Sysinternals Suite是微软技术团队开发的一套功能强大的免费工具程序集年月日微软发布了它的最新版本其版本号为Build 新版本的Sysinternals Suite包括个相互独立的工具这些工具囊括了文件进程磁盘网络安全等系统管理的方方面面而Sysinternals Suite中的工具比系统中集成的类似工具功能更为强大针对系统的可操作性更灵活系统管理员如果能够熟练灵活使用这些工具无疑将会极大地提升系统管理效率下面笔者基于系统管理的实际需要实例演示其中某些工具的使用方法 下载及其安装 访问cn/sysinternals/ebbaccca(enus)aspx可下载Sysinternals Suite包下载完毕后不需要安全只需将其解压到某个目录即可 用数字签名甄别可疑程序 随着使用时间的增长就会在系统中会汇集越来越多的文件这些文件大多数是正常的但也有不少可疑文件特别上网安装软件等操作很容易造成系统中毒中马现在的病毒木马非常狡猾它们往往将自己装扮成系统文件以逃避杀毒软件和用户的追杀这些可疑文件不仅与系统文件同名而且其大小文件属性都和系统文件一样系统管理员遇到这些此类情况如何甄别呢? 数字签名是我们分辨系统程序和可疑程序的依据大家知道对于Windows系统来说重要的系统文件都有类似Verified: SignedSigning date:: Publisher: Microsoft Corporation的微软的数字签名而可疑程序则没有比如在笔者的C:\Windows下有一个名为svchostexe的程序其大小及文件属性和系统中的svchostexe的完全一样利用Sysinternals Suite工具集中的sigcheckexe就可以查看程序的数字签名进行甄别sigcheckexe是命令行工具需要在命令提示符下运行打开命令提示符进入Sysinternals Suite目录然后执行sigcheckexe c:\windows\svchostexe如图所示显示为Publisher:????Description:VPN??????????????????毫无疑问该svchostexe绝对不是微软的程序而企图装扮成系统程序行迹可疑直接删除即可(图) 让Windows具有Linux的虚拟桌面功能 使用过Linux的朋友一定知道Linux的虚拟桌面功能当前用户可以同时拥有多个桌面然后在不同的桌面进行不同的操作执行不同的任务这是非常方便而人性化的设计不知道为什么一直到Windows 微软也一种没有将虚拟桌面功能引进来当然大家可以用第三方的虚拟桌面工具实现类似的功能不过在安全及其兼容性方面也许会存在一定的问题何况有些软件还要收费 可喜的是在Sysinternals Suite工具中有一个名为Desktops的工具它不但可以完成类似于Linux虚拟桌面这样的任务还可以在任务栏处设置缩略图帮助快速识别这个虚拟桌面所运行的程序并且在使用虚拟桌面时并不额外占用系统资源Desktops可以虚拟出个桌面这已经足够大家使用了Desktops是图形化工具进入Sysinternals Suite目录直接双击运行该工具弹出设置对话框在对话框中可设置虚拟桌面切换快捷键而且可选择开机后自动运行设置完成后会在系统任务栏中显示Desktops图标点击Desktops图标的第一个小方格可进入第一个虚拟桌面然后运行任务开展工作其它的依此类推如果要在四个虚拟桌面之间进行切换只需单击该图标就会以略缩图的形式显示这四个虚拟桌面的内容(见图)然后选择需要进入的虚拟桌面即可(图) 注册表及文件监控进行程序分析 系统管理员在部署工具前搭建环境进行测试以保证程序运行的可靠性稳定性这是非常有益的另外有的时候我们需要要进行病毒木马分析诸如此类除了要搭建实验环境还需要相应的监控软件对于系统监控来说注册表及文件监控是重点在Sysinternals Suite工具有两个非常不错的工具其中Regmonexe是用来进行文件监控的Filemonexe可用用于文件监控 下面以木马分析为例演示这两个工具的使用笔者最近帮朋友杀毒获取了一个危险的VB脚本文件文件名为configvbs我们在虚拟机中运行Regmonexe和Filemonexe然后执行configvbs脚本看它对系统都做了哪些操作需要说明的是默认情况下Regmonexe和Regmonexe会记录系统中所有的注册表及其文件操作这不利于我们进行分析首先需要对软件进行设置过滤掉无用的信息使其只记录与configvbs相关的信息以Regmonexe为例运行该软件然后依次点击Options(选项)→Filter/Highlight(过滤/高亮)打开设置对话框在Include(包含)后面的文本框中输入configvbsExclude(排除)后输入explorerexeHighlight(高亮)后输入configvbs(见图)最后点击OK退出Filemonexe的过滤设置方法类似(图) 设置完成后首先分别单击Regmonexe和Filemonexe工具栏中的Clear(清除)按钮以清除此前的记录然后双击执行configvbsRegmonexe和Filemonexe开始对其操作进行记录记录完毕后分别分别单击Regmonexe和Filemonexe工具栏中的Capture(捕捉)按钮此时看到Regmonexe和Filemonexe高亮显示的注册表及文件监控结果 图是Regmonexe监控的结果可以看到configvbs脚本在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中添加 system=wscriptexe C:\\windows\\configvbs自启动项目双击该监控结果可自动运行注册表编辑器并且定位到该注册表项下这样我们就知道了病毒脚本对注册表的操作然后删除该键值即可(图) 图是Filemonexe监控的结果可以看到该病毒脚本进行了多项操作通过分析看到其操作有在每个分区的根目录下创建了configvbs文件另外还生成了一个autoruninf文件及其名为System Volume Information的一个快捷方式此外在系统C:\Windows\目录下 configvbs脚本对自身进行了备份分析完成后我们双击相应的监控项就会进入对于的磁盘路径然后可删除恶意脚本创建的文件(图) 除了可用RegmonexeFilemonexe进行病毒木马监控了解其运行机制外这两个工具在软件测试破解中也非常有用大家可以挖掘其更多的功用另外除了这两个工具外在Sysinternals Suite还有几个监控工具Diskmonexe用于磁盘监控portmonexe用于系统中网络端口的监控Procmonexe用于进程监控 挑战系统完成特殊任务 微软出于安全性考虑对系统做了很多限制比如隐藏某些系统功能限制用户进行某些操作等等而作为系统管理员在系统操作过程中因为某些特殊需求需要挑战系统进行某些非常规操作对于这样的任务利用系统自带的工具几乎是不能完成的而借用Sysinternals Suite工具包的工具就能轻松搞定其实Sysinternals Suite中工具不也是微软的技术人员基于某些特殊需要方便自己而开发出来下面列举几个例子利用Sysinternals Suite中的工具完成的非常任务 使用同样的SID所谓的SID就是系统标识符当创建一个新的用户后系统将自动为其生成一个位的SID这个SID是随机生成的并且也是唯一的是不可能重复的我们知道NTFS文件系统的EFS加密就是基于SID的如果某用户对文件做了EFS加密而没有保存密钥那么当有人恶意删除该用户后哪怕你重新创建同样的用户设置同样的密码也是打不可该文件的不过如果你知道该用户的SID那么就可以将当前用户(同帐户同密码)的SID改为此前的SID一般就能够打开该加密文件了运行Sysinternals Suite工具包中的psgetsidexe命令和获取用户的SID如S知道了SID后运行newsidexe工具弹出SID更改向导可选择将指定的SID拷贝到网络中的其他计算机我们是本地修改SID点选Specify SID(指定 SID)将SID拷贝到其后的文本框中然后依次下一步(见图)开始更新系统设置更新完毕后重启系统就会完成当前用户SID的修改(图) 远程进程管理系统管理不仅在本地进行管理员有时候需要在本地对远程系统进行维护(比如进程维护)不需要借助其他第三方工具利用Sysinternals Suite的工具可轻松搞定(远程主机需要开启Remote Registry服务)比如管理员要查看并清除IP为的主机上的进程并杀死恶意进程可这样操作打开命令提示符进入Sysinternals Suite目录执行命令pslist \\ u administrator p test可列出其所运行的进程通过分析发现名为muma的进程比较可疑我们可以执行命令pskill t \\ u administrator p test muma(远程主机的admin$默认共享是开启的如果没有开启可执行命令net share admin$)可以看到远程主机中的可疑进程被杀死(见图)(图) 几个有趣而实用的工具 运行autorunsexe可查看系统中几乎所有的自动运行加载的项目然后可通过勾选或者取消勾选管理员可决定其是否加载其中我们比较关注的项目有注册表自启动项IE加载项驱动程序加载项计划任务系统服务等(图) 对磁盘分区进行碎片整理可节省磁盘空间提升磁盘性能但大家忽视了虚拟内存(页面文件)也需要进行整理pagedfrgexe是虚拟内存碎片整理工具运行该工具弹出设置面板大家和根据需要设置系统启动时整理及其整理倒计时时间等设置完成后单击OK即可(图) whoisexe工具可用来查询指定域名的详细信息这在上网浏览网页中非常有用在访问目标网站(特别是比较可疑的网站)之前首先对其域名进行解析确保其安全性这是安全上网的保证例如我们可以在命令提示符下进入Sysinternals Suite目录运行命令whois 可获得IT专家网所使用的域名的详细信息比如域名状态注册机构dns服务器注册时间等信息这些信息是大家安全上网的可靠保证(图) 为了方便使用个人用户愿意系统启动时不用输入用户名密码就能登录系统利用Autologonexe可满足需求运行该工具后分别属于自动登录的用户帐户和密码后点击Enable就可以了而且会将密码加密更安全(图) Bginfoexe工具可帮你将当前系统的信息作为桌面背景显示出来既方便了管理员随时了解系统信息而且也非常有个性运行Bginfoexe弹出设置窗口我们可以自定义桌面上显示的项目从右侧的Fields下拉列表中选择相应的项目添加进来即可另外还可对字体桌面背景等进行设置设置完成后单击OK系统信息就会在桌面上显示出来(图) 总结在Sysinternals Suite工具包中还有很多实用的工具本文就不一一演示了工欲善其事必先利其器相信灵活使用这些工具能够在很大程度上提升系统管理员的工作效率和管理水平 |