Windows Administrator Passwort auf VM vergessen

Da es keine direkte Möglichkeit bei einer VM gibt, eine Rettungs-CD einzulegen, wie in etlichen Internet-Beiträgen beschrieben, habe ich mich erfolgreich an meinen VM-Hoster (Host Europe) gewandt. Host Europe hat mir das Windows-Admin-Passwort auf das Initialpasswort, welches im Kundenportal (KIS) angegeben ist zurückgesetzt.

IP Verbindungen samt Dateipfad des Prozesses monitoren

TCPViewer

TCPViewer: Die eindeutig bessere Alternative zu netstat. Es ist übersichtlicher, enthält den Dateipfad zu den Prozessen, die zu einer Verbindung aufgebaut wurden und mit dem kleinen Bruder TCPVCon kann man die Daten als .csv abspeichern.

IP-Verbindungen leuchten von Zeit zu Zeit farbig auf, um die Aufmerksamkeit des Users zu erregen:

grün: Frisch geöffnete endpoints

blau: Gerade geschlossene endpoints

gelb: endpoints haben den Status gewechselt.

 

Process Monitor

Eigentlich hat dieses Tool den Schwerpunkt auf Prozesse, ist jedoch das perfekte Tool, um Events so weit einzuschränken, um die Datei zu finden, die verdächtige IP Connections aufbaut.

Den Filter muss man um folgende beiden Entries erweitern:

Operation contains TCP Include
Operation contains UDP Include

Nun filtert man nach und nach unverdächtige Prozesse raus (bsps.weise firefox.exe) bis die potenziellen Schadprozesse übersichtlicher sind.

Windows Firewall Logging

Beim gehijackten Server, kann man verdächtige Aktivitäten im Firewall-Log genauer analysieren. Dort wird jedoch leider nicht die Quelle der verdächtigen Aktivitäten (also der Prozess) protokolliert.

Das Firewall-Log wird per default in %systemroot%\system32\LogFiles\Firewall als pfirewall.log gespeichert und ist leer, muss also erst eingeschalten werden.

Das Menü zum Einschalten des Firewall-Loggings findet sich im Programm „Firewall mit erweiterter Sicherheit“: Aktion -> Eingenschaften. Dann für alle drei Profile (Domänenprofil, …) -> Anpassen -> dort die Protokollierung mit zweimal „Ja“ einschalten.

Das Runterfahren von Windows war zumindest bei meinem letzten Einschalten vom Firewall-Log nicht notwendig. Wenn alles korrekt funktioniert, dann wird jeder(!) Aufruf einer Webseite in einem Browser zu zahlreichen Einträgen im Log führen.

Falls dies nicht der Fall ist, dann kann das möglicherweise daran liegen, dass der Windows-Firewalldienst keine Schreibberechtigungen für den Protokollordner hat:

Navigieren Sie zu dem Ordner, den Sie für die Protokolldatei angegeben haben, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf Bearbeiten.
Klicken Sie auf Hinzufügen, geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen NT SERVICE\mpssvc ein, und klicken Sie dann auf OK.
Überprüfen Sie im Dialogfeld Berechtigungen, ob MpsSvc über Schreibzugriff verfügt, und klicken Sie dann auf OK.

Dann mit einem als Administrator gestarteten Editor die Log-Datei öffnen.

Interpretation des Firewall Logs

Nachdem die Analysephase vorbei ist, muss das Log wieder abgeschalten werden, damit durch die schnell anwachsenden Log-Files nicht irgendwann die Festplatte zu ist.

netstat

Sobald der Server kompromitiert wurde, kann man netstat nutzen, um eine erste Analyse vorzunehmen.

Übersichtlicher und v.a. für die Anaylse besser geeignet (da beim Prozessnamen auch noch der Pfad dazugeliefert wird ist jedoch TCPView (von Mark Russinovich)

Aufruf

cmd als Admin starten.

netstat -ob

Um die PID zu identifizieren, die hinter den IP-Verbindungen stehen, muss man -o als Parameter wählen. Um die Prozessnamen aufzulisten, braucht man -b

Refenrenz für verschiedene Parameter: https://technet.microsoft.com/en-us/library/bb490947.aspx

 

Spalte: Lokale Adresse

127.0.0.1  diese Ports lauschen nur auf Verbindnungen vom Computer selbst -> hier kann keine Gefahr bestehen

0.0.0.0  —>  hört an allen network interfaces (also Computer, Modem, Netzwerkkarte)

[::]   —>   bedeutet in IPv6 nichts anderes als 0.0.0.0

10.X.X.X (also die IP welche das Intranet für meinen Computer vergeben hat)   —>    hört / verbindet sich nur mit Adressen im Intranet

:*   —>   der Port ist noch nicht etabliert.

Quelle: http://stackoverflow.com/questions/20882/how-do-i-interpret-netstat-a-output

 

Status

http://stackoverflow.com/questions/20882/how-do-i-interpret-netstat-a-output

Bilder optimal ausdrucken

Tags: Bilder, Poster, Wandbilder, Rahmen

Lizenzpflichtige, aber günstige Bilder kann man sich bei fotolia.de bestellen. Dort kann man mal vor der Erstanmeldung im Internet nach einem Promocode schauen.

Ein Passepartout ist ein weißer Kartonrahmen um das Bild herum, der nichts mit dem eigentlichen Rahmen zu tun hat und das Bild größer und wertiger wirken lässt.

Einfach die Anzahl der Pixel durch 60 teilen: größer sollte das Bild nicht werden, damit es noch scharf gedruckt werden kann.

Müller Online hat einen ansprechend einfach zu bedienenden Wandbild-Konfigurator im Angebot. Müller Online verschickt auch an DHL Packstation (jedoch aktuell keine Poststationen) und bietet Bezahlung per Paypal an.

Auch bei Müller Foto kann man nach einem Gutscheincode googeln. Die voraussichtliche Lieferzeit betrug 5 Tage.

Die Assembly mit dem Anzeigenamen „mscorlib.XmlSerializers“ konnte im „LoadFrom“-Bindungskontext der AppDomain mit ID 1 nicht geladen werden.

BindingFailure occurred
Message: Managed Debugging Assistant 'BindingFailure' has detected a problem in 'D:\temp\StarTrack\QS\Utils\TestautomationTools\TestExecutor2\bin\Debug\TestautomationTool.vshost.exe'.
Additional information: Die Assembly mit dem Anzeigenamen "mscorlib.XmlSerializers" konnte im "LoadFrom"-Bindungskontext der AppDomain mit ID 1 nicht geladen werden. Fehlerursache: System.IO.FileNotFoundException: Die Datei oder Assembly "mscorlib.XmlSerializers, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" oder eine Abhängigkeit davon wurde nicht gefunden. Das System kann die angegebene Datei nicht finden.

Diese Fehlermeldung tritt bei einem C#-Programm auf, welches Oberflächenelemente auf Windows scannt. Laut Stackoverflow kann man diese Fehlermeldung jedoch ignorieren.

Spezifischen Ordner in Windows 7 suchen

Auf superuser.com steht eine Anleitung für die Suche nach einem Ordner auf Windows 7, die auf meinem Computer nicht funktioniert. Der Grund liegt in der deutschen Sprachversion, die mit
kind:folders folderName
nichts anfangen kann.

Mit WIN+F kommt man zur Windows-Suche und kann rechts oben dann den Ordnernamen eingeben und anschließend nach der Art filtern:
2016-11-14 10_55_56-meinOrdner - Suchergebnisse

Die generierte Suchsyntax lautet nun:
art:=ordner meinOrdner
was mein deutschsprachiges Windows 7 nun korrekt interpretiert.

Tooltip in GridControl aus unangezeigter Spalte erstellen (DevExpress/WPF)

Für das GridControl in WinForms existiert eine sehr schöne Möglichkeit mittels ToolTipController einen Tooltip aus einer unsichtbaren Spalte der dahinterliegenden Datenquelle zu erstellen: Anleitung. In Wpf gibt’s keinen ToolTipController, weshalb man das ein bisschen anders machen muss (Quelle):

Zur besseren Orientierung findet sich im Folgenden ein großer Teil des XML-Baums, relevant ist eigentlich nur der Knoten „

    <dxb:BarManager x:Name="barManager" dxbh:BlendHelperForBarsAndRibbon.IsDesignControl="true">
        <DockPanel>
            <dxd:DockLayoutManager x:Name="dockLayoutManager">
                <dxd:LayoutGroup>
                    <dxd:TabbedGroup Name="tgProperties" ItemWidth="*" SelectedTabIndex="1">
                        <dxd:LayoutPanel Caption="Available Parameter" >
                            <dxg:GridControl x:Name="gridAvailableParameter" AutoPopulateColumns="True" HorizontalAlignment="Stretch" ItemsSource="{Binding ShownParametersInAvailableParameterGrid}" Margin="0,0,0,0" VerticalAlignment="Stretch">
                                <dxg:GridControl.Columns>
                                    <dxg:GridColumn FieldName="IrgendeinText">
                                        <dxg:GridColumn.CellTemplate>
                                            <DataTemplate>
                                                <dxe:TextEdit Name="PART_Editor">
                                                    <ToolTipService.ToolTip>
                                                        <Binding Path="Data.DazugehörigeToolTippText"/>
                                                    </ToolTipService.ToolTip>
                                                </dxe:TextEdit>
                                            </DataTemplate>
                                        </dxg:GridColumn.CellTemplate>
                                    </dxg:GridColumn>
                                <dxg:GridControl.View>
                                    <dxg:TableView BestFitMode="AllRows" BestFitArea="Header" AllowBestFit="True" AutoWidth="True" VerticalAlignment="Stretch" x:Name="tblParamList" ShownEditor="TableViewAvailableParameterBoxShown" HiddenEditor="TableViewAvailableParameterBoxHidden" ShowTotalSummary="True"/>
                                </dxg:GridControl.View>
                            </dxg:GridControl>
                        </dxd:LayoutPanel>                    
                    </dxd:TabbedGroup>
                </dxd:LayoutGroup>
            </dxd:DockLayoutManager>
        </DockPanel>
    </dxb:BarManager>

HDGraph Alternativen

HDGraph ist ein Tool, welches den Platzverbrauch einzelner Ordner/Dateien graphisch wunderbar aufbereitet. Indem man durch Doppelclick in die Ordner gelangt und gleichzeitig dort eine grafische Auswertung des Platzverbrauchs anstößt, kann man schnell die Ursache für eine überquellende Festplatte finden. Auf einigen Windows Versionen, so z.B. Windows Server 2008 erfordert HDGraph jedoch die Installation vom kompletten .NET-Framework. Wer dieses nicht nachträglich installieren kann, weil die Festplatte voll ist, der muss sich um Alternativen kümmern.
Eine Alternative ist WinDirStat: diese analystiert den Platzverbrauch nur sehr langsam. So kann man auch mal eine halbe Stunde warten müssen, um eine valide Aussage auf der obersten Ebene zu erhalten. Außerdem ist WinDirStat grafisch nicht schön.
Eine weitere Alternative ist SpaceSniffer. Der stellt die Übersicht grafisch schön dar. Das Eintauchen in einen Ordner geht zügig und auch die initiale Analyse geht rasch von Statten. SpaceSniffer ist schließlich eine gute Alternative zu HDGraph.

Reference Manager (Visual Studio) erklärt

Reference Manager - Microsoft Visual Studio

Assemblies

Hier finden sich die dlls aus dem Ziel-Framework (bei mir .NET). Unterschied zwischen .NET und COM-Framework.

Unter der Spalte ‚Name‘ steht die Dateibeschreibung der .dll:

Reference Manager 2

Framework

Assemblies, die das Ziel-Framework (bei mir .NET) ausmachen. Bei mir befinden sich die angezeigten Assemblies hier: C:\Program Files (x86)\Reference Assemblies\Microsoft\Framework\.NETFramework\v4.5

Extensions

Assemblies von Drittanbietern

Per Tooltip kann man die Dateipfade der Assemblies sehen:

Reference Manager 3

Über die Auswahl der unter ‚Extensions‘ erscheinenden Assemblies entscheiden mehrere Registry-Variablen. Je höher die Framework-Version, desto mehr potenzielle Quellen gibt es. Die genaue Regel steht hier unter „2. Extension …“, wobei v.a. das Beispiel erhellend ist.

Es ist ratsam um die sog. Dll-Hell zu vermeiden, einen eigenen Ordner anzulegen, und die Referenzen konsequent nur aus diesem zu ziehen.

Recent

Die in letzter Zeit hinzugefügten Assemblies. Hier tauchen auch die in anderen Projekten hinzugefügten References auf.

Projects

Hier finden sich die anderen Projekte der aktuellen Solution. Eine goldene Regel lautet, dass man Projekte immer über diesen Weg referenzieren sollte.

COM

Hier finden sich die dlls aus dem COM-Framework. Unterschied zum .NET-Framework.

 

Best Practice

In einer solution mit mehrere Projekten, stopft man alle 3rd-party-dlls in einen separaten Ordner und referenziert diese dann mit Specific Version ‚false‘. Wenn man eine neue 3rd-Party-Version benutzen muss, dann kann man diese einfach im separaten Ordner austauschen. Einziger Wermutstropfen ist, dass man dann später nicht mehr den exakten Zustand der solution bestimmen kann.