Shopt-IT 2012
Sysinternals
Ivo Depoorter
1
Wat? ................................................................................................................................... 3
2
Systeemvereisten ................................................................................................................ 4
3
Tools Sysinternals .............................................................................................................. 4
4
Installatie-Gebruik-Updates ............................................................................................... 5
5
4.1
Live http://live.sysinternals.com................................................................................. 5
4.2
Boot Cd’s ..................................................................................................................... 5
4.3
Lokaal .......................................................................................................................... 5
4.4
Network mapping ........................................................................................................ 5
4.5
Updates (manueel, batch, programma’s) ..................................................................... 5
Tools (demo) ...................................................................................................................... 6 5.1
Process Explorer .......................................................................................................... 6
5.1.1
Wat? ..................................................................................................................... 6
5.1.2
Aanbevolen instellingen ....................................................................................... 6
5.1.3
Gebruik ................................................................................................................. 7
5.1.4
Automatisch opstarten .......................................................................................... 8
5.2
Autoruns ...................................................................................................................... 8
5.2.1
Wat? ..................................................................................................................... 8
5.2.2
Aanbevolen instellingen ....................................................................................... 8
5.2.3
Gebruik ................................................................................................................. 9
5.3
PsTools ...................................................................................................................... 10
5.3.1
Wat? ................................................................................................................... 10
5.3.2
Systeemvereisten ................................................................................................ 10
5.3.3
Gebruik (alle tools)............................................................................................. 11
5.3.4
PsTools + voorbeelden ....................................................................................... 11
5.4
Desktop toepassingen ................................................................................................ 12
5.4.1
BGInfo ................................................................................................................ 12
Sysinternals 5.4.2 5.5
Programma’s voor bestandsbeheer ............................................................................ 13
5.5.1 5.6
Desktops ............................................................................................................. 13
Movefile ............................................................................................................. 13
Schijfbeheer ............................................................................................................... 14
5.6.1
Disk2VHD .......................................................................................................... 14
6
(Aanbevolen) Video’s ...................................................................................................... 14
7
Informatiebronnen ............................................................................................................ 15
Shopt IT 2012
[email protected]
Pagina 2 van 15
Sysinternals
1 Wat? • • • • •
70 gratis tools voor diagnose & troubleshooting Ontwikkelt door Mark Russinovich1 & Bryce Cogswell (oprichters Winternals software) Overgenomen door Microsoft in 2006 Eerste tool (Ctrl2cap)2 dateert van 1995 Volgende tools, NTFSDOS3, FILEMON & REGMON4 (Sysinternals)
Blue screen of death5………………………………………….Sysinternals screensaver
1
http://en.wikipedia.org/wiki/Mark_Russinovich Wijzigt Caps-Lock Key in Ctrl-Key de standaard toetsenbord indeling voor Unix gebruikers 3 Tool om vanuit DOS alleen-lezen toegang te krijgen tot NTFS systemen 4 Filemon en Regmon toont de systeemactiviteit op bestands en registerniveau (nu vervangen door Procmon) 5 http://nl.wikipedia.org/wiki/Blue_screen_of_death 2
Shopt IT 2012
[email protected]
Pagina 3 van 15
Sysinternals
2 Systeemvereisten • • • • • • • •
32 bit & 64 bit (niet alle tools) Windows XP with Service Pack 3 Windows Vista Windows 7 Windows Server 2003 with Service Pack 2 Windows Server 2003 R2 Windows Server 2008 Windows Server 2008 R2
3 Tools Sysinternals • • • •
• • • •
• • • • •
Process Explorer Process Monitor Autoruns PSTools (12 tools) o PSExec o PSInfo o PSFile o PSLoggedOn o PSShutdown o PSService Process and Diagnostic Utilities (6) Security Utilities (8) Active Directory Utilities (3) Desktop Utilities (3) o BGInfo o Desktops Files Utilities (7) o Movefile Disk Utilities (9) o Disk2VHD Network and communication Utilities (3) System Information Utilities (7) Miscellaneous Utilities (5)
Shopt IT 2012
[email protected]
Pagina 4 van 15
Sysinternals
4 Installatie-Gebruik-Updates 4.1
Live http://live.sysinternals.com
4.2
Boot Cd’s
BartPE, UBCD, Knoppix, Hirens Boot CD…. 4.3
Lokaal
Kopieer de tools naar een lokale map en voeg de locatie toe aan path (Systeemeigenschappengeavanceerd-omgevingsvariabelen, path – bewerken) 4.4
Network mapping
4.5
Updates (manueel, batch, programma’s) Batch script voor automatische updates http://www.howtogeek.com/50356/batch-script-to-auto-update-sysinternals-tools/ Windows System Control Center (updates voor sysinternals en nirsoft utilities) http://www.kls-soft.com/wscc/
Shopt IT 2012
[email protected]
Pagina 5 van 15
Sysinternals
5 Tools (demo) 5.1
Process Explorer
5.1.1
Wat?
Alternatief voor Windows Taakbeheer Windows Taakbeheer toont beperkte informatie over de lopende processen6. Process Explorer is een soortgelijk programma, maar laat veel meer informatie zien. Hierdoor is het eenvoudiger te achterhalen waarom de computer of een proces "hangt" of om verdachte processen te analyseren. 5.1.2 • • • • •
Aanbevolen instellingen Hide when minimize Only allow one instance Difference highlight duration, op 9” zetten Verify image signatures Configure symbols7
6
Proces: http://nl.wikipedia.org/wiki/Proces_(informatica) Symbols: originele functienamen van de ontwikkelaar die na het compileren enkel nog beschikbaar zijn indien ze in een DLL (met export table) meegeleverd werden. 7
Shopt IT 2012
[email protected]
Pagina 6 van 15
Sysinternals •
Kleuren
Startende processen Stoppende processen Processen die draaien onder dezelfde gebruiker als Process Explorer Windows services Mogelijks gecomprimeerde en versleutelde code, malware? Windows taken Processen die het dot.net framework gebruiken DLL’s die niet kunnen starten in de voorziene adresruimte
5.1.3
Gebruik
Belangrijkste opties contextmenu: • • • •
• 8
Kill process: stopt het geselecteerde proces Kill process tree: stopt het geselecteerde proces en alle afhankelijke processen Restart: herstart van het geselecteerde proces Suspend: stopt alle proces threads8 van het geselecteerde proces Deze optie is de aanbevolen optie bij verdachte processen (malware), op deze wijze kunnen buddy-processen niet detecteren dat het proces niet langer actief is. Search online: zoekactie met standaard browser en standaard zoekmachine
Thread: http://nl.wikipedia.org/wiki/Thread_(informatica)
Shopt IT 2012
[email protected]
Pagina 7 van 15
Sysinternals Proces zoeker
5.1.4
Automatisch opstarten
Zet de volgende snelkoppeling in de startup groep van Windows: d:\sysinternals\procexp.exe /t /e (t=minimized;e=elevated rights UAC) 5.2 5.2.1
Autoruns Wat?
AutoRuns (vergelijkbaar met MSCONFIG van Windows) is de meest geavanceerde tool voor het analyseren van het opstartproces. Met deze tool kunnen de ASEPs9 zoals services, drivers, explorer shell extensies, toolbars en browser helper objects verwijderd of in- of uitgeschakeld worden. Het is verbazingwekkend wat er allemaal wordt opgestart en hoeveel systeembronnen dat in beslag neemt. Door het uitschakelen van de niet noodzakelijke onderdelen is snelheidswinst te behalen bij het opstarten en worden meer systeembronnen vrijgehouden voor andere toepassingen. 5.2.2
Aanbevolen instellingen
Het wegfilteren van ‘Microsoft entries’ maakt autoruns een stuk overzichtelijker. Selecteer ook de optie ‘Verify code signatures’ om sneller verdachte opstart onderdelen te detecteren.
9
ASEP = Autostart Extensibility Points
Shopt IT 2012
[email protected]
Pagina 8 van 15
Sysinternals 5.2.3
Gebruik
Standaard staat de aangemelde gebruiker geselecteerd, wijzig de gebruiker via het menu User indien nodig.
Belangrijkste opties contextmenu • • •
Delete: verwijdert het onderdeel (<> de selecteren: kopieert het onderdeel naar een andere locatie tot het terug geselecteerd wordt). Proxess Explorer: opent het proces (indien actief) binnen process explorer Search online: zoekactie met standaard browser en standaard zoekmachine
Belangrijkste tabs: • •
• •
10
Logon: alle autostarts gestart tijdens het opstarten van Windows en het aanmelden van de gebruiker. Explorer: alle autostarts die gebruik maken van de Windows Explorer, meestal als sub proces van explorer.exe. Voorbeelden daarvan zijn shell extensies, naamruimte extensies zoals het bureaublad, het configuratiescherm,… Internet Explorer: alle custom menu’s, werkbalken, BHO’s10 binnen Internet Explorer Scheduled Tasks: alle autostarts gestart door de Windows taakplanner. Bij gebruik van het contextmenu ‘Jump to’ wordt de taakplanner geopend op de geselecteerde taak.
Browser Helper Objects
Shopt IT 2012
[email protected]
Pagina 9 van 15
Sysinternals Verder kan autoruns ook offline gebruikt worden door gebruik te maken van Live Cd’s Bijvoorbeeld Hirens Boot CD (http://www.hiren.info/pages/bootcd) Open Autoruns en ga naar File-Analyze Offline System. Blader naar de system root en het gebruikersprofiel die je wilt analyseren.
5.3
PsTools
5.3.1
Wat?
PsTools bestaat uit een set van 12 console programma’s (te bedienen via de dos prompt of in een batch script) die lokaal of remote kunnen uitgevoerd worden. 5.3.2 • •
Systeemvereisten Administratieve rechten Sommige tools maken gebruik van de admin$ share. Daarvoor moet ‘file and print sharing’ actief zijn (volgende services moeten actief zijn, de workstation service op de lokale pc en de server service op de remote pc). De firewall moet ook ‘file and printer sharing’ doorlaten en ‘simple file sharing’ mag niet actief zijn. Firewall instellingen kunnen ook via de Group Policy meegegeven worden:
• •
Voor sommige tools moet de ‘Remote Registry service’ draaien op de remote host De UAC binnen Windows 7 & Vista beperken de remote toegang niet voor domeingebruikers, zie http://support.microsoft.com/kb/951016/nl
Shopt IT 2012
[email protected]
Pagina 10 van 15
Sysinternals Programma
Lokaal
Systeemvereisten → PSExec
Admin rechten Afhankelijk van het commando en de opties
Admin$ share Ja
Remote registry service Nee
Meerdere computers Ja
PSFile
Ja
Nee
Nee
Nee
PSGetSID
Nee
Ja
Nee
Ja
PSInfo
Nee
Ja
Ja
Ja
PSKill
Afhankelijk van het proces
Ja
Nee
Nee
PSList
Nee
Ja
Ja
Nee
PSLoggedOn
Nee
Nee
Ja
Kan het netwerk scannen
PSLogList
Afhankelijk van de actie en het type logboek Ja
Ja
Ja
Ja
Nee
Nee
Ja (voor lokale gebruikers)
PSService
Afhankelijk van de acties en services
Nee
Nee
Nee (maar de find optie kan het netwerk scannen)
PSShutdown
Ja
Ja
Nee
Ja
PSSuspend
Afhankelijk van het proces
Ja
Nee
Nee
PsPasswd
Op afstand
Tabel systeemvereisten 5.3.3 • •
Gebruik (alle tools) Tool /? toont help en parameters Externe operaties o Op één pc: psinfo \\192.168.0.10 of psinfo \\pc12 o Op meerdere pc’s: psinfo \\server1,server2,192.168.0.3,server4 o Op meerder pc’s via een teskstbestand (voorafgegaan door @) met de pc’s onder elkaar (één per lijn) server1 server2 192.168.0.3 server4 psinfo @computers.txt
• 5.3.4 •
•
Uitvoeren als…. o psinfo \\server1 -u MYDOMAIN\AdminAccnt -p Pass@word123 PsTools + voorbeelden PSExec: voert console programma’s uit op de remote computer psexec \\server1 ipconfig /all psexec \\server1 Cmd.exe PSInfo: verzamelt informatie (uptime, aantal CPU, versie IExplorer,…) over het system psinfo \\pc1 psinfo-d \\pc1 (voegt informatie over harde schijven toe) psinfo –s (toont geïnstalleerde software + updates)
Shopt IT 2012
[email protected]
Pagina 11 van 15
Sysinternals • • • •
5.4 5.4.1
PSFile: toont open bestanden psfile \\Win7_vm 340 PSLoggedOn: toont welke gebruikers er aangemeld zijn (lokaal of via een share) PsLoggedOn \\pc1 PSShutdown: sluit pc’s af PsShutdown –r \\pc1 (reboot pc) PsService: tool voor het beheer van Windows Services & drivers PSService query print spooler (vraagt de status op van de print spooler service) PSService restart print spooler (herstart de print spooler, andere acties zijn stop, start, pauze en Continue) Desktop toepassingen BGInfo
Met behulp van de BGInfo11 wordt op het bureaublad allerlei systeeminformatie weergegeven, zoals de software-, hardware- en netwerk gerelateerde gegevens. BGInfo maakt een kopie van het huidige bureaublad en verwerkt hierin de betreffende systeeminformatie. De bureaubladwijziging wordt ongedaan gemaakt door een nieuw bureaublad uit te kiezen.
Om BGInfo met een voor gedefinieerd configuratiescript te starten op alle pc’s kan het volgende script toegevoegd worden aan het logon-script. Plaats hiervoor het programma BGInfo en het configuratiescript in de netlogon share (\\domaincontroller_x\netlogon).
11
BGInfo staat voor background information
Shopt IT 2012
[email protected]
Pagina 12 van 15
Sysinternals
Opgelet met Windows XP gebruikers: geef de gebruikers schrijfrechten op het bestand bginfo.bmp (c:\windows). 5.4.2
Desktops
Desktops is een programma dat je bureaublad uitbreidt naar 4 bladen.
5.5 5.5.1
Programma’s voor bestandsbeheer Movefile
Indien het niet mogelijk is om bestanden te hernoemen, verwijderen of te verplaatsen dan kan dit door het programma movefile uitgevoerd worden bij de volgende reboot van de pc. Voor het programma movefile zijn er administratieve rechten nodig. Voorbeelden: Het volgende voorbeeld verplaatst het bestand voorbeeld.txt van c:\map1 naar c:\map2 movefile c:\map1\voorbeeld.txt c:\map2\voorbeeld.txt Dit voorbeeld verplaatst en hernoemt het bestand: movefile c:\map1\voorbeeld.txt c:\map2\voorbeeld2.txt Gebruik “” om een bestand of map te verwijderen (mappen kunnen enkel verwijderd worden indien ze leeg zijn). .movefile c:\map1\voorbeeld.txt ""
Shopt IT 2012
[email protected]
Pagina 13 van 15
Sysinternals 5.6 5.6.1
Schijfbeheer Disk2VHD
Disk2VHD maakt een virtuele harde schijf van één of meerdere volumes op uw systeem. Dit volume kan nadien geopend worden binnen Hyper-V, Virtual Pc, VMWare,…. Voor het gebruik van Disk2VHD zijn er administratieve rechten nodig.
6 (Aanbevolen) Video’s Demo van Aaron Margosis12 (1h26’35”) over Process explorer, Procmon en autoruns http://technet.microsoft.com/nl-nl/edge/Video/hh184339 Advanced malware cleaning met sysinternals Video van Mark Russinovich (1h12’49”) over het gebruik van meerdere sysinternal tools (Process Explorer, Autoruns, TCPView, Rootkitrevealer, Sigcheck) http://technet.microsoft.com/en-us/sysinternals/gg618529
12
Mede-auteur van het boek Windows Sysinternals Administrator Reference
Shopt IT 2012
[email protected]
Pagina 14 van 15
Sysinternals
7 Informatiebronnen Windows Sysinternals Administrator's Reference http://technet.microsoft.com/en-us/sysinternals/hh290819 Officiële website http://technet.microsoft.com/en-us/sysinternals Sysinternals forum http://forum.sysinternals.com Sysinternals learning resources http://technet.microsoft.com/nl-be/sysinternals/bb469930 Sysinternals site blog http://blogs.technet.com/b/ Mark’s blog http://blogs.technet.com/b/markrussinovich
Shopt IT 2012
[email protected]
Pagina 15 van 15
