Περιγραφή του εργαλείου ανάλυσης ανταποκριτής θύρας (PR-ανάλυσης)

Σύνοψη

Αυτό το άρθρο περιγράφει τη χρήση του εργαλείου ανάλυσης ανταποκριτής θύρας (PR-Parser). Αυτό το άρθρο περιγράφει τα ακόλουθα θέματα που σχετίζονται με το εργαλείο ανάλυσης PR:
  • Πληροφορίες παρασκηνίου
  • GUI των Windows της Microsoft, για να αναθεωρήσετε τα αρχεία καταγραφής
  • Αναγνώριση ύποπτων δεδομένα ή δεδομένα που σας ενδιαφέρουν
  • Ανάλυση των αρχείων καταγραφής και δημιουργία δεδομένων

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τη χρήση του εργαλείου ανάλυσης ανταποκριτής θύρας (PR-Parser). PR ανάλυσης είναι ένα εργαλείο που αναλύει τα αρχεία καταγραφής που δημιουργεί η υπηρεσία ανταποκριτής θύρας. Το εργαλείο ανάλυσης PR έχει πολλές σύνθετες δυνατότητες που σας βοηθούν να αναλύσετε τα αρχεία καταγραφής της υπηρεσίας ανταποκριτής θύρας. Μπορείτε να χρησιμοποιήσετε το πρόγραμμα ανάλυσης PR με το εργαλείο ανταποκριτής θύρας σε διάφορα σενάρια, συμπεριλαμβανομένων των σεναρίων αντιμετώπισης προβλημάτων και σχετίζονται με την ασφάλεια. Αυτό το άρθρο επικεντρώνεται σχετικά με τον τρόπο χρήσης του εργαλείου ανάλυσης PR στα σενάρια που σχετίζονται με την ασφάλεια.

Για να αποκτήσετε το εργαλείο ανάλυσης PR, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Περισσότερες πληροφορίες

Πληροφορίες παρασκηνίου

Όταν έναν υπολογιστή που βασίζεται σε Windows Microsoft γίνει ευάλωτος, ένας εισβολέας συνήθως χρησιμοποιεί τους πόρους του υπολογιστή που βασίζεται στα Windows και να επιφέρουν μεγαλύτερη ζημιά ή να επιτεθούν σε άλλους υπολογιστές. Συνήθως, αυτό το είδος επίθεσης περιλαμβάνει δραστηριότητες όπως η εκκίνηση μία ή περισσότερες διαδικασίες ή χρησιμοποιώντας τις θύρες TCP και UDP ή και τα δύο. Εκτός και αν ένας εισβολέας αποκρύπτει από τον υπολογιστή που βασίζεται σε Windows, το ίδιο αυτής της δραστηριότητας, μπορείτε να καταγράψετε και να αναγνωρίσετε αυτήν τη δραστηριότητα. Επομένως, αναζητώντας ενδείξεις για αυτό το είδος της δραστηριότητας μπορεί να σας βοηθήσει να προσδιορίσετε αν ένα σύστημα είναι ευπαθές.

Το εργαλείο ανταποκριτής θύρα είναι ένα πρόγραμμα που μπορεί να εκτελείται ως υπηρεσία σε έναν υπολογιστή που εκτελεί Microsoft Windows Server 2003, τα Microsoft Windows XP ή τα Microsoft Windows 2000. Η υπηρεσία ανταποκριτής θύρα καταγράφει δραστηριότητα θύρας TCP και UDP. Σε υπολογιστές που βασίζονται σε Windows XP και βασίζεται σε Windows Server 2003, η υπηρεσία ανταποκριτής θύρας μπορεί να συνδεθεί τις ακόλουθες πληροφορίες:
  • Οι θύρες που χρησιμοποιούνται
  • Οι διεργασίες που χρησιμοποιούν τη θύρα
  • Εάν μια διαδικασία είναι μια υπηρεσία
  • Οι λειτουργικές μονάδες (.dll, .drv, κ.ο.κ.) που φορτώνει μια διαδικασία
  • Οι λογαριασμοί χρηστών που ξεκινά μια διαδικασία
Τα δεδομένα που καταγράφονται από την υπηρεσία ανταποκριτής θύρας μπορεί να σας βοηθήσει να προσδιορίσετε αν ένας υπολογιστής είναι ευάλωτος. Τα ίδια δεδομένα είναι επίσης χρήσιμη για την αντιμετώπιση προβλημάτων, για να αποκτήσετε την κατανόηση της χρήσης της θύρας του υπολογιστή και για τον έλεγχο της συμπεριφοράς του υπολογιστή.

PR ανάλυσης είναι ένα εργαλείο που αναλύει τα αρχεία καταγραφής που δημιουργεί η υπηρεσία ανταποκριτής θύρας. Για πρόσθετες πληροφορίες σχετικά με την υπηρεσία ανταποκριτής θύρα, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

837243 διαθεσιμότητα και περιγραφή του εργαλείου ανταποκριτής θύρας

Το εργαλείο ανάλυσης PR παρέχει τις ακόλουθες τρεις βασικές λειτουργίες:
  • Το εργαλείο ανάλυσης PR έχει ένα Windows γραφικών χρήστη περιβάλλον εργασίας (GUI) που σας διευκολύνει να αναθεωρήσετε τα αρχεία καταγραφής. Χρησιμοποιώντας το GUI, μπορείτε να ταξινομήσετε και να φιλτράρετε τα δεδομένα με διάφορους τρόπους.
  • Το εργαλείο ανάλυσης PR σάς βοηθά να προσδιορίσετε και να φιλτράρετε τα δεδομένα που σας ενδιαφέρουν. Το εργαλείο παρέχει τις ακόλουθες λειτουργίες:
    • Προσδιορίζει τις διαδικασίες που σάς ενδιαφέρουν που εκτελούνται σε έναν υπολογιστή
    • Προσπαθεί να αναγνωρίσει όταν εκτελείται μια διαδικασία που χρησιμοποιεί το όνομα μιας διαδικασίας νόμιμο από το λάθος φάκελο σε έναν υπολογιστή
    • Προσδιορίζει τις λειτουργικές μονάδες, όπως .dll, .drv, που φορτώνονται σε έναν υπολογιστή
    • Βοηθά στον καθορισμό του χρόνου όταν διευθύνσεις πρωτοκόλλου Internet (IP), πλήρη αναγνωρισμένα ονόματα τομέα (FQDN), ή τα ονόματα των υπολογιστών που θέλετε να επικοινωνούν με έναν υπολογιστή
    • Προσδιορίζει τις θύρες που χρησιμοποιούνται σε έναν υπολογιστή
    • Βοηθά στον προσδιορισμό όταν οι λογαριασμοί χρήστη είναι ενεργές σε έναν υπολογιστή
  • Το εργαλείο ανάλυσης PR παρέχει επίσης ορισμένα δεδομένα του αρχείου καταγραφής ανάλυσης. Αυτά τα δεδομένα μπορεί να σας βοηθήσει να κατανοήσετε τη χρήση ενός υπολογιστή. Τα δεδομένα αυτά περιλαμβάνουν τα εξής:
    • Μια λίστα με διαβαθμισμένο τοπική χρήση θύρας πρωτοκόλλου TCP (Transmission Control)
    • Μια λίστα με διαβαθμισμένο τοπική διαδικασία χρήσης
    • Μια λίστα με διαβαθμισμένο απομακρυσμένη χρήση διευθύνσεων IP
    • Μια λίστα διαβαθμισμένο με χρήση του περιβάλλοντος χρήστη
    • Svchost.exe υπηρεσία απαρίθμησης
    • Χρήση των θυρών από την ώρα της ημέρας
    • Χρήση του Microsoft Internet Explorer από το χρήστη

GUI των Windows για να αναθεωρήσετε τα αρχεία καταγραφής

Το εργαλείο ανταποκριτής θύρας δημιουργεί τα ακόλουθα αρχεία καταγραφής τρεις όταν εκτελείται το εργαλείο:
  • PR-PORTS-timestamp.log
  • PR-PIDS-timestamp.log
  • PR-INITIAL-timestamp.log
Το όνομα κάθε αρχείου καταγραφής χρησιμοποιεί την ημερομηνία και την ώρα σε 24-ωρη μορφή με βάση την ώρα δημιουργίας του αρχείου. Η μορφή του τη σήμανση ημερομηνίας και ώρας είναι year-month-day-hour-minute-second. Για παράδειγμα, τα παρακάτω τρία αρχεία δημιουργήθηκαν στις 24 Ιανουαρίου 2004, στις 8:49:30 π.μ.:
  • PR-PORTS-04-01-24-8-49-30.log
  • PR-PIDS-04-01-24-8-49-30.log
  • PR-INITIAL-04-01-24-8-49-30.log
Όταν ανοίγετε ένα αρχείο καταγραφής με το εργαλείο ανάλυσης PR, το GUI των Windows, το εργαλείο ανάλυσης PR παρέχει τις ακόλουθες πληροφορίες:
  • Στη γραμμή τίτλου της κύριας φόρμας αναγράφει το όνομα αρχείου του αρχείου καταγραφής που είναι αυτήν τη στιγμή το άνοιγμα.
  • Εμφανίζονται τις σημάνσεις χρόνου το πρώτο και το τελευταίο εγγραφών στο αρχείο καταγραφής.
  • Εμφανίζεται ο αριθμός των εγγραφών που εμφανίζονται αυτήν τη στιγμή.
  • Οι εγγραφές εμφανίζονται σε ένα πλέγμα στην κύρια φόρμα.
Σημείωση Στο πλέγμα στην κύρια φόρμα, πιθανώς δεν θα δείτε τις στήλες που σχετίζονται με την Επεξεργασία λεπτομερειών, εάν το εργαλείο ανάλυσης PR εκτελείται από έναν υπολογιστή που δεν υποστηρίζει αντιστοίχιση θύρας-διαδικασία. Για παράδειγμα, PID, λειτουργική μονάδακαι λογαριασμό είναι οι στήλες που σχετίζονται με την επεξεργασία των λεπτομερειών. Τα Windows 2000 δεν υποστηρίζουν αντιστοίχισης θύρας-διαδικασία. Επομένως, σε έναν υπολογιστή που βασίζεται στα Windows 2000, δεν μπορείτε να δείτε αυτές τις στήλες.

Το GUI των Windows, το εργαλείο ανάλυσης PR παρέχει τις ακόλουθες δυνατότητες:
  • Λεπτομέρειες για μια καταχώρηση αρχείου καταγραφής εμφανίζεται σε ένα πλέγμα. Εάν κάντε διπλό κλικ σε μια γραμμή στο πλέγμα στην κύρια φόρμα ή κάντε δεξιό κλικ σε μια γραμμή και στη συνέχεια κάντε κλικ στο κουμπί Ιδιότητες, εμφανίζονται οι πληροφορίες της εγγραφής. Αυτή η δυνατότητα είναι διαθέσιμη μόνο όταν εξετάζετε αρχεία καταγραφής σε έναν υπολογιστή του οποίου το λειτουργικό σύστημα υποστηρίζει αντιστοίχισης θύρας-διαδικασία. Από τον Σεπτέμβριο του 2004, μόνο σε Windows Server 2003 και τα Windows XP υποστηρίζουν αυτήν τη δυνατότητα.
  • Μπορείτε να ταξινομήσετε τα δεδομένα στο πλέγμα στην κύρια φόρμα σε αύξουσα ή φθίνουσα σειρά από οποιαδήποτε στήλη. Εάν κάνετε κλικ σε μια επικεφαλίδα στήλης, το εργαλείο ταξινομεί τα δεδομένα στο πλέγμα στην κύρια φόρμα με αύξουσα σειρά κατά αυτήν τη στήλη. Εάν κάνετε κλικ στην κεφαλίδα στήλης της εργαλείο ταξινομεί τα δεδομένα σε φθίνουσα σειρά. Όταν τα δεδομένα ταξινομούνται κατά αυτήν τη στήλη, εμφανίζεται ένα βέλος στην κεφαλίδα της στήλης. Το βέλος δείχνει επίσης τη σειρά ταξινόμησης. Εάν θέλετε να επαναφέρετε την αρχική σειρά ταξινόμησης στο πλέγμα, κάντε κλικ στο κουμπί Επαναφορά πλέγματος στην προεπιλεγμένη ταξινόμηση από το μενού Επεξεργασία .
  • Μπορείτε να χρησιμοποιήσετε οποιαδήποτε από τις ακόλουθες μεθόδους για να φιλτράρετε τα δεδομένα στο πλέγμα στην κύρια φόρμα:
    • Στο μενού Επεξεργασία , επιλέξτε φίλτρακαι, στη συνέχεια, κάντε κλικ στην επιλογή Φιλτράρισμα δεδομένων. Εμφανίζεται το παράθυρο διαλόγου Φίλτρο πλέγματος δεδομένων . Μπορείτε να επιλέξετε μια στήλη, όπως το φιλτράρισμα δεδομένων και να παρέχουν ένα κριτήριο φίλτρου. Αφού επιλέξετε και να εφαρμόζουν τα κριτήρια, τα φιλτραρισμένα δεδομένα εμφανίζεται στο πλέγμα δεδομένων.
    • Κάντε δεξιό κλικ σε ένα κελί, η τιμή του οποίου είναι τα κριτήρια για το φίλτρο στο πλέγμα στην κύρια φόρμα, επιλέξτε το φίλτροκαι, στη συνέχεια, κάντε κλικ στο κατάλληλο φίλτρο, ανάλογα με το αν θέλετε να φιλτράρετε όλες τις γραμμές χωρίς αυτήν την τιμή ή όλες τις γραμμές με αυτή την τιμή.
  • Μπορείτε να αντιγράψετε τα περιεχόμενα ενός κελιού ή αντιγράψτε τα περιεχόμενα όλων των κελιών σε μια γραμμή. Για να αντιγράψετε τα περιεχόμενα ενός κελιού, κάντε δεξιό κλικ σε ένα κελί και, στη συνέχεια, κάντε κλικ στο κουμπί Αντιγραφή. Για να αντιγράψετε τα περιεχόμενα όλων των κελιών σε μια γραμμή, κάντε δεξιό κλικ στην επικεφαλίδα της γραμμής και, στη συνέχεια, κάντε κλικ στο κουμπί Αντιγραφή.
  • Μπορείτε να επιλύσετε τις απομακρυσμένες διευθύνσεις IP που εμφανίζονται στη στήλη IP απομακρυσμένης με τα αντίστοιχα ονόματα. Μετά την ολοκλήρωση της λειτουργίας του το εργαλείο ανάλυσης PR στο πλέγμα εμφανίζεται μια λίστα με όλες τις διευθύνσεις IP και τα ονόματα που σχετίζονται. Αυτή η λίστα δεν περιέχει διπλότυπα. Μπορείτε να χρησιμοποιήσετε οποιαδήποτε από τις ακόλουθες μεθόδους για να επιλύσετε τις απομακρυσμένες διευθύνσεις IP:
    • Στο μενού Εργαλεία , κάντε κλικ στο κουμπί επίλυση όλα τα απομακρυσμένα IP για να επιλύσετε όλες τις απομακρυσμένες διευθύνσεις IP.
    • Κάντε δεξιό κλικ σε ένα κελί και, στη συνέχεια, κάντε κλικ στο κουμπί Επίλυση απομακρυσμένη διεύθυνση IP για να επιλύσει τη διεύθυνση IP που έχει επιλεγεί.
    Ανάλογα με τον αριθμό των διευθύνσεων IP που μπορείτε να επιλύσετε, αυτή η λειτουργία μπορεί να διαρκέσει μερικά λεπτά για να ολοκληρωθεί. Της μνήμης cache DNS του υπολογιστή-πελάτη χρησιμοποιείται για να αποφευχθεί η αποστολή ερωτημάτων στο δίκτυο που έχουν απαντηθεί ήδη.

    Σημείωση Η ταχύτητα και η επιτυχία αυτής της λειτουργίας εξαρτάται από την υποδομή ανάλυσης ονομάτων στο δίκτυο. Η ταχύτητα και η επιτυχία της επιχείρησης αυτής εξαρτάται επίσης αν οι εγγραφές αντίστροφης αναζήτησης είναι διαθέσιμες για κάθε διεύθυνση IP.
  • Μπορείτε να τη θύρα σάρωση ενός απομακρυσμένου υπολογιστή με χρήση του βοηθητικού προγράμματος γραμμής εντολών Portqry.exe. Portqry.exe είναι μια ισχυρή συνδεσιμότητα γραμμής εντολών δοκιμή εργαλείο που μπορεί να δημιουργεί χρήσιμες πληροφορίες σχετικά με τις θύρες TCP και UDP.

    Το εργαλείο ανάλυσης PR παρέχει μια διασύνδεση χρήστη για να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Portqry.exe. Αυτή η δυνατότητα μπορεί να σας βοηθήσει να προσδιορίσετε τον τύπο του απομακρυσμένου υπολογιστή και η οποία υπηρεσίες που παρέχει στον απομακρυσμένο υπολογιστή. Θύρα σάρωση σε απομακρυσμένο υπολογιστή, κάντε δεξιό κλικ σε ένα κελί και, στη συνέχεια, κάντε κλικ στην εντολή PortQry απομακρυσμένη διεύθυνση IP. Για πρόσθετες πληροφορίες σχετικά με το βοηθητικό πρόγραμμα γραμμής εντολών Portqry.exe, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

    310099 περιγραφή του βοηθητικού προγράμματος γραμμής εντολών Portqry.exe

    Σημείωση Όταν είναι εγκατεστημένο το εργαλείο ανάλυσης PR, το αρχείο Portqry.exe αντιγράφεται στον ίδιο φάκελο όπου είναι αποθηκευμένο το αρχείο Prparser.exe.

Αναγνώριση ύποπτων δεδομένα ή δεδομένα που σας ενδιαφέρουν

Μπορείτε να χρησιμοποιήσετε το εργαλείο ανάλυσης PR να παρακολουθείτε διάφορα σημεία δεδομένων, συμπεριλαμβανομένων των λειτουργικών μονάδων, διευθύνσεις IP, θύρες, οι χρήστες και ονόματα κεντρικών υπολογιστών. Χρησιμοποιώντας το εργαλείο ανάλυσης PR, μπορείτε γρήγορα να προσδιορίσετε εάν οι καταχωρήσεις αρχείου καταγραφής στο αρχείο καταγραφής ανταποκριτής θύρας ταιριάζει με οποιαδήποτε κριτήρια που το εργαλείο ανάλυσης PR έχει ρυθμιστεί ώστε να αναζητήσετε. Μπορείτε να ρυθμίσετε τις παραμέτρους αυτών των κριτηρίων στο GUI του εργαλείου ανάλυσης PR και στη συνέχεια να ενημερώσετε ώστε να περιλαμβάνει χαρακτηριστικά των νέων συνθηκών που επιλέγετε.

Για να προβάλετε, να προσθέσετε ή να διαγράψετε κριτήρια, κάντε κλικ στο κουμπί Ρυθμίσεις κριτήρια από το μενού Επεξεργασία .

Τα παρακάτω είναι τα έξι κριτήρια που μπορούν να οριστούν στο εργαλείο ανάλυσης PR για την αναγνώριση ύποπτων δεδομένα ή δεδομένα που σας ενδιαφέρουν.

Παρακολούθηση γνωστό λειτουργικές μονάδες

Παρακολούθηση γνωστά λειτουργικές μονάδες σας επιτρέπει να εντοπίζετε τα εκτελέσιμα αρχεία που χρησιμοποιούν τα ονόματα νόμιμων δυαδικών αρχείων και εκτέλεση ή έχουν φορτωθεί από φάκελο λάθος. Για παράδειγμα, ένα δημοφιλές όνομα για κακόβουλο λογισμικό είναι Svchost.exe. Το Svchost.exe νόμιμα εκτελείται από τον φάκελο %windir%\System32. Όταν κακόβουλο λογισμικό ονομάζεται Svchost.exe και αντιγράφεται στο φάκελο % windir %, μπορεί να είναι δύσκολο να δείτε ότι εκτελείται αυτό το δυαδικό αρχείο από το φάκελο λάθος. Εάν Svchost.exe εκτελείται από ένα φάκελο εκτός του φακέλου System32, ο υπολογιστής μπορεί να είναι ευάλωτο σε επιθέσεις. Το εργαλείο ανάλυσης PR αναγνωρίζει αυτού του είδους ζητήματος.

Επισημαίνεται ότι, Γενικά, να εκτελέσετε ορισμένες λειτουργικές μονάδες από περισσότερες από μία θέσεις. Πρέπει να ελέγξετε τυχόν προειδοποιήσεις PR ανάλυσης για να προσδιορίσετε αν το προειδοποιητικό μήνυμα είναι θετικής ή αν κάτι ακανόνιστα εντοπίστηκε. Όταν θέλετε να εξετάσετε αρχεία καταγραφής ανταποκριτής θύρας από διαφορετικούς υπολογιστές, ίσως χρειαστεί να παρακάμψετε τις ρυθμίσεις φακέλου στον τοπικό υπολογιστή επειδή οι υπολογιστές μπορεί να έχουν διαφορετικό φάκελο δομές. Για παράδειγμα, % systemroot % και % windir % οδηγεί σε διαφορετικές θέσεις σε διαφορετικούς υπολογιστές. Σε αυτήν την περίπτωση το εργαλείο ανάλυσης PR μπορεί να εντοπίσετε πολλά αρχεία εκτελούνται σε λάθος φάκελο, επειδή το εργαλείο ανάλυσης PR επιλύει αυτές τις μεταβλητές, χρησιμοποιώντας τη δομή φακέλων στον τοπικό υπολογιστή όπου εκτελείται το εργαλείο ανάλυσης PR. Για την αντιστάθμιση για αυτό το είδος της διαφοράς μεταξύ υπολογιστών, μπορείτε να παράκαμψη αυτής της συμπεριφοράς και να ορίσετε το εργαλείο ανάλυσης PR για την επίλυση αυτών των μεταβλητών περιβάλλοντος. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Στο μενού Επεξεργασία , κάντε κλικ στο κουμπί Ρυθμίσεις κριτήρια.
  2. Στην καρτέλα Γνωστή λειτουργικές μονάδες , κάντε κλικ στο κουμπί Ρύθμιση παραμέτρων.
  3. Κάντε κλικ στην εντολή Παράκαμψη ρυθμίσεων καταλόγου του τοπικού συστήματος.
Αυτό σας επιτρέπει να παρακάμψετε τον τρόπο ότι το εργαλείο ανάλυσης PR επιλύει τις μεταβλητές περιβάλλοντος.

Λειτουργικές μονάδες

Το εργαλείο ανάλυσης PR γρήγορα να προσδιορίσετε εάν οι λειτουργικές μονάδες που σας ενδιαφέρει βρίσκονται στα αρχεία καταγραφής ανταποκριτής θύρας. Για να προσθέσετε λειτουργικές μονάδες στη λίστα των λειτουργικών μονάδων που σάς ενδιαφέρουν, ακολουθήστε τα εξής βήματα:
  1. Στο μενού Επεξεργασία , κάντε κλικ στο κουμπί Ρυθμίσεις κριτήρια.
  2. Κάντε κλικ στην καρτέλα " μονάδες ".
  3. Κάντε κλικ στο κουμπί Προσθήκη.
  4. Πληκτρολογήστε το όνομα της λειτουργικής μονάδας που σας ενδιαφέρει και, στη συνέχεια, κάντε κλικ στο κουμπί OK για να προσθέσετε τη λειτουργική μονάδα στη λίστα ενοτήτων για αναζήτηση .
Ομοίως, μπορείτε να διαγράψετε τις λειτουργικές μονάδες που έχουν προστεθεί στη λίστα ενοτήτων για αναζήτηση του .

Όταν το εργαλείο ανάλυσης PR εντοπίσει μια λειτουργική μονάδα σε ένα αρχείο καταγραφής που σας ενδιαφέρει, εμφανίζει την καταχώρηση με κόκκινο χρώμα στο πλέγμα στην κύρια φόρμα. Για παράδειγμα, το εργαλείο Netcat.exe είναι ένα εργαλείο που οι διαχειριστές μπορεί να ή μπορεί να θέλετε οι χρήστες να χρησιμοποιήσετε στο δίκτυό τους. Μπορούν να αναγνωριστούν στα αρχεία καταγραφής ανταποκριτής θύρας εάν εκτελείται το εργαλείο Netcat.exe, χρησιμοποιώντας το αρχικό του όνομα.

Κάντε διπλό κλικ σε μια γραμμή που έχει επιλεγεί για να δείτε τις λεπτομέρειες. Ένα παράθυρο διαλόγου Ανάλυσης ανταποκριτής θύρας - λεπτομέρειες εγγραφής καταγραφής ανοίγει και παρέχει τις λεπτομέρειες σχετικά με τη διαδικασία, σχετικά με τις θύρες που χρησιμοποιούνται και τις λειτουργικές μονάδες που έχουν φορτωθεί. Το πρόγραμμα ανάλυσης PR παρέχει επίσης μια προειδοποίηση. Στο παράθυρο διαλόγου Ανάλυσης ανταποκριτής θύρας - λεπτομέρειες εγγραφής καταγραφής , εάν κάνετε δεξιό κλικ στο όνομα της διεργασίας, το εργαλείο ανάλυσης PR παρέχει επιλογές για να ερευνήσετε τη διαδικασία "ενδιαφέρον" ή ύποπτες.

Σημείωση Δεν μπορείτε να δείτε τις λεπτομέρειες για μια καταχώρηση αρχείου καταγραφής σε έναν υπολογιστή που βασίζεται στα Windows 2000.

Διευθύνσεις IP

Το εργαλείο ανάλυσης PR μπορεί να προσδιορίσει τις διευθύνσεις IP που σας ενδιαφέρει στα αρχεία καταγραφής ανταποκριτής θύρας. Για να καθορίσετε τις διευθύνσεις IP, ακολουθήστε τα εξής βήματα:
  1. Στο μενού Επεξεργασία , κάντε κλικ στο κουμπί Ρυθμίσεις κριτήρια.
  2. Κάντε κλικ στην καρτέλα Διευθύνσεις IP .
  3. Κάντε κλικ στο κουμπί Προσθήκη.
  4. Πληκτρολογήστε τη διεύθυνση IP που σας ενδιαφέρει και, στη συνέχεια, κάντε κλικ στο κουμπί OK για να προσθέσετε τη διεύθυνση IP στη λίστα Διευθύνσεων IP σε αναζήτηση του .
Ομοίως, μπορείτε επίσης να διαγράψετε τις διευθύνσεις IP που έχουν προστεθεί στη λίστα Διευθύνσεων IP σε αναζήτηση του .

Αφού προσθέσετε μια διεύθυνση IP στα κριτήρια διευθύνσεις IP και στη συνέχεια εφαρμόζει τα κριτήρια, η καθορισμένη διεύθυνση IP εμφανίζεται στο πλέγμα στην κύρια φόρμα.

Θύρες

Οι διαχειριστές δικτύου χρησιμοποιούν αρχεία καταγραφής τείχους προστασίας για να προσδιορίσετε τα προγράμματα που εκτελούνται στα δίκτυά τους και ποιες απολήξεις θα χρησιμοποιηθούν όταν επικοινωνούν τα προγράμματα. Το εργαλείο ανάλυσης PR μπορεί να σας βοηθήσει να προσδιορίσετε τις θύρες που χρησιμοποιούνται από ένα πρόγραμμα και μπορεί γρήγορα να εντοπίσετε τις θύρες που σας ενδιαφέρει. Πολλοί ιοί, οι ιοί τύπου worm, επιβλαβή προγράμματα και εργαλεία που χρησιμοποιούνται από κακόβουλους χρήστες χρησιμοποιούν το ίδιο θύρες, κάθε φορά που εκτελούνται. Το εργαλείο ανάλυσης PR να προσδιορίσετε τις θύρες που παρατίθενται στη λίστα κριτήριων θύρες.

Για να τροποποιήσετε αυτήν τη λίστα, ακολουθήστε τα εξής βήματα:
  1. Στο μενού Επεξεργασία , κάντε κλικ στο κουμπί Ρυθμίσεις κριτήρια.
  2. Κάντε κλικ στην καρτέλα " θύρες ".
  3. Κάντε κλικ στο κουμπί Προσθήκη.
  4. Πληκτρολογήστε το όνομα για τη θύρα και το πρωτόκολλο που σας ενδιαφέρει και, στη συνέχεια, κάντε κλικ στο κουμπί OK για να προσθέσετε τις πληροφορίες θύρας στη λίστα θυρών για αναζήτηση .
Ομοίως, μπορείτε να διαγράψετε τις θύρες που έχουν προστεθεί στη λίστα θυρών για την αναζήτηση του .

Σημειώστε ότι τα νόμιμα προγράμματα μπορεί να χρησιμοποιούν το ίδιο θύρες που χρησιμοποιούν κακόβουλα προγράμματα. Πρέπει να εξετάσετε κάθε προειδοποίηση που δημιουργεί το εργαλείο ανάλυσης PR για να προσδιορίσετε αν το προειδοποιητικό μήνυμα δημιουργείται επειδή μια λειτουργία που δεν είναι κανονικό.

Λογαριασμοί χρηστών

Το εργαλείο ανάλυσης PR σάς επιτρέπει να προσδιορίσετε τους λογαριασμούς χρήστη που που σας ενδιαφέρει στα αρχεία καταγραφής ανταποκριτής θύρας. Για να καθορίσετε τους λογαριασμούς χρήστη, ακολουθήστε τα εξής βήματα:
  1. Στο μενού Επεξεργασία , κάντε κλικ στο κουμπί Ρυθμίσεις κριτήρια.
  2. Κάντε κλικ στην καρτέλα " Λογαριασμοί χρηστών ".
  3. Κάντε κλικ στο κουμπί Προσθήκη.
  4. Πληκτρολογήστε το λογαριασμό χρήστη που σας ενδιαφέρει και, στη συνέχεια, κάντε κλικ στο κουμπί OK για να προσθέσετε το λογαριασμό χρήστη στη λίστα των Λογαριασμών χρηστών για την αναζήτηση του .
Ομοίως, μπορείτε να διαγράψετε τους λογαριασμούς χρηστών που έχουν προστεθεί στη λίστα των Λογαριασμών χρηστών για την αναζήτηση του .

Αφού προσθέσετε ένα χρήστη στα κριτήρια λογαριασμούς χρήστη, ο καθορισμένος λογαριασμός χρήστη εμφανίζεται στο πλέγμα στην κύρια φόρμα.

Ονόματα κεντρικών υπολογιστών

Το εργαλείο ανάλυσης PR προσπαθεί να επιλύσει τις απομακρυσμένες διευθύνσεις IP οι οποίες βρίσκονται στα αρχεία καταγραφής σε ονόματα κεντρικών υπολογιστών. Η επιτυχία της επίλυσης εξαρτάται από παράγοντες όπως σωστά ρυθμισμένο ρυθμίσεις TCP/IP, ρυθμίσεις DNS, μια υποδομή ανάλυσης του επιχειρησιακού ονομάτων και διευθύνσεων IP σε αντιστοιχίσεις ονομάτων. Για να μειωθεί ο αριθμός των ερωτημάτων που αποστέλλονται στο δίκτυο, το εργαλείο ανάλυσης PR έχει μια μνήμη cache ονομάτων και χρησιμοποιεί επίσης τις μνήμες cache το όνομα του προγράμματος-πελάτη. Για να καθορίσετε αυτά τα ονόματα, ακολουθήστε τα εξής βήματα:
  1. Στο μενού Επεξεργασία , κάντε κλικ στο κουμπί Ρυθμίσεις κριτήρια.
  2. Κάντε κλικ στην καρτέλα Ονόματα κεντρικών υπολογιστών .
  3. Κάντε κλικ στο κουμπί Προσθήκη.
  4. Πληκτρολογήστε το όνομα κεντρικού υπολογιστή που σας ενδιαφέρει και, στη συνέχεια, κάντε κλικ στο κουμπί OK για να προσθέσετε το όνομα κεντρικού υπολογιστή στη λίστα Ονόματα κεντρικών υπολογιστών για την αναζήτηση του .
Εάν το εργαλείο ανάλυσης PR επιλύσει με επιτυχία τις διευθύνσεις IP σε ονόματα κεντρικών υπολογιστών, το εργαλείο προσδιορίζει τα ονόματα κεντρικών υπολογιστών που ταιριάζουν με τα ονόματα που βρίσκονται στη λίστα κριτηρίων ονόματα κεντρικού υπολογιστή και στη συνέχεια εμφανίζει τα ονόματα κεντρικού υπολογιστή.

Εφαρμογή των κριτηρίων

Εάν θέλετε να καθορίσετε τα κριτήρια για το αρχείο καταγραφής που ανοίγει, μπορείτε να χρησιμοποιήσετε το
Εφαρμογή κριτηρίων επιλογής στο μενού Εργαλεία . Το εργαλείο ανάλυσης PR αναλύει το αρχείο καταγραφής για να αναζητήσετε εγγραφές που ικανοποιούν τα κριτήρια. Εάν βρεθεί μια αντιστοιχία, το εργαλείο ανάλυσης PR εμφανίζει το πεδίο που ταιριάζει. Λεπτομέρειες, όπως τις φορτωμένες λειτουργικές μονάδες, δεν εμφανίζονται στο πλέγμα στην κύρια φόρμα. Αυτές οι λεπτομέρειες είναι διαθέσιμες μόνο όταν προβάλετε τις λεπτομέρειες της εγγραφής.

Όταν το εργαλείο ανάλυσης PR εντοπίσει ότι μια λειτουργική μονάδα που σάς ενδιαφέρουν φορτώθηκε ή ότι μια λειτουργική μονάδα που χρησιμοποιεί ένα νόμιμο όνομα φορτώθηκε από το φάκελο λάθος, το εργαλείο δεν εμφανίζει αυτές τις πληροφορίες στο πλέγμα της κύριας φόρμας. Αυτό συμβαίνει επειδή το εργαλείο ανάλυσης PR δεν εμφανίζει τα πεδία. Για να εντοπίσετε όλες τις γραμμές που περιέχουν δεδομένα που ταιριάζουν με τα κριτήρια, ακόμη και στις λεπτομέρειες μιας καταχώρησης, πρέπει να φιλτράρετε τα δεδομένα. Για να το κάνετε αυτό, επιλέξτε φίλτρα στο μενού Επεξεργασία και, στη συνέχεια, κάντε κλικ στην επιλογή Εμφάνιση μόνο των γραμμών με δεδομένα "ενδιαφέροντα". Αυτή η δυνατότητα σας επιτρέπει να καθορίσετε αν όλες τις καταχωρήσεις καταγραφής συμφωνεί με τα κριτήρια που ορίζετε. Η λίστα που προκύπτει, που μπορεί να είναι κενή περιέχει όλες τις γραμμές όπου δεδομένα συμφωνούν με τα κριτήρια, συμπεριλαμβάνοντας λεπτομέρειες όπως λειτουργικές μονάδες. Η επιλογή Εμφάνιση μόνο των γραμμών με δεδομένα "ενδιαφέροντα" δεν είναι διαθέσιμη μέχρι ένα κριτήριο που έχει εφαρμοστεί στα δεδομένα. Αφού κάνετε κλικ στο κουμπί Εφαρμογή κριτηρίων στο μενού Εργαλεία , επιλογή Εμφάνιση μόνο των γραμμών με δεδομένα "ενδιαφέροντα" είναι διαθέσιμη.

Ανάλυση των αρχείων καταγραφής και δημιουργία δεδομένων

Το εργαλείο ανάλυσης PR μπορεί επίσης να δημιουργήσει δεδομένα ανάλυσης του αρχείου καταγραφής που μπορεί να είναι χρήσιμο για διαχειριστές υπολογιστών και διαχειριστές δικτύων. Επτά συνόλων δεδομένων δημιουργούνται από τα αρχεία καταγραφής ανταποκριτής θύρας υπολογιστών που βασίζεται σε Windows Server 2003 ή σε Windows XP. Επειδή το εργαλείο ανταποκριτής θύρας δεν εκτελεί αντιστοίχισης θύρας-διαδικασία σε υπολογιστές που βασίζονται στα Windows 2000, ορισμένα από αυτά τα στατιστικά στοιχεία δεν μπορούν να δημιουργηθούν από τα αρχεία καταγραφής από αυτούς τους υπολογιστές. Για να αναλύσετε τα αρχεία καταγραφής και δημιουργία εξόδου, κάντε κλικ στο αρχείο καταγραφής ανάλυσης δεδομένων στο μενού Εργαλεία .

Παρακάτω δίνονται τα επτά σύνολα δεδομένων που δημιουργούνται από το εργαλείο ανάλυσης PR:

Τοπική χρήση των θυρών TCP

Αυτό το σύνολο δεδομένων περιλαμβάνει τον αριθμό των φορών που έχει καταγραφεί κάθε θύρα TCP από το εργαλείο ανταποκριτής θύρας. Αυτό το είδος δεδομένων μπορεί να είναι χρήσιμο όταν θέλετε να προσδιορίσετε ποιες θύρες θα ανοίξει μεταξύ των δευτερευόντων δικτύων ή από το Internet. Αυτά τα δεδομένα σας δίνει μια ιδέα για το πόσο συχνά τις θύρες που χρησιμοποιούνται από κάθε υπολογιστή. Τα δεδομένα περιέχουν ένα Ποσοστό συνολικής αξίας από κάθε εγγραφή. Η τιμή αυτή υπολογίζεται διαιρώντας τον αριθμό των φορών που κάθε θύρα που χρησιμοποιείται από το συνολικό αριθμό των φορών όλες τις θύρες που χρησιμοποιούνται.

Η διαδικασία χρήσης

Μπορείτε να χρησιμοποιήσετε αυτά τα δεδομένα ανάλυσης χρήσης διαδικασία στους υπολογιστές. Για παράδειγμα, τα προγράμματα που χρησιμοποιεί ο υπολογιστής, πόσο συχνά είναι συνδεδεμένοι με το εργαλείο ανταποκριτής θύρα και των προγραμμάτων που χρησιμοποιούνται πιο Γενικά. Τα δεδομένα περιέχουν μια τιμή Ποσοστού του συνόλου για κάθε εγγραφή. Η τιμή αυτή υπολογίζεται διαιρώντας τον αριθμό των φορών που καταγράφεται κάθε διεργασία από το συνολικό αριθμό των φορών που καταγράφονται όλες τις διεργασίες. Αυτά τα δεδομένα δεν είναι διαθέσιμη για υπολογιστές που βασίζονται στα Windows 2000.

Απαρίθμηση Svchost.exe

Το εργαλείο ανάλυσης PR να εντοπίσετε όλες τις υπηρεσίες που φιλοξενούνται από τη διαδικασία Svchost.exe. Αυτές οι πληροφορίες απαιτούνται για να προσδιορίσετε τα προγράμματα που εκτελούνται στον υπολογιστή.

Απομακρυσμένη χρήση διευθύνσεων IP

Αυτό το σύνολο δεδομένων εμφανίζει τις διευθύνσεις IP και ενδέχεται να εμφανίζει τα ονόματα κεντρικού υπολογιστή που έχει επικοινωνεί ο υπολογιστής με. Λίστα κατάταξης, έτσι ώστε να μπορείτε να δείτε ποιοι υπολογιστές επικοινωνούν συχνά.

Μπορείτε να κάντε δεξιό κλικ στο πλέγμα και στη συνέχεια επιλέξτε μια επιλογή για την επίλυση των διευθύνσεων IP με τα αντίστοιχα ονόματα κεντρικού υπολογιστή. Το εργαλείο ανάλυσης PR προσπαθεί να επιλύσει τα ονόματα χρησιμοποιώντας το δίκτυο και οι ρυθμίσεις του DNS στον υπολογιστή όπου εκτελείται το εργαλείο ανάλυσης PR.

Χρήση του περιβάλλοντος χρήστη

Αυτό το σύνολο δεδομένων εμφανίζει μια λίστα με διαβαθμισμένο των λογαριασμών χρήστη που χρησιμοποιήθηκαν στο αρχείο καταγραφής ανταποκριτής θύρας. Μπορείτε να το χρησιμοποιήσετε για να καθορίσετε ποιοι λογαριασμοί χρηστών έχουν χρησιμοποιηθεί σε έναν υπολογιστή. Αυτά τα δεδομένα δεν είναι διαθέσιμη για υπολογιστές που βασίζονται στα Windows 2000.

Χρήση των θυρών με ώρα

Αυτό το σύνολο δεδομένων παρέχει μια ανάλυση της χρήσης θύρα ανά ώρα σε σχέση με το χρόνο που έχουν συλλεχθεί τα δεδομένα αρχείου καταγραφής ανταποκριτής θύρας. Μπορείτε να χρησιμοποιήσετε αυτά τα δεδομένα για να κατανοήσετε τις ώρες αιχμής για έναν υπολογιστή και να καταλάβετε αν οι θύρες χρησιμοποιούνται απρόσμενα.

Σημείωση Από προεπιλογή, ο αναφέρων θύρας συλλέγει δεδομένα για 24 ώρες.

Χρήση iexplore.exe

Αυτό το σύνολο δεδομένων απαριθμεί τα τελικά σημεία που επισκεφθήκατε Microsoft Internet Explorer. Αυτά τα δεδομένα αναλύεται σε χρήστες με βάση έτσι ώστε να είναι επαγγελματικά τη χρήση του Internet Explorer για κάθε χρήστη. Μπορείτε να χρησιμοποιήσετε αυτά τα δεδομένα για να καθορίσει που επισκέπτεται τοποθεσίες χρήστες ή οποία τείχη προστασίας του υπολογιστή που χρησιμοποιείται για πρόσβαση στο Internet.

Να κάνετε δεξιό κλικ στη φόρμα για να δείτε σχετικές πληροφορίες. Κάθε διεύθυνση IP που παρατίθεται είναι δυνατό να επιλυθεί σε ένα όνομα κεντρικού υπολογιστή. Επομένως, το αντίστοιχο όνομα της κάθε τοποθεσίας ή τείχος προστασίας μπορούν να αναγνωριστούν.

Μπορείτε επίσης να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Portqry.exe να υποβάλλει ερώτημα στις θύρες των υπολογιστών που προσδιορίζονται σε αυτήν τη λίστα. Για να αποθηκεύσετε τα δεδομένα ανάλυσης του αρχείου καταγραφής σε ένα αρχείο κειμένου, κάντε κλικ στο κουμπί " Αποθήκευση" στο πλαίσιο διαλόγου " Δεδομένα ανάλυσης του αρχείου καταγραφής για το αρχείο καταγραφής ".
Ιδιότητες

Αναγνωριστικό άρθρου: 884289 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια