Компьютерные процессы, работающие в фоновом режимеВы когда-нибудь слышали выражение: «В тихом омуте черти водятся»? Это также применимо и к компьютерам. В то время, когда кажется, что компьютер простаивает, огромное количество процессов может работать в фоновом режиме. Компьютер никогда не бывает в состоянии покоя, в настоящем смысле этого слова. В нем всегда что-то происходит. Нам может казаться, что он дремлет, но обычно он всегда что-то делает. Благодаря использованию таких инструментов, как RegmonNt, FilemonNt, и TdiMonNT мы можем узнать, что делает наш компьютер. Есть такие прекрасные бесплатные инструменты, которые были написаны программистами компании Sysinternals. Компания Sysinternals недавно была куплена компанией Microsoft. Я смею заметить, что это одна из самых лучших покупок Microsoft за последнее время. Иметь в своей команде таких людей, как Марк Руссинович (Mark Russinovich) и Дейв Соломон (Dave Solomon), может быть очень полезно. Почему так важно знать, что происходит на вашем компьютере в фоновом режиме? Итак, первое, что быстро приходит на ум, это важно для вас быть знакомым с процессами, которые запущены на используемых версиях Microsoft. Если конечный пользователь сообщает об ошибке на своем компьютере, то, возможно, этот тот самый инструмент, который вы запустите для выявления проблемы. С другой стороны, лично для меня и тех из вас, кто занимается компьютерной безопасностью, это представляет другую область интересов. Нам также необходимо знать, какие процессы запущены на компьютере, но больший интерес представляет обнаружение вражеских процессов, которые могут делать вовсе не то, что кажется на первый взгляд.
Работа с хакерским программным обеспечением в корпоративной сети– это гораздо более развивающаяся отрасль, чем кажется. Каждый день системные администраторы и сети, которые они контролируют, становятся мишенью хакерского программного обеспечения. Проблема заключается в том, что часто бывает очень сложно разобраться, как работает это хакерское программное обеспечение. Очень часто в настоящее время хакерское программное обеспечение хорошо маскируется с помощью использования общих пакетов, таких как PEX. Это значит, что вам придется восстановить структурную схему части хакерского программного обеспечения, если вы не сможете распаковать его. Поэтому остаются лишь выполнить хакерское программное обеспечение, для того чтобы узнать, что оно делает. В этом самом случае нам на помощь придут выше упомянутые инструменты от компании Sysinternals. Вам необходимо отслеживать изменения реестра, файловой системы и других элементов после того, как вы захотите использовать хакерское программное обеспечение. Помня все это, давайте взглянем на эти три инструмента.
RegmonNt
Из названия этого инструмента можно догадаться, что он используется в качестве приложения для мониторинга реестра. Он используется для отслеживания всех программ, которые пытаются получить доступ к реестру, и его параметрам. Наконец, эта программа точно сообщит вам, какая часть реестра была прочитана или изменена, и что самое главное, эта программа покажет вам всю активность в реальном времени. Если вы думаете, что вам не плохо бы иметь такой инструмент, то вы совершенно правы! Давайте посмотрим на рисунок ниже, на котором изображен RegmonNt в действии.
Рисунок 3
Вы уже знает принципы отображения информации, которые используются инструментами Sysinternals под названием Regmon и Filemon, а TdiMon делает это точно также. Особый интерес для нас представляет поле “Process (процесс)”. Оно точно сообщает вам программу, которая создала сокет, а также список его транспортных протоколов в столбце “Local (локальные)”. Назначение остальных полей очевидно само по себе, т.к. мы уже объясняли их выше. Для чего вам использовать этот инструмент? Как я упоминал, если вы работаете системным администратором, то он поможет вам отследить проблемы с сетью. Если вы работаете специалистом по компьютерной безопасности, то он позволит вам изучить хакерское программное обеспечение, выяснить, что он делает, по какому сокету оно общается с удаленным сервером в интернет.
Резюме
Все инструменты, о которых рассказывалось в этой статье, должны присутствовать в вашем арсенале, чтобы дальше совершенствовать ваши знания о компьютерах. Они могут использоваться для нужд системного администрирования, а также для обеспечения безопасности компьютера. Они относительно просты в использовании, и после пяти или десяти минут работы с ними вы сможете понять их возможности. Я искренне поддерживают ваше стремление к изучению и использованию этих инструментов. Как всегда, жду ваших отзывов, и надеюсь, что эта статья была полезна для вас. До новых встреч!
|
