инструменты Марка Руссиновича
X

Привет дорогой друг

Наш сайт существует и развиваетется за счет рекламы. Пожалуйста, отключите блокировку рекламы AdBlock или подобное, для нашего сайта. Спасибо!
Показано с 1 по 2 из 2
  1. #1
    Помогает людям
    Аватар для HPDX2300
    Регистрация
    18.04.2018
    Адрес
    HP-Compaq DX2300 microtower PC
    Сообщений
    270
    Сказал(а) спасибо
    69
    Поблагодарили 1818 раз(а) в 397 сообщениях

    По умолчанию инструменты Марка Руссиновича

    Утилиты Sysinternals. Скачать тут

    «Утилиты Sysinternals. Справочник» CHM+PDF

    Если у вас случился крах изделия секты "АднаСекта", то для расследования причин помогает Process Monitor

    Если у вас в винде есть что-то (файл, запись в реестре), к чему вы не имеете доступ на изменение/удаление, то PsExec поможет вам запустить любой процесс (procmon64.exe, regedit.exe, far.exe, wincmd.exe) от имени учетки System (или другой локальной учетки) - тем самым вы получите доступ на изменение/удаление, ведь учетка System чаще всего имеет полный доступ, в очень редких случаях System имеет доступ "только для чтения/выполнения".

    позже я покажу в картинках "как изделие сектантов обнаруживает локальные эмуляторы multikey, vusb, vusbbus, haspflt ?"

    для начала, картинка ещё времён изделия 8.3.16
    файл драйвера мультика system32\drivers\multikey.sys удалён, но системный сервис (служба) эмулятора "multikey" остался болтаться в реестре (выделено чёрным фоном) - в результате крах "целка сломана"
    Последний раз редактировалось HPDX2300; 12.09.2023 в 23:13.
    "кинжал хорош для того, у кого он есть, и плохо тому у кого он не окажется в нужное время"

  2. 3 пользователя(ей) сказали cпасибо:

    alexandr_ll (12.09.2023), gadzilkin (22.09.2023), _BigB_ (12.09.2023)

  3. #2
    Помогает людям
    Аватар для HPDX2300
    Регистрация
    18.04.2018
    Адрес
    HP-Compaq DX2300 microtower PC
    Сообщений
    270
    Сказал(а) спасибо
    69
    Поблагодарили 1818 раз(а) в 397 сообщениях

    По умолчанию Re: инструменты Марка Руссиновича

    запуск cmd.exe под системной учеткой System:
    Код:
    PsExec.exe -s -i C:\Windows\system32\cmd.exe
    посмотрим членство в системных группах и привилегии на уровне ОС:
    Код:
    whoami /all


    запуск файлового менеджера far.exe (можно так же запускать totalcmd.exe) под системной учеткой System:
    Код:
    PsExec.exe -s -i C:\APPL\FAR\far.exe

    поясню "механику" происходящего:
    PsExec.exe (PID=224) запустило под системной учеткой System системную службу с процессом PsExecSVC.exe (PID=1728), последняя запустила под системной учеткой System процесс C:\APPL\FAR\far.exe (PID=1412), чьё окно мы видим в своей сессии винды. Удобнее выполнять действия с файлами/папками в окне FAR или TotalCmd, нежели в командной строке (обратная сторона удобства - надо быть осторожным, одно неловкое движение и вы угробите свою винду).

    запуск редактора Реестра regedit.exe под системной учеткой System:
    Код:
    PsExec.exe -s -i C:\Windows\regedit.exe


    запуск Process Explorer (можно так же запускать Process Monitor - procmon.exe) под системной учеткой System:
    Код:
    PsExec.exe -s -i C:\APPL\procexp.exe
    Последний раз редактировалось HPDX2300; 04.12.2023 в 12:39.
    "кинжал хорош для того, у кого он есть, и плохо тому у кого он не окажется в нужное время"

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 20.07.2011, 15:43

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •