Infrastructura IT pentru întreprinderea dvs.
Registrul de monitorizare - RegMonitor
Fig. 1. Nimic nu scapa de ochiul vigilent al RegMonitor - nici o intrare in Registru, nici o incercare de ao citi.
Monitor de fișiere - FileMonitor
Fig. 2. Aflați cine vă citește fișierele
FileMonitor, precum și RegMonitor, are multe setări utile. De exemplu, este posibil să se pună un filtru în raportul pe ecran de interogări la fișierele stocate într-un fișier observații, înregistrează ora exactă a cererii sau a duratei fiecărei operațiuni atunci când se lucrează cu fișiere.
Compararea registrelor
Fig. 3. Comparați Registrul înainte și după lucrare - înainte ca toate modificările să apară
Înainte de a începe programul în curs de investigare (sau înainte de a apela funcția acestui program), faceți un "instantaneu" al Registrului făcând clic pe butonul special și repetați această acțiune când programul se termină. Apoi comparăți ambele "instantanee" apăsând din nou butonul. Ca rezultat, se va emite un raport privind modificările din registru, cheile și parametrii noi apăruți, partițiile și valorile modificate și șterse.
În principiu, același rezultat poate fi obținut în cazul în registru exportate într-un fișier text înainte de începerea programului de studiu și la finalizarea acestuia, și apoi comparați fișierele de text rezultate pentru Norton Commander sau orice alt program care are o caracteristică de comparație fișier, cu toate acestea, a lucra cu RegSnap toate este mai convenabil.
Fig. 4. Programul FireLog - nimic nu va scăpa din ochiul ei vigilent
FireLog este executat ca un program master (figura 4). Utilizatorul efectuează etapele succesive pot defini un spațiu de cercetare, subliniind modul de instalare a programului, pe care discuri pentru a monitoriza schimbările în fișierele de sistem și unele chei de registry. Utilitarul scanează discurile specificate, este o bază de date cu numele fișierelor devin disponibile pentru a le face „instantaneu“ al fișierelor de registru și de sistem, și apoi porniți programul de instalare în sine. După instalare, fișierele de disc și de sistem sunt examinate din nou, iar apoi este afișat un raport despre modificările detectate în sistem (Figura 5).
Fig. 5. Raportul FireLog
Acum nu este dificil să se determine unde să se caute modificări și ce fișiere și chei de registry ar trebui să fie șterse la dezinstalarea programului.
Acest utilitar practic are aceleași funcții ca RegSnap, dar acesta din urmă nu scanează discul, nu examinează fișierele de sistem și nu este legat de munca instalatorului. Prin urmare, aceste două utilități sunt utilizate în mai multe domenii: RegSnap pentru investigarea modificărilor efectuate de program direct în Registru și FireLog - pentru studierea acțiunilor instalatorilor.
Fig. 6. Ura de multe ferestre. Da, de asemenea, funcționează prost
Fig. 7. Program Viewer - vede tot ce este în memoria RAM
Fig. 8. Programul CCTask
Deci, pentru a salva memoria calculatorului din aplicația de tip hangout, trebuie doar să marchezi sarcina dorită și să selectezi opțiunea Kill (pentru Process Viewer) din meniul contextual al butonului drept al mouse-ului sau să dai clic pe butonul Kill din fereastra programului. Și nu veți vedea "așteptarea sfârșitului programului", care este adesea păcătuită de fereastra standard pentru închiderea aplicațiilor suspendate - programul "gândit" va fi imediat descărcat din memorie.
Uneori, după o operație de accident a unor programe, cum ar fi Microsoft Word, devine imposibil de a lucra cu dosarul, care la momentul respectiv a fost încărcat. Când încercați să deschideți sau să salvați-l va da un mesaj care este deja utilizat de către un alt utilizator, atunci acesta nu poate fi mutat sau șters. Și toate pentru că, atunci când programul Winword va descărca, apoi unul dintre procesului său rămâne în memorie și să continue să „lucreze“ cu fișierul. Din acest motiv, sistemul de operare nu a permis modificarea sau ștergerea acestui fișier. Pentru a evita această situație, ar trebui să fie după finalizarea programului, apăsați ++ sau cauza Process Viewer (sau CCTask) și se verifică dacă rămâne ceva de prisos în lista de procese în derulare, și apoi, dacă ceva încă de a descoperi, găsit „cip „șterge.
Este de remarcat numărul mai mare de funcții utile și funcționarea mai stabilă a programului View Viewer. Apropo, este capabil să se prăbușească și să fie plasat în tava de sistem. CCTask nu, dar puteți vizualiza bibliotecile utilizate și procesele de program în partea de jos a ferestrei, dar în procesul de vizualizare pentru a efectua o astfel de operațiune este necesară pentru meniul clic dreapta.
Programul Starter studiază, de asemenea, procesele din sistem, dar trebuie discutat mai detaliat.
Programe la pornire
Când porniți Windows, programele sunt descărcate automat:
- ale căror comenzi rapide se găsesc în directorul "Meniu principal? Programe? Startup";
- calea la care este specificat în registru, în subsecțiunile Run, RunOnce, RunServices, sectiunea RunServicesOnce HKLMSoftwareMicrosoft WindowsCurrentVersion, precum și în subcapitolele corespunzătoare din secțiunea HKCUSoftwareMicrosoft WindowsCurrentVersion;
- căile spre care sunt specificate în fișierul Win.ini, în sarcina [windows] și executați [Windows];
- căile la care sunt specificate în fișierul autoexec.bat.
Aceste locuri ar trebui să fie revizuite în mod regulat pentru a vedea dacă s-au înregistrat și alte intrări efectuate de virușii troieni. (Există, cu toate acestea, încă în locul cinci pentru programele de pornire - registru indicii-cheie pentru așa-numitele „drivere virtuale» -. HKEY_LOCAL_MACHINESystemCurrentControlSet ServicesVxD, care, în special, utilizează suita Norton Utilities software-ul pentru a rula componentele lor, dar programele malware sunt situate în acest loc destul de rare, probabil, din cauza dificultății de a scrie un driver virtuale cu drepturi depline.) Pentru a păstra „urca“ pe fișierele de registru și de sistem nu sunt atât de convenabil. Pentru a facilita acest proces, iar software-ul Starter a fost creat pentru afișarea și gestionarea unei liste de aplicații care pornesc automat când pornește Windows. Printre avantajele sale includ o interfață de bine conceput si un design atractiv (Fig. 9).
Fig. 9. Începător - atât frumos cât și util
Fig. 10. Starter - adăugați un nou parametru
Referințele la acele programe care nu trebuie să pornească automat pot fi șterse sau dezactivate, iar în ultimul caz sunt salvate și ulterior supuse recuperării.
Fig. 11. Starter - built-in observator al proceselor de sistem
Programul de mai sus MSConfig (Figura 12), inclus în distribuția Windows, are oarecum mai puțină funcționalitate pentru a afișa lista de programe autoloadabile decât Starter.
Fig. 12. MSConfig - inclus în distribuția Windows 98 și oferă informații complete despre toate programele autoloading
Dacă executați Windows 95, aveți posibilitatea să eliminați din Windows MSConfig 98 C a fișierelor de distribuție utilizând WinZip (versiunea 7.0) sau WinRar (versiunea 2.0 și mai mare). În distribuția mea, a fost în fișierul Win98_44.cab.
Navigați în Biblioteci
Utilitatea lui Sergey Sorokin, numită ShowDep, vă permite să aflați ce biblioteci solicită programul special atunci când, de exemplu, trebuie să fie transferat pe un alt PC. Dacă încărcați un fișier executabil sau o bibliotecă în ShowDep, puteți vedea care biblioteci utilizează acest utilitar în timp ce rulează (Figura 13).
Fig. 13. ShowDep află ce biblioteci sunt necesare pentru un anumit program
Programul arată, de asemenea, acele biblioteci care sunt chemați de alte biblioteci utilizate de programul în curs de investigare (afișează apelurile așa-numite "imbricate"). Astfel, cu ajutorul acestuia puteți obține informații exhaustive despre întreaga structură a apelurilor din orice program al subprogramelor care sunt necesare pentru aceasta, incluse în alte biblioteci și fișiere executabile. În partea dreaptă a ferestrei ShowDep, este prezentată o scurtă descriere a fiecărei biblioteci.
SpaceChecker
Acest utilitar monitorizează aspectul, ștergerea și modificarea fișierelor de pe hard disk. SpaceChecker scanează creează o bază de date de toate fișierele și folderele stocate, și apoi de fiecare dată când începe să re-scanează discul și raportează schimbările care au avut loc cu fișierele, deoarece rula anterior (fig. 14).
Fig. 14. SpaceChecker - nu există "gunoi" pe disc
cerere
Utilitățile descrise aici sunt doar unelte și, pentru ca acestea să fie utile în practică, trebuie să lucrați cu ele. Dar această muncă, crede-mă, este mult mai fascinantă decât multe jocuri pe calculator, și numai că este mai util, nici măcar nu se îndoiesc.
Ce este
Procesul sistemului este un anumit cod încărcat în memorie RAM și cod de funcționare. Cele mai multe programe standard lucrează într-un singur proces, dar unele pot folosi mai multe. Diverse utilități descărcate de sistemul de operare Windows sunt, de asemenea, procese.
Prioritatea procesului este partea din resursele sistemului (în special, timpul procesorului) alocate acestui proces.
Biblioteca este un fișier special (în Windows are o extensie .dll) care conține textul rutinelor. Aceste fișiere sunt create astfel încât mai multe programe care necesită aceleași subrutine pot să le ia de la biblioteci și astfel să nu le stocheze în sine și să aibă un volum mai mic. În plus, biblioteca poate fi încărcată în memoria RAM numai atunci când este apelată din program, fără a fi aglomerată ultima dată când funcțiile conținute în aceasta nu sunt necesare.