2003年6月23日-在此問題中:

  1. 編輯

  2. SYSINTERNALS 的新功能

    • Filemon v 6.06、Regmon v 6.06
    • PsPassword 1.01 版
    • PsLoglist 2.3 版
    • AccessEnum v1。0
    • Process Explorer v 6.03
  3. 內部資訊

    • Deloader 蠕蟲的 PsExec 部分
    • 使用 PsTools 來引發問題
    • Microsoft 檔 NtQuerySystemInformation (排序)
  4. 內部訓練

    • 夏季的特殊影片
    • Microsoft TechEd 歐洲
    • Next public Windows 內部類別

Sysinternals 電子報是由 Winternals Software 贊助,網址為: http://www.winternals.com. Winternals Software 是 advanced systems tools for Windows NT 的領導開發人員和提供者/2K/XP。

Winternals 很高興宣佈發行系統管理員的 Pak 4.0,並全面更新我們的旗艦產品 ERD Commander 2003。 ERD Commander 2003 中的新功能包括: FileRestore,用來復原已刪除的檔案;能夠使用 Windows XP 系統還原點來復原無法開機的系統;磁片,用於主開機記錄 (MBR) 修復和搶救資料(即使是從已刪除的磁片區);和「系統比較」的診斷工具,可將死系統上的系統和設定檔與工作系統進行比較。 若要要求試用版,請造訪 http://www.winternals.com/sn

編輯

大家好,

歡迎使用 Sysinternals 電子報。 這份電子報目前有36000的訂閱者。

我終於這麼做了。 我從 Internet Explorer 切換至 Mozilla (http://www.mozilla.org) 。 Bryce Cogswell (我的 Sysinternals 和 Winternals 創始人之一) 一直都是使用 Mozilla 多年來,他會定期更新我的 IE 所沒有的所有酷炫功能。 很明顯地,您可以在相同的瀏覽器視窗中,以索引標籤式頁面開啟這些頁面,而不是在不同的視窗中開啟新頁面 如果您有多個頁面,而您想要在啟動瀏覽器時開啟瀏覽器,只要將一組索引標籤設為啟動群組即可。

雖然 IE 具有可記住網頁密碼的全域設定,但 Mozilla 可讓您指定要讓它記住密碼的網頁,而您可以使用密碼管理員隨時移除記住的密碼。 新增內建的下載管理員、整合式電子郵件客戶程式 (我不使用) 、多個設定檔、內建的聊天程式、與熱門搜尋引擎的整合,以及 Mozilla 和 IE 之間的距離開始看起來令人印象深刻。

不過,當 Mozilla 有討厭的網站時,Mozilla 真的很有功效。 它包含內建的快顯管理器,您可以在其中設定每個網站的快顯篩選(如果您想要的話)。 它有一個 cookie 管理員,您可以視需要用來封鎖 cookie,也可以查看您的系統上已卸載的 cookie。 您也可以在對影像進行 Mozilla 的行為時進行設定。 大部分具有 obnoxious 橫幅的網站會從外部贊助者網站提取圖形檔案,您可以視需要將 Mozilla 設定為依網站的方式略過外部影像。 最後,很棒的視覺觸控是 Mozilla 的外觀支援,而且有許多可用的面板可免費使用。

我確定這聽起來像是銷售音調,但不是。 它會對產品區段缺乏競爭情形的評論。 為什麼 IE 沒有 cookie 管理和快顯封鎖等功能,當 Mozilla 包含這些功能時,取用者必須花費大量時間? 為什麼 IE 在第5版和第6版之間變更得很少,以及為什麼未在兩年內更新? 大部分的取用者都使用他們在電腦上所擁有的任何軟體,而不是讀取開放原始碼新聞群組或造訪 Slashdot.org,所以他們不知道有更好的可用替代方案。 Microsoft 和 Netscape 讓瀏覽器在其競爭中免費,以使網頁伺服器應用程式市場變得更好,因此 Microsoft 不會在 Microsoft 改善 IE 中提供任何財務權益,當 power 使用者喜歡我切換至 Mozilla 時,他們不會遺失任何金錢。

即使是在 Microsoft 的附加元件軟體中,您也可以看到相同的效果。 我使用了 Eudora 作為我的電子郵件客戶,但大約兩年前切換至 Outlook。 這似乎是大家都在使用 Outlook,我想要利用它的行事曆功能。 我立即找到一些小型煩惱。 比方說,您可以設定 [Eudora] 將電子郵件保留在伺服器上的特定大小,這在您于飯店房間內的 25 Kb 撥號時很有説明。 Outlook 具有類似的功能,但 Eudora 會下載訊息的前幾行,讓您看到電子郵件的相關資訊,並使用該資訊來決定是否要長時間下載。 Outlook 不是。

我可以繼續,但現在您已經有訊息,而且可能會新增您自己的趣聞清單。 最重要的是,競賽對於電腦消費者而言很好用。 或許 IE 「Longhorn」會遠離 Mozilla?

請將電子報傳遞給您認為可能對其內容感興趣的朋友。

謝謝!

-Mark

SYSINTERNALS 的新功能

FILEMON V 6.06、REGMON V 6.06

Filemon 和 Regmon 在六個月內跳過兩個完整版本號碼。 這次最新的重大更新帶來了增強功能,讓您更容易使用,並顯示更多的資訊。

當您執行新版本時,您會立即看到進程的圖示顯示在 [處理] 欄位中,提供您視覺提示,指出您看到的是哪個應用程式與您所看到的 i/o 相關聯。 如果您想要有關某個進程的詳細資訊,包括它的版本資訊、完整路徑和命令列,請以滑鼠右鍵按一下具有該進程的 [i/o] 和 [選取進程屬性] 的行。

在某些情況下,您可能不會看到適當的程式圖示,並且會在您嘗試查看其屬性時收到錯誤對話方塊。 當進程開始並結束時,會發生此狀況,使用者介面有機會存取進程並取得其路徑。

當您開啟內容功能表時,您也會看到可讓您將進程或包含或排除篩選準則的路徑加入的專案。 如果您選擇套用新的篩選器,您會收到新的提示,詢問您是否要將新的篩選套用至收集的輸出。 這可讓您快速地將輸出修剪為您感興趣的資訊,而不需要將輸出儲存並載入至試算表來進行後置處理。

另一個增強功能是將已儲存的記錄檔載入回顯示器的能力。 這項功能與新的篩選功能和醒目提示搭配使用時,可讓這些工具在事後剖析後的問題分析中有多種用途。

下載 Filemon v 6.06,網址為
http://www.sysinternals.com/ntw2k/source/filemon.shtml
下載 Regmon v 6.06,網址為
http://www.sysinternals.com/ntw2k/source/regmon.shtml

PSPASSWORD 1.01 版

這項最新的 PsTools suite 新增功能,可將組合的命令列、可遠端系統管理的系統管理工具總數組成,使套件變成12。 許多系統管理員(包括 Winternals 的公司)會定期變更其所管理之用戶端電腦的本機系統管理密碼。 沒有內建的方法可以遠端變更本機密碼,也就是 PsPassword 的用途。 您可以使用它來變更遠端電腦上的本機 (或網域) 密碼。 將它新增至腳本或批次檔,以針對電腦清單執行它,使它成為理想的大量密碼變更公用程式。

下載 PsPassword v4.0,網址為
http://www.sysinternals.com/ntw2k/freeware/pspasswd.shtml
下載整個 PsTools suite,網址為:
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

PSLOGLIST 2.3 版

PsLoglist 是我經常收到功能要求的眾多 Sysinternals 工具之一。 2.3 版的增強功能全都反映使用者輸入。 具有最大改進的區域是篩選。 PsLoglist 具有新的參數,可讓您將顯示的事件記錄限制為符合指定之事件識別碼或具有指定事件來源(例如 IIS)的事件記錄。 在過去的版本中,事件種類篩選準則只接受一個事件種類,但現在允許您輸入多個類型。 比方說,若要查看所有錯誤和警告,您可以使用如下所示的命令列: psloglist -t f w

下載 PsLoglist 2。3
http://www.sysinternals.com/ntw2k/freeware/psloglist.shtml
下載整個 PsTools suite,網址為:
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

ACCESSENUM V1。0

NTFS 所採用的豐富許可權模型提供極大的彈性。 有了這種彈性,可能會造成複雜性和設定錯誤的安全性。 可惜的是,沒有內建的工具可讓您輕鬆管理跨目錄和檔案的安全性。 雖然 cacls 命令列公用程式具有正確的概念,但它是命令列工具,因此難以剖析其輸出。 這就是 AccessEnum 的來源。 AccessEnum 可讓您輕鬆瞭解整個目錄樹狀結構的檔案和目錄許可權。 透過 AccessEnum,您可以輕鬆地找出許可權問題。

當您執行 AccessEnum 時,您會指定一個目錄,而 AccessEnum 會顯示哪些使用者擁有該目錄的存取權(如果適用的話),也就是該目錄下的檔案和目錄。 根據預設,AccessEnum 只會列出目錄中的許可權與上層目錄的許可權不同,而且如果檔案的許可權比上層目錄的許可權更寬鬆,則只會顯示檔案。 如果您想要的話,可以使用 [選項] 對話方塊,讓 AccessEnum 顯示檔案的許可權與上層目錄不同。

下載 AccessEnum 1.0 版,網址為
http://www.sysinternals.com/ntw2k/source/accessenum.shtml

PROCESS EXPLORER V 6.03

Process Explorer 是一種進程檢視器和控制公用程式,可在工作管理員離開的地方繼續進行。 在其廣泛的功能清單中,Process Explorer 會顯示進程建立樹狀結構、顯示進程已開啟的控制碼、列出 Dll (以及處理常式已載入的其他記憶體) 對應檔案,並可讓您搜尋開啟特定檔案的進程或進程。

6.0 版中最重要的增強功能與 view 資料行相關。 直到這個版本沒有資料行可設定性,所以我仔細選擇要顯示的資料行,以便將可用的空間最大化。 這會限制您可以看到的資料,而不需要開啟 [屬性] 對話方塊,而是我認為最普遍有用的資料。

現在,就像工作管理員一樣,您可以使用 View |選取 [資料行] 功能表項目,選擇您想要在三個視圖、進程、控制碼和 DLL 中看到的資料行。 您也可以拖曳資料行來重新排序它們。 除了讓您根據自己的喜好來自訂顯示之外,還有更多的資料行選取。 例如,「處理視圖」支援工作管理員的資料行選取專案,以及其他有用的選項,像是進程映射路徑、命令列、版本號碼和公司名稱。

在舊版中,Process Explorer 會以同步的方式重新整理其顯示,這表示可能會有一段時間,使用者介面可能會變成沒有回應的時間,特別是當您有數千個控制碼的使用中和選定進程時。 6.0 版引進了所有三個視圖的非同步更新,讓使用者介面保持回應,而且 Process Explorer 看似更快速得到。

我在舊版的 Process Explorer 中所推出的強大功能,就是不同的醒目提示,其中顯示以綠色顯示的新專案,並以紅色標示刪除的專案。 我已擴充此功能,因此在6.0 版中,除非您已暫停顯示,否則重新整理醒目提示會持續4秒,讓您更輕鬆地在暫停模式中找出變更 (在下一次手動更新) 之前,醒目提示會保持不變。

知道在進程中執行哪些服務是 Process Explorer 進程視圖的其中一項功能。 您可以選取 [選項] 來選擇醒目提示服務裝載進程 |醒目提示服務。 如果您看到服務裝載進程的屬性,還有一個額外的索引標籤,其中顯示在進程中執行的服務清單,包括其服務和顯示名稱。 現在在 Win2K 和更新版本上,如果服務的開發人員提供了服務,則 Process Explorer 也會顯示您在服務清單中選取之服務的描述。 這項額外資訊可讓使用 Process Explorer 比任何其他工具更容易識別服務 (例如 Tlist.exe/s 或 XP 和 2003) 中新的 tasklist/svc 命令。

還有一些較小的改良功能,就是當您儲存時,Process Explorer 現在會將 [處理常式] 和 [底端] 視圖的內容儲存 (控制碼或 DLL) ,而不只是底部的視圖。 現在也有最小化到匣的選項,讓您可以讓 Process Explorer 保持方便。

下載 Process Explorer v 6.03,網址為
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

以下是 Microsoft 知識庫中 Sysinternals 參考的最新內容, (KB) 自從上次電子報以來發行的文章。 這會將 Sysinternals 的知識庫參考總數帶到41。

  • ACC2002:錯誤訊息: ActiveX 元件無法建立物件http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B319844

  • 修正:從快取移除瀏覽器功能評估工具時效能變慢 http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B819612

  • 如何:針對 Microsoft Content Management Server 2002 中的網站部署問題進行疑難排解 http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B814774

  • PSVR2002:當您嘗試存取 Project 視圖時,「沒有任何資訊可顯示在此視圖中」錯誤訊息http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B810596

內部資訊

DELOADER 蠕蟲的 PSEXEC 部分

PsExec 是一種工具,可讓您在具有系統管理員存取權的遠端系統上執行處理常式,使其進入 Deloader (http://www.f-secure.com/v-descs/deloader.shtml) ,也就是在這個春季觸及網際網路。 我收到了許多來自使用者的電子郵件,不熟悉 Sysinternals,因為他們在執行時看到了 PsExec 顯示我的名字,accuse 我試圖攻擊系統。

不幸的是,人們已選擇惡意使用 Sysinternals 軟體,但我不能這麼做。 要記住的重點是,除非使用者執行的帳戶在遠端系統上具有系統管理許可權,否則使用者無法使用任何工具來影響遠端系統。 有了這類許可權,他們就可以在不使用任何工具的情況下,對遠端系統執行任何損害: a rmdir /s \\remotesystem\admin$ 會抹除遠端系統的 SystemRoot 目錄。

如同遠端進程的執行,如果沒有使用 PsExec,則會使用其他工具。 事實上,Windows Management Instrumentation (內建于 Windows 2000 和更新版本),並以 NT 4 和 Windows 9x 的附加元件的形式提供使用,則有一個遠端處理執行介面,可提供 PsExec 的功能子集。

使用 PSTOOLS 來引發問題

Bryce 和我在 Sysinternals 上張貼的大部分工具主要是用於系統管理與疑難排解。 有一個值得注意的例外狀況是 Sysinternals 的藍屏螢幕保護裝置 (http://www.sysinternals.com/ntw2k/freeware/bluescreensaver) ,其中說明了一種真正的,也就是您用來執行它的 Windows NT 版本所特有的重新開機順序, (甚至是在 Windows 9x) 上執行。 不過您可能還不知道,您可以使用網站上的其他工具,讓您辦公室內的同事享受樂趣。

有三個特別的工具可讓 tormenting officemates 變得簡單: PsExec、PsKill 和 PsSuspend。 只要您的帳戶具有遠端系統的系統管理存取權,或是您可以存取執行的帳戶,您就可以使用它們來遠端操作電腦。

PsExec 可讓您在遠端系統上啟動應用程式,讓您輕鬆地先在主控台上啟動隨機程式。 若要在電腦上執行 [紙牌],您可以使用如下的程式程式碼:

psexec \\remotesystem -i sol.exe

切換器會 -i 在主控台上啟動處理常式,而不是在隱藏的服務桌面上啟動它。 當使用者關閉「紙牌」程式時,PsExec 將會結束。 如果您想要啟動多個實例來讓使用者負荷過多,請使用 -d 參數,讓 PsExec 結束而不等候進程結束。

更迂回的是,在系統上啟動藍屏螢幕保護裝置,讓他們認為系統已損毀。 使用這個命令列來執行此動作:

psexec \\remotesystem -i -c "sysinternals bluescreen.scr" /s

-c參數會將指定的檔案複製到遠端系統。

如果您想要造成更多問題,請使用 PsKill 來終止其系統上的進程。 好的是,每個人都有執行的瀏覽器,它會自動重新開機,而在 (正常作業期間會隨機損毀,但仍) 。

最後,如果您真的想要讓某人在短時間內,使用 PsSuspend 暫停其系統上的隨機處理常式。 同樣地,他們可能會認為它是正常的異常 Windows 行為,但您會知道更好!

從 < 下載 PsExec、PsKill 和 PsSuspend
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

MICROSOFT 檔 NTQUERYSYSTEMINFORMATION (排序)

另一天我要使用2003年4月的 MSDN Library,並在的檔頁面上執行 NtQuerySystemInformationNtQuerySystemInformation is part of the "native" API that sits under much of the Win32 API and that is used almost exclusively by system processes that are part of the operating system (you can read about the native API at http://www.sysinternals.com/ntw2k/info/ntdll.shtml). 有些 Sysinternals 工具會利用 Api 來存取不是由 Win32 公開的功能,但這項功能僅與取得進程和執行緒資訊相關。

因此,我覺得很驚訝, NtQuerySystemInformation 而我的第一個想法是,Microsoft 決定公開 API 所提供的一些有用功能。 否則請自行閱讀檔。 這些 api 的所有使用方式都是由定義完善的 Win32 api 提供,檔強烈建議您改為從函式描述頂端的語句開始:「NtQuerySystemInformation 是內部的 Windows 函式,可抓取各種類型的系統資訊。 因為此函式在 Windows 的未來版本中可能會變更,所以請使用下列替代函數。」

事實上,檔中顯示的部分是完全無用的。 比方說,API 的變異說明是指 SYSTEM_PERFORMANCE_INFORMATION 您取回資料結構,而不是使用 Windows 使用它的相同方式,您應該將視為位元組的隨機配置,而且可能會用來做為亂數字。 然後,假設您真的不應該使用 API 產生亂數,而是改為呼叫記載的 Win32 函數 CryptGenRandom 。 重點是,我們不會使用這些檔,而是 Win32 所沒有的更可靠且容易提供的檔。

好奇心竄,我注意到他們所列出的 include 檔案包含使用 API 所需的資訊,在 SDK 中是 winternl。 在 MSDN 檔中搜尋該檔案,會顯示更多相同的內容:適用于少數原生 Api 的檔,具有同樣無用的使用方式,或透過 Win32 較佳存取的功能。 標頭檔本身不會顯示 SDK 中記載的任何內容。

那麼,這些無用的 Api 在 MSDN 和 SDK 中的作用為何? 我猜這是 Microsoft 在 DOJ 同意 decree 中的合規性,Microsoft 會在其中「記錄」某些應用程式所使用的內部 Api。 以下是 NtOpenFile 檔中的一條線,這表示它的目的不只是法律用途:「針對完整 API 涵蓋範圍,提供 NtOpenFile 檔。」

因為缺少任何有用的資訊,所以我很確定使用 API 類別的任何 Microsoft 應用程式都 SYSTEM_PERFORMANCE_INFORMATIONNtQuerySystemInformation 不會使用它來取得亂數字,所以我想知道 winternl 函式的檔是否確實符合其在 SDK 中的任何法律指示詞。

如果您對 NtQuerySystemInformation 和其他原生 api 的完整檔有興趣,請取得「內部 Windows NT/2000 原生 api 參考」 (的複本 http://www.amazon.com/exec/obidos/ASIN/1578701996/103-8560745-7945431 )

內部訓練

夏季的特殊影片

購買:內部 Windows 2000 GET: XP/Server 2003 Update FREE

現在您可以擁有絕佳的內部訓練套件,並大幅節省成本。 在有限的時間內,當您在 Windows 2000 內以已價格實惠的網際網路價格購買最熱門的影片時,您將可完全免費取得 XP/Server 2003 更新。 這就是零售價格的35%。

這兩個未完成的學習工具都是由 Microsoft 全球用來進行公司訓練。 根據 Microsoft 的副總裁核心技術,這段影片將深入探討平臺的核心、抓住技術的本質,並以強大的互動式影片格式呈現。」

查看產品詳細資料,或下載影片範例,網址為 www.solsem.com。 請勿等候太長的時間。 立即利用這項限時供應專案!

MICROSOFT TECHED 歐洲2003

Dave 索羅門群島 (http://www.solsem.com) ,我在達拉斯兩周前,在達拉斯 TechEd 一天的研討會教學課程,並強調使用 Sysinternals 工具和一小時十五分鐘的研討會,其中涵蓋相同材質的一小部分。 兩者都是排名最高的會話。 如果您居住在歐洲,您可能會想要知道我們是在下周的 TechEd。

TechEd 歐洲將于6月30日到7月4日的巴塞羅納舉辦。 Dave 和 I 再次列為「前幾名說話者」 (http://www.microsoft.com/europe/teched/Speakers.asp) ,並共同教授為期一天的會議前教學課程 (http://www.microsoft.com/europe/teched/PreConfWinInt.asp) 疑難排解 Windows 的程式、記憶體和損毀問題 (沒有實驗室) ,還有四個其他包含: Sysinternals 工具的教學課程、Sysinternals 工具的疑難排解、Windows 損毀傾印分析,以及 Windows XP 和 Server 2003 核心變更。

您可以在這裡找到完整的描述與註冊資訊。
http://www.microsoft.com/europe/teched/home.asp
我們希望您在西班牙看到!

下一個公用 WINDOWS 內部的 & ADVANCED 疑難排解類別

我們接下來的3天公開 Windows 內部最 & 先進的疑難排解類別是在紐約的 (規劃,而如果您無法等候,則我們的倫敦課程仍可能提供最後分鐘的註冊,此課程將于6月25日開始(于6月25日): ) 。 請持續關注日期和註冊詳細資料的 www.sysinternals.com


感謝您閱讀 Sysinternals 電子報。

依 ottoh 在2003年6月23日星期一的 4:46 PM 發佈

[電子報封存^][ volume 5,number 1][volume 6,number 1 ]

[電子報封存^][ volume 5,number 1][volume 6,number 1 ]

系統內部電子報第5號,第2號

http://www.sysinternals.com
著作權 (C) 2003 Mark Russinovich