Рубрики
Вирусы

Конспект: Sysinternals / поиск вирусов в windows / из книги

Процессы, потоки и задания:

Контейнер:

Пользовательский режим и режим ядра:

Функция ReadFile:

Окна в Process Explorer:

ядро Windows / Ntoskrnl.exe :

Типы объектов:

Стек вызовов:

Элементы стека:

Исполняемые файлы:

Средства отладки:

Process Explorer steck

Сеансы служб терминалов:

Оконные станции:

Рабочие столы:

Оконные сообщения:

Подсветка процессов (Process Explorer ):

Столбцы по умолчанию (Process Explorer ):

Системные процессы:

Процессы загрузки и входа в систему:

Smss.exe

Привязка ЦП к процессам:

Завершение процесса:

Suspend (Приостановить) / Resume (Возобновить):

NUMA:

Вкладка Process I/O ( Process Explorer ):

Памяти (Process Explorer ):

Параметры командной строки (Process Explorer ):

Восстановление настроек «Process Explorer» по умолчанию:

Клавиатурные комбинации (Process Explorer ):

Строка состояния:

Кнопки:

Переполнение буфера:

Основные коды результатов:

Атрибуты файлов в поле Details:

Параметры командной строки (PROCMON):

Сводка по файлам:

Счетчик событий:

Просмотр точек ASEP отключенной системы:

Категория Applnit:

Категория KnownDLLs:

Категория Winlogon:

Категория Winsock:

Категория Print Monitors:

Категория LSA Providers

Категория Network Providers:

Категория Sidebar Gadgets:

Autoruns и вредоносное ПО:

PsTools от Sysinternals — набор из 12 утилит для управления Windows с общими характеристиками

Удаленные операции:

Учетные записи пользователей:

psexec

Повышаем привилегии до SYSTEM:

PsFile:

PsGetSid:

PsLogList:

Примечание Сброс пароля локальной учетной:

Пароль в домене:

PsService

Утилиты Process Explorer и Process Monitor:

Инфо:

Проверка подписи файла:

Хеш

Манифест приложения

AccessChk

SDelete

Junction

FindLinks

MoveFile

Disk2VHD:

Diskmon

Sync

DiskView:

PageDefrag:

TCPView:

Portmon:

WinObj:

LoadOrder:

PipeList:

ClockRes:

Autorun.inf