Process Monitor – скринкаст

В прошлые выходные я наконец то закончил запись скринкаста про использование Process Monitor. Рассказал про основы использования, и несколько практических примеров 🙂

pm3

Отслеживание необходимых разрешений для кривых программ, требующих прав администратора без каких либо на то оснований.

Создание полного журнала загрузки системы, начиная с самого раннего этапа. Еще кстати по этой теме рекомендую этот пост.

Создание списка процессов запускаемых во время работы системы.

Подглядывание за простеньким трояном.

Автоматизация запуска Process Monitor’а.

pm2

Очень рекомендую посмотреть, надеюсь многие узнают что то новое и полезное 🙂 Для просмотра надо зарегистрироваться на TechDays.ru. Кроме того должен быть установлен SilverLight, без него можно лишь загрузить версии для оффлайн просмотра (рекомендую 800х600). Ну и буду благодарен если вы проголосуете 🙂

Реклама

Process Monitor – мониторинг включения системы

Те кто серьезно занимались внедрением Software Restriction Policy у себя в компании, наверняка задумывались что неплохо было бы не оставлять включенным стандартное правило разрешающее запуск любых программ из папки Windows. Ведь некоторые из этих программ могут предоставлять чрезмерно большие возможности пользователям. А то и чем черт не шутит – дадут возможность обойти SRP… Но чтобы убрать это правило, надо понять, какие же программы действительно необходимы для загрузки системы и для работы пользователя. Для того чтобы это узнать, можно воспользоваться утилитой Process Monitor от Microsoft Sysinternals.

 

Читать далее…

Handle.exe или как разблокировать файл

Думаю нет среди моих читателей человека, который не сталкивался бы с проблемой файлов “залоченных” другими процессами. Ситуация вобщем то простая, и естественная – программа, для работы с файлом, открывает его с доступом на запись, или для монопольного чтения. Подробности наверное интерисуют лишь программистов, а нам важно понять что за процесс открыл этот файл, и как его освободить. Для этого я обычно использую утилиту от SysinternalsHandle.exe.

К примеру, захотелось мне удалить один файлик…

PS Q:\temp> del .\wlan-870isr.pdf
Remove-Item : Cannot remove item Q:\temp\wlan-870isr.pdf: 
The process cannot access the file 'Q:\temp\wlan-870isr.pdf'
because it is being used by another process.

Не очень приятная ситуация, особенно если удалить файл очень надо, а процесс который его открыл – неизвестен. Ничего страшного, просто скармливаем имя файла (или его часть) утилите:

PS Q:\temp> handle wlan-870isr.pdf

Handle v3.41
Copyright (C) 1997-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

AcroRd32.exe       pid: 3656    278: Q:\temp\wlan-870isr.pdf

Вот теперь нам известен виновник! Можно конечно просто завершить процесс Acrobat Reader’а, и все открытые им файлы будут освобождены:

PS Q:\temp> Stop-Process -Id 3656 -WhatIf
What if: Performing operation "Stop-Process" on Target "AcroRd32 (3656)".

Но что если мы не хотим завершать процесс, но при этом уверены что файл этой программе не нужен и она просто забыла его закрыть? Можно просто принудительно закрыть ссылку на файл (handle). Разумеется этого делать не рекомендуется если вы не уверены что всё кончится хорошо. Программа будет предполагать что файл всё еще открыт ею, и это может привести к неожиданным ошибкам. Но если очень хочется – то можно 😉

PS Q:\temp> handle -p 3656 -c 278

Handle v3.41
Copyright (C) 1997-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

  278: File  (---)   Q:\temp\wlan-870isr.pdf
Close handle 278 in AcroRd32.exe (PID 3656)? (y/n) y

Handle closed.

Вот и готово. После этого, Acrobat Reader даже дал мне полистать несколько страниц документа, правда потом выдал ожидаемую ошибку 🙂

image

Возможно вам повезет больше 😉 Иногда эта функция действительно бывает полезна.

Кстати чтобы handle.exe не переспрашивал вас, можно добавить ключ –y

Опубликовано в SysInternals. Метки: , , , . 4 комментария »

Запуск процесса на удалённом компьютере — PsExec

Есть такая очень популярная задачка, которую приходится решать администраторам — запуск некоей утилиты, программы или сценария на другом компьютере, не вставая с места. Да, лень безусловно одно из главных свойств сисадминов, но когда речь идет о сотнях или тысячах компьютеров, трудолюбие не является достоинством 🙂

Читать далее…