Марк руссинович утилиты

О писателе

Книга Марка Руссиновича «Zero Day: A Novel» цепляет все ту же тему, что и Daemon & Freedom TM Суареса — современное состояние безопасности компьютерных сетей и интернета оставляет желать лучшего. Марк Руссинович — это тот человек, который известен своими Sysinternals тулзами. А это его дебют как писателя.

Если коротко, то книгу можно охарактеризовать как детективный экшн основанный на ИТ безопасности. Там есть подтянутый умный крепыш — главный герой, есть красивая умница — девушка главного героя, есть террористы, есть тупой шеф, который всем мешает. Ну и, конечно же, есть спасение мира — без этого сейчас тяжело.
А если серьезнее, то есть размышления на тему того, как глубоко завязли мы в компьютерах и интернете, и как тяжело и больно будет, если это все резко оторвать. Писалось с точки зрения американского айтишника — и там действительно все немного плотнее подсажены на нет, чем у нас, но все же… Как бы то ни было, в технологическом плане весь мир завязан на Штаты, и глобальный катаклизм там не пройдет мимо нас (доказательством этого можно считать недавний кризис).
Книга о том, что если кто-то основательно задастся мыслью сделать плохо как можно большему количеству людей через интернет, то у него есть все шансы на успех. Этому помогает как некачественный софт, так и наплевательское отношение самих пользователей. Пользователи уже совсем свыклись с тем, что компьютер и интернет — это обычные вещи, которые не опаснее микроволновки (в ней ведь можно еду взорвать, если неправильно воспользоваться). Потому думать о апдейтах, фишинге, вирусах, червях, троянах и руткитах пользователь не должен — за него должны это делать вендоры. Так думает пользователь. А вендору главное — получить свои 30 баксов с коробочной версии софта, и держать несколько десятков человек на суппорте — на этом его сфера ответственности тоже заканчивается. Вот и получается что на среднестатистическом компьютере, который подключен к интернету, обязательно есть какая-то зараза. И то, что еще никто не задался целью провести массированную атаку не на конкретную версию отдельного программного продукта, а на весь интернет в общем — вопрос времени.
Был недавно на конференции по ИТ безопасности (UISG#6) и послушал доклад о современных ботнетах. Ботнеты из домашних виндовых компьютеров — это уже вчерашний день. Ботнеты из серверов — это уже вчерашний день. Ботнеты из домашних WiFi роутеров — это уже вчерашний день. И даже ботнеты из смартфонов — это уже не популярно. Новый тренд, модный в Европе — это ботнет из умных счетчиков на воду/газ/электричество. Вот так вот…
На фоне этого крайне интересно читается новость о том, что планируют выпускать лампочки с IPv6 адресом и беспроводным интерфейсом для управления. Вы когда-либо слышали про дефейс лампочки? Скоро и это может стать реальностью.
Слышал мысли о том, что глобальный переход на IPv6 адресацию должен кардинально поменять всю картинку в ИТ безопасности, и к тому же в лучшую сторону. Потому как будет проще закрывать на файрволах сразу целые подсети, сканировать эти же подсети окажется достаточно дорогим удовольствием и т.д. и т.п. Хотя, как мне кажется, технические нововведения не смогут ничего изменить кардинально, пока не поменяется отношение.
Когда софт будет писаться с оглядкой на возможные последствия, а не на горящие дедлайны. И когда прошивка на телефон будет писаться так же аккуратно, как и программа управления полетом спутника. Потому как спутник один, а телефонов с такой прошивкой — миллионы. И не факт, что последствия от ошибки в программе спутника будут дороже. Зависит от приложенных усилий.
В книге все закончилось хорошо и радостно. Ну, или почти хорошо и не до конца радостно. Но главные герои выжили — и это радует.
А в нашей стране все больше и больше систем компьютеризируются и попадают в интернет. И часто ответственные за это руководствуются величиной распила бюджета, а не тем, как это будет работать через 5 лет, к примеру.
Вот после таких книг начинает быть понятно, почему все безопасники немного параноики…

Оригинал рецензии

Материал любезно предоставил bmp
Знаток изнанки операционных систем: Марк Руссинович
Ни у нас, ни на западе не наблюдается нехватки талантливых программистов. Однако людей в статусе «гуру» среди них единицы, – как, впрочем, в любой другой области. Таких мастеров своего дела нужно знать в лицо (или хотя бы по имени), потому что они определенно этого заслуживают. Сегодня представляем Марка Руссиновича, эксперта по части Windows и не только.
Who is Mister Russinovich?
Оказывается, имя Марка Руссиновича (Mark Russinovich) большинству людей на сегодня ровным счетом ни о чем не говорит.
Итак, Марк Руссинович – это американский программист и писатель, эксперт с мировым именем, один из ведущих специалистов в области архитектуры и дизайна операционных систем, а в частности, внутреннего устройства Windows. В 2006 году он вошел в Top 5 хакеров планеты, по мнению журнала eWeek, на ряду с Жанной Рутковской и Дэвидом Майнором.
Исходя из перечисленного, нетрудно догадаться, что образование у Марка самое что ни на есть профильное (впрочем, история знает исключения даже в таких сферах) — он выпускник университета Карнеги-Меллона, обладатель двух степеней: бакалавра и доктора в области вычислительной техники.
По окончании университета Руссинович и не подумал сворачивать с взятого курса, некоторое время проработав в исследовательском центре корпорации IBM (в должности эксперта по операционным системам). Долго он там не задержался и вскоре отправился в свободное плавание. В 1996 году, совместно с еще одним разработчиком ПО — Брюсом Когсвеллом (Bryce Cogswell), Руссинович организовал свое предприятие, получившее имя Winternals Software LP. Деятельность Марка сосредоточилась вокруг написания различных freeware тулз для администрирования и диагностики MS Windows. Его компания придерживалась того же направления, с одной лишь небольшой разницей — продукция фирмы, где Руссинович долгие годы занимал пост главного архитектора программного обеспечения, уже была платной.
Свои утилиты Руссинович и коллеги распространяли через сайт Sysinternals.com (ранее – ntinternals), а так как недостатка в идеях они явно не испытывали — на сегодня полезных софтинок за их авторством насчитывается уже более 60 штук. В качестве наиболее известных, пожалуй, можно перечислить — Process Monitor (ранее – Filemon и Regmon), Process Explorer, RootkitRevealer и утилиты вроде NTFSDOS, помогающие в работе и, по сути, восполняющие пробелы в «Винде» (так, NTFSDOS делает видимыми все NTFS-разделы при работе под MS-DOS). Из последней полезности вытекает тот простой факт, что Руссинович написал драйвер файловой системы NTFS под DOS. Это, конечно, далеко не главная из его заслуг, но и не последняя.
Скачать все эти маленькие приятности можно было как по отдельности, так и готовыми наборами. Например, некогда особенной популярностью пользовался пак под незамысловатым названием Winternals Administrator Pak. И что особенно интересно, на сайте публиковались даже версии для Linux, о котором эксперты по Windows, как ни странно, не забывали. А в более поздних релизах появились версии для 64-битных систем. Словом, все шло хорошо, пока на горизонте не возник Microsoft, великий и ужасный.
Просто пройти мимо столь талантливых специалистов «мелкомягкие» не могли. К 2006 году послужной список Winternals Software действительно внушал уважение, и на Sysinternals можно было найти утилиты на все случаи жизни. Сайт предлагал настолько удобные и практичные вещи, что даже краткого знакомства с ними хватало, чтобы понять — в Windows, в самом деле, ощутимо недостает всего этого.
Закономерным итогом интереса, проявленного Microsoft, стала покупка Winternals Software. После совершения сделки праздник жизни на Sysinternals немного сбавил обороты. Например, с сайта исчез сорс код, ранее свободно публиковавшийся для многих софтин, пропали версии для Linux, – и сразу же были удалены утилиты вроде NT Locksmith, позволявшей восстановить пароль от системы практически в любых условиях. В остальном Microsoft не имели никаких возражений против существования сайта и методов распространения ПО. Во всяком случае, сразу после слияния Руссинович заверил публику, что Sysinternals продолжит работать «почти как обычно».
В Microsoft Марк получил гордое звание Technical Fellow, что, по сути, означает члена технического совета корпорации. Эту должность он занимает по сей день, трудясь на благо подразделения платформ и служб (Platform and Services Division). На новом месте в обязанности Руссиновича вошли работа над проблемой обнаружения руткитов и создание для этого соответствующих средств, а также разработка утилит для ликвидации всевозможных malware-программ. Можно сказать, что Марк Руссинович еще с 2006 года стоит на страже наших компов .
Популярность
Тот факт, что сегодня Марк занимается именно вопросами руткитов, довольно любопытен, потому как широкие массы познакомились с самим словом «руткит» во многом благодаря нему. Произошло это в 2005 году, еще до перехода Руссиновича в Microsoft. Тогда наш герой, в ходе тестирования своего детища с говорящим за себя названием RootkitRevealer, обнаружил, что на его собственном компьютере происходит некая подозрительная активность. Искренне удивленный, Марк позже писал в своем блоге: «Учитывая, что я весьма осторожен при использовании интернета и софт устанавливаю только из надежных источников, я понятия не имел, где мог подцепить настоящий руткит, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR».
Однако дело оказалось не в ошибках RootkitRevealer’а, а в лицензионном диске от компании Sony BMG Music Entertainment, который Руссинович незадолго до этого приобрел на Amazon.com. Интернет-магазин честно предупреждал о том, что диск защищен от копирования средствами DRM (Digital rights management), но не сообщал, какими конкретно. Пришлось проводить самостоятельное расследование, в ходе которого и стало ясно, что Sony переходит все рамки разумного, а удалить руткит иначе как вручную невозможно — он забрался даже в HKLM\System\CurrentControlSet\SafeBoot, то есть продолжал функционировать даже в безопасном режиме. Возмущенный до глубины души Руссинович, конечно, в итоге, сумел совладать с заразой, но умалчивать об этом эпизоде не стал, подробно описав случившееся в своем блоге. IT-сообщество всколыхнулось, и уже через считанные часы эту информацию подхватила половина интернета, а затем и ведущие СМИ. Позже он в качестве эксперта выступал на судебном процессе против Sony, давал многочисленные интервью и комментарии прессе, и, в целом, привлек к этой проблеме повышенное внимание. Массы, благодаря этому инциденту, узнали, что такое «руткит» и насколько это плохо, а также узнали о существовании такого человека, как Марк Руссинович. Получилось, что Марк, неожиданно даже для самого себя, прославился.
Еще одна испостась Руссиновича, принесшая ему определенную известность — писатель. Помимо прочего, Марк является соавтором нескольких книг, включая такой бестселлер как Microsoft Windows Internals («Внутренняя структура ОС Microsoft Windows»). Он написал множество самых разных статей и мануалов, на регулярной основе сотрудничая с журналами TechNet Magazine и Windows IT Pro (бывший Windows NT Magazine).
Плюс ко всему, Руссинович продолжает вести блог, найти который можно по ссылке http://blogs.technet.com/markrussinovich/
Русская версия блога расположена http://blogs.technet.com/mark_russinovich/
Вот уже который год блог Марка удерживает позиции одного из топовых блогов среди всех сотрудников Microsoft.
Из всего этого ясно, что с таким экспертом, как господин Руссинович, интересно было бы поговорить. Узнать, например, его мнение о Windows 7 и ее безопасности, или о том, какие наработки есть у бывших сотрудников Winternals для новой ОС, но…
Марк является автором более 60 крохотных, но очень полезных утилит. С помощью этих программ можно, например:
1. Узнать, какие программы или процессы запущены в системе;
2. Узнать, какие файлы открывали (создавали или читали) эти процессы плюс куда и что они записали (прочитали) в реестре;
3. Определить, кто из этих или других процессов забрался в автозагрузку;
4. Какие порты используют эти программы и к какому адресу в интернете они обращаются;
5. Также с их помощью можно дефрагментировать системные файлы и файл подкачки;
6. Помогут избавиться вам от руткитов;
7. С ними можно вывести системную информацию прямо на десктоп;
8. С их помощью можно будет администрировать ваши сервера…
Наиболее интересные, на мой взгляд, программы Марка Руссиновича и Winternals Software:
Process Explorer 11.33

Вам когда-нибудь хотелось узнать, какая программа открыла тот или иной файл или каталог? Теперь у вас есть такая возможность. Программа Process Explorer отображает информацию об открытых процессом дескрипторах и загруженных им библиотеках DLL.

Скачать: 1.37 Мб
letitbit
rghost
Process Monitor 2.28
(перевод программы сделан Neiz для Sorus.ucoz.ru)
Программа Process Monitor является усовершенствованным инструментом отслеживания для Windows, который в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную и безвредную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременный запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ.

extabit.com
uploading
PageDefrag 2.3.2

Стандартный дефрагментатор Windows не дефрагментирует файлы, которые открыты системой. Эти файлы наиболее активно используются системой и их большая фрагментация может снижать общее быстродействие. Учитывая, что файл подкачки обычно большого размера, его фрагментация может быть очень существенной. Дефрагментировав файл подкачки, файлы реестра и журналов работы системы можно повысить скорость обращения к ним и получить прирост производительности. Это особенно актуально для компьютеров со старыми винчестерами или малым объемом оперативной памяти. Дефрагментация файла hibernate.sys, в котором система сохраняет содержимое оперативной памяти при переходе в спящий режим, позволит сократить время переключения в этот режим и обратно.
Утилита Sysinternals System Defragmenter очень проста в использовании. После ее запуска на экран будет выведено главное окно программы. В поле File будет перечислены все файлы, которые может дефрагментировать утилита и указано количество фрагментов этих файлов. Чтобы выполнить дефрагментацию нужно установить переключатель в группе Defragmentation Control в положение Defragment at next boot (дефрагментировать при следующей загрузке) или Defragment every boot (дефрагментировать при каждой загрузке) и указать в поле Defragment abort countdown количество секунд, в течение которых при загрузке системы дефрагментация может быть отменена. После выбора одного из этих типов дефрагментации нужно перезагрузить компьютер. Во время загрузки будет запущен процесс дефрагментации.

Чтобы отключить дефрагментацию при каждой загрузке нужно выбрать пункт Don`t defragment (не дефрагментировать).
Следует помнить, что для эффективной дефрагментации системных файлов, на диске, где они находятся, должно быть свободно не менее 15% места. Перед запуском дефрагментации системных файлов необходимо дефрагментировать системный диск при помощи стандартного дефрагментатора (Пуск – Выполнить – dfrg.msc).
ВАЖНО: на Windows 7 и Vista не работает
Скачать: 155 Кб
letitbit
rghost
AutoRuns 9.56

AutoRuns — утилита, которая позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов. Естетственно, можно не просто контролировать, что запускается при старте, но и удалить любой компонент из автозагрузки. Кроме этого, Autoruns позволяет быстро — одним кликом — перейти в то место, откуда запускается интересующее приложение/сервис. Наконец, есть у этой программы и такая замечательная опция, как получение дополнительной (кроме той, что показывается в окне программы) информации о приложении или сервисе, для чего достаточно выделить интересующее приложение и нажать Ctrl+G (или выбрать в меню Entry – Google). Autoruns сформирует запрос и отправит его на поисковую систему Google; результаты запроса будут показаны в веб-браузере.
ОС: Windows 98/ME/2000/XP/2003/Vista
У нас на форуме находится http://sorus.ucoz.ru/forum/74-10685-1
Кроме того, вы можете ознакомиться со статьями Марка Руссиновича.
Скачать: 2.09 Мб
letitbit
rghost Прикрепления: 6290926.jpg(46.3 Kb) · 7742713.jpg(79.0 Kb) · 2974278.jpg(44.8 Kb) · 2609836.jpg(103.4 Kb) · 6364772.jpg(113.3 Kb)

Читать Марка Руссиновича по-русски


Ура! На нашей улице снова праздник — открылся русский блог Марка Руссиновича. Как же такое случилось, ведь Марк никогда в произнесении публичных речей на русском замечен не был спросите вы? В начале года ко мне снова вернулась одна идея, которая достаточно давно не дает покоя. Хорошо бы прославленые технические звезды Microsoft и другие влиятельные люди ИТ индустрии писали бы свои блоги на нашем, родном русском языке. Вот радость была бы для для русскоязычных ИТ специалистов. Не секрет, что очень часто, начинающие карьеру в ИТ не очень хорошо владеют английским и это затрудняет понимание сути технологий, осложняет последующее внедрение и поддержку. Казалось бы одни плюсы от перевода всего что есть в ИТ библиотеке на русский.
В тоже время многие из знакомых мне ветеранов ИТ непреклонно выступают за чтение документации на оригинальном т.е английском языке. С одной стороны это гаранатирует отсутствие ошибок которые могут быть внесены в процессе перевода, но с другой отсеивает тех кто недостаточно упорен. Я думаю, что технологии Microsoft предназначены для широчайшего применения и не должны быть закрытым знанием доступным только избранным. Многие из матерых ИТ профессионалов могут со мной не согласиться. Это их право. Но я считаю что они сами косвенно подтверждают мою правоту жалуясь на нехватку сколько нибудь квалифицированных кадров на рынке. Дескать нормального помощника, готового работать за вменяемую сумму денег, приходится днем с огнем искать. Бушующий нынче финансовый кризис и как следствие урезание бюджетов на ИТ и обучение еще более усугубляют эту нерадостную ситуацию. Понятно, что трудовые кадры сами по себе не возьмутся ниоткуда, их нужно воспитывать, обучать и тренировать. Талантливых самородков, способных самостоятельно во всем разобраться, — единицы. На всех работодателей их явно не хватает и они явное исключение из правил. Согласитесь, что обучать лучше на родном языке если конечно вас волнует эффективность обучения и главная цель обучения — овладение технологиями в кратчайший срок, а не попутное изучение английского.
В качестве первого подопытного для русификации был выбран всем известный гуру Марк Руссинович. К сожалению несмотря на вполне подходящую фамилию научить Марка русскому языку в приемлимые сроки явно нереально. 🙂 Ведь он человек весьма занятой и постоянно в разъездах. Поэтому решено по мере сил переводить его блог на русский. Сказано — сделано. Я прочел английский блог Марка Руссиновича от настоящего момента до 2005 года. Хорошо, что пишет он объемно и подробно, но не часто. 🙂 Затем выбрал те записи, которые по моему мнению еще сохранили свою ценность и отдал на перевод. Оказалось что записей актуальных и по сей день набралось достаточно много, что не может не радовать. Получив переводные материалы, внимательнейшим образом вычитал, исправил неизбежные ошибки перевода и разместил их в русском блоге Марка Руссиновича.
Надеюсь что вам это будет интересно, ведь настолько глубоких материалов по внутреннему устройству Windows вы не найдете больше нигде, разве что в книгах того же Руссиновича. Но книги обычно стоят денег, а тут все бесплатно. 🙂 Если, после прочтения блога вы посчитаете, что какая либо из статей показавшихся мне не важной или устаревшей, все же должна быть переведена, напишите письмо с указанием почему вы считаете это важным. Если посещаемость у русского блога будет достаточной то, в дальнейшем мы будем регулярно переводить новые материалы из английского блога.
Если у вас на примете есть не менее замечательные блоги других сотрудников Microsoft, которые хотелось бы читать на русском не стесняйтесь, пишите мне. Возможно и эти блоги начнем переводить если желающих читать их будет достаточно.