Показано с 1 по 2 из 2
-
12.09.2023, 17:18 #1
- Регистрация
- 18.04.2018
- Адрес
- HP-Compaq DX2300 microtower PC
- Сообщений
- 258
- Сказал(а) спасибо
- 69
- Поблагодарили 1815 раз(а) в 395 сообщениях
инструменты Марка Руссиновича
Утилиты Sysinternals. Скачать тут
«Утилиты Sysinternals. Справочник» CHM+PDF
Если у вас случился крах изделия секты "АднаСекта", то для расследования причин помогает Process Monitor
Если у вас в винде есть что-то (файл, запись в реестре), к чему вы не имеете доступ на изменение/удаление, то PsExec поможет вам запустить любой процесс (procmon64.exe, regedit.exe, far.exe, wincmd.exe) от имени учетки System (или другой локальной учетки) - тем самым вы получите доступ на изменение/удаление, ведь учетка System чаще всего имеет полный доступ, в очень редких случаях System имеет доступ "только для чтения/выполнения".
позже я покажу в картинках "как изделие сектантов обнаруживает локальные эмуляторы multikey, vusb, vusbbus, haspflt ?"
для начала, картинка ещё времён изделия 8.3.16
файл драйвера мультика system32\drivers\multikey.sys удалён, но системный сервис (служба) эмулятора "multikey" остался болтаться в реестре (выделено чёрным фоном) - в результате крах "целка сломана"
Последний раз редактировалось HPDX2300; 12.09.2023 в 23:13.
"кинжал хорош для того, у кого он есть, и плохо тому у кого он не окажется в нужное время"
-
3 пользователя(ей) сказали cпасибо:
alexandr_ll (12.09.2023), gadzilkin (22.09.2023), _BigB_ (12.09.2023)
-
04.12.2023, 12:34 #2
- Регистрация
- 18.04.2018
- Адрес
- HP-Compaq DX2300 microtower PC
- Сообщений
- 258
- Сказал(а) спасибо
- 69
- Поблагодарили 1815 раз(а) в 395 сообщениях
Re: инструменты Марка Руссиновича
запуск cmd.exe под системной учеткой System:
Код:PsExec.exe -s -i C:\Windows\system32\cmd.exe
Код:whoami /all
запуск файлового менеджера far.exe (можно так же запускать totalcmd.exe) под системной учеткой System:
Код:PsExec.exe -s -i C:\APPL\FAR\far.exe
поясню "механику" происходящего:
PsExec.exe (PID=224) запустило под системной учеткой System системную службу с процессом PsExecSVC.exe (PID=1728), последняя запустила под системной учеткой System процесс C:\APPL\FAR\far.exe (PID=1412), чьё окно мы видим в своей сессии винды. Удобнее выполнять действия с файлами/папками в окне FAR или TotalCmd, нежели в командной строке (обратная сторона удобства - надо быть осторожным, одно неловкое движение и вы угробите свою винду).
запуск редактора Реестра regedit.exe под системной учеткой System:
Код:PsExec.exe -s -i C:\Windows\regedit.exe
запуск Process Explorer (можно так же запускать Process Monitor - procmon.exe) под системной учеткой System:
Код:PsExec.exe -s -i C:\APPL\procexp.exe
Последний раз редактировалось HPDX2300; 04.12.2023 в 12:39.
"кинжал хорош для того, у кого он есть, и плохо тому у кого он не окажется в нужное время"
Похожие темы
-
почему нет "Инструменты" в панели браузера Гугл Хром
от vadim-art в разделе Windows XPОтветов: 1Последнее сообщение: 20.07.2011, 15:43
Социальные закладки