SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE Menu startowe. Pliki konfiguracyjne Windows.
Agenda Menu startowe. Pliki konfiguracyjne Windows.
Menu startowe. - Szybsze wywoływanie Menu Start. - Wywołania okienek z polecenia Menu Start/Uruchom Szybsze wywoływanie Menu Start. Wywołanie Menu Start można przyśpieszyć poprzez wyłączenia zbędnego cienia pod menu: Prawy klik na pulpit >>> Properties / Właściwości >>> Appearance / Wygląd >>> Effects / Efekty i w okienie, które wyskoczy odhaczykowujemy opcję Show shadows under menus / Pokaż cienie pod menu. Na rezultat kliknięcia elementu w menu Start trzeba chwilę czekać, bo jest to wymuszone przez system. Można dostosować szybkość czasową reakcji: Start >>> Run / Uruchom >>> regedit HKEY_CURRENT_USER\Control Panel\Desktop MenuShowDelay - Domyślnie ustawiona wartość to 400 milisekund. Można ją ustawić nawet na 0. UWAGA: Ustawienie na zero może być nazbyt szybkie powodując wyskakiwanie niezamierzonych menu. Wartością optymalną jest 150. Inne wartości domyślne mieszczą się w przedziale od: 400 poprzez 300, 200, 150 czy 0
Szybsze wywoływanie Menu Start. Wywołanie Menu Start można przyśpieszyć poprzez wyłączenia zbędnego cienia pod menu: Prawy klik na pulpit >>> Properties / Właściwości >>> Appearance / Wygląd >>> Effects / Efekty i w okienie, które pojawibsię odznaczamy opcję Show shadows under menus / Pokaż cienie pod menu. Na rezultat kliknięcia elementu w menu Start trzeba chwilę czekać, bo jest to wymuszone przez system. Można dostosować szybkość czasową reakcji: Start >>> Run / Uruchom >>> regedit HKEY_CURRENT_USER\Control Panel\Desktop MenuShowDelay - Domyślnie ustawiona wartość to 400 milisekund. Można ją ustawić nawet na 0. UWAGA: Ustawienie na zero może być nazbyt szybkie powodując wyskakiwanie niezamierzonych menu. Wartością optymalną jest 150. Inne wartości domyślne mieszczą się w przedziale od: 400 poprzez 300, 200, 150 czy 0 Szybsze wywoływanie Menu Start. Wywołanie Menu Start można przyśpieszyć poprzez wyłączenia zbędnego cienia pod menu: Prawy klik na pulpit >>> Properties / Właściwości >>> Appearance / Wygląd >>> Effects / Efekty i w okienie, które wyskoczy odhaczykowujemy opcję Show shadows under menus / Pokaż cienie pod menu. Na rezultat kliknięcia elementu w menu Start trzeba chwilę czekać, bo jest to wymuszone przez system. Można dostosować szybkość czasową reakcji: Start >>> Run / Uruchom >>> regedit HKEY_CURRENT_USER\Control Panel\Desktop MenuShowDelay - Domyślnie ustawiona wartość to 400 milisekund. Można ją ustawić nawet na 0. UWAGA: Ustawienie na zero może być nazbyt szybkie powodując wyskakiwanie niezamierzonych menu. Wartością optymalną jest 150. Inne wartości domyślne mieszczą się w przedziale od: 400 poprzez 300, 200, 150 czy 0
Wywołania okienek z polecenia Menu Start/Uruchom Z polecenia Menu Start/Uruchom mamy możliwość wywołania okienek oraz zakładek/opcji kilku systemowych aplikacji. Pliki *.CPL powinny być skojarzone z c:\windows\system32\control.exe. Panel Sterowania (CONTROL.EXE)
Wywołania okienek z polecenia Menu Start/Uruchom Control Panel: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl - Właściwości: Dodaj/Usuń programy; desk.cpl - Właściwości: Ekran; main.cpl - Właściwości: Mysz; mmsys.cpl - Właściwości: Multimedia; sysdm.cpl - Właściwości: System; timedate.cpl - Właściwości: Data/Godzina; inetcpl.cpl - Właściwości: Internet; intl.cpl - Właściwości: Ustawienia regionalne; joy.cpl - Joystick; odbccp32.cpl - ODBC Data Source Administrator. hdwwiz.cpl- Kreator dodawania sprzętu ncpa.cpl - Połączenia sieciowe nusrmgr.cpl - Konta użytkowników powercfg.cpl - Właściwości opcje zasilania wuaucpl.cpl - Aktualizacje automatyczne
Pliki konfiguracyjne Windows. Msconfig Autostart Programy rezydujące Rundll32 Ćwiczenie
Zawiera informacje o uruchamianiu systemu, sterownikach, konfiguracji MSCONFIG Zawiera informacje o uruchamianiu systemu, sterownikach, konfiguracji
AUTOSTART
Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. To wynika z między innymi lekcji o architekturze Windows
Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. svchost.exe - proces ten obsługuje dużą liczbę usług, dlatego w Menedżerze zadań widzimy wiele jego kopii. alg.exe - nadzoruje dzielenie połączenia internetowego i firewalla. Radzę nie wyłączać go nawet, jeżeli korzystamy z firewalla innego niż ten wbudowany w Windows. Zabicie procesu może skutkować niestabilną pracą systemu. ctfmon.exe - część pakietu Microsoft Office, monitoruje aktywne okna, rozpoznawanie mowy, skróty klawiaturowe, schowek i inne ustawienia związane z użytkownikiem. Pracuje w tle nawet wtedy, kiedy nie używamy programów Office'a.
Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. spoolsv.exe - zarządza buforem wydruku, ustawia kolejkowanie drukowania. Można go wyłączyć jeżeli nie używa się drukarki, faksu lub programów symulujących ich działanie np. Acrobat Reader. smss.exe - jest to proces, który jest częścią systemu Microsoft Windows. Nazywany jest Menedżerem sesji. Zainicjowany przez system odpowiada za wiele czynności, m.in logowania WinLogon i Win32 (Csrss.exe). Nie można go wyłączyć, jest niezbędny do stabilnego działania systemu. csrss.exe - jego pełna nazwa to Client/Server Runtime Server Subsystem. Odpowiada za działanie większości komend graficznych. Ważny składnik systemu, nie powinien być zabijany.
Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. winlogon.exe - obsługuje procedury logowania i wylogowania się z systemu. lsass.exe - proces systemu bezpieczeństwa Windows, zarządzanie regułami dostępu i ochrona użytkownika. taskmgr.exe - Menedżer zadań Windows. To właśnie ten program uruchamiasz poprzez kombinacje klawiszy CRTL+ALT+DELETE. services.exe - zarządza składnikami systemu uruchamianymi przy starcie Windows, obsługuje ich automatyczne włączanie w czasie ładowania systemu i zatrzymywanie w chwili zamykania. Jest niezbędny to prawidłowego i stabilnego działania systemu.
Należy być czujnym. Są to najważniejsze procesy działające w systemie operacyjnym Microsoft Windows XP. Należy jednak pamiętać, że pod tymi nazwami lub bardzo podobnymi(!) mogą ukrywać się aplikacje szkodliwe, podszywające się pod dany program systemowy. Nie ma więc złotego środka na rozróżnienie ich. Warto też zwracać uwagę na użycie procesora i pamięci w czasie, kiedy praktycznie nie używamy komputera. Brak pamięci, duże użycie procesora może być skutkiem działania szkodliwego programu (wirusa, trojana), ale także złą konfiguracją systemu.
Należy być czujnym... Co umożliwia rundll32 ?
Co umożliwia rundll32 ? Program rundll32.exe umożliwia uruchamianie procedur zapisanych w plikach dll, exe i cpl. Najprościej uruchomić go za pomocą Start|Uruchom... Wpisujemy rundll32 nazwę pliku z procedurą i po przecinku nazwę procedury. Wygląda to np. tak: rundll32.exe shell32.dll,Control_RunDLL Lista ciekawych parametrów polecenia rundll32: shell32,Control_RunDLL - otwiera Panel Sterowania control - Panel sterowania control folders - Opcje folderów control userpasswords - Konta użytkowników control desktop - Właściwości: Ekran / Kompozycje control printers - Panel sterowania / Drukarki i faksy control mouse - Panel sterowania / Mysz control keyboard - Panel sterowania / Klawiatura control netconnections - Połączenia sieciowe control date/time - Właściwości: Data i godzina control schedtasks - Zaplanowane zadania control admintools - Narzędzia administracyjne control telephony - Ustawienia modemu control fonts - Folder "Czcionki" control international - Opcje regionalne i językowe user,wnetconnectdialog - okno dialogowe Mapuj Dysk Sieciowy user,wnetdisconnectdialog - okno dialogowe Odłącz Dysk Sieciowy user,disableoemlayer - wyłącza grafikę Windows (wygląda jak zawieszenie :) ) user,enableoemlayer - włącza grafikę Windows user,repaintscreen - odświeża ekran [F5] user,setcursorpos - kursor myszki leci w lewy-górny róg user,tilechildwindows - ustawia okna w rzędzie user,cascadechildwindows - odwrotność powyższego user,swapmousebutton - zamienia klawisze myszki user,setcareblinktime [n] - szybkość migania kursora user,setdoubleckilcktime [n] - szybkość dwukliku user.exe,MessageBeep - małe piknięcie diskcopy,DiskCopyRunDLL - okno dialogowe Kopiuj Dysk krnl386.exe,ExitKernel - zamknięcie sesji Kernela (bardzo szybkie zamknięcie systemu) mouse,disable - blokada myszki keyboard,disable - blokada klawiatury shell,shellexecute - otwiera okno explorera shell32,OpenAS_RunDLL - okno dialogowe Otwórz z ... shell32,SHFormatDrive - okno dialogowe Formatuj shell32,ShellAboutA - info o pamięci fizycznej i zasobach shell32,SHexitWindowsEX 0 - wylogowanie z Windowsa (potwierdzenie) shell32,SHexitWindowsEX 1 - zamyka Windows (potwierdzenie) shell32,SHexitWindowsEX 2 - restartuje Windows shell32,SHexitWindowsEX 3 - restartuje powloke Windows shell32,Control_RunDLL desk.cpl - okno właściwości ekranu shell32,Control_RunDLL main.cpl @0 - okno wlaściwości myszki shell32,Control_RunDLL main.cpl @1 - okno wlaściwości klawiatury shell32,Control_RunDLL main.cpl @3 - okno drukarek shell32,Control_RunDLL powercfg.cpl - właściwości zarządzania energią shell32,Control_RunDLL sysdm.cpl - okno właściwości systemu shell32,Control_RunDLL datetime.cpl - okno ustawień daty i czasu shell32,Control_RunDLL intl.cplv - okno ustawień regionalnych shell32,Control_RunDLL joy.cpl - okno kontrolerów gry shell32,Control_RunDLL sticpl.cpl - wlaściwości skanerów shell32,Control_RunDLL findfast.cpl - okno Find Fastu rundll32 mouse,disable - powoduje wyłącznie myszki rundll32 keyboard,disable - wyłącza klawiaturę rundll32 krnl386.exe,exitkernel - zamykanie windowsa Gdy zdecydujesz się użyć powyższych instrukcji, zablokujesz działanie klawiatury i/lub myszy. Na nic nie zda się przywołanie z parametrem "enable". Dopiero ponowne wczytanie systemu przywróci funkcjonowanie wyłączonych urządzeń. "Idealny", niezmiernie złośliwy sposób, aby dokuczyć koledze.
Czy plik rundll32.exe może być wirusem? Plik rundll32.exe może być zarażony wirusem istnieje podejrzenie, że jest wykorzystywany przez wirusa wirus jest widoczny na liście procesów jako rundll32.exe Jak sprawdzić ścieżkę? Najlepiej programem Process Explorer. Jeśli dana biblioteka nie jest biblioteką systemową ani nie należy do zainstalowanego przez nas programu, prawdopodobnie jest to wirus. Czy plik rundll32.exe może być wirusem? Plik rundll32.exe może być zarażony wirusem i wtedy trzeba go odtworzyć z kopii zapasowej lub płytki instalacyjnej. Przyjrzyjmy się jednak przypadkowi, gdy rundll32.exe jest nienaruszony a mimo to istnieje podejrzenie, że jest wykorzystywany przez wirusa. Ponieważ rundll32.exe potrafi uruchamiać inne programy (a właściwie funkcje z bibliotek), często jest wykorzystywany przez wirusy. Np. można spotkać w autostarcie plik rundll32.exe wywoływany z dwoma parametrami: biblioteką zawierającą wirusa i nazwą funkcji uruchamiającej wirusa. Tak uruchomiony wirus jest widoczny na liście procesów jako rundll32.exe co uspokaja użytkownika, który jest przeświadczony, że proces ten jako systemowy jest bezpieczny. Co więc zrobić, gdy widzimy rundll32.exe na liście procesów? Należy najpierw sprawdzić, czy rzeczywiście mamy do czynienia z plikiem systemowym Windows. Standardowo jest on w podkatalogu system32 w Windows z linii NT albo w System w starych Windows. Jeśli uruchomiony plik rundll32.exe pochodzi z innej ścieżki, należy podejrzewać, że jest to wirus. Jak sprawdzić ścieżkę? Najlepiej programem Process Explorer. Program ten pokaże też inną ważną rzecz: parametry uruchomienia. Dzięki temu możemy się dowiedzieć jaka biblioteka została załadowana i jaka funkcja uruchomiona. Jeśli dana biblioteka nie jest biblioteką systemową ani nie należy do zainstalowanego przez nas programu, prawdopodobnie jest to wirus. W celu upewnienia się należy skorzystać z Google. Jeśli stwierdzimy, że program rundll32.exe uruchomił wirusa, należy zabić jego proces a następnie skasować bibliotekę (DLL, CPL itp). Po usunięciu wirusa można skasować jego ewentualny wpis z autostartu.
Czy plik rundll32.exe może być wirusem? W celu upewnienia się należy skorzystać z Google. Jeśli stwierdzimy, że program rundll32.exe uruchomił wirusa, należy zabić jego proces a następnie skasować bibliotekę (DLL, CPL itp). Po usunięciu wirusa można skasować jego ewentualny wpis z autostartu. Czy plik rundll32.exe może być wirusem? Plik rundll32.exe może być zarażony wirusem i wtedy trzeba go odtworzyć z kopii zapasowej lub płytki instalacyjnej. Przyjrzyjmy się jednak przypadkowi, gdy rundll32.exe jest nienaruszony a mimo to istnieje podejrzenie, że jest wykorzystywany przez wirusa. Ponieważ rundll32.exe potrafi uruchamiać inne programy (a właściwie funkcje z bibliotek), często jest wykorzystywany przez wirusy. Np. można spotkać w autostarcie plik rundll32.exe wywoływany z dwoma parametrami: biblioteką zawierającą wirusa i nazwą funkcji uruchamiającej wirusa. Tak uruchomiony wirus jest widoczny na liście procesów jako rundll32.exe co uspokaja użytkownika, który jest przeświadczony, że proces ten jako systemowy jest bezpieczny. Co więc zrobić, gdy widzimy rundll32.exe na liście procesów? Należy najpierw sprawdzić, czy rzeczywiście mamy do czynienia z plikiem systemowym Windows. Standardowo jest on w podkatalogu system32 w Windows z linii NT albo w System w starych Windows. Jeśli uruchomiony plik rundll32.exe pochodzi z innej ścieżki, należy podejrzewać, że jest to wirus. Jak sprawdzić ścieżkę? Najlepiej programem Process Explorer. Program ten pokaże też inną ważną rzecz: parametry uruchomienia. Dzięki temu możemy się dowiedzieć jaka biblioteka została załadowana i jaka funkcja uruchomiona. Jeśli dana biblioteka nie jest biblioteką systemową ani nie należy do zainstalowanego przez nas programu, prawdopodobnie jest to wirus. W celu upewnienia się należy skorzystać z Google. Jeśli stwierdzimy, że program rundll32.exe uruchomił wirusa, należy zabić jego proces a następnie skasować bibliotekę (DLL, CPL itp). Po usunięciu wirusa można skasować jego ewentualny wpis z autostartu.
Co zrobić, gdy po zabiciu procesu wirusa natychmiast zostaje on uruchomiony ponownie? Najprawdopodobniej wirus składa się z dwóch plików exe i gdy jeden proces zostanie zakończony, ten drugi uruchamia go jeszcze raz. Jeśli mamy NTFS, najlepiej odebrać sobie prawa do wykonywania tych plików, zabić procesy i skasować pliki. Jeśli mamy FAT32, trzeba uruchomić komputer w trybie awaryjnym i skasować wirusy. Jeśli wirusy miały swoje wpisy w kluczach HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lub HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, należy te wpisy usunąć.
Process Explorer
Ćwiczenie Zbadaj programy i procesy uruchomione w twoim SO przy użyciu wyżej podanych narzędzi. Wynik podaj w formie sprawozdania. Zapoznaj się z możliwościami polecenia bootcfg. (bootcfg /rebuild => odtworzenie pliku boot.ini)
Pytania Daj możliwość zadania pytań dotyczących prezentacji.