Uslužni programi kompanije Sysinternals. Programi za datoteke i diskove

& nbsp & nbsp Sysinternals Tools je set besplatni softver za administraciju i praćenje računara pod kontrolom Windows operativnih sistema. U početku Sysinternals programi(Winternals) su razvili Winternals Software LP koju vode dva programera - Mark Russinovich i Bryce Cogswell. U julu 2006. Microsoft je kupio Winternals Software LP i sve njegove proizvode. Web lokacija Sysinternals sada je premještena na Microsoftov web portal i postala dio Microsoft TechNet-a. Microsoft Technet sada ima odjeljak Windows Sysinternals gdje možete preuzeti cijeli skup uslužnih programa Sysinternals Suit kao arhiva, ili odvojene komunalije iz njegovog sastava.

Trenutno paket Windows alati Sysinternals se može koristiti čak i bez preuzimanja na lokalni računar zahvaljujući mogućnosti dijeljenja resursa Sysinternals Live, koji se može mapirati kao mrežni disk, kojem je dodijeljeno, na primjer, slovo R:

net use R: \\ live.sysinternals.com \ tools

Sa mrežnim diskom, naravno, brzina razmjene podataka je mnogo niža nego kod lokalnog, ali s njim možete raditi bez problema kao sa običnim. lokalni disk, uključujući i na komandnoj liniji. Tako, na primjer, sa komandom

start R: \ autoruns.exe

Utility autoruns.exe može se pokrenuti u posebnom prozoru. Stoga, s bilo kojeg mjesta s pristupom Internetu, možete iskoristiti prednosti najfunkcionalnijeg i najefikasnijeg skupa alata za Windows - Sysinternals Suite.

& nbsp & nbsp Većina uslužnih programa Sysinternals Suite zahtijeva administrativne privilegije da bi bili potpuno funkcionalni. Za operativne sisteme iz porodice Windows 2000 / XP dovoljno je da korisnik radi pod nalogom člana grupe Administrator. U okruženju operativnog sistema Widows Vista / Windows 7, uslužni programi se moraju pokrenuti pomoću stavke kontekstnog menija „Pokreni kao administrator“. Komandne datoteke koji koriste uslužne programe komandna linija također mora raditi pod nalogom sa administratorskim privilegijama.

Paket Sysinternals Suite obuhvata nekoliko desetina male komunalije, konzolni i grafički interfejs, od kojih su mnogi nadaleko poznati među sistemskim administratorima i naprednim korisnicima - softverski paket PSTools, uslužni programi za nadgledanje Process Monitor, Autoruns, Process Explorer, anti-rootkit RootkitRevealer, itd. Mnogi od njih su obrađeni u posebnim člancima, linkovi do kojih se mogu naći na početna stranica stranica u odjeljku Windows... Sysinternals Suite se ažurira nekoliko puta godišnje, njegov sastav se može mijenjati - verzije programa se mijenjaju, neki od uslužnih programa se uklanjaju, neki dodaju, ali glavni set postoji više od deset godina, što ukazuje na njegovu relevantnost među administratorima i pismeni korisnici Windows operativnih sistema. Parametri komandne linije uslužnih programa konzole i grafičko korisničko sučelje za većinu programa su vrlo slični, što uvelike olakšava njihovu praktičnu upotrebu.

Sysinternals Suite File and Disk Utilities

AccessChk

Accesschk- konzolni uslužni program za pregled prava korisnika na datoteke, direktorije, ključeve i ključeve registra, procese i niti.

accesschk -u korisnik1 -c MpsSvc -v- prikaz korisničkih prava korisnik1 u odnosu na uslugu MpsSvc (Windows zaštitni zid 7. Dozvolite mi da vas podsjetim da u Windows okruženje Vista / Windows 7, uslužni program Accesschk mora biti pokrenut kao administrator). Ključ -v znači opširni izlaz rezultata. Ako ovaj ključ nije naveden, tada su korisnička prava označena simbolima R(Pročitajte) i W(Pisati). Display R znači dozvolu za pregled statusa (Query_Status), konfiguraciju (Query_Config) i početak (Service_Start) usluge. W znači da imate pravo da promijenite konfiguraciju i stanje usluge. Kombinacija RW znači da imate pristup svim važećim radnjama na usluzi. (Servis_All_Access). Ako je ključ dat -v onda umesto simbola R i W R Prikazuje opis prava pristupa, kao što je Service_All_Access- dozvoljeno pun pristup

accesschk -c MpsSvc -w -v- prikazati listu naloga koji imaju puna prava pristupa (-w prekidač) servisu MpsSvc.

accesschk -u korisnik1 -c * -w -v- prikazati listu usluga kojima korisnik1 ima pun pristup.

accesschk -u korisnik1 -k hklm \ sigurnost- prikazati prava pristupa korisnika user1 pododjeljcima sekcije HKLM \ SIGURNOST registar.

accesschk -u korisnik1 -k hklm \ sigurnost -d- prekidač -d znači obradu samo najvišeg nivoa (direktorij sistem podataka ili ključ registra)

accesschk -u korisnik1 C: \ Korisnici -d- prikazati prava korisnika user1 u odnosu na C: \ Users direktorij

accesschk -u korisnik1 C: \ Korisnici- prikazati prava korisnika user1 u odnosu na poddirektorije direktorija C: \ Users

accesschk C: \ Korisnici -w- prikazati listu naloga koji imaju potpuni pristup direktoriju C: \ Users

accesschk -u korisnik1 -p wininit -v- prikaz prava korisnika user1 u odnosu na proces wininit

Nažalost, uslužni program accesschk ne zna kako (barem u vrijeme pisanja ovog teksta nije znao kako) da radi sa imenima naloga, usluga i direktorijuma koji sadrže znakove ruskog alfabeta.

AccessEnum

AccessEnum- uslužni program za pregled prava naloga u odnosu na elemente sistema datoteka i windows registar.

CacheSet

Utility CacheSet je aplikacija koja vam omogućava da upravljate postavkama radnog skupa za keš sistemskih datoteka. Koristi se za branje optimalni parametri i povećati brzinu i stabilnost računara. Promjenom minimalnog i maksimalne vrijednosti veličina radne keš memorije, možete postići određeno povećanje performansi sistema.

Postavljanje novih vrijednosti minimuma i maksimuma se dešava kada pritisnete dugme Prijavite se... Dugme Resetovati omogućava vam da vratite vrijednosti minimalne i maksimalne veličine keš memorije koje su bile postavljene u vrijeme pokretanja uslužnog programa.

Contig

Contig- uslužni program komandne linije za povećanje performansi sistema defragmentacijom pojedinačnih, često korišćenih datoteka. Pogodno za korišćenje za defragmentaciju datoteka virtuelne mašine, ISO slike na fleš diskovima za pokretanje pomoću pokretača Grubšto može zahtijevati nefragmentiranu datoteku slike za defragmentaciju nekih datoteka koje se često čitaju s diska.

Contig.exe /?- pomoć za izdavanje uslužnog programa.

Contig.exe -a E: \ SonyaLiveCD.iso- analizirati fragmentaciju datoteke E: \ SonyaLiveCD_15.10.2010.iso

Contig.exe E: \ SonyaLiveCD_15.10.2010.iso- defragmentirati navedeni fajl.

Contig.exe -a -s C: \ windows \ *- analizirati sve datoteke sa ekstenzijom exe u C: \ Windows direktoriju i njegovim poddirektorijumima (ključ -s)

Contig.exe C: \ windows \ system32 \ *- defragmentirati sve datoteke sa ekstenzijom exe u sistemskom direktoriju C: \ Windows \ System32

Poboljšanje performansi sistema ciljanom upotrebom Contig.exe generalno više od onoga što se može dobiti upotrebom standardni alati defragmentirati Windows.

Disk2vhd

Utility Disk2vhd koristi se za kreiranje virtuelnih tvrdi disk formatu VHD virtuelni Microsoft mašine(Virtuelno Tvrdi disk- Microsoftov format diska virtuelne mašine) na osnovu podataka fizički disk pravi auto. Operacija kreiranja diska virtuelne mašine može se izvesti direktno u okruženju operativnog operativnog sistema. Disk2vhd-ovo grafičko korisničko sučelje (GUI) vam omogućava da odaberete bilo koji od logički pogoni pravi kompjuter i pretvoriti ga u virtuelni disk koji se može koristiti za rad u okruženju virtuelne mašine Microsoft Virtual PC.

DiskMon

DiskMon- omogućava vam praćenje I/O operacija za tvrdi diskovi u okruženju operativnih sistema Windows porodice. Program se može koristiti i kao programski indikator poziva na tvrdi diskovi- kada se minimizira, prikazuje se ikona na traci zadataka u zelenoj boji za čitanje sa diska, a crveno za upisivanje.

U glavnom prozoru programa prikazan je broj diska u sistemu (kolona Disk), tip operacije (kolona Zahtjev), broj sektora na disku kojem se pristupilo (kolona Sektor) i veličina polja podataka (Dužina kolona). Ako je potrebno, odredite s kojim fajlom sektor određeni broj, možeš koristiti uslužni program za konzolu NFI.EXE (NTFS File Sector Information Utility) iz Microsoftovog paketa alata za podršku.
Format komandne linije
nfi.exe Broj sektora diska
nfi.exe C: 655234- prikazati ime datoteke koja posjeduje sektor 655234
nfi.exe C: 0xBF5E34- isto, ali je postavljen broj sektora heksadecimalni sistem obračun
Kao rezultat izvršenja naredbe, bit će prikazana poruka

*** Logički sektor 12541492 (0xbf5e34) na disku C je u datoteci broj 49502.
\ WINDOWS \ system32 \ D3DCompiler_38.dll

One. sektor koji nas zanima pripada datoteci D3DCompiler_38.dll u Windows \ system32 direktoriju.

DiskView

Program DiskView omogućava vam da uđete grafički korisna kartica prostor na disku:

Izbor diska za gledanje vrši se na terenu Volume na dnu prozora programa. Nakon odabira diska i pritiska na Osvježiti program skenira i prikazuje mapu lokacije datoteka i direktorija. Donji prozor prikazuje neku vrstu skale lokacije podataka u odnosu na početak diska. Boja parcele odgovara karakteristične karakteristike prikazane grupe klastera. Za pomoć oko kodiranja boja, koristite meni Pomoć - Legenda. ... ...:

Prvi klaster fragmenta- boja početne grupe u lancu.
Kontinuirani klaster datoteka- klaster pripada uzastopnoj (ne fragmentiranoj) datoteci.
Ftagmentirani klaster datoteka- klaster pripada fragmentiranoj datoteci.
Klaster sistemskih datoteka- klaster pripada sistemskoj datoteci
Neiskorišteni klaster- klaster pripada slobodnom prostoru
Neiskorišteni klaster u MFT zoni- slobodni klaster u MFT području sadržaja diska
Grupa datoteka označena korisnicima- klaster pripada datoteci koju je odabrao korisnik.

V gornji prozor prikazuje se detaljnija mapa lokacije podataka. Traka za pomicanje vam omogućava da odaberete područje prikaza. Odabirom bilo koje tačke diskovnog prostora sa pokazivačem u donjem prozoru, u gornjem prozoru se prikazuje prikaz mape klastera za odabrani dio sistema datoteka. Za promjenu nivoa detalja karte koristite dugme Zoom na dnu glavnog prozora programa. Klikom na mapu klastera u gornjem prozoru će se prikazati naziv datoteke u okviru HighLight i isticanje grupe odgovarajućih klastera u boji. Dvostruki klik na polju prikazanih klastera, u gornjem prozoru, poziva prozor sa svojstvima:

Za prikaz stepena iskorištenosti diska i informacija o broju datoteka i fragmenata, koristite meni "Datoteka" - "Statistika"

DU

du.exe- uslužni program komandne linije za određivanje statistike korištenja prostora na disku u direktorijima datoteka Windows sistemi... Da biste dobili listu ključeva, možete pokrenuti du.exe bez parametara ili sa parametrom /? ... Primjeri korištenja uslužnog programa:

du.exe C: \- prikaz informacija o korištenju korijenskog direktorija diska C: - broj datoteka, poddirektorija i veličina zauzetog prostora na disku.

FileMon

FileMon(File Monitor) je uslužni program za praćenje svih aktivnosti sistema datoteka u realnom vremenu. Omogućava vam da odredite koji procesi pristupaju datotekama i direktorijima, koje operacije i na kojim objektima izvodi sistem datoteka. Uslužni program FileMon je sada zamijenjen uslužnim programom Monitor procesa (ProcMon)... Detaljan opis i postupak korištenja oba programa dati su u posebnim člancima:

Uz pomoć ovih uslužnih programa, možete lako odrediti listu resursa datoteka koje aplikacija koristi, pronaći konfiguracioni fajlovi utvrditi uzroke rušenja ili drugih problema povezanih s korištenjem Windows datoteka i direktorija.

MoveFile

MoveFile omogućava vam brisanje ili premještanje datoteke sljedeći put pokretanje Windowsa... Koristi se u slučajevima kada je fajl isključivo uhvaćen od strane bilo koje aplikacije ili usluge i nemoguće ga je izbrisati ili prenijeti na uobičajen način. Primjer upotrebe:

Movefile.exe "C: \ Dokumenti i postavke \ korisnik \ Lokalne postavke \ TEMP \ svchost.exe" C: \ virus \ svchost.ex_

Operaciju prijenosa datoteka zapravo obavlja Windows Session Manager (Session Manager SMSS.EXE), koji tokom procesa pokretanja sistema čita komande za preimenovanje i brisanje koje je registrirao uslužni program MoveFile iz ključa registratora
HKLM \ System \ CurrentControlSet \ Control \ Session Manager \ PendingFileRenameOperations .
Nakon izvršenog transfera, dati ključ registar će biti obrisan. Da vidite migracije koje planira uslužni program MoveFile, možete koristiti uslužni program PendMoves iz Sysinternals Suitea.

PageDefrag (pagedfrg.exe) po popularnosti dugi niz godina nalazi se na 4-5. mjestu među uslužnim programima iz Sysinternals-a. Omogućava vam da poboljšate performanse sistema defragmentiranjem datoteka registra (SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT datoteke u \ windows \ system32 \ config direktoriju), sistemskih dnevnika (u istom direktoriju) i datoteke stranica (pagefile.sys ).

Nakon pokretanja, uslužni program prikazuje listu datoteka koje se mogu obraditi i stepen njihove fragmentacije.

Za defragmentaciju se koristi kreirani uslužni program sistemski servis pgdfgsvc.exe i, kao što je slučaj sa uslužnim programom MoveFile, - Windows Session Manager ( SMSS.EXE(skraćenica za Session Manager Subsystem Service) - podsistem za upravljanje sesijama u Windows-u). Upravitelj sesije obrađuje ključ registratora tokom pokretanja sistema
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ BootExecute
Ovaj ključ sadrži informacije o onim programima koje mora izvršiti SMSS.EXE menadžer tokom procesa pokretanja Windows-a. Podrazumevano, ovo su proverači sistema datoteka. Uslužni program dodaje komande ovom ključu za pokretanje usluge. pgdfgsvc i, shodno tome, defragmentaciju sistemske datoteke prije nego što se od njih zahtijeva da implementiraju sistem. Ako je potrebno, možete otkazati defragmentaciju, pokrenuti je jednom ili postaviti da se pokreće svaki put kada se Windows pokrene.

PageDefrag se može pokrenuti u režimu konzole podešavanjem podešavanja pomoću parametara komandne linije.

pagedefrag [-e | -o | -n] [-t]

-e- Defragmentacija pri svakom pokretanju
-o- Jednokratna defragmentacija
-n- poništavanje defragmentacije
-t- Odbrojavanje u sekundama prije početka defragmentacije

primjeri:

pagedefrag -e -t 10- izvrši defragmentaciju pri svakom pokretanju i postavi režim pripravnosti na 10 sekundi da poništi izvršenje kada korisnik pritisne bilo koji taster.

Izvršite jednokratnu defragmentaciju pri sljedećem ponovnom pokretanju sistema.

Otkažite prethodno zakazanu defragmentaciju.

Sysinternals Suite Networking Utilities.

ADRestore

ADRestore omogućava vam da vidite listu izbrisanih objekata Aktivni direktorij(AD) i, ako je potrebno, vratite odabrane. Ključ se koristi za traženje pomoći. /? ... Kada se pokrene bez parametara, uslužni program navodi AD objekte označene kao izbrisane.

primjeri:

adresastore> C: \ adodel.txt- navedite sve AD objekte označene kao izbrisane u datoteci C: \ adodel.txt
adrestore.exe laserjet- prikazati listu izbrisanih AD objekata čiji naziv sadrži string "laserjet"
adresar -r
adresar -r- prikazati listu AD objekata sa zahtjevom za vraćanje.

Uslužni program za praćenje razmjene podataka između klijenta i servera koristeći protokol LDAP... Veoma je koristan za pronalaženje uzroka nenormalnog rada usluga i aplikacija u okruženju Active Directory, praćenje dozvola, pronalaženje uzroka loših performansi ili jednostavno istraživanje interakcije AD objekata.

Postoji ugrađena pomoć za engleski jezik... Kliknite desni klik na liniji događaja vam omogućava da pozovete kontekstni meni, koji vam omogućava da dobijete Kratki opis svojstva događaja, ime i putanju procesa koji je s njim povezan, idite na prethodni ili sljedeći događaj koji nije uspio. Informacije se prikazuju u obliku kolona čiji se sastav može mijenjati

Filteri za traženje i isticanje događaja koriste se na isti način kao u većini Sysinternals uslužnih programa grafička ljuska... U zadanim postavkama, linije označene crvenom bojom odnose se na događaje koji su završili greškom. Kontekstni meni takođe omogućava direktno iz ADInsight-a da pozove drugi program iz Sysinternals Suite - Active Directory Explorer ADExplorer, koji se koristi za pregled AD strukture podataka i sličan je po mogućnostima i korisničkom interfejsu uslužnom programu ADSIEdit od Microsofta.

TCPView

TCPView- je stalno jedan od deset najpopularnijih uslužnih programa u Sysinternals Suiteu. Koristi se za prikaz liste svih instaliranih u sistemu veza od strane TCP protokoli i UDP sa detaljnim podacima, uključujući navođenje lokalnog i udaljene adrese i stanje TCP veza. Na Windows XP i novijim operativnim sistemima, TCPView takođe prikazuje ime procesa koji poseduje ovu vezu. U određenom smislu, TCPView je dopuna standardnom uslužnom programu Windows operativnog sistema. Netstat.exe, ali osim predstavljanja podataka o vezi u prikladnom obliku, omogućava vam da izvršite dodatne radnje - da prekinete određenu vezu, prekinete proces koji je kreirao vezu i odredite ime hosta koji učestvuje u vezi.

Kontekstni meni koji se poziva desnom tipkom miša omogućava vam da izvršite određene radnje na odabranoj vezi:

Procees Properties- prikazati svojstva procesa koji su povezani sa ovom vezom. Prikazuju se naziv procesa, verzija, naziv i putanja izvršne datoteke.

Završi proces- završite proces povezan s ovom vezom.

Zatvorite vezu- prinudno prekinuti odabranu vezu.

Ko je- izvršiti zahtjev za primanje podataka o čvoru koji učestvuje u ovoj vezi.

Kopiraj- kopirajte informacije ove linije u međuspremnik.

Pomoću glavnog menija programa možete sačuvati podatke o svim trenutnim vezama tekstualni fajl(meni Datoteka - Sačuvaj). Kao dio Sysinternals Suitea, pored TCPView programa, postoji i konzolna verzija Tcpvcon sa istom funkcionalnošću.

Sysinternals Suite uslužni programi za analizu informacija procesa.

Point Tracking Utility automatski start programe. Članak o Autoruns-u je objavljen u odjeljku "Sigurnost".
- uslužni program za praćenje aktivnosti procesa u Windows-u (memorija, korištenje procesora, pristup datotekama i registru, mrežna aktivnost itd.).
- uslužni program za praćenje korištenja sistemskih resursa od strane pojedinačnih procesa.
PSTools - skup uslužnih programa komandne linije za udaljeno pokretanje aplikacije (PSExec), dobijanje liste procesa na lokalnom ili udaljeni računar(PSList), prisilno dovršavanje zadatka (Pskill), kontrola usluge (PSService). Osim toga, PsTools uključuje uslužne programe za ponovno pokretanje ili gašenje računara, prikazivanje dnevnika događaja, pronalaženje korisnika prijavljenih na mrežu i još mnogo toga.

ListDLLs

ListDLLs- uslužni program komandne linije za dobivanje liste korištenih DLL-ovi odvojeni procesi. Kada se pokrene bez parametara, ekran prikazuje listu svih procesa i svih učitanih biblioteka. Pomoću ključa možete dobiti savjet kako koristiti uslužni program /? ... Format komandne linije:

listdlls [-r] [-v | -u]
ili
listdlls [-r] [-v] [-d dllname]

ime procesa- naziv (ili dio imena) procesa za koji želite prikazati listu učitanih DLL-ova.
pid- identifikator procesa za koji želite da prikažete listu učitanih DLL-ova.
-d dllname je naziv DLL-a.
-r prikazati DLL-ove koji su premješteni jer nisu učitani na svojoj osnovnoj adresi
-u- prikazati samo one module koji nisu digitalno potpisani.
-v- prikaz verzije DLL-a.

Primjeri korištenja:

listdlls- prikaz liste svih procesa i svih učitanih DLL-ova

listdlls win- prikazati listu DLL-ova za sve procese čije ime počinje nizom "win"

listdlls winlogon- prikazati listu DLL-ova koje proces koristi winlogon

listdlls 495- prikaz liste DLL-ova koje proces koristi sa PID brojem = 495

listdlls -d ntdll.dll- prikazati listu procesa koji koriste biblioteku ntdll.dll

Drška

Drška- uslužni program komandne linije za prikaz informacija o otvorenim deskriptorima (ručnicima) za bilo koji proces u sistemu. Omogućava vam da vidite koji su programi otvorili datoteku, sa kojim pravima pristupa, tipovima objekata i nazivima deskriptora programa, kao i, ako je potrebno, nasilno zatvorite datoteku prema broju deskriptora. Kada se pokrene bez parametara, prikazuje se ekran puna lista deskriptori svih otvorenih na ovog trenutka datoteke. Nagoveštaj za korišćenje programa može se dobiti unosom ključa /? ... Format komandne linije:

ručka [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-a- prikaz informacija o svim deskriptorima.
-c- zatvorite datoteku sa specificirani broj deskriptor. Treba imati na umu da prisilno zatvaranje datoteke može uzrokovati nenormalan završetak procesa ili gubitak podataka.
-y- ne zahtijevaju potvrdu prilikom zatvaranja deskriptora datoteke.
-s- prikaz brojača za svaki tip otvorenih deskriptora.
-u- prikazati ime korisnika u kontekstu čijeg naloga je fajl otvoren.
-p- prikaz deskriptora otvorenih procesom sa navedeno ime(dio imena). ili putem PID-a

Primjeri korištenja:

ručka | više- prikazati listu svih otvorenih ručki svih procesa u načinu stranica.
ručka -p winlogon- prikazati listu deskriptora fajlova, otvoreni proces Sa imenom winlogon
handle -p winlogon> C: \ winlogonh.txt- isto kao u prethodnom slučaju, ali sa preusmjeravanjem izlaza na datoteku C: \ winlogonh.txt
ručka -u- navesti sve deskriptore datoteka svih procesa, prikazujući račun povezan s procesom.
ručka -u korisnik1- prikazati listu deskriptora datoteka otvorenih u kontekstu korisničkog naloga pod nazivom "user1"
ručka -s- prikazati brojače za svaki tip i ukupan broj otvorenih deskriptora.

Sysinternals Suite sigurnosni uslužni programi.

Sigurnosni uslužni programi uključuju programe za određivanje tačaka automatskog pokretanja (Autoruns), nadzor procesa (ProcMon), provjeru prava pristupa sistemskim resursima itd. Ali, pored toga, Sysinternals Suite uključuje uslužni program čija je glavna svrha da otkrije rootkitove (rootkitove) kada je sistem zaražen virusima koji implementiraju posebne mehanizme da sakriju njihovo prisustvo u sistemu.

Izraz "rootkit" u vezi sa špijunskim softverom, trojancima i drugim zlonamjernim softverom znači da se presretanje koristi da bi se sakrilo njegovo prisustvo od antivirusnih programa. sistemske funkcije i ispravljanje rezultata njihovog izvršenja na način da nije bilo moguće pronaći neke datoteke, direktorije i mrežne veze kreiran od strane zlonamjernog softvera. Na primjer, kada se traži lista datoteka u direktoriju, informacije o datoteci samog virusa mogu se ukloniti iz rezultata. U stvarnosti, takva datoteka je prisutna u sistemu datoteka, ali za softverski alati koji koriste API funkcije koje je virus presreo, nevidljiv je. Rootkit programi su podijeljeni u nekoliko klasa ovisno o mogućnosti da ostanu operativni nakon ponovnog pokretanja računala i vrsti pokretanja (u korisnički način rada ili u kernel modu). Ali glavna karakteristika Rutkitovi su presretanje i ispravljanje rezultata sistemskih poziva.

Princip rada se zasniva na upotrebi osim standardne funkcije API-ji sistema datoteka i registra, njihove vlastite rutine koje implementiraju te iste funkcije. Neslaganje između dobijenih rezultata može ukazivati ​​na prisustvo rootkit programa. RootkitRevealer vrši skeniranje registra i sistema datoteka pritiskom na dugme Skeniraj i prikazuje rezultate svog rada u glavnom prozoru.

& nbsp & nbsp Put- putanja datoteke ili ključa registra.
Vremenska oznaka- Vrijeme izmjene.
Veličina- veličina
Opis- opis događaja - znak mogućeg prisustva rootkita u sistemu.

Program ne izvodi nikakve radnje za uklanjanje virusa i čak ne ukazuje na određene datoteke zlonamjernog softvera. Zaključak o njihovoj prisutnosti korisnik mora donijeti sam, nakon analize rezultata skeniranja.

Prije svega, datoteke i ključevi registra za koje u polju Opis) postoji opis događaja „Skriveno od Windows API" - Skriveno od Windows API-ja. U ogromnoj većini slučajeva, linija rezultata skeniranja ukazuje na prisustvo rootkita, jer su obično samo servisne datoteke koje se odnose na NTFS sistem datoteka skrivene od Windows API-ja (čija imena počinju sa $ - $ BitMap, $ BadClus, $ MFT, itd.) Prilikom skeniranja možete onemogućiti prikaz događaja povezanih sa standardnim skrivenim servisnim fajlovima koristeći meni Opcije- označite polje za stavku Sakrij standardne NTFS datoteke metapodataka... Osim toga, treba imati na umu da neki antivirusi skrivaju svoje datoteke od Windows API-ja na isti način kao malware, a svaki red skeniranja rezultira znakom Skriveno od Windows API-ja zahtijeva dodatnu analizu - u kojem direktoriju se nalazi skriveni fajl, njegovo ime, proširenje, veličina, vrijeme modifikacije. U gornjem primeru skeniranja, skrivene od Windows API-ja su datoteke sa ekstenzijom .sys koje se nalaze u direktorijumu drajvera (C: \ Windows \ system32 \ drajveri) i veličine desetine kilobajta - ovo su rutkit drajveri.

Ostali mogući opisi događaja na terenu Opis može biti lažni alarm i ukazivati ​​na to da je API funkcija završena sa sumnjivim rezultatom. To je obično uzrokovano činjenicom da su tokom skeniranja u Windows okruženju koje obavlja više zadataka, neki od programa modificirali podatke koji se skeniraju, ili legalni softver koristi specijalizirane metode slične onima koje koriste kreatori virusa.

Ime ključa sadrži ugrađene nule- naziv ključa registratora sadrži razmake, koji takav ključ mogu učiniti nevidljivim za standardni uređivač registra.

Nepodudarnost podataka između Windows API-ja i sirovih podataka košnice- nedosljednost podataka ključa registra dobijenih iz koristeći Windows API i stvarni podaci košnice registra. Može biti uzrokovano promjenom podataka registra do koje je došlo tokom skeniranja.

Pristup odbijen- Pristup odbijen. U praksi se takav opis nalazi u prisustvu alata za emulaciju CD/DVD uređaja instaliranih u sistemu (Alcohol 120, Daemon Tools), neki antivirusni proizvodi koristeći upravljački program SPTD.SYS.

Treba imati na umu da RootkitRevealer skenira svoju kopiju sa nasumičnim imenom datoteke, koja se pokreće kao windows servis... Ova vrsta pokretanja otežava viruse i prinudni raskid procedure skeniranja. Stoga je normalno da imate proces s nerazumljivim imenom dok se pokreće RootkitRevealer, ali postoje slučajevi kada virus blokira pokretanje programa, na primjer, pod nazivom "RootkitRevealer". U ovom slučaju, program se jednostavno ne pokreće, što je, inače, već vrlo značajan znak virusa u sistemu. U tom slučaju možete jednostavno preimenovati izvršnu datoteku, ili još bolje, kopirajte ga u trenutni direktorij pod drugim nasumičnim imenom.

Moguće je pokrenuti RootkitRevealer sa parametrima na komandnoj liniji:

rootkitrevealer [-a] [-c] [-m] [-r]

-a- automatsko skeniranje i izlaz.
-c- generirati rezultate skeniranja u CSV formatu
-m- skeniranje NTFS metapodataka
-r- nemojte skenirati Windows registar
logfile- naziv i putanju datoteke za snimanje rezultata skeniranja.

Primjer pokretanja:

rootkitrevealer -a C: \ RootkitRevealer.log- izvršite skeniranje i upišite u datoteku C: \ RootkitRevealer.log i izađite.

Neizostavan set besplatnih uslužnih programa za održavanje i Windows upravljanje... Kolekcija SysInternals Suite sadrži više od 120 besplatni alati i aplikacije. U osnovi, uslužni programi su dizajnirani da konfigurišu, optimizuju i testiraju Windows operativni sistem, kao i da rade sa aplikacije trećih strana... Dodatno uključeno korisni uslužni programi za dijagnosticiranje osnovnog računarskog hardvera.

SysInternals Suite objedinjuje sve korisne alate za održavanje i rješavanje problema Windows operativnih sistema. Većinu uslužnih programa razvio je i održavao jedan od najpoznatijeg tehničkog osoblja Microsofta, Mark Russinovich.

Uslužni programi uključeni u sklop uglavnom su namijenjeni iskusnim korisnicima PC-a, jer mnogi od njih imaju pristup skrivenim sistemskim postavkama i mogu poremetiti Windows ako se njima pogrešno rukuje.

Neki od najpopularnijih sistemskih uslužnih programa:

Process Explorer

Omogućava vam kontrolu aktivnih procesa u sistemu na svaki mogući način. Pruža mogućnost upravljanja prioritetima resursa za bilo koji od mapiranih procesa. Mogućnost potpunog zatvaranja procesa ili ponovnog pokretanja.

Autoruns

Veoma moćna aplikacija za upravljanje automatskim pokretanjem. Definiše i omogućava vam da kontrolišete povezivanje drajvera, modula, servisa i drugih komponenti na mestu sa pokretanjem sistema. Program ima veliki skup alata za praćenje i konfigurisanje različitih parametara Windows operativnih sistema.

Stoni računari

Mali i koristan program za kreiranje i upravljanje virtuelnim radnim površinama. Podržava kreiranje do 4 desktopa koji će vam pomoći da distribuirate svoje ikone i druge objekte za praktičniji i funkcionalniji rad.

Potpuna lista uslužnih programa uključenih u Sysinternals Suite:

accesschk, accesschk64, AccessEnum, ADExplorer, ADInsight, adrestore, Autologon, Autoruns, Autoruns64, autorunsc, autorunsc64, Bginfo, Cacheset, Clockres, Clockres64, Contig, Contig64, Coreinfo, ctrl2cap, dist. , FindLinks, FindLinks64, ručka, handle64, HEX2DEC, hex2dec64, junction, junction64, ldmdump, Listdlls, Listdlls64, livekd, livekd64, LoadOrd, LoadOrd64, LoadOrdC, LoadOrdC64, logonsessions64, logonsessions notmyfault, notmyfault64, notmyfaultc, notmyfaultc64, ntfsinfo, ntfsinfo64, pagedfrg, pendmoves, pendmoves64, pipelist, pipelist64, portmon, procdump, procdump64, procexp, procexp64, Procmon, PsExesec, PsExfid pskill, pskill64, pslist, pslist64, PsLoggedon, PsLoggedon, PsLoggedon, PsLoggedon, PsLoggedon, PsLoggedon, PsLoggedon, PsLoggedon, PsLoggedon, PsLoggedon, Psspsswps 4 , psshutdown, pssuspend, pssuspend64, RAMMap, RegDelNull64, RegDelNull64 ump, RootkitRevealer, ru, ru64, sdelete, sdelete64, ShareEnum, ShellRunas, sigcheck, sigcheck64, streams, streams64, strings, strings64, sync, sync64, Sysmon, Sysmon64, Tcpvcon, Tcpvcon, Tcpvcon, Tcpvcon, Tcmimit4, Test whois64 , Winobj, ZoomIt.

Svaki od korisnika barem jednom u životu sanjao je o tome magični set uslužne programe i programe za Windows, koji će imati sve što vam treba. I tako da se svaki program potreban za kvalitetan rad sistema ne mora tražiti i testirati, provjeravati na kvalitet i slično. I na radost svih nas, pojavio se takav paket. Ovo Sysinternals Suite - najsvestraniji skup raznih uslužnih programa , što će učiniti korišćenje računara lakšim i praktičnijim zbog činjenice da poseduje najneophodnije programe za pronalaženje, otkrivanje i otklanjanje svih vrsta sistemskih problema.

Uz Sysinternals Suite, možete obaviti gotovo svaki zadatak održavanja vašeg omiljenog uređaja, bilo da se radi o računaru ili laptopu. A da li ste programer ili običan korisnik - nema razlike, sa bilo kojim nivoom veštine korišćenja računara, shvatićete šta da radite. Paket programa je toliko raznolik da šta god da odlučite da uradite, Sysinternals Suite ima alat za to. Trenutno set uključuje više od 70 uslužnih programa! To su programi za poboljšanje sigurnosti, kontrola autoruna, alati za rad sa bazama podataka, alati za praćenje pokrenutih procesa, alati za dijagnostiku i rad sa mrežom i još mnogo, mnogo više!

Preuzmite Sysinternals Suite

Možete besplatno preuzeti jedinstveni paket uslužnih programa Sysinternals Suite portable-version putem torrenta na našoj web stranici klikom na link ispod. Gotovo svi programi u setu su na ruskom jeziku, ne zahtijevaju aktivaciju, a također ne zahtijevaju instalaciju. Sve što treba da uradite je da preuzmete Sysinternals Suite i raspakujete arhivu. Skup programa je toliko opsežan da će svaki od korisnika pronaći nešto korisno za sebe. Osim toga, želio bih napomenuti da je 2006. godine ovaj razvoj kupila Microsoft Corporation i oni znaju kako se uvjeriti u kvalitet!

Za početak, malo povijesti: ovaj proizvod, kao i njegova web stranica, razvijen je davne 1996. godine, cilj je bio jednostavan - spojiti sve dostupne servisne programe na jednom mjestu, odnosno nećete morati zasebno preuzimati sve razvojne programe od Marka Rusinoviča. U julu 2006, kompanija poznata svima kao Microsoft odlučila je da kupi Sysinternals. Dakle, ako odlučite preuzmite Sysinternals Suite iz našeg projekta, dobićete veliki broj servisni programi koji imaju za cilj upravljanje, pronalaženje i otklanjanje, kao i obavljanje jednostavne dijagnostike kao pojedinačne aplikacije i operativnim sistemima Windows porodice.

Općenito, svi dolazni uslužni programi mogu se podijeliti u kategorije, na primjer, alati za mrežu - ovdje možete koristiti ne samo monitore veze, već i analizirati sigurnost različitih resursa, kao i pregledati aktivne utičnice, općenito, listu može se dugo nabrajati, mislim da ćete sami shvatiti. Sljedeća je kategorija System Information, a to su mali uslužni programi koji će vam pomoći da vidite i prilagodite svoju upotrebu. sistemski resursi... Konkretno, možete vidjeti programe koji se automatski pokreću kada se Windows pokrene, možete vidjeti aktivnost sistema datoteka u realnom vremenu, moguće je odrediti redoslijed učitavanja drajvera i tako dalje.

Sysinternals Suite nam također nudi sigurnosne programe. Moći ćete da konfigurišete i upravljate svojim sigurnosnim sistemom, takođe ćete imati pristup uslužnom programu za pronalaženje i uklanjanje rootkita, postoje lovci na špijunski softver. Moći ćete vidjeti listu korisnika koji su se prijavili, možete vidjeti dnevnik događaja i tako dalje. Slijedi kategorija "Procesi i niti" - omogućit će vam korištenje programa dizajniranih za određivanje zadataka koje, zauzvrat, mogu izvršiti određeni procesi, kao i resurse koje troše. Naravno, Sysinternals Suite će vam pružiti neke lijepe uslužne programe za rad tvrdi diskovi i fajlove.

Informacije su preuzete sa službene stranice, općenito, nakon raspakivanja arhive, imat ćete samo set uslužnih programa ispred sebe, lijepo korisnički interfejs nećete to dobiti sa kategorijama, tako da morate razumjeti tačno šta vam treba. Prije toga preporučujem da odete na službenu web stranicu i pogledate sve kategorije o kojima sam tamo pisao i odlučite šta vas točno zanima. Općenito, nadam se da će vam paket uslužnih programa iz Sysinternals Suitea biti koristan, zapravo je prilično opsežan, možete pronaći mnogo toga.

Developer: Microsoft
Licenca: FreeWare
Jezik: engleski
Veličina: 23 MB
OS: Windows
Skinuti.