معرفی ابزارهای پرکاربرد SysInternals برای عیب یابی ویندوز

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

معرفی ابزارهای پرکاربرد SysInternals برای عیب یابی ویندوز

q794

ابزارهای SysInternals به بیش از ۶۵ مدل ابزار مختلف را شامل می شوند که توسعه دهنده اول آن Mark Russinovich در سال ۱۹۹۶ به تولید این ابزارها پرداخته است. در این چند سری از پست ها به معرفی این ابزارها خواهیم پرداخت.

ابزار AccessChk
از آنجایی که ما می خواهیم مطمئن باشیم که زیرساخت ما از امنیت کافی برخوردار است، به عنوان مدیر شبکه باید بدانید که چه کاربر یا گروهی، چه دسترسی خاصی به یک دایرکتوری، فایل و رجیستری، Global Objectها و سرویس های ویندوز دارد. این ابزار به شما برای این منظور کمک شایانی را خواهد نمود. این ابزار را با استفاده از CMD ویندوز می توانید استفاده نمایید.

در اینجا چند نمونه مثال برای این ابزار ارائه شده است.

· accesschk "power users" c:\windows\system32

نمایش دسترسی های گروه Power Users در مسیر system32

· accesschk users -cw \*

نمایش سرویس های ویندوز که گروه Users به آن دسترسی Write دارد

· accesschk -kns austin\mruss hklm\software

بررسی کلید رجیستری که کاربر مشخص شده به آن دسترسی ندارد

· accesschk -k hklm\software

نمایش حقوق دسترسی در کلید رجیستری مشخص شده

· accesschk -e -s c:\users\mark

بررسی Integrity Level مشخص شده بر روی دایرکتوری نوشته شده در کامند

· accesschk -wuo everyone \basednamedobjects

بررسی Global objectهایی که Everyone می تواند تغییر دهد

ابزار AccessEnum
از آنجایی که یک مدل انعطاف پذیر در نحوه پیاده سازی حقوق دسترسی در ویندوز NT وجود دارد و مدیران می توانند دسترسی های مختلفی را برای فایل، دایرکتوری و ... به کاربران و گروه های مختلف ارائه نمایند، مدیریت این دسترسی ها کار بسیار سختی است. به صورت پیش فرض ابزاری برای مدیریت این حقوق وجود نداشته و این ابزار به شما کمک می کند تا در چند ثانیه دایرکتوری خود را انتخاب کرده و یک دید مناسب نسبت به این حقوق دسترسی خواهد داد.


q795

ابزار Disk2VHD
این ابزار، به شما کمک می کند تا از Disk خود یک فایل VHD بسازید و با این دیسک را در Microsoft Virtual PC یا Microsoft Hyper-V استفاده نمایید. همچنین با یا بدون تغییر می توانید از این فایل در VMware و سایر محیط های مجازی سازی نیز استفاده نمایید. در واقع این ابزار به شما امکان این را می دهد تا از یک ماشین فیزیکی یک ماشین مجازی بسازید.

ابزار DiskMon
به شما امکان این را می دهد تا تمامی رخدادهای بر روی هارد دیسک را Log کرده و نمایش دهید. همچنین شما می توانید این ابزار را در System Tray ویندوز Minimize نمایید. در زمان خواندن از دیسک رنگ سبز و زمان نوشتن بر روی دیسک رنگ قرمز نمایش داده می شود.

ابزار SigCheck
این ابزار به شما کمک می کند تا اطلاعات ورژن فایل، اطلاعات زمان ایجاد، تغییر و امضای دیجیتال فایل را بررسی می کند. همچنین امکان بررسی این فایل ها را در سایت VirusTotal نیز به شما می دهد. این ابزار بر روی سیستم عامل های ویندوز ویستا به بالا و سرور ۲۰۰۸ به بالا اجرا می شود.

ابزار Active Directory Explorer
یک ابزار قدرمند و پیشرفته برای مدریت و ویرایش Active Directory به حساب می آید. شما با استفاده از این ابزار می توانید به راحتی در داخل Database اکتیو دایرکتوری خود جا به جا شده و مکان های محبوب خود را تعیین کنید. همچنین بدون باز کردن پنجره ای مکان هایی را که می خواهید تغییر دهید. همچنین امکان جستجو با مقادیر خاص و پیچیده را به شما می دهد و امکان ذخیره این پارامترهای جستجو شده و اجرای دوباره را نیز به شما می دهد. این ابزار همچنین به شما امکان گرفتن Snapshot از Active Directory را می دهد و شما به صورت آفلاین می توانید از این دیتابیس استفاده نموده و آن را با نسخه اصلی مقایسه کنید. همچنین اگر چندین Snapshot داشته باشید به شما امکان این را می دهد تا Snapshotهای مختلف را نیز با یکدیگر مقایسه نمایید.

ابزار Insight for Active Directory
ابزار ADInsight به شما کمک می کند تا به صورت بلادرنگ (Realtime) اکتیو دایرکتوری خود را مانیتور نمایید. این ابزار جزییات همه رخداد ها را Trace‌ کرده و ارتباطات بین کلاینت ها و سرور را به شما شامل Windows Authentication، Exchange، DNS و ... را نشان می دهد و مدیر شبکه می تواند مشکلات را از این طریق یافته و مرتفع نماید.

ابزار psFile
کامند "Net File" به شما این امکان را می دهد تا فایل هایی که به صورت ریموت بر روی سیستم در حال استفاده هستند را نمایش دهد اما این کامند مسیر ها را طوری نمایش می دهد که ممکن است ادمین ها را به خطا بیاندازد. ابزار psFile به مدیران شبکه کمک می کند تا علاوه بر نمایش این فایل ها به شما این امکان را می دهد تا فایل هایی که به صورت ریموت در حال استفاده هستند را ببندید.

ابزار ShareEnum
ممکن است شما دایرکتوری های زیادی را در سطح شبکه به اشتراک گذاشته باشید و به دلیل عدم وجود ابزار پیش فرض برای بررسی امنیت این دایرکتوری ها نیاز به ابزاری داشته باشید. ابزار ShareEnum به شما امکان این را می دهد تا با اسکن کامپیوترهایی که در یک دومین هستند و به آن دسترسی دارد، تمامی فایل ها و پرینترهایی که به اشتراک گذاشته شده و تنظیمات Security آن ها را نمایش می دهد. به دلیل اینکه معمولا Administrator به تمامی منابع به اشتراک گذاشته شده دسترسی دارد، این ابزار زمانی موثر تر است که توسط کابر Administrator اجرا شده باشد.

ابزار TCPView
ابزار TcpView به شما جزییات تمامی ارتباطات TCP و UDP را بر روی سیستمی که اجرا شده است می دهد. اگر این ابزار را بر روی ویندوز ویستا به بالاتر اجرا نمایید نام Process که در حال ارتباط باشد را نیز به شما نمایش می دهد. همچنین این ابزار به شما این امکان را می دهد تا ادرس های IP را به نام نمایش دهد. این ابزار به می تواند هر چند ثانیه یکبار ارتباطات را به روز کرده (پیش فرض یک ثانیه) و به شما نمایش دهد و همچنین شما می توانید با استفاده از این ابزار یک ارتباط را خاتمه دهید

ابزار Whois
اگر نیاز به دریافتن اطلاعات خاص از یک Name Server باشید می توانید با استفاده از این ابزار این کار را انجام دهید.

ابزار Autoruns
ابزاری که به شما کمک می کند تا همه نرم افزارهایی که قرار است در زمان Startup ویندوز اجرا شوند را نمایش خواهد داد. اگر هر برنامه ای به هر طریقی بخواهد در زمان Startup یا Login اجرا شود را نمایش داده و امکان غیرفعال کردن یا حذف آن از Startup نیز وجود دارد و به می توان از آن به عنوان بهترین ابزار برای این کار نام برد. با استفاده از Digital Signature به شما این امکان را می دهد تا نرم افزارهایی که امضای دیجیتال داشته و در Startup قرار گرفته اند را تشخیص داده و به اشتباه آن ها را حذف ننمایید. احتمالا پس اجرای این نرم افزار با دیدن لیست نرم افزارهایی که در زمان Startup اجرا می شوند، غفلگیر خواهید شد.

ابزار ListDLL
این ابزار به شما کمی می کند تا لیست DLLهایی که توسط یک نرم افزار در حال اجرا استفاده شده است را شناسایی کنید. همچنین این نرم افزار به شما امکان این را می دهد تا امضای دیجیتال DLLهای بارگزاری شده را بررسی کرده یا با استفاده از قابلیت فیلتر کردن لیست DLLهای بدون امضای دیجیتال را پیدا کنید.

ابزار ProcessExplorer
یافتن فایل ها و دایرکتوری هایی که توسط Processهای در حال اجرا در حال استفاده هستند. همچنین به شما امکان این را می دهد که متوجه شوید چه DLL یا فایل Executableی در حال اجراست. این نرم افزار دارای دو بخش است، بخش بالا به شما لیست Processهای درحال اجرا را نمایش می دهد و با کلیک بر روی هر Process در قسمت پایین، قمست هایی که این Process در حال استفاده است را به شما نمایش خواهد داد.

ابزار Process Monitor
یک ابزار تمام عیار برای مانیتور کردن تمامی Processهای درحال اجرا و زیر Processها و Threadهایی که توسط یک Process در حال اجرا هستند، می باشد. همچنین به شما این امکان را می دهد تا ارتباطات بین Processهای مختلف را بررسی کرده و کامندها و پارمترهای مورد استفاده یک Process که در حال اجراست را مشاهده کنید. شما با استفاده از این ابزار می توانید فیلتر های خود را اعمال کنید و به دنبال یک Process خاص یا کاربر خاص بگردید.