Condividi tramite

  • Articolo

[Archivio newsletter ^] [< Volume 7, Numero 2] [Volume 8, Numero 2 >]

Newsletter Systems Internals Volume 8, Numero 1

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2 marzo 2006 - In questo numero:

  1. INTRODUZIONE
  2. AGGIORNAMENTI DEGLI STRUMENTI
  3. AGGIORNAMENTO DELLE LICENZE
  4. FORUM DI SYSINTERNALS
  5. BLOG DI MARK
  6. ARTICOLI DI MARK
  7. PROGRAMMA DEGLI INTERVENTI DI MARK
  8. CORSI PRATICI LIVE SU MECCANISMI INTERNI/RISOLUZIONE DEI PROBLEMI
  9. NUOVO CATALOGO VIDEO DI SYSINTERNALS PER LA RISOLUZIONE DEI PROBLEMI

Winternals Software è il principale sviluppatore e provider di strumenti avanzati di sistemi per Windows. La società è stata designata come "hot company" del 2006 dalla Info Security Products Guide (visitate http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

Inoltre, Recovery Manager e Administrator's Pak hanno ricevuto riconoscimenti come Products of the Year 2005 da SearchWinSystems.com. Recovery Manager ha ottenuto il Gold Award nella categoria Desktop Management, mentre Administrator's Pak ha conseguito il Silver Award nel gruppo Systems Management (http://searchwinsystems.techtarget.com/productsOfTheYear/0,294801,sid68_ayr2005,00.html)

Per informazioni complete sui prodotti, demo multimediali o webinar o per richiedere un CD di prova di entrambi i prodotti, potete visitare http://www.winternals.com

INTRODUZIONE

Ciao a tutti.

Vi do il benvenuto nella newsletter di Sysinternals. La newsletter conta attualmente 60.000 abbonati.

Nel mese di febbraio Sysinternals ha registrato 1,26 milioni di visitatori unici e 20 milioni di visualizzazioni di pagina. È stato classificato da Alexa.com come sito Web numero 6.900 su Internet (http://www.alexa.com/data/details/?url=www.sysinternals.com).

Gli strumenti più scaricati sono:

  • Procexp: 375.000 download/mese
  • Autoruns: 120.000 download/mese
  • Rootkit Revealer: 120.000 download/mese
  • Filemon: 100.000 download/mese
  • Regmon: 90.000 download/mese
  • Tcpview: 63.000 download/mese

Filemon, Regmon, Process Explorer e Autoruns sono stati scelti come "migliori strumenti in assoluto" dai partecipanti al newsgroup alt.comp.freeware (visitate http://www.pricelesswarehome.org/2006/about2006PL.php).

La mia vita è diventata più interessante quando lo scorso novembre ho pubblicato i miei risultati sul rootkit Sony. Ho avuto la mia prima apparizione televisiva nazionale e un'intervista radiofonica, oltre a decine di interviste alla stampa e articoli su riviste e giornali. Ora le cose si sono calmate e quindi sono tornato a lavorare per migliorare gli strumenti di Sysinternals. Di seguito troverete un elenco completo delle modifiche apportate dall'ultima newsletter.

Sono anche molto entusiasta del nuovo catalogo video di Sysinternals, un set di 6 DVD in cui vengono trattati gli argomenti principali sulla risoluzione dei problemi di Windows con gli strumenti di Sysinternals. Dovrebbero essere disponibili entro giugno. Guardate Sysinternals per le anteprime di clip video e un download gratuito di uno dei video.

Infine, se partecipate a una conferenza in cui sto parlando, fermatevi per un saluto. Oppure, trascorrere 5 giorni con me e Dave Solomon in una delle nostre lezioni live di Windows Internals & Advanced Troubleshooting a Londra, San Francisco o Austin.

-Mark Russinovich

AGGIORNAMENTI DEGLI STRUMENTI

Dall'ultima newsletter di agosto sono stati aggiornati molti strumenti. Dato che gli strumenti vengono aggiornati di frequente, assicuratevi di usare la versione più recente. Il modo migliore per rimanere al passo con le modifiche è quello di sottoscrivere il mio feed RSS all'indirizzo http://www.sysinternals.com/sysinternals.xml. E se non state ancora usando RSS per restare aggiornati sulle novità dei siti Web, è il momento di iniziare!.

Ecco un elenco dettagliato delle modifiche apportate per singolo strumento:

Process Explorer v10.06

Questo importante aggiornamento di Process Explorer include un elenco completo di nuovi miglioramenti e funzionalità per l'usabilità e la ricerca di malware. Per citare solo alcuni esempi: i comandi Runas e Run As Limited User, il riavvio dei processi, i set di colonne, le descrizioni comando migliorate per i processi hosting del servizio e Rundll32, le colonne di suddivisione dei working set, la verifica delle immagini DLL e il rilevamento delle immagini compresse.

RootkitRevealer v1.7

Questa nuova versione di rootkitRevealer include contromisure di rootkit più sofisticate, analisi completa degli hive del Registro di sistema, inclusi i profili utente, esecuzioni da sessioni Desktop remoto di Windows XP e supporto per volumi NTFS con dimensioni di cluster superiori a 4 kB, oltre che una serie di correzioni di bug e la riduzione del numero di falsi positivi. Non mancano nemmeno le versioni anti-rilevamento a pagamento del rootkit Hacker Defender.

RegDelNull v1.1

Questa nuova applet consente di trovare ed eliminare le chiavi del Registro di sistema che "non sono eliminabili" mediante le utilità standard di modifica del Registro di sistema perché hanno caratteri Null incorporati nei nomi. In risposta all'uso di tali chiavi da parte di malware, RegDelNull può ora sbloccare ed eliminare chiavi che hanno non solo valori Null incorporati, ma anche autorizzazioni di sicurezza che li rendono altrimenti inaccessibili.

Sigcheck v1.3

Sigcheck, un potente strumento da riga di comando per la verifica della firma e delle informazioni sulla versione dei file, ora include un nuovo flag che mostra solo il numero di versione di un file.

PsExec v1.7

Questo aggiornamento di PsExec include un nuovo commutatore -l che gli account amministrativi possono usare per l'esecuzione di processi con privilegi di account utente limitati. È possibile eseguire un'istanza di Internet Explorer con diritti limitati, prima che esca Internet Explorer 7 (in Vista), semplicemente creando un collegamento per avviarlo con l'opzione.

Autoruns v8.42

Autoruns ora conosce ancora più percorsi di avvio automatico, tra cui il valore del Registro di sistema per la verifica dell'avvio Winlogon, gli hijack di apertura della shell, i driver in modalità kernel, le DLL di monitoraggio di stampa e i gestori di colonna di Explorer, tutti usati da malware reale. È stata aggiunta anche la verifica della firma su richiesta per singoli elementi e sono state notevolmente migliorate le prestazioni del tempo di analisi quando viene selezionata la verifica dell'immagine.

Autoruns supporta ora percorsi del Registro di sistema e del file system di lunghezza arbitraria, include una funzionalità per la ricerca tramite elementi configurati, introduce una funzionalità per il confronto degli attuali avvii automatici con una versione salvata in precedenza in modo da facilitare l'identificazione di nuove aggiunte.

ProcFeatures v1.0

Questa applet segnala il supporto del processore e di Windows per le estensioni degli indirizzi fisici e la protezione dall'overflow del buffer No Execute.

DiskView v2.2

DiskVew, un'utilità che consente di esaminare le allocazioni di cluster di un volume, ora mostra un riepilogo dei frammenti di un file quando si fa doppio clic su uno dei cluster del file e il pulsante Mostra avanti passa al frammento successivo di un file selezionato.

DebugView v4.5

DebugView è uno strumento di sviluppo che acquisisce l'output di debug in modalità utente e kernel. Dopo molte richieste da parte degli utenti, in DebugView è ora disponibile la funzionalità che consente di creare un nuovo file di log e cancellare la visualizzazione ogni giorno.

AccessEnum v1.3

AccessEnum è un'utilità di sicurezza potente che consente di individuare facilmente i descrittori di sicurezza dei file e del Registro di sistema che non sono configurati correttamente. La versione 1.3 include correzioni di bug, creazione di temi di Windows XP e un nuovo formato di file compatibile con l'importazione di Excel.

Livekd v3.0

LiveKd, un'utilità che consente di visualizzare il sistema locale come se fosse un dump di arresto anomalo usando i debugger del kernel Microsoft standard, ora supporta le versioni x64 di Windows e include alcune correzioni di bug secondarie.

Regmon v7.02

Questo aggiornamento secondario presenta messaggi di errore più chiari per i casi in cui un account non dispone dei privilegi necessari per eseguire Regmon oppure Regmon è già in esecuzione e consolida le versioni a 32 bit e a 64 bit (x64) in un singolo file binario.

AGGIORNAMENTO DELLE LICENZE

Ci viene chiesto spesso di specificare le regole relative ai nostri strumenti freeware. È stato avviato l'inserimento di un popup contratto di licenza con l'utente finale che viene visualizzato la prima volta che si esegue uno strumento: il testo viene letto come segue:

"È consentito l'utilizzo del software pubblicato su questo sito Web, a casa o al lavoro, senza il pagamento di una licenza commerciale, a condizione che l'utente abbia scaricato personalmente il software da Sysinternals, che utilizzi il software su computer di cui è l'utente principale, che utilizzi il software su sistemi per i quali non esiste un utente principale (ad esempio un server, compreso un terminal server) e che sia un dipendente a tempo pieno dell'azienda che possiede il server, o che utilizzi il software su un computer all'interno di un'abitazione in cui è residente."

La pagina delle licenze freeware di Sysinternals all'indirizzo http://www.sysinternals.com/Licensing.html illustra ora gli scenari in cui è necessaria una licenza commerciale a pagamento per l'uso.

FORUM DI SYSINTERNALS

Visitate uno dei 16 forum interattivi di Sysinternals (http://www.sysinternals.com/forum). Oltre ai forum dedicati su ognuno dei principali strumenti, ci sono quattro forum tecnici di Windows: Malware, Risoluzione dei problemi, Meccanismi interni e Sviluppo.

Con oltre 7352 membri (fino a quasi 6000 in 6 mesi), finora ci sono stati 14.667 su 4384 argomenti diversi, il che si traduce in 2000 messaggi al mese negli ultimi 6 mesi!

BLOG DI MARK

Il mio blog ha ricevuto un nuovo livello di attenzione con la pubblicazione dei miei risultati sul rootkit Sony, ma ci sono stati diversi altri post non legati al problema Sony. Ecco un elenco di articoli dall'ultima newsletter:

  • 06/02/2006 Uso di rootkit per sconfiggere Digital Rights Management
  • 18/01/2006 All'interno della backdoor WMF
  • 15/01/2006 Rootkit nel software commerciale
  • 03/01/2006 La cospirazione antispyware
  • 30/12/2005 Sony accetta un accordo
  • 12/12/2005 Eludere Criteri di gruppo come utente limitato
  • 30/11/2005 Una dichiarazione di vittoria prematura?
  • 16/11/2005 Vittoria!
  • 14/11/2005 Sony: nessun altro rootkit, per il momento
  • 09/11/2005 Sony: Non vorrai mica disinstallare, vero?
  • 6/11/2005 Rootkit di Sony: le prime 4 riposte di Internet
  • 04/11/2005 Altre informazioni su Sony: patch di decloaking pericolose, EULA e telefonate a domicilio
  • 31/10/2005 Sony: i rootkit e Digital Rights Management si sono spinti troppo oltre
  • 19/10/2005 È un privilegio per ignorare il controllo incrociato o per richiedere la notifica di modifiche?
  • 02/10/2005 La spazzatura del Registro di sistema: un fatto di vita di Windows
  • 19/09/2005 Immagini multipiattaforma
  • 28/08/2005 Il caso dei blocchi intermittenti (e fastidiosi) di Explorer

Per un elenco completo degli articoli, visitate http://www.sysinternals.com/blog/blogindex.html

ARTICOLI DI MARK

L'argomento del mio ultimo articolo in Windows IT Pro Magazine è stato AccessEnum, che analizza un volume, una sottodirectory o una chiave del Registro di sistema specificata per individuare potenziali problemi nelle impostazioni di sicurezza.

L'articolo è disponibile online per i sottoscrittori all'indirizzo http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1

PROGRAMMA DEGLI INTERVENTI DI MARK

Lo scorso autunno ho tenuto interventi in occasione della Microsoft 2005 Professional Developers Conference (nel mese di settembre a Los Angeles), della conferenza Windows Connections (nel mese di novembre a San Francisco) e del Microsoft IT Forum (nel mese di novembre a Barcellona).

I miei prossimi interventi saranno in occasione del Microsoft TechEd 2006, a Boston nel mese di giugno. Presenterò un'esercitazione preliminare alla conferenza, insieme a Dave Solomon, sulla pulizia del malware avanzato l'11 giugno (http://www.msteched.com/content/precons.aspx). Condurrò anche quattro sessioni di breakout su argomenti quali modifiche al kernel di Vista, risoluzione dei problemi con Filemon e Regmon, analisi degli arresti anomali e dei blocchi di Windows e tecniche di pulizia del malware avanzato.

Per gli ultimi aggiornamenti, visitate http://www.sysinternals.com/Information/SpeakingSchedule.html

CORSI PRATICI LIVE SU MECCANISMI INTERNI/RISOLUZIONE DEI PROBLEMI

Se vi piace Sysinternals o il libro Windows Internals oppure volete saperne di più sui meccanismi interni del sistema operativo Windows, tra cui le nuove funzionalità di Vista, vorrete sicuramente partecipare agli esclusivi seminari di cinque giorni in cui Dave Solomon e io offriremo insegnamenti pratici (in modalità Bring Your Own Laptop) sui meccanismi interni di Windows e sulla risoluzione avanzata dei problemi. Le date di quest'anno sono:

  • Londra, 26-30 giugno 2006
  • San Francisco, 18-22 settembre 2006
  • Austin, TX, 11-15 dicembre 2006

Seguendo questo corso potrete acquisire una conoscenza approfondita dell'architettura del kernel di Windows, inclusi i meccanismi interni dei processi, la pianificazione dei thread, la gestione della memoria, l'I/O, i servizi, la sicurezza, il Registro di sistema e il processo di avvio. Inoltre, illustreremo tecniche avanzate per la risoluzione dei problemi, ad esempio la disinfezione del malware, l'analisi dei dump di arresto anomalo del sistema (schermata blu) e il superamento dei problemi di avvio.

Verranno inoltre illustrati suggerimenti avanzati sull'uso degli strumenti chiave di www.sysinternals.com (ad esempio Filemon, Regmon e Esplora processi) per risolvere una serie di problemi di sistema e applicazioni, ad esempio computer lenti, rilevamento di virus, conflitti di DLL, problemi di autorizzazione e problemi del Registro di sistema. Questi strumenti vengono usati quotidianamente dal supporto tecnico Microsoft e sono stati applicati in modo efficace per risolvere una vasta gamma di problemi di desktop e server. Di conseguenza, acquisire familiarità con il funzionamento e l'applicazione di questi strumenti aiuterà a gestire diversi problemi in Windows. Verranno forniti esempi del mondo reale che mostrano l'applicazione efficace di questi strumenti per risolvere i problemi reali. Inoltre, poiché il corso è stato sviluppato con accesso completo al codice sorgente del kernel di Windows E ai suoi sviluppatori, avrete la certezza di conoscere i fatti reali.

E se avete 20 o più persone, potreste trovare più interessante un corso privato presso la vostra sede (inviate un messaggio di posta elettronica all'indirizzo seminars@... per maggiori dettagli).

Per altri dettagli e per registrarvi, visitate
http://www.sysinternals.com/Troubleshooting.html

NUOVO CATALOGO VIDEO DI SYSINTERNALS PER LA RISOLUZIONE DEI PROBLEMI

Dave Solomon e io abbiamo recentemente girato una nuova serie di video dal titolo "The Sysinternals Troubleshooting Library". Sarà un set di sei DVD in cui verranno trattati gli argomenti essenziali sui meccanismi interni di Windows e la risoluzione avanzata dei problemi con gli strumenti di Sysinternals. I titoli dei dischi sono:

  • Disco 1 - Tour of the Sysinternals Tools
  • Disco 2 - Troubleshooting with Process Explorer
  • Disco 3 - Troubleshooting with Filemon and Regmon
  • Disco 4 - Troubleshooting Memory Problems
  • Disco 5 - Crash Dump & Hang Analysis
  • Disco 6 - Risoluzione dei problemi di avvio e avvio

Prevediamo che alcuni contenuti video di esempio siano disponibili per il download questo mese. I dischi dovrebbero essere spediti entro giugno. Offriremo un prezzo scontato quando apriremo i pre-ordini, auspicabilmente nel mese di maggio. Quando saranno disponibili per il pre-ordine, invieremo un avviso a questo elenco di interesse.

Grazie per aver letto la newsletter di Sysinternals.

Pubblicata da ottoh martedì 2 maggio 2006 alle 16.29

[Archivio newsletter ^] [< Volume 7, Numero 2] [Volume 8, Numero 2 >]