2005年8月24日-在此问题中:

  1. 简介
  2. 来宾编辑
  3. SYSINTERNALS 上的新增功能
  4. SYSINTERNALS 论坛
  5. 标记的博客
  6. 标记的文章
  7. MARK 的说话计划
  8. 即将推出的 SYSINTERNALS/WINDOWS OS 内部培训

Winternals Software 是高级系统工具的领先开发人员和提供程序,用于 Windows。

Winternals 很高兴地宣布推出两个新产品。 管理员的 Pak 5.0 使你可以比以往更轻松地使用新工具(例如自动崩溃分析器、AD 资源管理器和 AD 内部)修复不稳定、无法启动或锁定的系统,提供 AD 事务的实时监视。 另外,新增功能恢复管理器2.0,为任务关键型服务器、桌面和笔记本提供可自定义、功能强大且非常快速的回滚,以便在整个企业内同时远程还原单个系统或数千个系统。

若要获取完整的产品详细信息、多媒体演示、网络研讨会或请求试用版产品的试用版,请访问 http://www.winternals.com

简介

大家好,

欢迎使用 Sysinternals 新闻稿。 新闻稿当前包含55000个订阅者。

对 Sysinternals 网站的访问一直在不断攀升! 在7月,我们有超过900000的独特访问者。 该月最常访问的工具是进程资源管理器,275000下载! 由于我经常更新工具,因此请确保使用的是最新版本。 若要及时了解所做的更改,最佳方法是在 (订阅 RSS 源, http://www.sysinternals.com/sysinternals.xml 如果尚未使用 rss 来跟上网站,则需要开始! ) 。

在此问题中,Wes 莎莎是 Winternals Software 的产品经理,分享了他在以非管理员身份运行时的体验。我们都假设我们应该这样做,但很少有计算机专业人员实际上会 preach 自己的) (。 或许我很快就会开始 .。。

--Mark Russinovich

来宾编辑

Wes 莎莎的非管理员生活

这种情况的可能性是,您是本地管理员。 不幸的是,大多数运行 Windows XP 的用户都 (NT 和 2000) 以本地管理员身份运行,因为它需要大量工作来确保企业中的所有应用程序和方案在无需用户的情况下正常工作-因此 .。。我们采用简单的方法,让世界各地的管理员。 这并不好。

因此,我最近决定以普通用户身份 (超级用户身份运行,因为它具有可允许提升权限的权限,并成为 Administrators 组) 成员的权限,因此它并不是要使用的安全帐户。

我的第一个想法是使用精彩 Windows XP 快速用户切换功能;我可以登录到我的非管理员帐户和管理员帐户,只需在会话之间来回切换。 但遗憾的是,当您加入域时,该功能不可用, (业务用户) 。

我的第二个想法是使用 RunAs,但它 (或定义为使用备用凭据) 的快捷方式始终提示输入用户名和密码。 这也是不可接受的,因为我不希望每次运行需要管理员权限的应用程序时都手动输入管理凭据。

因此,由于我已使用 Sysinternals 工具多年,因此,如果我不是管理员,则需要标记 Russinovich 来使 PsExec 工作。如果 PsExec 不能开箱即用,它会安装一个小型服务,然后执行工作;安装该服务需要管理员凭据,当然,这不能通过我的非管理员帐户工作。

将谨慎标记为增强的 PsExec,以便现在如果指定备用凭据,并在本地系统上运行进程,则 PsExec 会将进程创建为具有备用凭据 (的子进程,并且不再创建用于创建子进程) 的服务。

这样,我就可以设置快捷方式以使用 PsExec 来启动我最喜欢的管理应用程序以启动该过程。

Ah,但 PsExec (和 RunAs) 无法运行 *.cpl*.msc 文件,至少不能直接从命令行中运行。 可能延迟,因为我想要一些无缝的内容,我创建了一个小的 WSH 脚本,该脚本将使用任何 exe、特定文件打开,并将其命名为 run.vbs。 现在,我只需 run.vbs,只需打开 (MMC 控制台或控制面板小程序) 的,就能实现完美的无缝处理。 下面是我在 WSH 脚本中运行的命令行:

psexec.exe -d -i -e -u Administrator -p password cmd /c start
executable | file | parameters

我无法克服的最重要的22's 之一是安装必须以特定用户身份安装的软件。 最佳 (最差? ) 我看到的这一示例是刚刚引入的 Google Desktop。 你必须是管理员才能安装 (当然) ,如果你尝试使用 RunAs 或 PsExec 返回消息,则必须是管理员才能阻止安装("当前不支持活动用户,则安装 Google Desktop 时不受支持)"。除了有助于减少其测试矩阵这一事实以外,我并不是真正的原因。 若要避免出现这种情况,请先以管理员身份启动命令提示符,将自己添加到 "管理员" 组,使用 "PsExec" 自行运行命令提示符, (因为资源管理器已) 的组成员身份,并再次运行。 工作正常。 完成后,我再次将其删除。

不,不是非常简单,但它意味着我的帐户只是管理员组的成员,并且不需要注销。

请注意,我没有将 DropMyRights 作为保护系统的一项技术进行链接,不相信它是。 以非管理员身份运行保护系统。 有选择地以非管理员身份运行危险应用-这可能会降低风险,但我并不认为这是一种应该建议的做法。

若要将其全部求和,将管理员帐户切换为用户帐户以供日常使用,你可以执行此操作来减少你使用 Windows 系统公开的攻击面。 我鼓励您尝试一下并记录您的经验。

SYSINTERNALS 上的新增功能

自4月以来,许多工具都已更新。 最大的增强功能是进程资源管理器和 Autoruns.exe。 下面是工具的更改的详细列表:

进程资源管理器 V 9.25

  • 统一32位和64位 (x64) 二进制
  • 支持 Windows Vista
  • 现在显示64位用户和内核模式堆栈信息
  • 列出64位系统上用于32位 (Wow64) 进程的32位加载的 Dll
  • 内存中的图像字符串扫描和打包的图像突出显示
  • 处理窗口操作 (最小化、最大化等)
  • 有关签名映像的信息的新列选项
  • 用于在任务栏图标中显示实时 CPU 图形的选项
  • CPU graph 和 i/o delta 列到进程视图
  • 查看和编辑进程安全描述符 (参阅进程属性的 "安全" 选项卡)

PsTools v2。0

  • PsShutdown 包含用于指定通知对话框显示或完全省略对话框的持续时间的-v 开关
  • 对于 csv 输出,PsLoglist 具有时间格式设置修复
  • PsInfo 现在显示完整的修补程序信息,包括 IE 修补程序
  • 当你在本地系统上运行命令时,PsExec 现在的工作方式类似于 Runas,这允许你从非管理员帐户运行命令并编写密码条目脚本

Filemon v 备份

  • 如果帐户没有运行 Filemon 或 Filemon 所需的特权,则更清晰的错误消息已在运行
  • 将32位和 64 (x64) 版本合并为单个二进制文件

Autoruns.exe v 8.13

  • 现在,其他自动启动类型分隔到主窗口的不同选项卡上
  • 新的 "所有内容" 视图,为你提供了所有已配置 autostarts 的快速视图
  • 新的自动启动位置,包括 KnownDLLs、映像文件劫持、启动执行映像和更多资源管理器以及 Internet Explorer 外接程序位置
  • 显示有关映像的详细信息
  • 支持64位 Windows XP 和 64 Windows 服务器2003
  • 与进程资源管理器集成,以显示正在运行的 autostart 进程的详细信息

DebugView v 4.41

  • 现在会在 x64 版本的64位 Windows 上捕获内核模式调试输出,并支持在时钟时间和运行时间模式间切换

处理3.1 版

  • 单个可执行文件同时支持32位 Windows 和 x64 Windows XP 和 Windows Server 2003

RootkitRevealer v 1.55

  • 更复杂的 rootkit 检测机制,为 rootkit 社区设置下一轮升级的阶段

Ctrl2cap 64 位更新

  • Ctrl2cap 现在适用于64位 Windows XP 和 Windows Server 2003

TCPView 2。4

  • Sysinternals Whois 实用工具的域名查找功能现在可在 TCPView 中使用。

SYSINTERNALS 论坛

请访问14个交互式 Sysinternals 论坛之一 (http://www.sysinternals.com/Forum). 超过 1500 个成员,到目前为止,945 个不同主题中已发布 2574 篇帖子。

MARK 的博客

我的博客从上一篇新闻稿开始 - 下面是自上次新闻稿以来的文章:

  • 不可支持的进程
  • 在Windows服务上运行服务
  • 定期系统挂起案例
  • Popup 阻止程序? 什么 Popup 阻止程序?
  • 审核记录的激增
  • Regmon 跟踪中的缓冲区溢出
  • 缓冲区溢出
  • 每天在 64 位Windows
  • 规避组策略 设置
  • "打开锁定文件"的大小写
  • .NET World 跟进
  • 即将到的 .NET World - 我

若要阅读文章,请访问 http://www.sysinternals.com/blog

MARK 的文章

Mark 在 Windows it Pro 杂志中的最新文章有:

  • "Unearthing Rootkits" (2005 年 6 月)
  • Power Tools 列:利用 Bginfo

订阅者可在线访问这些订阅者 http://www.windowsitpro.com/

MARK 的说话计划

在阿姆斯特丹和阿姆斯特丹的 Microsoft TechEd 上进行了高度评价的讲座后,我享受了一个静默的夏。 我的 TechEd 且能够解决恶意软件:病毒、间谍软件和 Rootkit 问题,是 TechEd 上排名前 10 的会话之一,由超过 1000 位 TechEd 参与者和 300 多个 Web 观看者实时观看。 可以在 http://msevents.microsoft.com/cui/eventdetailaspx?eventID=1032274949& Culture=en- US 上观看点播视频

我将在即将开始的几个月中讲话的事件包括:

  • Windows连接 (2005 年 11 月 2 日,加利福尼亚州旧金山) -http://www.devconnections.com/shows/winfall2005/default.asp?s=61
  • Microsoft 2005 Professional 开发人员会议 (2005 年 9 月 11 日洛杉矶会议预) -http://commnet.microsoftpdc.com/content/precons.aspx#PRE07
  • Microsoft IT 论坛 (2005 年 11 月 14-18 日,西班牙) - http://www.mseventseurope.com/msitforum/05/Pre/Content/PreWindows.aspx

有关最新更新,请参阅 http://www.sysinternals.com/Information/SpeakingSchedule.html

2005 年的最后一个公共内部机制/故障排除类:旧金山 9 月 19 日至 23 日

如果你是一名 IT 专业人员,Windows服务器和工作站进行部署和支持,则需要能够在出现问题时在表面下挖掘。 了解操作系统的内部Windows并了解如何使用高级故障排除工具将有助于你处理此类问题并更有效地了解系统性能问题。 了解内部机制可帮助程序员更好地利用 Windows 平台,并提供高级调试技术。

在此类中,你将深入了解 Windows NT/2000/XP/2003 的内核体系结构,包括进程的内部机制、线程计划、内存管理、I/O、服务、安全性、注册表和启动过程。 此外,还包括高级故障排除技术,例如恶意软件攻击、故障转储 (蓝屏) 分析,以及获取过去的启动问题。 你还将了解有关使用www.sysinternals.com (中的关键工具(如 Filemon、Regmon、进程资源管理器) )排查一系列系统和应用程序问题(例如计算机速度缓慢、病毒检测、DLL 冲突、权限问题和注册表问题)的高级提示。 这些工具由 Microsoft 产品支持人员每日使用,并有效地用于解决各种桌面和服务器问题,因此熟悉其操作和应用程序将有助于你处理 Windows 上的不同问题。 将给出真实示例,展示成功应用这些工具来解决实际问题。 由于本课程是使用完全访问权限开发Windows内核源代码 AND 开发人员的,因此你知道自己正在获取真实信息。

如果听起来有点不解,请参加我们最后一次公开实践的 (自带笔记本电脑) Windows internals 高级故障排除课程(2006 年 9 月 19 日至 23 日 (我们在 2006 年 9 月 19 日-23 日的计划尚未完成,但可能包括 Ing in the spring、London in june 和 San Francisco in & 2006) ( 2006 年 9 月)。 如果有 20 个或 20 多个人员,你可能会发现,在你的位置运行专用站点类更具有吸引力, (电子邮件seminars@...有关详细信息,) 。

有关更多详细信息和注册,请访问 http://www.sysinternals.com/Troubleshooting.html


感谢你阅读 Sysinternals 新闻稿。

发布时间:2005 年 8 月 24 日,星期三下午 4:34,由 ottoh 发布

[新闻稿存档 ^][ 第 7 卷 ,特别公告][第 8 卷,编号 1 ]

[新闻稿存档 ^][ 第 7 卷 ,特别公告][第 8 卷,编号 1 ]

系统内部信息新闻稿第 7 卷,第 2 号

http://www.sysinternals.com
版权所有 (C) 2005 Mark Russin中