Vim
Хороший текстовый редактор — это один из основных инструментов системного администратора, поскольку во многих ситуациях приходится вносить правки в конфигурационные файлы и важно делать это очень быстро. Редактору Vim недавно исполнилось 25 лет, и он все еще очень активно развивается.
Он выгодно отличается от всех других редакторов тем, что позволяет выполнять редактирование текста и перемещение по нему очень быстро, не отрывая пальцы от основной клавиатуры. Для этого в редакторе реализовано два режима — командный режим, с помощью которого вы можете перемещаться по тексту с помощью буквенных клавиш, а также выполнять различные команды. Второй режим — редактирование, в котором программа превращается в обычный редактор.
В ноябре вышла восьмая версия Vim, в которой программа получила много улучшений. Например, поддержку GTK3 и асинхронный ввод/вывод для плагинов. Этот редактор может работать не только в Linux, но и в Windows и MacOS.
Htop
Мониторинг нагрузки на операционную систему — это тоже очень важная задача, которая стоит довольно часто перед системными администраторами. Например, если нужно очень срочно выяснить какая программа перегружает процессор или занимает всю доступную оперативную память. Утилита htop показывает в реальном времени список всех запущенных процессов с возможностью сортировки по нужному параметру, использованию процессора, памяти.
Кроме того, с помощью утилиты можно посмотреть количество потоков ядра процессора, на котором запущенна программа и многое другое. Это одна из самых важных утилит в списке программ системного администратора. Программа работает только в Linux системах.
SSH клиент
Первое место в списке программ системного администратора занимает ssh клиент. Именно в ssh я провожу большую часть своего рабочего времени. Я работаю с linux значительно больше, чем с windows. За время своей работы я перепробовал все, что попадалось на тему ssh клиента. Как и большинство, начинал с putty, потом пользовался kitty. Этот вариант подходит тем, кому надо изредка подключаться куда-то по ssh. Так же тем, у кого в попечении 5-10 серверов с одним паролем или сертификатом на все сервера.
Как только количество серверов вырастает, встает вопрос о поиске более удобной программы для ssh подключений. Я в итоге пользуюсь двумя программами, о которых расскажу подробнее.
mRemoteNG
С этой программой я познакомился очень давно, еще до того, как ее форкнули и добавили NG на конце. Она объединяет в себе все популярные способы удаленного подключения к серверам. Конкретно я использовал следующие:
- ssh
- rdp
- vnc
Очень удобно подключаться к различным серверам из одного места. Все подключения располагаются в одном окне программы в раздельных табах. В этой программе меня устраивало практически все, кроме одного досадного бага, который до сих пор не исправили. Если вы подключаетесь по ssh, то у вас некорректно работает переключение по alt+tab. Если из mRemoteNG вы переключитесь в другое окно, через альттаб, а потом вернетесь обратно этой же комбинацией, то попадете не в mRemoteNG, а в другую программу.
Такое поведение связано с тем, что для ssh подключения используется putty, сама программа написана на .net. Эта связка как-то некорректно работает в плане переключения окон. Я читал на сайте разработчиков отзывы об этом баге, там есть все подробности. Они пишут, что пока не уйдут от putty, исправить этот баг невозможно. А жаль, так как программа меня на 100% устраивает, но вечные проблемы с alt+tab меня все же вынудили искать замену для ssh. И я ее нашел, а mRemoteNG использую для rdp и vnc подключений.
Данная программа имеет портированную версию и легко синхронизируется через облачные хранилища файлов, что добавляет ей плюсов. Из минусов как раз использование putty, в которой лично мне очень не нравится то, что она использует свой формат приватных ключей. Приходится использовать puttygen для конвертации ключей.
Эта программа стала незаменимой для меня, когда число управляемых серверов перевалилось за 30-40. С ее помощью можно выстраивать древовидную структуру вложений для подключений, сохранять учетные данные. И все это в одном месте для всех протоколов. mRemoteNG отличная программа для системного администратора. Лучше по функционалу я не встречал. Может когда-нибудь и недостатки исправят.
Минус, как я уже говорил — некорректное переключение по alt+tab при работе с ssh и отсутствие пароля на запуск. Это важно, так как все пароли у вас хранятся в программе, при этом она еще и портированная. В итоге все ssh подключения я из нее убрал и стал пользоваться другой программой.
Xshell 5
Этот ssh клиент под windows меня устроил всем. В нем много настроек, после установки я долго разбирался с ними, чтобы все сделать красиво и удобно. Вот пример, за что я люблю этот клиент.
Вы можете расположить окна, к примеру, вот так и что-то отлаживать. Если у вас несколько мониторов, как у меня, то сможете разные экземпляры программы с разными подключениями расположить по разным мониторам. Я, к примеру, люблю так тестировать нагрузку на web сервер. На одном мониторе открываю ssh окна с нужными метриками, на другом графики из zabbix. Даю нагрузку и в режиме реального времени смотрю, что происходит на сервере.
Xshell 5 избавлен от всех недостатков предыдущей программы:
- Корректно переключается по alt+tab.
- Имеет пароль на запуск программы.
- Использует стандартный формат приватных ключей, в отличие от putty.
Интерфейс неплохо кастомизируется. Я убрал вообще все лишнее с окна программы. Запомнил горячие клавиши и пользуюсь только ими для создания подключений, изменения и т.д. Подключения ssh могут организовывать древовидную структуру, имеют массу настроек. Можно менять цвета в консоли, цвета заголовков окон и т.д. Таким образом можно удобно помечать наиболее важные сервера отдельным цветом, или тестовые. Я так делаю для некоторых серверов. Можно разделять сервера разных организаций разным цветом.
По ssh клиенту Xshell у меня вердикт таков — лучшей программы для системного администратора я не встречал. Постоянно ей пользуюсь и вам рекомендую. Ко всему прочему она бесплатная для домашнего использования. Если у вас есть какие-то примеры более удобных и функциональных программ для организации удаленных подключений, прошу поделиться в комментариях.
Git
Контроль версий имеет очень важное значение не только в программировании. Для различных скриптов, конфигурационных и обычных текстовых файлов тоже может быть очень полезным восстановить предыдущую версию.
Изначально система Git была разработана Линусом Торвальдстом для управления разработкой ядра Linux. Но на сегодняшний день это полноценная платформа, которой пользуется очень большое количество проектов с открытым исходным кодом. Но она также может быть полезной в сохранении старых версий ваших конфигурационных файлов.
Последняя на данный момент версия — это 2.10, в которой есть много полезных функций. Например, с помощью команды git diff вы можете узнать какие именно строки и в каких файлах были изменены, удаленные строки будут зачеркнуты. Программа может использоваться в Windows и в Linux.
Программы удаленного доступа
Системным администраторам часто приходится подключаться к удаленным рабочим местам. Для реализации этого функционала существует много программ. Самая популярная и у всех на слуху — teamviewer. Но она платная, а в бесплатной версии существуют ограничения, которые зачастую не позволяют ее использовать. Приходится искать компромиссы.
Есть неплохой аналог — LiteManager. В бесплатной версии существует ограничение на 30 рабочих мест. Если у вас их меньше или вы используете программу для доступа к каким-то техническим машинам, там где не подходит rdp по какой-то причине (сервер СКУД, клиент видеонаблюдения и т.д.), то возможно вам будет достаточно этой программы.
Если у вас больше 30-ти рабочих мест и нужен удаленный доступ ко всем машинам, то выход — vnc сервер. Я предпочитаю TightVNC. Решение подходит только для локальной сети, либо для канала хотя бы в 30-50 мегабит. У vnc очень медленный протокол и пользоваться им при низкой скорости канала просто невозможно.
Если нужен удаленный доступ по vnc в локальную сеть, то можно использовать vpn, либо более просто вариант — подключаться куда-то в локалку по rdp, а потом уже по vnc. С современными скоростями интернета получается вполне рабочий вариант. Я использую в некоторых ситуациях. Для безопасности просто ограничиваю доступ по rdp на уровне ip. У меня есть возможность подключаться с нескольких статичных ip адресов.
SystemRescueCD
Компьютеры не всегда работают как нужно и имеют обыкновение ломаться. Отличная практика для системных администраторов — это иметь компакт диск или USB диск с набором инструментов, которые помогут восстановить систему или хотя бы данные с проблемных компьютеров.
SystemRescueCD — это активно развивающийся набор утилит для системного администратора на все случаи жизни. Это загрузочный дистрибутив Linux, основанный на Gentoo, который содержит различные инструменты для проверки аппаратного обеспечения, разметки диска, восстановления данных, проверки компьютера на вирусы, настройки сети и многое другое.
В 2020 году были выпущены версии 2.8 и 2.9. В этих версиях образ получил обновления различных компонентов, включая добавление поддержки инструментов для работы с btrfs.
Clonezilla
Иногда лучше не восстанавливать систему с нуля, а иметь резервную копию всей машины, чтобы иметь возможность вернуть систему к жизни за несколько минут. Clonezilla — это де-факто стандарт для создания резервных копий и развертывания образов систем на диск. Вы можете создавать резервные копии, как для отдельных разделов, так и для всего диска целиком.
Программа может использоваться из текущей системы или в виде загрузочного образа с псевдографическим интерфейсом — Clonezilla Live. После того как у вас будет готовая копия, вы можете очень просто восстановиться после неудачной конфигурации или обновления.
В последней версии была добавлена поддержка обнаружения зашифрованных с помощью Windows BitLocker томов, улучшена поддержка EFI, а также обновлено все программное обеспечение до последних версий Debian.
Docker
Контейнеры — это изолированные окружения, которые позволяют запускать несколько систем на одном ядре Linux. Все системы изолированы одна от другой, а также от основной системы. Инструмент настройки контейнеров Docker очень сильно посодействовал развитию контейнеров в 2020 году.
Docker — это открытая платформа, которая позволяет буквально в несколько команд развернуть контейнеры с нужными дистрибутивами Linux и выполнять в них необходимое программное обеспечение. С помощью Docker вы можете упаковать отдельное приложение со всеми его зависимостями, а затем запускать в любом дистрибутиве, где поддерживается Docker.
Вы можете создавать свои программы и обмениваться ими с другими пользователями. Docker позволяет компаниям выбирать систему, в которой будет работать программное обеспечение, не ограничивая разработчиков в инструментах и языках программирования.
В последних версиях Docker была добавлена возможность проверки состояния контейнера и автоматического восстановления в случае проблем, а также теперь контейнеры Docker могут работать не только в Linux, но и в Windows.
Wireshark
Wireshark — это инструмент для анализа, проходящего через компьютер трафика и сохранения сетевых пакетов. Такая задача может возникнуть при анализе работоспособности сети, сетевых сервисов или веб-приложений. Программа поддерживает огромное количество протоколов, может даже расшифровывать HTTPS трафик при наличии ключа. Вы можете фильтровать весь трафик по нужным параметрам, сортировать пакеты, просматривать их содержимое и полную информацию, а также многое другое.
Новая версия программы Wireshark 2.0 была выпущена в 2020 году, с тех пор она активно развивается уже в этой ветке. Ее интерфейс был переписан на Qt5, а также сделан более интуитивно понятным.
Где админам вести список дел
Абсолютно убежден, что любому системному администратору нужна программа для ведения списков дел, коих у него всегда огромное количество. Программу может в крайнем случае заменять текстовый блокнот. Именно так у меня и было длительное время, пока не познакомился и не попробовал программу Todoist. С тех пор все дела веду в ней.
Важно ничего не забывать, когда работаете с заказчиками. Все, что с вами было обговорено и запланировано, вы записываете и выполняете в срок. Если это личные беседы, то записи делаю в блокнот и потом обязательно проверяю, не забыл ли я чего. Если не запишу, то скорее всего забуду. Днем идет постоянный входящий поток информации, который нужно организовывать. Обязательность и пунктуальность создают хорошее впечатление и позволяют находить и поддерживать длительные отношения с хорошими заказчиками.
А в чем вы ведете свои дела?
TightVNC
TightVNC позволяет получить доступ к графическому интерфейсу на удаленном компьютере. С помощью этой программы вы можете управлять компьютером удаленно, фактически, не находясь перед ним. Обычно администраторы управляют серверами Linux через ssh, однако, некоторые пользователи предпочитают использовать графический интерфейс для решения таких задач.
У программы есть возможность шифровать трафик VNC, таким образом, делая его безопасным, точно так же, как и ssh. TightVNC может работать как в Linux, так и в Windows. Затем вы сможете получить доступ к вашему устройству с любого места, где есть интернет.
Мои программы для системного администрирования
– Основные понятия о командных файлах и примеры их использования – создание файлов и поколений архивов данных, упорядоченных по времени, остановка и запуск системных служб из командной строки, использование переменных среды окружения, выполнение команд по расписанию и т.п.
Утилиты пакета Pstools
– Утилиты командной строки из пакета PStools от Sysinternals работают в Windows NT, Windows 2000, Windows XP, Windows Server 2003 и не требуют инсталляции.
Позволяют осуществлять не только управление локальным компьютером, но и удаленное администрирование без установки на удаленном компьютере какого-либо программного обеспечения.
Позволяют выполнять приложения на удаленной системе, управлять службами, перезагружать, выключать или останавливать локальный или удаленный компьютер, а также многое другое.
Работа с реестром Windows
– здесь собрана информация по реестру из многих источников и личного опыта. Общие сведения о реестре Windows, файлы реестра и их местонахождение, краткое описание разделов реестра и их назначение.
Большое внимание уделено восстановлению работоспособности системы, сохранению и восстановлению данных реестра. Отдельный раздел посвящен отслеживанию обращений к реестру с использованием утилиты RegMon. Вопросы автоматического запуска приложений и служб.
Краткое описание утилиты AutoRuns. Примеры для ограничения доступа пользователя к ресурсам системы и способы борьбы с ограничением доступа. Некоторые полезные настройки Windows через реестр.
Проблемы с загрузкой Windows 2000/XP .
– В сжатом виде представлена информация о механизме загрузки ОС Windows 2000/XP с использованием загрузчика NTLDR. Рассмотрены причины, по которым система может не загружаться и способы их устранения.
Краткое описание работы с консолью восстановления (recovery console) Windows и Winternals ERD Commander.
BOOTMGR – диспетчер загрузки Windows Vista/7
– Описание механизма загрузки операционных систем семейства Windows с использованием диспетчера загрузки
BOOTMGR
, заменившего устаревший загрузчик NTLDR в операционных системах Windows Vista и более поздних.
Описание хранилища конфигурации загрузки BCD (Boot Configyration Data), его структуры, объектов и элементов конфигурации. Примеры использования редактора BCDEDIT и программ редактирования конфигурации загрузки сторонних производителей (EasyBCD).
Примеры нарушения процесса загрузки операционной системы и методики его восстановления.
Панель управления Win2k.
– Что делать если Панель Управления Windows не открывается. Как удалить ненужные элементы панели управления.
Скрытые устройства Windows.
– как получить список скрытых устройств Windows и, при необходимости, удалить ненужные.
Файловый менеджер FAR
– Очень функциональная и удобная для системного администратора программа. Кроме стандартных возможностей файлового менеджера может использоваться в качестве FTP-клиента, умеющего работать через прокси и брандмауэр.
Позволяет выполнять просмотр сетевого окружения и сетевых папок (в том числе и скрытых). Имеет встроенный редактор с возможностью просмотра файлов как в текстовом так и в HEX- формате. При чем в текстовом формате легко меняется DOS-кодировка на Windows и наоборот.
Возможности встроенного редактора позволяют легко выполнять даже такие “экзотические” операции, как перенос из текстового файла выделенного в прямоугольном окне текста в другой файл и т.д.
Имеется менеджер программ, позволяющий просмотреть список процессов, сведения о каждом из них, его источник и используемые ресурсы системы. И убить ЛЮБОЙ процесс, чего не позволяет сделать стандартный Task Manager.
Omniquad Instant Remote Control
– программа удаленного администрирования систем под управлением Win2K/XP/Win2003, не требующая установки серверной составляющей на администрируемом компьютере. Просто запускаете ее, вводите IP-адрес (имя компьютера), имя пользователя, пароль и рабочий стол удаленной системы перед вами.
Автоматизация с использованием nncron Lite
– Настройка и использование планировщика заданий nncron Lite. Краткое описание установки и настройки. Формат записей в файле nncron.tab. Простой пример создания задания для периодического запуска приложения.
Примеры для выполнения по расписанию дистанционного включения компьютеров с применением технологии Wake On Lan (WOL), удаленного запуска приложений с помощью утилиты psexec и выключения компьютера в заданное время.
Бесплатные программы для компьютера
– краткое описание и ссылки на сайты для скачивания бесплатного программного обеспечения для компьютеров под управлением ОС Windows. Здесь размещена информация о программных продуктах, которыми я сам лично пользовался, и, как правило, продолжаю пользоваться по сегодняшний день.
Программы сгруппированы по категориям – “Системное программное обеспечение”, “Интернет и сеть”, “Безопасность”, “Мониторинг и тестирование оборудования” и “Прочее”. Раздел бесплатных программ будет постоянно пополняться.
Работа в консоли Linux
– Консоль Linux для начинающего. Элементарные знания о командной оболочке. Как выключить/перезагрузить компьютер, посмотреть список процессов и снять зависший, создать файл или каталог, установить или удалить приложение и т. п.
Удаленная работа с графическим терминалом Linux
– как подключиться из Windows к графической подсистеме Linux, используя бесплатный пакет Xming. Варианты с использованием XDMCP и X11 Forwarding.
Бесплатный Oracle на бесплатном Linux
– установка Oracle Database XE Server на Linux Mandriva 2007 Free.
Построение VPN на базе Mandriva Linux 2007 и PoPToP.
Вариант организации подключения удаленных клиентов Windows через Интернет к локальной сети предприятия с использованием VPN сервера на базе Linux Mandriva 2007.
Непонятные проблемы с компьютером.
– краткие методики выявления и устранения неполадок с компьютерным оборудованием. Что делать, если компьютер не включается, самопроизвольно включается, виснет или перезагружается. Ссылки на программы для сбора информации об оборудовании и тестирования.
Zenmap
Zenmap — это графический интерфейс для популярного сетевого сканера — nmap. С помощью этого инструмента вы можете очень быстро найти все подключенные к сети узлы, проверить топологию сети, а также посмотреть список запущенных служб на каждом из компьютеров.
Также с помощью программы вы можете найти потенциально опасные места в настройке серверов, многими администраторами она используется для проверки доступности узлов или даже измерения времени аптайма.
Filezilla
Наш список утилит для системного администратора подходит к завершению. Во время администрирования серверов достаточно часто приходится передавать файлы. Обычно эта задача выполняется по протоколу FTP. Filezilla — это один из лучших и самых популярных клиентов для передачи и загрузки файлов по FTP. Интерфейс программы разделен на две панели, в одной из них вы видите локальный компьютер, а в другой удаленную файловую систему FTP сервера.
Интерфейс программы интуитивно понятен, и ее можно использовать в Windows, Linux и MacOS.
Походная аптечка сисадмина. Минимальный набор утилит для максимально эффективного решения проблем
Каждому сисадмину приходится иногда обслуживать компьютеры знакомых или совершать надомные выезды. В этом деле ему помогает проверенный набор утилит. Наш обзор расскажет только о бесплатных, не требующих установки и ставших стандартом де-факто.
Autoruns
Эта программа стала визитной карточкой Марка Руссиновича и фирмы Winternals Software (более известной по имени сайта — Sysinternals.com), давно поглощенной Microsoft. Сейчас она по-прежнему развивается автором, но юридически принадлежит техническому отделу Microsoft. Текущая версия 13.3 написана в апреле 2020 года. С v.13.0 программа стала не просто удобнее, она получила ряд новых функций, в частности средства расширенной фильтрации, интеграцию с другими системными утилитами и онлайновыми сервисами.
Autoruns отображает самый полный и самый подробный список компонентов автозапуска независимо от их типа. Утилита показывает способы загрузки всех драйверов, программ (включая системные) и их модулей по разделам реестра. Она даже формирует список всех расширений проводника Windows, панели инструментов, автоматически запускаемых служб и многих других объектов, обычно ускользающих от других подобных программ.
Цветовая маркировка помогает быстро определить в списке из сотен записей стандартные компоненты, которые имеют цифровую подпись Microsoft, подозрительные файлы и ошибочные строки, которые ссылаются на несуществующие файлы. Чтобы отключить возможность автозапуска любого компонента, достаточно снять флажок напротив него слева.
Призраки объектов автозапуска в Autoruns выделены желтым
Часть компонентов автоматически загружается только при входе в систему под определенной учетной записью. В Autoruns можно выбрать записи, соответствующие каждому аккаунту, и просмотреть их отдельно.
Внимания заслуживает и режим командной строки. Он исключительно удобен для экспорта списка элементов автозапуска в текстовый файл, создания расширенных отчетов и выборочной антивирусной проверки всех подозрительных объектов. Полную справку можно прочесть на сайте, здесь же приведу пример типовой команды:
autorunsc -a blt -vrs -vt > C:\Autor.log Здесь `autorunsc` — модуль программы, запускаемый в режиме командной строки. Ключ `-a` указывает, что после него перечислены объекты для проверки. В примере их три: b — boot execute (то есть все, что загружается после старта системы и до входа пользователя); l — logon, компоненты автозагрузки определенного пользователя и t — запланированные задания. Если вместо перечисления blt указать астериск (*), то будут проверены все объекты автозапуска.
Ключи `-vrs` и `-vt` указывают режим работы с онлайновым сервисом VirusTotal. Первый набор задает отправку только тех файлов, у которых отсутствует цифровая подпись Microsoft и которые ранее не проверялись. Если хотя бы один антивирус из полусотни сочтет файл вредоносным, подробный отчет откроется в отдельной вкладке браузера. Второй набор ключей нужен для того, чтобы каждый раз не открывалась вкладка с пользовательским соглашением об использовании сервиса VirusTotal и не приходилось подтверждать согласие с ним.
Отчет Autorunsc обычно получается на десятки и сотни килобайт. Читать его на экране неудобно, поэтому в примере вывод перенаправляется в лог-файл. Это обычный текстовый формат в кодировке UCS-2 Little Endian. Вот пример записи из него с одним ложноположительным срабатыванием:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Adobe ARM «C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe» Adobe Reader and Acrobat Manager Adobe Systems Incorporated 1.801.10.4720 c:\program files (x86)\common files\adobe\arm\1.0\adobearm.exe 20.11.2014 21:03 VT detection: 1/56 VT permalink: (ссылка на отчет VirusTotal).
Два неподписанных драйвера оказались чистыми, а на один подписанный есть реакция VT
Скачать Autoruns можно на этой странице.
Process Explorer
Версия программы Autoruns с графическим интерфейсом может работать вместе с другой утилитой того же автора — Process Explorer (PE). Если сначала запустить PE, а затем Autoruns, то в меню последней появляются дополнительные пункты о просмотре свойств каждого активного процесса из меню автозапуска.
В настройках PE можно указать желаемый способ отображения всех активных процессов: простой перечень с сортировкой по имени или степени загрузки ЦП либо древовидный список с указанием зависимостей. Там же задается опция, которая позволяет проверять неизвестные файлы (определяются по хешу) в VirusTotal. Если ее включить, то через некоторое время справа появится результат проверки. Все объекты, на которые ругается хотя бы один антивирус, будут выделены красным.
При нажатии окно делится по горизонтали, а в нижней части отображается полная информация о выбранном процессе и его действиях в системе. Нажатие вызовет дополнительное окно с индикаторами загрузки ЦП, ГП, ОЗУ, интенсивности операций ввода/вывода, использования накопителей и сети. Для каждого компонента отображается общая нагрузка и самый ресурсоемкий процесс. Для ГП показывается даже процент занятой видеопамяти и нагрузка на каждый чип, если их несколько. Сейчас это особенно актуально, так как многие (вредоносные) программы активно используют видеокарты для неграфических вычислений. Особенно такое поведение характерно для троянских майнеров криптовалют.
Тестовый троян пока не выглядит подозрительным, а на µTorrent уже ругаются четыре антивируса
По правому клику на любом процессе из списка PE появляется контекстное меню. Оно дублирует все функции встроенного диспетчера задач и добавляет несколько новых. В частности, можно одним кликом отправить соответствующий подозрительному процессу файл на анализ в VirusTotal, выполнить поиск его описания в интернете, сделать дамп или приостановить (suspend) выполнение. Поставленный на паузу процесс перестает реагировать на любые команды (включая внутренние), и его становится легче анализировать. После того как с ним разобрались, можно отправить через Process Explorer команду «возобновить» (resume). Разумеется, без острой необходимости так не стоит делать с системными процессами и утилитами, выполняющими низкоуровневые операции. Перепрошивка BIOS/UEFI, изменение разметки диска, выравнивание разделов и другие подобные операции лучше не прерывать.
Обычно в заголовке каждого окна указано название породившего его приложения, но бывает, что они остаются безымянными. Это особенно характерно для троянов, которые имитируют работу известных программ или маленьких диалоговых окон с кодами ошибок. В Process Explorer есть удобная функция «найти процесс по окну». Достаточно нажать эту кнопку на верхней панели и, удерживая левую клавишу мыши, перенести курсор в область странного окна. В таблице PE автоматически выделится соответствующий ему процесс.
Работа тестового трояна приостановлена через Process Explorer
Чтобы воспользоваться всеми функциями Process Explorer, потребуется запустить его с правами администратора и (в отдельных случаях) установить Debugging Tools for Windows. Их можно либо загрузить в составе Windows Driver Kit. Последнюю версию Process Explorer можно скачать с сайта Microsoft.
Unlocker
Без сомнений, Марк Руссинович — настоящий гуру среди авторов системных утилит для Windows, но его программы создавались как универсальные инструменты. Иногда стоит воспользоваться более узкоспециализированными средствами. Такими, как творение французского программиста Седрика Коллома (Cedrick Collomb). Его крохотная утилита Unlocker умеет делать только одно: разблокировать занятый каким-либо процессом объект файловой системы, чтобы вернуть контроль над ним. Хоть последняя версия вышла в 2013 году, программа до сих пор выполняет свои функции лучше всех аналогов. Например, она позволяет выгружать из памяти динамические библиотеки, удалять файл index.dat, работать с запрещенными в Windows именами файлов и выполнять большинство действий без перезагрузки.
Какой-то процесс блокирует удаление Safari
Unloker определяет дескрипторы запущенных процессов, которые в данный момент блокируют работу с нужным файлом или каталогом. Такая блокировка требуется для исключения взаимных влияний приложений в многозадачной среде. При нормальном функционировании ОС и программ она исключает случайное удаление используемых файлов, но иногда бывают ошибки. В результате одной из них приложение может зависнуть либо остаться в памяти после закрытия окна. Тогда объект файловой системы может оставаться заблокированным и после того, как в этом исчезнет необходимость.
Сегодня список активных процессов у рядового пользователя начинается от полусотни, поэтому искать среди них зомби можно долго. Unlocker помогает сразу определить, какой процесс блокирует изменение или удаление выбранного файла или каталога. Даже если он не сможет это выяснить из-за ограничений Win32 API, то предложит принудительно выполнить желаемое действие: переименовать, переместить или удалить объект.
Unlocker не нашел причину блокировки, но может удалить непокорный файл
Иногда сразу несколько программ могут обращаться к одному каталогу, поэтому среди блокирующих его процессов определяются сразу несколько дескрипторов. В Unlocker есть возможность отменить блокировку всех одной кнопкой.
Начиная с версии 1.9.0 поддерживаются 64-битные версии Windows. Утилита может быть интегрирована в контекстное меню проводника или запускаться в графическом режиме как переносимое приложение. Можно также установить Unlocker Assistant. Он будет висеть в трее и автоматически вызывать Unlocker всякий раз, когда пользователь пытается выполнить манипуляции с заблокированным файлом. Запуск с ключом `-h` выведет справку о режиме командной строки. Утилита доступна на сорока языках, хотя особо переводить в ней нечего — все и так интуитивно понятно.
AVZ
Глядя на список возможностей утилиты AVZ, хочется назвать ее аналитической, а не антивирусной. У крохотной программы Олега Зайцева есть множество незаменимых функций, которые облегчают повседневные задачи админа и жизнь продвинутого пользователя. Она поможет выполнить исследование системы, восстановить сбившиеся настройки встроенных компонентов ОС до принятых по умолчанию, обнаружить любые изменения с момента прошлого аудита, найти потенциальные проблемы безопасности, удалить из SPI Winsock троянские компоненты и восстановить подключение к интернету, выявить странное поведение программ и обнаружить руткиты уровня ядра.
AVZ содержит множество инструментов анализа системы
Известные зловреды лучше удалять с помощью других антивирусных сканеров. AVZ пригодится для борьбы с неизвестным злом, поиска дыр, через которые оно может просочиться, и устранения последствий заражения. В большинстве случаев AVZ позволяет обойтись без переустановки ОС даже после тяжелой вирусной атаки.
Использовать AVZ можно как портативное приложение, но полный набор функций утилиты раскроется лишь в том случае, если установить AVZPM — собственный драйвер режима ядра. Он контролирует все модули, драйверы и активные приложения, позволяя легко выявлять маскирующиеся процессы и любые технологии подмены их идентификаторов.
AVZGuard — еще один драйвер режима ядра, который можно активировать из меню AVZ. Он разграничивает доступ активных процессов, подавляя антиантивирусную активность на зараженном компьютере. Такой подход позволяет запустить из окна AVZ любое приложение (в том числе другой антивирус) в защищенном режиме.
Одной из хитрых технологий противодействия у вредоносных программ остается метод блокировки своих файлов и воссоздания удаляемых антивирусом элементов при следующей загрузке ОС. Вручную она частично обходится с помощью Unlocker, но у AVZ есть своя технология — Boot Cleaner. Это другой драйвер режима ядра, который расширяет возможности встроенной в Windows функции отложенного удаления при перезапуске. Он загружается раньше, протоколирует результаты работы и может удалять записи реестра, равно как и файлы.
Сам антивирусный сканер AVZ тоже имеет множество ноу-хау. Он способен проверять альтернативные потоки NTFS и ускорять проверку за счет исключения из нее файлов, опознанных как безопасные по каталогу Microsoft или собственной базе. Все угрозы можно искать по определенным типам — например, сразу исключить категорию HackTool. Есть отдельные модули для поиска клавиатурных перехватчиков, открытых троянскими конями портов и поведенческого анализа. AVZ позволяет копировать подозрительные и удаляемые файлы в отдельные папки для их последующего детального изучения.
Создание детального протокола исследования в AVZ
Требование присылать отчеты AVZ и его модуля «Исследование системы» стали стандартной практикой на многих форумах вирусологов, куда обращаются за помощью в решении нетривиальных проблем.
Разумеется, аптечка опытного админа может насчитывать не один десяток программ, но для решения большей части задач хватит и этих четырех утилит. Остальные ты легко найдешь в подборках по указанным в статье ссылкам.
WWW
Полный архив системных утилит SysInternals — 73 программы live.sysinternals.com/Files/SysinternalsSuite.zip Полный архив системных утилит NirSoft — 56 программ www.nirsoft.net/system_tools.html Сайт разработчика AVZ z-oleg.com
WARNING!
Использование системных утилит требует понимания логики их работы и устройства самой ОС. Ознакомься со справкой прежде, чем вносить изменения в реестр и вмешиваться в работу активных процессов.
Впервые опубликовано в журнале Хакер #197. Автор: 84ckf1r3
Подпишись на «Хакер»
- Материалы сайта
- Бумажный вариант
- «Хакер» на iOS/iPad
- «Хакер» на Android
