаеиге. Пи нжиесазвш иза вхйиезщем кеднклввзхг
йкилжимк дамаеига в ндабхваем еги ибувг кабжек, а мадае кабжек еги
йиддамаеигив.
Применение
Синтаксис:
du [[
v] [
l ] | [
n]] [
q] (оаге вев дамаеиг)
l

Генбвза йиенсезвщ даззхп и йиддамаеигап (йи нжиесазвш
вле нкивзв)
n

Беб кеднклвв
20
q

Беб вхвида ибфщвеезвщ
v

Вхвид взоикжарвв в йкижеанмисзиж дамаеиге
20. EFSDump
В ИЛ Windows 2000 кеаевбиваза
оагеиващ лвлмежа EFS, йижигашуащ
йиецбивамеещж баувуамц дизовдезрваецзхе даззхе. В йиддекадн чмиг
вибжиазилмв йищввелщ кщд зивхп взмекоеглив API, идвз вб димикхп,
QueryUsersOnEncryptedFile, йибвиещем йиенсамц лйвлдв йиецбивамееег,
вжешувп дилмнй д батвокив
аззхж оагеаж. Л йижиуцш чмиги взмекоегла
йкигкажжа EFSDump вхвидвм лйвлид нсемзхп байвлег, нйиезижисеззхп
ибкауамцлщ д батвокиваззхж оагеаж.
Синтаксис:
efsdump [
s] <оаге вев дамаеиг>
Реднклвщ йиддамаеигив.
Пкигкажжа EFSDump йиддекавваем табеизх
(зайквжек, 'efsdump *.txt').
21. Handle
Пкигкажжа Handle
чми взлмкнжезм, димикхг вхвидвм лведезвщ иб имдкхмхп
делдквймикап дещ ешбиги йкирелла в лвлмеже. Иза йибвиещем йилжимкемц, дадве
йкигкажжх имдкхев оаге, а мадае нввдемц мвй ибфедмив в вжеза влеп
лдквймикив йкигкажжх.
Ваквазм чмиги лкедлмва л гкаовселдвж взмекоеглиж
Process Explorer

Установка
Смибх байнлмвмц йкигкажжн Handle, дилмамисзи ввелмв «handle». Зеи
бпидвжи
вжемц йкава аджвзвлмкамика.
Пкигкажжа Handle кабимаем в лвлмежап Windows 9x, Me в Windows NT в биеее
йибдзвп веклвг, а мадае в лвлмежап x64 Windows XP 64
bit Edition в Windows
Server 2003 64
bit Edition.
Использование
Пкигкажжа Handle йкедзабзасеза
дещ йивлда ллхеид за имдкхмхе оагех,
йичмижн, елев звдадве йакажемкх дижаздзиг лмкидв зе бадазх, иза вхвидвм
лйвлид бзасезвг влеп делдквймикив в лвлмеже, димикхе ллхеашмлщ за имдкхмхе
оагех, л ндабазвеж вжез чмвп оагеив. Вбжезвмц кабимн йкигкажжх жиази л
йижиуцш зелдиецдвп йакажемкив.
Использование:
handle [[
a] [
u] | [
c <делдквймик> [
y]] | [
s]] [
<вжщ_йкирелла>|> [вжщ]
Вхвид лведезвг иби влеп мвйап делдквймикив, а зе миецди и меп вб звп,
димикхе ллхеашмлщ за оагех. Д дкнгвж мвйаж делдквймикив имзилщмлщ йикмх,
кабдеех кеелмка, чеежезмх лвзпкизвбарвв, йимидв в йкиреллх.
Задкхваем ндабаззхг делдквймик (димикхг бадае
млщ в телмзадрамеквсзиж
оикжаме). Зеибпидвжи ндабамц йкирелл л йижиуцш еги вдезмвовдамика PID.
ВЗВМАЗВЕ! Задкхмве делдквймикив жиаем йкввелмв д зелмабвецзиг кабиме
йквеиаезвг вев лвлмежх.
Зе байкатввамц йидмвекадезве бадкхмвщ делдквймика.
Вхвидвм
ц свлеи имдкхмхп делдквймикив даадиги мвйа.
Пкв йивлде делдквймикив йидабхвамц вжщ йиецбивамеещ
веадеецра.
21
Вжелми йкивекдв влеп делдквймикив в лвлмеже йкв ндабазвв чмиги
йакажемка йкигкажжа Handle вуем миецди ме йкиреллх, вжщ димикхп засвзаемлщ
и лмкидв «вжщ_йкирелла».
Тад, дижазда handle
p exp
йидабхваем имдкхмхе оагех дещ влеп йкиреллив,
вжщ димикхп засвзаемлщ л «exp», зайквжек дещ йкирелла Explorer.
Вжщ
Чмим йакажемк йибвиещем залмкивмц йкигкажжн Handle за йивлд ллхеид за
ибфедм л ндаба
ззхж вжезеж. Зайквжек, елев мкебнемлщ нбзамц, дадиг йкирелл
(елев мадивиг вжеемлщ) имдкхе дамаеиг «c:
windows
system32», чми жиази
лдееамц
л
йижиуцш
леедншуег
дижаздх:
handle windows
system
Пкв йивлде лиимвемлмввщ вжезв кегвлмк бндв зе
нсвмхваемлщ, а нда
баззхг в даселмве йакажемка окагжезм вжезв жиаем
йкедлмавещмц либиг ешбнш салмц взмекелншувп вал йнмег.
Вхпидзхе даззхе йкигкажжх Handle
Елев йкигкажжа запидвмлщ зе в кеавже йивлда (димикхг жиази вдешсвмц,
ндабав в даселмве йакажемка окагжезм вжезв), ее
вхпидзхе даззхе лилмищм вб
зелдиецдвп кабдееив, в даадиж вб димикхп йекесвлеезх лведезвщ и
делдквймикап идзиги йкирелла. В даселмве кабдеевмеещ влйиецбнемлщ
йнздмвкзащ евзвщ, йид димикиг имибкааашмлщ вжщ йкирелла в еги
вдезмвовдамик (PID). Пилее вжезв йкир
елла вхвидвмлщ лйвлид, в даадиг
лмкиде димикиги йидабази бзасезве делдквймика (в телмзадрамеквсзиж
оикжаме), мвй ибфедма, димикижн из лиимвемлмвнем, а мадае вжщ ибфедма (елев
мадивие вжеемлщ).
В кеавже йивлда йкигкажжа Handle вхвидвм в еевиг салмв идза вже
за в
вдезмвовдамикх йкиреллив, а в йкавиг
вжеза ибфедмив, лиимвемлмвншуве
ндабаззижн в йакажемке окагжезмн.
22. Hex2dec
Пкигкажжа дизвекмвкнем телмзадрамеквсзхе свлеа в делщмвсзхе в заибиким.
Использование:
HEX2DEC [телмзадрамеквсзхг | делщмвсзхе]
Удаавм
е телмзадрамеквсзие бзасезве.
зайквжек, смибх йекевелмв 1233
делщмвсзие в телмзадрамеквсзие: HEX2DEC 1233
, зайквжек, смибх йекевелмв
0x1233 делщмвсзиг в телмзадрамеквсзнш: HEX2DEC 0x1233
23. Junction 1.05
Либдазве лвжвиевселдвп ллхеид NTFS в лкеде Win2K
В Windows 2000 в йилеедншувп веклвщп ИЛ йиддекаввашмлщ лвжвиевселдве
ллхедв за дамаеигв
взхжв леиважв, идвз дамаеиг дижйцшмека жиаем
влйиезщмц киец лвжвиевселдиг ллхедв за дкнгиг дамаеиг. Д йквжекн, елев в
лвиглмвап дамаеига D:
SYMLINK ндабаз рееевиг ибф
едм C:
WINNT
SYSTEM32, ми
ешбие йквеиаезве, ибкауашуеелщ д D:
SYMLINK
DRIVERS, за лажиж деее
йиенсаем дилмнй д C:
WINNT
SYSTEM32
DRIVERS. Лвжвиевселдве ллхедв за
дамаеигв в мекжвзиеигвв Windows забхвашмлщ мисдажв лиедвзезвщ NTFS. Д
лиааеезвш, в лилмаве ИЛ
Windows зе йкеднлжимкезх лкедлмва либдазвщ мисед
лиедвзезвщ
йквпидвмлщ йиднйамц дижйеедм Win2K Resource Kit, в димикиж
елмц лйерваецзащ йкигкажжа linkd. Пи чмиг йквсвзе щ кетве либдамц
либлмвеззнш йкигкажжн дещ либдазвщ мисед лиедвзезвщ
Junction. Пкигк
ажжа
Junction йибвиещем зе миецди либдавамц мисдв лиедвзезвщ NTFS, зи в йкивекщмц,
влйиезщшм ев ме вев взхе оагех в дамаеигв киец мисед йивмикзиг ибкабимдв.
Тисдв йивмикзиг ибкабимдв
чми жепазвбж, за илзиве димикиги кеаевбншмлщ
мисдв лиедвзезвщ NTFS. Дки
же миги, мисдв йивмикзиг ибкабимдв бадеглмвншмлщ
ленабиг лфежзхп зилвмееег Windows (RSS) в мисдажв йиддешсезвщ мижив.
22
Либдазве мисед лиедвзезвщ л дамаеигажв, калйиеиаеззхжв в ндаееззхп ибувп
йайдап, в лкеде Windows зе йиддекавваемлщ.
Дещ йкилжимка лведезвщ
и йивмикзиг ибкабимде вхбиввме йкигкажжн Junction
леедншувж ибкабиж.
Синтаксис:
junction [
s] <вжщ дамаеига вев оагеа>
Реднклвщ йиддамаеигив.
Смибх либдамц вев ндаевмц мисдн лиедвзезвщ, байнлмвме йкигкажжн Junction
мад.
Синтаксис:
junction [
d] <дама
еиг л мисдиг лиедвзезвщ> [<ибфедм
лиедвзезвщ>]
Смибх ндаевмц мисдн лиедвзезвщ, влйиецбнгме йакажемк
d в ндаавме вжщ чмиг
мисдв.
24. LDMDump
Пибвиещем вхгкнаамц вб йажщмв лидекавжие БД двлйемсека еигвселдвп двлдив,
в димикиг ийвлхваемлщ лпежа кабжемдв двза
жвселдвп двлдив Windows 2000.
В ИЛ Windows 2000 кеаевбиваз зивхг мвй лпежх кабжемдв двлдив, димикащ
нйкавещемлщ дижйизезмиж йид вжезеж двлйемсека еигвселдвп двлдив (LDM). В
бабивхп двлдап йквжезщшмлщ лмаздакмзхе мабеврх кабдееив, нзалеедиваззхе
им DOS, а в
двзажвселдвп двлдап
LDM. Рабжемда двлдив LDM ибеадаем кщдиж
йкевжнуелмв йи лкавзезвш л кабжемдиг DOS, лкедв димикхп
кейевдарвщ за
зелдиецдвп двлдап в пказезве за двлдап дийиезвмеецзхп даззхп
дизовгнкарвв мижив (дещ оикжвкивазвщ лилмавзхп, бекдаецзхп в
екедншувплщ мижив, а мадае мижив RAID
5). Биеее йидкибзи чмв лпежх
кабжемдв ийвлазх в жиег лмамце вб двнп салмег и лкедлмвап нйкавеезвщ
зилвмеещжв в Windows NT/2000 (анкзае Windows 2000 Magazine, жакм
айкеец).
Пижвжи илзалмдв MMC «Уйкавеезве двлдажв» в нмв
евмх dmdiag вб дижйеедма
Windows 2000 Resource Kit, лкедлмв азаевба взнмкеззвп пакадмеквлмвд
двлдивиг бабх даззхп LDM, ийвлхвашуег лпежн кабжемдв в лвлмеже, зе
лнуелмвнем. Пкигкажжа LDMDump йкедзабзасеза дещ азаевба лидекавжиги
дийвв лвлмежзиг БД LDM, пказ
щуеглщ за двлде. Пкигкажжа LDMDump вхвидвм
лидекавжие салмзиги багиеивда БД LDM, лидекаазвщ в бабх даззхп ибфедмив
(в димикиг пказщмлщ ийкедееезвщ кабдееив, дижйизезмив в мижив) в лнжжвкнем
ибзакнаеззхе даззхе в ввде мабеврх кабдееив в йекесзщ мижив.
LDMDu
mp кабимаем в лкеде Windows 2000.
Установка и применение
Дещ байнлда йкигкажжх LDMDump дилмамисзи йекедамц ег вдезмвовдамик
двлда.
Синтаксис
: ldmdump [
Вхвид лйвлда йиддекавваежхп йакажемкив в едвзвр вбжекезвщ дещ вхвида
даззхп.
d#
Зижек двлд
а, димикхг йкигкажжа LDMDump диеаза йкиазаевбвкивамц. Д
йквжекн, йкв вхбиве дижаздх «ldmdump /d0» йкигкажжа LDMDump вхвидвм
даззхе вб бабх LDM, пказщуеглщ за двлде
0.
25. ListDLLs
Пкигкажжа ListDLLs имибкаааем йиезхе йнмв д оагеаж багкнаеззхп жиднеег, а
миецди зейилкедлмвеззи вжеза жиднеег. Пижвжи чмиги иза йижесаем
багкнаеззхе бвбевимедв DLL, веклвщ димикхп имевсаемлщ им веклвв дийвв
бвбевимедв за двлде (мадие ибхсзи вибзвдаем в ленсае ибзивеезвщ оагеа
23
бвбевимедв йилее миги, дад иза бхеа багкнаеза) в нд
абхваем, дадве
бвбевимедв DLL бхев йекежеуезх, йимижн сми багкнааевлц зе йи лвиежн
бабивижн адкелн.
Установка
Пкилми лдийвкнгме йкигкажжн ListDLLs в ешбнш вб йайид, в димикхп лвлмежа
вуем влйиезщежхе оагех, а бамеж введвме «listdlls».
Пкигкажжа ListDLLs
кабимаем в ийекарвиззхп лвлмежап Windows 9x, NT 3.51, NT
4.0 в Win2K.
26. LiveKd
Пкигкажжа LiveKD йибвиещем байнлдамц имеадсвдв щдка Microsoft Kd в Windbg,
впидщуве в
йадем взлмкнжезмив имеаддв дещ ИЛ Windows
, в деглмвншуег
лвлмеже в еидаецзиж кеавже. Дещ
нгенбееззиги азаевба лвлмежх знази
байнлмвмц вле дижаздх имеадсвда, кабимашуве л оагеажв аваквгзхп дийвг
йажщмв. Взлмкндрвв йи вллеедивазвш лвлмежх йилкедлмвиж имеадсвдив щдка
вжешмлщ в диднжезмарвв йи взлмкнжезмаж имеаддв дещ Windows, а мадае в
затег дзвг
Пилеедзве веклвв имеадсвдив Windbg в Kd йкв кабиме в лкедап Windows XP в
Server 2003 вжешм ви жзигиж лпиаве л йкигкажжиг LiveKD забикх онздрвг,
идзади йилеедзщщ деглмвнем ви влеп ИЛ им NT 4 ди Server 2003, в миж свлее в
веклвщп Windows x64, в дкиже миги
, йкедилмавещем биеее лекцебзхе
вибжиазилмв, лвщбаззхе, в салмзилмв, л йкилжимкиж лмедив йимидив йкв йижиув
дижаздх !thread; чмв иблмищмеецлмва вхгидзи имевсашм ее им азаеигвсзхп
лкедлмв двзажвселдиг имеаддв щдка, йкеднлжимкеззхп в Windbg в Kd.
Установка
йеквнш исекедц багкнбвме в нлмазиввме йадем взлмкнжезмив имеаддв дещ
Windows л веб
нбеа дикйикарвв Магдкилиом.
Пкв нлеиввв кабжеуезвщ чмвп взлмкнжезмив в йкедеиаеззиж йи нжиесазвш
дамаеиге
Program Files
Microsoft
Debugging Tools for Windows йкигкажжн Li
veKD
жиази бндем байнлдамц вб ешбиги дамаеига; в йкимввзиж ленсае ее йквдемлщ
лдийвкивамц в дамаеиг нлмазивдв йадема взлмкнжезмив.
Елев лвжвиех, йидпидщуве дещ лвлмежх, в димикиг йкедйиеагаемлщ влйиезщмц
йкигкажжн LiveKD, зе нлмазивеезх, LiveKD вхведем йке
деиаезве
авмижамвселдв залмкивмц в лвлмеже ибкауезве д леквекн лвжвиеив дикйикарвв
Магдкилиом (лведезвщ и лвжвиецзхп оагеап в леквеке лвжвиеив Магдкилиом
лж. в диднжезмарвв йи йадемн взлмкнжезмив имеаддв дещ Windows).
Пквжесазве. Имеадсвд Microsoft вхведем
лиибуезве и зевибжиазилмв
ибзакнавмц лвжвиех дещ оагеа LIVEKDD.SYS. Я деглмввмеецзи зе йидгимивве
лвжвиех дещ LIVEKDD.SYS, йичмижн мадие йиведезве имеадсвда лсвмаемлщ
зикжаецзхж в зе вевщем за еги кабимн.
Применение
Синтаксис:
livekd [
w] [
d] [
k ] [йака
жемкх имеадсвда]
Влйиезезве windbg вжелми Kd (йи нжиесазвш йквжезщемлщ Kd)
Зайнлд азаевба Dumpchk вжелми Kd (йи нжиесазвш йквжезщемлщ Kd)
Удабазве йиезиги йнмв в вжезв оагеа ибкаба имеадсвда, димикхг
йкедйиеагаемлщ байнлмвмц
24
Вле йкисве йакаж
емкх йекедашмлщ имеадсвдн Kd/Windbg/Dumpchk.
Пквжесазве. Смибх бадкхмц в йекебайнлмвмц имеадсвд в ленсае еги баввлазвщ
заажвме лисемазве деаввт CTRL+BREAK.
27. LoadOrder
Чма йкигкажжа йидабхваем йикщдид багкнбдв дкагвекив нлмкиглмв в ИЛ
Windows NT вев Wind
ows 2000. Лееднем вжемц в ввдн, сми в ИЛ Windows 2000
йилеедивамеецзилмц багкнбдв дкагвекив нлмкиглмв Plug and Play жиаем
имевсамцлщ им калсемзиг, йилдиецдн изв багкнаашмлщ йи мкебивазвш в пиде
ибзакнаезвщ в йекесвлеезвщ нлмкиглмв.
28. LogonSessions
Пкигка
жжа вхвидвм лйвлид леазлив впида в лвлмежн, адмввзхп в даззхг
жижезм, а мадае (елев бадаз йакажемк
p) йкиреллив, влйиезщежхп в каждап
даадиги вб чмвп леазлив. Пкигкажжа LogonSessions кабимаем в лкеде Windows
2000 в в йилеедншувп веклвщп чмиг ИЛ.
Синтаксис
logonsessions
-p]
29. NTFSInfo
NTFSInfo
чми зебиецтащ йкигкажжа, вхвидщуащ лведезвщ и мижап NTFS. В ее
вхпидзхп даззхп вжешмлщ лведезвщ и кабжеке деалмекив двлда, калйиеиаезвв
илзивзхп оагеив NTFS в кабжеке вжешувплщ в лилмаве мижа оагеив
жемадаззхп N
TFS. Дад йкаввеи, чма взоикжарвщ лдикее взмекелза, сеж
йиеебза, зи зедимикхе даззхе, вхвидвжхе NTFSInfo, деглмввмеецзи лмищм миги,
смибх ибкамвмц за звп взвжазве. Д йквжекн, вх, завекзие, лехтаев и миж, сми
в NTFS вжеемлщ азаеиг мабеврх кабжеуезвщ оагеив,
йквжезщежиг в оагеивиг
лвлмеже FAT. Иза забхваемлщ илзивзиг мабеврег оагеив (MFT) в лилмивм вб
байвлег йилмищззиги кабжека, димикхе ийвлхвашм калйиеиаезве влеп оагеив в
дамаеигив за двлде. Взмекелзи, сми MFT ведемлщ в ввде оагеа, димикхг звсеж
зе имевсаемл
щ им жзигвп дкнгвп. Пижвжи ийкедееезвщ кабжека деалмекив в
байвлег MFT мижа, йкигкажжа NTFSInfo ндабхваем калйиеиаезве (деалмек)
мабеврх MFT за двлде в ее кабжек. В реещп баувмх мабеврх MFT им
окагжезмарвв в оагеивиг лвлмеже NTFS кебекввкнемлщ лжеазащ л зе
г ибеалмц
двлда, димикащ лмазиввмлщ дилмнйза дещ кабжеуезвщ дкнгвп оагеив миецди в
нлеиввщп зепвамдв йкилмказлмва. Чма ибеалмц забхваемлщ бизиг MFT, а
йкигкажжа NTFSInfo лиибуаем и ее желмийиеиаезвв за двлде в ибфеже
бакебекввкиваззиги дещ ее кабжеуезвщ дв
лдивиги йкилмказлмва.
Сми ндвввмеецзи, зе миецди мабевра MFT, зи в вле жемадаззхе NTFS пказщмлщ в
ввде оагеив. Д йквжекн, лнуелмвнем оаге $Boot, имибкааеззхг за
багкнбисзхг ледмик двлда. Табевра деалмекив мижа лийкивиадаемлщ в дкнгиж
оагее
$Bitmap. Чмв о
агех запидщмлщ зейилкедлмвеззи в дикзевиж дамаеиге
NTFS, зи, зе бзащ чмиги, нввдемц вп зеецбщ. Пийкибнгме ввелмв в дикзевиж
дамаеиге мижа NTFS дижаздн «dir /ah $boot», в вх лжиаеме нбедвмцлщ в заевсвв
оагеа $boot. Пкигкажжа NTFSInfo вхйиезщем деглмввщ, аза
еигвсзхе дижазде
"dir /ah", ндабхващ вжеза в кабжекх влеп оагеив жемадаззхп NTFS (веклвг
3.51 в 4.0).
Пкедйиеагаеилц, сми йкигкажжа NTFSInfo вхгдем вжелме л жиег диеиздиг
«Взнмкеззее нлмкиглмви NT» в щзваклдиж вхйнлде анкзаеа Windows NT
Magazine ба 1998 ги
д, йилвщуеззиг ийвлазвш взнмкеззвп лмкндмнк даззхп
NTFS.
25
Установка и применение
NTFSInfo кабимаем ви влеп веклвщп NTFS, идзади оагех жемадаззхп,
кеаевбиваззхе в веклвв NTFS дещ Windows NT 5.0, в зег еуе зе
байкигкажжвкивазх. Дещ кабимх л йкигкажжиг NTFSInf
o зеибпидвжх
йквввеегвв аджвзвлмкамика. Дещ вхбива йкигкажжх введвме дижаздн
«NTFSInfo x», где «x» лееднем бажезвмц бндвиг мижа NTFS, димикхг
йкедйиеагаемлщ йкиазаевбвкивамц.
Принцип работы
Пкигкажжа NTFSInfo влйиецбнем зедиднжезмвкиваззхг вхбив нйкавеезвщ
оагеивиг лвлмежиг (FSCTL), димикхг йибвиещем йкигкажже вбвеедамц вб NTFS
даззхе и мижап. Взоикжарвщ вхвидвмлщ вжелме л лидекавжхж дамаеига л
оагеажв жемадаззхп NTFS.
30. PageDefrag
Идвз вб зедилмамдив взмекоегла деокагжезмарвв Windows NT/2000
бадешсаемлщ
в миж, сми из зе йибвиещем йкивидвмц деокагжезмарвш оагеив,
имдкхмхп в кеавже жизийиецзиги дилмнйа. Вб
ба чмиги лмаздакмзхе йкигкажжх
деокагжезмарвв зе жигнм зв йидабхвамц лмейезц окагжезмарвв оагеив
йиддасдв в днлмив кеелмка, зв деокагжезмвкивамц вп. Окаг
жезмарвщ оагеив
йиддасдв в кеелмка
идза вб лажхп лнуелмвеззхп йквсвз лзваезвщ
йкивбвидвмеецзилмв в ленсае окагжезмарвв даззхп в лвлмеже.
Лйерваецзхе жемидвдв, кеаевбиваззхе в йкигкажже PageDefrag,
йкедилмавещшм вибжиазилмц, зедилмнйзнш дещ дижжекселдвп к
етезвг. Ресц
вдем и йкилжимке лмейезв окагжезмарвв оагеив йиддасдв в днлмив кеелмка, а
мадае вп деокагжезмарвв. Дкиже миги, чма йкигкажжа йкивидвм
деокагжезмарвш оагеив анкзаеив либхмвг в оагеив лйщуеги кеавжа в
Windows 2000/XP (в звп йкв йекепиде йикмамвв
зиги дижйцшмека в лйщувг
кеавж липказщемлщ лидекавжие лвлмежзиг йажщмв).
Пкигкажжа PageDefrag кабимаем в ИЛ Windows NT 4.0, Windows 2000, Windows
XP в Server 2003.
Установка и применение
Пкв байнлде йкигкажжх PageDefrag (pagedfrg.exe) вх нввдвме лйвлид л
дабазвеж свлеа деалмекив, в димикхп кабжеуашмлщ оагех йиддасдв, анкзае
либхмвг в днлмх кеелмка (SAM, SYSTEM, SYSTEM.ALT, SECURITY, SOFTWARE,
.DEFAULT), а мадае диевселмва окагжезмив, за димикхе чмв оагех кабдееезх.
Елев, йи ватежн жзезвш, лмивм йкедйквзщмц
йийхмдн деокагжезмвкивамц чмв
оагех вев елев вх зажекезх йкивидвмц вп деокагжезмарвш йкв даадиг
багкнбде лвлмежх, нлмазиввме йекедешсамеец в лиимвемлмвншуее йиеиаезве в
заажвме дзийдн OK.
Елев йкигкажже PageDefrag йилмнйаем дижазда йкивелмв деокагжезмарвш
, иза
йкедйквзвжаем йийхмдн ее вхйиезезвщ йкв леедншуег багкнбде лвлмежх.
Лкабн йилее йкивекдв аелмдвп двлдив нмвевмиг CHKDSK йкигкажжа PageDefrag
вхйиезщем деокагжезмарвш йкв йижиув лмаздакмзхп API
взмекоеглив
деокагжезмарвв оагеив (диднжезмарвш йи чмвж A
PI лж. за жиег лмказвре
Улмкиглмви деокагжезмарвв двлдив Windows NT
). Пи жеке ибкабимдв оагеив
PageDefrag вхвидвм за чдказе багкнбдв вп вжеза в лведезвщ и кебнецмаме
деокагжезмарвв. Елев окагжезмарвщ нлйетзи лидкауеза, йкигкажжа вхвидвм
свлеи деалмекив, ба
зщмхп оагеиж ди ибкабимдв, в свлеи деалмекив йилее
деокагжезмарвв.
26
В зедимикхп ленсащп йкигкажже PageDefrag зе ндаемлщ лидкамвмц
окагжезмарвш идзиги вев зелдиецдвп оагеив; в мадиж ленсае за лвзеж чдказе
багкнбдв вхвидвмлщ лиимвемлмвншуее ийивеуезве. Вибжиа
зхе йквсвзх
зендасзхп йийхмид деокагжезмарвв
зепвамда лвибидзиги двлдивиги
йкилмказлмва в вхлидащ лмейезц окагжезмарвв вжешуегилщ лвибидзиги
йкилмказлмва. Дещ дилмваезвщ иймвжаецзхп кебнецмамив йкигкажжн PageDefrag
лееднем йквжезщмц в лисемазвв л дижжекс
елдиг нмвевмиг деокагжезмарвв вев л
йкигкажжиг
Contig
Пакажемкх дижаздзиг лмкидв.
Пкигкажжн PageDefrag жиази байнлдамц в зевзмекадмввзиж кеавже, кегневкнщ
залмкигдв л йижиуцш йакажемкив дижаздзиг лмкидв.
Синтаксис:
pagedefrag [
n] [
t <леднздх>]
Деокагжезмарвщ йкв даадиг багкнбде
Идзидкамзащ деокагжезмарвщ
Зайкем деокагжезмарвв
Ибкамзхг имлсем вкежезв в леднздап
31. PendMoves
Зедимикхж йквеиаезвщж (в салмзилмв, влйкавеезвщж в йадемаж ибзивеезвщ)
бхваем знази бажезвмц оаге,
йквжезщежхг в даззхг жижезм. В калсеме за
мадве ленсав в ИЛ Windows йкеднлжимкез йквдеадзиг йкигкажжзхг взмекоегл
MoveFileEx, димикхг йибвиещем вхбхвашуег лмикизе байеазвкивамц
йекевжезивазве вев ндаеезве оагеа йкв леедншуег багкнбде лвлмежх, ди
вхлмкавваз
вщ лвлмежх ллхеид л нсалмвеж чмиги оагеа. Дещ вхйиезезвщ чмиг
ийекарвв двлйемсек леазлив лсвмхваем бакегвлмквкиваззхе дижаздх
йекевжезивазвщ в ндаеезвщ вб бзасезвщ кеелмка
HKLM
System
CurrentControlSet
Control
Session
Manager
PendingFileRenameOperations.
ми йквеиаезве вхвидвм вб йажщмв лидекавжие ибкабамхваежиги бзасезвщ
ийекарвв йекевжезивазвщ вев ндаеезвщ, а в ленсае зедилмнйзилмв влпидзиги
оагеа лилмавещем имсем иб итвбде. Вим йквжек вхпидзхп даззхп; в даззиж
ленсае йеазвкнемлщ ндаеезве йкв леедншуег йе
кебагкнбде вкежеззиги оагеа
нлмазивдв:
32. PipeList
Имибкаааем вжезиваззхе дазаех в ватег лвлмеже, в миж свлее жадлвжаецзие
диевселмви чдбежйещкив дещ даадиги дазаеа.
33. Portmon for Windows v3.02
Пкигкажжа Portmon йкедзабзасеза дещ имлееаввазвщ в имибкаа
езвщ влег
адмввзилмв йилеедивамеецзхп в йакаеееецзхп йикмив в лвлмеже. Беагидакщ
лвивж бигамхж вибжиазилмщж овецмкарвв в йивлда чма йкигкажжа щвещемлщ
жиузхж взлмкнжезмиж дещ вбнсезвщ йквзрвйив кабимх ИЛ Windows,
имлееаввазвщ влйиецбивазвщ йикмив йквеиаезв
щжв в ибзакнаезвщ йкибееж в
дизовгнкарвщп лвлмежх в йквеиаезвг.
Пкигкажжа Portmon кабимаем в ийекарвиззхп лвлмежап Windows NT 4.0,
Windows 2000, XP в Server 2003, а мадае в Windows 95 в Windows 98.
В веклвв 3.x йкигкажжх Portmon бхе йкедлмавеез кщд жиузхп
вибжиазилмег.
Удаееззие имлееаввазве: лбик имеадисзиг взоикжарвв кеавжа щдка в Win32 л
ешбиги дижйцшмека, дилмнйзиги йи йкимидиен TCP/IP, даае секеб лемц
Взмекзем. Миази идзивкежеззи имлееаввамц зелдиецди ндаееззхп
27
дижйцшмекив. В ленсае, елев лбик даззхп б
ндем йкивбвидвмцлщ л дижйцшмекив
йид нйкавеезвеж ИЛ Windows NT/2K в йекедавамцлщ за дижйцшмек л ИЛ
Windows NT/2K в йкедееап лемевиги идкнаезвщ, йкигкажжа Portmon
лажилмищмеецзи нлмазиввм девезмлднш салмц за ндаееззхе дижйцшмекх.
Лйвлдв зедавзи влйиецбивазз
хп овецмкив: вибжиазилмв йкигкажжх Portmon
бхев калтвкезх жиузхжв лкедлмважв овецмкарвв. В йкигкажже байижвзашмлщ
зедавзи влйиецбиваззхе овецмкх, в йиецбивамеецлдвг взмекоегл йибвиещем
еегди вхбвкамц вп лзива.
Дийвкивазве в бноек ибжеза: жиази вхдеевмц
зелдиецди лмкид вб идза л
кебнецмамажв в лдийвкивамц вп лидекавжие в бноек ибжеза.
Вхдееезве рвемиж: жиази бадаззхжв рвемажв вхдеевмц имеадисзнш
взоикжарвш в лиимвемлмввв л залмкигдажв овецмка вхдееезвщ.
Зайвлц анкзаеа кабимх в оаге: имеадисзнш взоикжарвш
жиази йи жеке ее
лбика байвлхвамц в оаге.
Песамц: жиази зайесамамц за йквзмеке влш имеадисзнш взоикжарвш вев ее
салмц.
Идвз оаге: йкигкажжа Portmon мейекц кеаевбиваза в ввде идзиги оагеа.
Установка и использование
Дилмамисзи байнлмвмц йкигкажжн Portmon (po
rtmon.exe), в иза зежедееззи
засзем либвкамц имеадисзнш взоикжарвш. Смибх влйиецбивамц йкигкажжн
Portmon в ИЛ Windows 95 зеибпидвжи багкнбвмц л лагма Магдкилиом в
нлмазиввмц ибзивеезве бвбевимедв
WinSock2
. Дещ байнлда йкигкажжх Portmon в
ИЛ Windows NT/2K з
еибпидвжх йкава аджвзвлмкамика, а оаге portmon.exe зе
диеаез бхмц калйиеиаез за лемевиж двлде. Л йижиуцш йнздмив жезш, гикщсвп
деаввт в дзийид йазеев взлмкнжезмив жиази исвуамц идзи л кебнецмамажв,
липказвмц либказзхе даззхе в оаге, илнуелмвещмц йивлд в ли
бказзхп даззхп,
вбжезвмц тквом, а мадае илнуелмвещмц дкнгве деглмввщ. В веб
лйкавде
ийвлазх вле вибжиазилмв йкигкажжх Portmon.
Пкигкажжа Portmon йиддекавваем вле дижаздх нйкавеезвщ (IOCTL)
йилеедивамеецзхжв в йакаеееецзхжв йикмажв в илнуелмвещем вхвид вхби
вив
чмвп дижазд, а мадае дийиезвмеецзиг йиеебзиг взоикжарвв, вжешуег
имзитезве д лвщбаззхж л чмвжв дижаздажв йакажемкаж. Дещ байкилив смезвщ в
байвлв йкигкажжа Portmon вхвидвм йеквхе зелдиецди багм вб бноека, бажезщщ
вле зейесамаежхе лвжвиех лвжвиеиж '.'.
Пнздм жезш «Имибкааамц бзасезвщ
Hex» йибвиещем йекедешсамцлщ жеадн ASCII в телмзадрамеквсзхж кеавжажв
имибкааезвщ даззхп вб бноека.
Принцип работы программы:
ОС WinbT
Гкаовселдвг йиецбивамеецлдвг взмекоегл йкигкажжх Portmon имвесаем ба
ийкедееезве йилеедив
амеецзхп в йакаеееецзхп йикмив. Взоикжарвщ и
йилеедивамеецзхп йикмап бекемлщ вб кабдееа кеелмка
HKEY_LOCAL_MACHINE
Hardware
DeviceMap
SerialComm, а и йакаеееецзхп
йикмап
вб кабдееа HKEY_LOCAL_MACHINE
Hardware
DeviceMap
Parallel Ports.
В чмвп кабдееап лид
екавмлщ лиимвемлмвве вжез, дилмнйзхп л йижиуцш вхбивив
Win32, вжезаж нлмкиглмв йилеедивамеецзхп в йакаеееецзхп йикмив.
Пилее вхбика йикма дещ имлееаввазвщ йкигкажжа Portmon имйкавещем байкил
дкагвекн нлмкиглмва. Чмим байкил лидекавм NT
вжщ мкебнежиги нлмки
глмва
(зайквжек,
device
serial0). Дкагвек влйиецбнем лмаздакмзхе овецмкншуве
йкигкажжзхе взмекоеглх в йквлиедвзщем лвиг либлмвеззхг овецмкншувг
ибфедм нлмкиглмва д мкебнежижн ибфедмн нлмкиглмва. Лзасаеа л йижиуцш
28
вхбива онздрвв ZwCreateFile имдкхваемлщ мк
ебнежие нлмкиглмви. Пиенсеззхг
делдквймик йкеибкабнемлщ в ндабамеец за ибфедм нлмкиглмва. Пилее либдазвщ
либлмвеззиги овецмкншуеги ибфедма нлмкиглмва, димикхг лиимвемлмвнем
пакадмеквлмвдаж мкебнежиги нлмкиглмва, дкагвек нлмазавевваем чмим овецмк л
йижиуцш
вхбива онздрвв IoAttachDeviceByPointer. Засвзащ л чмиги жижезма,
дкагвек йкигкажжх Portmon бндем ввдемц вле байкилх, адкеливаззхе чмижн
нлмкиглмвн.
В йкигкажжн Portmon вдешсеза йиддекада влеп лмаздакмзхп дижазд
нйкавеезвщ IOCTL йилеедивамеецзхжв в йакаееее
цзхжв йикмажв. В
биецтвзлмве ленсае дещ залмкигдв в смезвщ взоикжарвв и лилмищзвв вб йикмив
в йквеиаезвщп в дкагвекап влйиецбншмлщ вжеззи чмв дижаздх. Изв
ийкедееезх в оагеап
ddk
src
comm
inc
ntddser.h в
ddk
src
comm
inc
ntddpar.h вб йадема DDK. Зедимикх
е вб звп
диднжезмвкивазх в йадеме DD
Принцип работы программы:
ОС Win9x
В ИЛ Windows 95 в 98 гкаовселдвг йиецбивамеецлдвг взмекоегл йкигкажжх
Portmon илнуелмвещем лбик даззхп иб адмввзилмв йилеедивамеецзхп в
йакаеееецзхп йикмив л йижиуцш двзажвселдв багкна
аежиги VxD
дкагвека. В
йквеиаезвщп, в димикхп илнуелмвещемлщ зейкщжиг дилмнй д йилеедивамеецзхж
в йакаеееецзхж йикмаж, влйиецбнемлщ дкагвек нлмкиглмва ввкмнаецзхп
йиддешсезвг Windows VCOMM. VxD
дкагвек йкигкажжх Portmon влйиецбнем
лмаздакмзие VxD
йиддешсез
ве д ленабаж дещ йекепвама вхбивив влеп
онздрвг, илнуелмвещшувп дилмнй д дкагвекн VCOMM. Азаеигвсзи NT
дкагвекн
VxD
дкагвек йкигкажжх Portmon йекепвамхваем байкилх в имибкаааем вп в
ндибзиж оикжаме. В имевсве им ИЛ WinNT, в ИЛ Win9x имлнмлмвнем вибжиазилмц
вхбика йикма. Пкигкажжа Portmon имлееавваем лкабн вле йикмх.
34. ProcDump
ProcDump
нмвевма дижаздзиг лмкидв, димикащ жиаем йекепвамхвамц дажйх
йкирелла в баввлвжилмв им кебнецмамив дещмеецзилмв вев йиведезвщ мквггекив.
Л йижиуцш ProcDump жиази ндабамц,
лдиецди келнклив резмкаецзиги
йкиреллика диеаез базвжамц йкирелл в, дадие вкежщ диеази йкигмв, йкеаде
сеж ProcDump либдалм дажй йкирелла. Аджвзвлмкамикн зе ибщбамеецзи
йквлнмлмвивамц н дизлиев, смибх вхдамц дижаздн, дигда йкирелл в исекедзиг
каб йивхлвм за
гкнбдн за резмкаецзхг йкиреллик. Зеибпидвжи ийкедеевмц
йикиг йимкебеезвщ келнклив резмкаецзиги йкиреллика, йкеаде сеж ProcDump
лоикжвкнем дажй йкирелла.
Зайквжек, бажесези, сми wmiprvse.exe (йкирелл WMI Provider Host) в
йкивбвиецзхе жижезмх вкежезв базвжае
м ди 90% келнклив резмкаецзиги
йкиреллика, в знази йиенсвмц зелдиецди дажйив дещ азаевба. Леедншуащ
дижазда байвлхваем дажй йкирелла двлйемсека исекедв йесамв мкв каба, дигда
йимкебеезве келнклив резмкаецзиги йкиреллика йкигкажжиг wmiprvse.exe
дилмвгаем ве
в йкевхтаем 90% в месезве мкеп леднзд, в липказщем дажй в
баказее йидгимивееззиж дамаеиге c:procdumps:
c:procdump.exe
c 80
3 wmiprvse.exe c:procdumps
Пакажемк
c бадаем йикиг загкнбдв резмкаецзиги йкиреллика. Пакажемк
ндабхваем, в месезве дадиг
и вкежезв ленаба диеаза базвжамц келнклх
резмкаецзиги йкиреллика за йикигивиж нкивзе, йкеаде сеж засземлщ
оикжвкивазве дажйа. Пакажемк
n ндабхваем, лдиецди дажйив знази либдамц, а
wmiprvse.exe
вжщ йкирелла, димикхг йкедлмивм имлееаввамц.
29
Пичмижн в йкед
телмвншуег дижазде дажй дещ ленабх WMI Provider Host бндем
байвлхвамцлщ даадхг каб, дигда йкирелл базвжаем биеее 80% келнклив
резмкаецзиги йкиреллика в месезве мкеп в биеее леднзд. Оагех дажйив бнднм
пказвмцлщ в дамаеиге c:procdumps. Вжщ оагеаж дажйив забз
асаемлщ в оикжаме
ВМЯПРИРЕЛЛА_ДАТА_ВРЕМЯ.dmp; беагидакщ вкежеззиг жемде еегди
вдезмвоврвкивамц оагех, байвлаззхе в месезве зелдиецдвп дзег. Дкнгащ
илибеззилмц ProcDump бадешсаемлщ в миж, сми йимид, базвжашувг биецте
влеги келнклив резмкаецзиги йкиреллика,
байвлхваемлщ в оаге дажйа, йичмижн,
имдкхващ дажй, йиецбивамеец ввдвм лиибуезве и йимиде, базвжашуеж
резмкаецзхг йкиреллик.
Пакажемк ProcDump (
x) ибелйесвваем байнлд йкирелла зейилкедлмвеззи в
имеадсвде. Пакажемк
x вбавжидеглмвнем л кабдееиж кеелмка Imag
e File
Execution Options.
35. Process Explorer
Чма йкигкажжа имибкаааем оагех, кабдеех кеелмка, двзажвселдве бвбевимедв
DLL в йкисве ибфедмх, имдкхмхе вев багкнаеззхе кабевсзхжв йкиреллажв, в
дкнгнш взоикжарвш, маднш дад веадееер йкирелла.
Рабисащ ибеалмц
йкигкажжх Process Explorer лилмивм вб двнп идиз. В векпзеж
идзе имибкаааемлщ лйвлид адмввзхп йкиреллив, вдешсащ вжеза нсемзхп
байвлег, димикхж йквзадееаам чмв йкиреллх. Взоикжарвщ, димикащ
имибкаааемлщ в звазеж идзе, баввлвм им вхбказзиги кеавжа кабимх
йки
гкажжх. В кеавже делдквймикив в звазеж идзе имибкааашмлщ вле имдкхмхе
делдквймикх вхбказзиги в векпзеж идзе йкирелла, а в кеавже бвбевимед DLL
вле багкнаеззхе йкиреллиж двзажвселдве бвбевимедв в имибкааеззхе в
йажщмц оагех. Пижвжи чмиги в йкигкажже Proce
ss Explorer мадае елмц жиузхе
вибжиазилмв йивлда, беагидакщ димикхж жиази бхлмки нбзамц, н дадиги
йкирелла имдкхм ийкедеееззхг делдквймик вев багкнаеза ийкедеееззащ
бвбевимеда DLL.
Беагидакщ лвивж нзвдаецзхж вибжиазилмщж, йкигкажжа Process Explorer
йиеебза
дещ кабкетезвщ йкибееж л веклвщжв бвбевимед DLL в нмесдажв
делдквймикив, а мадае дещ йизвжазвщ йквзрвйив кабимх ИЛ Windows в
йквеиаезвг.
Пкигкажжа Process Explorer кабимаем в ИЛ Windows 9x/Me, Windows NT 4.0,
Windows 2000, Windows XP, Server 2003, в
64
кабкщдзхп веклвщп Windows дещ
x64 в IA64 йкирелликив, а мадае в ИЛ Windows Vista.
Зивхе вибжиазилмв в веклвв 10.2:
нкивезц беагизадеазилмв Vista, ввкмнаевбиваззхе диеиздв в лвиглмва
йкирелла;
йидйвлаззхг дкагвек дещ 64
кабкщдзиг веклвв ИЛ Vista дещ йкир
елликив x64.
Зивхе вибжиазилмв в веклвв 10.1:
лсемсвдв рвдеив йкиреллив дещ ИЛ Vista в лвиглмвап йкирелла в в ввде
имдеецзиг диеиздв;
йкилжимк в кедадмвкивазве кабкетезвг дещ ленаб;
ибпид нмесед делдквймикив в лкеде вхйиезезвщ .NET;
жзиаелмви зивхп диеизид
ввида
вхвида в лвиглмв йкиреллив;
гкаовдв ибфежив даззхп ввида
вхвида в лвлмеже в имдеецзи дещ даадиги
йкирелла;
пкизиеигвселдвг жвзв
гкаовд ийекарвг ввида
вхвида;
пкизиеигвселдвг жвзв
гкаовд вхдееезвщ йажщмв;
дийиезвмеецзхг пкизиеигвселдвг гкаовд ийекарв
г ввида
вхвида в йазеев
бадас;
30
йиддекада 64
кабкщдзиг веклвв ИЛ Windows дещ йкирелликив Itanium.
36. Process Monitor
Пкигкажжа Process Monitor щвещемлщ нливектезлмвиваззхж взлмкнжезмиж
имлееаввазвщ дещ Windows, димикхг в кеавже кеаецзиги вкежезв имибкаааем
адмввзилмц оагеивиг лвлмежх, кеелмка, а мадае йкиреллив в йимидив. В чмиг
йкигкажже лисемашмлщ вибжиазилмв двнп казее вхйнуеззхп йкигкажж им
Sysinternals: Filemon в Regmon, а мадае игкижзхг кщд ненстезвг, вдешсащ
калтвкеззнш в бебвкедзнш овецмкарвш, влеиб
фежешуве лвиглмва либхмвг,
мадве дад ID леллвг в вжеза йиецбивамееег, дилмивекзнш взоикжарвш и
йкиреллап, йиезиреззхг лмед йимида ли влмкиеззиг йиддекадиг влеп ийекарвг,
идзивкежеззхг байвлц взоикжарвв в оаге в жзигве дкнгве вибжиазилмв. Чмв
нзвдаецзхе виб
жиазилмв дееашм йкигкажжн Process Monitor дешсевхж
взлмкнжезмиж дещ нлмказезвщ зейиеадид в вббавеезвщ им вкедизилзхп
йкигкажж.
Пкигкажжа Process Monitor кабимаем в ИЛ Windows 2000 л йадемиж ибзивеезвг 4
(SP4) л задийвмеецзхж йадемиж ибзивеезвг 1, Windows X
P л йадемиж
ибзивеезвг 2 (SP2), Windows Server 2003 л йадемиж ибзивеезвг 1 (SP1) в
Windows Vista, а мадае x64
веклвв ИЛ Windows XP, Windows Server 2003 л
йадемиж ибзивеезвг 1 (SP1) в Windows Vista.
Пкевжнуелмва йкигкажжх Process Monitor зад йкигкажжажв Fil
emon в Regmon:
Пиецбивамеецлдвг взмекоегл йкигкажжх Process Monitor в йакажемкх лпиав л
взмекоеглиж в йакажемкажв йкигкажж
Filemon
Regmon
, зи в йкигкажже Process
Monitor елмц кщд лнуелмвеззхп ненстезвг, мадвп дад:
имлееаввазве байнлда в бавектезвщ кабимх
йкиреллив в йимидив, вдешсащ
взоикжарвш и диде бавектезвщ;
имлееаввазве багкнбдв ибкабив (бвбевимед DLL в дкагвекив нлмкиглмв,
кабимашувп в кеавже щдка);
биецте либвкаежхп даззхп иб йакажемкап ийекарвг ввида в вхвида;
бебвкедзхе овецмкх йибвиещшм нлмазаве
ввамц овецмкх, димикхе зе бнднм
йкввидвмц д йимеке даззхп;
лбик лмедив йимидив дещ даадиг ийекарвв йибвиещем в биецтвзлмве ленсаев
ийкедеевмц влпидзнш йквсвзн вхйиезезвщ ийекарвв;
дилмивекзхг лбик взоикжарвв и йкиреллап, вдешсащ йнмц д ибкабн йкирелла,
диж
аздзнш лмкидн, а мадае ID йиецбивамеещ в леллвв;
залмкавваежхе в йекежеуаежхе диеиздв дещ даадиги лвиглмва либхмвщ;
овецмкх жиази нлмазиввмц за ешбие йиее л даззхжв, вдешсащ йиещ, димикхе
зе щвещшмлщ диеиздажв;
нливектезлмвиваззащ акпвмедмнка байвлв анкзае
ив калтвкщем вибжиазилмв
йкигкажжх ди делщмдив жвеевизив бакегвлмквкиваззхп либхмвг в гвгабагмив
байвлаззхп даззхп и либхмвщп;
декеви йкиреллив имибкаааем имзитезвщ жеадн влежв йкиреллажв,
йекесвлееззхжв в лведезвщп мкаллвкивдв;
илзивзиг оикжам анкзаеа
липказщем вле даззхе, смибх вп жиази бхеи
багкнбвмц в дкнгиж чдбежйещке йкигкажжх Process Monitor;
йидлдабдв д йкиреллаж дещ йкилмиги йкилжимка взоикжарвв иб ибкабе
йкирелла;
демаецзхе йидлдабдв йибвиещшм йиенсвмц ндибзхг дилмнй д оикжамвкиваззхж
даззхж, д
имикхе зе йижеуашмлщ в диеизде;
йкедкауаежхг йивлд;
байвлц в анкзае влеп ийекарвг ви вкежщ багкнбдв лвлмежх.
31
37. ProcFeatures
ProcessorFeatures
чми йкилмие йквеиаезве, димикие йкв йижиув йквдеадзиги
йкигкажжзиги взмекоегла IsProcessorFeaturePresent ИЛ Wi
ndows нлмазавевваем
йиддекадн йкирелликиж в ИЛ кабевсзхп онздрвг, лкедв димикхп
йкедимвкауезве влйиезезвщ, калтвкезве овбвселдвп адкелив (PAE) в лсемсвд
рвдеив кеаецзиги вкежезв. Ее илзивзащ бадаса
нлмазиввмц, деглмвншм ев в
лвлмеже калтвкезвщ PAE щдка
в йиддекавваемлщ ев баувма им йекейиезезвщ
бноека йнмеж байкема влйиезезвщ.
38. PsExec v1.98
Ленаебзхе йкигкажжх, мадве дад Telnet, в йкигкажжх ндаееззиги нйкавеезвщ,
мадве дад PC Anywhere дижйазвв Symantec, йибвиещшм вхйиезщмц йкигкажжх в
ндаееззхп лвлме
жап, идзади вп зе мад йкилми нлмазиввмц, йилдиецдн мкебнемлщ
нлмазавеввамц еуе в девезмлдие йкигкажжзие ибелйесезве в меп ндаееззхп
лвлмежап, д димикхж зеибпидвжи йиенсвмц дилмнй. Пкигкажжа PsExec
чми
ибеегсеззхг ваквазм Telnet. Иза йибвиещем вхйиезщмц й
киреллх в ндаееззхп
лвлмежап, влйиецбнщ дещ чмиги вле вибжиазилмв взмекадмввзиги взмекоегла
дизлиецзхп йквеиаезвг, в йкв чмиж зем зеибпидвжилмв вкнсзнш нлмазавеввамц
девезмлдие йкигкажжзие ибелйесезве. Илзивзие дилмивзлмви PsExec
чми
вибжиазилмц вхбхвамц
в взмекадмввзиж кеавже взмекоегл дижаздзиг лмкидв в
ндаееззхп лвлмежап в ндаееззи байнлдамц мадве взлмкнжезмх дад IpConfig. Чми
едвзлмвеззхг лйилиб вхвелмв за чдказ еидаецзиги дижйцшмека даззхе иб
ндаееззиг лвлмеже.
Пквжесазве. Зедимикхе азмвввкнлзхе лдаз
екх лиибуашм, сми идза вев
зелдиецди вб чмвп йкигкажж бакааезх ввкнлиж «remote admin». Зв идза вб
йкигкажж, впидщувп в забик PsTools, зе лидекавм ввкнлив, зи изв
влйиецбиваевлц ввкнлажв, сми в йкввидвм д йищвеезвш мадвп йкеднйкеадезвг.
Установка
Пкилми лди
йвкнгме йкигкажжн PsExec в йайдн дещ влйиезщежхп оагеив. Пкв
ввиде дижаздх psexec за чдказ вхвидвмлщ лйкавда и лвзмадлвле дижаздх.
Пкигкажжа PsExec кабимаем в ийекарвиззхп лвлмежап Windows Vista, NT 4.0,
Win2000, Windows XP в Server 2003, в миж свлее в 64
кабкщдзхп веклвщп ИЛ
Использование
psexec [
дижйцшмек[,дижйцшмек2[,...] | @оаге][
u йиецбивамеец [
p йакиец]][
n s][
l][
-x][
i [леазл]][
c [
v]][
w дамаеиг][
d][
<йквиквмем>][
a n,n,...
] йкигкажжа [акгнжезмх]
дижйцшмек
ндабхваем йкигкажже PsE
xec, сми знази байнлмвмц йквеиаезве за
бадаззиж дижйцшмеке вев дижйцшмекап. Елев вжщ дижйцшмека зе ндабази, ми
йкигкажжа PsExec байнлмвм йквеиаезве в еидаецзиг лвлмеже, елев ае вжелми
вжезв дижйцшмека бадаз лвжвие «бвебдисда» (
*), ми йкигкажжа PsExec
бай
нлмвм йквеиаезве за влеп дижйцшмекап меднуеги дижеза.
@оаге
ндабхваем йкигкажже PsExec, сми знази байнлмвмц йквеиаезве за влеп
дижйцшмекап, йекесвлееззхп в бадаззиж медлмивиж оагее.
йкирелликх, за димикхп жиази байнлмвмц йквеиаезве, имдеещшмлщ
байщм
хжв, йкв чмиж йкирелликх знжекншмлщ, засвзащ л 1. Зайквжек, смибх
байнлмвмц йквеиаезве за йкирелликап вмикиж в семвекмиж, введвме «
a 2,4»
ндабаззащ йкигкажжа дийвкнемлщ в ндаееззнш лвлмежн дещ вхйиезезвщ.
Елев чмим йакажемк зе бадаз, ми йквеиаезве ди
еази запидвмцлщ в лвлмежзиг
йайде ндаееззиг лвлмежх.
32
ндабхваем, сми зе знази адамц бавектезвщ йквеиаезвщ. Чмим йакажемк
лееднем влйиецбивамц миецди йкв байнлде зе взмекадмввзхп йквеиаезвг.
ндабаззхг йкиовец нсемзиг байвлв зе багкнааемлщ.
баззащ йкигкажжа дийвкнемлщ в ндаееззнш лвлмежн, даае елев мадиг
оаге в ндаееззиг лвлмеже нае елмц.
байнлдаежащ йкигкажжа йиенсаем дилмнй д кабисежн лмиен ндабаззиги
леазла в ндаееззиг лвлмеже. Елев леазл зе бадаз, ми йкирелл вхйиезщемлщ в
дизлиецзиж
леазле.
йкв байнлде йкирелла йиецбивамееш йкедилмавещшмлщ игказвсеззхе йкава
(йкава гкнййх аджвзвлмкамикив имжезщшмлщ, в йиецбивамееш йкедилмавещшмлщ
миецди йкава, забзасеззхе гкнййе «йиецбивамеев»). В ИЛ Windows Vista
йкирелл байнлдаемлщ л звбдвж нки
взеж беагизадеазилмв.
йибвиещем бадамц бадекадн йиддешсезвщ д ндаееззхж дижйцшмекаж (в
леднздап).
йибвиещем ндабамц зеибщбамеецзхг йакиец дещ вжезв йиецбивамеещ. Елев
чмим йакажемк ийнуез, ми бндем вхдаз байкил за ввид йакиещ, йкв чмиж йакиец
зе
бндем имибкааамцлщ за чдказе.
ндаееззхг йкирелл байнлдаемлщ вб лвлмежзиг нсемзиг байвлв.
йибвиещем ндабамц зеибщбамеецзие вжщ йиецбивамеещ дещ впида в
ндаееззнш лвлмежн.
ндабаззхг оаге дийвкнемлщ в ндаееззнш лвлмежн вжелми нае вжешуегилщ
миецди йкв нлеиввв, сми зижек еги веклвв вхте вев из биеее зивхг.
йибвиещем ндабамц дещ йкирелла кабисвг дамаеиг (йнмц взнмкв ндаееззиг
лвлмежх).
имибкаааем взмекоегл йиецбивамеещ за кабисеж лмиее Winlogon (миецди в
еидаецзиг лвлмеже).
йквиквме
м (йквиквмем)
йибвиещем бадавамц дещ йкирелла кабевсзхе
йквиквмемх:
low (звбдвг),
belownormal (звае лкедзеги),
abovenormal (вхте
лкедзеги),
high (вхлидвг) вев
realtime (кеаецзиги вкежезв).
Пкигкажжа
вжщ байнлдаежиг йкигкажжх.
Акгнжезмх
йекедавае
жхе акгнжезмх (ибкамвме взвжазве, сми йнмв оагеив
диеазх ндабхвамцлщ дад еидаецзхе йнмв в рееевиг лвлмеже).
Смибх бадамц вжщ йквеиаезвщ, димикие лидекавм йкибеех, влйиецбнгме
давхсдв, зайквжек psexec
marklap "c:
девззие вжщ
app.exe". Введеззхе
даззхе йек
едашмлщ в ндаееззнш лвлмежн йкв зааамвв деаввтв «Ввид», дещ
бавектезвщ ндаееззиги йкирелла знази зааамц лисемазве деаввт Ctrl
C.
Елев вжщ йиецбивамеещ зе бадази, ми ндаееззхг йкирелл байнлдаемлщ вб миг ае
нсемзиг байвлв, сми в йкигкажжа PsExec. Идзади йилд
иецдн ндаееззхг йкирелл
щвещемлщ иевремвикезвеж, ми из зе бндем вжемц дилмнйа д лемевхж келнклаж
ндаееззиг лвлмежх. Елев вжщ йиецбивамеещ бадази, ми ндаееззхг йкирелл
байнлдаемлщ вб ндабаззиг нсемзиг байвлв в йиенсаем дилмнй д меж ае лемевхж
келнклаж ндаее
ззиг лвлмежх, сми в даззащ нсемзащ байвлц. Усмвме, сми йакиец
йекедаемлщ в ндаееззнш лвлмежн в ввде имдкхмиги медлма.
Пкв ибкауезвв д еидаецзиг лвлмеже чмн веклвш йкигкажжх PsExec жиази
влйиецбивамц вжелми йкигкажжх Runas, йилдиецдн дещ йкигкажжх PsExec зе
мкебншмлщ йкава аджвзвлмкамика.
Примеры
Чма дижазда вхбхваем взмекадмввзхг взмекоегл дижаздзиг лмкидв в лвлмеже
marklap: psexec
marklap cmd
33
Чма дижазда байнлдаем в ндаееззиг лвлмеже йкигкажжн IpConfig л йакажемкиж
/all в вхвидвм йиенсеззхе даззхе за ч
дказ еидаецзиг лвлмежх: psexec
marklap ipconfig /all
Чма дижазда дийвкнем йкигкажжн test.exe в ндаееззнш лвлмежн в вхйиезщем ее
в взмекадмввзиж кеавже. psexec
marklap
c test.exe
Елев в ндаееззиг лвлмеже мадащ йкигкажжа нае нлмазивееза в запидвмлщ зе в
лвлмежзиж дамаеиге, ндаавме йиезхг йнмц д чмиг йкигкажже psexec
marklap
bin
test.exe.
Чма дижазда байнлдаем в взмекадмввзиж кеавже вб лвлмежзиг нсемзиг байвлв
йкигкажжн Regedit дещ йкилжимка даззхп кабдееив кеелмка SAM в SECURITY:
psexec
windows
regedit.exe
Чма дижазда влйиецбнемлщ дещ вхбива йкигкажжх Internet Explorer им вжезв
йиецбивамеещ л игказвсеззхжв йкаважв: psexec
d "c:
program files
internet
explorer
iexplore.exe".
39. PsFile v1.02
Дижазда «net file» вхвидвм за чдказ лйвлид о
агеив, имдкхмхп дкнгвжв
дижйцшмекажв в лвлмеже, в димикиг вхйиезщемлщ даззащ дижазда, идзади иза
нледаем девззхе вжеза йнмег в зе йибвиещем йкилжамкввамц чмв даззхе дещ
ндаееззхп лвлмеж. Ленаебзащ йкигкажжа PsFile л взмекоеглиж дижаздзиг
лмкидв вхвидвм за
чдказ лйвлид оагеив лвлмежх, димикхе имдкхмх ндаееззи, а
мадае йибвиещем бадкхвамц имдкхмхе оагех йи вжезв вев йи вдезмвовдамикн
оагеа.
Установка
Пкилми лдийвкнгме йкигкажжн PsFile в йайдн дещ влйиезщежхп оагеив в бамеж
введвме «psfile».
Пкигкажжа PsFile к
абимаем в ийекарвиззхп лвлмежап NT 4.0, Win2K, Windows XP
в Server 2003.
Применение
Пи нжиесазвш йкигкажжа PsFile вхвидвм лйвлид оагеив еидаецзиг лвлмежх,
димикхе имдкхмх ндаееззхжв лвлмежажв. Елев йилее дижаздх ввелмв лвжвие «
», за чдказ вхвидвмлщ взоик
жарвщ и лвзмадлвле чмиг дижаздх.
йквжезезве: psfile [
ндаееззхг_дижйцшмек [
u вжщ_йиецбивамеещ [
йакиец]]] [[Id | йнмц] [
c]]
йибвиещем ндабамц зеибщбамеецзие вжщ йиецбивамеещ дещ впида в лвлмежн
ндаееззиги дижйцшмека.
йибвиещем ндабамц йакиец
дещ вжезв йиецбивамеещ. Елев чмим йакажемк
ийнуез, ми йищввмлщ йидлдабда, йкедеагашуащ ввелмв йакиец, йкв чмиж из зе
бндем имибкааамцлщ за чдказе.
Id
вдезмвовдамик оагеа (йквлвиеззхг йкигкажжиг PsFile), дещ димикиги
зеибпидвжи вхвелмв взоикжарвш вев димикхг знази бадкхмц.
Пнмц
йиезхг вев салмвсзхг йнмц д оагеаж, дещ димикхп зеибпидвжи вхвелмв
взоикжарвш вев димикхе знази бадкхмц.
йибвиещем
бадкхмц оагех, ийкедеееззхе л йижиуцш вдезмвовдамика вев
йнмв.
Работа программы
Пкигкажжа PsFile влйиецбнем йквдеадзиг йкигкажжзхг взмекоегл NET API,
диднжезмарвщ йи димикижн лидекавмлщ в дижйеедме кабкабимсвда Platform SDK.
34
40. PsInfo
PsInfo
чми нмвевма
дижаздзиг лмкидв, димикащ либвкаем илзивзхе даззхе и
еидаецзиг вев ндаееззиг лвлмеже Windows NT/2000
и мвйе нлмазивдв,
лбикде щдка, бакегвлмквкиваззиг икгазвбарвв в веадеецре, свлее в мвйе
йкирелликив, ибфеже овбвселдиг йажщмв, даме нлмазивдв лвлмежх, л
мамнле
йкибзиг веклвв в лкиде ее деглмввщ.
Установка
Лдийвкнгме йкигкажжн PsInfo в йайдн дещ влйиезщежхп оагеив в бамеж введвме
дижаздн «psinfo».
Пкигкажжа PsInfo кабимаем в Windows NT 4.0 в в биеее йибдзвп веклвщп ИЛ, в
миж свлее в Windows Vista.
Применен
Пи нжиесазвш йкигкажжа PsInfo вхвидвм лведезвщ и еидаецзиг лвлмеже. Дещ
йиенсезвщ лведезвщ иб ндаееззиг лвлмеже ндаавме ее вжщ. Тад дад дещ
йиенсезвщ даззхп йкигкажжа PsInfo ибкауаемлщ д ндаееззижн кеелмкн, в
влдижиг лвлмеже диеаза кабимамц ленаба ндаее
ззиги кеелмка, а нсемзащ
байвлц, им вжезв димикиг байнлдаемлщ PsInfo, диеаза вжемц дилмнй д кабдеен
HKLM
System ндаееззиги кеелмка.
В реещп лидеглмввщ авмижамвселдижн йиенсезвш йадемив ибзивеезвщ
йкигкажжа PsInfo вибвкауаем зижек йадема ибзивеезвщ, нлмазив
ееззиги в
лвлмеже, в ввде бзасезвщ (где 0 ибибзасаем имлнмлмвве йадема ибзивеезвщ, 1
1 в м.д.).
Синтаксис:
psinfo [[
дижйцшмек[,дижйцшмек[,..] | @оаге [
u йиецбивамеец [
йакиец]]] [
h] [
s] [
d] [
-t кабдеевмеец]] [овецмк]
дижйцшмек
байнлд д
ижаздх за ндаееззиж дижйцшмеке вев за ндабаззхп
дижйцшмекап. Елев зе ндабхвамц вжщ дижйцшмека, дижазда бндем влйиезеза в
еидаецзиг лвлмеже; йидлмазивисзхг бзад (
*) йибвиещем вхйиезвмц дижаздн
за влеп дижйцшмекап, имзилщувплщ д меднуежн дижезн.
@оаге
ба
йнлд дижаздх за влеп дижйцшмекап, йекесвлееззхп в бадаззиж
медлмивиж оагее.
йибвиещем в оаднецмамввзиж йикщдде ндабамц вжщ йиецбивамеещ дещ впида
в ндаееззнш лвлмежн.
йибвиещем в оаднецмамввзиж йикщдде ндабамц йакиец, лиимвемлмвншувг
вжезв йиецби
вамеещ. Елев йакиец зе ндабаз в дижазде, еги йквдемлщ ввелмв в
лдкхмиж кеавже в лйерваецзиж идзе.
вхвид лйвлда нлмазивееззхп влйкавеезвг.
вхвид лйвлда нлмазивееззхп йквеиаезвг.
вхвид взоикжарвв и мижап.
вхвид в оикжаме CSV.
йи нжие
сазвш л йакажемкиж
c в даселмве кабдеевмеещ йквжезщемлщ
байщмащ, идзади ее жиази бажезвмц ндабаззхж лвжвиеиж.
Овецмк
йкигкажжа Psinfo вхвидвм даззхе миецди вб йиещ, ливйадашуеги ли
бзасезвеж овецмка; зайквжек, йкв ндабазвв овецмка «psinfo service»
вхвид
вмлщ миецди лидекавжие йиещ йадема ибзивеезвщ.
35
Работа программы
Дещ лсвмхвазвщ взоикжарвв вб кеелмка лвлмежх йкигкажжа PsInfo ибкауаемлщ
д йквдеадзижн йкигкажжзижн взмекоеглн ндаееззиги кеелмка, а смибх
вхщлзвмц, йкиведеза ев адмвварвщ ИЛ Windows XP,
д ч
еежезмн WMI.
41. PsGetSid
PsGetSid йибвиещем йекевидвмц вдезмвовдамикх в вп имибкаааежие вжщ в
заибиким. Рабимаем за влмкиеззхп нсемзхп байвлег, нсемзхп байвлег дижеза в
еидаецзхп нсемзхп байвлег.
Применение:
PsGetSid [
дижйцшмек [, дижйцшмек [,...] | @
оаге] [
U вжщ
йиецбивамеещ [
к йакиец]]] [лсем | SID]
Пакажемкх PsGetSid йибвиещшм мказлевкивамц вжеза нсемзхп байвлег
йиецбивамееег в дижйцшмекив в лиимвемлмвншуве SID в заибиким.
Елев PsGetSid байнлдаемлщ беб йакажемкив, иза вхвидвм SID, забзасеззхг
еидаецзижн дижйцшмекн. Влйиецбнщ мим оадм, сми нсемзиг байвлв Administrator
влегда йквлвавваемлщ RID, кавзхг 500, вх жиаеме ийкедеевмц вжщ чмиг
нсемзиг байвлв (в меп ленсащп, дигда лвлмежзхг аджвзвлмкамик йекевжезивае
ее йи лиибкааезвщж бебийалзилмв), йки
лми йекедав SID дижйцшмека,
дийиезеззхг «
500», дад акгнжезм дижаздзиг лмкидв PsGetSid.
Смибх йиенсвмц SID дижеззиг нсемзиг байвлв, введвме вжщ йиецбивамеещ л
ндабазвеж дижеза:
л:
›psgetsid redmond
daryl
Вх жиаеме вхщлзвмц SID дижеза, йекедав в PsGetSid е
ги вжщ дад акгнжезм:
c:
›psgetsid Redmond
Задизер, вбнсвв RID лвиег нсемзиг байвлв, вх йи дкагзег жеке нбзаеме,
лдиецди нсемзхп байвлег баувмх (security accounts), кавзие бзасезвш,
йиенсеззижн вхсвмазвеж 999 вб ватеги RID, бхеи либдази в ватеж дижезе вев
за ватеж еидаецзиж дижйцшмеке (в баввлвжилмв им влйиецбнежиг важв нсемзиг
байвлв
дижеззиг вев еидаецзиг). Смибх ийкедеевмц, дадвж нсемзхж байвлщж
бхев йквлвиезх RID, йекедагме SID л взмекелншувж вал RID. Елев PsGetSid
лиибувм, сми лийилмаввмц SID л дадвж
евби вжезеж нсемзиг байвлв зе ндаеилц,
в бзасезве RID идааемлщ жезцте, сеж н ватег нсемзиг байвлв, бзасвм, нсемзащ
байвлц, йи димикиг бхе йквлвиез RID, нае ндаееза.
Зайквжек, смибх вхщлзвмц вжщ нсемзиг байвлв, йи димикиг бхе забзасез
двадрамц вилцжиг RID,
йекедагме SID дижеза л дибавеезвеж «
1027»:
c:
›psgetsid S
21
1787744166
3910675280
2727264193
1027 Account for S
21
1787744166
3910675280
2727264193
1027: User: redmond
daryl
42. PsKill v1.13
Пкигкажжа PsKill жиаем вхйиезщмц зе миецди вле онздрв
в йкигкажжх вб
дижйеедма Resource Kit, зи еуе в бавектамц йкиреллх в ндаееззхп лвлмежап.
Пкв чмиж смибх влйиецбивамц йкигкажжн PsKill дещ бавектезвщ ндаееззиги
йкирелла, за ндаееззхг дижйцшмек даае зе знази нлмазавеввамц девезмлдие
йкигкажжзие ибелйесезве.
Установка
Лдийвкнгме йкигкажжн PsKill в йайдн дещ влйиезщежхп оагеив в введвме
дижаздн «pskill», ндабав зеибпидвжхе йакажемкх.
Пкигкажжа PsKill кабимаем в ИЛ Windows NT 4.0 в биеее йибдзвп веклвщп, в миж
свлее в ИЛ Windows Vista.
36
Использование
Елев йкв ба
йнлде PsKill ндабамц вдезмвовдамик йкирелла, ми йкигкажжа
бавектвм йкирелл л мадвж вдезмвовдамикиж за еидаецзиж дижйцшмеке. Елев
ндабамц вжщ йкирелла, ми йкигкажжа PsKill бавектвм вле йкиреллх л мадвж
вжезеж.
Использование:
pskill [
-t] [
дижйцшмек [
u вжщ_йиецбивамеещ] [
p йакиец]]
<вжщ_йкирелла | вдезмвовдамик_йкирелла>
Вхвидвмлщ йекесезц дийнлмвжхп йакажемкив.
бавектаем йкирелл в вле йкиреллх
еги йимиждв.
дижйцшмек
вжщ дижйцшмека, где вхйиезщемлщ йкирелл, димикхг знази
бавектвмц. Уда
ееззхг дижйцшмек диеаез бхмц ввдез в лемевиж идкнаезвв ИЛ
NT.
u вжщ_йиецбивамеещ
елев знази бавектвмц йкирелл, вхйиезщежхг в
ндаееззиг лвлмеже, зи ватв нсемзхе даззхе зе лидекаам йкав аджвзвлмкамика
дещ чмиг лвлмежх, ми дещ впида в ндаееззнш лвлмежн л й
каважв аджвзвлмкамика
лееднем влйиецбивамц чмим йакажемк. Елев йакиец зе бадаз л йижиуцш
йакажемка
p, ми йкигкажжа PsKill вхдалм байкил за ввид йакиещ, йкв чмиж
ввидвжхг йакиец зе бндем имибкааамцлщ за чдказе.
p йакиец
чмим йакажемк йибвиещем бадамц йа
киец в дижаздзиг лмкиде, сми
даем вибжиазилмц вхбхвамц йкигкажжн PsKill вб йадемзиги оагеа. Елев ндабамц
вжщ нсемзиг байвлв беб йакажемка
p, ми йкигкажжа PsKill в йкирелле кабимх
вхдалм байкил за ввид йакиещ.
вдезмвовдамик_йкирелла
вдезмвовдамик йкирелл
а, димикхг знази
бавектвмц.
вжщ_йкирелла
вжщ идзиги вев зелдиецдвп йкиреллив, димикхе знази
бавектвмц.
43. PsList v1.28
pslist exp
вхвидщмлщ лмамвлмвселдве даззхе дещ влеп йкиреллив, вжщ димикхп
засвзаемлщ л «exp», зайквжек, дещ йкирелла Explorer.
вхвидщмлщ лведезвщ и йимиде.
вхвидщмлщ лведезвщ и йажщмв.
вхвидвмлщ лйвлид йкиреллив, лведезвщ и йажщмв в йимидап.
вхвидвмлщ декеви йкирелла.
s [n]
байнлдаемлщ кеавж двлйемсека бадас, дийиезвмеецзи жиази ндабамц
йкидиеавмеецзилмц влйиецбивазвщ кеавжа в леднздап. Дещ имжезх кеавжа
заажвме деаввтн Esc.
йеквидвсзилмц ибзивеезвщ лведезвг в идзе двлйемсека бадаса (бзасезве
йи нжиесазвш
1).
жйцшмек
вжелми вхвида взоикжарвв и йкиреллап за еидаецзиж
дижйцшмеке йкигкажжа PsList вхвидвм лведезвщ иб ндабаззиг ийекарвиззиг
лвлмеже Windows NT вев 2000. Задагме йакажемк
u, ндабав вжщ в йакиец
йиецбивамеещ, им вжезв димикиги лееднем вигмв в ндаеезз
нш лвлмежн, елев
ватвп йкав зедилмамисзи дещ йиенсезвщ взоикжарвв и лсемсвдап
йкивбвидвмеецзилмв чмиг лвлмежх.
вжщ йиецбивамеещ. Елев знази йкедкамвмц йкирелл, вхйиезщежхг в
ндаееззиг лвлмеже, зи вата нсемзащ байвлц зе вжеем йкав аджвзвлмкамика дещ
чм
иг лвлмежх, ми дещ впида в ндаееззнш лвлмежн л йкаважв аджвзвлмкамика
лееднем влйиецбивамц чмим йакажемк. Елев йакиец зе бадаз л йижиуцш
йакажемка
p, ми йкигкажжа PsList вхдалм байкил за ввид йакиещ, йкв чмиж
ввидвжхг йакиец зе бндем имибкааамцлщ за чдказ
37
йакиец. Чмим йакажемк йибвиещем бадамц йакиец в дижаздзиг лмкиде, сми
даем вибжиазилмц вхбхвамц йкигкажжн PsList вб йадемзиги оагеа. Елев ндабамц
вжщ нсемзиг байвлв беб йакажемка
p, ми йкигкажжа PsList в йкирелле кабимх
вхдалм байкил за ввид йакие
Вжщ
вхвидщмлщ лведезвщ и йкиреллап, вжеза димикхп засвзашмлщ л бадаззиг
лмкидв.
вхвидщмлщ лведезвщ и йкирелле, вжщ димикиги мисзи лиимвемлмвнем
введеззиг лмкиде.
Pid
йкв ндабазвв чмиги йакажемка йкигкажжа PsList вжелми вхвида лйвлда влеп
вхйиез
щшувплщ в лвлмеже йкиреллив йкивбвидвм йивлд йкирелла л ндабаззхж
вдезмвовдамикиж PID. Тадвж ибкабиж, елев ввелмв дижаздн pslist 53, ми бнднм
вхведезх лмамвлмвселдве даззхе йкирелла, PID димикиги кавез 53.
Работа программы
Тад ае дад в влмкиеззхг жизвмик и
йекарвиззхп лвлмеж Windows NT в 2000,
йкигкажжа PsList влйиецбнем дещ йиенсезвщ даззхп лвлмежзхе лсемсвдв
йкивбвидвмеецзилмв. Диднжезмарвш йи лсемсвдаж йкивбвидвмеецзилмв в ИЛ
Windows NT в 2000, в миж свлее влпидзхг медлм йкигкажжх PerfMon

влмкиеззиги жи
звмика ИЛ Windows NT, жиази йиенсвмц за веб
нбее MSDN.
Ибибзасезвщ, влйиецбнежхе йкв вхвиде лведезвг и йажщмв
Вле свлеивхе бзасезвщ йкввидщмлщ в двеибагмап.
Pri: йквиквмем.
Thd: диевселмви йимидив.
Hnd: диевселмви делдквймикив.
VM: ввкмнаецзащ йажщмц.
WS:
кабисвг забик.
Priv: либлмвеззащ ввкмнаецзащ йажщмц.
Priv Pk: либлмвеззащ ввкмнаецзащ йажщмц (жадлвжаецзхг ибфеж).
Faults: итвбдв лмказвр.
NonP: зевхгкнааежхг йне.
Page: вхгкнааежхг йне.
Cswtch: йекедешсезвщ дизмедлма.
44. PsLoggedOn (веклвщ 1.33)
PsLogged
чми йквеиаезве, вхвидщуее лйвлид йиецбивамееег, витедтвп в
лвлмежн дад в еидаецзиж кеавже, мад в секеб келнклх еидаецзиги вев
ндаееззиги дижйцшмека. Елев ндабамц вжелми вжезв дижйцшмека вжщ
йиецбивамеещ, йкигкажжа PsLoggedOn йкиведем йивлд лкедв дижйц
шмекив в
лемевиж идкнаезвв в лиибувм, витее ев даззхг йиецбивамеец в идзн вб чмвп
лвлмеж. В дижйеедме багкнааежхп оагеив вжеемлщ йиезащ веклвщ влпидзиги
дида.
Витедтвж в еидаецзнш лвлмежн йкигкажжа PsLoggedOn лсвмаем йиецбивамеещ,
йкиовец димикиги багкнаез
в кеелмк; йкв лилмавеезвв лйвлда мадвп
йиецбивамееег иза йкивидвм йивлд лкедв чеежезмив кабдееа кеелмка
HKEY_USERS. Ибзакнавв кабдее, вжщ димикиги ливйадаем л вдезмвовдамикиж
бебийалзилмв миги вев взиги йиецбивамеещ, йкигкажжа PsLoggedOn ийкедеещем
вжщ чм
иги йиецбивамеещ в вхвидвм еги. Дещ лилмавеезвщ лйвлда йиецбивамееег,
витедтвп в лвлмежн секеб ибуве келнклх, йкигкажжа PsLoggedOn ибкауаемлщ
д йквдеадзижн йкигкажжзижн взмекоеглн NetSessionEnum. Лееднем вжемц в
ввдн, сми лкедв йиецбивамееег, витедтвп секе
б ибуве келнклх за влдижхе
ндаееззхе дижйцшмекх, йкигкажжа PsLoggedOn ндааем в вате либлмвеззие
38
вжщ
дееи в миж, сми дещ дилмнйа д кеелмкн ндаееззиг лвлмежх вх диеазх
вхйиезвмц впид.
Установка
Лдийвкнгме йкигкажжн PsLoggedOn в йайдн дещ влйиезщежхп
оагеив, а бамеж
введвме дижаздн psloggedon.
Пкигкажжа PsLoggedOn кабимаем в ИЛ Windows Vista, NT 4.0, Win2K, Windows XP
в Server 2003.
45. PsLogList (веклвщ 2.71)
В лилмав дижйеедма Resource Kit впидвм йкигкажжа elogdump, димикащ йибвиещем
липказвмц лидека
вжие анкзаеа либхмвг еидаецзиги вев ндаееззиги
дижйцшмека. Пкигкажжа PsLogList щвещемлщ азаеигиж чмиг йкигкажжх, л миг
евтц кабзврег, сми PsLogList йибвиещем вхйиезвмц впид за ндаееззнш лвлмежн
в йиенсвмц лмкидв лиибуезвг л дижйцшмека, за димикиж калйиеиае
йкилжамквваежхг анкзае, в ленсащп, елев меднувг забик нсемзхп лведезвг зе
йибвиещем йиенсвмц дилмнй д анкзаен либхмвг.
Установка
Лдийвкнгме йкигкажжн PsLogList в ешбнш вб йайид, в димикхп лвлмежа вуем
влйиезщежхе оагех, а бамеж вхйиезвме дижаздн psloglis
Пкигкажжа PsLogList кабимаем в ийекарвиззхп лвлмежап Windows Vista, NT 3.51,
NT 4.0, Win2K, Windows XP в Server 2003.
Использование программы
Пи нжиесазвш йкигкажжа PsLogList вхвидвм в ндибзиж оикжаме лидекавжие
лвлмежзиги анкзаеа либхмвг еидаецзиги диж
йцшмека. Л йижиуцш йакажемкив
дижаздзиг лмкидв жиази йкилжамкввамц лидекавжие анкзаеив за дкнгвп
дижйцшмекап, илнуелмвещмц дилмнй д анкзаеаж л йкаважв дкнгиг нсемзиг
байвлв, вев вхвидвмц лидекавжие анкзаеив в ндибзиж дещ лмкидивиги йивлда
оикжаме.
Синтакси
с:
psloglist [
\\вжщ_дижйцшмека[,вжщ_дижйцшмека[,...] | @оаге [
вжщ_йиецбивамеещ [
p йакиец]]] [
s [
t кабдеевмеец]] [
m #|
n #|
h #|
d #|
w][
c][
x][
r][
a жж/дд/гг][
b жж/дд/гг][
f овецмк] [
i ID[,ID[,...] |
ID[,ID[,...]]] [
o влмисзвд[,влмисзвд
][,..]]] [
q влмисзвд[,влмисзвд][,..]]] [
оаге_анкзаеа] <вжщ_анкзаеа>
@оаге
Вхйиезвмц дижаздн дещ даадиги вб дижйцшмекив,
йекесвлееззхп в ндабаззиж медлмивиж оагее.
a

Вхвелмв байвлв, либдаззхе йилее ндабаззиг дамх.
b

Вхвелмв байвлв, либдаззхе ди
ндабаззиг дамх.
c

Исвлмвмц анкзае йилее вхвида лидекавжиги.
d

Вхвелмв байвлв ба йкедхднуве n дзег.
Влдешсвмц либхмвщ л ндабаззхжв дидиж ID (ди 10 тм).
f

Пквжезвмц д мвйаж либхмвг овецмк (зайквжек “
f w” дещ
вхвида миецди йкеднйкеадезвг).
h

Вхве
лмв байвлв ба йкедхднуве n салив.
i

Вхвелмв миецди либхмвщ л ндабаззхжв дидиж ID (ди 10 тм).
l

Вхвелмв байвлв, лидекааувелщ в ндабаззиж оагее анкзаеа
39
либхмвг.
m

Вхвелмв байвлв ба йкедхднуве n жвзнм.
Вхвелмв миецди ндабаззие диевселмви йилеедзвп
либхмвг.
o

Вхвелмв байвлв миецди им ндабаззхп влмисзвдив (зайквжек
o cdrom”).
p

Зеибщбамеецзхг йакажемк, ндабхваем йакиец дещ
йиецбивамеещ. Елев чмим йакажемк ийнлмвмц, ми бндем вхдаз
байкил за ввид йакиещ, йкв чмиж йакиец зе бндем
имибкааамцлщ за чд
казе.
q

Влдешсвмц вб вхвида байвлв им ндабаззхп влмисзвдив
(зайквжек “
o cdrom”).
r

Вхвидвмц либхмвщ в йикщдде им завбиеее давзвп д завбиеее
лвеавж.
Удабхваем йкигкажже PsLogList вхвидвмц байвлв анкзаеа
либхмвг йи идзиг за лмкисдн, кабдеещщ йиещ
байщмхжв. Чмим
оикжам ндибез дещ медлмивиги йивлда, зайквжек жиази
вхйиезвмц дижаздн psloglist | findstr /i медлм_дещ_йивлда.
Тадае чмим оикжам ндибез дещ вжйикмвкивазвщ кебнецмамив
в чеедмкиззхе мабеврх.
t
Пи нжиесазвш кабдеевмеееж йиеег щвещемлщ байщма
щ, зи л
йижиуцш чмиги йакажемка жиази ндабамц дкнгиг лвжвие в
даселмве кабдеевмеещ.
u

Зеибщбамеецзхг йакажемк. Удабхваем вжщ йиецбивамеещ дещ
вхйиезезвщ впида за ндаееззнш лвлмежн.
w

Иавдамц зивхп лиибуезвг в вхвидвмц вп йи жеке вп
йищвеезвщ в анкзаее
(дилмнйзи миецди дещ еидаецзиг
лвлмежх).
x

Вхвидвмц калтвкеззхе даззхе.
вжщ_анкзаеа
Пи нжиесазвш йкигкажжа PsLogList вхвидвм лидекавжие
лвлмежзиги анкзаеа либхмвг. Миази ндабамц дкнгиг
анкзае. Дещ чмиги дилмамисзи ввелмв йеквхе зелдиецди
бндв вжезв анкз
аеа (йквеиаезве, лвлмежа вев
бебийалзилмц).
Работа программы
Азаеигвсзи тмамзижн лкедлмвн йкилжимкн либхмвг ИЛ Windows NT в 2000 вев
вдешсеззиг в лилмав дижйеедма Resource Kit йкигкажже elogdump, йкигкажжа
PsLogList влйиецбнем дещ лвиег кабимх API
взмеко
егл анкзаеа либхмвг,
димикхг ийвлаз в йадеме Windows Platform SDK. Дещ диккедмзиги имибкааезвщ
лиибуезвг анкзаеа либхмвг йкигкажжа PsLogList багкнааем жиднев влмисзвдив
лиибуезвг за лвлмеже, за димикиг калйиеиаез лсвмхваежхг анкзае.
46. PsPasswd v1.22
PsPasswd йибвиещем вбжезвмц йакиец еидаецзиг вев дижеззиг нсемзиг байвлв
за еидаецзиж вев ндаееззиж дижйцшмеке.
Использование
PsPasswd
computer
u username
p password Username Newpassword
40
computer вхйиезвмц дижаздн за ндаееззиж дижйцшмеке. Елев ийнлмв
мц вжщ
дижйцшмека дижазда вхйиезщемлщ за еидаецзиг лвлмеже, в елев ндабамц
табеиз (
*), дижазда кабимаем за влеп дижйцшмекап в меднуеж дижезе.
@ file
Вхйиезвме дижаздн за даадиж дижйцшмеке, йекесвлееззхп в медлмивиж
оагее ндабаз.
Ийкедеещем зеибщбаме
ецзие вжщ йиецбивамеещ дещ миги, смиб вигмв за
ндаееззхг дижйцшмек.
к
Ийкедеещем дийиезвмеецзхг йакиец дещ вжезв йиецбивамеещ. Елев ийнлмвмц
чмим йакажемк, ми важ бндем йкедеиаези ввелмв йакиец.
Username
Удабхваем вжщ нсемзиг байвлв дещ лжезх йакиещ.
ewPassword
зивхг
йакиец
47. PsService v2.24
PsService
нмвевма дижаздзиг лмкидв дещ йкилжимка в нйкавеезвщ ленабажв
Windows. Пидибзи нмвевме SC, впидщуег в лилмав дижйеедма келнклив дещ
Windows NT в Windows 2000 Resource Kits, йкигкажжа PsService имибк
аааем
лилмищзве, дизовгнкарвш в баввлвжилмв ленаб, а мадае йибвиещем байнлдамц,
йквилмазавеввамц, вибибзивещмц в йекебайнлдамц вп. Зи, в имевсве им SC,
PsService еуе йибвиещем бапидвмц за ндаееззхг дижйцшмек им вжезв дкнгиг
нсемзиг байвлв в меп ленсащп, ди
гда меднуащ нсемзащ байвлц зе ибеадаем
кабкетезвщжв, зеибпидвжхжв дещ дилмнйа д ндаееззиг лвлмеже. Умвевма
PsService вдешсаем нзвдаецзнш онздрвш йивлда, йибвиещшунш ибзакнавмц
адмввзхе чдбежйещкх ндабаззиг ленабх в лемв. Зайквжек, иза жиаем
идабамцлщ йиееб
зиг, елев знази загмв лвлмежх, за димикхп кабимаем DHCP
леквек.
PsService кабимаем в ийекарвиззхп лвлмежап NT 4, Windows 2000 в Windows
Vista, мигда дад веклвщ SC вб «Windows 2000 Resource Kit» гидвмлщ миецди дещ
Windows 2000, д мижн ае PsService зе мкебне
м вкнсзнш ввидвмц «вздедл
вибибзивеезвщ», смибх йиенсвмц йиезнш взоикжарвш и ленабе.
Установка
Лдийвкнгме йкигкажжн PsService в ешбнш вб йайид, в димикхп лвлмежа вуем
влйиезщежхе оагех, в бамеж введвме дижаздн «psservice».
Порядок вызова
Пи нжиесазвш йкигк
ажжа PsService вхвидвм лйвлид влеп лдизовгнквкиваззхп
ленаб (кабимашувп в илмазивееззхп) в еидаецзиг лвлмеже. Елев йкв вхбиве
ндабаза дижазда, ми вхбхваемлщ лиимвемлмвншуащ ег онздрвщ. Зедимикхе
дижаздх жигнм лийкивиадамцлщ дийиезвмеецзхжв йакажемкажв. Еле
в йилее
дижаздх ввелмв лвжвие «
», за чдказ вхвидвмлщ взоикжарвщ и лвзмадлвле чмиг
дижаздх.
Пквжезезве: psservice [
дижжцшмек [
u вжщ_йиецбивамеещ] [
p йакиец]]
<дижазда> <йакажемкх>
query
Вхвелмв меднуее лилмищзве ленабх.
config
Вхвелмв дизовгнкарвш
ленабх.
Задамц лйилиб байнлда ленабх (имдешсеза, авмижамвселдв,
вкнсзнш).
start
Зайнлмвмц ленабн.
stop
Илмазиввмц ленабн
restart
Илмазиввмц в лзива байнлмвмц ленабн.
41
pause
Пквилмазиввмц кабимн ленабх.
cont
Вибибзиввмц кабимн
йквилмазивееззиг ленабх.
depend
Вхвелмв лйвлид ленаб, баввлщувп им ндабаззиг.
security
Вхвелмв делдквймик бебийалзилмв ленабх.
find
Влдамц ндабаззнш ленабн в лемв.
дижйцшмек
Задаем вжщ дижйцшмека л ИЛ NT вев Win2K, д димикижн
имзилвмлщ дижазда. Задаг
ме йакажемк
u, ндабав вжщ в йакиец
йиецбивамеещ, им вжезв димикиги лееднем багмв за ндаееззнш
лвлмежн, елев ватвп йкав зедилмамисзи дещ йиенсезвщ им зее
взоикжарвв и лсемсвдап йкивбвидвмеецзилмв. Елев бадаз
миецди йакажемк
u, а йакажемк
p л ндабазвеж йа
киещ ийнуез,
ми йкигкажжа PsService йийкилвм ввелмв йакиец, зи зе бндем
имибкааамц еги за чдказе.
48. PsShutdown v2.52
PsShutdown чми нмвевма дижаздзиг лмкидв, йипиаащ за нмвевмн имдешсезвщ
дижйцшмека им Windows 2000 Resource Kit, зи л вибжиазилмцш
лдееамц гикабди
биецте. В дийиезезве д йиддекаде
ме ае йакажемкх дещ вхдешсезвщ вев
йекебагкнбдв еидаецзиги вев ндаееззиги дижйцшмека. PsShutdown жиаем
вхеигвзввамц йиецбивамеещ дизлиев вев беидвкивамц дизлиец (беидвкивда
мкебнем Windows 2000 вев вхте).
PsShutdown зе мкебнем кнсзиг нлмазивдв
девезмлдиги йкигкажжзиги ибелйесезвщ.
Установка
Лдийвкнгме PsShutdown в йайдн дещ влйиезщежхп оагеив в введвме
PsShutdown л зназхжв йакажемкажв дижаздзиг лмкидв.
Использование:
psshutdown [[
computer[,computer[,..]
| @file [
u user [
p psswd]]]
-f] [
c] [
t nn|h:m] [
n s] [
v nn] [
e [u|p]:xx:yy] [
m "message"]
имибкааезве йиддекавваежхп йакажемкив.
computer
вхйиезвмц дижаздн за ндабаззиж ндаееззиж дижйцшмеке вев
дижйцшмекап. Елев вх и
йнлмвме вжщ дижйцшмека, дижазда вхйиезщемлщ за
еидаецзиг лвлмеже, в елев вх ндаавме табеиз (
*), дижазда вхйиезщемлщ за
влеп дижйцшмекап в меднуеж дижезе.
@file
вхйиезвмц дижаздн за даадиж вб дижйцшмекив, йекесвлееззхп в
медлмивиж оагее.
ндабамц
вжщ йиецбивамеещ дещ впида за ндаееззхг дижйцшмек.
ндабамц йакиец дещ вжезв йиецбивамеещ. Елев ийнлмвмц чмим йакажемк, важ
бндем йкедеиаези ввелмв йакиец.
йкекхваем вхдешсезве (вибжиази миецди в ми вкежщ дад ведемлщ имлсем).
йибвиещем взмека
дмввзхж йиецбивамеещж йкеквамц вхдешсезве.
йквилмазиввмц дижйцшмек.
дид йквсвзх бавектезвщ кабимх дижйцшмека.
Удаавме йакажемк
u дещ дидив йквсвз йиецбивамееег в к дещ дида йквсвзх
байеазвкиваззиги имдешсезвщ.
пп щвещемлщ илзивзхж дидиж йквсвзх (
диеаез бхмц зе жезее 256).
нн вмикиг дид йквсвзх (диеаез бхмц зе жезее 65536).
вхзнадаем вле меднуве йквеиаезвщ вхгмв ви вкежщ бавектезвщ кабимх
вжелми йкедилмавеезвщ вж вибжиазилмв нлйетзи липказвмц вп даззхе.
42
йекевид дижйцшмек в лйщувг кеавж.
вхдешсезве йвмазвщ дижйцшмека (йекебагкнбда, елев имдешсезве йвмазвщ
зе йиддекавваемлщ).
беидвкивда дижйцшмека.
чмим йакажемк йибвиещем ндабамц лиибуезве, димикие бндем вхведези
йиецбивамеещж, витедтвж в лвлмежн, дигда засвзаемлщ имлсем вкеже
зв
вхдешсезвщ.
бадаем йекекхв в леднздап йиддешсезвщ д ндаееззхж дижйцшмекаж.
вхпид йиецбивамеещ дизлиев.
йекебагкнбда йилее бавектезвщ кабимх.
вхдешсезве беб имдешсезвщ йвмазвщ.
ндабхваем ибкамзхг имлсем в леднздап ди вхдешсезвщ (
йи нжиесазвш: 20
леднзд) вев вкежщ вхдешсезвщ (в 24
саливиж оикжаме).
йидабамц лиибуезвщ ба ндабаззие свлеи леднзд ди вхдешсезвщ.
49. PsSuspend v1.06
Пкигкажжа PsSuspend йибвиещем йквилмазиввмц йкирелл за еидаецзиг вев
ндаееззиг жатвзе, сми бхваем
аееамеецзи, дигда йкирелл скебжекзи
йимкебещем дадиг
ми келнкл (зайквжек, лемц, йкиреллик вев двлд),
зеибпидвжхг дкнгвж йкиреллаж. Вжелми миги, смибх йквзндвмеецзи бавектамц
«йиавкамеещ келнклив», жиази йквилмазиввмц еги за вкежщ в вибибзиввмц
йибае.
Устан
овка
Лдийвкнгме йкигкажжн PsSuspend в ешбнш вб йайид, в димикхп лвлмежа вуем
влйиезщежхе оагех, в бамеж введвме дижаздн «pssuspend», ндабав ме вев взхе
йакажемкх.
Пкигкажжа PsSuspend кабимаем в ийекарвиззхп лвлмежап Windows Vista, NT 4.0,
Win2K, Windows XP
в Server 2003.
Использование
Елев йкв байнлде PsSuspend ндабамц вдезмвовдамик йкирелла, ми иза
йквилмазиввм вев вибибзиввм йкирелл л мадвж вдезмвовдамикиж за еидаецзиж
дижйцшмеке. Елев ндабамц вжщ йкирелла, ми PsSuspend йквилмазиввм вев
вибибзиввм вле йки
реллх л мадвж вжезеж. Дещ вибибзивеезвщ йкиреллив
бадагме йакажемк
Пквжезезве: pssuspend [
-r] [
дижйцшмек [
u вжщ_йиецбивамеещ] [
йакиец]] <вжщ_йкирелла | вдезмвовдамик йкирелла>

Вхвелмв йекесезц дийнлмвжхп оеагив.
r

Вибибзиввмц ндабаззхе й
киреллх, елев изв бхев
йквилмазивеезх.
дижйцшмек
Вжщ дижйцшмека, за димикиж знази йквилмазиввмц вев
вибибзиввмц йкиреллх. Удаееззхг дижйцшмек диеаез
бхмц ввдез в лемевиж идкнаезвв.
u вжщ_йиецбивамеещ
Елев вх пимвме йквилмазиввмц йкирелл, кабимашувг в
ндаееззиг лвлмеже, зи меднуащ нсемзащ байвлц зе
вжеем в зег аджвзвлмкамввзхп йквввеегвг, ми чмим
йакажемк йибвиевм вигмв им вжезв аджвзвлмкамика.
Елев вх зе ндааеме йакиец л йижиуцш йакажемка
p,
ми йкигкажжа PsSuspend йийкилвм еги ввелмв, зи зе
43
бндем имиб
кааамц за чдказе.
p йакиец
Чмим йакажемк йибвиещем бадамц йакиец в дижаздзиг
лмкиде, смибх йкигкажжн PsSuspend жиази бхеи
вхбхвамц вб йадемзиги оагеа. Елев ндабамц вжщ
нсемзиг байвлв беб йакажемка
p, ми йкигкажжа
PsSuspend йийкилвм ввелмв йакиец.
вдезмвовдамик_йкир
елла
Вдезмвовдамик йкирелла, димикхг знази
йквилмазиввмц вев вибибзиввмц.
вжщ_йкирелла
Вжщ идзиги вев зелдиецдвп йкиреллив, димикхе знази
йквилмазиввмц вев вибибзиввмц.
50. RAMMap v1.1
RAMMap
чми йиеебзащ нмвевма дещ йеамоикжх Windows
, димикащ имвесаем ба
мисзхг в адднкамзхг азаевб йимкебеезвщ келнклив овбвселдиг йажщмв.
Пизщмзхг взмекоегл л вдеаддажв йкедйиеагаем зелдиецди кабевсзхп кеавжив
йкедлмавеезвщ взоикжарвв в дилмнйзиг оикже.
Л йижиуцш чмиги йквеиаезвщ йиецбивамеев лжигнм бхлм
ки ирезвмц ибфежх
дчтвкиваззхп даззхп вб оагеив, пказвжхп в йажщмв RAM, нбзамц, лдиецди
йажщмв йимкебещемлщ лйервовселдвжв йквеиаезвщжв, дкагвекажв щдка в
ибикндивазвщ в йиенсвмц влсекйхвашуве имвемх за дкнгве лйервовселдве
вийкилх. RAMMap йкеднлжамквваем
вибжиазилмц липказезвщ в багкнбдв
жгзивеззхп лзвждив меднуеги лилмищзвщ йажщмв, а онздрвщ Refresh
ибелйесвваем бхлмкие ибзивеезве двлйеещ.
51. RegDelNull v1.1
RegDelNull
нмвевма дижаздзиг лмкидв лдазвкнем в ндаещем дешсв Реелмка,
димикхе лидекаам взедкез
зхе null
лвжвиех (зелнуелмвншуве лвжвиех),
димикхе зе ндаещшмлщ лмаздакмзхжв лкедлмважв кедадмвкивазвщ Реелмка.
Пквжесазве: ндаеезве дешсег в Реелмке жиаем вхбвамц зекабимилйилибзилмц
йквеиаезвг, д димикхжв лвщбазх чмв дешсв.
Влйиецбивазве
: regdelnull p
52. RegJump v1.01
RegJump
чми нмвевма дижаздзиг лмкидв имдкхваем Regedit л бадаззиг
еидарвег [path] , ми елмц "йкхгаем" за вхбказзнш вемдн Реелмка.
Использование:
regjump [path].
53. RootkitRevealer
Пкигкажжа RootkitRevelader щвещемлщ йкигкажжиг л калтвкеззхжв
вибжиазилмщжв дещ ибзакнаезвщ rootkit
йкигкажж. Иза кабимаем йид
нйкавеезвеж ИЛ Windows NT 4 в биеее йибдзвп веклвг. Пкигкажжа вхвидвм
лйвлид зелиимвемлмввг кебнецмамив кабимх API
взмекоеглив оа
геивиг лвлмежх
в кеелмка кеаецзхж даззхж. Чмв зелиимвемлмввщ жигнм ибзасамц заевсве
rootkit
йкигкажжх, кабимашуег в йиецбивамеецлдиж кеавже вев в кеавже щдка.
Пкигкажжа RootkitRevealer нлйетзи ибзакнавваем вле йилмищззхе rootkit
йкигкажжх вб лйвлда, вдешса
щ мадве йкигкажжх, дад AFX, Vanquish в
HackerDefenter. RootkitRevealder зе йкедзабзасеза дещ ийкедееезвщ
вкедизилзхп йкигкажж вкиде йкигкажжх Fu, димикхе зе йхмашмлщ лдкхвамц
лвив оагех в кабдеех кеелмка.
44
Пкигкажжа RootkitRevealer биецте зе щвещемлщ дизли
ецзиг, йимижн сми авмикх
вкедизилзхп йкигкажж засаев ийкедеещмц заевсве лдазека RootkitRevealer йи
вжезв влйиезщежиги оагеа. Тейекц лдазвкивазве вхбхваемлщ вб дийвв
йкигкажжх RootkitRevealer ли ленсагзхж вжезеж оагеа, байнуеззиг дад
ленаба Windows. Тадиг м
вй байнлда дееаем йкирелл зедилмнйзхж вб дижаздзиг
лмкидв. Теж зе жезее, жиази влйиецбивамц йакажемкх дижаздзиг лмкидв дещ
байнлда авмижамвселдиги лдазвкивазвщ л байвлцш кебнецмамив лдазвкивазвщ в
оаге. Чми чдввваеезмзи йиведезвш веклвв йкигкажжх дещ дижаз
дзиг лмкидв.
Принцип работы программы woot╫itwevealer
Тад дад йилмищззхе rootkit
йкигкажжх вбжезщшм кебнецмамх кабимх вхбивив
йквдеадзхп йкигкажжзхп взмекоеглив, кебнецмам кабимх чмвп вхбивив зе
лиимвемлмвнем кеаецзижн лидекавжижн пказвеву. Пкигкажжа Rootk
itRevealer
лкавзвваем кебнецмамх лдазвкивазвщ лвлмежх вхлидинкивзевхжв в
звбдинкивзевхжв лкедлмважв. Лажхж вхлидвж нкивзеж щвещемлщ взмекоегл
Windows API, лажхж звбдвж
кеаецзие лидекавжие мижа оагеивиг лвлмежх
вев днлма кеелмка (оагеа днлма кеелмка, пказ
щуегилщ за двлде). Тадвж
ибкабиж, йкигкажжа RootkitRevealer беб йкибееж ибзакнавм rootkit
йкигкажжх,
кабимашуве дад в йиецбивамеецлдиж кеавже, мад в в кеавже щдка, в
йекепвамхвашуве вхбивх взмекоеглив Windows API дещ ндаеезвщ лебщ вб
кебнецмамив кабимх чмв
п вхбивив. Пквлнмлмвве чмвп йкигкажж йкищввмлщ ввде
зелиимвемлмввг жеадн взоикжарвег, йиенсеззиг л йижиуцш взмекоеглив
Windows API, в кебнецмамажв йкщжиги азаевба лмкндмнк даззхп оагеивхп
лвлмеж FAT в NTFS.
Использование программы woot╫itwevealer
Дещ кабим
х йкигкажжх RootkitRevelaer мкебнемлщ, смибх нсемзиг байвлв, л
йкаважв димикиг вхйиезщемлщ йкигкажжа, бхев забзасезх йквввеегвв
кебеквзиги дийвкивазвщ оагеив в йайид, багкнбдв дкагвекив в вхйиезезвщ
бадас ибленаввазвщ мижив (в ИЛ Windows XP в биеее йибдзвп
веклвщп). Пи
нжиесазвш сеезх гкнййх “Аджвзвлмкамикх” ибеадашм чмвжв йквввеегвщжв.
Дещ нжезцтезвщ диевселмва итвбисзхп кебнецмамив байнлдагме йкигкажжн
RootkitRevealer за йкилмаввашуег лвлмеже.
Дещ дилмваезвщ завенствп кебнецмамив бавектвме кабимн влеп йкв
еиаезвг в
липказщгме лвлмежн в йкилмаввашуеж лилмищзвв ви вкежщ вхйиезезвщ
лдазвкивазвщ.
Ручное сканирование
Дещ вхйиезезвщ лдазвкивазвщ байнлмвме йкигкажжн RootkitRevealer в заажвме
дзийдн “Засамц лдазвкивазве”. Пкигкажжа вхйиезвм лдазвкивазве лвлмежх. Ви
вкежщ лдазвкивазвщ деглмввщ йкигкажжх бнднм имибкааамцлщ за йазеев
лилмищзвщ взвбн идза йкигкажжх, а ибзакнаеззхе зелиимвемлмввщ в лйвлде
кебнецмамив. Звае йквведез лйвлид дилмнйзхп дещ залмкигдв йакажемкив:
Hide NTFS Metadata Files (лдкхвамц оагех жемад
аззхп NTFS): йкигкажжа зе
имибкабвм лмаздакмзхе оагех жемадаззхп NTFS, димикхе лдкхмх им
взмекоегла Windows API. Чмим йакажемк йи нжиесазвш адмввез;
Scan Registry (лдазвкивамц кеелмк): чмим йакажемк йи нжиесазвш адмввез. Елев
еги деадмвввкивамц, йкигкажж
а зе бндем йкивбвидвмц лдазвкивазве кеелмка.
45
Запуск автоматического сканирования
Пкигкажжа RootkitRevealer йибвиещем залмкивмц зедимикхе йакажемкх
авмижамвселдиги лдазвкивазвщ.
Синтаксис:
rootkitrevealer [
-c] [
m] [
r] оаге_кебнецмамив]
вхйиезвмц
авмижамвселдие лдазвкивазве в вхгмв йилее бавектезвщ
лдазвкивазвщ.
вхвелмв даззхе в оикжаме CSV.
йидабамц оагех жемадаззхп NTFS.
зе вхйиезщмц лдазвкивазве кеелмка.
Примечание:
оаге л кебнецмамажв лдазвкивазвщ диеаез калйиеагамцлщ за
еидаецзиж миже.
Елев ндабамц йакажемк
c, йкигкажжа зе бндем имибкааамц лилмищзве
вхйиезезвщ лдазвкивазвщ, а загдеззхе зелиимвемлмввщ бнднм вхведезх в CSV
оаге дещ нйкиуезвщ йилеедншуеги вжйикмвкива
звщ кебнецмамив лдазвкивазвщ
в бабн даззхп. Дещ вхйиезезвщ лдазвкивазвщ за ндаееззхп лвлмежап жиази
вилйиецбивамцлщ ленаебзиг йкигкажжиг Sysinternals PsExec. Звае йквведез
йквжек дижаздх дещ илнуелмвеезвщ мадиги лдазвкивазвщ:
psexec
remote
c rootkitreve
aler.exe
a c:
windows
system32
rootkit.log
54. SDelete
Пкигкажжн SDelete (Secure Delete) жиази влйиецбивамц дад дещ ндаеезвщ
лнуелмвншувп оагеив, мад в дещ исвлмдв даззхп, калйиеиаеззхп за
лвибидзхп нсалмдап аелмдиги двлда (вдешсащ нае ндаееззхе вев
батво
киваззхе оагех). SDelete щвещемлщ кеаевбарвег йиддекадв лмаздакма
исвлмдв даззхп DOD 5220.22
M, кабкабимаззиги жвзвлмеклмвиж ибикизх ЛТА.
Миази бхмц нвекеззхж, сми оаге, ндаееззхг л йижиуцш йкигкажжх SDelete,
виллмазивеезвш йидееаамц зе бндем. Зеибпидвжи в
жемц в ввдн, сми йкигкажжа
SDelete исвуаем лидекавжие, зи зе ндаещем вжеза исвуеззхп оагеив,
калйиеиаеззхп в лвибидзиж двлдивиж йкилмказлмве.
Пкигкажжа SDelete кабимаем в ийекарвиззхп лвлмежап Windows 95, 98, NT 4.0 в
Windows 2000.
Использование программы
S5elete
Пкигкажжа SDelete вхйиезщемлщ в дижаздзиг лмкиде в йиддекавваем кщд
йакажемкив. Пкв ешбиж вб ваквазмив влйиецбивазвщ иза йибвиещем ндаевмц
идвз вев зелдиецди оагеив вев йайид вев ибкабимамц лвибидзие желми за
еигвселдиж кабдеее. Пкигкажжа мадае йид
декавваем влйиецбивазве лвжвиеив
табеиза в даселмве салмв вжез оагеив вев йайид.
Синтаксис:
диевселмви_йкипидив
диевселмви йкипидив йекебайвл
кеднклввзхг ибпид веиаеззхп йайид.
зе вхвидвмц за чдказ итвбдв (мвпвг кеавж).
йкивбвелмв исвлмдн лвибидзиги желма.
Принцип работы программы S5elete
Бебийалзие ндаеезве оагеа, н димикиги имлнмлмвншм лйерваецзхе амквбнмх,
щвещемлщ дивиецзи
мкввваецзиг бадасег. Пкигкажжа йкилми йекебайвлхваем
лидекавжие оагеа лйерваецзиг йилеедивамеецзилмцш лвжвиеив дещ
бебийалзиги ндаеезвщ. Биеее леиазхж жижезмиж щвещемлщ бебийалзие ндаеезве
46
лаамхп, батвокиваззхп в окагжезмвкиваззхп оагеив, а мадае исвлмда
вибидзиги двлдивиги йкилмказлмва.
Лаамхе, батвокиваззхе в окагжезмвкиваззхе оагех ибкабамхвашмлщ
оагеивиг лвлмежиг NTFS беидажв йи 16 деалмекив. Елев йкигкажжа йкивбвидвм
байвлц в лнуелмвншувг оаге, NTFS вхдеещем желми за двлде дещ липказезвщ
зивхп даззхп,
в йилее вп байвлв илвибиадаем лиимвемлмвншуве деалмекх,
казее бадкейееззхе ба оагеиж. Тадиг илмикиазхг йидпид влйиецбнемлщ в чмиг
оагеивиг лвлмеже дещ ибелйесезвщ рееилмзилмв даззхп, в в ленсащп, дигда
зивхг лаамхг вев окагжезмвкиваззхг оаге биецте лмакиг
и. Тадвж ибкабиж,
йекебайвлц мадиги оагеа зе ибелйесвм ндаеезвщ лидекавжиги чмиги оагеа л
двлда.
Дещ кабимх л мадвжв оагеажв йкигкажжа SDelete влйиецбнем API
взмекоегл
деокагжезмарвв. Л йижиуцш чмиги взмекоегла иза ийкедеещем, в дадвп вжеззи
деалмекап калй
иеиаезх даззхе, лиимвемлмвншуве чмвж лаамхж,
окагжезмвкиваззхж вев батвокиваззхж оагеаж. Пилее миги, дад чми
нлмазивеези, жиази йекейвламц лидекавжие деалмекив л йижиуцш йкщжиги
дилмнйа д двлдн.
Исвлмда лвибидзиги желма миае щвещемлщ зейкилмиг бадасег. Тад
дад оагеивхе
лвлмежх FAT в NTFS зе йкедилмавещшм вибжиазилмв йквеиаезвщж зайкщжнш
ибкауамцлщ д лвибидзижн двлдивижн йкилмказлмвн, н йкигкажжх SDelete елмц
два вибжиазхп ваквазма деглмввг. Пеквхг
йекебайвлц деалмекив,
лидекааувплщ в лвибидзиж двлдивиж йк
илмказлмве, л йижиуцш йкщжиги дилмнйа
д двлдн, азаеигвсзи лвмнарвв ли лаамхжв, окагжезмвкиваззхжв в
батвокиваззхж оагеажв. Зи н чмиги йидпида елмц идвз лнуелмвеззхг
зедилмамид. Даае елев ибелйесвмц в йкигкажже SDelete йиезиреззнш
йиддекадн йидлсема лвибидз
иги двлдивиги йкилмказлмва за кабдееап NTFS в
FAT (сми лажи йи лебе земкввваецзи), лнуелмвнем квлд дизоевдма л меднувжв
оагеивхжв ийекарвщжв, димикхе йкивлпидщм в лвлмеже ви вкежщ кабимх
SDelete. Зелеиази йкедлмаввмц лвмнарвш, дигда йкигкажжа SDelete ийкед
еевм,
сми деалмек лвибидез, в ми вкежщ дад дкагвек оагеивиг лвлмежх (FAT вев
NTFS) вхдеевм чмим деалмек дещ оагеа, димикхг в даззхг жижезм вбжезщемлщ
дадвж
звбндц кабимашувж йквеиаезвеж. Дкагвек оагеивиг лвлмежх
байвлхваем зивхе даззхе в чмим деалмек, а ба
меж лидекавжие чмиги деалмека
йекейвлхваемлщ йкигкажжиг SDelete, беагидакщ сежн зивхе даззхе,
байвлаззхе в оаге, бнднм нмекщзх. Еуе биеее ийалза лвмнарвщ, дигда
исвуаежхг деалмек бхе вхдееез дещ лвлмежзхп жемадаззхп, йимижн сми в чмиж
ленсае бнднм йивкеаде
зх пказщувелщ за двлде лвлмежзхе лмкндмнкх даззхп.
Вмикиг йидпид, димикхг в влйиецбнемлщ в йкигкажже SDelete, бадешсаемлщ в
дилвеззиг йекебайвлв лвибидзиги йкилмказлмва. Лйеква йкигкажжа вхдеещем
оаге завбиецтеги вибжиазиги кабжека. Дещ чмиги влйиецбнемлщ
зедчтвкншуащ
ийекарвщ ввида
вхвида, смибх лидекавжие дчта оагеивиг лвлмежх ИЛ
Windows NT зе бхеи исвуези в байиезези белйиеебзхжв даззхжв, лвщбаззхжв
л вхдеееззхж оагеиж. Зедчтвкншуве ийекарвв ввида
вхвида диеазх
вхкавзввамцлщ йи гказвре ледмикив (512 багм
), йичмижн салмц двлдивиги
йкилмказлмва илмаземлщ лвибидзхж, даае елев кабжек вхдеещежиги оагеа
жадлвжаецзи вибжиазхг. Смибх базщмц илмавтеелщ лвибидзие йкилмказлмви,
йкигкажжа SDelete вхдеещем оаге жадлвжаецзи вибжиазиги кабжека нае л
йижиуцш дчтвкншувп и
йекарвг ввида
вхвида. Дещ ибивп вхдеееззхп оагеив
илнуелмвещемлщ йекебайвлц даззхп, беагидакщ сежн казее лвибидзие двлдивие
йкилмказлмви лмазиввмлщ бебийалзи исвуеззхж.
В ленсае кабдееив NTFS кабима йкигкажжх SDelete зе влсекйхваемлщ
йекебайвлцш чмвп двнп
оагеив. Пкигкажжа мадае байиезщем вле лнуелмвншуве
47
лвибидзхе нсалмдв мабеврх NTFS MFT (геавзиг оагеивиг мабеврх) оагеажв,
димикхе йижеуашмлщ йи кабжекн в байвлв чмиг мабеврх. Ибхсзи кабжек байвлв
мабеврх MFT лилмавещем 1 ДБ. Даадижн оаген вев йайде за двлд
е мкебнемлщ
дад жвзвжнж идза байвлц мабеврх MFT. Маеезцдве оагех йиезилмцш пказщмлщ
взнмкв лвивп байвлег мабеврх MFT, в ми вкежщ дад оагех, димикхе зе
йижеуашмлщ в байвлц мабеврх MFT, калйиеагашмлщ в вхдеееззхп деалмекап ба
йкедееажв мабеврх. Пкигкажже SDe
lete илмаемлщ евтц вхдеевмц оаге
жадлвжаецзи вибжиазиги кабжека, мад, смибх чмим оаге базще вле лвибидзие
йкилмказлмви в байвлщп мабеврх MFT. Дкагвек NTFS зе йибвиевм оаген
калтвквмцлщ еуе биецте, йимижн сми за двлде биецте зе илмаземлщ лвибидзхп
деалмекив
(вле лвибидзхе деалмекх базщмх двнжщ вхдеееззхжв за
йкедхднуеж чмайе оагеажв). Замеж йкирелл йивмикщемлщ. Дигда йкигкажжа
SDelete нае зе жиаем либдамц за двлде зивхг оаге, иза ийкедеещем, сми вле
казее лвибидзхе байвлв мабеврх MFT мейекц йиезилмцш байиезе
зх бебийалзи
йекебайвлаззхжв оагеажв.
Дещ йекебайвлв вжез ндаещежхп оагеив йкигкажжа SDelete йекевжезивхваем
оаге 26 каб йидкщд, даадхг каб бажезщщ даадхг лвжвие вжезв оагеа
леедншувж йи аеоаввмн лвжвиеиж. Зайквжек, йеквие вжщ оагеа “foo.txt” бхеи
бх “AAA.
AAA”.
Пквсвза, йи димикиг йкигкажжа зе ндаещем вжеза оагеив в йкирелле исвлмдв
лвибидзиги йкилмказлмва, бадешсаемлщ в зеибпидвжилмв йкщжиги нйкавеезвщ
лмкндмнкажв даззхп йайид. В чмвп лмкндмнкап жиаем бхмц лвибидзее
йкилмказлмви, в димикиж лидекаамлщ вжеза
ндаееззхп оагеив, зи чми
лвибидзие желми зе вхдеещемлщ дещ оагеив. Тадвж ибкабиж, н йкигкажжх
SDelete зем вибжиазилмв вхдееезвщ лвибидзиги йкилмказлмва в лмкндмнкап
даззхп двкедмиквг дещ бебийалзиг исвлмдв чмиги йкилмказлмва.
55. ShareEnum v1.6
Пкв кетезв
в вийкилив бебийалзилмв дижйцшмекзхп лемег йид нйкавеезвеж
ийекарвиззхп лвлмеж Windows NT/2000/XP ибувж оагеивхж келнклаж салми зе
ндеещемлщ диеазие взвжазве. Лвлмежх бебийалзилмв салми вжешм пакадмекзхг
вбфщз, лвщбаззхг л меж, сми йиецбивамеев йкедилмавещ
шм ибувг дилмнй д
оагеивхж келнклаж, зе ибелйесвващ дилмамисзиги нкивзщ баувмх, сми
йибвиещем зе вжешувж лиимвемлмвншувп йкав йиецбивамеещж йкилжамкввамц
дизовдезрваецзхе оагех. В лвлмеже зем влмкиеззхп лкедлмв дещ
оикжвкивазвщ лйвлдив ввдвжхп в лемв, ибув
п келнклив л ндабазвеж вп
йакажемкив бебийалзилмв, зи йкигкажжа ShareEnum байиезщем чмим йкибее в
йибвиещем беидвкивамц ибуве оагеивхе келнклх лемв.
Пкв байнлде йкигкажжх ShareEnum вхйиезщемлщ лдазвкивазве влеп
дижйцшмекив, впидщувп в дилмнйзхе ег дижезх,
в имибкаааемлщ лйвлид ибувп
оагеивхп келнклив в келнклив йесамв, а мадае вп йакажемкх бебийалзилмв.
Дещ чмиги йкигкажжа влйиецбнем онздрвв оикжвкивазвщ лйвлдив йкимидиеа
NetBIOS. Тад дад миецди аджвзвлмкамик дижеза вжеем вибжиазилмц
йкилжамкввамц вле лемев
хе келнклх, йкигкажжа ShareEnum завбиеее
чооедмввза в ленсае ее байнлда вб нсемзиг байвлв аджвзвлмкамика дижеза.
Пкигкажжа ShareEnum кабимаем в ийекарвиззхп лвлмежап Windows NT/2000/XP.
Работа программы
Дещ оикжвкивазвщ лйвлда дижезив в впидщувп в звп
дижйцшмекив йкигкажжа
ShareEnum влйиецбнем онздрвш WNetEnumResource, а дещ оикжвкивазвщ
лйвлдив кабжеуеззхп за чмвп дижйцшмекап ибувп келнклив
онздрвш
NetShareEnum.
48
56. ShellRunas v1.01
ShellRunas
чмим взлмкнжезм йибвиещем байнлдамц йкигкажжх им вжезв
дкнгиги
йиецбивамеещ влйиецбнщ дижаздзнш лмкидн.
ShellRunas
кабимаем
Windows XP, Windows Server 2003, Windows Vista,
Windows Server 2008.
Улмазивда нмвевмх йкипидвм вб дижаздзиг лмкидв, влйиецбнщ йакажемкх:
/reg
кегвлмкарвщ нмвевмх в дизмедлмзиж же
зш йкивидзвда;
/regnetonly
кегвлмкарвщ в дизмедлмзиж жезш йкв лемевиж лиедвзезвв;
/unreg
ндаеезве жезш йкигкажжх вб йкивидзвда;
/quiet
ме ае ийекарвв в «мвпиж» кеавже;
/netonly
кегвлмкарвщ дещ влйиецбивазвщ йкв ндаееззиж дилмнйе.
57. Sigcheck
Дизл
иецзащ йкигкажжа Sigcheck вхвидвм взоикжарвш и веклвщп оагеив в
йибвиещем ндилмивеквмцлщ, сми ибкабх в лвлмеже йидйвлазх рвокивиг
йидйвлцш.
Синтаксис:
sigcheck [
i][
e][[
s]|[
v]][
q][
u] [
c оаге_дамаеига] <оаге вев
йайда>
c

Илнуелмвещмц йивлд йидйвлег в
ндабаззиж оагее дамаеига.
e

Пкивекщмц миецди влйиезщежхе ибкабх (взе баввлвжилмв им вп калтвкезвщ).
Имибкааамц веадеецрев йидйвлег.
n

Имибкааамц миецди зижек веклвв.
q

Твпвг кеавж кабимх (зе вхвидвмц багиеивид).
s

Реднклввзхг ибпид веиаеззхп
йайид.
u

Имибкааамц миецди зейидйвлаззхе оагех.
v

Вхвид кебнецмамив в оикжаме CSV.
Идзвж вб вибжиазхп лйилибив влйиецбивазвщ чмиг йкигкажжх щвещемлщ йивлд
зейидйвлаззхп оагеив в йайде
Windows
System32. Дещ чмиги знази
вхйиезвмц леедншунш дижаздн:
sigcheck
u
e c:
windows
system32
Дещ даадиги загдеззиги оагеа зеибпидвжи вхщлзвмц йквсвзн, йи димикиг из
зе йидйвлаз.
58. Streams 1.56
Пкигкажжа Streams азаевбвкнем ндабаззхе важв оагех в дамаеигв (н
дамаеигив жигнм бхмц дийиезвмеецзхе йимидв даззхп) в л
иибуаем вжеза в
кабжекх влеп вжезиваззхп йимидив, влмкесашувплщ в чмвп оагеап. Иза
илзивхваемлщ за зедиднжезмвкиваззиг либлмвеззиг онздрвв вбвеесезвщ
даззхп и оагеивхп йимидап.
Синтаксис:
streams [
s] [
d] <оаге вев дамаеиг>
s

Реднклввзхг ибпид веиаеззхп
дамаеигив.
Удаеезве йимидив.
Пкв ндабазвв йимидив дийнлдаемлщ йквжезезве табеизив
зайквжек,
«streams *.txt».
49
59. Strings v2.41
Рабима зад NT в Win2K ибзасаем, сми вхйиезвжхе йкигкажжх в ибфедмзхе
оагех жзиги каб влмкаввашм лмкидв UNICODE, димикхе
зеецбщ йкилми нввдемц
ли лмаздакмзхжв лмкидажв ASCII вев grep йкигкажжажв. Пкигкажжа Strings
миецди йкилжамквваем оаге, димикхг вх йекедаеме дещ лмкид UNICODE(вев
ASCII) бадаззиг йи нжиесазвш девзх 3 вев биецте лвжвиеив UNICODE(вев
ASCII).
Использование:
strings.exe [
a] [
b багмх] [
n девза] [
o] [
q] [
s] [
u] <оаге
вев двкедмиквщ>
кеднклвщ йиддамаеигив;
йесамц лжеуезвщ лмкидв оагеа;
лдазвкивамц миецди дещ ASCII;
лдазвкивамц миецди дещ UNICODE;
багмх оагеа дещ лдазвкивазвщ;
лмкида диеаза бхмц жвзвжнж П лвжвиеив в девзн.
60. Sync 2.0
В ИЛ UNIX вжеемлщ лмаздакмзащ ленаебзащ йкигкажжа йид забвазвеж Sync,
димикащ йибвиещем лбкилвмц вле даззхе оагеивиг лвлмежх вб йажщмв за двлд,
смибх изв зе бхев йимекщзх, елев йкивбигдем лбиг
лвлмежх. Беб вхйиезезвщ
чмиг ийекарвв вле йквлнмлмвншуве в дчте даззхе нмкасввашмлщ йкв лбие.
Sync дещ Windows икгазвбивхваем задеазие пказезве за аелмдвп двлдап
вбжезеззхп даззхп оагеивиг лвлмежх. Д лиааеезвш, дещ байнлда Sync зназх
аджвзвлмкамввзхе йкввв
еегвв. В даззиг веклвв, йижвжи йкисеги, кеаевбиваза
вибжиазилмц лбкила вб йажщмв даззхп, имзилщувплщ д лфежзхж зилвмеещж
(зайквжек, д ZIP
двлдивидаж).
Синтаксис:
sync [
r] [
e] [лйвлид бндв двлдив]
r

Лбкил лфежзхп зилвмееег.
Вбвеесезве лфежзхп зилвмее
ег.
Пкв ндабазвв диздкемзхп двлдив (зайквжек, "c e") йкигкажжа Sync лбкалхваем
вб йажщмв миецди лвщбаззхе л звжв даззхе.
61.TCPView дещ Windows (веклвщ v3.02)
TCPView
чми йкигкажжа, йкедзабзасеззащ дещ ийекарвиззиг лвлмежх
Windows, димикащ вхвидвм за
чдказ лйвлдв дизесзхп мисед влеп нлмазивееззхп
в лвлмеже лиедвзезвг йи йкимидиеаж TCP в UDP л йидкибзхжв даззхжв, в миж
свлее л ндабазвеж еидаецзхп в ндаееззхп адкелив в лилмищзвщ TCP
лиедвзезвг. В ийекарвиззхп лвлмежап Windows NT, 2000 в XP йкигкажжа
TCPV
iew мадае лиибуаем вжщ йкирелла, димикижн йквзадееавм дизесзащ мисда.
Пкигкажжа TCPView щвещемлщ дийиезезвеж йкигкажжх Netstat, йилмавещежиг
вжелме л ИЛ Windows, в йкедилмавещем калтвкеззхг забик лведезвг в биеее
ндибзиг оикже. В дижйеедм багкнбдв йкигкажж
х TCPView впидвм йкигкажжа
Tcpvcon л межв ае онздрвизаецзхжв вибжиазилмщжв, йкедзабзасеззащ дещ
кабимх в кеавже дижаздзиг лмкидв.
Пкигкажжа TCPView кабимаем в ийекарвиззхп лвлмежап Windows NT/2000/XP в
Windows 98/Me. Пкигкажжн TCPView жиази влйиецбивамц ма
дае в ийекарвиззиг
лвлмеже Windows 95 йкв нлеиввв нлмазивдв йадема ибзивеезвщ Winsock 2 дещ
ИЛ Windows 95, йкедилмавещежиги дикйикарвег Microsoft.
50
Использование T/tView
Пкв байнлде йкигкажжа TCPView оикжвкнем лйвлид влеп адмввзхп дизесзхп
мисед лиедвзезвг
йи йкимидиеаж TCP в UDP, имибкааащ вле IP
адкела в ввде
дижеззхп вжез. Смибх йекедешсвмц кеавж имибкааезвщ дещ йкилжимка
адкелив в рвокивиж ввде, жиази влйиецбивамц дзийдн йазеев взлмкнжезмив
вев йнздм жезш. В ийекарвиззхп лвлмежап Windows XP йкигкажжа TCP
View дещ
даадиг дизесзиг мисдв имибкаааем вжщ йкирелла, димикижн чма мисда
йквзадееавм.
Пи нжиесазвш йкигкажжа TCPView ибзивещем взоикжарвш идвз каб в леднздн,
зи йеквид ибзивеезвщ жиази вбжезвмц л йижиуцш йнздма Refresh Rate (Пеквид
ибзивеезвщ) в жезш Opt
ions (Пакажемкх). Елев в йеквид жеадн ибзивеезвщжв
лилмищзве дизесзиг мисдв вбжезвеилц, иза вхдеещемлщ аеемхж рвемиж, елев
дизесзащ мисда ндаееза
дкалзхж рвемиж, зивхе дизесзхе мисдв
имибкааашмлщ бееезхж рвемиж.
Смибх бадкхмц нлмазивееззхе йиддешсезвщ йи
йкимидиеаж TCP/IP (л имжемдиг
лилмищзвщ ESTABLISHED (нлмазивеези)), жиази вхбкамц йнздм Close Connections
(Задкхмц йиддешсезвщ) в жезш File (Оаге) вев уеедзнмц йкавиг дзийдиг жхтв
дадие
евби йиддешсезве в вхбкамц в дизмедлмзиж жезш йнздм Close
Connections
Даззхе, имибкааеззхе в идзе йкигкажжх TCPView, жиази липказвмц в ввде
оагеа л йижиуцш йнздма жезш Save (липказвмц).
62. VMMap v2.62
VMMap
зебиецтащ нмвевма, димикащ в загещдзиж ввде йкедилмавещем
йиецбивамееш влсекйхвашунш взоикжарвш и калйкедееезвв ов
бвселдиг в
ввкмнаецзиг йажщмв дещ ешбиги байнуеззиги йкирелла.
Основные возможности Vaaap:
Имибкаааем кабевсвщ в ибфеже йекедаззиг йажщмв в кабисеги забика.
Имибкаааем диздкемзхе адкела дещ кабевсзхп дамегиквг влйиецбнежиг йажщмв
(ввдеийажщмц, либлмвеззащ
йажщмц, ливжелмзи влйиецбнежащ йажщмц, пвй,
нйкавещежхг пвй, лмед в лвлмежзащ йажщмц).
Регнещкзие ибзивеезве дакмх калйкедееезвщ йажщмв.
Рабима ли лрезаквщжв л вибжиазилмцш чдлйикмвкивамц даззхе в оикжам .mmp.
Заевсве ийрвв "Empty Working Set" ("Исвлмвмц к
абисвг забик").
Пиддекада дижаздзиг лмкидв.
63. VolumeID 2.0
Пкигкажжа VolumeID йибвиещем вбжезщмц вдезмвовдамикх двлдив FAT в NTFS
(дад гвбдвп, мад в аелмдвп двлдив) в лкедап Windows 9x в Windows
NT/2K/XP/2K3.
Синтаксис:
volumeid <бндва_двлда:> xxxx
Раллжамквваежащ йкигкажжа байнлдаемлщ миецди вб идза дижаздзиг лмкидв.
Лееднем вжемц в ввдн, сми вбжезезвщ мижив NTFS лмазивщмлщ ввдвжхжв миецди
йилее йекебагкнбдв. Дкиже миги, йекед вбжезезвеж вдезмвовдамика мижа
зеибпидвжи бадкхмц вле кабимашуве йквеиаез
вщ. В йкимввзиж ленсае NT
жиаем йкедйиеиавмц, сми йилее вбжезезвщ вдезмвовдамика мижа FAT лжезвелщ
овбвселдвг зилвмеец (двлд), в засамц вхвидвмц лиибуезвщ, йквгеатащ
нлмазиввмц влпидзхг двлд (!). Пилее чмиги вибжиаез имдаб в влйиезезвв
байкилив за дилмнй д
двлдаж, йилмнйашувп им йквеиаезвг.
51
64. Whois v1.01
Ленаебзащ йкигкажжа Whois вхйиезщем байвлц кегвлмкарвиззхп даззхп дещ
ндабаззиги вжезв дижеза вев IP
адкела.
Применение:
whois вжщ_дижеза [whois.леквек]
Пакажемк вжщ_дижеза жиаем бхмц евби вжезеж ленабх D
NS (зайквжек
www.sysinternals.com), евби IP
адкелиж (зайквжек 66.193.254.46).
65. WinObj (веклвщ 2.15)
WinObj
чми йкигкажжа дещ 32
кабкщдзхп веклвг ИЛ Windows NT, димикащ
ибкауаемлщ д йкилмказлмвн вжез двлйемсека ибфедмив NT в вхвидвм даззхе и
зеж йкв йи
жиув либлмвеззиги йквдеадзиги йкигкажжзиги взмекоегла Windows
NT (йкедилмавещежиги секеб бвбевимедн NTDLL.DLL). За йеквхг вбгещд,
йкигкажжа Winobj лпиаа л идзивжеззиг йкигкажжиг вб дижйеедма Microsoft
SDK, в ми ае вкежщ лееднем вжемц в ввдн, сми в йилеедзе
г елмц зелдиецди
лекцебзхп итвбид, димикхе зе йибвиещшм влегда вхвидвмц мисзхе даззхе (в
салмзилмв, йиезилмцш закнтезх жепазвбжх йидлсема делдквймикив в ллхеид).
Дкиже миги WinObj йиддекавваем биеее твкидвг забик мвйив ибфедмив. В
веклвв 2.0 WinObj нливект
езлмвиваз йиецбивамеецлдвг взмекоегл,
йкеднлжимкезх лкедлмва имдкхмвщ ибфедмив нлмкиглмв, а мадае йкилжимка в
вбжезезвщ даззхп бебийалзилмв ибфедмив л йижиуцш либлмвеззхп кедадмикив
бебийалзилмв NT.
Установка и использование
Звдадвп дижйизезмив дкагвекив н
лмкиглмв дещ WinObj зе йкеднлжимкези,
йичмижн ее жиази байнлдамц мисзи мад ае, дад в ешбхе дкнгве йкигкажжх
Win32.
Работа программы
За нйкавеезве ибфедмажв NT имвесаем двлйемсек ибфедмив. В каждап чмиг
онздрвизаецзилмв двлйемсек йиддекавваем либлмвеззие йк
илмказлмви вжез, в
димикиж пказвмц в влдамц ибфедмх жигнм кабзиибкабзхе дижйизезмх ИЛ,
дкагвекх нлмкиглмв в йкигкажжх Win32. Либлмвеззхг йквдеадзиг
йкигкажжзхг взмекоегл NT лидекавм йкиреднкх, димикхе йибвиещшм
йкигкажжаж, кабимашувж в йиецбивамеецлдиж кеа
вже, йкилжамкввамц
йкилмказлмви вжез в имйкавещмц байкилх и лилмищзвв пказщувплщ в зеж
ибфедмив; йкибеежа евтц в миж, сми чмв взмекоеглх зе диднжезмвкивазх.
66. ZoomIt v4.1
ZoomIt
чми нмвевма дещ нвеевсезвщ чдказа (Zoom) в лкедлмви либдазвщ
йижемид дещ м
епзвселдвп йкебезмарвг, димикхе вдешсашм дежизлмкарвш
йквеиаезвг. ZoomIt кабимаем зебажемзи в лвлмежзиж мкее в адмвввбвкнемлщ л
зааамвеж ийкедеееззхп деаввт дещ нвеевсезвщ ибеалмв чдказа, двваезвщ йи
нвеевсеззиг ибеалмв, в квливазвщ йи нвеевсеззижн вбибкаа
езвш. ZoomIt
кабимаем ви влеп веклвщп Windows.
Задазвщ за вхйиезезве лажилмищмеецзиг кабимх:
Ваквазм 1
52
адазвщ
Ваквазм 1
1.
Вхвелмв ибфедмх, д димикхж елмц йкави дилмнйа за смезве в байвлц, в
ибфедмх, зе вжешуве йкавве дилмнйа. (
AccessChk, AccessEnum
2.
Пида
авме лиимвемлмвве жеадн еигвселдвж в овбвселдвж йкирелликиж.
Вхведвме взоикжарвш и детап (
Coreinfo
3.
Дизвекмвкнгме делщмвсзхе свлеа в телмзадрамеквсзхе в заибиким
Hex2dec
4.

Имибкабвме жадлвжаецзие диевселмви чдбежйещкив дещ даадиги дазаеа
PipeList
5.
Вхве
двме декеви йкирелла (
PsList

6.
Вхведвме лйвлид оагеивхп келнклив в келнклив йесамв в дижез
ShareEnum
Ваквазм 2
1.
Пкилжимквме лвиглмва ибфедмив в амквбнмх бабх даззхп
ActiveDirectory
AdExplorer
2.
Пкилжимквме вхпидзхе даззхе леазла имеаддв за еидаецзиг
жатвзе беб
адмввзиги имеадсвда (
DebugView
3.
Либдагме в ндаевме мисдн лиедвзезвщ жеадн дамаеигажв (
Junction
4.

Имибкабвме адмввзилмц йилеедивамеецзхп в йакаеееецзхп йикмив в
лвлмеже (
PortmonforWindows
5.
Вхведвме лйвлид йиецбивамеее, витедтвп в лвлмежн (
PsLoggedOn

6.
Зайнлмвме йкигкажжн им вжезв дкнгиги йиецбивамеещ (
ShellRunas
Ваквазм 3
1.
Виллмазиввме ленсагзи ндаееззхе ибфедмх
ActiveDirectory
в дижезап
Server
2003 (
AdRestore
2.
Либдагме зелдиецди кабисвп лмиеив (
Desktops
3.
Вхведвме даззхе вб бабх
4.
Зайвтвме дажй йкв бавектезвв йкирелла в баказее йидгимивееззиж
оагее (
UsingProcDump
LDM
, пка
зщуеглщ за ндабаззиж двлде
LDMDump
5.
Вхведеме байвлв лвлмежзиги анкзаеа, либдаззхе ди ндабаззиг дамх
PsLogList

6.
Имибкабвме лйвлид зейидйвлаззхп рвокивиг йидйвлцш оагеи
Sigcheck
Ваквазм 4
1.
Вхйиезвме залмкигдн кеелмка, вдешсезве в вхдешсезве авмижамвселдиги
впида в лвлмежн (
Autologon
2.
Либдагме ввкмнаецзхг двлд оикжама
VHD
Disk
vhd
3.
Имибкабвме йиезхе йнмв багкнаеззхп жиднеег (
ListDLLs

rocessExplorer
4.
). Лкавзвме йиенсеззхе кебнецмамх кабимх чмвп двнп
йкигкажж.
Пилжимквме адмввзилмц оагеивиг лвлмежх, кеелмка, йкиреллив в йимидив
ProcessMonitor
5.
Либдагме зивхг йакиец дещ нсемзиг
байвлв (
PsPasswd

6.
Вхвелмв диевселмви йимидив ндабаззиги оагеа (
Streams
53
Ваквазм 5
1.
Пкивекцме рвокивхе йидйвлв. Пидаавме авмижамвселдв байнлдаежхе
ибфедмх дещ ндабаззиг нсемзиг байвлв йиецбивамеещ (
Autoruns
2.
Вхведвме даззхе и кабжеуезвв кабдееив за двлда
п (
DiskExt
3.
Имибкабвме лмкндмнкн даззхп мвйа в дкагвекив «йкирелл» (
LiveKd

4.
Пилжимквме, деглмвнем ев в лвлмеже калтвкезве
5.
Вхведвме меднуее лилмищзве ленабх (
PsService
PAE
щдка (
ProcFeatures
6.
Пкимелмвкивамц йкигкажжн
Strings
Ваквазм 6
1.
Вхведвме ваазнш
взоикжарвш и лвлмеже в ввде оизивиги квлнзда
(BgInfo).
2.
Вхведвме лведезвщ иби влеп ийекарвщп л аелмдвж двлдиж (
DiskMon дещ
Windows
3.
Ийкедеевме йикщдид багкнбдв дкагвекив нлмкиглмв в ИЛ (
LoadOrder
).

4.
Пкимелмвкнгме йкигкажжн
PsExec
5.
Лгезеквкнгме вдешсезве диж
йцшмека беб имдешсезвщ йвмазвщ, в
вхведвме йкеднйкедвмеецзие лиибуезве ба ндабаззие свлеи леднзд ди
вхдешсезвщ (
PsShutdown
6.
Вбвеесц лфежзхг зилвмеец (
Sync
Ваквазм 7
1.
Исвлмвме кабисвг забик дчта. Улмазиввме зивхг кабжек дчта
CacheSet
2.
Пкиведвме азаевб л
едмикив двлда (
DiskView
3.
Вхведвме лйвлид адмввзхп леазлив впида в лвлмежн (
LogonSessions

4.
Вхведвме за чдказ лйвлид оагеив лвлмежх, димикхе имдкхмх ндаееззи
PsFile
5.
Вхведвме взоикжарвш и миж, лдиецди йажщмв йимкебещемлщ ндабаззхж
йквеиаезвеж (
RAMMap
6.
Имибкабвме лйвлид дизесзхп мисед, нлмазивееззхп в лвлмеже лиедвзезвг
йи йкимидиеаж
TCP в UDP
TCPView дещ Windows
Ваквазм 8
1.
Вхведвме веевсвзн взмекваеа лвлмежзиги магжека (
ClockRes
2.
Имибкабвме взоикжарвш иб влйиецбивазвв желма за двлде йи дамаеигаж
DiskUsage
3.
Вхведвме лведезвщ и кабжеке оагеив жемадаззхп
NTFS (
NTFSInfo

4.
Вхведвме лйвлид нлмазивееззхп йквеиаезвг лвлмежх (
PsInfo
5.
Пкимелмвкнгме нмвевмх йи кибиме л кеелмкиж
RegDelNull
RegJump
6.
Пкимелмвкивамц нмвевмн
VMMap
Ваквазм 9
1.
Деокагжезмвкнгме
имдеецзхг оаге в йкиведвме азаевб еги
окагжезмарвв (
Contig
2.
Пкилжимквме лведезвщ и батвокиваззхп оагеап (
EFSDump
3.
Вхйиезвме деокагжезмарвш днлмив кеелмка (
PageDefrag

4.
Вхщлзвме
SID
дижеза (
PsGetSid
5.
Вхведвме кебнецмамх лдазвкивазвщ йи ибзакнаезвш
rootki
йкигкажж в
оикжаме
CSV
RootkitRevealer
6.
Вбжезвме вдезмвовдамикх двлда
FAT
VolumeID
54
Вакхазм 10
1.
Зайнлмвмц магжек, дибаввмц йквжесазве, нвеевсвмц ибеалмц чдказа зад
днкликиж (
ZoomIt
2.
Вхведвме йекесезц имдкхмхп йкиреллажв оагеив (
Handle
3.
Имибкабвме лй
влид оагеив, ндаеезве в йекевжезивазве димикхп
байеазвкивази за жижезм леедншуег йекебагкнбдв лвлмежх
PendMoves
4.
Завектвме вле йкиреллх л ийкедеееззхж вжезеж (
PsKill
PsSuspend

5.
Исвлмвме ндабаззхг оаге л мкежщ йкипидажв йекебайвлв (
6.
Вхйиезвмц б
айвлц кегвлмкарвиззхп даззхп дещ ндабаззиги вжезв
дижеза (
Whois

55
ЧДЛПЕРВМЕЗТ 1: йкилжимк декева йкиреллив
Декеви йкиреллив йидабхваемлщ нмвевмиг
«Tlist.exe»
(вб Windows Debugging
Tools), елев вх ндабхваеме дешс /t. Дещ миги смибх вжемц вибжиазилмц
влйие
цбивамц вхте ндабаззнш нмвевмн, байнлдаеж нлмазивисзхг оаге
dbg_x86_6.11.1.404.msi».
В секеб дижаздзнш лмкидн йекепидвж д
нлмазивееззиг йайде л забикиж йкигкажж. Вим
ибкабер
вхвида
дижаздх
«Tlist.exe»
C:
Program Files
Debugging Tools for Windows (x86)�
tlist /t
System Process (0)
System (4)
smss.exe (656)
csrss.exe (872)
winlogon.exe (920)
services.exe (1292)

svchost.exe (1452)

igfxsrvc.exe (244) OleMainThreadWndName

svchost.exe (1532)

svchost.exe (1572)

svchost.exe (1620)

svchost.exe (1700)

spoolsv.exe (416)

svchost.exe (488)

mDNSResponder.exe (608)

ekrn.exe (692) EpfwWindow

sqlservr.exe (772)

sqlwriter.exe (884)

alg.exe (2224)
svchost.exe (3216)
lsass.exe (1304)
explorer.exe (1268) Program Manager
hkcmd.exe (1936)
igfxpers.exe (1944) PersistWndName
RTHDCPL.EXE (1616)
тъщпЄўпЁ
Realtek HD
sm56hlpr.exe (1348)
Ётхшрпчтп
ъщЁкмшўчшу
щшоопЁрфт
цшопцк
SM56
USBGuard.exe (1988) USB Disk Security
egui.exe (2012) ESET Smart Security
ctfmon.exe (2020)
VistaDrv.exe (2028) VistaIcon
LouderIt.exe (2032)
CCProxy.exe (336) CCProxy 2010
WINWORD.EXE (3472) Lab1 (
мпЁ
0.2).doc [
пртц
шнЁкчтўпччшу
ЇєчфЎтшчкх
чшъЄт
Microsoft Word
WinDjView.exe (2420)
+Russinovich_M_Solomon_D_Inside_Microsoft_Windows.djvu
WinDjView
firefox.exe (1632)
ABA 1
шчЎпщЎтт
тчъЄЁєцпчЄ
1.
чєЄЁпччпп
єъЄЁшуъЄмш
Windows (
4)
Єпчтп
фчтнт
чхкуч
ЄЁкчтЎк
8
хпфЄЁшчч
plugin
container.exe (1220)
???????s?o?T?T???T?U?t?u?u?T?U?u?T???T?T?T?T?T?T
?U?T?T???
56
cmd.exe (3768) C:
WINDOWS
system32
cmd.exe
tlist /t
tlist.exe (928)
Вбавжиимзитезвщ йкиреллив (дисекзвг
кидвмеецлдвг) Tlist йидабхваем
имлмнйажв. Вжеза йкиреллив, кидвмеецлдве йкиреллх димикхп за даззхг
жижезм бавектвевлц, вхкавзввашмлщ йи еевижн дкаш, йимижн сми нлмазиввмц
вп кидлмвеззхе лвщбв зевибжиази
даае елев йкиреллх
йкайкеддв еуе
лнуелмвншм. Windows липказщем вдезмвовдамик миецд
и кидвмеецлдиги
йкирелла, мад сми йкилеедвмц еги либдамеещ зеецбщ. Смибх нбедвмцлщ в чмиж,
вхйиезвме леедншуве ийекарвв.
Имдкигме идзи дижаздзиг лмкидв.
Забеквме
start cmd
дещ байнлда вмикиги идза дижаздзиг лмкидв.
Имдкигме двлйемсек бадас.
Пекедешсвмелц з
а вмикие идзи дижаздзиг лмкидв.
Введвме
mspaint
дещ байнлда
Microsoft Paint
Щеедзвме вмикие идзи дижаздзиг лмкидв, введвме
exit
.
ЧДЛПЕРВМЕЗТ 2:
йкилжим
к взоикжарвв и йкиреллап секеб двлйемсек
бадас
(Зажемцме, сми идзи
Paint илмаемлщ).
Пекедешсвмелц в двлйемсек бадас в имдкигме еги вдеаддн
«Пквеиаезвщ».
Щеедзвме йкавиг дзи
йдиг жхтв бадасн
«Дижаздзащ лмкида»
в вхбеквме
«Пекегмв д йкиреллаж».
Щеедзвме йкирелл
Cmd.exe
йкавиг дзийдиг жхтв в вхбеквме дижаздн
«Завектвмц декеви йкиреллив
».
B идзе «Пкеднйкеадезве двлйемсека бадас» уеедзвме «Да».
Пеквие идзи дижаздзиг лмкидв влсебзе
м, зи вх йи
йкеазежн лжиаеме
забешдамц идзи Paint, мад дад изи щвещемлщ взндиж йеквиги вб бавектеззхп
йкиреллив Дижаздзиг лмкидв. A йилдиецдн вмикиг (кидвмеецлдвг йкирелл Paint)
миае бавектез, лвщбц жеадн кидвмеееж в взндиж йимекщза.
Двлйемсек бадас Windows имибкаааем лйвлид вхйиезщежхп в лвлмеже
йкиреллив. Еги жиази байнлмвмц мкежщ лйилибажв:
зааав деаввтв
Ctrl+Shift+Esc
уеедзнв йазеец бадас йкавиг дзийдиг жхтв в вхбкав дижаздн «
Двлйемсе
бадас»;
зааав деаввтв
Ctrl+Alt+Del
Пилее байнлда двлйемсека бадас имдкигме вдеаддн
«Пкиреллх».
Пкиреллх
вдезмвоврвкншмлщ йи вжезв ибкаба, чдбежйещкажв димикиги изв щвещшмлщ. Дещ
йкилжимка биеее йидкибзхп лведезвг вхбеквме вб жезш
«Ввд»
дижаздн
«Вхбкамц
лмиебрх»
в ндаавме, дадащ дийиезвмеецзащ взоикжарвщ вал
взмекелнем.
57
Рис.
. Выбор столбцов
За вдеадде
«Пквеиаезвщ»
имибкаааемлщ лйвлид ввдвжхп идиз байнуеззхп
йквеиаезвг. Тадае иза йибвиещем вдезмвоврвкивамц йкирелл, димикижн
йквза
дееавм йимид, веадешувг дадвж
евби идзиж бадасв. Дещ чмиги уеедзвме
йкавиг дзийдиг жхтв вжщ бадасв в вхбеквме дижаздн
«Пекегмв д йкиреллаж».
Диеизда
«Лилмищзве»
даем йкедлмавеезве и миж, запидвмлщ ев йимид
веадееер идза в лилмищзвв иавдазвщ Windows
лиибу
езвщ. «
Рабимаем»
ибзасаем, сми йимид иавдаем ввида в идзи, a
«He имвесаем»
сми зе иавдаем
(м.
е. базщм евби адем бавектезвщ ийекарвв ввида
вхвида вев илвибиадезвщ
дадиги
евби лвзпкизвбвкншуеги ибфедма).
Рис.
. Диспетчер задач
ЭКСПЕРИМЕНТ 3: просмотр детальных сведений о процессах с помощью Process
Explorer
Пкв йеквиж байнлде вх нввдвме лиибуезве и миж, сми за даззхг жижезм
лвжвиех зе лдизовгнквкивазх. Дигда изв диккедмзи лдизовгнквкивазх,
Process Explorer жиаем ибкауамцлщ д лвж
виецзиг взоикжарвв дещ имибкааезвщ
58
лвжвиецзиги вжезв лмакмивиг онздрвв йимида в онздрвг в еги лмеде вхбивив
(дещ чмиги знази дваадх уеедзнмц йкирелл в вхбкамц вдеаддн Threads). Чма
взоикжарвщ йиеебза дещ вдезмвовдарвв миги, сми вжеззи дееашм йимидв
взнмкв
йкирелла. Дещ дилмнйа д лвжвиеаж вх диеазх нлмазиввмц Debugging
Tools. Пимиж уеедзнмц Options, вхбкамц Configure Symbols в забкамц
йидпидщувг йнмц Symbols. Зайквжек:
Рис.
. Выбор пути места нахождения символов
Пкв байнлде Process Explorer йи нжиесазвш вхвидвм лйвлид йкиреллив в
векпзег йиеиввзе идза, а лйвлид имдкхмхп ийвламееег дещ вхбказзиги за
даззхг жижезм йкирелла
в звазег йиеиввзе. Елев вх бадекавме днкли
жхтв зад вжезеж йкирелла, Process Explorer мадае йидабхваем ийвлазве
ибкаба, забвазве дижйазвв в йиезхг йнмц.
Рис.
. Окно Process Explorer
Вим дад влйиецбивамц зедимикхе бабивхе вибжиазилмв Process Explorer:
59
1.
Имдешсвме звазшш лед
рвш, лбкилвв View, Show Lower Pane. (Звазщщ
ледрвщ жиаем имибкааамц имдкхмхе ийвламеев вев йкиервкнежхе DLL в
оагех).
2.
Пкиреллх, щвещшувелщ пилмажв лекввлив, йи нжиесазвш вхдеещшмлщ
кибивхж рвемиж. Ватв либлмвеззхе йкиреллх вхдеещшмлщ лвзвж. (Чмв
рвема жиаз
и залмкивмц.)
3.
Задекавме днклик жхтв зад вжезеж ибкаба в в йидлдабде имибкаааемлщ
йиезхг йнмц.
4.
Щеедзвме View, Select Columns в дибавцме йнмц ибкаба.
5.
Имликмвкнгме йи диеизде йкиреллив в вх нввдвме, сми йкедлмавеезве в
ввде декева влсебеи. (Вх жиаеме евби вхв
елмв йкедлмавеезве в ввде
декева, евби ликмвкивамц йи ешбиг вб имибкаааежхп диеизид.) Лзива
уеедзвме дещ ликмвкивдв йи аеоаввмн в ибкамзиж йикщдде (им Z д А).
Пилее чмиги исекедзиг уеесид векзем йкедлмавеезве в ввде декева.
6.
Лбкилцме View, Show Processes Fr
om All Users дещ имибкааезвщ миецди
ватвп йкиреллив.
7.
Пекегдвме в Options, Difference Highlight Duration в лжезвме бзасезве за
5 леднзд. Пимиж байнлмвме зивхг йкирелл (дадиг нгидзи) в ибкамвме
взвжазве за ми, сми чмим йкирелл вхдеещемлщ бееезхж в месезве 5
леднзд. Задкигме зивхг йкирелл в бажемцме, сми чмим йкирелл вхдеещемлщ
дкалзхж в месезве 5 леднзд, йкеаде сеж влсебзнмц вб дкевиввдзиги
лйвлда. Чма онздрвщ жиаем йквгидвмцлщ дещ ибзакнаезвщ либдаваежхп в
бавектаежхп йкиреллив в лвлмеже.
8.
Дваадх уеедзвме дад
звбндц йкирелл в вбнсвме вдеаддв, дилмнйзхе в
идзе лвиглмв йкирелла.
ЭКСПЕРИМЕНТ 4. Наблюдение за активностью потоков с помощью QuickSlice.
QuickSlice йибвиещем в двзажвде забешдамц ба лиимзитезвеж вкежезв,
йкиведеззиги даадхж йкиреллиж в кеавже щдка в
в йиецбивамеецлдиж кеавже.
Ha двагкажже дкалзащ салмц лмиебра имкаааем диевселмви йкирелликзиги
вкежезв в кеавже щдка, а лвзщщ
в йиецбивамеецлдиж кеавже. Лнжжа влеп
йидабамееег, имибкаааежхп лмиебражв в идзе QuickSlice, диеаза
лиимвемлмвивамц 100
% йкире
лликзиги вкежезв.
Дещ байнлда QuickSlice уеедзвме дзийдн Start (Пнлд), вхбеквме дижаздн Run
(Вхйиезвмц) в введвме
Qslice.exe
(в йекежеззиг PATH диеаез бхмц ндабаз йнмц
д келнклаж Windows). Зайквжек, йийкибнгме байнлмвмц мадие взмезлввзи
влйиецбншуее гкаовд
н йквеиаезве, дад Paint (Mspaint.exe). Имдкигме
QuickSlice, калйиеиавв еги идзи кщдиж л идзиж Paint, в заквлнгме в Paint
зелдиецди дкввхп. B чми вкежщ вх лжиаеме забешдамц ба вхйиезезвеж
Mspaint.exe в идзе QuickSlice, дад йидабази звае.
60
Рис.
. Окно программы QuickSlice
Смибх йиенсвмц дийиезвмеецзнш взоикжарвш и йимидап йкирелла, дваадх
уеедзвме вжщ зназиги йкирелла вев лиимвемлмвншувг рвемзиг лмиебвд за
двагкажже. Вх нввдвме лйвлид йимидив чмиги йкирелла в имзилвмеецзие
йкирелликзи
е вкежщ, влйиецбнежие даадхж йимидиж (в каждап йкирелла, а зе
влег лвлмежх).
Рис.
. Дополнительная информация о потоках приложения
ЭКСПЕРИМЕНТ 5. Режим ядра и пользовательский режим.
C йижиуцш илзалмдв Performance вх жиаеме
вхщлзвмц, лдиецди вкежезв вата
лвлмежа кабимаем в кеавже щдка в в йиецбивамеецлдиж кеавже.
Нужно запустить Системный монитор через Панель управления
>Аджвзвлмквкивазве
Системный монитор.
61
Рис.
. Запуск системного монитора
1.
Даеее
уеедзнмц за ибфедм йкиреллик в вхбкамц 2 лсемсвда: %кабима в
йквввеегвкиваззиж кеавже в %кабима в йиецбивамеецлдиж кеавже.
Зааамц за дзийдн Дибаввмц.
2.
Бхлмки йидввгагме жхтцш. Пкв чмиж вх диеазх бажемвмц влйеелд за
евзвв % Privileged Time, димикхг имкаааем
вкежщ, бамкасеззие за
ибленаввазве йкекхвазвг им жхтв, в вкежщ, йизадибввтеелщ
йидлвлмеже йиддекадв идиз за имквливдн гкаовдв (чма йидлвлмежа
кабимаем йкевжнуелмвеззи дад дкагвек нлмкиглмва в кеавже щдка).
3.
Задизсвв, уеедзвме за йазеев взлмкнжезмив дзийдн N
(Зивхг забик лсемсвдив) (вев йкилми бадкигме илзалмдн).
За миг ае адмввзилмцш жиази йизабешдамц секеб Task Manager (Двлйемсек
бадас). Пкилми йекегдвме в зеж за вдеаддн Performance (Бхлмкидеглмвве), а
бамеж вхбеквме вб жезш View (Ввд) дижаздн
Show Kernel Times (Вхвид вкежезв
щдка). Пкирезм багкнаеззилмв йкиреллика имкаааемлщ бееезхж рвемиж, а
йкирезм вкежезв кабимх в кеавже щдка
дкалзхж.
Смибх нввдемц, дад лажа илзалмда Performance влйиецбнем вкежщ в двнп
кеавжап, байнлмвме ее лзива, зи диба
вцме ме ае лсемсвдв дещ ибфедма Process
(Пкирелл).
1.
Елев вх бадкхев илзалмдн Performance, лзива байнлмвме ее. (Елев иза
нае кабимаем, имдкигме зивхг чдказ, уеедзнв за йазеев взлмкнжезмив
дзийдн New Counter Set.)
2.
Щеедзвме дзийдн Add за йазеев взлмкнжезмив.
3.
хбеквме в лйвлде ибфедм Process.
4.
Вхбеквме
лсемсвдв
% Privileged Time
% User Time.
5.
B лйвлде чдбежйещкив ибфедма вхбеквме вле йкиреллх (дкиже йкирелла
_Total).
6.
Щеедзвме дзийдн Add, а бамеж Close.
7.
Бхлмки йидввгагме жхтцш.
8.
Заажвме дижбвзарвш деаввт Ctrl+H де
щ адмвввбарвв кеавжа вхдееезвщ
меднувг вхбказзхг лсемсвд бндем вхдееез беехж рвемиж в Windows
2000 в секзхж в Windows XP вев Windows Server 2003.
62
Рис.
. Отображение на графике прерываний от мыши
9.
Пкидкнмвме лйвлид влеп лсемсвдив
в звазег салмв идза илзалмдв,
смибх ийкедеевмц йкиреллх, йимидв димикхп вхйиезщевлц йкв
йекежеуезвв жхтв, в ибкамвме взвжазве за ми, в дадиж кеавже
изв вхйиезщевлц
йиецбивамеецлдиж вев щдка.
ЧДЛПЕРВМЕЗТ 6: имибкааезве взоикжарвв и мвйап дещ лмкндмнк щдка
Смибх вхвелмв лйвлид лмкндмнк щдка, сцщ взоикжарвщ и мвйап вдешсеза в
лвжвиех щдка, знази байнлмвмц секеб дижаздзнш лмкидн нмвевмн
Livekd
вб
йадема
SysinternalsSuite
Debugging Tools for Windows (x86)).
Даеее введвме
дижаздн
dt nt!_*
. Пквжек салмв вхвида
йидабаз звае:
kd� dt nt!_*
---------------------

ntoskrnl!_MMVIEW

ntoskrnl!_MEMORY_CACHING_TYPE_ORIG

ntoskrnl!_EXCEPTION_DISPOSITION

ntoskrnl!_EXCEPTION_RECORD

ntoskrnl!_CONTEXT

ntoskrnl!_POOL_TRA
CKER_BIG_PAGES

ntoskrnl!_VI_DEADLOCK_RESOURCE

ntoskrnl!_VI_DEADLOCK_THREAD

ntoskrnl!_FLOATING_SAVE_AREA

ntoskrnl!_IMAGE_DATA_DIRECTORY

ntoskrnl!_PCI_PDO_EXTENSION

ntoskrnl!_PCI_MJ_DISPATCH_TABLE

ntoskrnl!_PCI_SLOT_NUMBER

ntoskrnl!_PCI_FDO_EXTENSION

ntoskrnl!_PCI_LOCK

ntoskrnl!_PCI_PMC
Дижазда dt йибвиещем влдамц диздкемзхе лмкндмнкх йи табеизаж. Зайквжек,
елев вх вуеме вжщ лмкндмнкх дещ ибфедма йкекхвазвщ (in
terrupt object),
введвме
dt nt!_*interrupt*:
kd� dt nt!_*interrupt*

ntoskrnl!_KINTERRUPT
63

ntoskrnl!_KINTERRUPT_MODE
Пилее чмиги л йижиуцш дижаздх
dt
жиази имоикжамвкивамц чмн лмкндмнкн:
Рис.
. Форматирование
структуры с помощью команды dt
Пи нжиесазвш dt зе йидабхваем йидлмкндмнкх (лмкндмнкх взнмкв лмкндмнк).
Дещ кеднклввзиги йкипида йи йидлмкндмнкаж, влйиецбнгме дешс
r.
Зайквжек,
ндабав чмим дешс дещ имибкааезвщ ибфедма щдка «йкекхвазве», вх нввдвме
оикжам
лмкндмнкх _LIST_ENTRY, пказщуеглщ в йиее InterruptListEntry:
Рис.
. Использование параметра
r команды dt
ЧДЛПЕРВМЕЗТ 7:
ийкедееезве мвйа йидлвлмежх, дещ димикиг
йкедзабзасез влйиезщежхг оаге
Вх жиаеме ийкедеевмц, дещ дадиг йидлвлмежх йкедзабзасез влйиезщежхг оаге
л йижиуцш нмвевмх
Exetype
вб забика келнклив Windows вев нмвевмх
DependencyWalker (Depends.exe), впидщуег в лилмав Windows Support Tools в
Platform SDK. (Смиб влйиецбивамц нмвевмн
Exe
type
, знази байнлмвмц ее секеб
дижаздзнш лмкидн). Пийкибнеж, зайквжек, вхщлзвмц мвй йидлвлмежх дещ двнп
йквзрвйваецзи кабзхп Windows
ибкабив: Notepad.exe (йкилмиги медлмивиги
кедадмика) в Cmd.exe (йиддекадв дижаздзиг лмкидв Windows).
C:
Documents and Setti
ngs
Admin
exetype�Exetype
C:
WINDOWS
system32
notepad.exe
File "C:
WINDOWS
system32
notepad.exe" is of the following type:
Windows NT
32 bit machine
Built for the Intel 80386 processor
Runs under the Windows GUI subsystem
64
C:
Documents and
Settings
Admin
exetype�Exetype
C:
WINDOWS
system32
cmd.exe
File "C:
WINDOWS
system32
cmd.exe" is of the following type:
Windows NT
32 bit machine
Built for the Intel 80386 processor
Runs under the Windows character
based subsystem
Чми
йидабхваем, сми Notepad щвещемлщ GUI
йкигкажжиг, a Cmd
дизлиецзиг,
вев йкигкажжиг медлмивиги кеавжа.
ЧДЛПЕРВМЕЗТ 8: йкилжимк нлмазивееззхп дкагвекив нлмкиглмв
Смибх вхвелмв лйвлид нлмазивееззхп дкагвекив
знази вхйиезвмц дижаздн
«Пнлд»
«Лмаздакмзхе»
Ленаебзхе»
«Лведезвщ и лвлмеже»
«Пкигкажжзащ лкеда»
«Лвлмежзхе дкагвекх»
вев «Пнлд»
«Вхйиезвмц»
даеее в йищвввтеглщ дижаздзиг лмкиде знази забкамц msinfo32. Вхбвкаеж
«Пкигкажжзащ лкеда»
«Лвлмежзхе дкагв
екх».
Рис.
. Список
системных драйверов
B чмиж идзе вхвидвмлщ лйвлид дкагвекив, ийкедеееззхп в кеелмке, а мадае вп
мвй в лилмищзве
кабимаем вев зем. Дкагвекх нлмкиглмв в йкиреллх Windows
лекввлив
ийкедеещшмлщ
в
кабдеее
кеелмка
HKLM
SYSTEM
CurrentControlSet
Services. Идзади
изв имевсашмлщ йи дидн мвйа.
Лйвлид багкнаеззхп в меднувг жижезм дкагвекив жиази йкилжимкемц в л
йижиуцш нмвевмх Drivers (Drivers.exe в келнклап Windows 2000) вев Pstat
(Pstat.exe в Windows XP Support Tools, Windows Server 2003 Support Tools,
келнклап Win
dows 2000 в Platform SDK). Звае йквведез евлмвзг салмв
вхпидзиг взоикжарвв нмвевмх
Pstat
65
Рис.
. Листинг части выходной информации Pstat
Пкигкажжа Pstat байнлдаемлщ вб дижаздзиг лмкидв. Дещ йекезайкавеезвщ
йиенсеззхп лведезвг в
оаге влйиецбнемлщ леедншуащ дижазда:
pstat.exe�
вжщ_оагеа.
Умвевма Drivers йекесвлещем вле багкнаеззхе дижйизезмх кеавжа щдка
(Ntoskrnl, HAL в дкагвекх нлмкиглмв) в лиибуаем кабжекх кабдееив в даадиж
ибкабе.
Pstat вхвидвм лйвлид багкнаеззхп дкагвекив, зи
миецди йилее лйвлда
йкиреллив в йимидив в даадиж йкирелле. Иза йидабхваем идвз ввд исезц
ваазиг взоикжарвв, зе лиибуаежиг нмвевмиг Drivers: адкел багкнбдв жиднещ в
лвлмежзиж йкилмказлмве. Чмим адкел знаез дещ нвщбдв вхйиезщежхп лвлмежзхп
йимидив л дкагвек
иж, в димикиж изв лнуелмвншм.
ЧДЛПЕРВМЕЗТ 9: нвщбда лвлмежзиги йимида л дкагвекиж нлмкиглмва
B чмиж
чдлйеквжезме жх йилжимквж, дад нвщбамц адмввзилмц йкиреллика в
йкирелле System л лвлмежзхж йимидиж (в дкагвекиж, д димикижн из имзилвмлщ),
вхбхвашувж чмн адмввзилмц. Чми ваази: смибх йи
залмищуежн йизщмц, сми
йкивлпидвм, знази йекегмв за нкивезц йимидив й
кирелла System. B даззиж
ленсае жх вхбивеж адмввзилмц лвлмежзиги йимида, либдав загкнбдн оагеивиги
леквека за дижйцшмеке. (Дкагвек оаге
леквека Srv.sys либдаем лвлмежзхе
йимидв дещ ибкабимдв впидщувп байкилив за оагеивхг ввид
вхвид.)
1.
Имдкигме идзи дижаздзи
г лмкидв.
2.
Либдагме лйвлид влеп дамаеигив за двлде Л, влйиецбнщ лемевиг йнмц дещ
дилмнйа д чмижн двлдн. Зайквжек, елев вжщ ватеги дижйцшмека
COMPUTERl, введвме dir
computerl
c$ /s.
(Дешс/s
балмавещем
йекесвлещмц вле йиддамаеигв.)
3.
Зайнлмвме Process Explo
rer в дваадх уеедзвме йкирелл System.
4.
Имдкигме вдеаддн Threads.
66
5.
Имликмвкнгме лйвлид йи лмиебрн CSwitch Delta (кабзвра йи свлен
йекедешсезвг дизмедлма). Вх диеазх нввдемц идвз вев биеее йимидив в
Srv.sys, дад йидабази за леедншуег веешлмкарвв.
Рис.
. Список потоков выбранного процесса
Елев вх ввдвме кабимашувг лвлмежзхг йимид в зе нвекезх, дадиг чми дкагвек,
заажвме дзийдн Module, димикащ имдкхваем идзи лвиглмв дещ оагеа. Зайквжек,
зааамве дзийдв Module йкв вхбказзиж, дад за йкедхд
нуег веешлмкарвв,
йимиде в Srv.sys вхвидвм кебнецмамх в леедншуеж идзе.
67
Рис.
. Свойства выбранного файла
ЧДЛПЕРВМЕЗТ 10: вхвид лйвлда нлмазивееззхп лекввлив
Смибх вхвелмв лйвлид нлмазивееззхп лекввлив (ленаб), дваадх уеедзвме
бза
сид Administrative Tools (Аджвзвлмквкивазве) в идзе Control Panel (Пазеец
нйкавеезвщ) в вхбеквме Services (Ленабх). Вх диеазх нввдемц сми
звбндц в
мадиж киде:
Рис.
. Список служб
Дещ йкилжимка демаецзхп лведезвг и лекввле уеедзвм
е йкавиг дзийдиг жхтв
вжщ лекввла в вхбеквме дижаздн Properties (Лвиглмва). Звае йидабаз йквжек
идза лвиглмв дещ ленабх Print Spooler (Двлйемсек исекедв йесамв).
68
Рис.
. Свойства выбранной службы
Ибкамвме взвжазве, сми йиее Path T
o Executable (Влйиезщежхг оаге)
ндабхваем за йкигкажжн, вдешсашунш даззхг лекввл. Пижзвме, сми зедимикхе
лекввлх кабдеещшм йкиреллх л дкнгвжв лекввлажв, йичмижн свлеи лекввлив в
влйиецбнежхп вжв йкиреллив зе влегда запидвмлщ в лиимзитезвв «идвз д
идзижн»
ДЛПЕРВМЕЗТ 11: вллеедивазве двлйемсека ибфедмив
Взлмкнжезмх дещ йкилжимка бабх даззхп двлйемсека ибфедмив:
Winobj вб
sysinternals.
Иза йидабхваем йкилмказлмви вжез двлйемсека
ибфедмив,
лиибуаем биеее демаецзнш взоикжарвш иб ибфедмап (зайквжек,
лсемсвд
ллхеид, свлеи имдкхмхп ийвламееег, делдквймикх баувмх в м.
д.).
Process Explorer в Handle. Имибкааашм имдкхмхе ийвламеев дещ йкирелла.
Oh.exe (вжеемлщ в келнклап Windows) вхвидвм имдкхмхе ийвламеев дещ
йкирелла, зи мкебнем йкедваквмеецзиг нлмазивдв лйервае
цзиги геибаецзиги
оеага.
Дижазда
Openfiles /query
(в Windows XP в Windows Server 2003)
имибкаааем имдкхмхе ийвламеев дещ йкирелла, зи мкебнем йкедваквмеецзиг
нлмазивдв лйерваецзиги геибаецзиги оеага.
Дижазда
!handle
имеадсвда щдка имибкаааем имдкхмхе ийвла
меев дещ
йкирелла.
Лкедлмви йкилжимка ибфедмив WinObj йибвиещем вбнсвмц йкилмказлмви вжез,
йиддекавваежие двлйемсекиж ибфедмив (вжеза елмц зе н влеп ибфедмив).
69
Рис.
. Использование утилиты WinObj
Умвевма OH в дижазда
Openfiles /q
uery
мкебншм нлмазивдв геибаецзиги оеага
«йиддекада лйвлда ибфедмив» (maintain objects list). OH нлмазиввм чмим оеаг,
елев из еуе зе бадаз. Смибх нбзамц, вдешсез ев даззхг оеаг,
введвме
Openfiles /Local.
Вх жиаеме вдешсвмц еги дижаздиг
Openfiles /Local
ON.
B ешбиж ленсае знази йекебагкнбвмц лвлмежн, смибх зивхг йакажемк
влмнйве в лвен. Зв Process Explorer, зв Handle зе мкебншм вдешсезвщ лееаезвщ
ба ибфедмажв, йимижн сми дещ йиенсезвщ лиимвемлмвншуег взоикжарвв изв
влйиецбншм дкагвек нлмкиглмва.
ЧДЛПЕРВМЕЗТ
12: йкилжимк вжезиваззхп бабивхп ибфедмив
Лйвлид вжезиваззхп бабивхп ибфедмив жиази йкилжимкемц л йижиуцш нмвевмх
Winobj. Зайнлмвме Winobj.exe в уеедзвме дамаеиг
BaseNamedObjects, дад
йидабази звае.
70
Рис.
. Список именованных
базовых объектов
Вжезиваззхе ибфедмх имибкааашмлщ лйкава. Твй ибфедмив ибибзасаемлщ
леедншувжв бзасдажв:
«stop»
жцшмедлх;
в ввде жвдкилпеж йажщмв
кабдеех (ибфедмх «йкиедрвщ оагеа»);
в ввде вилдеврамеецзиги бзада
либхмвщ;
йипиаве за лвемиоикх
лежаои
кх;
в ввде вбигзнмиг лмкеедв
лвжвиецзхе ллхедв.
ЧДЛПЕРВМЕЗТ 13: нмвевма Autoruns
Смибх нввдемц, дадве йкигкажжх залмкиезх за авмижамвселдвг байнлд за
ватеж дижйцшмеке, байнлмвме нмвевмн Autoruns; Лкавзвме йиенсеззхг в
Autoruns лйвлид л меж, сми йидабхвае
млщ Msconfig (дилмнйзиг в Windows XP в
Windows Server 2003), в ибкамвме взвжазве за кабевсвщ.
71
Рис.
. Использование утилиты Autoruns
ЧДЛПЕРВМЕЗТ 14: йкилжимк в вбжезезве йкввщбдв йкирелла д
йкирелликаж
B чмиж
чдлйеквжезме вх жидвоврвкнеме йкввщбдн йкирелла д йкирелликаж в
нбедвмелц, сми йкввщбда залееднемлщ зивхжв йкиреллажв.
1.
Зайнлмвме идзи дижаздзиг лмкидв (cmd.exe).
2.
Зайнлмвме двлйемсек бадас вев Process Explorer в загдвме cmd.exe в
лйвлде йкиреллив.
3.
Щеедзвме
чмим йкирелл йкавиг дзийдиг жхтв в вхбеквме дижаздн Set
Affinity (Задамц лиимвемлмвве). Диеаез йищввмцлщ лйвлид йкирелликив.
Рис.
. Список процессоров
4.
Вхбеквме йиджзиаелмви дилмнйзхп йкирелликив в лвлмеже в заажвме ИД.
Тейекц й
имидв йкирелла бнднм кабимамц миецди за вхбказзхп важв
йкирелликап.
5.
Зайнлмвме Notepad.exe вб идза дижаздзиг лмкидв (забкав notepad.exe).
6.
Векзвмелц в двлйемсек бадас вев Process Explorer в загдвме зивхг
йкирелл Notepad. Щеедзвме еги йкавиг дзийдиг жхтв в вх
беквме Set
Affinity. Вх диеазх нввдемц лйвлид йкирелликив, вхбказзхп важв дещ
йкирелла cmd.exe. Чми вхбвази меж, сми йкиреллх залеедншм йкввщбдв д
йкирелликаж им лвиеги кидвмеещ.
72
ЧДЛПЕРВМЕЗТ 15: йкилжимк либхмвг нведижеезвщ келнкла йажщмв
Дещ йкилжимка либ
хмвг нведижеезвщ келнкла йажщмв (memory resource
notification events) байнлмвме Winobj (www.sysintemals.com) в уеедзвме дамаеиг
KernelObjects. B йкавиг ледрвв идза
либхмвщ
LowMemoryCondition
вHighMemoryCondition.
Рис.
. Просмот
р событий
Елев дваадх уеедзнмц ешбие вб либхмвг, ми жиази нбзамц, лдиецди ийвламееег
в/вев ллхеид имдкхми за чмв ибфедмх.
Смибх вхщлзвмц, елмц ев в лвлмеже йкиреллх, байкилввтве нведижеезвщ и
келнкле йажщмв, вувме в мабевре ийвламееег ллхедв за «LowMemoryC
ondition»
вев «HighMemoryCondition». Чми жиази лдееамц в Process Explorer (дижазда
Handle в жезш Find) вев в нмвевме Oh.exe вб келнклив Windows.
ЧДЛПЕРВМЕЗТ 16:
йкилжимк лийилмавеезвг Windows
вжез нлмкиглмв
взнмкеззвж вжезаж нлмкиглмв.
Умвевма Winobj
(www
.sysintemals.com)
йибвиещем вллеедивамц лвжвиецзхе
ллхедв, ийкедеещшуве йкилмказлмви Windows
вжез нлмкиглмв. Зайнлмвме
Winobj в вхбеквме дамаеиг
?? в Windows 2000 вев
Global?? в Windows XP евби
Windows Server 2003.
73
Рис.
. Просм
отр символьных ссылок
Ибкамвме взвжазве за лвжвиецзхе ллхедв лйкава. Пийкибнгме дваадх
уеедзнмц нлмкиглмви Л:
вх диеазх нввдемц зесми вкиде миги, сми йидабази
звае.
Рис.
. Окно свойств
Л: йкедлмавещем
либиг лвжвиецзнш ллхедн за взнмкеззее нлмкиглмви л вжезеж
Device
HarddiskVolumel, вев за йеквхг миж йеквиги аелмдиги двлда в лвлмеже.
Чеежезм COMl, йидабаззхг Winobj,
лвжвиецзащ ллхеда за
Device
SerialO в
д. Пийкибнгме либдамц либлмвеззхе ллхедв ди
жаздиг
subst
в дижаздзиг
лмкиде.
ЧДЛПЕРВМЕЗТ 17: йкилжимк INF
оагеа дкагвека
Пкв нлмазивде дкагвека вев дкнгиги йкигкажжзиги ибелйесезвщ, н димикиги
елмц INF
оаге, лвлмежа дийвкнем чмим оаге в дамаеиг
Win
dows
Inf. Идвз вб
74
оагеив, димикхе влегда бнднм в
чмиж дамаеиге,
Keyboard.inf, йилдиецдн чми
INF
оаге дещ дкагвека деалла деаввамнк. Лидекавжие
даззиги
оагеа
Copyright (
) 1993
1996, Microsoft Corporation
[version]
signature="$Windows NT$" Class=Keyboard
ClassGUID={4D36E96B
E325
11CE
BFC1
08002BE10318}
Provider=XMSX
LayoutFile=layout.inf
DriverVer=07/01/2001, 5.1.2600.1106
[ClassInstall32.NT] AddReg=keyboa rd_class_add reg
Если вы проведете поиск в этом файле по «.sys», то обнаружите запись, указывающую
диспетчеру PnP пользовательского режима установить
драйверы i8042prt.sys и
kbdclass.sys:
[STANDARD_CopyFiles]
i8042prt.sys kbdclass.sys
ЧДЛПЕРВМЕЗТ 18: йкилжимк ЛАТ
оагеив
Пкв нлмазивде дижйизезма, зайквжек дкагвека, оагех димикиги вдешсашм
ЛАТ
оаге, Windows дийвкнем чмим оаге в йиддамаеиг дамаеига
Windo
System32
Catroot. Пекегдвме в чмим дамаеиг л йижиуцш Explorer в
загдвме йиддамаеиг л ЛАТ
оагеажв. B салмзилмв, в Nt5.cat в Nt5inf.cat пказщмлщ
йидйвлв дещ лвлмежзхп оагеив Windows.
Имдкхв идвз вб ЛАТ
оагеив, вх нввдвме дваеигивие идзи л двнжщ вдеаддажв:
General (Ибуве), за димикиг йидабхваемлщ взоикжарвщ и йидйвлв в даззиж
оагее, в Security Catalog (Дамаеиг бебийалзилмв), где йкедлмавеезх пчтв
дижйизезмив, йидйвлаззхп л влйиецбивазвеж чмиги ЛАТ
оагеа. Звае даз
йквжек ЛАТ
оагеа.
75
Рис.
. пример САТ
файла
ЧДЛПЕРВМЕЗТ 19: забешдезве ба ввидиж
вхвидиж за овбвселдиж двлде
C йижиуцш жепазвбжа Event Tracing for Windows дкагвека деалла двлдив
нмвевма Diskmon им Sysinternals ведем жизвмиквзг адмввзилмв ввида
вхвида за
овбвселдвп двлдап в и
мибкаааем ее в лвиеж идзе. Лидекавжие чмиги идза
ибзивещемлщ каб в леднздн. Дещ даадиг ийекарвв Diskmon йидабхваем вкежщ,
девмеецзилмц, зижек рееевиги двлда, мвй в лжеуезве, а мадае девзн.
Рис.
. Использование утилиты
Diskmon
ЭКСПЕРИМЕНТ 20
просмотр информации NTFS
76
Дещ йкилжимка взоикжарвв и NTFS
миже, в миж свлее и кабжеуезвв в кабжеке
MFT в бизх MFT, вх жиаеме влйиецбивамц в Windows 2000 нмвевмн NTFSInfo (л
лагма
www.sysinternals.com),
а в Windows XP вев Windows Server 2003
влмкиеззнш йкигкажжн дижаздзиг лмкидв Fsutil.exe:
C:
Users
+SysinternalsSuite�fsutil fsinfo ntfsinfo c:
Леквгзхг зижек мижа NTFS: 0x566c307c6c3058c7
Веклвщ: 3.1
Свлеи ледмикив: 0x0000000005d21db9
Влеги
деалмекив: 0x0000000000ba43b7
Лвибидзхп деалмекив: 0x00000000006322f7
Влеги бакебекввкивази: 0x00000000000007e0
Багм за ледмик: 512
Багм за деалмек: 4096
Багм за легжезм FileRecord
: 1024
Деалмекив за легжезм FileRecord: 0
Дийнлмвжащ девза даззхп MFT: 0x0000000004b40000
Засаецзхг LCN мабеврх MFT: 0x00000000000c0000
Засаецзхг LCN мабеврх MFT2: 0x0000000000000002
Засаеи бизх мабеврх MFT: 0x000000000051
2d00
Дизер бизх мабеврх MFT:
0x000000000051f520
Вдезмвовдамик ДР: 31BB093B
EDBA
11E0
8856
BEE2A1F45734
77
ЧДЛПЕРВМЕЗТ 21: йкилжимк йкилмказлмва вжез вжезиваззхп дазаеив в
забешдезве ба адмввзилмцш мадвп дазаеив
Имдкхмц дикзевиг дамаеиг
FSD вжезиваззхп дазаеив в йекесвлевмц еги
лидекавжие л йижиуцш Windows API зеецбщ
дещ чмиги знази вилйиецбивамцлщ
лекввлажв влмкиеззиги API. Умвевма PipeList
www.sysinternals.com)
йекесвлещем вжезиваззхе дазаех, ийкедеееззхе за
дижйцшмеке, свлеи либдаз
зхп чдбежйещкив дазаеа л даззхж вжезеж в
жадлвжаецзие свлеи дазаеив, бадаззие леквекиж йкв вхбиве
Create
NamedPipe.
Вим йквжек вхвида PipeList.
Рис.
. Пример вывода PipeList
Вб чмиги евлмвзга щлзи, сми зедимикхе лвлмежзхе дижйиз
езмх влйиецбншм
вжезиваззхе дазаех дад жепазвбж лвщбв.
78
ЧДЛПЕРВМЕЗТ 22: йкилжимк NetBIOS
вжез секеб Nbtstat
Дещ вхвида лйвлда адмввзхп леазлив в лвлмеже, дчтвкнежхп лийилмавеезвг
дижйцшмеке, ж
иази влйиецбивамц влмкиеззнш в Windows дижаздн
Nbtstat
. Звае
йквведез йквжек вхвида чмиг дижаздх л йакажемкиж
n,
йкв ндабазвв
димикиги вхвидвмлщ лйвлид NetBIOS
вжез, ийкедеееззхп за дижйцшмеке
�nbtstat
Рис.
Использование команды Nbtstat
ЧДЛПЕРВМЕЗТ 23: азаевб нмесдв йажщмв в йнее
Умесда бндем либдавамцлщ нмвевмиг NotMyFault, димикнш жиази лдасамц йи
ллхеде www.sysintemals.com/windowsinternalsshtmL. Пилее байнлда
NotMyFault.exe багкнааемлщ дкагвек нлмкиглмва M
yfault.sys в вхвидвм мадие
дваеигивие идзи.
79
Рис.
. Использование утилиты NotMyFault
1.
Щеедзвме дзийдн Leak Pool. Чми балмаввм NotMyFault йилхеамц байкилх
дкагвекн нлмкиглмва Myfault за вхдееезве йажщмв вб йиддасвваежиги
йнеа. (He з
аавжагме дзийдн Do Bug, взасе вх вхбивеме дкап лвлмежх).
NotMyFault йкидиеавм йилхеамц байкилх, йида вх зе уеедземе дзийдн
Stop Leaking. Зажемцме, сми йне йиддасвваежиг йажщмв зе илвибиадаемлщ
даае йкв бадкхмвв йкигкажжх; в зеж йкивлпидвм йилмищззащ нмесда
йажщмв ди йекебагкнбдв лвлмежх. Идзади, йилдиецдн нмесда йнеа бндем
зейкидиеавмеецзиг, чми зе диеази вхбвамц звдадвп йкибееж в ватег
лвлмеже.
2.
Пида йкивлпидвм нмесда йажщмв в йнее, лзасаеа имдкигме двлйемсек бадас
в йекегдвме за вдеаддн Performance (Бхлмки
деглмвве). Вх нввдвме, дад
калмем йидабамеец Paged Pool (Вхгкнааежащ йажщмц). To ае лажие жиази
нввдемц в идзе System Information нмвевмх Process Explorer. (Вхбеквме
Show в System Information.)
3.
Смибх ийкедеевмц жемдн йнеа, где йкивлпидвм нмесда, байнлмвме
Poolmon в
заажвме деаввтн b, смибх ликмвкивамц йи свлен багмив. Дваадх заажвме
деаввтн p дещ имибкааезвщ в Poolmon миецди йнеа йиддасвваежиг йажщмв.
Вх диеазх бажемвмц, сми йне л жемдиг «Leak» йидзвжаемлщ ввекп йи
лйвлдн. (Poolmon вхдеещем лмкидв, где йкив
лпидщм вбжезезвщ.)
4.
Тейекц уеедзвме дзийдн Stop Leaking, смибх зе влмиувмц йне
йиддасвваежиг йажщмв в лвиег лвлмеже.
5.
Влйиецбнщ йквежх, ийвлаззхе в йкедхднуеж кабдеее, байнлмвме Strings
(ее жиази лдасамц л www.sysinternals.com) дещ йивлда двивсзхп оагеив
дка
гвека, лидекааувп жемдн йнеа «Leak»:
Strings
windows
system32
drivers
*.sys | findstr Leak
Чма дижазда диеаза ндабамц за оаге Myfault.sys.
80
ЧДЛПЕРВМЕЗТ 24: ийкедееезве влмвззиги лмакмивиги адкела Windows
йимидив
Рис.
. Стартовый
адрес процесса
cmd.exe
(утилита Pstat)
Рис.
. Стартовый адрес процесса
cmd.exe
(утилита Tlist)
Лмакмивхг адкел знеевиги йимида, лиибуаежхг Pstat, лиимвемлмвнем взнмкеззег
Windows
онздрвв
start
process,
а лмакмивхе адкела йими
див 1
3 ндабхвашм
адкела взнмкеззвп Windows
онздрвг
start
thread.
C дкнгиг лмикизх, Tlist
йидабхваем лмакмивхг адкел йиецбивамеецлдиг онздрвв, вхбхваежиг
взнмкеззег лмакмивиг Windows
онздрвег.
Пилдиецдн биецтвзлмви йимидив в Windows
йкиреллап засвзаемлщ
в идзиг вб
лвлмежзхп онздрвг
ибиеисед, Process Explorer, йидабхващ лмакмивхе адкела
йимидив в йкирелле, йкийнлдаем окегж засаецзиги вхбива, йкедлмавещшувг
онздрвш
ибиеисдн, в вжелми чмиги имибкаааем вмикиг окегж в лмеде.
Зайквжек, ибкамвме взвжазве за лма
кмивхг адкел йимида в йкирелле,
вхйиезщшуеж Notepad.exe (Process
Properties
Threads).
81
Рис.
. Список потоков процесса Notepad.exe
Process Explorer зе вхвидвм влш векакпвш вхбивив йкв имибкааезвв лмеда
вхбивив. Вим сми вх йиенсвме,
уеедзнв дзийдн Stack.
Рис.
. Стек выбранного потока
B лмкиде 12 за чмиг веешлмкарвв йидабаз йеквхг окегж в лмеде
засаеи
йкирелла
ибиеисдв. Вмикиг окегж (лмкида 11) щвещемлщ илзивзиг мисдиг впида
в Notepad.exe.
82
ЧДЛПЕРВМЕЗТ
25: забешдезве ба салмимиг вхбива лвлмежзхп лекввлив
Миази забешдамц ба салмимиг вхбива лвлмежзхп лекввлив л йижиуцш лсемсвда
«Лвлмежзхп вхбивив/лед
» ибфедма
«Лвлмежа
». Дещ чмиги знази имдкхмц
илзалмдн
«Пкивбвидвмеецзилмц»
(Пнлд
Пазеец нйкавеезвщ
Аджвзвлмквкивазве
Пкивбвидвмеецзилмц)
в зааамц дзийдн
«Дибаввмц»,
смибх
дибаввмц за гкаовд лсемсвд. Вхбеквме ибфедм «
Лвлмежа»
в лсемсвд
«Лвлмежзхп
вхбивив/лед»
, бамеж уеедзнмц дзийдв
«Дибаввмц» в «Задкхмц».
Рис.
. Частота вызов
а системных сервисов
ЧДЛПЕРВМЕЗТ 26: йкилжимк багиеивдив ибфедмив в ибфедмив мвйа
Миази нввдемц лйвлид ибфедмив мвйа, ибфщвееззхп двлйемсекн ибфедмив, л
йижиуцш нмвевмх Winobj (вб йадема SysinternalsSuite). Даеее в Winobj знази
имдкхмц дамаеиг ObjectTypes.
83
Рис.
. Список объектов типа
Смибх йкилжимкемц лмкндмнкн даззхп мвйа ибфедмив «йкирелл» в имеадсвде
щдка, лзасаеа вдезмвоврвкнгме чмим ибфедм дижаздиг
!process 0 0 (Debugging
Tools for Windows (x86), нмвевма livekd).
Рис.
. Структура данных типа объектов "процесс"
Замеж знази вхйиезвмц дижаздн !object, ндабав адкел ибфедма «йкирелл» в
даселмве акгнжезма:
Рис.
. Объект указанного процесса
Уввдемц багиеивид ибфедма йибвиещем дижа
зда
dt _object_header
(акгнжезм
ObjectHeader).
84
Рис.
. Заголовок указанного объекта
Смибх йкилжимкемц лмкндмнкн даззхп мвйа ндабаззхп ибфедмив знази
влйиецбивамц дижаздн
dt _object_type
(акгнжезм адкел йиещ Type).
Рис.
. Структура данных типа указанных объектов
Чмим вхвид йидабхваем, сми лмкндмнка мвйа вдешсаем вжщ мвйа ибфедма,
лсемсвдв адмввзхп ибфедмив чмиги мвйа, а мадае лсемсвдв йвдивиги свлеа
ийвламееег в ибфедмив даззиги мвйа. B йиее TypeInfo пказв
млщ ндабамеец за
лмкндмнкн даззхп, в димикиг лидекаамлщ амквбнмх, ибуве дещ влеп ибфедмив
чмиги мвйа, а мадае ндабамеев за жемидх мвйа (дижазда _object_type_initializer,
акгнжезм адкел йиещ Type + адкел йиещ TypeInfo):
85
Рис
Структура
данных
_object_type_initializer
ЧДЛПЕРВМЕЗТ 27: забешдезве ба багкнбдиг в вхгкнбдиг йкиовеег
Смибх нввдемц, дад йкиовец багкнааемлщ в кеелмк, а йимиж вхгкнааемлщ,
байнлмвме дижаздиг
runas
дадиг
звбндц йкирелл йид нсемзиг байвлцш
йиецбивамеещ, зе
витедтеги за даззхг жижезм в лвлмежн.
Рис.
. Использование команды Runas
Пида зивхг йкирелл вхйиезщемлщ, байнлмвме Regedit в ибкамвме взвжазве за
багкнаеззхг кабдее йкиовещ в HKEY_USERS. Пилее бавектезвщ йкирелла
заажвме в
Regedit деаввтн F5 дещ ибзивеезвщ, в чмиги йкиовещ в кеелмке
биецте зе бндем.
ЧДЛПЕРВМЕЗТ 28: азаевб ийекарвг л кеелмкиж в йкилмаввашуег
лвлмеже
Пилдиецдн кеелмк кеаевбнем онздрвш
RegNotiJyChangeKey,
л йижиуцш димикиг
йквеиаезвщ жигнм байкатввамц нведижеез
ве иб вбжезезвщп в кеелмке, зе
ийкатвващ еги йилмищззи, в йкилмаввашуег лвлмеже Regmon зе диеаез
ибзакнаввамц йивмикщшувелщ ибкауезвщ д идзвж в меж ае кабдееаж вев
йакажемкаж кеелмка. Лшбащ мадащ адмввзилмц ндабхваем за йеипи зайвлаззие
йквеиаезве, димикие
имкврамеецзи вевщем за ибунш йкивбвидвмеецзилмц
лвлмежх.
Зайнлмвме Regmon в секеб зелдиецди леднзд вбнсвме анкзае вхвида, смибх
вхщлзвмц, зе йхмаемлщ ев дадащ
ми йкигкажжа йилмищззи ийкатввамц кеелмк.
86
Рис.
. Использование утили
ты Regmon
Загдщ в вхвиде лмкидн, лвщбаззнш л ийкилиж, уеедзвме ее йкавиг дзийдиг
жхтв в вхбеквме вб дизмедлмзиги жезш дижаздн Process Properties, смибх
нбзамц, дадиг йкирелл базвжаемлщ мадиг дещмеецзилмцш.
ЧДЛПЕРВМЕЗТ 29: багкнбда в вхгкнбда днлмив вкнсзнш
Regedit в Windows XP вев Windows Server 2003 йибвиещем багкнаамц днлмх, д
димикхж жиази ибкауамцлщ секеб жезш FiIe кедадмика кеелмка. Тадащ
вибжиазилмц йиеебза йкв азаевбе йкибееж, дигда знази йкилжимкемц вев
имкедадмвкивамц днлм, йиенсеззхг л зебагкнааеж
иг лвлмежх вев вб кебеквзиг
дийвв.
1.
Днлмх жиази багкнаамц миецди в HKLM вев HKU, йичмижн имдкигме
Regedit,
2.
ндаавме HKLM, а бамеж вхбеквме «Загкнбвмц днлм» вб жезш
«Оаге».
3.
Пекегдвме в дамаеиг Л:
Windows
Repair в дваеигивиж идзе Load Hive
«Загкнбвмц днлм», вх
беквме System.bak в имдкигме еги. Пкв байкиле
введвме Test в даселмве вжезв кабдееа, в димикхг бндем багкнаамцлщ чмим
днлм.
Имдкигме миецди
сми либдаззхг кабдее HKLM
Test в вбнсвме лидекавжие
днлма.
87
Рис.
. Содержимое созданного к
уста
4.
Имдкигме HKLM
Systern
CurrentControlSet
Control
Hivelist в загдвме
чеежезм
Registry
Machine
Test, димикхг йкидежизлмквкнем, дад
двлйемсек дизовгнкарвв йекесвлещем багкнаеззхе днлмх в кабдеее
HiveList.
5.
Удаавме HKLM
Test в вхбеквме
«Вхгкнбвмц днлм»
вб
жезш
«Оаге»
дещ
вхгкнбдв чмиги днлма.
ЧДЛПЕРВМЕЗТ 30: йкилжимк ийвламееег днлмив
Пкилжимкемц ийвламеев днлмив жиази л йижиуцш нмвевмх Process Explorer. B
Windows 2000 двлйемсек ибфедмив лиибуаем иб ийвламеещп вб мабеврх дад иб
имдкхмхп в лвлмежзиж йкирелле
System Idle, а в Windows XP в Windows Server
2003 из йидабхваем ийвламеев дад имдкхмхе в йкирелле System. Удаавме
зназхг йкирелл в вхбеквме Handles вб йиджезш Lower Pane View в жезш View.
Задагме ликмвкивдн йи мвйн ийвламеещ в йкидкнсввагме лйвлид, йида з
нввдвме оагех днлмив.
Рис.
. Описатели кустов
88
ЧДЛПЕРВМЕЗТ 31: забешдезве ба влйиецбивазвеж йнеа йиддасвваежиг
йажщмв дещ днлмив кеелмка
Аджвзвлмкамввзхп нмвевм, димикхе йидабхваев бх ибфеж йажщмв вб
йиддасвваежиги йнеа,
влйиецбнежиг днлмажв кеелмка вжелме л йкиовещжв
йиецбивамееег, в Windows 2000 зем. Идзади дижазда !
reg dumppool
имеадсвда
щдка лиибуаем зе миецди свлеи лмказвр, бадеглмвиваззхп даадхж
багкнаеззхж днлмиж, зи в диевселмви лмказвр, базщмхп йилмищззхжв в
йекеж
еззхжв даззхжв. B дизре имсема дижазда вхвидвм лнжжакзхг ибфеж
йажщмв, базщмиг днлмажв кеелмка. (Чма дижазда йидабхваем евтц йилеедзве 32
лвжвиеа в вжезв днлма.)
Пквжек влйиецбивазвщ дижаздх
kd� !reg dumppool
kd� !reg dumppool
dumping
hive at e1a25008 (
SystemRoot
System32
Config
SAM)
Stable Length = 7000
6/7 pages present
Volatile Length = 0
dumping hive at e1a14b60 (emRoot
System32
Config
SECURITY)
Stable Length = c000
4/12 pages present
Volatile Length = 1000
can't re
ad HMAP_ENTRY at e24c5000
0/1 pages present
Total pages present = 4114 / 17095
ЧДЛПЕРВМЕЗТ 32: йкилжимк беидив нйкавеезвщ кабдееажв
Дижазда
!reg openkeys
имеадсвда щдка йибвиещем йекесвлевмц вле беидв
нйкавеезвщ кабдееажв, либдаззхе в лвлмеже. B даселм
ве аецмекзамввх, елев вх
пимвме йкилжимкемц беид нйкавеезвщ кабдееиж дещ диздкемзиги имдкхмиги
кабдееа, влйиецбнгме
!reg findkcb.
Рис.
. Использование команды !reg findkcb
Дещ азаевба беида нйкавеезвщ кабдееиж, и димикиж лиибувеа
йкедхднуащ
дижазда, йкедзабзасеза дижазда
!reg kcb.
89
Рис.
. Использование команды !reg kcb
Пиее Flags ндабхваем, сми вжщ пказвмлщ в лаамиг оикже, а йиее SubKeyCount
сми в кабдеее вжеемлщ 137 йидкабдееив.
Лвмекамнка
www.msdn.com
2.
Рнллвзиввс
Лиеижиз
Взнмкеззе
нлмкиглмви
Microsoft Windows: Windows
Server 2003, Windows XP
Windows 2000. URL:
http://www.nrjetix.com/fileadmin/doc/publications/additional_info/Russinovich_M_Solomon
_D_Inside_Microsoft_Windows.djvu
3.
лзивзхе
взлмкнжезмх
кабимх
лежеглмва
Microsoft Windows
Windows
Sysinternals Suite.
URL:
http://technet.microsoft.com/ru
ru/sysinternals/default.aspx


Приложенные файлы

  • pdf 7043762
    Размер файла: 2 MB Загрузок: 0

Добавить комментарий