انوشه ظهیرنیا
متخصص شبکه های مایکروسافت

آموزش استفاده از Procexp.exe و Procmon.exe در ویندوز

زمانی که وارد یک کامپیوتر شده و به یک active directory domain وصل شده اید ، حداقل دو گزینه دارید. اول ، می توانید با استفاده از یک user account که برای شما توسط یک مدیر دامین پیکربندی شده است وارد آن دامین شوید. این account حساب دامین شما می باشد. دوم ، شما می توانید بطور محلی (locally) وارد کامپیوتر شوید جاییکه صفحه کلید وصل شده است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

هر کامپیوتر یک database حساب کاربری محلی موسوم به مدیر حساب های امنیتی ( SAM ) دارد. می توانید این گزینه ها را در شکل 1 مشاهده کنید. با window 7 ، گزینه ها آنطور که استفاده شده اند مشخص نیستند. اگر عبارت how do I log on to another domain? را فشار دهید ، کامپیوتر محلی به شما پیشنهاد می کند که از یک user account ذخیره شده روی کامپیوتر محلی خود استفاده کنید ، نه حسابی که در domain controller ذخیره شده است.

شکل 1

اگر کامپیوتر شما به active directory domain متصل نشده باشد در هنگام وارد شدن فقط یک گزینه وجود دارد.البته هنگام وارد شدن به کامپوتر محلی از یک حساب کاربری ذخیره شده در SAM استفاده میشود.شما هر گزینه ایی را در هنگام ورود روی صفحه نخواهید دید و باید به صورت محلی وارد شوید.در شکل 2 نشان داده شده است.

 

شکل 2

دسترسی به منابع و اجرای برنامه ها با مجوزهای ورودی

اگر ورود را با استفاده از یک حساب محلی انتخاب می کنید یک احراز هویت انتخاب شده را در نظر می گیرد که اطلاعات زیر در مورد آن وجود دارد :

  • نام کاربر محلی و شناسه امنیتی (SID)
  • گروه های محلی SAM که کاربر شما دارای عضویت و شناسه های خودشان می باشد
  • کامپیوتر محلی از حقوقی استفاده می کند که کاربر و گروه ها پیکربندی کرده اند

شما می توانید این احراز هویت را با استفاده از ابزاری نظیر process explorer مشاهده کنید ، که فرایند اتخاذ شده را در هر فرایند نشان می دهد. احراز هویت انجام شده در هر فرایند بطور پیش فرض کپی شده است.procexp.exe یک جستجوگر فرایند sysinternals از sysinternals های متعلق به process exploreمی باشد. این مورد ابزاری است که هر فرایند اجرا شده را در یک دستگاه و منابعی که از آنها استفاده می شود را نشان می دهد.

فرایندهای غیرسیستمی همانند procexp.exe از نرم افزاری که روی سیستم نصب کرده اید ناشی می شوند. چون بیشتر برنامه های نرم افزاری داده ها را در ثبت سیستم شما ذخیره می کنند ، احتمال دارد که در طی زمان ثبت شما با بخش بندی مواجه شود و ورودی های بی ارزش جمع شوند طوری که می توانند بر عملکرد رایانه شخصی شما اثر بگذارند. process explorer به شما اطلاعاتی را در مورد آنچه مدیریت می شود و فرایندهای DLLsباز شده یا بارگذاری شده می دهد. شکل 3 و 4 نشان می دهند چه فرایندی برای یک ورود محلی یا دسترسی کاربر به یک برنامه محلی مشابه انجام شده است.

شکل 3

 

شکل 4

زمانی که شما این نوع ورود مجاز را انتخاب کرده اید ، تنها منابعی که قادر به دسترسی بدون استفاده از اعتبارات متناوب هستند بطور محلی روی کامپیوتر ذخیره شده اند. چون کاربران محلی نمی توانند مجوزها را به منابع شبکه اختصاص دهند ( فایل های ذخیره روی سرورها و تجهیزات ذخیره شبکه ) یا امتیازات کامپیوترهای دیگر محدود می باشد ، دامنه (scope) آن محدود است.

زمانی که تلاش می کنید تا به منبعی که روی کامپیوتر محلی قرار ندارد دسترسی یابید ، بطور معمولی یکی از دو پیام را بدست می آورید. ابتدا یک پیام دسترسی رد شده وجود دارد. نوع دوم پیام این شما را به خاطر مجوزهای دسترسی به منبع بالاتر می دهد. این مورد یک فوریت خودکار می باشد که ناشی از این واقعیت می باشد که برای منبع مشخص نشان داده شده و کاربر یا گروه های فهرست شده در لیست کنترل دسترسی منبع قرار ندارند. نوع دوم پیام همانند شکل 5 است.

اجرای یک دستور یا اتصال به عنوان کاربر مختلف

اغلب ، یک کاربر لازم است از مجوزهای جایگزین برای دسترسی به منبع یا منبع شبکه استفاده کند. این مورد می تواند در چندین حالت انجام شود. اول این که کاربر به یک منبع شبکه با استفاده از یک درایو ترسیم شده دست می یابد . در پیکربندی درایو ترسیم شده کاربر می تواند مجوزها را جابجا کند .

شما می توانید این گزینه را در شکل 6 مشاهده کنید. دوم ، می توانید به یک منبع با مجوزهای جایگزین وصل شوید . شکل 6 نشان داد این مورد چطور می باشد و چگونه قادر هستید در مجوزهای جایگزین برای دسترسی به یک منبع شبکه قرار گیرید. این گزینه خیلی شبیه ترسیم یک درایو با توجه به استفاده از مجوزها می باشد. تفاوت این است یک درایو مجوزهایی که شما از آنها استفاده می کنید را پنهان می کند و از آنها بدون آگاهی شما استفاده می کنند.

 

شکل 6

یک گزینه سوم اجرای یک RunAs می باشد. یک دستور RunAs توانایی اجرای یک برنامه یا برنامه کامپیوتری مشابه با مجوزهای متناوب می باشد. شما می توانید کادر محاوره ای RunAs را در شکل 7 مشاهده کنید.

شکل 7

دسترسی به منابع به عنوان یک کاربر مختلف

زمانی که یک ارتباط را با منبع یا اجرا یک برنامه با مجوزهای متناوب برقرار کردید کامپیوتر باید تمامی اقدامات انجام شده را توسط هر ورود کاربر برمبنای اقداماتی که در دامنه ارتباط اجرا شده است پیگیری کند و تنها اقدامات انجام شده از این عمل از مجوزهای متناوب ا ستفاده می کنند. شما می توانید مجوزهای یک برنامه اجرا شده را با استفاده از مجوزهای جایگزین از درایو نشان داده شده در شکل 8 مشاهده کنید.

شکل 8

این مورد همانند یک ایده بزرگ است و در بسیاری از موارد ضروری است. با این حال ، اگر کاربر تلاش کند تا یک برنامه را از درایو ترسیم شده با استفاده از مجوزهای متناوب نصب کند ، مسائلی ممکن است بروز کند. اگرچه ورود اولیه با یک حساب محلی (local account) انجام می شود و حساب محلی دارای مجوزهای مدیریت محلی می باشد ؛ مجوزهای جایگزین هیچ چیزی را بطور محلی ندارند جز مجوزهای کاربری استاندارد.

بعلت این فقدان مجوز ، نصب ممکن است ناموفق باشد. نتایج دیگر ممکن است از طریق استفاده از مجوزهای جایگزین روی دهد. غالبا میان برها ، فایل های ذخیره شده و هر چیز دیگر در درون پروفایل کاربر پیچیده خواهد شد. پروفایل کاربر هر کاربر وارد شده که در این موارد ما به دو کاربر مختلف توجه می کنیم. برای مثال ، یک میان بر واقع روی desktop برای کاربر مجاز متناوب برای ورود مجاز محلی وجود ندارد.

فرایند Procmon یا کنترل فرایند ابزار کنترل ویندوز است که قادر به نمایش فعالیت های سیستم فایل ، ثبت یا فرایند در حالت آنی می باشد. فرایند Procmon.exe با ویژگی های فیلمون و راگمون قرار می گیرد که برنامه های کاربردی sysinternal مجاز می باشد. این برنامه ممکن است در مسیر c:/tools/processmonitor/subfolder واقع شده باشد. procmon.exe نیز لیستی از برنامه های کاربردی نظیر فیلترینگ قوی ، اطلاعات فرایند وابسته ، ویژگی های رویداد خبره نظیر نام کاربری و شناسه جلسات ، وظایف رشته کامل را فراهم می کند که شامل پشتیبانی نمادین در هر نوع عملیات اجرا شده و ورود به یک فایل بطور همزمان و موارد دیگر می باشد.

فرایند procmon.exe ممکن است نقش ابزار کاربردی را برای نیازهای عیب یابی سیستم شما ایفا کند. فرایند procmon.exe همچنین ممکن است به عنوان یک کیت ابزار برای شکار بد افزار استفاده شود.برخی از سیستم های عاملی که از procmon.exe پشتیبانی کرده اند شامل ویندوز 2000 سرویس پک 4 و ویندوز ویستا و ویندوز xp سرویس پک 2 و ویندوز سرور 2003 سرویس پک 1 هستند. نسخه های 64 بیتی xp و server 2003 و ویستا نیز از فرایند procmon.exe پشتیبانی می کنند.

فرایند مشابه regmon و filemon در زمانی می باشد به رابط کاربر مربوط می شود ، اما فرایند procmon.exe پیشرفت های برنامه زیادی را تجربه کرده است. برخی از ویژگی های فرایند procmon.exe کنترل بار تصویر ، افزایش داده های استخراج شده برای پارامترهای فیلترهای ورودی ، خروجی و غیرمخرب برای تنظیم فیلترها با اتلاف داده صفر می باشد و ابزار جستجو ممکن است حذف شود و تمامی عملیات در یک منطق زمانی راه اندازی ثبت شوند. process monitor نیز قابل جابجا می باشد و ستون های قابل پیکربندی برای ویژگی های رویداد می باشد . برای نصب process monitor ، به طور ساده آنرا با دابل کلیک کردن روی آیکن procmon.exe اجرا کنید.

خلاصه

استفاده از کانال های جایگزین مهم است و گاهی اوقات روی شبکه شرکت در هر روز روی می دهد. با این حال ، بعلت روش هایی که کامپیوترها باید به هر نشانه اطلاعات کاربر مربوط می شود ، رفتار عجیب ممکن است روی دهد. این مورد ممکن است مانع از اجرا برنامه ها شود یا فایل ها در زمان ذخیره حذف شوند یا در دسترسی به منابع بطور صحیح بدون مجوزهای جایگزین اختلال روی دهد. در هر مورد ، توانایی شناخت ورود مجاز به محیط ، و ردیابی علائم و شناخت سطح دسترسی به هر مورد مجاز یا کاربر به حل شناخت هر مسئله کمک می کند.

ترجمه و بومی سازی : انوشه ظهیرنیا

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


نظرات