23 juni 2003 – I det här problemet:

  1. REDAKTIONELLA

  2. VAD ÄR NYTT PÅ SYSINTERNALS

    • Filemon v6.06, Regmon v6.06
    • PsPassword v1.01
    • PsLoglist v2.3
    • AccessEnum v1.0
    • Process Explorer v6.03
  3. INFORMATION OM INTERNT

    • PsExec- del av Deloader Worm
    • Använda PsTools för att orsaka problem
    • Microsoft-dokument NtQuerySystemInformation (typ av)
  4. INTERN TRÄNING

    • Special för sommarvideo
    • Microsoft TechEd Europe
    • Nästa offentliga Windows internals-klass

Nyhetsbrevet Sysinternals är sponsrat av Winternals Software, på webben på http://www.winternals.com. Undertidsprogramvaran är den ledande utvecklaren och leverantören av avancerade systemverktyg för Windows NT/2K/XP.

Vi är glada över att kunna meddela att administrator's Firmware 4.0 har släppts med en omfattande uppdatering av vår produkt, ERD Commander 2003. Nya funktioner i ERD Commander 2003 är: FileRestore, för återställning av borttagna filer; möjlighet att använda Windows XP systemåterställningspunkter för att återställa system som inte kan startas, Disk Commander, för MBR-reparation (Master Boot Record) och borttagning av data även från borttagna volymer. och ett diagnostikverktyg för systemjämföring för att jämföra system- och konfigurationsfiler i ett död system med fungerande system. Om du vill begära en utvärderingsversion går du till http://www.winternals.com/sn

REDAKTIONELLA

Hej!

Välkommen till Sysinternals nyhetsbrev. Nyhetsbrevet har för närvarande 36 000 prenumeranter.

Slutligen gjorde jag det. Jag växlade från Internet Explorer till Mozilla ( http://www.mozilla.org ). Bryce Cogswell (min sysinternals ochkvinnare) har använt Mozilla i ett par år nu och han uppdaterar mig regelbundet om alla coola funktioner som IE inte har. Oftast kan du, i stället för att öppna nya sidor i separata fönster, öppna dem på sidor med flikar i samma webbläsarfönster. Om du har flera sidor som du vill att webbläsaren ska öppna när du startar den kan du skapa en grupp med flikar i startgruppen.

IE har en global inställning för att komma ihåg lösenord för webbsidor, men med Mozilla kan du ange webbsidor som du vill att den ska komma ihåg lösenord för och du kan använda lösenordshanteraren för att ta bort ihågkommet lösenord när som helst. Lägg till en inbyggd hämtningshanterare, integrerad e-postklient (som jag inte använder), flera profiler, ett inbyggt chattprogram, integrering med populära sökmotorer och avståndet mellan Mozilla och IE börjar se imponerande ut.

Mozilla kommer dock verkligen till sin rätt när det gäller att göra webbplatser mer intressanta. Den innehåller en inbyggd popup-hanterare där du kan konfigurera popup-filtrering för varje plats om du vill. Den har en cookiehanterare som du använder för att blockera cookies, även efter webbplats om du vill, och för att visa de cookies som har släppts i systemet. Du kan också konfigurera Mozillas beteende när det gäller bilder. De flesta webbplatser som har skadliga banderoller hämtar de grafiska filerna från externa sponsringswebbplatser och du kan konfigurera Mozilla att ignorera externa bilder, återigen, plats för plats om du vill. Slutligen är Mozillas stöd för skalning en bra visuell touch, med många hudar som är tillgängliga fritt.

Jag är säker på att det här låter som en försäljningsdegument, men det är det inte. Det är mer en kommentar om vad bristen på konkurrens gör med ett produktsegment. Varför har inte IE funktioner som cookiehantering och popup-blockering som konsumenter måste spendera pengar på när Mozilla inkluderar dessa funktioner och mer kostnadsfritt? Varför har IE ändrats så lite mellan version 5 och 6 och varför har den inte uppdaterats på två år? De flesta konsumenter använder den programvara som de har på sina datorer och läser inte nyhetsgrupper med öppen källkod eller besöker Slashdot.org, så de vet inte att det finns bättre, fritt tillgängliga alternativ. Microsoft och Netscape gjorde webbläsare fria i konkurrensen om att dominerande marknaden för webbserverprogram, så det finns inga ekonomiska fördelar med att Microsoft förbättrar IE – de förlorar inte några pengar när en power-användare som jag byter till Mozilla.

Du kan se samma effekt även i Microsofts tilläggsprogram. Jag använde Eudora som e-postklient, men för ungefär två år sedan växlade jag till Outlook. Det verkade som om alla använde Outlook och jag ville dra nytta av dess kalenderfunktion. Jag upptäckte omedelbart ett antal små retanser. Du kan till exempel konfigurera Eudora att lämna e-post i en viss storlek på servern, vilket är användbart när du är inringd på 25 kB på ett hotell. Outlook har en liknande funktion, men Eudora laddar ned de första raderna med meddelandetext så att du ser vad e-postmeddelandet handlar om och använder informationen för att avgöra om en lång nedladdning ska gå ut eller inte. Outlook gör det inte.

Jag kan fortsätta, men du har fått mitt meddelande nu och kan förmodligen lägga till en lista över dina egna anekdoter. Den nedre linjen är att konkurrensen är bra för datorkonsumenten. Kanske kommer IE "Longila" att bli mozilla borta?

Skicka nyhetsbrevet till vänner som du tror kan vara intresserade av innehållet.

Tack!

-Mark

VAD ÄR NYTT PÅ SYSINTERNALS

FILEMON V6.06, REGMON V6.06

Filemon och Regmon har hoppat över två fullständiga versionsnummer på mindre än sex månader. Den senaste större uppdateringen innehåller förbättringar som gör dem enklare att använda och deras visning mer informativ.

När du kör de nya versionerna ser du omedelbart att processikonerna visas i processkolumnen, vilket ger dig en visuell ledtråd om vilket program som är associerat med den I/O som visas. Om du vill ha detaljerad information om en process, inklusive versionsinformation, fullständig sökväg och kommandorad, högerklickar du på en rad med processens I/O och väljer Processegenskaper.

I vissa fall kanske du inte ser en lämplig ikon för en process och får en feldialogruta när du försöker visa dess egenskaper. Detta resulterar när en process startar och avslutas innan användargränssnittet har möjlighet att komma åt processen och hämta dess sökväg.

När du öppnar snabbmenyn visas även poster som gör att du kan lägga till processen eller sökvägen till filtret Inkludera eller Exkludera. Om du väljer att använda ett nytt filter får du en ny uppmaning som frågar om du vill tillämpa det nya filtret på insamlade utdata. På så sätt kan du snabbt trimma utdata till bara den information du är intresserad av, utan att behöva spara utdata och läsa in dem i ett kalkylblad för efterbearbetning.

En annan förbättring är möjligheten att läsa in sparade loggfiler tillbaka till skärmen. Den här funktionen, tillsammans med de nya filtreringsfunktionerna och markeringarna, gör verktygen flexibla vid problemanalys efter fel.

Ladda ned Filemon v6.06 på
http://www.sysinternals.com/ntw2k/source/filemon.shtml
Ladda ned Regmon v6.06 på
http://www.sysinternals.com/ntw2k/source/regmon.shtml

PSPASSWORD V1.01

Det här senaste tillägget i PsTools-sviten ger det totala antalet paketerade kommandoradsverktyg med fjärrstyrning som utgör sviten till 12. Många systemadministratörer, inklusive de som finns på Undervings, det företag som jag har samarbetat med, ändrar regelbundet de lokala administrativa lösenorden för de klientdatorer som de hanterar. Det finns inget inbyggt sätt att fjärrstyra lokala lösenord, vilket är PsPasswords syfte. Du kan använda den för att ändra lokala (eller domän) lösenord på en fjärrdator. Om du lägger till det i ett skript eller en batchfil som kör det mot en lista med datorer är det ett perfekt verktyg för masslösenordsbyte.

Hämta PsPassword v1.01 på
http://www.sysinternals.com/ntw2k/freeware/pspasswd.shtml
Ladda ned hela PsTools-paketet på
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

PSLOGLIST V2.3

PsLoglist är ett av de många Sysinternals-verktyg som jag ofta får funktionsförfrågningar för. Förbättringarna i version 2.3 återspeglar användarindata. Området med störst förbättring är filtrering. PsLoglist har nya växlar som gör att du kan begränsa de händelseposter som visas till endast de som matchar ett angivet händelse-ID eller som har en angiven händelsekälla, till exempel IIS. I tidigare versioner godkändes endast en händelsetyp i filtret av händelsetyp, men nu kan du ange flera typer. Om du till exempel vill se alla fel och varningar använder du en kommandorad som liknar följande: psloglist -t f w .

Ladda ned PsLoglist v2.3 på
http://www.sysinternals.com/ntw2k/freeware/psloglist.shtml
Ladda ned hela PsTools-paketet på
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

ACCESSENUM V1.0

Den omfattande behörighetsmodellen som används av NTFS ger utmärkt flexibilitet. Med den flexibiliteten kommer potentialen för komplexitet och felkonfigurerad säkerhet. Tyvärr finns det inga inbyggda verktyg som gör det enkelt att hantera säkerheten mellan kataloger och filer. Även om kommandoradsverktyget cacls har rätt idé, gör det faktum att det är ett kommandoradsverktyg dess utdata svåra att parsa. Det är där AccessEnum kommer in. AccessEnum ger dig en lätt att förstå vy över fil- och katalogbehörigheter för hela katalogträd. Med AccessEnum kan du enkelt upptäcka behörighetsproblem.

När du kör AccessEnum anger du en katalog och AccessEnum visar vilka användare som har vilken åtkomst till katalogen, om tillämpligt, filerna och katalogerna under katalogen. Som standard visar AccessEnum endast en katalog om behörigheterna i katalogen skiljer sig från den överordnade katalogens, och den visar endast filer om filens behörigheter är mer överordnat än dess överordnade katalog. Om du vill kan du använda dialogrutan Alternativ för att få AccessEnum-visningsfiler om deras behörigheter skiljer sig från dess överordnade katalog.

Hämta AccessEnum v1.0 på
http://www.sysinternals.com/ntw2k/source/accessenum.shtml

PROCESS EXPLORER V6.03

Processutforskaren är ett processvisnings- och kontrollverktyg som Aktivitetshanteraren lämnar. I processutforskaren finns en omfattande lista med funktioner som visar trädet för att skapa processer, referenser som processer har öppna, listor över DLL:er (och andra minnesmappade filer) som processer har lästs in och gör att du kan söka efter den process eller de processer där en viss fil har öppnats.

De viktigaste förbättringarna i version 6.0 avser visningskolumner. Fram till den här versionen fanns det ingen konfigurering av kolumner, så jag valde noggrant vilka kolumner som ska visas för att maximera det begränsade tillgängliga utrymmet. Detta begränsade de data som du kunde se utan att öppna en egenskapsdialogruta som jag anser vara mest universellt användbar.

Precis som med Aktivitetshanteraren kan du använda vyn| Välj menyalternativet Kolumner för att välja vilka kolumner du vill se i var och en av de tre vyerna, processen, referensen och DLL-filen. Du kan också dra kolumner för att ordna om dem. Förutom att du kan anpassa visningen efter behov finns det många fler kolumnval. Processvyn stöder till exempel kolumnval som Aktivitetshanteraren gör samt andra användbara som processavbildningssökväg, kommandorad, versionsnummer och företagsnamn.

I tidigare versioner uppdaterade Processutforskaren visningen synkront, vilket innebär att det kan finnas tidsperioder då användargränssnittet slutar svara, särskilt när du har hanterat en aktiv och vald process med tusentals referenser. Version 6.0 introducerar asynkrona uppdateringar av alla tre vyerna, vilket gör att användargränssnittet alltid svarar och Processutforskaren verkar vara smidigare.

En kraftfull funktion som jag var först med i en tidigare version av Processutforskaren är skillnad på markeringar, där nya objekt i visningen markeras i grönt och borttagna objekt i rött. Jag har utökat funktionen så att uppdateringsmarkeringen i version 6.0, såvida du inte har pausat visningen, varar i 4 sekunder, vilket gör det enklare att upptäcka ändringar (i pausat läge finns markeringen kvar till nästa manuella uppdatering).

Att veta vilka tjänster som körs i en process är en av funktionerna i processutforskarens processvy. Du kan välja att markera tjänstvärdprocesser genom att välja Alternativ| Markera Tjänster. Om du visar egenskaperna för en tjänstvärdprocess finns det ytterligare en flik med titeln Tjänster som visar en lista över tjänster som körs i processen, inklusive deras tjänst- och visningsnamn. På Win2K och senare visar Process Explorer nu även beskrivningen av en tjänst som du väljer i tjänstlistan om tjänstens utvecklare har angett en sådan. Den här ytterligare informationen gör det enklare att identifiera tjänster med Processutforskaren än något annat verktyg (till exempel Tlist /s eller det nya tasklist/svc-kommandot i XP och 2003).

Några mindre förbättringar är att när du sparar sparar processutforskaren nu innehållet i både processvyn och den nedre vyn (referens eller DLL), i stället för bara den nedre vyn. Nu finns det också ett alternativ för att minimera till fack så att du kan ha Process Explorer till hands.

Ladda ned Process Explorer v6.03 på
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Här är den senaste installationen av Sysinternals-referenser i Microsoft Knowledge Base (KB) som släppts sedan det senaste nyhetsbrevet. Detta ger 41 det totala antalet KB-referenser till Sysinternals.

  • ACC2002: Felmeddelande: ActiveX-komponenten kan inte skapa objekthttp://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B319844

  • KORRIGERING: Långsamma prestanda när utvärdering av webbläsarfunktioner tas bort från cachen http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B819612

  • HOW TO: Troubleshoot Site Deployment Issues in Microsoft Content Management Server 2002 (Så här felsöker du problem med platsdistribution i Microsoft Content Management Server 2002) http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B814774

  • PSVR2002: Felmeddelandet "Det finns ingen information att visa i den här vyn" visas när du försöker komma åt en Project vyhttp://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B810596

INFORMATION OM INTERNT

PSEXEC-DEL AV DELOADER WORM

PsExec, ett verktyg som gör att du kan köra processer på fjärrsystem som du har administratörsåtkomst till, har kommit till flera maskar, framför allt Deloader ( ), som träffar Internet i http://www.f-secure.com/v-descs/deloader.shtml vår. Jag har fått ett antal e-postmeddelanden från användare som inte är bekanta med Sysinternals som, eftersom de såg mitt namn i banderollen som PsExec visar när den körs, kommer jag att försöka hacka deras system.

Det är tyvärr så att folk har valt att använda Sysinternals-programvara på ett skadligt sätt, men det finns inte mycket jag kan göra åt det. Ett viktigt faktum att komma ihåg är att en användare inte kan använda något av verktygen för att påverka ett fjärrsystem om inte det konto som användaren kör i har administratörsbehörighet på fjärrsystemet. Med dessa privilegier kan de göra vilken skada de vill på fjärrsystemet, utan att använda några verktyg: en rensar SystemRoot-katalogen för rmdir /s \\remotesystem\admin$ ett fjärrsystem.

När det gäller fjärrkörning av processer använder de andra verktyg om de inte använder PsExec. I själva verket har Windows Management Instrumentation, som är inbyggt i Windows 2000 och högre och är tillgängligt som ett tillägg till NT 4 och Windows 9x, ett fjärrprocesskörningsgränssnitt som tillhandahåller en delmängd av PsExecs funktioner.

ANVÄNDA PSTOOLS FÖR ATT ORSAKA PROBLEM

De flesta verktyg Bryce och jag publicerar på Sysinternals är främst avsedda för systemadministration och felsökning. Ett viktigt undantag är Sysinternals Bluescreen Screen Saver ( , som visar en äkta blå skärm med dödsfall och omstart som är specifik för den version av Windows NT där du kör den (den körs även på http://www.sysinternals.com/ntw2k/freeware/bluescreensaver) Windows 9x). Du kanske inte har insett att några av de andra verktygen på webbplatsen kan användas för att ha kul med kollegor på kontoret.

Det finns i synnerhet tre verktyg som gör det enkelt att vara kontorsanvändare: PsExec, PsKill och PsSuspend. Du kan använda dem för att fjärrstyra datorer så länge ditt konto har administrativ åtkomst till fjärrsystemet eller om du har åtkomst till ett konto som gör det.

Med PsExec kan du starta program i ett fjärrsystem, så ett enkelt sätt att få någon att göra det är att starta slumpmässiga program på konsolen. Om du vill köra Solitair på deras dator använder du en rad så här:

psexec \\remotesystem -i sol.exe

Växeln -i gör att PsExec startar processen på konsolen i stället för att starta den på det dolda tjänstedatorn. PsExec avslutas när användaren stänger Solitair-processen. Om du vill starta flera instanser för att överbelasta användaren använder du växeln så att PsExec avslutas utan att vänta på att -d processerna avslutas.

Det som är ännu lömare är att starta Bluescreen Screen Saver i systemet så att de tror att deras system har kraschat. Använd den här kommandoraden för att göra det:

psexec \\remotesystem -i -c "sysinternals bluescreen.scr" /s

Växeln -c kopierar den angivna filen till fjärrsystemet.

Om du vill orsaka fler problem kan du använda PsKill för att avsluta processer i systemet. En bra är Explorer, som alla har igång, som startas om automatiskt och som slumpmässigt kraschar under den vanliga åtgärden (för mig, ändå).

Slutligen, om du verkligen vill trassla med någon använder du PsSuspend för att pausa slumpmässiga processer i systemet under korta tidsperioder. Återigen kan de tro att det bara är normalt onormalt Windows beteende, men du vet bättre!

Ladda ned PsExec, PsKill och PsSuspend från
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

MICROSOFT DOCUMENTS NTQUERYSYSTEMINFORMATION (SORT OF)

Härom dagen jag följa upp MSDN-biblioteket i april 2003 och körde över en dokumentationssida för NtQuerySystemInformation . NtQuerySystemInformation är en del av det "interna" API:et som finns under en stor del av Win32-API:et och som används nästan uteslutande av systemprocesser som ingår i operativsystemet (du kan läsa om det interna API:et på http://www.sysinternals.com/ntw2k/info/ntdll.shtml). Vissa Sysinternals-verktyg använder API:erna för att få åtkomst till funktioner som inte exponeras av Win32, men den funktionen är endast relaterad till att hämta process- och trådinformation.

Jag blev därför överraskande att hitta och min första tanke var att Microsoft hade bestämt sig för att exponera några av de NtQuerySystemInformation användbara funktionerna som tillhandahålls av API:et. Att läsa dokumentationen övertygar mig annars. Alla beskrivna användningsområden för API:et tillhandahålls av väldefinierade Win32-API:er som dokumentationen rekommenderar starkt att du använder i stället, med början med -instruktionen överst i funktionsbeskrivningen som läser: "NtQuerySystemInformation är en intern Windows-funktion som hämtar olika typer av systeminformation. Eftersom den här funktionen kan ändras i framtida versioner av Windows bör du använda de alternativa funktioner som anges nedan."

I själva verket är vissa av användningsområdena i dokumentationen helt oanvändbara. Avsriptionen av API:ets variant säger till exempel att du får tillbaka en datastruktur som, i stället för att kunna använda samma sätt som Windows använder den, bör du behandla som en slumpmässig layout av byte och som du kan använda som ett slumpmässigt SYSTEM_PERFORMANCE_INFORMATION tal. Sedan säger den att du egentligen inte ska generera slumpmässiga tal med API:et, utan istället anropa den dokumenterade Win32-funktionen CryptGenRandom . Den nedre raden är att det egentligen inte finns någon användning de dokument som inte är mer tillförlitligt och enkelt tillhandahålls av Win32.

Jag noterade att den indelningsfil som de listar som innehåller den information som krävs för att använda API:et är i sdk:n. En sökning i MSDN-dokumentationen för filen visar mer av samma sak: dokumentation för ett fåtal interna API:er med lika oanvändbar användning eller funktioner som är bättre att komma åt via Win32. Själva huvudfilen visar inget som inte finns dokumenterat i SDK: n.

Så vad gör dessa oanvändbara API:er i MSDN och SDK? Jag antar att dess del av Microsofts efterlevnad av DOJ-medgivande innebär att Microsoft "dokumenterar" fler av de interna API:er som används av vissa av dess program. Här är en rad från dokumentationen för NtOpenFile som antyder att den endast innehåller juridiska syften: "NtOpenFile-dokumentationen tillhandahålls för att ge fullständig API-täckning".

På grund av bristen på användbar information och det faktum att jag är ganska säker på att alla Microsoft-program som använder klassen för API:et inte använder det för att bara få ett slumptal, undrar jag om dokumentationen för SYSTEM_PERFORMANCE_INFORMATION funktionerna i lakenl.h verkligen följer det juridiska direktiv som leder till att de tas med i NtQuerySystemInformation SDK:n.

Om du är intresserad av den fullständiga dokumentationen för och andra interna API:er kan du hämta en kopia av NtQuerySystemInformation "Inside Windows NT/2000 Native API Reference" ( http://www.amazon.com/exec/obidos/ASIN/1578701996/103-8560745-7945431 )

INTERN TRÄNING

SPECIALVIDEO FÖR SOMMAREN

KÖP: Inside Windows 2000 GET: XP/Server 2003 Update FREE

Nu kan du äga det ultimata träningspaketet för interna system med stora besparingar. När du under en begränsad tid köper den mycket populära videon INSIDE Windows 2000 till det rabatterade Internetpriset får du XP/Server 2003 UPDATE absolut KOSTNADSFRITT. Det är nästan 35 % rabatt på detaljhandelspriset.

Båda dessa utestående utbildningsverktyg används av Microsoft globalt för företagets utbildning. Enligt Rob Short, Vice President Core Technologies på Microsoft, "Dessa videor går in på detalj i plattformens kärna, samlar in dess tekniska kärna och presenterar den i ett kraftfullt interaktivt videoformat."

Kolla in produktinformationen eller ladda ned ett videoexempel på www.solsem.com. Vänta inte för länge. Dra nytta av det här begränsade tidserbjudandet nu!

MICROSOFT TECHED EUROPE 2003

Dave Tutorial ( och jag lärde en dag före konferensen självstudie på TechEd USA i Dallas för två veckor sedan med labbövningar som markerade användningen av http://www.solsem.com) Sysinternals-verktyg och en 15 minuters breakout-session som gick in på en liten delmängd av samma material. Båda var topprankade sessioner. Om du bor i Europa kanske du vill veta att vi gör ännu mer på TechEd Europe nästa vecka.

TechEd Europe hålls i November från 30 juni till och med 4 juli. Dave och jag listas återigen som "de främsta talarna" ( och undervisar gemensamt en dag före konferensen ( om felsökning av Windows-process, minne och kraschproblem (utan labb) och fyra andra sessioner som omfattar: En genomgång av http://www.microsoft.com/europe/teched/Speakers.asp)http://www.microsoft.com/europe/teched/PreConfWinInt.asp) Sysinternals-verktyg, felsökning med Sysinternals-verktyg, Windows Crash Dump Analysis och Windows XP och Server 2003 Kernel Changes.

Du hittar fullständiga beskrivningar och registreringsinformation på
http://www.microsoft.com/europe/teched/home.asp
Vi hoppas att se dig i Spanien!

NÄSTA OFFENTLIGA WINDOWS-INTERNA AVANCERAD & FELSÖKNINGSKLASS

Vår nästa 3 dagars offentliga Windows Internals Advanced Troubleshooting-klass planeras till september i New York City (och om du inte kan vänta är registreringar i sista minuten fortfarande möjliga för vår London-klass som börjar den här veckan den & 25 juni!). Håll ögonen öppna www.sysinternals.com för datum och registreringsinformation.


Tack för att du läser Sysinternals Nyhetsbrev.

Publicerad måndag 23 juni 2003 16:46 av mh

[Nyhetsbrevsarkiv ^][ Volym 5, Nummer 1][Volym 6, Nummer 1 ]

[Nyhetsbrevsarkiv ^][ Volym 5, Nummer 1][Volym 6, Nummer 1 ]

System Internals Newsletter Volym 5, nummer 2

http://www.sysinternals.com
Copyright (C) 2003 Mark Russinovich