اختتام واستخدام الأدوات معًا



لقد وصلنا إلى نهاية سلسلة SysInternals ، وحان الوقت لنختتم كل شيء بالحديث عن جميع المرافق الصغيرة التي لم نغطيها خلال الدروس التسعة الأولى. هناك بالتأكيد الكثير من الأدوات في هذه المجموعة.

الملاحة المدرسية
  1. ما هي أدوات SysInternals وكيف تستخدمها؟
  2. فهم مستكشف العمليات
  3. استخدام Process Explorer لاستكشاف الأخطاء وإصلاحها والتشخيص
  4. فهم مراقب العملية
  5. استخدام مراقب العمليات لاستكشاف الأخطاء وإصلاحها والعثور على المأجورون في التسجيل
  6. استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
  7. استخدام BgInfo لعرض معلومات النظام على سطح المكتب
  8. استخدام PsTools للتحكم في أجهزة الكمبيوتر الأخرى من سطر الأوامر
  9. تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
  10. اختتام واستخدام الأدوات معًا

لقد تعلمنا كيفية استخدام Process Explorer لتحرّي الخلل وإصلاحه في العمليات الجامحة على النظام ، و Process Monitor لمعرفة ما يفعلونه تحت الغطاء. لقد تعلمنا عن Autoruns ، وهي إحدى أقوى الأدوات للتعامل مع الإصابات بالبرامج الضارة ، وأدوات PsTools للتحكم في أجهزة الكمبيوتر الأخرى من سطر الأوامر.





سنقوم اليوم بتغطية الأدوات المساعدة المتبقية في المجموعة ، والتي يمكن استخدامها لجميع أنواع الأغراض ، بدءًا من عرض اتصالات الشبكة إلى رؤية الأذونات الفعالة على كائنات نظام الملفات.

لكن أولاً ، سنتعرف على سيناريو مثال افتراضي لنرى كيف يمكنك استخدام عدد من الأدوات معًا لحل مشكلة وإجراء بعض الأبحاث حول ما يحدث.



اي اداة يجب ان تستعمل؟

لا توجد دائمًا أداة واحدة فقط للوظيفة - من الأفضل استخدامها جميعًا معًا. فيما يلي مثال على سيناريو لإعطائك فكرة عن كيفية معالجة التحقيق ، على الرغم من أنه من الجدير بالذكر أن هناك عددًا من الطرق لمعرفة ما يحدث. هذا مجرد مثال سريع للمساعدة في التوضيح ، وليس بأي حال قائمة دقيقة من الخطوات التي يجب اتباعها.

السيناريو: النظام يعمل ببطء ، ويشتبه في وجود برامج ضارة

الإعلانات

أول شيء يجب عليك فعله هو فتح Process Explorer ومعرفة العمليات التي تستخدم الموارد على النظام. بمجرد تحديد العملية ، يجب عليك استخدام الأدوات المضمنة في Process Explorer للتحقق من ماهية العملية بالفعل ، والتأكد من أنها شرعية ، وفحص هذه العملية اختياريًا بحثًا عن الفيروسات باستخدام تكامل VirusTotal المدمج.



هذه العملية هي في الواقع أداة مساعدة SysInternals ، ولكن إذا لم تكن كذلك ، فسنقوم بفحصها.

ملحوظة: إذا كنت تعتقد حقًا أنه قد تكون هناك برامج ضارة ، فمن المفيد غالبًا فصل أو تعطيل الوصول إلى الإنترنت على هذا الجهاز أثناء استكشاف الأخطاء وإصلاحها ، على الرغم من أنك قد ترغب في إجراء عمليات بحث VirusTotal أولاً. وإلا فقد تقوم هذه البرامج الضارة بتنزيل المزيد من البرامج الضارة أو نقل المزيد من معلوماتك.

إذا كانت العملية شرعية تمامًا ، فقتل أو أعد تشغيل العملية المسيئة ، واعتبر أنها كانت مجرد صدفة. إذا كنت لا تريد أن تبدأ هذه العملية بعد الآن ، فيمكنك إما إلغاء تثبيتها أو استخدام Autoruns لإيقاف تحميل العملية عند بدء التشغيل.

إذا لم يؤد ذلك إلى حل المشكلة ، فقد يكون الوقت قد حان لسحب Process Monitor وتحليل العمليات التي حددتها بالفعل ومعرفة ما يحاولون الوصول إليه. يمكن أن يمنحك هذا أدلة حول ما يحدث بالفعل - ربما تحاول العملية الوصول إلى مفتاح تسجيل أو ملف غير موجود أو لا يمكنه الوصول إليه ، أو ربما يحاول فقط الاستيلاء على جميع ملفاتك والقيام بالكثير من الأشياء البسيطة مثل الوصول إلى المعلومات التي ربما لا ينبغي ، أو فحص محرك الأقراص بالكامل دون سبب وجيه.

بالإضافة إلى ذلك ، إذا كنت تشك في أن التطبيق يتصل بشيء لا ينبغي أن يتصل به ، وهو أمر شائع جدًا في حالة برامج التجسس ، فيمكنك سحب الأداة المساعدة TCPView للتحقق مما إذا كانت هذه هي الحالة.

في هذه المرحلة ، ربما تكون قد حددت أن العملية عبارة عن برامج ضارة أو برامج crapware. في كلتا الحالتين لا تريد ذلك. يمكنك تشغيل عملية إزالة التثبيت إذا كانت مدرجة في قائمة برامج إلغاء التثبيت بلوحة التحكم ، ولكن في كثير من الأحيان لم يتم إدراجها أو لم يتم تنظيفها بشكل صحيح. هذا عندما تقوم بسحب Autoruns وتجد كل مكان ربطه التطبيق ببدء التشغيل ، وقم بإيقاف تشغيلها من هناك ، ثم قم بإيقاف تشغيل جميع الملفات.

يعد إجراء فحص كامل للفيروسات في نظامك مفيدًا أيضًا ، ولكن لنكن صادقين ... يتم تثبيت معظم برامج التجسس وبرامج التجسس على الرغم من تثبيت تطبيقات مكافحة الفيروسات. من خلال تجربتنا ، فإن معظم برامج مكافحة الفيروسات ستبلغ عن كل شيء واضحًا بينما بالكاد يمكن لجهاز الكمبيوتر الخاص بك العمل بسبب برامج التجسس وبرامج crapware.

TCPView

تعد هذه الأداة المساعدة طريقة رائعة لمعرفة التطبيقات الموجودة على جهاز الكمبيوتر الخاص بك والتي تتصل بالخدمات عبر الشبكة. يمكنك رؤية معظم هذه المعلومات في موجه الأوامر باستخدام netstat ، أو مدفونة في واجهة Process Explorer / Monitor ، ولكن من الأسهل بكثير فتح TCPView ومعرفة ما يتصل بما.

الإعلانات

الألوان الموجودة في القائمة بسيطة جدًا وتشبه الأدوات المساعدة الأخرى - يعني اللون الأخضر الساطع أن الاتصال ظهر للتو ، ويعني اللون الأحمر أن الاتصال مغلق ، والأصفر يعني تغيير الاتصال.

يمكنك أيضًا إلقاء نظرة على خصائص العملية أو إنهاء العملية أو إغلاق الاتصال أو سحب تقرير Whois. إنها بسيطة وعملية ومفيدة للغاية.

ملحوظة: عند تحميل TCPView لأول مرة ، قد ترى عددًا كبيرًا من الاتصالات من [عملية النظام] لجميع أنواع عناوين الإنترنت ، ولكن هذا لا يمثل مشكلة في العادة. إذا كانت جميع الاتصالات في حالة TIME_WAIT ، فهذا يعني أنه تم إغلاق الاتصال ، ولا توجد عملية لتعيين الاتصال بها ، لذلك يجب أن يتم تعيينها إلى PID 0 نظرًا لعدم وجود PID لتعيينه إليه .

يحدث هذا عادةً عندما تقوم بتحميل TCPView بعد الاتصال بمجموعة من الأشياء ، ولكن يجب أن تختفي بعد إغلاق جميع الاتصالات وتحافظ على TCPView مفتوحًا.

Coreinfo

يعرض معلومات عن وحدة المعالجة المركزية للنظام وجميع الميزات. هل تساءلت يومًا عما إذا كانت وحدة المعالجة المركزية الخاصة بك هي 64 بت أم أنها تدعم المحاكاة الافتراضية القائمة على الأجهزة؟ يمكنك رؤية كل ذلك وأكثر من ذلك بكثير باستخدام الأداة المساعدة coreinfo. يمكن أن يكون هذا مفيدًا حقًا إذا كنت تريد معرفة ما إذا كان الكمبيوتر الأقدم يمكنه تشغيل الإصدار 64 بت من Windows أم لا.

يتعامل

تقوم هذه الأداة بنفس الشيء الذي تقوم به Process Explorer - يمكنك البحث بسرعة لاكتشاف العملية التي لها مقبض مفتوح يمنع الوصول إلى مورد ، أو من حذف مورد. بناء الجملة بسيط للغاية:

يتعامل

الإعلانات

وإذا كنت تريد إغلاق المقبض ، فيمكنك استخدام رمز المقبض السداسي عشري (مع -c) في القائمة مع معرف العملية (مفتاح التبديل -p) لإغلاقه.

مقبض -c -p

ربما يكون استخدام Process Explorer أسهل كثيرًا لهذه المهمة.

ListDlls

تمامًا مثل Process Explorer ، تسرد هذه الأداة المساعدة مكتبات DLL التي تم تحميلها كجزء من العملية. من الأسهل كثيرًا استخدام Process Explorer بالطبع.

رام ماب

تحلل هذه الأداة استخدامك للذاكرة الفعلية ، مع الكثير من الطرق المختلفة لتصور الذاكرة ، بما في ذلك الصفحات المادية ، حيث يمكنك رؤية الموقع في ذاكرة الوصول العشوائي التي يتم تحميل كل ملف تنفيذي فيها.

تعثر السلاسل على نص يمكن قراءته من قبل الإنسان في التطبيقات وملفات DLL

إذا رأيت عنوان URL غريبًا كسلسلة في بعض حزم البرامج ، فقد حان الوقت للقلق. كيف ترى هذا الخيط الغريب؟ استخدام الأداة المساعدة للسلاسل من موجه الأوامر (أو استخدام الوظيفة في Process Explorer بدلاً من ذلك).

الإعلانات

هناك مجموعة من مفاتيح تبديل سطر الأوامر لتخصيص الإخراج وما تبحث عنه ، لكننا نوصي باستخدام إصدار Process Explorer في أغلب الأحيان ، لأنه بسيط.

RegJump

تفتح الأداة المساعدة لسطر الأوامر محرر التسجيل وتنتقل لأسفل إلى المفتاح الذي تحدده كوسيطة في سطر الأوامر. لا مزيد من النقر يدويًا عبر الشجرة ... بافتراض أنك تستخدمها. بناء الجملة:

النظام الحاكم

Hex2Dec

هذا يحول الأرقام من سداسي عشري إلى عشري والطريقة الأخرى في سطر الأوامر.

أوتولوجون

تتيح هذه الأداة المساعدة تسجيل الدخول التلقائي لحسابك بسرعة كبيرة. ما عليك سوى إدخال كلمة المرور الخاصة بك ، والنقر على 'تمكين' ، وبذلك تكون قد انتهيت. يمكنك أيضًا استخدام هذا لتعطيل تسجيل الدخول التلقائي إذا تم تمكينه ولا ترغب في معرفة كيفية التبديل مرة أخرى.

تجدر الإشارة إلى أن تمكين تسجيل الدخول التلقائي في Windows أمر سهل حقًا في المقام الأول.

AccessChk

تقدم هذه الأداة البسيطة تقارير عن الأذونات الفعالة للملفات والمجلدات ... ومفاتيح التسجيل والعمليات والكثير من الأشياء الأخرى. في الأساس ، يمكن أن تكون الأذونات معقدة حقًا ، لذا تُظهر هذه الأداة المساعدة ما يمتلك الحساب بالفعل إذنًا للقيام به مع الكائن.

الوصول

هذه الأداة مفيدة حقًا ، حيث يمكنك تدقيق الأذونات بالكامل ومن يمكنه الوصول إلى الملفات والمجلدات ومفاتيح التسجيل على نظامك. إذا كان لديك إعداد أمان معقد حقًا ، فستتيح لك هذه الأداة معرفة من يمكنه الوصول ومعرفة ما إذا كنت قد ارتكبت خطأ في مكان ما.

ShellRunAs

هذه الأداة المساعدة هي في الواقع امتداد shell الذي يتيح لك تشغيل تطبيق بسرعة كمستخدم مختلف ، وهو ما كان مفيدًا حقًا في أيام XP عندما لم تكن هناك طريقة جيدة لتشغيل التطبيقات كمسؤول إذا كان لديك مستخدم قياسي. لا يزال مفيدًا جدًا في بيئة المؤسسة (لأجهزة الكمبيوتر القديمة).

ملاحظة: هذه الميزة مضمنة في Windows 7 و 8 ، ولكنها مخفية خلف قائمة Shift + Right Click.

التثبيت بسيط ، فقط استخدم هذا من سطر الأوامر:

شيلروناس / ريج

وإلغاء التثبيت بسيط بنفس القدر:

شيلروناس / أونريج

للاستخدام بمجرد تثبيته ، ما عليك سوى النقر بزر الماوس الأيمن على أي ملف قابل للتنفيذ واختيار الخيار 'تشغيل كمستخدم مختلف'.

الإعلانات

ثم أدخل اسم المستخدم وكلمة المرور للمستخدم البديل.

RegDelNull

البحث عن مفاتيح التسجيل التي تحتوي على أحرف خالية في الاسم وحذفها. ربما لا شيء تريد القيام به.

Ctrl2Cap

هذه الأداة تعيد تعيين مفتاح CAPS LOCK الخاص بك إلى CTRL بدلاً من ذلك.

شاشة توقف BlueScreen

نعم. هذا التطبيق مليء بالمرح - ما عليك سوى تثبيته بالنقر بزر الماوس الأيمن واختيار التثبيت ، وبعد ذلك يمكنك الاستمتاع بمشاهدة شاشة الموت الزرقاء الممتعة طوال الوقت.

هذا كل ما في هذا الدرس من Geek School. ترقبوا الأسبوع القادم لمزيد من البرامج التعليمية الرائعة.

اقرأ التالي
  • & [رسقوو] ؛ مجلد الكمبيوتر هو 40: كيف أنشأت شركة Xerox Star سطح المكتب
  • & [رسقوو] ؛ Cyber ​​Monday 2021: أفضل العروض التقنية
  • & [رسقوو] ؛ 5 مواقع ويب يجب على كل مستخدم Linux وضع إشارة مرجعية عليها
  • & [رسقوو] ؛ الدالات مقابل الصيغ في Microsoft Excel: ما الفرق؟
  • & [رسقوو] ؛ كيفية البحث عن ملف Spotify 2021 الخاص بك
  • & [رسقوو] ؛ ما هو MIL-SPEC Drop Protection؟
صورة الملف الشخصي لـ Lowell Heddings حفلات لويل
لويل هو المؤسس والرئيس التنفيذي لشركة How-To Geek. يدير العرض منذ إنشاء الموقع في عام 2006. وعلى مدار العقد الماضي ، كتب لويل شخصيًا أكثر من 1000 مقالة شاهدها أكثر من 250 مليون شخص. قبل بدء برنامج How-To Geek ، أمضى لويل 15 عامًا في العمل في مجال تكنولوجيا المعلومات لإجراء الاستشارات والأمن السيبراني وإدارة قواعد البيانات وأعمال البرمجة.
اقرأ السيرة الذاتية الكاملة

مقالات مثيرة للاهتمام