Лабораторная работа Ревизия 3 2 История изменений

48
56. ShellRunas v1.01
ShellRunas – этот инструмент позволяет запускать программы от имени другого пользователя используя командную строку.
ShellRunas работает в Windows XP, Windows Server 2003, Windows Vista, и в
Windows Server 2008.
Установка утилиты проходит из командной строки, используя параметры:
/reg — регистрация утилиты в контекстном меню проводника;
/regnetonly — регистрация в контекстном меню при сетевом соединении;
/unreg — удаление меню программы из проводника;
/quiet — те же операции в «тихом» режиме;
/netonly — регистрация для использования при удаленном доступе.
57. Sigcheck
Консольная программа Sigcheck выводит информацию о версиях файлов и позволяет удостовериться, что образы в системе подписаны цифровой подписью.
Синтаксис:
sigcheck [-i][-e][[-s]|[-v]][-q][-u] [-c файл_каталога] <файл или папка>
-c
Осуществлять поиск подписей в указанном файле каталога.
-e
Проверять только исполняемые образы (вне зависимости от их расширения).
-i
Отображать владельцев подписей.
-n
Отображать только номер версии.
-q
Тихий режим работы (не выводить заголовок).
-s
Рекурсивный обход вложенных папок.
-u
Отображать только неподписанные файлы.
-v
Вывод результатов в формате CSV.
Одним из возможных способов использования этой программы является поиск неподписанных файлов в папке \Windows\System32. Для этого нужно выполнить следующую команду: sigcheck -u -e c:\windows\system32
Для каждого найденного файла необходимо выяснить причину, по которой он не подписан.
58. Streams 1.56
Программа Streams анализирует указанные вами файлы и каталоги (у каталогов могут быть дополнительные потоки данных) и сообщает имена и размеры всех именованных потоков, встречающихся в этих файлах. Она основывается на недокументированной собственной функции извлечения данных о файловых потоках.
Синтаксис:
streams [-s] [-d] <файл или каталог>
-s Рекурсивный обход вложенных каталогов.
-d Удаление потоков.
При указании потоков допускается применение шаблонов – например,
«streams *.txt».

49
59. Strings v2.41
Работа над NT и Win2K означает, что выполнимые программы и объектные файлы много раз встраивают строки UNICODE, которые нельзя просто увидеть со стандартными строками ASCII или grep программами. Программа Strings только просматривает файл, который вы передаете для строк UNICODE(или
ASCII) заданной по умолчанию длины 3 или больше символов UNICODE(или
ASCII).
Использование:
strings.exe [-a] [-b байты] [-n длина] [-o] [-q] [-s] [-u] <файл или директория>
-s – рекурсия подкаталогов;
-o – печать смещения строки файла;
-a – сканировать только для ASCII;
-u – сканировать только для UNICODE;
-b – байты файла для сканирования;
-n X – строка должна быть минимум Х символов в длину.
60. Sync 2.0
В ОС UNIX имеется стандартная служебная программа под названием Sync, которая позволяет сбросить все данные файловой системы из памяти на диск, чтобы они не были потеряны, если произойдет сбой системы. Без выполнения этой операции все присутствующие в кэше данные утрачиваются при сбое.
Sync для Windows организовывает надежное хранение на жестких дисках измененных данных файловой системы. К сожалению, для запуска Sync нужны административные привилегии. В данной версии, помимо прочего, реализована возможность сброса из памяти данных, относящихся к съемным носителям
(например, к ZIP-дисководам).
Синтаксис:
sync [-r] [-e] [список букв дисков]
-r Сброс съемных носителей.
-e Извлечение съемных носителей.
При указании конкретных дисков (например, "c e") программа Sync сбрасывает из памяти только связанные с ними данные.
61.TCPView для Windows (версия v3.02)
TCPView — это программа, предназначенная для операционной системы
Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP- соединений. В операционных системах Windows NT, 2000 и XP программа
TCPView также сообщает имя процесса, которому принадлежит конечная точка.
Программа TCPView является дополнением программы Netstat, поставляемой вместе с ОС Windows, и предоставляет расширенный набор сведений в более удобной форме. В комплект загрузки программы TCPView входит программа
Tcpvcon с теми же функциональными возможностями, предназначенная для работы в режиме командной строки.
Программа TCPView работает в операционных системах Windows NT/2000/XP и
Windows 98/Me. Программу TCPView можно использовать также в операционной системе Windows 95 при условии установки пакета обновления Winsock 2 для
ОС Windows 95, предоставляемого корпорацией Microsoft.

50
Использование TCPView
При запуске программа TCPView формирует список всех активных конечных точек соединений по протоколам TCP и UDP, отображая все IP-адреса в виде доменных имен. Чтобы переключить режим отображения для просмотра адресов в цифровом виде, можно использовать кнопку панели инструментов или пункт меню. В операционных системах Windows XP программа TCPView для каждой конечной точки отображает имя процесса, которому эта точка принадлежит.
По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Refresh Rate (Период обновления) в меню Options (Параметры). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена — красным цветом, новые конечные точки отображаются зеленым цветом.
Чтобы закрыть установленные подключения по протоколам TCP/IP (с отметкой состояния ESTABLISHED (установлено)), можно выбрать пункт Close Connections
(Закрыть подключения) в меню File (Файл) или щелкнуть правой кнопкой мыши какое-либо подключение и выбрать в контекстном меню пункт Close
Connections.
Данные, отображенные в окне программы TCPView, можно сохранить в виде файла с помощью пункта меню Save (сохранить).
62. VMMap v2.62
VMMap - небольшая утилита, которая в наглядном виде предоставляет пользователю исчерпывающую информацию о распределении физической и виртуальной памяти для любого запущенного процесса.
Основные возможности VMMap:
Отображает различия в объеме переданной памяти и рабочего набора.
Отображает конкретные адреса для различных категорий используемой памяти
(видеопамять, собственная память, совместно используемая память, хип, управляемый хип, стек и системная память).
Регулярное обновление карты распределения памяти.
Работа со сценариями с возможностью экспортировать данные в формат .mmp.
Наличие опции "Empty Working Set" ("Очистить рабочий набор").
Поддержка командной строки.
63. VolumeID 2.0
Программа VolumeID позволяет изменять идентификаторы дисков FAT и NTFS
(как гибких, так и жестких дисков) в средах Windows 9x и Windows
NT/2K/XP/2K3.
Синтаксис:
volumeid <буква_диска:> xxxx-xxxx
Рассматриваемая программа запускается только из окна командной строки.
Следует иметь в виду, что изменения томов NTFS становятся видимыми только после перезагрузки. Кроме того, перед изменением идентификатора тома необходимо закрыть все работающие приложения. В противном случае NT может предположить, что после изменения идентификатора тома FAT сменился физический носитель (диск), и начать выводить сообщения, приглашая установить исходный диск (!). После этого возможен отказ в исполнении запросов на доступ к дискам, поступающих от приложений.

51
64. Whois v1.01
Служебная программа Whois выполняет запись регистрационных данных для указанного имени домена или IP-адреса.
Применение:
whois имя_домена [whois.сервер]
Параметр имя_домена может быть либо именем службы DNS (например www.sysinternals.com), либо IP-адресом (например 66.193.254.46).
65. WinObj (версия 2.15)
WinObj — это программа для 32-разрядных версий ОС Windows NT, которая обращается к пространству имен диспетчера объектов NT и выводит данные о нем при помощи собственного прикладного программного интерфейса Windows
NT (предоставляемого через библиотеку NTDLL.DLL). На первый взгляд, программа Winobj схожа с одноименной программой из комплекта Microsoft
SDK, в то же время следует иметь в виду, что в последней есть несколько серьезных ошибок, которые не позволяют всегда выводить точные данные (в частности, полностью нарушены механизмы подсчета дескрипторов и ссылок).
Кроме того WinObj поддерживает более широкий набор типов объектов. В версии
2.0
WinObj усовершенствован пользовательский интерфейс, предусмотрены средства открытия объектов устройств, а также просмотра и изменения данных безопасности объектов с помощью собственных редакторов безопасности NT.
Установка и использование
Никаких компонентов драйверов устройств для WinObj не предусмотрено, поэтому ее можно запускать точно так же, как и любые другие программы
Win32.
Работа программы
За управление объектами NT отвечает диспетчер объектов. В рамках этой функциональности диспетчер поддерживает собственное пространство имен, в котором хранить и искать объекты могут разнообразные компоненты ОС, драйверы устройств и программы Win32. Собственный прикладной программный интерфейс NT содержит процедуры, которые позволяют программам, работающим в пользовательском режиме, просматривать пространство имен и отправлять запросы о состоянии хранящихся в нем объектов; проблема лишь в том, что эти интерфейсы не документированы.
66. ZoomIt v4.1
ZoomIt - это утилита для увеличения экрана (Zoom) и средство создания пометок для технических презентаций, которые включают демонстрацию приложений. ZoomIt работает незаметно в системном трее и активизируется с нажатием определенных клавиш для увеличения области экрана, движения по увеличенной области, и рисования по увеличенному изображению. ZoomIt работает во всех версиях Windows.
Задания на выполнение самостоятельной работы:
Вариант 1

52
Задания
Вариант 1
1. Вывести объекты, к которым есть право доступа на чтение и запись, и объекты, не имеющие правил доступа. (AccessChk, AccessEnum).
2. Покажите соответствие между логическим и физическим процессором.
Выведите информацию о кешах (Coreinfo).
3. Конвертируйте десятичные числа в шестнадцатеричные и наоборот
(Hex2dec
4.
).
Отобразите максимальное количество экземпляров для каждого канала
(PipeList
5. Выведите дерево процесса (PsList).
).
6. Выведите список файловых ресурсов и ресурсов печати в домен
(ShareEnum).
Вариант 2
1. Просмотрите свойства объектов и атрибуты базы данных ActiveDirectory.
(AdExplorer).
2. Просмотрите выходные данные сеанса отладки на локальной машине без активного отладчика (DebugView).
3. Создайте и удалите точку соединения между каталогами (Junction
4.
).
Отобразите активность последовательных и параллельных портов в системе (PortmonforWindows
5. Выведите список пользователе, вошедших в систему (PsLoggedOn).
).
6. Запустите программу от имени другого пользователя (ShellRunas).
Вариант 3
1. Восстановите случайно удаленные объекты ActiveDirectory в доменах
Server 2003 (AdRestore).
2. Создайте несколько рабочих столов (Desktops).
3. Выведите данные из базы
4. Запишите дамп при завершении процесса в заранее подготовленном файле (UsingProcDump
LDM, хранящейся на указанном диске
(LDMDump).
5. Выведете записи системного журнала, созданные до указанной даты
(PsLogList).
).
6. Отобразите список неподписанных цифровой подписью файлов
(Sigcheck).
Вариант 4
1. Выполните настройку реестра, включение и выключение автоматического входа в систему (Autologon).
2. Создайте виртуальный диск формата VHD (Disk2vhd
3. Отобразите полные пути загруженных модулей
(ListDLLs
).
,
ProcessExplorer
4.
). Сравните полученные результаты работы этих двух программ.
Посмотрите активность файловой системы, реестра, процессов и потоков
(ProcessMonitor
5. Создайте новый пароль для учетной записи (PsPasswd).
).
6. Вывести количество потоков указанного файла (Streams).

53
Вариант 5
1. Проверьте цифровые подписи. Покажите автоматически запускаемые объекты для указанной учетной записи пользователя (Autoruns).
2. Выведите данные о размещении разделов на дисках (DiskExt
3. Отобразите структуру данных типа и драйверов «процесс» (LiveKd).
).
4. Посмотрите, действует ли в системе расширение
5. Выведите текущее состояние службы (PsService).
PAE ядра (ProcFeatures).
6. Протестировать программу Strings.
Вариант 6
1. Выведите важную информацию о системе в виде фонового рисунка
(BgInfo).
2. Выведите сведения обо всех операциях с жестким диском (DiskMon для
Windows
3. Определите порядок загрузки драйверов устройств в ОС (LoadOrder).
).
4. Протестируйте программу PsExec.
5. Сгенерируйте включение компьютера без отключения питания, и выведите предупредительное сообщение за указанное число секунд до выключения (PsShutdown).
6. Извлечь съемный носитель (Sync).
Вариант 7
1. Очистите рабочий набор кэша. Установите новый размер кэша
(CacheSet).
2. Проведите анализ секторов диска (DiskView
3. Выведите список активных сеансов входа в систему (LogonSessions).
).
4. Выведите на экран список файлов системы, которые открыты удаленно
(PsFile).
5. Выведите информацию о том, сколько памяти потребляется указанным приложением (RAMMap).
6. Отобразите список конечных точек, установленных в системе соединений по протоколам TCP и UDP (TCPView для Windows).
Вариант 8
1. Выведите величину интервала системного таймера (ClockRes).
2. Отобразите информацию об использовании места на диске по каталогам
(DiskUsage
3. Выведите сведения о размере файлов метаданных NTFS (NTFSInfo).
).
4. Выведите список установленных приложений системы (PsInfo).
5. Протестируйте утилиты по роботе с реестром RegDelNull, RegJump.
6. Протестировать утилиту VMMap.
Вариант 9
1. Дефрагментируйте отдельный файл и проведите анализ его фрагментации (Contig).
2. Просмотрите сведения о зашифрованных файлах (EFSDump
3. Выполните дефрагментацию кустов реестра (PageDefrag).
).
4. Выясните SID домена (PsGetSid).
5. Выведите результаты сканирования по обнаружению rootkit-программ в формате CSV (RootkitRevealer).
6. Измените идентификаторы диска FAT (VolumeID).

54
Варыант 10
1. Запустить таймер, добавить примечание, увеличить область экрана над курсором (ZoomIt).
2. Выведите перечень открытых процессами файлов (Handle
3. Отобразите список файлов, удаление и переименование которых запланировано на момент следующей перезагрузки системы
).
(PendMoves
4. Завершите все процессы с определенным именем (PsKill, PsSuspend).
).
5. Очистите указанный файл с тремя проходами перезаписи (SDelete).
6. Выполнить запись регистрационных данных для указанного имени домена (Whois).

55
ЭКСПЕРИМЕНТ 1: просмотр дерева процессов
Дерево процессов показывается утилитой «Tlist.exe» (из Windows Debugging
Tools), если вы указываете ключ /t. Для того чтобы иметь возможность использовать выше указанную утилиту, запускаем установочный файл
«dbg_x86_6.11.1.404.msi». И через командную строку переходим к установленной папке с набором программ. Вот образец вывода команды
«Tlist.exe»:
C:\Program Files\Debugging Tools for Windows (x86)>tlist /t
System Process (0)
System (4) smss.exe (656) csrss.exe (872) winlogon.exe (920) services.exe (1292) svchost.exe (1452) igfxsrvc.exe (244) OleMainThreadWndName svchost.exe (1532) svchost.exe (1572) svchost.exe (1620) svchost.exe (1700) spoolsv.exe (416) svchost.exe (488) mDNSResponder.exe (608) ekrn.exe (692) EpfwWindow sqlservr.exe (772) sqlwriter.exe (884) alg.exe (2224) svchost.exe (3216) lsass.exe (1304) explorer.exe (1268) Program Manager hkcmd.exe (1936) igfxpers.exe (1944) PersistWndName
RTHDCPL.EXE (1616)
─шёяхЄўхЁ Realtek HD sm56hlpr.exe (1348)
╧Ёшыюцхэшх ёяЁртюўэющ яюффхЁцъш ьюфхьр SM56
USBGuard.exe (1988) USB Disk Security egui.exe (2012) ESET Smart Security ctfmon.exe (2020)
VistaDrv.exe (2028) VistaIcon
LouderIt.exe (2032)
CCProxy.exe (336) CCProxy 2010
WINWORD.EXE (3472) Lab1 (тхЁ
0.2).doc [
╨хцшь юуЁрэшўхээющ
ЇєэъЎшюэры№эюёЄш] -
Microsoft Word
WinDjView.exe (2420)
+Russinovich_M_Solomon_D_Inside_Microsoft_Windows.djvu -
WinDjView firefox.exe (1632)
├╦ABA 1а ╩юэЎхяЎшш ш шэёЄЁєьхэЄ√ - 1.┬эєЄЁхээхх
єёЄЁющёЄтю
Windows (уы. 1-4) -
╫Єхэшх ъэшуш ╬эырщэ - CЄЁрэшЎр 8 - ▌ыхъЄЁюээ√х ъ plugin-container.exe (1220)
???????s?o?T?T???T?U?t?u?u?T?U?u?T???T?T?T?T?T?T
?U?T?T???

56 cmd.exe (3768) C:\WINDOWS\system32\cmd.exe - tlist /t tlist.exe (928)
Взаимоотношения процессов (дочерний-родительский) Tlist показывает отступами. Имена процессов, родительские процессы которых на данный момент завершились, выравниваются по левому краю, потому что установить их родственные связи невозможно — даже если процессы-прапредки еще существуют. Windows сохраняет идентификатор только родительского процесса, так что проследить его создателя нельзя. Чтобы убедиться в этом, выполните следующие операции.
Откройте окно командной строки.
Наберите start cmdдля запуска второго окна командной строки.
Откройте диспетчер задач.
Переключитесь на второе окно командной строки.
Введите mspaintдля запуска Microsoft Paint.
Щелкните второе окно командной строки, введите exit