PDA

Просмотр полной версии : инструменты Марка Руссиновича


HPDX2300
12.09.2023, 16:18
Утилиты Sysinternals. Скачать тут (http://live.sysinternals.com/)

«Утилиты Sysinternals. Справочник» CHM+PDF (https://disk.yandex.ru/d/PrHwHZNTp9TaxA)

Если у вас случился крах изделия секты "АднаСекта", то для расследования причин помогает Process Monitor

Если у вас в винде есть что-то (файл, запись в реестре), к чему вы не имеете доступ на изменение/удаление, то PsExec поможет вам запустить любой процесс (procmon64.exe, regedit.exe, far.exe, wincmd.exe) от имени учетки System (или другой локальной учетки) - тем самым вы получите доступ на изменение/удаление, ведь учетка System чаще всего имеет полный доступ, в очень редких случаях System имеет доступ "только для чтения/выполнения".

позже я покажу в картинках "как изделие сектантов обнаруживает локальные эмуляторы multikey, vusb, vusbbus, haspflt ?"

для начала, картинка ещё времён изделия 8.3.16
файл драйвера мультика system32\drivers\multikey.sys удалён, но системный сервис (служба) эмулятора "multikey" остался болтаться в реестре (выделено чёрным фоном) - в результате крах "целка сломана"
https://www.upload.ee/image/15677852/ProcMon_example1.png
HPDX2300
04.12.2023, 11:34
запуск cmd.exe под системной учеткой System:

PsExec.exe -s -i C:\Windows\system32\cmd.exe

посмотрим членство в системных группах и привилегии на уровне ОС:

whoami /all
https://www.upload.ee/image/16014787/cmd_as_System.png

запуск файлового менеджера far.exe (можно так же запускать totalcmd.exe) под системной учеткой System:

PsExec.exe -s -i C:\APPL\FAR\far.exe
https://www.upload.ee/image/16014789/far_as_System.png
поясню "механику" происходящего:
PsExec.exe (PID=224) запустило под системной учеткой System системную службу с процессом PsExecSVC.exe (PID=1728), последняя запустила под системной учеткой System процесс C:\APPL\FAR\far.exe (PID=1412), чьё окно мы видим в своей сессии винды. Удобнее выполнять действия с файлами/папками в окне FAR или TotalCmd, нежели в командной строке (обратная сторона удобства - надо быть осторожным, одно неловкое движение и вы угробите свою винду).

запуск редактора Реестра regedit.exe под системной учеткой System:

PsExec.exe -s -i C:\Windows\regedit.exe
https://www.upload.ee/image/16014807/regedit_as_System.png

запуск Process Explorer (можно так же запускать Process Monitor - procmon.exe) под системной учеткой System:

PsExec.exe -s -i C:\APPL\procexp.exe
https://www.upload.ee/image/16014811/procexp_as_System.png