- •Факультет «Информатика и системы управления» Кафедра «Информационная безопасность». Отчет по лабораторным работам
- •AccessСhk
- •AccessEnum
- •Active Directory Explorer
- •Adrestore
- •Autologon
- •Autoruns
- •Casheset
- •Сhange_voluem_id
- •Cntr_cap
- •СlocRes
- •LoadOrder
- •LdmDump
- •Junction
- •EfsDump
- •ListDlls
- •DiskView
- •Disk2vhd
- •DiskUsage
- •Сoreinfo
- •DebugView
- •DefragManager
- •Desktop virtual
- •Disk-ext
- •Disk_mon
- •Accessible Event Watcher
- •Guide Generator
- •Il Disassembler
- •Inspect Objects
- •Manifest Generation and Editing Tool
- •Manifest Generation
- •WinDiff
- •ServiceTraceViewer
- •Strings
- •TcpView
- •Sigcheck
- •ShareEnum
- •ShellRunas
- •SDelete
- •RootkitRevealer
- •RegJump
- •RegDelNull
- •PsTools
- •PsSuspend
- •PsShutdown
- •PsService
- •PsPasswd
- •PsLoggedOn
- •PsLogList
- •PsGetSid
- •Process Monitor
- •ProcessExplorer
- •ProcessorFeatures
- •ProcDump
- •Portmon
- •MicrosoftServiceConfigurationEditor
- •Ole/comObjectViewer
- •Windows Resource Localization Editor
- •PipeList
- •SystemFileDefragmenter
- •Open Handler
- •Streams
- •NtfsInfo
- •LogonSessions
- •Синтаксис
- •Параметры
- •If not exist product.Dat echo Не найден файл данных
- •Verify on
- •Verify off
- •Литература:
RegJump
Эта утилита командной строки открывает Regedit с заданной локацией [path] , то есть "прыгает" на выбранную ветку реестра.
Синтаксис: regjump [path]
Принимает корневые ключи в стандартном (например, HKEY_LOCAL_MACHINE) и сокращенном виде (например, HKLM).
Пример: regjump HKLM
В результате чего получаем мгновенный доступ к нужному разделу:
RegDelNull
RegDelNull – это программа, работающая из командной строки и позволяющая находить и удалять значения реестра, содержащие вложенно-пустые параметры, которые невозможно удалить с помощью стандартных средств.
Синтаксис: regdelnull [-s]
(s - включая субключи)
Пример: В результате сканирования команда не нашлось значений реестра, имеющих вложено-пустые параметры.
PsTools
В комплект PsTools включены следующие программы, которые можно загружать по отдельности или одним пакетом:
PsExec — позволяет удаленно выполнять процессы;
PsFile — показывает удаленно открытые файлы;
PsGetSid — выводит идентификатор безопасности (SID) компьютера или пользователя;
PsInfo — выводит информацию о системе;
PsKill — позволяет завершать процессы по имени или идентификатору процесса;
PsList — выводит подробную информацию о процессах;
PsLoggedOn — позволяет просматривать данные о том, кто зарегистрирован в системе локально или в результате использования общих ресурсов (в комплект загрузки входит полный исходный текст программы);
PsLogList — позволяет выгрузить записи из журнала регистрации событий;
PsPasswd — позволяет менять пароли учетных записей;
PsService — позволяет просматривать информацию о службах и управлять ими;
PsShutdown — позволяет выключить и при необходимости перезагрузить компьютер;
PsSuspend — позволяет приостанавливать процессы;
PsUptime — показывает время работы системы с момента последней перезагрузки (в программу PsInfo включены функциональные возможности PsUptime).
Ни одна из этих программ не требует специальной установки. Нет необходимости даже устанавливать какое-либо клиентское программное обеспечение на удаленные компьютеры, для которых эти программы будут вызываться. Для запуска любой программы введите в командной строке ее имя и задайте необходимые параметры. Для вывода на экран справки об использовании средства укажите в командной строке параметр «-».
PsSuspend
Программа PsSuspend позволяет приостановить процесс на локальной или удаленной машине, что бывает желательно, когда процесс чрезмерно потребляет какой-то ресурс (например, сеть, процессор или диск), необходимый другим процессам. Вместо того чтобы принудительно завершать «пожирателя ресурсов», можно приостановить его на время и возобновить позже.
Если при запуске PsSuspend указать идентификатор процесса, то она приостановит или возобновит процесс с таким идентификатором на локальном компьютере. Если указать имя процесса, то PsSuspend приостановит или возобновит все процессы с таким именем. Для возобновления процессов задайте параметр -r.
Синтаксис: pssuspend [- ] [-r] [\\компьютер [-u имя_пользователя] [-p пароль]] <имя_процесса | идентификатор процесса>
- - Вывести перечень допустимых флагов.
-r - Возобновить указанные процессы, если они были приостановлены.
\\компьютер - Имя компьютера, на котором нужно приостановить или возобновить процессы. Удаленный компьютер должен быть виден в сетевом окружении.
-u имя_пользователя - Если вы хотите приостановить процесс, работающий в удаленной системе, но текущая учетная запись не имеет в ней административных привилегий, то этот параметр позволит войти от имени администратора. Если вы не укажете пароль с помощью параметра -p, то программа PsSuspend попросит его ввести, но не будет отображать на экране.
-p пароль - Этот параметр позволяет задать пароль в командной строке, чтобы программу PsSuspend можно было вызывать из пакетного файла. Если указать имя учетной записи без параметра -p, то программа PsSuspend попросит ввести пароль.
идентификатор_процесса - Идентификатор процесса, который нужно приостановить или возобновить.
имя_процесса - Имя одного или нескольких процессов, которые нужно приостановить или возобновить.
Примеры:
Приостановка процесса: pssuspend 280
Приостановка процесса с указанным идентификатором.
Возобновление: pssuspend –r 280
Возобновление работы процесса с указанным идентификатором, если он был ранее приостановлен.