[Архив бюллетеней ^] [ Том 6, Число 2] [<Том 7, Специальное объявление >]
Внутренние информационные бюллетени системы том 7, номер 1
http://www.sysinternals.com
Авторские права (C) 2005 Марк Руссинович
5 января 2005 г. — в этой проблеме:
РЕДАКЦИОННЫЙ
- Есть DEP?
WINDOWS INTERNALS, 4TH EDITION
НОВЫЕ ВОЗМОЖНОСТИ SYSINTERNALS
- Статистика ноября
- Статьи журнала Sysinternals
- RSS-канал sysinternals
- Марк — это MVP Майкрософт
- Автозапуск версии 6.01
- Обозреватель процессов версии 8.61
- Sigcheck версии 1.0
- Bginfo версии 4.07
- Regjump версии 1.0
- Hex2dec версии 1.0
- Tcpvcon версии 2.34
- Обновления PsTools
- Sysinternals в Корпорации Майкрософт
ВНУТРЕННИЕ СВЕДЕНИЯ
- Просмотр в Интернете
- Использование LiveKd для устранения неполадок с больными системами
- Крик-Сайд?
- Исправление реестра ChkReg
- Диагностика памяти Windows
- Исследование незадокументированных интерфейсов
ОБУЧЕНИЕ ВНУТРЕННИХ ДАННЫХ
- Подключения Windows в Сан-Франциско
- Практические классы Windows Internals/Sysinternals по Марку Руссиновичу и Дэвиду Соломону
Информационный бюллетень Sysinternals спонсируется Winternals Software в Интернете http://www.winternals.com. Winternals Software является ведущим разработчиком и поставщиком расширенных системных средств для Windows NT/2000/XP/2003.
Winternals рад объявить о предстоящем выпуске Администратора Pak 5.0 с комплексным обновлением, включая командира ERD 2005.
Новые функции в ERD Commander 2005 включают:
- Анализатор сбоев: быстро и легко диагностировать драйвер, ответственный за сбой Windows, даже если система не загрузится.
- DiskWipe — безопасная очистка жестких дисков или томов; Автозапуск: сведения о том, какие приложения начинаются с установки Windows и входа пользователей в систему, полезны для диагностики проблем с системным ресурсом и поиска потенциальных вредоносных программ
- Веб-браузер FireFox: скачивание исправлений, обновлений драйверов, поиск справки в Базе знаний Майкрософт — все в системе, пытающейся восстановить
- Мастер удаления исправлений, позволяющий удалять исправления и пакеты обновления в неизменяемой системе.
- Восстановление системных файлов, которое проверяет системные файлы Windows для обеспечения целостности.
Эти функции, многочисленные улучшения и улучшения удобства использования в ERD Commander 2005, а также новые возможности для создания и использования клиента удаленного восстановления на основе Windows PE включены в новый пакет 5.0 администратора, доступный в конце января 2005 года. Чтобы зарегистрироваться для оценки pak 5.0 администратора при его выпуске, посетите сайт http://www.winternals.com/ap5preview/.
РЕДАКЦИОННЫЙ
Здравствуйте!
Добро пожаловать в информационный бюллетень Sysinternals. В настоящее время бюллетень имеет 40 000 подписчиков.
Растущий прилив вредоносных программ, включая шпионские программы и вирусы, обеспокоены безопасностью. Хорошие меры безопасности включают поддержание работоспособности операционной системы и исправлений приложений, установку и настройку брандмауэра, антивирусной программы и средств удаления шпионских программ, а также принятие решений при скачивании из Интернета или открытии вложений электронной почты. Несмотря на тщательные меры, тем не менее, вредоносные программы по-прежнему могут найти способы подкачивания обороны и заразить компьютер. Наиболее распространенной лазейкой в защите системы является уязвимость переполнения буфера, поэтому вы должны ознакомиться с функцией предотвращения выполнения данных (DEP) Windows XP с пакетом обновления 2 (DEP).
Переполнение буфера — это ошибка программирования, которую вредоносные программы могут использовать для контроля над потоком, выполняющим ошибку кодирования. Буферные переполнения обычно основаны на стеке, то есть злоумышленник предоставляет программе больше данных, чем будет помещаться в буфер, хранящийся в стеке. Данные создаются таким образом, чтобы при попытке функции с переполнением вернуться в функцию, из которой она была вызвана, она возвращается в расположение данных.
К сожалению, ошибки переполнения буфера могут страдать даже от наиболее проверенного и проверенного программного обеспечения. Несколько переполнений буферов объявляются для Windows и его компонента программного обеспечения ежемесячно (Linux и его приложения не являются иммунными, при этом ряд буферов переполнения по сравнению с Windows). Распространенная тема для большинства эксплойтов переполнения буфера заключается в том, что они приводят к выполнению кода, размещенного в регионах памяти, которые должны содержать только данные.
Хотя процессор Intel Itanium не поддерживает защиту от выпуска, он не был до Windows XP с пакетом обновления 2 (SP2) (и предстоящей версии Windows Server 2003 с пакетом обновления 1 (SP1), что Windows фактически использует эту поддержку оборудования, например маркировку стеков потоков и кучи памяти как неисполнимой. Другие процессоры, поддерживающие защиту оборудования без выполнения, включают 64-разрядную версию AMD64 Opteron и Athlon 64 и клон Intel под названием EM64T теперь доступны на процессорах Xeon и Xeon 4. AMD и Intel недавно представили 32-разрядные процессоры без поддержки: AMD Sempron и семейство Intel 4 "J" (например, 520J, 540J и т. д.).
Может показаться очевидным, что Windows по умолчанию должна применять защиту без выполнения для стеков и памяти кучи приложений, чтобы предотвратить эксплойты переполнения буферов, но есть сотни тысяч существующих приложений, некоторые из которых могут на самом деле полагаться на параметр, который не применяется для правильной операции. Таким образом, Windows XP с пакетом обновления 2 (SP2) — первый выпуск Windows, который обеспечивает защиту без выполнения, позволяет администратору контролировать, какие процессы защищены и какие из них не выполняются. Во-первых, в решении, направленном на улучшение безопасности в будущем, 64-разрядная версия Windows всегда применяет флаги без выполнения для всех 64-разрядных процессов. Если поставщик программного обеспечения хочет освободить 64-разрядное приложение, необходимо убедиться, что они не выполняют код из не исполняемых областей памяти (они могут пометить регион данных как исполняемый, если они создают код на лету, так как приложения Java и .NET часто делают).
Во-вторых, так как эксплойты переполнения буфера чаще всего предназначены для компонентов операционной системы, 32-разрядных windows XP и Windows Server 2003 по умолчанию защищают образы основной операционной системы. Однако для 32-разрядных приложений (работающих на 32-разрядной версии Windows или 64-разрядной версии Windows), Windows XP по умолчанию использует стратегию "согласие" (приложения не защищены по умолчанию), а Windows Server 2003 по умолчанию — "отказаться" (приложения защищены по умолчанию, но конкретные приложения могут быть исключены). Это имеет смысл, так как безопасность обычно имеет более высокий приоритет в системах серверов. Вы можете изменить параметры согласия или отказа в диалоговом окне конфигурации DEP, к которому вы обращаетесь с помощью кнопки "Параметры" в разделе "Производительность" на странице "Дополнительно" панели управления системы.
Как уже упоминалось ранее, за исключением относительно новых процессоров AMD Sempron и Xeon 4 "J", все совместимые микросхемы x86, выпущенные на сегодняшний день, не поддерживаются. Однако Windows XP и Windows Server 2003 реализуют ограниченную форму DEP на этих процессорах под названием software DEP. Так как операционная система получает контроль над потоком, когда поток создает ошибку, он может убедиться, что обработчик сбоя, который он будет выполняться, является статически зарегистрированным кодом программы. Это предотвращает эксплойт, который перенаправляет обработчик сбоя потока для выполнения вредоносного кода в переполненном буфере стека, который является тем, что вирус CodeRed заставил IIS сделать, когда он был выпущен в 2001 году.
Несмотря на свою относительную простоту, DEP является одной из самых сильных защиты операционной системы предлагает в своем щите от самораспространяющихся вредоносных программ. К сожалению, три вещи ограничивают свою мощность: отсутствие поддержки оборудования в большинстве развернутых процессоров для параметра без выполнения, настройка по умолчанию в Windows XP, так что защищены только основные процессы операционной системы, и отсутствие осведомленности. Программное обеспечение DEP ограничено в своей области, поэтому DEP является лишь незначительно эффективным, если вы не работаете под управлением Windows на оборудовании, которое поддерживает отсутствие выполнения. Тот факт, что Windows XP по умолчанию используется для согласия, означает, что даже если пользователи запускают Windows на аппаратном компьютере без выполнения, единственные процессы, которые получают защиту DEP, являются теми из операционных систем, которые имеют буферный переполнение в брандмауэре сторонних производителей, веб-браузере, средстве чтения электронной почты или другом приложении с поддержкой сети, вы все еще уязвимы. На самом деле некоторые из приложений, наиболее эксплойтируемых вредоносными программами, IIS и Outlook, не защищены в соответствии с параметром согласия. Наконец, так как большинство людей не знают о его поведении по умолчанию или даже DEP вообще, системы будут по большей части оставаться под угрозой для проблем с переполнением буфера.
Его время, когда корпорация Майкрософт делает пользователей платить цену совместимости в обмен на более высокую безопасность или пользователи в конечном итоге платят гораздо более высокую цену за руку вирусов - и они в свою очередь будут передавать счет корпорации Майкрософт. В то же время настоятельно рекомендуется обновить до Windows XP SP2 (Windows XP 64-разрядная версия и Windows Server 2003 с пакетом обновления 1 (SP1) также иметь поддержку без выполнения), переключиться на отказ от выполнения и перейти на процессор без поддержки (к сожалению, я не буду получать комиссию).
Пожалуйста, передайте бюллетень друзьям, вы думаете, может быть заинтересован в его содержимом.
Спасибо!
-Метка
WINDOWS INTERNALS, 4TH EDITION
Официальная книга Майкрософт на внутренних устройствах Windows Server 2003, Windows 2000 и Windows XP, которую я совместно с Дэйв Соломон, теперь доступна в книжных магазинах. Дэйв и я расширили охват предыдущего выпуска примерно на 25%, добавив новые материалы не только в Windows Server 2003 и XP изменения, но и на устранение неполадок с инструментами и методами. Вы найдете дополнительные советы по использованию обозревателя процессов, Filemon и Regmon, а также есть вся новая глава в анализе аварийного дампа Windows.
Дополнительные сведения о содержимом книги и заказе в строке
http://www.sysinternals.com/windowsinternals.shtml
НОВЫЕ ВОЗМОЖНОСТИ SYSINTERNALS
RSS-КАНАЛ SYSINTERNALS
Я получил запрос на добавление нового механизма уведомления о публикации в Sysinternals так часто, что я, наконец, последовал за тенденцией в Интернете и добавил RSS-канал (если вы не знакомы с RSS-каналами, вот хороший праймер: http://rss.softwaregarden.com/aboutrss.html). Веб-канал также дает мне возможность уведомить вас о незначительных исправлениях ошибок и обновлениях, которые не гарантируют полный список на первой странице. Это уже выглядит как предпочтительный способ для людей узнать об обновлениях на основе количества хитов, которые веб-канал получает в день.
Доступ к RSS-каналу Sysinternals:
http://www.sysinternals.com/sysinternals.xml
СТАТЬИ ЖУРНАЛА SYSINTERNALS
Около шести месяцев назад я начал создавать полумесячный столбец в Журнале Windows IT Pro (ранее Windows и .NET Magazine) в средствах Sysinternals. Каждый столбец описывает другое средство, предоставляя советы по расширенному использованию и сведения о том, как они работают.
Из трех опубликованных, перечисленных ниже, первые два доступны в сети не подписчиками, и третий будет в ближайшее время:
Автозапуск: http://www.win2000mag.com/Windows/Article/ArticleID/44089/44089.html
Pslist и Pskill: http://www.winnetmag.com/Windows/Article/ArticleID/43569/43569.html
PsExec: http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html
MARK IS A MICROSOFT MVP
Ведущий руководитель пакета SDK для платформы Microsoft Most Valuable Professional (MVP) назвал меня MVP для 2005 года. Я благодарен ему и Корпорации Майкрософт за это официальное признание вкладов, которые я сделал для клиентов Майкрософт с Sysinternals.
СТАТИСТИКА НОЯБРЯ
Наконец, я получил достойную программу анализа веб-трафика для Sysinternals и проанализировал файлы журналов в течение месяца ноября. Величина чисел поражена даже меня. Ниже приведены некоторые основные моменты.
- 3,6 миллиона просмотров страниц
- 775 000 уникальных посетителей
- Скачивание служебной программы в 1,2 миллиона
- 200 000 скачивание обозревателя процессов, скачивание #1
AUTORUNS версии 6.01
Автоматическое выполнение значительно изменилось за последние несколько месяцев с двумя основными обновлениями номера версии. Последняя версия autoruns отображает расположения автозапуска в дополнение к стандартным папкам запуска и папкам запуска, включая библиотеки DLL уведомлений Winlogon, панели инструментов обозревателя, расширения пространства имен и вспомогательные объекты браузера, а также библиотеки DLL автоматической инициализации. Еще одна новая функция, элемент меню Google (заимствованный из обозревателя процессов) помогает определить неизвестные изображения, открыв браузер и инициируя поиск выбранного имени изображения.
Другая новая функция, проверка подписывания изображений, помогает различать вредоносные программы и системные компоненты или доверенные приложения. Корпорация Майкрософт обычно включает хэши файлов операционной системы, подписанных закрытым ключом подписывания Майкрософт. Функции шифрования Windows расшифровывают подписанные хэши с помощью открытого ключа подписывания Майкрософт и автозапуск проверяет образы в вашей системе, сравнивая хэши с расшифровками версий, префиксируя имя компании образа с именем "(Проверено)" при наличии совпадения. Если изображение было изменено, повреждено, заменено или имеет хэш, подписанный издателем, который не доверен вашей системе, autoruns сообщает имя компании для образа как "(Не проверено)".
Как системный администратор, вы можете проверить образы автоматического запуска в учетных записях, отличных от того, который вы вошли в систему, так что автозапуск теперь включает меню "Пользователь" с выбранными параметрами для каждой учетной записи, которая содержит профиль, хранящийся на компьютере.
Наконец, теперь есть эквивалент командной строки графического интерфейса автозапуска с именем Autorunsc, который содержит сведения об автоматическом запуске в консоль. Его возможность отформатировать выходные данные как CSV,при сочетании с служебной программой PsExec Sysinternals позволяет легко создавать инвентаризации настроенных образов автоматического запуска для компьютеров во всей сети.
Скачивание автозапуска по адресу
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml
ОБОЗРЕВАТЕЛЬ ПРОЦЕССОВ ВЕРСИИ 8.61
Еще раз, Обозреватель процессов, инструмент, который заменяет диспетчер задач в качестве расширенной программы управления процессами, был инструментом, на котором я сосредоточился больше всего, и это потому, что я получаю так много отзывов о нем. С момента последнего обозревателя процессов бюллетеня от версии 8.4 до версии 8.6. Множество новых функций помечают эти два выпуска, включая пункт меню Google, который инициирует поиск сведений о выбранном процессе, вкладка строк в диалоговом окне свойств процесса, в списке строк ASCII и Юникод строк, присутствующих в файле изображения процесса, запись меню строк, которая содержит строки в выбранном файле образа DLL, и имя наиболее потребляемого ЦП процесса в подсказке, отображающей при наведении указателя мыши на значок области обозревателя процессов.
Многие пользователи просили функции, которые они пропустили при переключении с диспетчера задач, например на вкладке "Приложения диспетчера задач". На вкладке "Приложения" отображается список окон верхнего уровня на интерактивном рабочем столе, а также состояние потока, которому принадлежит каждое окно: "Выполнение", если поток в настоящее время ожидает получения сообщения windows или обрабатывает сообщение windows в течение последних пяти секунд и "не отвечает" в противном случае (иронично это означает, что "выполнение" означает, что поток ожидает и не отвечает" на его выполнение). Теперь эти же сведения можно получить в обозревателе процессов, добавив столбцы "Заголовок окна" и "Состояние окна" в представление процесса.
Обозреватель процессов имеет функции, предназначенные для at.NET процессов в течение некоторого времени, включая выделение для процессов .NET и вкладку "Производительность .NET" в диалоговом окне свойств процесса процессов процессов .NET. Процесс .NET — это процесс, который загружает и регистрируется в среде выполнения .NET. Если процесс регистрируется через некоторое время после запуска обозревателя процессов, возможно, не понимает, что это процесс .NET, но последняя версия проверяет процессы для состояния .NET и членства в объекте задания при обновлении экрана вручную, нажав кнопку "Обновить панель инструментов", клавишу F5 или выбрав пункт меню "Обновить".
В ситуациях, когда вы не уверены, какой процесс владеет окном, можно использовать новую кнопку панели инструментов поиска окон, чтобы определить ее. Просто перетащите кнопку панели инструментов, которая выглядит как целевой объект, с панели инструментов и по окну в вопросе, и обозреватель процессов выбирает процесс владения в представлении процесса.
Добавление, которое будет немедленно очевидным для вас является мини-ЦП граф, который отображается рядом с панелью инструментов. На этом графике показана история использования ЦП системы, а также развернутая версия, которую вы получаете при щелчке, чтобы открыть диалоговое окно "Обозреватель процессов" Сведения о системе, представляет подсказку, содержащую метку времени и самый высокий процесс потребления ЦП для точки в графе, на котором вы перемещаете мышь. Диаграмму можно переместить в любое место области панели инструментов, даже на одну строку, чтобы она простиралась по ширине окна обозревателя процессов.
Двумя функциями, связанными с безопасностью, являются проверка подписывания изображений и состояние защиты от выполнения данных (DEP). Если включить параметр подписывания изображения в обозревателе процессов, проверьте, был ли образ процесса цифрово подписан доверенным подписывщиком, а также префиксом имени компании в диалоговом окне свойств процесса с параметром "Проверено" или "Не проверено". Параметр отключен по умолчанию, так как проверка подписи изображений может занять несколько секунд, так как проверка переходит на веб-сайты, чтобы проверить допустимость сертификатов подписи.
DEP, который я описываю в этом бюллетене, является то, что вы должны включить в Windows XP с пакетом обновления 2 (SP2) для повышения защиты от эксплойтов переполнения буфера. Вы можете проверить состояние DEP процесса, добавив столбец "Состояние DEP" в представление процесса или проверив поле "Состояние DEP" на странице изображения диалогового окна свойств процесса.
Наконец, обозреватель процессов теперь перечисляет драйверы, загруженные в систему в представлении DLL системного процесса, который является процессом, связанным с рабочими потоками ядра и драйвера устройства. Те же сведения доступны для каждого драйвера, что и для библиотек DLL, перечисленных для других процессов, включая версию, название компании, полный путь и адрес загрузки в адресном пространстве системы.
Скачать обозреватель процессов по адресу
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
SIGCHECK версии 1.0
Многие средства Sysinternals используют функции, которые помогают пользователям выявлять вредоносные программы и Sigcheck — это программа командной строки, ориентированная почти исключительно на эту цель. В нем используются те же функции проверки подписи изображений, которые включены в автозапуск и обозреватель процессов, чтобы определить, был ли файл цифрово подписан доверенным издателем. Кроме того, он сообщает сведения о версии файла для указанного образа или изображений, включая имя продукта, описание, название компании и версию. Эта информация похожа на то, что средство Filever, которое поставляется с отчетами Windows XP и Windows Server 2003, но Sigcheck также сообщает метку времени, когда файл изначально был связан или создан для неподписанных изображений, а также метка времени подписывания образа для тех, кто подписал. Наконец, большинство подписанных хэшей подписаны с ключами, которые были подписаны, последовательность, которая формирует цепочку подписывания сертификатов. Sigcheck поддерживает параметр командной строки, который направляет его на печать цепочки подписей с информацией о каждом из подписчиков в цепочке.
Одним из потенциальных возможностей, связанных с безопасностью, является изучение любых неподписанных .exe .dll или .sys образов в любом из каталогов под корнем установки Windows (обычно \Windows). Вы можете легко идентифицировать образы без знака .exe, выполнив Sigcheck с помощью этой командной строки, например:
sigcheck -s -u c:\windows\*.exe
Все образы Майкрософт должны содержать допустимые подписи, но приведенная выше команда, к сожалению, показывает, что многие не имеют, что приводит к тому, что файлы, которые могут быть потенциально использованы для скрытия вредоносных программ.
Скачать Sigcheck по адресу
http://www.sysinternals.com/ntw2k/source/misc.shtml
BGINFO V4.07
Это дополнительное обновление до Bginfo— средство, отображающее сведения, настроенные на рабочем столе компьютера, на котором он запускается для простого просмотра, имеет лучшую поддержку растровых изображений, которые он должен растянуть, чтобы он соответствовал заданному размеру, улучшения обнаружения ЦП, поддержку MySQL и улучшенную совместимость с несколькими мониторами.
Скачать Bginfo по адресу
http://www.sysinternals.com/ntw2k/freeware/bginfo.shtml
REGJUMP версии 1.0
Если вы когда-либо хотели создать ярлыки обозревателя для определенных разделов реестра или просто ввести путь к ключу и открыть Regedit в целевом расположении, то вы найдете Regjump полезным. Regjump — это служебная программа командной строки, которая использует ту же технологию реестра "переход в", которую мы впервые в regmon. Присвойте Regjump путь реестра в качестве аргумента командной строки, и Regedit откроется и перейдет к указанному ключу или значению.
Скачать Regjump по адресу
http://www.sysinternals.com/ntw2k/source/misc.shtml
HEX2DEC версии 1.0
Работа с отладчиками и дизассембли часто приходится преобразовывать шестнадцатеричные в десятичные и наоборот. Наконец, я устал от открытия Calc, ввода числа, а затем переключения базы, чтобы увидеть преобразование, и поэтому я написал крошечную программу преобразования командной строки. Hex2dec преобразуется в любом направлении и удобно определяет входные данные как шестнадцатеричные, если он имеет префикс "0x" или "x" или включает буквы "a"-'f" (его регистр не учитывается).
Скачать Hex2dec на
http://www.sysinternals.com/ntw2k/source/misc.shtml
TCPVCON версии 2.34
Netstat — это программа командной строки, встроенная в Windows NT и выше, которая показывает активные конечные точки TCP и UDP в системе. Версия Майкрософт, представленная в Windows XP, содержит полезные сведения: идентификатор процесса (PID) процесса, открывшего каждую конечную точку. Однако чтобы определить имя процесса или любую другую информацию о нем, необходимо открыть средство описания процессов и найти процесс с этим ИДЕНТИФИКАТОРом.
TCPView — это приложение графического интерфейса sysinternals, которое показывает одну и ту же активную конечную точку, но гораздо удобнее, чем Netstat, так как он включает имя процесса, быстро переключается между ИМЕНАми DNS и необработанными IP-адресами, а также выделяет цвета новых и удаленных конечных точек. Скачивание TCPView теперь включает TCPVCon, консольную версию TCPView для тех, кто хочет использовать интерфейсы командной строки. В отличие от Netstat, TCPVCon отображает полный путь процесса, связанного с каждой конечной точкой, и включает переключатель, который сбрасывает выходные данные в формате CSV.
Скачать Tcpvcon по адресу
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
ОБНОВЛЕНИЯ PSTOOLS
PsKill и PsLoglist являются двумя psTools, которые получили улучшения за последние несколько месяцев. PsKill, служебная программа командной строки, которая завершает процессы в локальной или удаленной системе, теперь поддерживает -t коммутатор, чтобы завершить целое дерево процессов. Ряд людей попросили этот вариант, чтобы упростить очистку беглых деревьев пакетных скриптов.
PsLoglist — это средство командной строки, которое сбрасывает журналы событий в локальных или удаленных системах. Последние обновления добавили 5 параметров в уже длинный список квалификаторов командной строки. Новые аргументы позволяют исключить указанные типы событий или источники событий из выходных данных или только события дампа за последние несколько минут или часов. Теперь он также поддерживает режим мониторинга журнала событий, в котором он запускается, пока не завершите его, печать записей журнала событий по мере их создания.
Скачать PsTools, включая PsKill и PsLoglist, по адресу
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml
SYSINTERNALS AT WWW.MICROSOFT.COM
Вот последняя установка ссылок Sysinternals в статьях Базы знаний Майкрософт (KB), выпущенных с момента последнего бюллетеня. Это приводит к 63 общему количеству общедоступных ссылок на базы знаний sysinternals.
ИСПРАВЛЕНИЕ: Медиаплеер Windows серии 9 для Windows часто обращается к реестру и может повлиять на производительность.http://support.microsoft.com/?kbid=886423
Обзор обновления системы безопасности GDI+ 1.0 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/gdiplus10security.asp
Редактирование http://support.microsoft.com/default.aspx?scid=kbреестра; en-gb; 835818
При попытке получить сообщение об ошибке "Нет сведений http://support.microsoft.com/default.aspx?scid=kb, отображаемых в этом представлении"; en-us; 810596
ВНУТРЕННИЕ СВЕДЕНИЯ
ПРОСМОТР В ИНТЕРНЕТЕ
Около года назад я объявил, что я переключился с IE на Mozilla, потому что IE не хватает функций, которые считаются обязательными для достойного интернет-браузера, таких как блокировка всплывающего окна, просмотр с вкладками, автоматическое заполнение форм и фильтрация рекламы. Недолго после того, кто-то указал мне на Avant Browser, небольшая загрузка, которая использует IE (это не свой собственный браузер), чтобы дать все это и многое другое. Неуклюжий пользовательский интерфейс Mozilla и отсутствие совместимости с определенными сайтами я часто принял решение переключиться легко. Хотя новый выпуск FireFox лучше в обоих отношениях, есть еще некоторые несовместимые сайты (например, Обновл. Windows, например) и поэтому я не был вынужден переключиться снова.
Замедление прогресса Майкрософт по улучшению IE, даже в свете скромных улучшений Windows XP с пакетом обновления 2 (SP2) IE, должно позорить их за покупку Avant Browser и построить его в следующей версии IE.
Скачайте avant Browser по адресу: http://www.avantbrowser.com
ИСПОЛЬЗОВАНИЕ LIVEKD ДЛЯ УСТРАНЕНИЯ ПРОБЛЕМНЫХ СИСТЕМ
LiveKd — это программа, которую я написал для 3-го выпуска Inside Windows 2000 (теперь это бесплатный инструмент в Sysinternals). Он позволяет использовать Windbg или Kd пакета Средств отладки Майкрософт для Windows для выполнения команд отладки, обычно используемых для исследования аварийных дампов и замороженных систем в системе, которая находится в локальной и активной. Корпорация Майкрософт представила аналогичную возможность, называемую "локальной отладкой ядра", для средств отладки при работе в Windows XP и более поздних версиях. Однако существует несколько действий, которые можно сделать с помощью LiveKd, что невозможно с отладкой локального ядра. Например, нельзя просматривать стеки потоков в режиме ядра с помощью локальной отладки ядра и команды модулей ядра списка, lm kперечисляет только ядро операционной системы, а не другие драйверы загрузки при отладке локального ядра. Обе команды работают внутри LiveKd.
Другая команда, которая не работает в локальной отладке ядра, но это делает в LiveKd..dump Я узнала от инженера службы поддержки продуктов Майкрософт (PSS), что .dump команда может быть полезна для устранения неполадок с больной системой. Компьютер, который испытывает проблемы, но доставка таких служб, как веб-сайт или база данных, может не быть кандидатом на перезагрузку или традиционную отладку, где система приостановлена во время расследования. Выполнение LiveKd и выполнение дампа приводит к отформатированному файлу аварийного дампа, который содержит содержимое физической памяти системы. Файл дампа можно взять на другой компьютер и проанализировать состояние операционных систем и приложений службы, загрузив файл дампа в WinDbg или Kd, что позволяет избежать сбоя во время просмотра причины проблемы.
Скачать LiveKd по адресу
http://www.sysinternals.com/ntw2k/freeware/livekd.shtml
CREEKSIDE?
Недавно я расследовал инициализацию Windows XP с пакетом обновления 2 (SP2) Winlogon, системный процесс, ответственный за представление пользовательского интерфейса входа в систему, когда я пришел к коду в дизассембли, где Winlogon проверяет наличие библиотеки DLL с именем ediskeer.dll в \Windows\System32 каталоге, гарантирует, что ее цифровая подпись доверенного подписывателя, если она существует, затем загружает ее и вызывает неназванную функцию, экспортированную библиотекой DLL. Код Winlogon, который выполняется, когда кто-то входит в систему, также вызывает библиотеку DLL, если она была загружена во время инициализации.
Я искал библиотеку DLL в моей системе и не обнаружил ее, и она также не присутствует на компакт-диске с пакетом обновления 2. Итак, что такое БИБЛИОТЕКА DLL? Используя символы отладки, которые корпорация Майкрософт поставляет для операционной системы, можно увидеть, что Winlogon настраивает переменную с именем Creekside, если ediskeer.dll присутствует и подписан, а затем я понял, что "ediskeer" состоит из последних 8 букв "creekside" в обратном порядке. Я по-прежнему не уверен, что Криксайд относится к, но я сильно подозреваю, что DLL является тем, который поставляется только с Windows XP Starter Edition, низкой стоимостью Windows XP, которую Корпорация Майкрософт недавно представила для развивающихся стран. Starter Edition основан на том же ядре операционной системы, что и Windows XP Профессиональный и домашний выпуски, но он накладывает ограничения на количество приложений, которые пользователь может одновременно запускать. Если я правильно, Winlogon загружает библиотеку DLL для принудительного применения этого ограничения, активируя его каждый раз, когда новый пользователь входит в систему.
ИСПРАВЛЕНИЕ РЕЕСТРА CHKREG
На протяжении многих лет Брайс и я получил многочисленные запросы на аналогию реестра для Chkdsk, служебную программу проверки согласованности файловой системы. Мы никогда не писали, потому что мы чувствовали, что аудитория для одной слишком мала, чтобы оправдать усилия. Около года назад Корпорация Майкрософт выпустила малоизвестный Chkreg, Chkdsk для реестра, который устраняет множество типов повреждений реестра.
К сожалению, Chkreg поддерживается только в Windows 2000 (он также может работать в реестрах Windows NT 4 и Windows XP) и реализуется в качестве "собственного" приложения, использующего собственный API вместо API Windows и поэтому он не будет работать в Windows. Скачав его, необходимо установить его в набор из шести загрузочных загрузочных дисков Windows, емким и трудоемким делом. Мы связались с разработчиками Chkreg и призвали их публично освободить версию Windows, которую мы узнали, что службы поддержки продуктов Майкрософт (PSS) используются в локальной среде, но не имеют никаких слов о том, когда или если они выпустят его.
Вы можете скачать Chkreg по адресу
http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en
ДИАГНОСТИКА ПАМЯТИ WINDOWS
Одним из самых разочаровывающих возможностей для пользователя Windows является сбой системы. В большинстве случаев ошибка — это драйвер 3-стороннего устройства, который можно устранить, отключив драйвер или обновив версию с исправлением. Около 10% сбоев, сообщаемых в Microsoft Online Crash Analysis (OCA), вызваны аппаратными проблемами, большинство из которых связаны с диском и памятью.
Если вы получаете сбои, что OCA не может диагностировать или вы подозреваете проблему памяти, то вы должны провести несколько минут с помощью средства проверки памяти Microsoft Windows (WMD), выпущенного корпорацией Майкрософт. Установщик для WMD запрашивает диск или компакт-диск, в который он сохраняет программу WMD. При загрузке компьютера из флоппи-диска или компакт-диска, созданного wmD, выполняется тщательный тест памяти компьютера, сообщая о ходе выполнения и любых проблемах на экране. Если у вас есть ошибки памяти WMD, вы можете спасти разочарование бесконечных сбоев Windows.
Вы можете скачать диагностику памяти Windows по адресу http://www.microsoft.com/downloads/details.aspx?FamilyID=56D3C201-2C68-4DE8-9229-CA494362419C& displaylang=en
ИССЛЕДОВАНИЕ НЕЗАДОКУМЕНТИРОВАННЫХ ИНТЕРФЕЙСОВ
Функция состояния DEP, описанная в разделе об усовершенствованиях обозревателя процессов ранее в бюллетене, зависит от недокументированных функций. Я думал, что многие из вас хотели бы узнать, как я обнаружил, без доступа к исходному коду Windows (Дэйв Соломон, мой соавтор для Windows Internals, имеет доступ, но я не), функция и его надлежащее использование.
Первым шагом в моем процессе анализа было гипотеза о том, что запрос состояния DEP для процесса будет направляться через NtQueryInformationProcess API. Многие функции API Windows, которые извлекают сведения о процессе, используют NtQueryInformationProcess интерфейс для получения сведений. Эта функция, прототип которой представлена в файле Ntddk.h пакета средств разработки драйверов Windows (DDK), доступна в пользовательском режиме через системный интерфейс вызова "собственный API":
NTSYSAPI
NTSTATUS
NTAPI
NtQueryInformationProcess(
IN HANDLE ProcessHandle,
IN PROCESSINFOCLASS ProcessInformationClass,
OUT PVOID ProcessInformation,
IN ULONG ProcessInformationLength,
OUT PULONG ReturnLength OPTIONAL
);
Его первые два аргумента — это дескриптор процесса и класс сведений о процессе. Перечисление PROCESSINFOCLASS, первое несколько определений из которых показаны ниже, также включается в NTDDK. H:
typedef enum _PROCESSINFOCLASS {
ProcessBasicInformation,
ProcessQuotaLimits,
ProcessIoCounters,
ProcessVmCounters,
ProcessTimes,
//...
Так как DEP появился в Windows XP с пакетом обновления 2 (SP2) я не ожидал, что класс сведений для запросов DEP будет указан в версиях Windows XP или Windows Server 2003 ntdk.h, и быстрая проверка подтвердила свое отсутствие. Поэтому я должен был исследовать дизассемблию Ntoskrnl.exe SP 2, изображение, где NtQueryInformationProcess реализовано, чтобы узнать, мог ли я определить класс сведений о запросах DEP эмпирически.
Дизассемблер принимает исполняемый образ и перечисляет инструкции языка сборки, составляющие его код. Инструкции языка сборки сопоставляются непосредственно с инструкциями, выполняемыми обработчиком. Дизассеммблер, который я использую, является IDA Pro, http://www.datarescue.com так как он понимает файлы сведений отладки Майкрософт и интегрирует сведения в выходные данные языка сборки. В дизассембли я обнаружил сверток последовательности инструкций в начале NtQueryInformationProcess, которая принимает параметр класса сведений процесса и выполняет код, характерный для каждого класса. Так как я знал, что класс информации был новым, я мог пропустить выполнение классов, для которых я видел определения в перечислении Ntddk PROCESSINFOCLASS . Это сузило мое исследование примерно до 3 или 4 новых классов, представленных после выпуска Windows XP.
Один из классов, ProcessInformationClass соответствующий значению 0x22, взял меня через путь кода в функцию с именем MmGetExecuteOptions, начало которой показано здесь:
PAGE:0054D7CC ; __stdcall MmGetExecuteOptions(x)
PAGE:0054D7CC _MmGetExecuteOptions@4 proc near ; CODE XREF:
NtQueryInformationPro0063ess(x,x,x,x,x)+251C p
PAGE:0054D7CC
PAGE:0054D7CC arg_4 = dword ptr 8
PAGE:0054D7CC
PAGE:0054D7CC mov edi, edi
PAGE:0054D7CE push ebp
PAGE:0054D7CF mov ebp, esp
PAGE:0054D7D1 mov eax, large fs:124h
PAGE:0054D7D7 mov eax, [eax+44h]
PAGE:0054D7DA mov cl, [eax+6Bh]
PAGE:0054D7DD mov eax, [ebp+arg_4]
PAGE:0054D7E0 and dword ptr [eax], 0
PAGE:0054D7E3 xor edx, edx
PAGE:0054D7E5 inc edx
PAGE:0054D7E6 test dl, cl
PAGE:0054D7E8 jz short loc_54D7EC
PAGE:0054D7EA mov [eax], edx
PAGE:0054D7EC
PAGE:0054D7EC loc_54D7EC: ; CODE XREF:
MmGetExecuteOptions(x)+1C j
PAGE:0054D7EC test cl, 2
PAGE:0054D7EF jz short loc_54D7F4
PAGE:0054D7F1 or dword ptr [eax], 2
PAGE:0054D7F4
PAGE:0054D7F4 loc_54D7F4: ; CODE XREF:
MmGetExecuteOptions(x)+23 j
PAGE:0054D7F4 test cl, 4
PAGE:0054D7F7 jz short loc_54D7FC
PAGE:0054D7F9 or dword ptr [eax], 4
PAGE:0054D7FC
IDA Pro показал мне на первой строке выше выходных данных, что функция принимает один аргумент, который я подозреваю, что указатель на переменную, которая получает параметры DEP. Я провел достаточно времени, просматривая диссембли ядра Windows, чтобы распознать последовательность mov eax, large fs:124h; mov eax,[eax+44h] инструкций как чтение текущей структуры данных потока _KTHREAD в структуре управления процессором (PCR), за которой следует ссылка KPROCESS на поле со смещением 0x44 в _KTHREAD структуре.
Инструкции, приведенные ниже, считывают отдельные биты в байтах с смещением 0x6B в _KPROCESS структуре.
Не зная, что находится в смещение 0x6B в я запустил Windbg в _KPROCESS режиме отладки локального ядра и выполнил команду dt _kprocess, которая сообщила следующее:
+0x06b Flags : _KEXECUTE_OPTIONS
Looking at that structure with another dt command showed the bit definitions:
+0x000 ExecuteDisable : Pos 0, 1 Bit
+0x000 ExecuteEnable : Pos 1, 1 Bit
+0x000 DisableThunkEmulation : Pos 2, 1 Bit
+0x000 Permanent : Pos 3, 1 Bit
+0x000 ExecuteDispatchEnable : Pos 4, 1 Bit
+0x000 ImageDispatchEnable : Pos 5, 1 Bit
+0x000 Spare : Pos 6, 2 Bits
Конечно, эти биты относятся к DEP, и появляется, что MmGetExecuteOptions копирует их из этой структуры в соответствующие биты в расположении памяти, переданном в качестве аргумента ProcessInformation NtQueryInformationProcess. Поэтому я определил, что могу запросить состояние DEP процесса, вызвав NtQueryInformationProcess ProcessInformationClass 0x22, адрес DWORD целого числа (4-байтового целого числа) и длину 4. Появляется, что MmGetExecuteOptions возвращает флаги только для текущего процесса и игнорирует параметр (Обозреватель процессов запрашивает ProcessHandle состояние DEP других процессов, переключив его вспомогательный драйвер в них через KeAttachProcess API).
Я был сделан, за исключением нескольких тонких различий в 64-разрядной версии Windows, так как я делаю 64-разрядную версию обозревателя процессов. В 64-разрядной версии Windows MmGetExecuteOptions требуется ProcessHandle значение -1, и она возвращает ошибку STATUS_INVALID_PARAMETER , если текущий процесс является 64-разрядным процессом, так как DEP всегда включен для 64-разрядных процессов. Я использовал Windbg для дизассемблировать 64-разрядную версию Ntoskrnl.exe, хотя с тех пор получили версию IDA Pro, которая поддерживает дизассембли изображения AMD64.
ОБУЧЕНИЕ ВНУТРЕННИХ ДАННЫХ
ПОДКЛЮЧЕНИЯ WINDOWS В САН-ФРАНЦИСКО
Я предоставляю две сессии на конференции Windows Connections, которая работает в Windows IT Pro Magazine и проходит 17-20 апреля в Сан-Франциско. Один из них — это общий сеанс под названием "Основные сведения о вредоносных программах и борьбе с вредоносными программами: вирусы, шпионские программы и rootkits", где я описываю, как вредоносные программы эксплуатируют уязвимости для распространения и обхода мер безопасности, как они скрываются с помощью сложных методов под названием "rootkits" и как их обнаружить и очистить из системы.
Другой сеанс — "Устранение неполадок с памятью Windows", в котором я показываю, как ответить на старые "значения, которые я вижу в диспетчере задач", "что использует память" и "как большой должен я сделать файл разбиения по страницам".
Скачайте брошюру конференции и зарегистрируйтесь по адресу
http://www.devconnections.com/shows/win/default.asp?s=60#
ПРАКТИЧЕСКИЕ КЛАССЫ WINDOWS INTERNALS/SYSINTERNALS ПО МАРКУ РУССИНОВИЧУ
Проводите 5 дней с Марком Руссиновичем и Дэвидом Соломоном, авторами новой книги Windows Internals 4-го выпуска, изучая расширенные методы устранения неполадок при переходе во внутренние элементы ядра операционной системы Windows NT/2000/XP/2003. Если вы ит-специалисты по развертыванию и поддержке серверов и рабочих станций Windows, вам нужно быть в состоянии копать под поверхностью, когда что-то пошло не так. Имея понимание внутренних компонентов операционной системы Windows и зная, как использовать расширенные средства устранения неполадок, поможет вам справиться с такими проблемами и понять проблемы с производительностью системы более эффективно. Понимание внутренних компонентов может помочь программистам лучше использовать преимущества платформы Windows, а также предоставлять расширенные методы отладки. И потому что курс был разработан с полным доступом к исходному коду ядра Windows И разработчикам, вы знаете, что вы получаете реальную историю.
Предстоящие даты включают:
- 6-10 ИЮНЯ, ОРЛАНДО, ФЛОРИДА
- 11-15 ИЮЛЯ, МЮНХЕН, ГЕРМАНИЯ
- 19-23 СЕНТЯБРЯ, САН-ФРАНЦИСКО, КАЛИФОРНИЯ
- 5-9 ДЕКАБРЯ, ОСТИН, ТЕХАС
ПРИМЕЧАНИЕ. Это практический класс- каждый участник должен принести свой собственный ноутбук (инструкции по настройке будут отправлены заранее).
Вы получите подробное представление об архитектуре ядра Windows NT/2000/XP/2003, включая внутренние процессы, планирование потоков, управление памятью, операции ввода-вывода, службы, безопасность, реестр и процесс загрузки. Также рассматриваются расширенные методы устранения неполадок, такие как дезинфицирование вредоносных программ, анализ аварийного дампа (синий экран) и получение прошлых проблем с загрузкой. Вы также узнаете дополнительные советы по использованию ключевых инструментов из www.sysinternals.com (например, Filemon, Regmon и Process Explorer) для устранения неполадок системы и приложений, таких как медленные компьютеры, обнаружение вирусов, конфликты DLL, проблемы с разрешениями и проблемы с реестром. Эти средства используются ежедневно службой поддержки продуктов Майкрософт и эффективно используются для решения различных проблем с настольными компьютерами и серверами, поэтому знакомство с их работой и приложением поможет вам справиться с различными проблемами в Windows. Реальные примеры будут даны, демонстрирующие успешное применение этих средств для решения реальных проблем.
Чтобы зарегистрировать, посетите сайт http://www.sysinternals.com/troubleshoot.shtml
Благодарим вас за чтение бюллетеня Sysinternals.
Опубликовано в среду, 05 января 2005 г. 4:36 вечера по оттох
[Архив бюллетеней ^] [ Том 6, Число 2] [<Том 7, Специальное объявление >]