Утилиты марк руссинович


Mark Russinovich по-русски

Вредоносное ПО, пугающее пользователей (scareware) – тип ПО, маскирующегося под антивирусные программы, – появилось десяток лет тому назад и не собирается уходить. Цель таких программ – одурачить пользователя, демонстрируя, что его компьютер тяжело поражен вирусами, и лучший способ избавиться от них – приобрести полную версию программы, которая своими заботами любезно остановит заражение. Я писал об…

Ключевой составляющей любого плана кибербезопасности является «непрерывный мониторинг», или возможность аудита и мониторинга через сетевое окружение, а также настройка автоматического анализа получающихся журналов для обнаружения аномального поведения, заслуживающего подробного исследования. Это часть нового менталитета «предполагаемых брешей», который признает, что не существует на 100 % защищенных систем. К несчастью, компания, оказавшаяся в центре этой истории, не…

Дело относится к моему любимому разряду дел, в которых я использую собственные инструменты для решения проблемы, затронувшей меня самого. Это дело в своей основе может коснуться каждого, особенно тех, кто много путешествует, и демонстрирует использование некоторых возможностей программы Process Monitor, о которых многие не догадываются, что делает его идеальным для описания и распространения. История разворачивалась…

Многие из вас прочли мой первый роман «День ноль». Это кибертриллер, где главные герои, Джефф Айкен и прекрасная Дэрил Хьюген, эксперты по компьютерной безопасности, спасают мир от разрушительной кибератаки. Отзывы на него и продажи оказались выше моих ожиданий, так что у меня были особые причины, побудившие написать продолжение – «Троянский конь», который, как я полагаю,…

Как читатель этого блога, я подозреваю, что и вы, подобно мне, являетесь обслуживающим ИТ-персоналом для вашей семьи и друзей. И, спорю, многие из вас выполняют обязанности по системному обслуживанию, когда приходят в гости к родственникам или друзьям во время каникул. Каждый раз, когда я навещаю свою маму, я обычно выделяю несколько минут, чтобы запустить Sysinternals…

Этот случай произошел с сетевым администратором, которому поручили развернуть в сети клиентское ПО Microsoft Windows Intune. Windows Intune – это облачный сервис, управляющий системами в корпоративной сети, и сохраняющий их программное обеспечение в актуальном состоянии, а также позволяющий администраторам контролировать состояние систем через интерфейс браузера. Оно требует агента на клиенте, но на одной из машин…

Клонирование дисков стало всеобщим явлением по мере того, как ИТ-профессионалы стали виртуализировать физические серверы с помощью инструментов вроде Sysinternals Disk2vhd и использовать образ главного виртуального жесткого диска в качестве эталона для копий, создаваемых для виртуальных клонов. В большинстве случаев с образами клонированных дисков можно обращаться, не опасаясь, что у них одинаковые сигнатуры. Однако в редких…

Этот случай начался с того, что опытный пользователь Sysinternals, который работает системным администратором в крупной корпорации, получил от своего друга сообщение о том, что его ноутбук вышел из строя. Всякий раз, когда он подключал его к сети, его ноутбук перезагружался. Когда наш опытный пользователь получил в свои руки этот ноутбук, он первым делом проверил его…

  Мне нравится, когда люди присылают мне рассказы о случаях, в которых они использовали инструменты Sysinternals для успешной диагностики проблем, однако нет ничего более приятного, чем использовать их для решения проблем, с которыми столкнулся лично я. Этот случай, в частности, был забавным потому, что его решение помогло мне вернуться к приятному времяпрепровождению. Когда у меня…

В первой части статьи я использовал Autoruns, Process Explorer и VMMap для статического анализа вируса Stuxnet на Windows XP. Эта фаза данного исследования показала, что Stuxnet инфицировал множество процессов, запустил зараженные процессы под видом исполнительных файлов системы, а также установил и загрузил два драйвера устройств. Во второй части я обратился к трассировке активности, записанной во…

blogs.technet.microsoft.com

Книга "Утилиты Sysinternals. Справочник администратора" автора Руссинович Марк

www.rulit.me

Последние комментарии

онлайн

онлайн

Опекун для юной девы

Мне понравилась книга.Еще бы продолжение) интересно,удался ли эксперемент. Особенно на фоне прочитанной предыдущей серии Вампиры девичьх грез.

I would kill for your love (СИ)

 Очень понравилось. Коротко, конечно, но, видимо, в историях с Гарри Поттером, можно и так, предыстория же есть в оригинале

Встреча с любовью

Скучно,читаешь и понимаешь,что мне абсолютно не интересно,что будет с главными героями.

 
 

Утилиты Sysinternals. Справочник администратора

Автор: Руссинович Марк, Маргозис Аарон Жанр: Другая компьютерная литература, Справочники Год: 2012 Добавил: Admin 22 Окт 12 Проверил: Admin 22 Окт 12 Формат:  FB2, ePub, TXT, RTF, PDF, HTML, MOBI, JAVA, LRF

Рейтинг: 0.0/5 (Всего голосов: 0)

Аннотация

Утилиты Sysinternals. Справочник администратора

Объявления

Где купить?

Нравится книга? Поделись с друзьями!

Другие книги автора Руссинович Марк

Похожие книги

Комментарии к книге "Утилиты Sysinternals. Справочник администратора"

Комментарий не найдено
Чтобы оставить комментарий или поставить оценку книге Вам нужно зайти на сайт или зарегистрироваться
 

RegMon для Windows v7.04

Авторы: Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)

Опубликовано 11 января 2006 г.

Введение

Примечание: Программы Filemon и Regmon заменены одной программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программы Filemon and Regmon оставлены для поддержки устаревших операционных систем, включая и Windows 9x.

Программа Regmon предназначена для слежения за реестром. Она показывает, какие приложения обращаются к реестру и в какие разделы, какую информацию они читают или пишут. И все это в реальном масштабе времени. Она делает куда больше, чем инструменты для статического анализа реестра, поскольку позволяет увидеть и понять, как используют реестр различные программы. С помощью статических инструментов можно узнать, какие разделы и значения в реестре изменились. А программа Regmon даст возможность увидеть, когда и как это происходит.

Программа Regmon работает в операционных системах Windows NT, 2000, XP, 2003, Windows 95, 98, Me и 64-разрядных версиях Windows для архитектуры x64.

Установка и использование

При возникновении вопросов или проблем, связанных с программой Regmon, посетите посвященный ей форум на веб-узле Sysinternals.

Для установки программы просто скопируйте файлы на свой жесткий диск и запустите файл Regmon.exe. Пункты меню и кнопки на панели инструментов позволяют включать и выключать отслеживание, деактивировать сбор информации о событиях, управлять прокруткой списка и сохранять содержимое списка в ASCII-файле.

C помощью диалогового окна Filter, которое можно открыть, нажав кнопку на панели инструментов или выбрав из меню команду Option|Filter/Highlight (параметры, фильтр или выделение), укажите, какие данные показывать в списке. Подстановочный символ «*» соответствует произвольной строке, фильтры не зависят от регистра букв. Показываются только данные, которые определены во включающем фильтре и при этом не определены в исключающем фильтре. Строки в фильтре разделяются точкой с запятой (';'), например: «regmon;software».

Например, если установлен включающий фильтр «HKLM» и исключающий фильтр «HKLM\Software», то программа будет отслеживать обращения ко всем разделам и значениям в ветви HKLM за исключением тех, что принадлежат ветви HKLM\Software.

С помощью подстановочных символов можно задавать сложные образцы для сопоставления, что позволяет, к примеру, отслеживать обращения к реестру, сделанные конкретными приложениями. Так, включающий фильтр «Winword*Windows» сообщает программе Regmon, что нужно показывать лишь обращения из программы Microsoft Word к разделам и значениям, содержащим слово «Windows».

С помощью фильтра выделения можно указать, какие строки в списке следует выделять цветом. Цвета для выделения устанавливаются командой меню Options|Highlight Colors (параметры | цвета выделения).

Программа Regmon может также снабжать события отметками о времени или показывать время, прошедшее с момента последней очистки окна вывода (или с момента запуска программы). Меню Options (параметры) и кнопка с изображением часов на панели инструментов позволяют переходить из одного режима в другой. В зависимости от текущего режима на панели инструментов изображается значок часов или секундомера. Если установлен режим показа истекшего времени, то значение в колонке Time — это число секунд, потребовавшееся файловой системе для обслуживания запросов.

Если вы захотите изменить какой-нибудь раздел или значение в списке, выводимом программой Regmon, дважды щелкните соответствующую строку (или нажмите кнопку на панели инструментов со значком программы Regedit). В ответ Regmon запустит программу Regedit и установит курсор на соответствующем разделе реестра.

Перейдите по этой ссылке, если хотите узнать о том, как Regmonможет следить за процессом загрузки системы. Эта функция доступна для ОС Windows NT.

Как работает программа Regmon

В основе работы Regmon на платформе Windows 9x лежит драйвер виртуального устройства Regvxd.vxd. Он загружается динамически и на этапе инициализации подключается к службе VxD (дополнительную информацию об этой методике см. в нашей статье в номере журнала «Dr. Dobb's Journal» за май 1996 года), чтобы добавить себя в цепочку вызовов 16 функций доступа к реестру, находящихся в ядре Windows 95 (подсистема Virtual Machine Manager — диспетчер виртуальных машин). Все обращения к реестру, будь то из 16-разрядных программ, Win32-приложений или драйверов устройств, проходят через эти функции, а Regmon перехватывает все их вызовы.

В операционных системах Windows NT, 2000 и XP программа Regmon загружает драйвер устройства, в котором применяется техника перехвата системных вызовов, которую мы впервые реализовали для NT. Когда компонент, работающий в режиме пользователя, выполняет привилегированный системный вызов, управление передается обработчику программных прерываний, находящемуся в файле NTOSKRNL.EXE (ядро операционной системы Windows NT). Обработчик извлекает из машинного регистра номер системного вызова, который служит индексом для таблицы системных служб, и находит в этой таблице адрес функции, которая должна обрабатывать запрос. Подставив вместо него адрес собственной функции, можно перехватить обращение к системе и таким образом подменить, дополнить или просто запротоколировать вызовы тех или иных служб. Программа Regmon подменяет только адреса функций, имеющих отношение к реестру, но это лишь один пример использования открывающихся возможностей.

На платформе Windows .NET Server программа Regmon использует новый механизм обратных вызовов при обращении к реестру. Она регистрирует себя и получает информацию о каждом вызове в тот момент, когда он производится. При запуске на этой платформе Regmon загружает свой драйвер, которому и приходят уведомления о вызовах.

Когда Regmon получает информацию об открытии, создании или закрытии ключа, она обновляет внутреннюю хеш-таблицу, в которой хранится соответствие между описателями разделов и путями к ним в реестре. Если же выполняется какой-то вызов с описателем раздела в качестве аргумента, то Regmon ищет запись в этой таблице, чтобы вывести соответствующий разделу путь. Если раздел, на который ссылается описатель, был открыт до запуска Regmon, то соответствующая запись в таблице не будет найдена, и тогда Regmon просто выведет значение раздела.

Информация о доступе к реестру записывается в формате ASCII во внутренний буфер, который периодически копируется в список, отображаемый в окне программы.

Дополнительную информацию о работе программы Regmon на платформе Windows NT см. в следующих источниках.

  • "Перехват системных вызовов в операционной системе Windows NT", Марк Руссинович и Брайс Когсуэлл, Dr. Dobb's Journal, январь 1997.

  • "Утилиты для NT – взгляд изнутри", Windows NT Magazine, февраль 1999.

Дополнительные сведения

Ниже перечислены дополнительные источники информации о реестре в операционных системах Windows NT/2000/XP и Windows 9x/Me:

  • Внутреннее устройство Windows 2000, третье издание, Дэвид Соломон и Марк Руссинович, Питер, Русская редакция 2001

  • "Исследование реестра Windows 95", Марк Руссинович и Брайс Когсуэлл, Windows Developer's Journal, октябрь 1996

  • "Внутреннее устройство реестра Windows NT ", Марк Руссинович, Windows NT Magazine, апрель 1997

  • " Inside the Windows 95 Registry", Ron Petrusha, O'Reilly and Associates, 1996

  • " Managing the Windows NT Registry" Paul Robichaux и Robchauxg , O'Reilly and Associates, 1998

  • " Windows 98 Registry For Dummies", Glenn Weadock, IDG Press, 1998

  • " Using the Windows 98 Registry", Jerry Honeycutt, Que, 1998

Статьи о программе Regmon в базе знаний Microsoft
В следующих статьях из базы знаний Microsoft упоминается об использовании программы Regmon для диагностики и устранения различных ошибок:

Взаимосвязанные утилиты

Ниже приведен перечень других средств мониторинга, опубликованных на веб-узле Sysinternals:

  • FileMon - отслеживание доступа к файлам;

  • PortMon - отслеживание обращений к последовательным и параллельным портам;

  • Process Monitor — слежение за процессами и потоками;

  • DiskMon - отслеживание работы жесткого диска;

  • DebugView - отслеживание вывода отладочной информации.

К началу страницы

technet.microsoft.com

Дело о блокировке утилит Sysinternals вредоносным ПО – Mark Russinovich по-русски

В преддверии публикации моего романа Zero Day, выход которого назначен на 15 марта, продолжим тему случаев, связанных с вредоносным программным обеспечением (на прошлой неделе я опубликовал статью "Дело о вредоносном автозапуске"). Эта статья рассказывает о случае, о котором мне сообщил пользователь, применивший уникальный подход к очистке системы после того, как он столкнулся с невозможностью запустить утилиты Sysinternals.

Все чаще и чаще авторы вредоносного ПО используют антивирусные продукты и утилиты Sysinternals для контроля над целевой системой. Этот случай начался с того, что друг пользователя попросил его посмотреть компьютер, который стал тратить необычно много времени на загрузку и вход в систему. Этот друг, уже подозревая, что причиной могла стать вредоносная программа, попытался выполнить сканирование системы с помощью Microsoft Security Essentials (MSE), однако это сканирование не могло завершиться. В диспетчере задач так же не было ничего подозрительного.

Пользователь, знакомый с утилитами Sysinternals, попробовал проделать одну из тех операций по очистке от вредоносного софта, о которой я рассказывал в моей презентации Advanced Malware Cleaning. Однако двойной клик на значке Process Explorer закончился недолгим появлением интерфейса Process Explorer, после чего процесс утилиты завершался. Далее он обратился к Autoruns, однако и в этом случае результат был тот же. То же самое произошло и с Process Monitor, после чего он понял, что причиной всему является вредоносный код.

Вредоносное программное обеспечение может использовать множество методик для идентификации программ, которые оно хочет отключить. Например, оно может использовать беспорядок в исполняемых файлах ПО, искать определенный текст в образах исполняемых файлов или сканировать память процессов на ключевые слова. Тот факт, что для этого может пригодиться любой маленький уникальный атрибут, является причиной того, что я не стал реализовывать механизмы, нацеленные на предотвращение такой идентификации. Эта игра, в которой я не мог победить, так что я предоставил пользователю самому искать способы решения проблемы. Например, если вредоносная программа ищет имена исполняемых файлов, то пользователь может просто переименовать эти утилиты.

Ирония здесь заключается в том, что авторы вредоносных программ уже давно используют сами инструменты Sysinternals. Например, троян Clampi, который появился в начале 2009 года, использовал утилиту Sysinternals PsExec для автоматического распространения. Coreflood – вирус, который крал пароли в середине 2008 года – также использовал PsExec. Позже китайские хакеры использовали инструменты Sysinternals для атаки на нефтеперерабатывающий завод. Авторы вредоносного ПО даже украли бренд Sysinternals для выпуска scareware-продукта – вредоносной программы, которая представляется поддельным диалоговым окном безопасности, предлагающим вам купить фальшивое antimalware-ПО – под названием Sysinternals Antivirus:

Возвращаясь обратно к нашему случаю, пользователь, желая узнать, ищет ли вредоносная программа определенные процессы или она просто ищет окна с определенными ключевыми словами в заголовке, открыл Блокнот и написал некоторый текст, после чего сохранил его в файл с именем “process explorer.txt”. После того, как он дважды кликнул на только что созданном файле, Блокнот закрылся сразу после запуска.

Лишившись своих обычных инструментов для диагностики проблем, он решил узнать, есть ли какая-либо другая утилита Sysinternals, которой можно воспользоваться, для чего он перешел к списку инструментов Sysinternals. Он почти сразу заметил утилиту под названием Desktops. Этот инструмент позволяет открыть до трех дополнительных виртуальных рабочих столов для запуска приложений и использует комбинации “горячих” клавиш или диалоговое окно Desktops на панели задач для переключения между ними. Он подумал, что, возможно, вредоносная программа проигнорирует альтернативные рабочие столы. Он открыл в Desktops ссылку Sysinternals Live (она позволяет вам запускать утилиты прямо из сети, не загружая их к себе на компьютер) и создал второй рабочий стол. Затаив дыхание, он сделал двойной клик на иконке Process Explorer – и он запустился!

У данной конкретной вредоносной программы, по-видимому, есть работающая по таймеру подпрограмма, которая запрашивает текст заголовка окна и завершает процессы, которые имеют заголовки с запрещенными ключевыми словами, такими как “process explorer”, “autoruns”, “process monitor” и, вероятно, другие продвинутые инструменты для нахождения вредоносного ПО и антивирусных продуктов. Поскольку перечисление окон возвращает окна только с текущего рабочего стола процесса, данная вредоносная программа не смогла увидеть инструменты Sysinternals, запущенные на втором рабочем столе.

Пользователь не заметил ничего необычного в списке процессов Process Explorer, так что он запустил Process Monitor (потом я попробую использовать Autoruns). Он записал с помощью Process Monitor несколько минут активности системы и затем исследовал получившийся журнал. Он сразу заметил тысячи операций обращения к реестру Winlogon, чего он не встречал при предыдущих запусках Process Monitor. Предположив, что это связано с вредоносным кодом, он установил фильтр, чтобы оставить только процессы Winlogon и начал внимательнее просматривать список:

Большинство операций было запросами значения ключа системного реестра под странным названием HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Notify\acdcacaeaacbafbeaa. Чтобы запускаться при каждом старте Windows, вредоносная программа зарегистрировала себя как DLL уведомлений Winlogon. Эти библиотеки обычно используются программным обеспечением, которые контролируют процессы входа в систему, выхода из системы и события смены пароля, но также зачастую они используются вредоносным ПО. Чтобы подтвердить свои подозрения и найти имя этой DLL, он щелкнул правой кнопкой мыши по одной из записей и выбрал “Jump To” в контекстном меню Process Monitor. В ответ на эти действия Process Monitor запустил Regedit и показал ключ реестра, на который ссылалась эта запись:

Значение DLLName указало на вредоносный DLL-файл, который имело то же название (вероятно, сгенерированное случайным образом), что и ключ реестра. Он знал, что данный вредоносный код, вероятно, был пропущен сканером MSE, но, зная имя DLL, он задался вопросом, мог ли MSE очистить этот конкретный файл. Прежде чем проверить это, он запустил полное сканирование, надеясь, что вредоносное ПО не обнаружит исполняемый файл антивируса на втором рабочем столе, однако это оказалось не так. Он запустил MSE снова и в диалоговом окне сканирования файла перешел к данной DLL. Несколько секунд спустя MSE завершил анализ и сообщил, что это известная вредоносная программа и можно с легкостью очистить систему от нее:

Он выбрал рекомендуемое действие, и сканер быстро обезвредил вредоносную DLL. В качестве последней проверки он перезагрузил систему. Система загрузилась, и он смог быстро войти в нее. Инструменты Sysinternals запустились на главном рабочем столе и результаты сканирования Process Monitor больше не содержали нежелательной активности. С помощью инструментов Sysinternals он победил блокирующее эти утилиты вредоносное ПО и успешно закрыл дело.

blogs.technet.microsoft.com

Утилиты Sysinternals. Справочник администратора | IT in realworld

Третьего дня прикупил в магазине  книгу Sysinternals.Справочник администратора

Справочное руководство по популярному набору системных утилит Windows Sysinternals (http://technet.microsoft.com/en-us/sysinternals), написанное их создателем Марком Руссиновичем (Mark Russinovich) и Ароном Маргосисом(AaronMargosis)–Windows Sysinternals Administrator’s Reference выпущено в феврале этого года издательством БХВ-Петербург. Рекламный слоган книги – Диагностика, исправление ошибок, оптимизация в точности отражает и назначение этой книги, и ее содержание. Утилиты, входящие в состав Windows Sysinternals, позволяют анализировать всплески нагрузки центрального процессора, утечки памяти и другие системные проблемы,получать подробный отчет о работе с файлами, дисками, реестром, процессами/потоками и сетью, диагностировать проблемы с Active Directory, обнаруживать, отменять и отключать приложения и компоненты, автоматически запускаемы при старте операционной системы, следить за отладочной информацией, посылаемой приложениями, создавать дампы памяти для устранения ошибок в приложениях и анализировать цифровые подписи файлов, права доступа и другую связанную с безопасностью информацию.

Для того, чтобы эффективно использовать утилиты, входящие в Windows Sysinternals требуется понимание внутреннего устройства операционной системы Microsoft Windows. Идеальным средством для этого является «энциклопедия» Windows Internals, но в ряде случаев ее содержимое может быть избыточным. Краткое знакомство с основными концепциям Windows приводится в главе 2 – здесь обсуждаются такие понятия, как административные права, процессы, потоки и задачи, пользовательский и системный режимы выполнения кода, ссылки, стеки вызова и символы, сессии, рабочие столы и сообщения Windows. Этой информации может быть достаточно для успешного использования утилит. Помимо этого, комментарии к работе отдельных утилит также содержат много полезной дополнительной информации. Главы с 3 по 15 посвящены основным утилитам пакета – Process Explorer, Process Monitor, Autoruns, набору PSTools, а также утилитам для получения информации о процессах и диагностических данных, утилитам, связанным с безопасностью, утилитам для Active Directory, утилитам для управления рабочим столом, файловым утилитам, дисковым утилитам, сетевым и коммуникационным утилитам, утилитам для получения системной информации и утилитам, не относящимся к перечисленным выше категориям. Три заключительные главы посвящены практическому использованию утилит Windows Sysinternals и являются сборником советов от Марка Руссиновича из серии «The Case of Unexplained», с которыми он часто выступает на различных конференциях типа TechEd. Практические советы разделены на три группы – сообщения об ошибках, зависания приложений и потеря производительности и вредоносное программное обеспечение.

В целом, книга Windows Sysinternals Administrator’s Reference является отличным дополнением к энциклопедии Windows Internals и должна быть настольным пособием всех специалистов, занимающихся разработкой, развертыванием и сопровождением операционной системы Microsoft Windows.

Советую также обратить внимание на новое, 6-е издание энциклопедии Windows Internals,. Издание содержит обновленную информацию и дополнения, посвященные внутреннему устройству операционных систем Windows 7 и Windows Server 2008 R2 (напомню, что пятое издание было посвящено Windows Vista и Windows Server 2008 ), а также ставшие уже классикой разделы, посвященные детальному описанию архитектуры операционной системы, системному дизайну, отладке, вопросам повышения производительности системы и приложений и подходам к поддержке системы, сопровождающиеся практическими примерами, объем книги 1350 страниц. книга состоит из двух частей.Авторы остались прежними – Марк Руссинович, Дэвид Соломон и Алекс Ионеску.

Страница книги на сайте издательства  http://oreilly.com/catalog/9780735648739/

Это, как можно догадаться, реклама.

Понравилось это:

Нравится Загрузка...

fromreallife.wordpress.com

Программа RootkitRevealer (версия 1.71)

Авторы: Брайс Когсвелл (Bryce Cogswell)и Марк Руссинович (Mark Russinovich)

Опубликовано 1 ноября 2006 г.

Введение

Программа RootkitRevelader является программой с расширенными возможностями для обнаружения rootkit-программ. Она работает под управлением ОС Windows NT 4 и более поздних версий. Программа выводит список несоответствий результатов работы API-интерфейсов файловой системы и реестра реальным данным. Эти несоответствия могут означать наличие rootkit-программы, работающей в пользовательском режиме или в режиме ядра. Программа RootkitRevealer успешно обнаруживает все постоянные rootkit-программы, включая такие, как AFX, Vanquish и HackerDefenter. Обратите внимание, что RootkitRevealder не предназначена для определения вредоносных программ вроде программы Fu, которые не пытаются скрывать свои файлы и разделы реестра. Пожалуйста, сообщите нам, если вы используете эту программу для обнаружения присутствия rootkit-программ.

Программа RootkitRevealer больше не является консольной, потому что авторы вредоносных программ начали определять наличие сканера RootkitRevealer по имени исполняемого файла. Теперь сканирование вызывается из копии программы RootkitRevealer со случайным именем файла, запущенной как служба Windows. Такой тип запуска делает процесс недоступным из командной строки. Тем не менее, можно использовать параметры командной строки для запуска автоматического сканирования с записью результатов сканирования в файл. Это эквивалентно поведению версии программы для командной строки.

Что такое rootkit-программа

Термин “rootkit” обозначает механизмы и приемы, с помощью которых вредоносные программы, такие как вирусы, программы-шпионы и трояны, пытаются скрыть свое присутствие от приложений, блокирующих программы-шпионы, антивирусов и средств управления системой. Rootkit-программы подразделяются на несколько классов в зависимости от способности сохранять работоспособность после перезагрузки компьютера и типа запуска (в пользовательском режиме или в режиме ядра).

Постоянные rootkit-программыПостоянные rootkit-программы запускаются после каждого запуска системы. Такие программы содержат код, который должен выполняться при каждом запуске системы или при каждом выполнении входа в систему пользователем, поэтому этот код должен располагаться в постоянном хранилище, таком как файловая система или реестр, и должен быть способ запуска этого кода без участия пользователя.

Rootkit-программы в оперативной памятиRootkit-программы в оперативной памяти не обладают хранимым кодом и потому после перезагрузки пропадают.

Rootkit-программы режима пользователяЕсть много способов, с помощью которых rootkit-программы пытаются избежать обнаружения. К примеру, rootkit-программы, работающие в пользовательском режиме, могут перехватывать все вызовы к функциям Windows FindFirstFile и FindNextFile. На этих вызовах основано перечисление содержимого папок файловой системы в приложениях для просмотра содержимого диска, включая проводник Windows и командную строку. Когда приложение осуществляет вывод содержимого папки, в результатах которого можно будет обнаружить файлы этой скрытой вредоносной программы, она перехватывает вызов и удаляет записи о своих файлах из результатов вывода содержимого папки.

Собственный API-интерфейс Windows служит промежуточным звеном между клиентскими приложениями, работающими в пользовательском режиме, и службами, работающими в режиме ядра. Более сложные rootkit-программы, работающие в пользовательском режиме, перехватывают вызовы перечисления содержимого файловой системы, реестра и списка процессов собственного API-интерфейса Windows. Это препятствует обнаружению таких программ сканерами, которые сравнивают результаты перечисления содержимого с помощью обычного API-интерфейса Windows с результатами перечисления с помощью собственного API-интерфейса Windows.

Rootkit-программы режима ядраRootkit-программы, работающие в режиме ядра, обладают еще более широкими возможностями. Помимо перехвата вызовов собственного API-интерфейса Windows в режиме ядра они также могут напрямую управлять структурами данных ядра. Распространенным способом сокрытия присутствия вредоносного процесса является удаление этого процесса из списка ядра, в котором перечислены активные процессы. В API-интерфейсах для управления процессами используется содержимое этого списка, поэтому такая вредоносная программа не будет отображаться в списке активных процессов в приложениях для управления процессами, таких как диспетчер задач Windows или Process Explorer.

Принцип работы программы RootkitRevealer

Так как постоянные rootkit-программы изменяют результаты работы вызовов прикладных программных интерфейсов, результат работы этих вызовов не соответствует реальному содержимому хранилищ. Программа RootkitRevealer сравнивает результаты сканирования системы высокоуровневыми и низкоуровневыми средствами. Самым высоким уровнем является интерфейс Windows API, самым низким — реальное содержимое тома файловой системы или куста реестра (файла куста реестра, хранящегося на диске). Таким образом программа RootkitRevealer без проблем обнаружит rootkit-программы, работающие как в пользовательском режиме, так и в режиме ядра, и перехватывающие вызовы интерфейсов Windows API для удаления себя из результатов работы этих вызовов. Присутствие этих программ проявится виде несоответствий между информацией, полученной с помощью интерфейсов Windows API, и результатами прямого анализа структур данных файловых систем FAT и NTFS.

Может ли rootkit-программа избежать обнаружения программой RootkitRevealer?Теоретически сокрытие rootkit-программы от обнаружения программой RootkitRevealer возможно, но для этого потребуется перехватывать вызовы программы RootkitRevealer на чтение данных кустов реестра или данных файловой системы и модифицировать содержимое этих данных таким образом, чтобы скрыть информацию о вредоносной программе. На сегодняшний день вредоносные программы такой сложности не встречались. Для модификации данных необходимы глубокие знания о форматах структур данных файловых систем FAT и NTFS и о формате кустов реестра, а также необходима возможность модифицировать эти данные таким образом, что скрыть присутствие вредоносной программы, но сохранить при этом целостность структур данных, иначе эти несоответствия будут обнаружены программой RootkitRevealer.

Существуют ли гарантированные способы обнаружения rootkit-программ?В общем случае невозможно гарантировать обнаружение этих программ во время работы системы. Rootkit-программы, работающие в режиме ядра, могут полностью контролировать поведение системы, поэтому они могут подменять информацию, получаемую с помощью прикладных программных интерфейсов, включая прямое чтение кустов реестра и данных файловой системы, осуществляемое программой RootkitRevealer. Сравнение результатов сканирования во время работы системы с результатами сканирования выключенной системы из безопасной среды, например с помощью загрузки операционной системы с компакт-диска, является более надежным способом обнаружения rootkit-программ. Тем не менее, они могут быть реализованы таким образом, чтобы скрывать свое присутствие даже от таких инструментов.

Универсального средства для обнаружения rootkit-программ нет и не будет, но наибольшими возможностями обладают и будут обладать сканеры, интегрированные с антивирусными системами, сравнивающие данные сканирования работающей системы с данным сканирования выключенной.

Использование программы RootkitRevealer

Для работы программы RootkitRevelaer требуется, чтобы учетной записи, с правами которой выполняется программа, были назначены привилегии резервного копирования файлов и папок, загрузки драйверов и выполнения задач обслуживания томов (в ОС Windows XP и более поздних версиях). По умолчанию члены группы “Администраторы” обладают этими привилегиями. Для уменьшения количества ошибочных результатов запускайте программу RootkitRevealer на простаивающей системе.

Для достижения наилучших результатов завершите работу всех приложений и сохраняйте систему в простаивающем состоянии во время выполнения сканирования.

При возникновении вопросов или проблем посетите форум компании Sysinternals, посвященный программе RootkitRevealer.

Ручное сканирование

Для выполнения сканирования запустите программу RootkitRevealer и нажмите кнопку “Начать сканирование”. Программа выполнит сканирование системы. Во время сканирования действия программы будут отображаться на панели состояния внизу окна программы, а обнаруженные несоответствия в списке результатов. Ниже приведен список доступных для настройки параметров:

Hide NTFS Metadata Files (скрывать файлы метаданных NTFS): программа не отобразит стандартные файлы метаданных NTFS, которые скрыты от интерфейса Windows API. Этот параметр по умолчанию активен;
Scan Registry (сканировать реестр): этот параметр по умолчанию активен. Если его деактивировать, программа не будет производить сканирование реестра.
Запуск автоматического сканирования

Программа RootkitRevealer позволяет настроить некоторые параметры автоматического сканирования.

Синтаксис: rootkitrevealer [-a [-c] [-m] [-r] файл_результатов]

-a

Выполнить автоматическое сканирование и выйти после завершения сканирования.

-c

Вывести данные в формате CSV.

-m

Показать файлы метаданных NTFS.

-r

Не выполнять сканирование реестра.

Примечание: файл с результатами сканирования должен располагаться на локальном томе.

Если указать параметр -c, программа не будет отображать состояние выполнения сканирования, а найденные несоответствия будут выведены в CSV-файл для упрощения последующего импортирования результатов сканирования в базу данных. Для выполнения сканирования на удаленных системах можно воспользоваться служебной программой Sysinternals PsExec. Ниже приведен пример команды для осуществления такого сканирования:

psexec \\remote -c rootkitrevealer.exe -a c:\windows\system32\rootkit.log

Интерпретация выходных данных

Ниже приведен снимок экрана, на котором программой RootkitRevealer обнаружена распространенная rootkit-программа HackerDefender. В списке несоответствий разделов реестра видно, что разделы реестра, в которых хранится драйвер устройства и параметры службы программы HackerDefender, скрыты от вызовов интерфейса Windows API, но присутствуют в результатах непосредственного сканирования данных куста реестра. Подобным же образом файлы программы HackerDefender невидны вызовам интерфейса Windows API, выводящим содержимое папок, но присутствуют в результатах непосредственного сканирования данных файловой системы.

Необходимо изучить все несоответствия и определить вероятность того, что то или иное несоответствие является знаком присутствия rootkit-программы. К сожалению, не существует гарантированного способа указать на наличие или отсутствие таких программ, основываясь на данных результата сканирования. Поэтому все перечисленные несоответствия необходимо проанализировать, чтобы убедиться в объяснимости причин их наличия. Если вы определили, что у вас в системе присутствует rootkit-программа, необходимо осуществить поиск инструкций в Интернете по ее удалению. Если вы не знаете, как удалить эту программу, необходимо переформатировать жесткий диск и переустановить ОС Windows.

Ниже приведена информация о возможных несоответствиях, которые обнаруживает программа RootkitRevealer. Обнаруженные rootkit-программы и отдельные ложные обнаружения обсуждаются на форуме Sysinternals, посвященном программе RootkitRevealer.

Сокрытие от вызовов интерфейсов Windows API

Это наиболее распространенный способ сокрытия присутствия, используемый большинством rootkit-программ. Тем не менее, если не установить флажок “скрывать файлы метаданных NTFS”, в результатах сканирования будет присутствовать несколько подобных записей для каждого раздела NTFS, поскольку NTFS скрывает от вызовов интерфейса Windows API свои файлы метаданных, например $MFT и $Secure. Перечень файлов метаданных разделов NTFS зависит от версии файловой системы и различных дополнительных возможностей, активных на конкретном разделе. Также ряд антивирусных систем, например Антивирус Касперского, используют rootkit-технологии сокрытия своих данных, храня их в дополнительных потоках данных NTFS. Если вы используете подобное антивирусное приложение, в списке несоответствий будут записи о сокрытии от интерфейса Windows API дополнительных потоков данных для каждого файла NTFS. Программа RootkitRevealer не поддерживает фильтрацию результатов, потому что скрытые вредоносные программы могут воспользоваться ею. Также в списке несоответствий можно увидеть файлы, удаленные во время сканирования.

Ниже приведен перечень файлов метаданных NTFS, используемый ОС Windows Server 2003:

  • $AttrDef

  • $BadClus

  • $BadClus:$Bad

  • $BitMap

  • $Boot

  • $LogFile

  • $Mft

  • $MftMirr

  • $Secure

  • $UpCase

  • $Volume

  • $Extend

  • $Extend\$Reparse

  • $Extend\$UsnJrnl

  • $Extend\$UsnJrnl

  • $Extend\$UsnJrnl:$Max

  • $Extend\$Quota

Отказ в доступе.

Это несоответствие никогда не должно присутствовать в результатах работы программы RootkitRevealer, потому что в программе используются механизмы, позволяющие получить доступ к любому файлу, папке или разделу реестра в системе.

Файл видим для интерфейса Windows API, присутствует в индексе папки, но отсутствует в таблице MFT.Файл видим для интерфейса Windows API, но отсутствует в таблице MFT и в индексе папки.Файл видим для интерфейса Windows API, присутствует в таблице MFT, но отсутствует в индексе папки.Файл присутствует в индексе папки, но невидим для интерфейса Windows API и отсутствует в таблице MFT.

Сканирование файловой системы осуществляется с помощью трех модулей: модуль сканирования интерфейса Windows API, модуль сканирования таблицы NTFS MFT и модуль сканирования индексных структур папок NTFS. Перечисленные выше несоответствия показывают, что файл присутствует в результатах работы лишь одного или двух из трех перечисленных выше модулей. Наиболее распространенной причиной возникновения такого несоответствия является создание или удаление файла во время сканирования. Ниже приведен пример несоответствия, которое возникает при создании файла во время сканирования:

C:\newfile.txt01.03.2005 17:268 байтФайл видим для интерфейса Windows API, но отсутствует в таблице MFT и индексе папки.

Размер значения реестра, видимый из интерфейса Windows API, не соответствует реальному размеру в файле данных куста реестра.

Rootkit-программы могут попытаться скрыть свое присутствие, сообщая неверный размер значения реестра, благодаря чему содержимое этого значения недоступно с помощью интерфейса Windows API. Необходимо изучить каждое такое несоответствие, хотя оно может являться и результатом изменения содержимого значения реестра во время сканирования.

Несоответствие типа значения, видимого из интерфейса Windows API, типу значения в файле данных куста реестра.

У значений реестра есть тип, например DWORD или REG_SZ. Несоответствие типа означает, что тип значения, который определяется интерфейсом Windows API, отличается от реального типа значения в файле данных куста реестра. Rootkit-программа может замаскировать свои данные, которые реально хранятся в значении типа REG_BINARY, вернув для интерфейса Windows API тип REG_SZ. Если в начале этих данных будет храниться 0, интерфейс Windows API не сможет получить доступ к остальным данным этого значения.

В названии раздела реестра содержатся нулевые символы.

Интерфейс Windows API представляет все имена разделов реестра как строки, оканчивающиеся нулевым символом, в то время как ядро представляет их как строки с заданной длиной. Благодаря этому можно создать такие разделы реестра, которые будут видны операционной системе, но таким средствам управления реестром, как Regedit, они будут видны лишь частично. В исходном коде программы Reghide продемонстрировано использование этого приема, который также используется вредоносными и rootkit-программами для сокрытия данных в реестре. Для удаления разделов реестра, имена которых содержат нулевые символы, можно воспользоваться программой Sysinternals Regdellnull.

Несоответствие содержимого значения реестра, видимого из интерфейса Windows API, содержимому значения в файле данных куста реестра.

Это несоответствие возникает, если содержимое значения реестра изменяется в процессе выполнения сканирования реестра. К часто изменяющимся значениям относятся такие значения, как различные временные метки, например время работы сервера Microsoft SQL Server (см. пример ниже), или время последнего сканирования антивируса. Каждое перечисленное значение реестра необходимо проверить, чтобы убедится, что оно относится к реальному приложению или операционной системе.

HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\RECOVERYMANAGER\MSSQLServer\uptime_time_utc01.03.2005 16:338 байт

Дополнительные источники

Ниже приведен перечень веб-узлов и книг, содержащих дополнительную информацию о rootkit-программах:

Общие сведения о вредоносных программах: вирусах, программах-шпионах и rootkit-программахВеб-семинар Microsoft TechEd 2005 Марка Руссиновича на тему вирусов, программ-шпионов и rootkit-программ.

Компания Sony зашла слишком далеко со скрытыми программами и управлением цифровыми правамиВ одной из записей своего блога Марк Руссинович приводит анализ обнаруженной им rootkit-программы компании Sony на одном из своих компьютеров.

Разоблачение rootkit-программВ июньском выпуске журнала Windows IT Pro Magazine Марк Руссинович приводит обзор методов сокрытия, которые используются в rootkit-программах, и принцип работы программы RootkitRevealer.

Rootkit-программы: свержение ядра WindowsЭта книга от Грега Хогланда (Greg Hoglund) и Джэйми Батлера (Jamie Butler) является наиболее полным руководством по обращению и избавлению от rootkit-программ.

www.phrack.orgНа этом веб-узле приводится архив журнала для взломщиков Phrack, где разработчики обсуждают уязвимости в приложениях, связанных с безопасностью, технологии сокрытия и другие приемы вредоносного ПО.

research.microsoft.com/rootkit/Это домашняя страница центра исследований корпорации Майкрософт, посвященная rootkit-программам, где корпорацией Майкрософт публикуются документы и информация о борьбе с этими программами.

Искусство исследования и защиты от компьютерных вирусов Питера Зора (Peter Szor).

Вредоносные программы: борьба с кодом, написанным злоумышленниками, авторы Эд Скодис (Ed Skoudis) и Лени Зельцер (Lenny Zeltser).

Windows Internals, 4-е издание, авторы Марк Руссинович и Дэйв Соломон (Dave Solomon). В этой книге не обсуждаются rootkit-программы, но понимание архитектуры Windows помогает понять работу таких программ.

 

technet.microsoft.com

Дело об о-о-о-ч-ч-ч-е-е-е-н-ь медленных входах в систему – Mark Russinovich по-русски

Дело относится к моему любимому разряду дел, в которых я использую собственные инструменты для решения проблемы, затронувшей меня самого. Это дело в своей основе может коснуться каждого, особенно тех, кто много путешествует, и демонстрирует использование некоторых возможностей программы Process Monitor, о которых многие не догадываются, что делает его идеальным для описания и распространения.

История разворачивалась в позапрошлую неделю, когда я отправился в Орландо выступить на конференции Microsoft TechEd North America. Когда я был там, я столкнулся с пятиминутными задержками при входе в свою систему Windows 7, сопровождавшимися черным экраном:

Обычно я отношу отдельные задержки, подобные этой, на счет проблем с сетью, часто встречающихся на конференциях с их WiFi-сетью, предоставляемой отелем. Но я постоянно нарывался на эту проблему переключаясь между системой Windows 8, установленной на моем лэптопе для тестирования и проведения презентаций, и Windows 7, где находятся средства разработки. Получить заблокированный на такой промежуток времени компьютер, – мало сказать, будешь несколько раздосадован.

В первый раз, когда появился черный экран, я принудительно перезагрузил систему после пары минут ожидания, поскольку подумал, что она зависла. Когда я задержка случилась во второй раз, я был вынужден подождать, и столкнуться с разочаровывающим фактом, что моя система не в порядке. Когда я вышел из системы и вошел в нее снова без перезагрузки, задержки не произошло. Она случалась только после перезагрузки, которую я делал, переключаясь между Windows 7 и Windows 8. Что самое печальное, всякий раз, когда я перезагружался, я торопился на свою следующую презентацию, поэтому был вынужден терпеть неудобства в течение нескольких дней, пока наконец не нашел возможности исследовать проблему.

Как только выдался свободный момент, я запустил программу Sysinternals Autoruns, усовершенствованную утилиту управления автозапуском программ, чтобы запретить все образы, расположенные на разделяемых сетевых ресурсах. Из прошлого опыта запуска Autoruns на лаптопе мне было известно, что служба Microsoft IT настраивает несколько плановых задач для выполнения командных файлов, расположенных на корпоративных разделяемых сетевых ресурсах, и подозревал, что таймауты связаны с попыткой запустить их:

Я вышел из системы и вошел обратно, держа пальцы перекрещенными, но задержки по-прежнему были на месте. Следующим шагом, я попытался войти в локальную учетную запись, чтобы посмотреть является ли проблема общесистемной или связана лишь с моим профилем. Нет задержки. Это положительный знак, так как означает, что с чем бы проблема ни была связана, возможно, ее относительно легко исправить после обнаружения.

Теперь моей целью было установить, что удерживало от переключения на рабочий стол. Мне требовался способ увидеть, что происходит во время регистрации в системе непосредственно после загрузки. Способ, сразу приходящий в голову, – использовать Sysinternals Process Monitor для регистрации событий процесса загрузки. Process Monitor – инструмент, регистрирующий общесистемные операции с файловой системой, реестром, процессами, DLL и сетью, – способен записывать действия с самых ранних этапов загрузки до момента, когда система выключается или пока вы не запустите пользовательский интерфейс Process Monitor. Я выбрал запись загрузки из меню Options и открыл диалог записи загрузки:

Этот диалог позволяет настроить программу на сбор трассировочных событий при мониторинге загрузки, которые представляют собой периодические снимки стеков потоков. Я выбрал односекундную трассировку, надеясь на то, что если даже не замечу операций, объясняющих задержку, то смогу найти разгадку из стеков потоков, которые были активны сразу перед задержкой или когда она происходила.

После перезагрузки я вошел, подождал пять минут, глядя в черный экран, затем добрался до рабочего стола, где снова запустил Process Monitor и сохранил журнал загрузки. Вместо просмотра нескольких миллионов захваченных событий, копание в которых можно сравнить с поиском иголки в стоге сена, я использовал фильтр Process Monitor для поиска операций, занимающих более одной секунды и поэтому могущих вызывать замедление:

К несчастью, фильтр очистил окно вывода, перечеркнув мои надежды быстро найти ключ к разгадке.

Предполагая, что, возможно, последовательность процессов, запущенная при входе в систему могла вызвать что-то похожее, я открыл диалог дерева процессов из меню Tools. Этот диалог показывает взаимоотношения родитель-ребенок для всех активных процессов при записи журнала, что в случае загрузки означает все процессы, выполняющиеся во время загрузки и входа в систему. Сфокусировавшись на Winlogon.exe, интерактивном менеджере входа в систему, я заметил, что процесс Atbroker.exe запустился приблизительно тогда, когда я ввел свои учетные данные, и затем Userinit.exe выполнился, когда, наконец, возник рабочий стол:

Ключ к решению загадки находился в длинной паузе между этими событиями. Я знал, что Logonui.exe просто выводит интерфейс для входа пользователя, а Atbroker.exe – просто вспомогательный механизм для перехода от интерфейса входа к сеансу пользователя, что исключает паузы, по крайней мере первоначально. Черный экран исчезает при запуске Userinit.exe, так что его родительский процесс Winlogon.exe остался под подозрением. Я настроил фильтр на включение событий только от Winlogon.exe и добавил столбец относительного времени, чтобы легко контролировать, когда случилось событие по отношению к началу загрузки. Когда я взглянул на результаты, я сразу увидел, что задержка составляет около шести минут, но в этот период времени нет активности, которая указала бы на ее причину:

События трассировки исключаются по умолчанию, поэтому я щелкнул по кнопке фильтра событий трассировщика на панели инструментов, чтобы включить их в журнал, надеясь, что они прольют свет на проблему:

Чтобы сократить размеры файла журнала, трассировщик Process Monitor захватывает стеки потоков, только если поток выполнялся с последнего момента, как был занесен в журнал. Поэтому я хотел взглянуть на события трассировки потока в начале задержки, но мой взгляд остановился на ежесекундно повторяющейся последовательности одних и тех же четырех потоков на протяжении всего периода существования черного экрана:

Я был вполне уверен, что любой поток приостанавливался, выполнив некоторые действия в начале интервала, и находился в спящем состоянии на остальном его протяжении, поэтому скептически отнесся к тому, что любой из этих потоков имеет отношение к проблеме, но, тем не менее, стоило потратить несколько секунд, чтобы взглянуть на них. Я открыл диалог свойств события в одной из таких групп двойным щелчком на событии и переключился на страницу стека потока, почти не надеясь, что имена вызываемых функций в стеке подскажут ответ.

Когда я впервые запустил в системе Process Monitor, я настроил его на получение символов для образов Windows с публичного сервера символов Microsoft, используя DLL механизма отладки из средств отладки для Windows, чтобы видеть во фреймах стека осмысленные имена функций исполняемых модулей Windows, а не просто смещения в файлах.

Стек первого потока определяет его как поток «конечного автомата» ядра Winlogon, ожидающего какого-то неизвестного оповещения, и не содержит ничего интересного:

Стек следующего потока тоже ничего не разъясняет, показывая, что поток является общим исполняющим потоком:

Стек третьего потока оказался намного более интересным. Он был многоуровневым, включая вызовы функций Multiple UNC Provider (MUP) и драйверов клиентской распределенной файловой системы, ответственных за доступ к файловым серверам:

Я промотал список дальше, чтобы увидеть фреймы, лежащие выше в стеке и имя одной из функций, WLGeneric_ActivationAndNotifyStartShell_Execute, подтвердило, что этот поток и отвечает за проблему, так как он запускает оболочку рабочего стола:

Следующая функция фрейма, WNetRestoreAllConnectionsW, вместе с последующими вызовами функций файлового сервера, привела меня к заключению, что Winlogon старался восстановить соответствие букв дисков файлового сервера перед тем, как продолжить запуск оболочки и дать доступ к рабочему столу. Я открыл Explorer, вспомнив, что у меня были два накопителя, отображаемые на разделяемые сетевые диски, расположенные на компьютерах внутри сети Microsoft, один для моей системы разработки, а другой для внутреннего ресурса Sysinternals, куда я публикую предварительные версии утилит. Находясь на конференции, я не имел доступа к интрасети, поэтому Winlogon не мог подсоединить их во время процедуры входа и в итоге, через много минут, выдавал:

Уверенный, что нашел отгадку, я щелкнул правой клавишей мыши на каждом ресурсе и отсоединил его. Я перезагрузил лэптоп, чтобы проверить исправление (точнее, обходной маневр) и к своему огромному удовлетворению убедился, что время от процедуры входа, до появления рабочего стола заняло лишь несколько секунд. Дело было закрыто! Исследовать, почему эти задержки настолько продолжительны, я не имел ни времени, ни необходимости. Мораль этой истории заключается не в самой проблеме, а в том, как с помощью инструментов Sysinternals и приемов поиска ошибок решать проблемы.

Прошедший в Амстердаме TechEd Europe предоставил мне возможность повторить выступление, которое было на TechEd US. Я прочитал ту же лекцию по поиску и устранению неисправностей «Дело о необъяснимом», которая была и на TechEd US, но на этот раз я имел удовольствие поделитться этим свежим случаем, произошедшим лично со мной. Вы можете посмотреть запись этой лекции среди других лекций TechEd, зайдя на страницу моих веб-кастов, на которой выложен список записей моих основных выступлений, либо обратится к непосредственным ссылкам ниже:

Windows Azure Virtual Machines and Virtual Networks Windows Azure Internals Malware Hunting with the Sysinternals Tools Case of the Unexplained 2012

А также можно посмотреть записи всех выступлений на обоих мероприятиях на соответствующих сайтах:

TechEd North America 2012 On-Demand Recordings TechEd Europe 2012 On-Demand Recordings

Надеюсь, вам понравилось это дело!

blogs.technet.microsoft.com


Смотрите также