一個健康的電腦系統,原則上只須做好系統及軟體的安全性更新或修補即可,其他的風險,絕大多數都是因為使用者的錯誤操作所造成,包括了安裝個人慣用的軟體(P2P)、錯誤的操作行為(胡亂下載、執行)等等,甚至軟體間的共享行為,都有可能會造成安全性的疑慮。
不過,系統內這一類的問題,千奇百怪什麼狀況都有可能會發生,如果要用人工的方式,彙集出可供辨識及比對的資料,光是用想的就是一件令人頭皮發麻的事,尤其是在IT人力持續吃緊的狀況之下,要如何有效、快速地取得這一類的資訊,就是系統分析時的首要工作。
其實系統分析的內容包含很多資料,無論是硬體規格、軟體安裝的狀況、正在執行的程式,以及在登錄檔(Registry)中的許多資料,都可以算是系統分析中不可或缺的資料來源之一。
縱使作業系統本身提供了不少介面或指令,讓使用者能夠查閱相關資訊,但是缺乏一個統一的介面,因此還是得花費許多時間在各個介面中尋找資訊,例如系統資訊、指令(執行…):regedit、msconfig等等,因此能夠替使用者做系統分析的軟體就顯得方便不少,例如在電腦病毒界很多人愛用的「HijackThis」(目前由趨勢科技維護),以及這次由「ESET」(NOD32或許較為常見)所推出的「SysInspector」,也提供了一個不錯的整合界面,能夠讓管理者以很快的速度來評估系統的可能風險。
環境需求
目前ESET SysInspector為1.1.1.0版,其實它本身毋須安裝,可獨立執行於作業系統當中,對於硬體的需求也不算高,以「SysInspector_cht.exe(32bits 繁體中文版)」來說,也才不過3.67MB的大小,算是一個相當輕便好用的軟體。
安裝ESET SysInspector只需一般等級的軟硬體設備即可,至於在進行資料收集的時間,主要視硬體配備以及系統內資料量的多寡(繁雜)而定,其系統要求如下:
●處理器:i386(Intel 80386), AMD64(x86-64)
●操作系統:Microsoft Windows 2000/XP/Server 2003/Vista
●記憶體:35MB
●磁碟空間:2MB
安裝連結
目前ESET SysInspector提供了兩種語系共四種檔案可供下載,可以直接連至官網的介紹頁面(http://www.eset.com.tw/html/380/757/)選擇系統適用的版本,點選並另存之後,即可直接執行,或者直接在瀏覽器上輸入下列網址,下載各式版本的「ESET SysInspector」。
ESET SysInspector繁體中文版:
32bit:http://www.eset.com.tw/ESET_SysInspector/32bit/SysInspector_cht.exe 64bit:http://www.eset.com.tw/ESET_SysInspector/64bit/SysInspector_cht_64.exe
ESET SysInspector英文版:
32bit:http://www.eset.com.tw/ESET_SysInspector/32bit/SysInspector.exe 64bit:http://www.eset.com.tw/ESET_SysInspector/64bit/SysInspector.exe
主要特色與功能
ESET SysInspector主要的特色有「圖形化介面的篩選功能」、「個人資料的安全性保護」及「文字介面的背景執行」,這三個特色對於管理者來說,就是最顯著的優點,因為它能夠快速簡潔地找出問題,這是每個管理者夢寐以求的事,雖然只是一個免費的共享軟體,只要能夠協助有此需求的人,在最短的時間內找出問題所在,就更能夠顯得它的與眾不同。
不過在執行的時候,可能會先面臨一個問題,也就是防毒軟體的控管,因為它本身會去收集系統層的資訊,有些防毒軟體本身會對系統層的資料進行安全性的控管,因此,在執行前得先在防毒軟體的設定中排除ESET SysInspector的阻撓,否則無法利用它來進行系統分析。
功能一:圖形化介面的篩選功能
在執行下載回來的ESET SysInspector後,它會先跳出使用者條約,直接把條約拉至文末,選擇「我同意」後就會開始收集、分析系統狀態,等待它的收集完成之後,就可以透過它的圖形介面來觀看分析的結果。
|
▲點選左方的主要項目,右方會顯示該檔案的關連性及詳細資訊。 |
不過,如果系統內的資料量太多,一樣會造成判讀上的困擾,所以它提供了一個「過濾」的功能,只要直接拖曳「過濾中」旁的橫桿至想要的風險層級,它就能夠篩選出風險較高的項目有那些,如此一來,就可以減輕在判讀資料時,像大海撈針一般,花費了太多無謂的時間。
|
▲經由過濾的協助,可以快速找出系統內風險性較高(可疑)的弱點為何。 |
除了直接從圖形介面上拉動橫桿來做資料的篩選及過濾之外,也可以從右上方的工具列中,點選【檔案(F)】→【過濾項目】,選擇想要過濾的風險層級為那一種級別。
功能二:個人資料的安全性保護
在進行系統分析時,如果收集分析後的資料是自己或有權限的管理者才能取得,也許還無傷大雅,如果由系統分析軟體所匯出的資料,得經過外人之手才能夠判讀出問題時,就得擔心個人資料是否會遭濫用或竊取,因為這類軟體往往會真實地呈現系統內的所有資訊。
所以在透過ESET SysInspector進行完系統分析後,在預設的狀況下,匯出資料時會提醒使用者匯出的資料中包含私人資料,詢問是否要進行匯出,大多數人看見這個提醒,應該都會按下〔否(N)〕。
難道得先把匯出檔案中的個人資料刪除後,再寄送給相關的專業機構判讀嗎?其實它也為使用者想到了這一點,所以這時候就可以從右上方選擇【檔案(F)】→【產生】→【適合傳送】,再重新進行一次系統的分析,這次分析的結果就會排除個人資料,如此一來,把匯出的資料傳給其他人或官方(support@nod32tw.com)進行分析時,就可以不用擔心個人資料被竊取或盜用的風險。
|
▲可在不包含個人資料下進行系統分析,以利傳送給他人或專業組織分析。 |
功能三:文字介面的背景執行
對網管人員來說,文字介面有其一定的重要性,尤其是在AD的環境之下,因為軟體可以經由中央派送,並且直接在背景執行,這樣才不會打擾到使用者工作,因此,這軟體也提供了一個文字介面的運行模式,對於大規模的系統分析,有其一定的便利性。
在進行派送之前,可以先在本機端來進行測試,首先把將下載回來的「SysInspector_cht.exe」置於特定資料夾(例如「D:\SysInspector」)中,然後開啟文字的操作介面(Windows的命令提示字元),輸入「sysinspector_cht /help」,即可查閱所有指令的用途為何。
|
▲可透過/help查閱所有指令參數的用法。 |
進行文字介面的背景執行時,比較重要的指令參數有以下幾個: /gen:由命令列來產生日誌(xml檔)。(後面接儲存路徑及檔名,例如「/gen=.\sys.xml」) /privacy:排除個人隱私的資料。 /silent:產生日誌時,不會彈出進行視窗。
實際的操作的指令即為「Sysinspector_cht.exe /gen=.\sys.xml /privacy /silent」。如果有需要將日誌進行壓縮,可於最後加入「/zip」的參數即可,例如「Sysinspector_cht.exe /gen=.\sys.zip /privacy /silent /zip」
|
▲從工作管理員中,可以得知正在進行系統分析。 |
在系統分析於背景執行完成之後,根據儲存的路徑(「.\sys.zip」),在存放程式的資料夾中可以發現檔名為「sys.zip」的壓縮檔,其實只要更動當初指令中壓縮檔的儲存路徑,就能夠把這個資料從遠端電腦中收集至特定的地點。
如此一來,電腦使用者的工作也不會被打斷,這對於使用及管理的便利性來說相當重要。
總結
相較於其他系統分析軟體,「ESET SysInspector」還是相當具有吸引力的,其他像是「線上查詢」、「檔案比較」等等,也具備這些功能,所以它對於減輕既定工作的負擔,就能夠發揮不錯的功效。
除此之外,這一類的系統分析軟體其實並不會替使用者進行任何決定,它僅做資料收集、整理,並且整合在統一的介面中,以利於判讀可疑的資訊,當取得這一類的資料時,管理者本身也得具備系統分析的判讀能力,這點就跟在進行解毒工作一樣,有時候是需要一點經驗才能夠勝任,如果沒有把握的話,可以考慮採取下列的做法:
1.將匯出的資料寄送給專業機構來進行判讀。(記得事先移除個人資料)
2.系統初次安裝後,進行首次的系統分析並保存匯出的檔案,以供未來進行比對。
畢竟,工具本身的功能有限,要如何在適當的環境或情境下使用,還是因地制宜而有所不同,如果有系統分析的需求時,可以試試這個能省去不少麻煩的好康軟體,畢竟,多一種工具總比花費更多時間來得值得。