Erori 

Programe pentru administrarea rețelei. Cele mai bune instrumente de administrator de sistem

Administratorul de sistem se luptă constant pentru spațiu liber pe disc. Acest lucru se aplică atât sistemelor utilizatorilor, cât și serverelor. Uneori puteți determina rapid ce fișiere ocupă discul, dar dacă vă grăbiți (situație de forță majoră) sau când problema nu este evidentă, un program gratuit va veni în ajutor - WinDirStat.

Cu ajutorul acestuia, puteți determina rapid dimensiunea directoarelor, fișierelor, structura și locația acestora pe disc. Există mai multe moduri de afișare, inclusiv familiarul „Explorer”, precum și o reprezentare grafică a spațiului pe disc ocupat.

Analiză pachete de rețea iar depanarea infrastructurii de rețea este o sarcină destul de intensivă în muncă, care necesită pregătire. Instrumentul gratuit Wireshark va facilita procesul de învățare și analiză a traficului datorită numeroaselor sale funcții. O privire asupra acestui software va trezi interesul și dorința de a instala acest utilitar pentru o revizuire ulterioară. Materialele dedicate programului vor apărea cu siguranță pe paginile site-ului proiectului Wireshark- Rămâneţi aproape.

Cine nu cunoaște PuTTY? Poate că acesta este unul dintre puținele programe care este folosit de toți specialiștii IT. Pentru cei care nu sunt încă familiarizați cu el, iată o scurtă descriere. PuTTY este un emulator de terminal. Dacă trebuie să faceți o conexiune serială (COM), Telnet, SSH, TCP, Rlogin este programul pentru dvs.

AMANDA Network Backup - sistem backup date, folosind un server de bază (central) și clienți pentru diferite sisteme de operare: Windows, Linux, Solaris, Mac OS X. În acest caz, înregistrarea pe discuri, benzi și stocare în cloud. Principiul de funcționare este bine ilustrat în figura de mai jos:

Nmap este un utilitar gratuit conceput pentru o varietate de scanări personalizabile a rețelelor IP cu orice număr de obiecte, determinând starea obiectelor rețelei scanate (porturile și serviciile corespunzătoare acestora). Programul a fost implementat inițial pentru sisteme UNIX, dar versiunile sunt acum disponibile pentru multe sisteme de operare.

PowerGUI - vă permite să simplificați asamblarea propriilor scripturi PowerShell prin simpla selectare a cmdlet-urilor necesare care sunt potrivite pentru sarcina dvs. și tragerea lor în locurile potrivite. Ideal pentru cei care sunt noi în PowerShell, dar au o înțelegere de bază a conceptelor. PowerGUI este un editor ușor de utilizat, care probabil vă va îmbunătăți înțelegerea cu privire la asamblarea de scripturi mai complexe și mai avansate, mai ales dacă învățați informațiile cel mai bine vizual.

.

VirtualBox este o virtualizare ușoară și accesibilă pentru diverse sisteme de operare (Windows, Linux, Max OS etc.) Citiți mai multe despre acest software.

ClamWin - antivirus gratuit pentru familia de sisteme de operare Windows (toate edițiile). Posibilitățile includ:

Desigur că sunt multe programe antivirus, Dar acest produs inclus în articolul de astăzi, care urmează să fie deschis codul programuluiși accesibilitate.

Acest supliment vă permite să gestionați comod mașină virtualăîn cloudul Microsoft Azure.

Un excelent scaner rapid de rețea multiplatformă.

Asta e tot. Lasă în comentarii programele și serviciile pe care le folosești în munca ta. Noroc!

Programe gratuite Pentru Administrare Windows. Software pentru administratorii de sistem.

PC Hunter - management computer (procese, registry, autolog...

Un instrument puternic, portabil, care vă oferă o privire în profunzime asupra sălii de operație sisteme Windows. Acesta își propune să ajute experții să detecteze și să elimine malware, Deși informatii utile poate fi găsit în el de către orice utilizator de computer personal.

Windows Service Master - lucrul cu serviciile Windows

Afișează toate serviciile din sistem, arată informațiile despre serviciul selectat (inclusiv numele serviciului, numele afișat, starea serviciului, tipul de pornire, cont, descriere, binar) și vă permite să opriți/porniți sau să ștergeți serviciul selectat.

Process Monitor – analizăm și optimizăm pornirea Windows,

Astăzi vă voi vorbi despre un program cu care puteți analiza activitatea sistem de fișiere registru și rețea, procese și fire de execuție și, de asemenea, permiteți înregistrarea în jurnal de pornire sistem de operare(înregistrarea înseamnă a permite programului să creeze un fișier special în care va fi înregistrat progresul complet al pornirii sistemului) și ulterior identificarea motivului pentru durata lungă de pornire a sistemului.

CMDTools – gestionarea convenabilă a comenzilor de rețea

Shell grafic pentru comenzile de rețea ipconfig, ping, tracert, pathping, route, arp, netstat, nbtstat. Nu mai trebuie să păstrați aceste comenzi în cap, programul vă va reaminti acțiunile ulterioare. Programatorul încorporat vă permite să creați sarcini în câteva secunde pentru a rula programe de consolă și aplicații Windows obișnuite.

SysRestore – salvează starea sistemului

Un program gratuit pentru crearea de instantanee de sistem pentru a anula acțiunile nedorite efectuate de utilizator sau de viruși. Folosind aplicația, puteți salva oricând starea sistemului și readuceți Windows la o stare salvată anterior.

Restore Point Creator – salvează/restaurează starea Win...

Programul vă permite să creați cu ușurință puncte de restaurare a sistemului și, dacă este necesar, să le restaurați la o stare de funcționare dacă sistemul dvs. nu pornește sau au dispărut orice funcție care nu poate fi returnată. Capabil să lucreze conform unui program, să creeze puncte de restaurare în zile și ore specificate.

RollBack Rx Home - instantaneu de sistem sau punct de restaurare W...

Un program gratuit al cărui scop este acela de a crea instantanee de sistem, care, dacă este necesar, pot fi folosite pentru rollback și Recuperare Windows, în cazul finalizării incorecte a funcționării acestuia sau dacă este infectat cu viruși. ÎN versiune gratuită există unele limitări funcționale.

DiskSpaceControl – monitorizează spațiul liber pe disc

Un program simplu pentru monitorizarea spațiului liber pe partiții hard diskși notificarea în timp util a acestui lucru către utilizator.
Informarea utilizatorului despre scanare are ca rezultat o fereastră pop-up. Informarea utilizatorului despre rezultatele verificării prin e-mail.

Dism++ – Gestionarea și optimizarea setărilor Windows

Programul oferă o funcționalitate destul de bogată, care vă permite să curățați sistemul de resturi și să reglați fin sistemul Windows. De asemenea, face față cu eliminarea driverelor critice și vă permite să setați o mulțime de parametri pentru reglaj fin sistem, poate dezactiva sau elimina anumite componente Windows și multe altele.

Faceți clic dreapta pe Enhancer - personalizați meniul contextual Windows

Un program cu care orice utilizator va avea control deplin peste clic dreapta soareci. Vă permite să ștergeți și să adăugați elemente de meniu de care aveți nevoie, comenzi rapide către programe, fișiere și foldere, propriile submeniuri, să editați elementele de meniu „Trimite” și „Creare”, precum și să adăugați alte sarcini și funcții.

O valiză cu unelte este ceea ce separă un specialist experimentat de un începător. Și în chestiuni legate de administrarea Linux, o astfel de valiză este poate cel mai important lucru.

Programe de administrator de sistem

În acest articol nu vom vorbi despre lucruri precum Nagios, Puppet, Webmin sau analizoare de jurnal Apache sofisticate - ar trebui să știți deja despre toate acestea. În schimb, vom vorbi despre micile utilități care îți pot face viața administrator de sistem mult mai usor.

Tmux

Să începem cu elementele de bază. După cum știm cu toții, principalul instrument de administrare Linux este clientul SSH, fie la pachet cu OpenSSH, fie unul autonom precum PuTTY sau chiar o aplicație Android. Clientul SSH vă permite să deschideți o sesiune la distanță linie de comandăși lucrează calm cu o mașină care se află la mii de kilometri distanță de tine. Singura problemă este că aceasta este o singură sesiune și nu își amintește starea.

Tmux rezolvă problema. Acesta este un multiplexor de terminale care vă permite să deschideți mai multe terminale într-o sesiune SSH cu posibilitatea de a închide conexiunea în timp ce salvați starea.

Funcționează așa. Vă conectați la mașina de la distanță folosind SSH, apoi instalați tmux pe ea și rulați-l. Consola tmux apare pe ecran cu o bară de stare în partea de jos și un terminal care rulează în prezent. Puteți lucra cu el în același mod ca de obicei, plus aveți posibilitatea de a deschide noi terminale cu Ctrl+b c și de a comuta între ele cu Ctrl+b 0..9 sau Ctrl+b p (anterior), Ctrl+b n (următorul) .

Când lucrarea este terminată, apăsați Ctrl+b d pentru a vă deconecta de la tmux și a vă deconecta de la server. Data viitoare când vă conectați, executați comanda

și vedeți toate terminalele deschise anterior, aplicațiile care rulează în ele, istoricul comenzilor și așa mai departe. Totul este exact la fel ca atunci când vă deconectați de la tmux. Mai mult, nu contează absolut de la ce mașină te-ai conectat pentru a doua oară, sesiunea tmux va fi complet restaurată.

Tmuxinator

Vă permite nu numai să deschideți ferestrele terminalului în ecran complet. Poate împărți ecranul vertical (Ctrl+b%) și orizontal (Ctrl+b"). Acest lucru poate fi folosit pentru a crea ceva de genul unui „ecran de monitorizare”: de exemplu, puteți rula tmux pe o mașină la distanță cu trei ferestre deschise, dintre care unul va conține monitorul htop, celălalt va conține utilitarul tail, ieșind ultimele mesaje din jurnalul necesar, iar în altul - utilitarul df, care arată completitatea sistemelor de fișiere.

La prima vedere, un astfel de monitor pare foarte convenabil, dar ce se întâmplă dacă trebuie să-l închideți și să porniți tmux cu ferestre obișnuite pe ecran complet, apoi să deschideți din nou monitorul? Acest lucru poate fi realizat folosind mai multe sesiuni tmux diferite. Dar nici aceasta nu este o opțiune ideală, deoarece pe un alt server va trebui să configurați din nou aceeași configurație a ferestrei.

Rezolvă problema mai ușor. Vă permite să descrieți aspectul dorit al ferestrei și aplicațiile lansate în ele într-un fișier de configurare. Această configurație poate fi apoi folosită pentru lansare rapidă sesiuni tmux oriunde și oricând.

Mai întâi, să creăm o nouă configurație:

$ tmuxinator nou NUME

Tmuxinator va deschide implicit editor de text, definit în variabila EDITOR. La sfârșitul configurației vor apărea linii care descriu aspectul ferestrei. Pentru a obține aspectul din exemplul de mai sus, eliminați-le și adăugați următoarele linii:

ferestre:
- editor:
aspect: gresie
panouri:
- sudo tail -f /var/log/vsftpd.log
-ceas df -h
- htop

Această configurație descrie aspectul tmux cu o fereastră împărțită în trei panouri: cele mai recente mesaje de jurnal vsftpd, completitatea sistemului de fișiere și htop. Mai rămâne doar să începeți sesiunea:

$ tmuxinator start NAME

Instrumente de administrator de sistem. Tmuxinator

Toate configurațiile sunt stocate în directorul ~/.tmuxinator, astfel încât să poată fi mutate cu ușurință între mașini.

Ceas

Poate ați observat că în configurația tmuxinator am folosit comanda watch df -h în loc de df -h. Acest lucru este important, deoarece imediat după ce tabelul de partiții este afișat pe ecran, df își iese din funcțiune și trebuie să monitorizăm constant starea discului. Este exact ceea ce vă permite să faceți utilitarul ceas. Se execută din nou comanda df -h la fiecare două secunde, astfel încât informațiile de pe ecran sunt mereu actualizate.

Watch poate fi folosit pentru a monitoriza aproape orice: starea mașinii (watch uptime), conținutul fișierelor (watch cat fișier) și directoare (watch ls -l director), puteți rula propriile scripturi sub control watch. Puteți utiliza opțiunea -n NUM pentru a modifica intervalul de repornire a comenzii și puteți utiliza steag-ul -d pentru a forța ceasul să evidențieze modificările din ieșire.

Multitail

O altă comandă din configurația tmuxinator care merită menționată este sudo tail -f /var/log/vsftpd.log. Această comandă tipărește ultimele zece linii ale jurnalului vsftpd și așteaptă să apară altele noi. Orice administrator ar trebui să fie familiarizat cu tail, precum și cu echivalentul acestuia în distribuțiile bazate pe systemd:

$ journalctl -f -u vsftpd

Acestea sunt aceleași cunoștințe de bază ca și capacitatea de a naviga prin cataloage. Dar coada are o alternativă mai interesantă numită MultiTail. De fapt, aceasta este aceeași coadă, dar într-o versiune cu mai multe ferestre. Vă permite să afișați mai multe jurnale simultan, împărțind ecranul pe orizontală:

$ sudo multitail /var/log/vsftpd.log /var/log/nginx/access.log

Cu systemd și journald-ul său, totul este din nou mai complicat:

$ multitail -l "journalctl -f -u vsftpd" -l "journalctl -f -u nginx"

Și mai dificil:

$ multitail -l "journalctl -f -u vsftpd | tr -cd "[:space:][:print:]"" -l "journalctl -f -u nginx | ​​​​tr -cd "[:space:][:print:]"" :printare :]" "

O astfel de perversiune este necesară pentru a fi eliminată din jurnale caractere speciale, pe care systemd îl folosește pentru a evidenția șiruri.


Instrumente de administrator de sistem. Multitail

MultiSSH

Să revenim la SSH. Uneori, aceeași comandă trebuie executată pe mai multe mașini. Acest lucru se poate face și folosind caracteristici standard shella:

pentru gazdă în 192.168.0.1 192.168.0.2; do
ssh $host "uname -a"
făcut

Sau utilizați un instrument special, de exemplu mssh:

$ gem install mssh
$ mssh --hostlist 127.0.0.1,127.0.0.2 "uname -a

Lsof

Un alt instrument foarte important pentru orice administrator de sistem este lsof (LiSt Open Files). Acest utilitar vă permite să aflați ce proces/aplicație a deschis anumite fișiere. Rulați fără argumente, va lista toate deschide fișiereși procese. Puteți face această listă mai specifică folosind steaguri. De exemplu, pentru a afla ce procese folosesc fișiere dintr-un director specificat:

$ sudo lsof +D /var/log/

Această caracteristică poate fi foarte utilă atunci când încercați să demontați un sistem de fișiere, dar obțineți o eroare Device or Resource Busy. În acest caz, este suficient să omorâți procesele care au deschis fișierele în FS specificat și îl veți putea demonta fără probleme. Folosind indicatorul -t, puteți face acest lucru într-o singură trecere:

# kill -9 lsof -t +D /home
# umount /home

Ieșirea poate fi, de asemenea, filtrată folosind numele aplicatia dorita sau utilizator. De exemplu, următoarea comandă va afișa toate fișierele deschise de procesele ale căror nume încep cu ssh:

Și aceasta va afișa toate fișierele deschise de utilizatorul vasya:

Lsof poate fi folosit și pentru a lista toate conexiunile de rețea:

Listarea poate fi limitată la un anumit port:

Sau obțineți o listă cu toate porturile deschise:

$ lsof -iTCP -sTCP:ASCULTĂ


Instrumente de administrare de sistem. Lsof

Tcpdump

Orice administrator trebuie să rezolve problemele legate de funcționarea serviciilor de rețea. Și uneori, în această chestiune, nu puteți face fără, ceea ce va arăta în mod clar cum decurge schimbul de date și ce poate merge prost în acest proces. Este considerat standardul printre sniffer-uri pentru Linux, dar alegerea nu se termină aici. Aproape oricare distribuție LinuxÎn mod implicit, include consola sniffer tcpdump, cu care puteți înțelege rapid situația.

Lansat fără argumente, tcpdump, fără alte prelungiri, începe să scoată în consolă o listă cu toate pachetele trimise și primite pe toate interfețele mașinii. Folosind opțiunea -i puteți selecta interfața dorită:

$ sudo tcpdump -i wlp3s0

Pentru a limita domeniul de aplicare al tcpdump doar la o anumită mașină și port, puteți utiliza această construcție:

$ sudo tcpdump -i wlp3s0 gazdă 192.168.31.1 și portul 53

De asemenea, puteți forța tcpdump să scoată nu numai informații despre pachete, ci și conținutul acestora:

$ sudo tcpdump -i wlp3s0 -X gazdă 192.168.0.1 și portul 80

Dacă se utilizează criptarea, acest lucru nu are sens, dar tcpdump poate analiza datele trimise folosind protocoalele HTTP și SMTP.

O altă caracteristică interesantă a tcpdump este filtrarea pachetelor pe baza conținutului de biți sau octeți specifici din anteturile protocolului. Pentru aceasta, se folosește următorul format: proto, unde proto este protocolul, expr este decalajul în octeți de la începutul antetului pachetului, iar dimensiunea este un câmp opțional care indică lungimea datelor în cauză (implicit este de 1 octet ). De exemplu, pentru a filtra numai pachetele cu marcajul SYN (inițierea strângerii de mână TCP) setat, veți folosi următoarea intrare:

$ sudo tcpdump "tcp==2"

Formatul de raportare tcpdump este un standard aproape toți snifferii moderni. Prin urmare, tcpdump poate fi folosit pentru a genera un dump pe o mașină de la distanță, apoi trimite-l la unul local și analiza-l folosind același Wireshark:

$ ssh tcpdump -w - „port !22” | wireshark -k -i -


Instrumente de administrare de sistem. Tcpdump

Ngrep

Tcpdump este bun pentru versatilitatea și varietatea de capabilități, dar nu este atât de ușor și convenabil de utilizat pentru a căuta date specifice în interiorul pachetelor transmise. Această sarcină este gestionată mult mai bine de ngrep, care este conceput pentru a afișa pachete de rețea care se potrivesc cu o mască dată.

De exemplu, pentru a găsi parametrii trecuți metode GETși POST într-o sesiune HTTP, puteți utiliza următoarea comandă:

$ sudo ngrep -l -q -d eth0 "^GET |^POST" tcp și portul 80

Și astfel puteți analiza traficul SMTP pe toate interfețele de rețea:

$ sudo ngrep -i "rcpt la|mail de la" port tcp smtp

VnStat

Există o mare varietate de sisteme de înregistrare și statistică a traficului. Adesea sunt integrate direct în sistem telecomanda server și vă permit să analizați cheltuielile folosind grafice vizuale. Dar dacă utilizați consola și tot ce aveți nevoie este să obțineți rapid statistici despre interfețe, atunci cel mai bun instrument este vnStat.

VnStat poate acumula statistici în mod continuu, salvând date între reporniri și utilizarea lor nu ar putea fi mai ușoară. Mai întâi, instalați pachetul și porniți serviciul vnstat:

$ sudo systemctl start vnstat
$ sudo vnstat -u

Din acest moment, va începe să colecteze statistici. Pentru a o vizualiza, rulați următoarea comandă (înlocuiți wlp3s0 cu numele interfeței de rețea dorite):

$ vnstat -i wlp3s0

Statisticile pot fi mai specifice, de exemplu, afișarea statisticilor orare cu un grafic:

$ vnstat -h wlp3s0

Statistici pe zi sau luna:

$ vnstat -d wlp3s0
$ vnstat -m wlp3s0

Folosind indicatorul -t, puteți obține informații despre cele zece zile cu cel mai mare consum de trafic:

$ vnstat -t wlp3s0

Pentru a monitoriza activitatea curentă pe o interfață de rețea, vnStat poate fi lansat în modul live:

$ vnstat -l -i wlp3s0

În acest caz, va afișa viteza de transfer de date în momentul curent, iar după terminarea lucrărilor va afișa statistici pentru tot timpul de monitorizare live.


Utilitare de administrator de sistem. VnStat

Iptraf-ng

Iptraf-ng este un alt instrument convenabil de monitorizare a interfeței de rețea. La fel ca vnStat, vă permite să obțineți statistici detaliate despre utilizarea canalului, dar cel mai mult caracteristică utilă- monitorizarea traficului în timp real.


Utilitare de administrator de sistem. Iptraf-ng

Iptraf arată clar cu ce gazde se fac schimb de date în prezent, numărul de pachete transmise și volumul acestora, precum și steagurile și mesajele ICMP. Pentru a accesa aceste informații, selectați elementul de meniu pentru monitorizarea traficului IP de pe ecranul principal.

NetHogs

VnStat și iptraf sunt utile atunci când vine vorba de obținerea de date pentru întreaga interfață în ansamblu. Dar ce se întâmplă dacă doriți să știți ce aplicații specifice comunică în prezent cu gazdele de la distanță?

Utilitarul NetHogs va ajuta în acest sens. Acesta este un fel de analog al utilitarului top/htop pentru monitorizarea rețelei. Instalați utilitarul și apoi îl rulați, specificând interfața de rețea dorită:

$ sudo nethogs wlp3s0

Pe ecran apare o listă cu aplicațiile care fac cel mai frecvent schimb de date cu mașini la distanță.

Iotop

Din moment ce vorbim despre analogi de top, nu putem să nu menționăm iotop. Acest utilitar vă permite să vedeți ce procese efectuează operațiuni de scriere/citire pe disc. Este mai bine să-l lansați cu semnalul —only, altfel, pe lângă acele procese care efectuează în prezent I/O, va afișa și unele dintre celelalte procese care ar putea fi în stare de repaus:

$ sudo iotop --doar


Utilitare de administrator de sistem. Iotop

Nmon

Este timpul să punem totul împreună. Nmon combină capacitățile multor dintre utilitățile discutate și vă permite să obțineți statistici în timp real despre CPU, memorie, I/O, utilizarea kernelului și alte date.


Utilitare de administrator de sistem. Nmon

Nmon este o aplicație de consolă cu pseudo interfata grafica. Funcționează astfel: începi cu nmon drepturi root, apoi adăugați pe ecran informațiile de care aveți nevoie. De exemplu, pentru a adăuga informații despre utilizarea procesorului pe ecran, ați apăsa c, utilizare CPU RAM- m, I/O - d, rețea - n, procese - t, sisteme de fișiere - j. În acest fel, vă puteți crea propria configurație de monitor care va afișa doar ceea ce aveți nevoie.

O singură linie

În acest articol, am încercat să evit instrumentele pe care ar trebui să le cunoașteți deja. Dar dacă încă nu știți despre ele, iată o scurtă listă cu ceea ce poate fi util:

  • top/htop - monitor de proces, arata pe cei care incarca cel mai mult procesorul;
  • scp - un utilitar pentru copierea fișierelor de la și către o mașină la distanță prin SSH;
  • Nmap este un scanner de porturi care vă permite să efectuați un test rapid superficial (aveam deja un articol detaliat despre el);
  • netcat este un cuțit elvețian de rețea care vă permite să vă conectați manual la servere care funcționează cu protocoale text simplu: HTTP, SMTP;
  • dd este un utilitar pentru copierea în bloc a datelor, puteți lua un dump FS de pe acesta;
  • mc - manager de fișiere cu două panouri de consolă.

În loc de o concluzie

Aici ar trebui spus încă o dată că acesta este doar vârful aisbergului, că fiecare admin are propriile instrumente, asigurați-vă că includeți flexibilitatea Linux și așa mai departe și așa mai departe. Dar acest articol descrie doar un set de instrumente bune care îți vor face viața mai ușoară.

Fiecare administrator de sistem trebuie uneori să întrețină computerele prietenilor sau să facă vizite la domiciliu. Un set dovedit de utilități îl ajută în această problemă. Revizuirea noastră va vorbi doar despre cele gratuite care nu necesită instalare și au devenit standardul de facto.

Autoruns

Acest program a devenit cartea de vizită a lui Mark Russinovich și a companiei Winternals Software (mai bine cunoscută sub numele site-ului - Sysinternals.com), absorbită cu mult timp în urmă de Microsoft. Acum este încă dezvoltat de autor, dar aparține din punct de vedere juridic departamentului tehnic al Microsoft. Versiunea actuală 13.3 a fost scrisă în aprilie 2015. Cu v.13.0, programul nu numai că a devenit mai convenabil, ci a primit o serie de funcții noi, în special instrumente avansate de filtrare, integrare cu alte utilități de sistem și servicii online.

Autoruns afișează cea mai completă și mai detaliată listă de componente de autorun, indiferent de tipul acestora. Utilitarul arată cum să încărcați toate driverele, programele (inclusiv cele de sistem) și modulele acestora prin cheia de registry. Acesta generează chiar și o listă cu toate extensiile Windows Explorer, bare de instrumente, servicii pornite automat și multe alte obiecte care sunt de obicei ocolite de alte programe similare.

Codarea culorilor vă ajută să identificați rapid, dintr-o listă de sute de intrări, componentele standard care sunt semnate digital de Microsoft, fișierele suspecte și șirurile eronate care fac referire la fișiere inexistente. Pentru a dezactiva capacitatea de a rula automat orice componentă, pur și simplu debifați caseta de lângă ea din stânga.


Fantomele obiectelor de rulare automată din Autoruns sunt evidențiate cu galben

Unele componente sunt încărcate automat numai atunci când vă conectați sub un anumit nume de utilizator. cont. În Autoruns, puteți selecta intrările care corespund fiecărui cont și le puteți vizualiza separat.

Modul de linie de comandă merită și el atenție. Este extrem de convenabil pentru a exporta o listă de articole de pornire către fișier text, creând rapoarte avansate și scanare antivirus selectivă a tuturor obiectelor suspecte. Ajutorul complet poate fi citit pe site, aici voi da un exemplu de comandă tipică:

Autorunsc -a blt -vrs -vt > C:\Autor.log
Aici `autorunsc` este un modul de program lansat în modul linie de comandă. Comutatorul `-a` specifică faptul că obiectele care trebuie verificate sunt listate după el. În exemplu sunt trei dintre ele: b - boot execute (adică tot ce este încărcat după pornirea sistemului și înainte ca utilizatorul să se autentifice); l - conectare, componente de pornire specifice utilizatorului și t - joburi programate. Dacă în loc să enumerați blt specificați asterisc (*), atunci toate obiectele de pornire vor fi verificate.

Comutatoarele `-vrs` și `-vt` indică modul de funcționare cu serviciul online VirusTotal. Primul set specifică trimiterea numai a acelor fișiere care nu au semnătură digitală Microsoft și care nu au fost testate anterior. Dacă cel puțin un antivirus din cincizeci consideră că fișierul este rău intenționat, se va deschide un raport detaliat într-o filă separată a browserului. Al doilea set de chei este necesar, astfel încât o filă cu acord de utilizare despre utilizarea serviciului VirusTotal și nu a trebuit să confirme acordul cu acesta.

Un raport Autorunsc are de obicei o dimensiune de zeci sau sute de kiloocteți. Este incomod să îl citiți pe ecran, așa că în exemplu rezultatul este redirecționat către un fișier jurnal. Acesta este un format de text simplu în codarea UCS-2 Little Endian. Iată un exemplu de înregistrare din acesta cu un fals pozitiv:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Adobe ARM "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" Adobe Reader și Acrobat Manager Adobe Systems Incorporated 1.801.1 c. :\fișiere de program (x86)\common files\adobe\arm\1.0\adobearm.exe 20/11/2014 21:03 Detectare VT: 1/56 Permalink VT: (link către raportul VirusTotal).


Doi șoferi nesemnați s-au dovedit a fi curați, iar un șofer semnat a avut o reacție VT

Process Explorer

Versiunea GUI a Autoruns poate funcționa împreună cu un alt utilitar de la același autor - Process Explorer (PE). Dacă mai întâi lansați PE și apoi Autoruns, atunci în meniul acestuia din urmă apar elemente suplimentare despre vizualizarea proprietăților fiecărui proces activ din meniul autorun.

În setările PE, puteți specifica modul dorit de a afișa toate procesele active: o listă simplă sortată după nume sau încărcare CPU sau o listă de arbore cu dependențe. Acolo puteți seta și o opțiune care vă permite să verificați fișierele necunoscute (identificate prin hash) în VirusTotal. Dacă îl porniți, după un timp rezultatul testului va apărea în dreapta. Toate obiectele care sunt atacate de cel puțin un antivirus vor fi evidențiate cu roșu.

Când este apăsat fereastra este împărțită orizontal, iar partea inferioară afișează informații complete despre procesul selectat și acțiunile acestuia în sistem. Presare va cauza fereastra suplimentara cu indicatori de CPU, GPU, încărcare RAM, intensitate I/O, stocare și utilizare a rețelei. Pentru fiecare componentă, sunt afișate sarcina totală și procesul care consumă cel mai mult resurse. Pentru GPU-uri, arată chiar și procentul de memorie video ocupată și încărcarea fiecărui cip, dacă există mai multe dintre ele. Acest lucru este valabil mai ales acum, deoarece multe programe (malware) folosesc în mod activ plăcile video pentru calcule non-grafice. Acest comportament este tipic în special pentru minerii troieni de criptomonede.


Troianul de testare nu pare încă suspect și patru antivirusuri se plâng deja de µTorrent

Făcând clic dreapta pe orice proces din lista PE, apare un meniu contextual. Dublează toate funcțiile managerului de activități încorporat și adaugă câteva noi. În special, cu un singur clic puteți trimite un fișier corespunzător unui proces suspect pentru analiză către VirusTotal, puteți căuta descrierea acestuia pe Internet, puteți face un dump sau suspendați execuția. Un proces întrerupt nu mai răspunde la orice comenzi (inclusiv la cele interne) și devine mai ușor de analizat. După ce ați rezolvat, puteți trimite comanda „reluare” prin Process Explorer. Desigur, dacă nu este absolut necesar, acest lucru nu ar trebui făcut procesele sistemuluiși utilități care efectuează operațiuni de nivel scăzut. Este mai bine să nu întrerupeți intermiterea BIOS/UEFI, modificarea aspectului discului, alinierea partițiilor și alte operațiuni similare.

De obicei, titlul fiecărei ferestre indică numele aplicației care a generat-o, dar se întâmplă să rămână fără nume. Acest lucru este valabil mai ales pentru troienii care imită funcționarea unor programe cunoscute sau mici casete de dialog cu coduri de eroare. Process Explorer are o funcție utilă „găsește procesul prin fereastră”. Doar faceți clic pe acest buton din panoul de sus și, ținând apăsat butonul stâng al mouse-ului, mutați cursorul în zona ferestrei ciudate. Procesul corespunzător va fi evidențiat automat în tabelul PE.


Testarea troianului a fost suspendată prin Process Explorer

Pentru a profita de toate funcțiile Process Explorer, va trebui să îl rulați cu drepturi de administrator și (în unele cazuri) să instalați Instrumente de depanare pentru Windows. Acestea pot fi descărcate separat sau descărcate ca parte a setului de drivere Windows. Cea mai recentă versiune a Process Explorer poate fi descărcată de pe site-ul Microsoft.

Deblocator

Fără îndoială, Mark Russinovici este un adevărat guru printre autorii utilităților de sistem pentru Windows, dar programele sale au fost create ca instrumente universale. Uneori, merită să folosiți instrumente mai înalt specializate. Cum ar fi crearea programatorului francez Cedric Collomb. Micul său utilitar Unlocker poate face un singur lucru: debloca un obiect de sistem de fișiere ocupat de un proces pentru a recâștiga controlul asupra acestuia. Cel puţin ultima versiune a fost lansat în 2013, programul își îndeplinește în continuare funcțiile mai bine decât toți analogii. De exemplu, vă permite să descărcați biblioteci dinamice din memorie, să ștergeți fișierul index.dat, să lucrați cu interzise nume de ferestre fișiere și efectuați majoritatea acțiunilor fără a reporni.


Unele procese blochează dezinstalarea Safari

Unloker definește mânerele rularea proceselor, care blochează în prezent lucrul cu fișierul necesar sau un catalog. Această blocare este necesară pentru a preveni influența reciprocă a aplicațiilor într-un mediu multitasking. Când sistemul de operare și programele funcționează normal, previne ștergerea accidentală a fișierelor utilizate, dar uneori apar erori. Ca urmare a unuia dintre ele, aplicația se poate bloca sau rămâne în memorie după închiderea ferestrei. Obiectul sistemului de fișiere poate rămâne blocat mult timp după ce nu mai este necesar.

Astăzi, lista de procese active a utilizatorului obișnuit începe de la cincizeci, așa că poate dura mult timp pentru a căuta zombi printre ele. Unlocker vă ajută să determinați imediat ce proces blochează modificarea sau ștergerea unui fișier sau director selectat. Chiar dacă nu poate înțelege acest lucru din cauza limitărilor Win32 API, el se va oferi să forțeze acțiunea dorită: redenumiți, mutați sau ștergeți obiectul.


Unlocker nu a găsit motivul blocării, dar poate șterge fișierul recalcitrant

Uneori, mai multe programe pot accesa același director deodată, astfel că printre procesele care îl blochează sunt identificate mai multe handle. Unlocker are capacitatea de a debloca pe toată lumea cu un singur buton.

Începând cu versiunea 1.9.0, sunt acceptate versiunile pe 64 de biți versiuni Windows. Utilitarul poate fi integrat în meniul contextual Explorer sau rulat în modul grafic ca o aplicație portabilă. De asemenea, puteți instala Unlocker Assistant. Acesta va agăța în tavă și va apela automat Unlocker ori de câte ori utilizatorul încearcă să manipuleze un fișier blocat. Rularea cu comutatorul `-h` va afișa ajutor despre modul linie de comandă. Utilitarul este disponibil în patruzeci de limbi, deși nu există nimic special de tradus în el - totul este deja intuitiv.

AVZ

Privind lista de capabilități ale utilitarului AVZ, aș dori să o numesc analitică, nu antivirus. Micul program al lui Oleg Zaitsev are multe funcții de neînlocuit care ușurează sarcinile de zi cu zi ale unui administrator și viața unui utilizator avansat. Vă va ajuta să efectuați o scanare a sistemului, să restaurați setările pierdute ale componentelor încorporate ale sistemului de operare la setările implicite, să detectați orice modificări de la ultimul audit, să găsiți potențiale probleme de securitate, să eliminați componentele troiene din SPI Winsock și să restabiliți conexiunea la Internet, să identificați comportamentul ciudat al programului. și detectați nucleele rootkit-uri la nivel.


AVZ conține multe instrumente de analiză a sistemului

Programele malware cunoscute sunt cel mai bine eliminate folosind alte scanere antivirus. AVZ este util pentru combaterea răului necunoscut, găsirea găurilor prin care se poate scurge și eliminarea consecințelor infecției. În cele mai multe cazuri, AVZ vă permite să faceți fără a reinstala sistemul de operare, chiar și după un atac sever de viruși.

Puteți utiliza AVZ ca aplicație portabilă, dar setul complet de funcții ale utilitarului va fi dezvăluit numai dacă instalați AVZPM - propriul driver pentru modul kernel. Controlează toate modulele, driverele și aplicații active, facilitând identificarea proceselor de masquerading și a oricăror tehnologii pentru înlocuirea identificatorilor acestora.

AVZGuard este un alt driver pentru modul kernel care poate fi activat din meniul AVZ. Limitează accesul la procesele active, suprimând activitatea antivirus pe computerul infectat. Această abordare vă permite să lansați orice aplicație (inclusiv un alt antivirus) din fereastra AVZ în modul protejat.

Una dintre contramăsurile inteligente ale malware-ului rămâne metoda de a bloca fișierele acestuia și de a recrea elementele șterse de antivirus la următoarea încărcare a sistemului de operare. Manual poate fi evitat parțial folosind Unlocker, dar AVZ are propria tehnologie - Boot Cleaner. Acesta este un alt driver pentru modul kernel care extinde capacitățile sistemului încorporat Funcții Windows eliminarea întârziată la repornire. Pornește mai devreme, își înregistrează rezultatele și poate șterge intrările din registry, precum și fișierele.

Scanerul antivirus AVZ în sine are, de asemenea, o mulțime de cunoștințe. Este capabil să scaneze fluxuri NTFS alternative și să accelereze scanarea prin excluderea fișierelor identificate ca sigure de catalogul Microsoft sau de propria bază de date. Toate amenințările pot fi căutate după tipuri specifice - de exemplu, excludeți imediat categoria HackTool. Există module separate pentru căutarea interceptoarelor de la tastatură, porturi deschise de cai troieni și analiză comportamentală. AVZ vă permite să copiați fișierele suspecte și șterse în foldere separate pentru studiul lor detaliat ulterior.


Crearea unui protocol de cercetare detaliat în AVZ

Cerința de a trimite rapoarte către AVZ și modulul său „Cercetare de sistem” a devenit o practică standard în multe forumuri de virologi, unde oamenii apelează la oameni pentru ajutor în rezolvarea problemelor non-triviale.

Desigur, trusa de prim ajutor a unui administrator experimentat poate conține mai mult de o duzină de programe, dar aceste patru utilități vor fi suficiente pentru a rezolva majoritatea problemelor. Restul îl puteți găsi cu ușurință în colecții folosind link-urile oferite în articol.

AVERTIZARE!

Utilizarea utilităților de sistem necesită înțelegerea logicii funcționării acestora și a structurii sistemului de operare în sine. Citiți ajutorul înainte de a face modificări în registry sau de a interfera cu procesele active.

Abonați-vă la „Hacker”

O gamă largă de programe de administrare pentru toate gusturile!

Nou în categoria „Administrare”:

Gratuit
Wakeup 1.6 este o aplicație care vă permite să porniți computerul prin rețea. Aplicația Wakeup utilizează tehnologia Wake-On-Lan (WoL) și pentru a o activa trebuie doar să selectați calculatorul potrivitîn listă și apăsați butonul de pornire.

Gratuit
NetOp Remote Control 9.0 este o aplicație care vă va ajuta să controlați și să administrați de la distanță alte computere folosind o rețea TCP/IP sau Internet.

Gratuit
TeamViewer 7.0.12979 este o aplicație care vă va ajuta să accesați computerul la distanță, chiar dacă are instalat un firewall, porturi blocate sau rutare NAT pentru adrese IP locale.

Gratuit
Advanced Administrative Tools 5.92 Build 1610 este un set mare de utilitare puternice și unice pentru lucrul și explorarea rețelei. Printre altele, aplicația este dotată cu utilități: Resource Viewer, Proxy Analyzer, Email Verifier, Port Scanner, Links Analyzer, Trace Route, Whois, Network Monitor și altele.

Gratuit
Hidden Administrator 4.1.777 este o aplicație care vă permite să gestionați computere la distanță dintr-o rețea sau printr-o conexiune la Internet.

Gratuit
LanSpy 2.0.0.155 este un scanner pentru detectarea computerelor dintr-o rețea. Aplicația LanSpy vă permite să obțineți numeroase informații despre computerul dvs. din rețea.

Gratuit
LanSpector 1.3.108 este o aplicație pentru lucru în retea locala. Aplicația LanSpector vă va ajuta să vizualizați resursele partajate disponibile în rețeaua locală, precum și să scanați intervale de adrese IP specificate pentru a căuta servicii utilizate în mod obișnuit.

Gratuit
X-NetStat Professional 5.57 este o aplicație care furnizează informații precum date despre internetul dvs. actual sau conexiuni de rețea. Aplicația X-NetStat Professional vă va ajuta să vă urmăriți activitățile online, activitățile online, activitățile de conectare la Internet și multe altele în orice moment.

Gratuit
IP-Tools 2.58 este o aplicație indispensabilă pentru utilizatorii activi de Internet, precum și pentru administratorii oricăror rețele locale. Aplicația IP-tools constă dintr-un set mare de o mare varietate de utilități care uimesc prin capacitățile lor de analiză și colectare a datelor din rețea și computerelor conectate la rețele.

Gratuit
Bopup Scanner 2.1.7 este o aplicație care acționează ca o aplicație gratuită scaner de rețea. Aplicația Bopup Scanner poate scana spațiul și afișa toate computerele disponibile, precum și numele utilizatorilor conectați, adresele MAC sau IP și poate determina prezența serverelor HTTP sau Web.

Gratuit
NetOp Remote Control 9.0 este o aplicație care vă va ajuta să controlați și să administrați de la distanță alte computere folosind o rețea TCP/IP sau Internet. Aplicația NetOp Remote Control vă permite să utilizați un set încorporat de numeroase instrumente care pot gestiona și colecta date despre servere la distanțăși stații de lucru.

Gratuit
Radmin 3.4 este o aplicație care este cea mai bună pentru controlul securizat de la distanță și gestionarea computerelor responsabile.

Gratuit
LanShutDown 3.0.2 este o aplicație care poate închide sau reporni computerele conectate la rețea. Aplicația LanShutDown vă va ajuta, de asemenea, să scrieți un mesaj și acesta va fi afișat în fața utilizatorului înainte de a se închide.

Gratuit
Lan Keylogger 1.1.3 este o aplicație care monitorizează constant Internetul și rețeaua locală. Aplicația Lan Keylogger va ajuta la urmărirea tuturor acțiunilor utilizatorilor rețelei și va fi cea mai utilă atunci când este utilizată de administratori cu un număr mare de computere responsabile.

Gratuit
RAdmin Client 2.1 este un cuvânt nou în domeniul aplicațiilor pentru administrare la distanță. Aplicația RAdmin Client va facilita foarte mult munca oricărui administrator care controlează multe computere.

Gratuit
WinGate 7.0.8 Build 3364 este o aplicație care este un server proxy cu firewall avansat și server de mail, care va face posibilă conectarea unei rețele LAN la Internet folosind o adresă IP sau un modem. Aplicația WinGate funcționează cu protocoale precum SMTP, HTTP, POP3, FTP, NNTP și altele.

Gratuit
Network Inventory of Office Equipment 1.0 este o aplicație convenabilă care eliberează specialiștii IT de responsabilitățile inventarierii de rutină a echipamentelor de birou. Aplicația „Inventarul de rețea al echipamentelor de birou” face posibilă păstrarea evidenței pieselor materiale, reparațiilor efectuate și software-ului instalat. Aplicația este împărțită în două părți: rezident și server.

Gratuit
Inventarul computerelor din rețea 3.95.1755 este un instrument pentru efectuarea automată a inventarului retele de calculatoare. Programul „Inventarul computerelor din rețea” poate afișa toate informațiile despre hardware sau software sub forma unui raport, cu alegerea oricărei combinații de parametri.

Gratuit
AdmAssistant 1.1 este un program gratuit cu capacitatea de a controla de la distanță computerele dintr-o rețea locală și, de asemenea, are capacitatea de a elimina configurații de la computere la distanță și de a le efectua inventarul. Programul vă permite, de asemenea, să reporniți sau să închideți computer la distanță, și, de asemenea, instalați pe el programele necesare sau ștergeți-le pe cele inutile.