Рубрика «Windows»
Tuesday, 08 Dec 2009
Иногда возникает необходимость узнать, что же происходит в мозгах у системы, при том, что в системные логи операционка не пишет никакой информации. Для этого нужно воспользоваться встроенным в систему дебаггером Dr.Watson. Его расположение по умолчанию %SystemRoot%\system32\drwtsn32.exe
1. Для начала нужно зарегистрировать Dr Watson как дебаггер по умолчанию, для этого говорим
Пуск -> Выполнить (или “майкрософтовское окошко” + R) и запустить drwtsn32 -i
2. Теперь настроим Dr Watson
Пуск -> Выполнить и drwtsn32
3. Изменяем в соответствии
Файл журнала = путь по которому будет находится лог файл (Drwtsn32.log)
Аварийная копия памяти = путь по которому ляжет дамп памяти (user.dmp)
Тип аварийного дампа = Полный
Параметры = включить все радиокнопки (можно не включать Визуальное и Звуковое оповещения)
4. Когда какое либо приложение, которое и нужно отследить, вылетит в очередной раз дамп памяти создатся в том файле который мы определили в 3 пункте, после чего мы его можем открыть и начать ковырять, на предмет поиска непонятностей.
Отключить Dr.Watson можно следующим образом:
- Вызвать редактор реестра: Пуск -> Выполнить, выполнить команду regedit
- Зайти в следующую ветвь реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
- Сделать резервную копию имеющейся ветки, чтобы была возможность откатиться: щелкаем в раздел AeDebug, затем правой клавишей мышки вызываем меню, там пункт Экспортировать, выбираем куда и Сохранить.
- После этого удаляем из системного реестра раздел AeDebug.
В удаленном разделе системного реестра AeDebug находятся конфигурации параметров которые использует системный отладчик Windows Dr. Watson. Этот дебаггер назначается по дефолту и используется при сбоях в работе приложений (в том случае если параметр Auto установлен в значение 1). Дефолтные настройки для Dr. Watson:
Параметр = Auto
Тип = String (REG_SZ)
Значение = 1 или 0. (По умолчанию “1″)
Параметр = Debugger
Тип = String (REG_SZ)
Значение = drwtsn32 -p %ld -e %ld -g
VN:F [1.9.21_1169]
Rating: 4.1/10 (60 votes cast)
VN:F [1.9.21_1169]
Rating: -3 (from 3 votes)
Рубрика: Windows | Ваш отзыв »
Thursday, 03 Dec 2009
Столкнулся с пакостным вирусом который сидит в двух файлах %SysWin%System32/sfcfiles.dll и %SysWin%System32/drivers/sfc.sys, причем оба видятся NOD32 который кричит что их надо удалить и точка, после чего машина перегружается и NOD видит их снова. Сам он в логах трактует их как троян программы Win32/Asent.PHC и Win32/Patched FR, по dr.web’овской классификации это Trojan.Siggen.1342 и Trojan.WinSpy.184 соответственно.
(more…)
VN:F [1.9.21_1169]
Rating: 7.5/10 (13 votes cast)
VN:F [1.9.21_1169]
Rating: +4 (from 10 votes)
Рубрика: IT безопасность, Windows | Отзывов: 11 »
Tuesday, 24 Nov 2009
Начинаем с того что ставим бесплатный клон RHEL под названием CentOS. Качаем с офф.сайта CentOS-5 ISOs и устанавливаем на машину, там все просто, не думаю что может вызвать какие то проблемы. После этого этого идем: K Menu -> Software Updater и апгрейдим систему до наиболее актуального состояния. Надо отметить, что это займет определенное время, в зависимости от производительности машины и величины интернет канала. После этого машину нужно будет перегрузить.
(more…)
VN:F [1.9.21_1169]
Rating: 7.8/10 (4 votes cast)
VN:F [1.9.21_1169]
Рубрика: Linux, Windows | Отзывов: 4 »
Wednesday, 18 Nov 2009
Нарисовалась у меня задача на плантациях: необходимо организовать службу технической поддержки. Делать нечего, приступаем. После месяца рисования схем и переписки с клиентами- поставщиками, обрисовали примерную схему работы, расписали что-кому- куда и как, после чего пришел черед организации самого портала, опосредством которого клиенты смогут закидывать наших инженеров своими тикетами.
После недели гугления получился небольшой списочек из 4-5 кандидатов на звание самого – самого, естественно что меня интересовали бесплатные и условно бесплатные движки. Перепробовав весь список и даже больше, ибо на Hostgatore, как оказалось в состав предлагаемых движков доступных через Fantastico de Luxe помимо множества бордов, CMS и магазинов, также входит 7 различных систем Service Desk, правда все они оказались этакими кастрированными версиями для организации службы поддержки, быстро и на коленке. Наиболее меня впечатлила система osTicket, на её базе вполне можно организовать простенький сервис деск исключительно для общения со службой поддержки через сайт. Но я искал более продуманную систему, поэтому поразмысли остановился на системе SupportCenter Plus от компании ManageEngine.
Система доступна в вариантах под Windows и под Linux, и представляет огромный функционал: почтовые ответы с использованием внешних почтовых систем, базу знаний, интеграцию с форумами, центральное управление учетными записями, каталог продукции, синхронизация БД, интеграция с AD и Outlook, генерацию отчетов. На сайте компании ManageEngine доступны два ознакомительных варианта: 30-ти дневный trial (двух версий Standard и Professional), а также так называемый Free Edition, дающий возможность управления 25 аккаунтами и функционал Standard Edition.
Система устанавливается на RedHat Linux 7.x и Debian 3.0, а также Windows 2000 Prof и XP, Server 2000/2003. В установочном комплекте идет движок БД MySQL, а также поддержка MS SQL 2000/2005 и большинства серверов SQL.
По стоимости получается: от 500 бачинcких за двух технарей в Standard Edition и от $1000 за двух инженеров в Professional Edition.
VN:F [1.9.21_1169]
Rating: 5.5/10 (4 votes cast)
VN:F [1.9.21_1169]
Rating: -2 (from 2 votes)
Рубрика: Linux, Windows | Ваш отзыв »
Wednesday, 18 Nov 2009
Радостная новость в стане мелкомягких, не успела появиться Windows 7, как обнаружилась DoS уязвимость, причем не абы где, а в самом сердце операционки: она базируется на реализации протокола Microsoft Server Message Block (SMB). Этой уязвимости подвержены серверные платформы Server 2008 и Windows 7, причем для последних это является первой зарегистрированной уязвимостью 0-дня (zero-day).
SMB – это протокол совместного межсетевого использования файлов (ненавижу переводить английскую терминологию) который входит в Microsoft Windows. Уязвимость вызывает ошибку SMB при обработке специально сконфигурированного SMB-пакета. Удаленный злоумышленник может использовать данную уязвимость через специально созданный особым образом сетевой пакет. Удачное использование уязвимости приведет к отказу в обслуживании атакуемой машины и её зависанию, вплоть до ручной перезагрузки системы. Данную уязвимость невозможно использовать для перехвата контроля или установки злонамерного программного обеспечения на атакуемую систему.
Со слов экспертов безопасности код эксплоита уже доступен, хотя специалисты Microsoft и высказывают сомнения относительно возможности использования этого эксплоита для атаки. Пользователям как обычно остается ждать святого дня Microsoft приходящегося на второй вторник месяца, т.е. в данном случае 8.12 и уповать на системы предотвращения вторжений IPS, которые способны предотвратить проникновение в систему не корректно сконфигурированных SMB пакетов.
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Windows | Ваш отзыв »
Monday, 14 Sep 2009
Собираюсь в отпуск, и естественно все как обычно. Перед отъездом что то должно навернуться однозначно. Пока это была милая сердцу флешка, с почтой, файлами, резюмехами и кучей всякой нужной инфы. Причем самое обидное что резервную копию я делал несколько месяцев назад, как обычно забив на это дело. Поскольку она была в FAT32, то кластеры съехали очень толково и вытащить инфу пока не получается, хотя не считая почты, не особо оно и надо. Но звоночек понят и новую флешку делаю в NTFS.
Есть два пути загнать флешку в NTFS: сконвертировать файлову систему и отформатировать.
(more…)
VN:F [1.9.21_1169]
Rating: 10.0/10 (4 votes cast)
VN:F [1.9.21_1169]
Rating: +4 (from 4 votes)
Рубрика: Windows, Файловые системы | 1 отзыв »
Tuesday, 18 Aug 2009
Натолкнулся сегодня на новую напасть- пакость выводит в системтрее красную иконку, которая постоянно высвечивает надпись: Your computer is infected, и далее дескать жмите скорее на иконку чтобы установить нормальный антивирус. Причем антивирь постоянно орет о наличии вирусов и троянов в системе, пытается их грохнуть, но ничего не получается. Запуск большинства утилит, которые я так красочно описывал в тревожном чемоданчике не запускаются, т.к. видимо запуск так же заблокирован трояном.
Возился часа три, пытаясь грохнуть, но так как HackJack не запускался, а одного Starter видемо было недостаточно, то каждая перезагрузка все равно приводила к одну результату, те. никак. В итоге после долгого поиска в инете выискал панацею: SmitfraudFix. Создатели обещали, что эта тулза грохает иконку и лечит пакости.
Скачиваем, перегружаемся в Защиту от сбоев через F8 в начале загрузки, после чего запускаем тулзу. Она чекает систему, выносит трояна, но как оказалось- трей не убивает, зато разблокирует все утилитки, т.ч. после запускаем нашего друга Jacka и AVZ которыми вычищаем все и радуемся тому, что не пришлось переставлять винюк.
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Windows | Ваш отзыв »
