Sysinternals Suite uslužni programi. Uslužni programi kompanije Sysinternals

Svaki od korisnika barem jednom u životu sanjao je o tome magični set uslužne programe i programe za Windows, koji će imati sve što vam treba. I tako da se svaki program potreban za kvalitetan rad sistema ne mora tražiti i testirati, provjeravati na kvalitet i slično. I na radost svih nas, pojavio se takav paket. Ovo Sysinternals Suite - najsvestraniji skup raznih uslužnih programa to će učiniti korišćenje računara lakšim i praktičnijim zbog činjenice da ima najviše potrebnih programa za pronalaženje, otkrivanje i uklanjanje svih vrsta sistemskih problema.

Uz Sysinternals Suite, možete obaviti gotovo svaki zadatak održavanja vašeg omiljenog uređaja, bilo da se radi o računaru ili laptopu. A da li ste programer ili običan korisnik - nema razlike, sa bilo kojim nivoom veštine korišćenja računara, shvatićete šta da radite. Paket programa je toliko raznolik da šta god da odlučite da uradite, Sysinternals Suite ima alat za to. Na ovog trenutka set uključuje preko 70 uslužnih programa! To su programi za povećanje sigurnosti, kontrola autoruna, alati za rad sa bazama podataka, alati za praćenje pokrenuti procesi, alati za dijagnostiku i umrežavanje, i još mnogo, mnogo više!

Preuzmite Sysinternals Suite

Preuzmite besplatno putem torrenta jedinstveni paket Sysinternals uslužni programi Portabilnu verziju paketa možete pronaći na našoj web stranici slijedeći link ispod. Gotovo svi programi u setu su na ruskom jeziku, ne zahtijevaju aktivaciju, a također ne zahtijevaju instalaciju. Sve što treba da uradite je da preuzmete Sysinternals Suite i raspakujete arhivu. Skup programa je toliko opsežan da će svaki od korisnika pronaći nešto korisno za sebe. Osim toga, želio bih napomenuti da je 2006. godine ovaj razvoj kupila Microsoft Corporation i oni znaju kako se uvjeriti u kvalitet!

Za početak, malo povijesti: ovaj proizvod, kao i njegova web stranica, razvijen je davne 1996. godine, cilj je bio jednostavan - spojiti sve dostupne servisne programe na jednom mjestu, odnosno nećete morati zasebno preuzimati sve razvojne programe od Marka Rusinoviča. U julu 2006, kompanija poznata svima kao Microsoft odlučila je da kupi Sysinternals. Dakle, ako odlučite preuzmite Sysinternals Suite iz našeg projekta, dobićete veliki broj servisnih programa za upravljanje, rešavanje problema, kao i izvođenje jednostavne dijagnostike kako pojedinačnih aplikacija tako i operativnih sistema Windows porodice.

Općenito, svi dolazni uslužni programi mogu se podijeliti u kategorije, na primjer, alati za mrežu - ovdje možete koristiti ne samo monitore veze, već i analizirati sigurnost različitih resursa, kao i pregledati aktivne utičnice, općenito, listu može se dugo nabrajati, mislim da ćete sami shvatiti. Sljedeća je kategorija System Information, a to su mali uslužni programi koji će vam pomoći da vidite i prilagodite svoju upotrebu. sistemski resursi... Konkretno, možete vidjeti programe koji se automatski pokreću kada pokrenite Windows, možete vidjeti aktivnost sistema datoteka u realnom vremenu, moguće je odrediti redoslijed učitavanja drajvera i tako dalje.

Sysinternals Suite nam također nudi sigurnosne programe. Moći ćete da konfigurišete i upravljate svojim sigurnosnim sistemom, takođe ćete imati pristup uslužnom programu za pretragu i ukloniti rootkit, postoje lovci na špijunski softver. Moći ćete vidjeti listu korisnika koji su se prijavili, možete vidjeti dnevnik događaja i tako dalje. Slijedi kategorija "Procesi i niti" - omogućit će vam korištenje programa dizajniranih za određivanje zadataka koje, zauzvrat, mogu izvršiti određeni procesi, kao i resurse koje troše. Naravno, Sysinternals Suite će vam pružiti neke prilično dobre uslužne programe za rad sa tvrdim diskovima i datotekama.

Informacije su preuzete sa službene stranice, općenito, nakon raspakivanja arhive, imat ćete samo set uslužnih programa ispred sebe, lijepo korisnički interfejs nećete to dobiti sa kategorijama, tako da morate razumjeti tačno šta vam treba. Prije toga preporučujem da odete na službenu web stranicu i pogledate sve kategorije o kojima sam tamo pisao i odlučite šta vas točno zanima. Općenito, nadam se da će vam paket uslužnih programa iz Sysinternals Suitea biti koristan, zapravo je prilično opsežan, možete pronaći mnogo toga.

Developer: Microsoft
Licenca: FreeWare
Jezik: engleski
Veličina: 23 MB
OS: Windows
Skinuti.

Sysinternals uslužni paket je upakovan u jedan skup alata za rešavanje problema i problema.




Prikazuje dozvole pristupa datotekama, ključevima registratora ili Windows uslugama za određenog korisnika ili grupu korisnika.




Malo ali moćan program za sigurnosnu analizu. Navodi korisnike i grupe koji imaju pristup datotekama, fasciklama i ključevima registratora, tako da možete tražiti ranjivosti u postavkama dozvola za pristup.




Uslužni program CacheSet vam omogućava da prilagodite veličinu radnog skupa upravitelja keš memorije koristeći izvorne NT funkcije. Kompatibilan sa svim verzijama NT-a.




Relevantan brza defragmentacija redovno korišteni fajlovi? Contig softver vam omogućava da optimizirate odvojeni fajlovi i kreirati nove smještene u susjednim klasterima.




Prikazuje podatke o dodjeli particija na diskovima




Ovaj uslužni program bilježi sve operacije tvrdog diska; osim toga, može djelovati kao indikator aktivnosti diska na traci zadataka.




Program za analizu sektora grafičkog diska




Prikazuje korištenje prostora na disku po direktoriju




Pregled informacija o šifrovanim datotekama




Ovaj program je dizajniran da prati u realnom vremenu sve aktivnosti sistema datoteka.




Kreiranje NTFS simboličkih veza u Win2K okruženju




Omogućava vam da učitate sadržaj baze podataka Logical Disk Manager iz memorije, koja opisuje šemu particioniranja za Windows 2000 dinamičke diskove.




Planiranje naredbi za preimenovanje i brisanje za sljedeće ponovno pokretanje. Ovaj program može biti koristan u uklanjanju upornih i aktivnih datoteka zlonamjernog softvera.




Uslužni program NTFSInfo pruža detaljne informacije o NTFS volumenima, uključujući veličinu i lokaciju glavne tablice datoteka (MFT) i MFT zone, te veličinu NTFS datoteka metapodataka.




Defragmentirajte datoteke stranica i košnice registra!




Pogledajte listu datoteka koje su planirane za brisanje i preimenovanje pri sljedećem ponovnom pokretanju sistema.




Ovaj program vam omogućava da u realnom vremenu pratite aktivnost sistema datoteka, registra, procesa, niti i DLL-ova.




Omogućava vam da vidite koji su fajlovi otvoreni na daljinu.




PsTools uključuje uslužne programe komandna linija, uz pomoć kojih možete prikazati listu procesa koji se pokreću na lokalnim ili udaljenim računarima, daljinski pokretati procese, restartovati računare, prikazati sadržaj dnevnika događaja i još mnogo toga.

& nbsp & nbsp Sysinternals Tools je set besplatni softver za administraciju i praćenje računara pod kontrolom Windows operativnih sistema. Sysinternals (Winternals) programe su prvobitno razvili Winternals Software LP koju vode dva programera - Mark Russinovich i Bryce Cogswell. U julu 2006. Microsoft je kupio Winternals Software LP i sve njegove proizvode. Web lokacija Sysinternals sada je premještena na Microsoftov web portal i postala dio Microsoft TechNet-a. Microsoft Technet sada ima odjeljak Windows Sysinternals gdje možete preuzeti full set komunalne usluge Sysinternals Suit kao arhiva, ili odvojene komunalije iz njegovog sastava.

Trenutno paket Windows alati Sysinternals se može koristiti čak i bez preuzimanja na lokalni računar zahvaljujući prilici dijeljenje na Sysinternals Live resurs, koji se može mapirati kao mrežni disk, kojem je dodijeljeno, na primjer, slovo R:

net use R: \\ live.sysinternals.com \ tools

WITH mrežni disk, naravno, brzina razmjene podataka je mnogo manja nego kod lokalnog, ali s njim možete raditi bez problema kao s običnim lokalnim diskom, uključujući i naredbenu liniju. Tako, na primjer, sa komandom

start R: \ autoruns.exe

Utility autoruns.exe može se pokrenuti u posebnom prozoru. Stoga, s bilo kojeg mjesta s pristupom Internetu, možete iskoristiti prednosti najfunkcionalnijeg i najefikasnijeg skupa alata za Windows - Sysinternals Suite.

& nbsp & nbsp Većina uslužnih programa Sysinternals Suite zahtijeva administrativne privilegije da bi bili potpuno funkcionalni. Za operativne sisteme iz porodice Windows 2000 / XP dovoljno je da korisnik radi pod nalogom člana grupe Administrator. U okruženju operativnog sistema Widows Vista / Windows 7, uslužni programi se moraju pokrenuti pomoću stavke kontekstnog menija „Pokreni kao administrator“. Komandne datoteke koji koriste pomoćne programe komandne linije takođe moraju da rade u kontekstu naloga sa administratorskim privilegijama.

Paket Sysinternals Suite obuhvata nekoliko desetina male komunalije, konzolni i grafički interfejs, od kojih su mnogi nadaleko poznati među sistemskim administratorima i naprednim korisnicima - softverski paket PSTools, uslužni programi za nadgledanje Process Monitor, Autoruns, Process Explorer, anti-rootkit RootkitRevealer, itd. Mnogi od njih se razmatraju u zasebnim člancima, veze do kojih se mogu naći na glavnoj stranici web-mjesta u odjeljku Windows... Sysinternals Suite se ažurira nekoliko puta godišnje, njegov sastav se može promijeniti - verzije programa se mijenjaju, neki od uslužnih programa se uklanjaju, neki dodaju, ali glavni set postoji više od deset godina, što ukazuje na njegovu relevantnost među administratorima i pismeni korisnici Windows operativnih sistema. Parametri komandne linije uslužnih programa konzole i grafičko korisničko sučelje za većinu programa su vrlo slični, što uvelike olakšava njihovu praktičnu upotrebu.

Sysinternals Suite File and Disk Utilities

AccessChk

Accesschk- konzolni uslužni program za pregled prava korisnika na datoteke, direktorije, ključeve i ključeve registra, procese i niti.

accesschk -u korisnik1 -c MpsSvc -v- prikaz korisničkih prava korisnik1 u odnosu na uslugu MpsSvc (Windows zaštitni zid 7. Dozvolite mi da vas podsjetim da pod Windows Vista / Windows 7, uslužni program Accesschk mora biti pokrenut kao administrator). Ključ -v znači opširni izlaz rezultata. Ako ovaj ključ nije naveden, tada su korisnička prava označena simbolima R(Pročitajte) i W(Pisati). Display R znači dozvolu za pregled statusa (Query_Status), konfiguraciju (Query_Config) i početak (Service_Start) usluge. W znači da imate pravo da promijenite konfiguraciju i stanje usluge. Kombinacija RW znači da imate pristup svim važećim radnjama na usluzi. (Servis_All_Access). Ako je ključ dat -v onda umesto simbola R i W R Prikazuje opis prava pristupa, kao što je Service_All_Access- dozvoljeno pun pristup

accesschk -c MpsSvc -w -v- prikazati listu naloga koji imaju puna prava pristupa (-w prekidač) servisu MpsSvc.

accesschk -u korisnik1 -c * -w -v- prikazati listu usluga kojima korisnik1 ima pun pristup.

accesschk -u korisnik1 -k hklm \ sigurnost- prikazati prava pristupa korisnika user1 pododjeljcima sekcije HKLM \ SIGURNOST registar.

accesschk -u korisnik1 -k hklm \ sigurnost -d- prekidač -d znači obradu samo najvišeg nivoa (direktorij sistema datoteka ili ključ registratora)

accesschk -u korisnik1 C: \ Korisnici -d- prikazati prava korisnika user1 u odnosu na C: \ Users direktorij

accesschk -u korisnik1 C: \ Korisnici- prikazati prava korisnika user1 u odnosu na poddirektorije direktorija C: \ Users

accesschk C: \ Korisnici -w- prikazati listu naloga koji imaju potpuni pristup direktoriju C: \ Users

accesschk -u korisnik1 -p wininit -v- prikaz prava korisnika user1 u odnosu na proces wininit

Nažalost, uslužni program accesschk ne zna kako (barem u vrijeme pisanja ovog teksta nije znao kako) da radi sa imenima naloga, usluga i direktorijuma koji sadrže znakove ruskog alfabeta.

AccessEnum

AccessEnum- uslužni program za pregled prava naloga u odnosu na elemente sistema datoteka i registra u Windows-u.

CacheSet

Utility CacheSet je aplikacija koja vam omogućava da upravljate postavkama radnog skupa za keš sistemskih datoteka. Koristi se za odabir optimalnih parametara i povećanje brzine i stabilnosti računara. Promjenom minimalnih i maksimalnih vrijednosti za veličinu radne keš memorije možete postići određeno povećanje performansi sistema.

Postavljanje novih vrijednosti minimuma i maksimuma se dešava kada pritisnete dugme Prijavite se... Dugme Resetovati omogućava vam da vratite vrijednosti minimalnog i maksimalna veličina keš memorija koja je postavljena u vrijeme pokretanja uslužnog programa.

Contig

Contig- uslužni program komandne linije za povećanje performansi sistema defragmentacijom pojedinačnih, često korišćenih datoteka. Pogodno za korišćenje za defragmentaciju datoteka virtuelne mašine, ISO slike na fleš diskovima za pokretanje pomoću pokretača Grubšto može zahtijevati nefragmentiranu datoteku slike za defragmentaciju nekih datoteka koje se često čitaju s diska.

Contig.exe /?- pomoć za izdavanje uslužnog programa.

Contig.exe -a E: \ SonyaLiveCD.iso- analizirati fragmentaciju datoteke E: \ SonyaLiveCD_15.10.2010.iso

Contig.exe E: \ SonyaLiveCD_15.10.2010.iso- defragmentirati navedeni fajl.

Contig.exe -a -s C: \ windows \ *- analizirati sve datoteke sa ekstenzijom exe u C: \ Windows direktoriju i njegovim poddirektorijumima (ključ -s)

Contig.exe C: \ windows \ system32 \ *- defragmentirati sve datoteke sa ekstenzijom exe u sistemskom direktoriju C: \ Windows \ System32

Poboljšanje performansi sistema ciljanom upotrebom Contig.exe generalno više od onoga što se može dobiti upotrebom standardni alati defragmentirati Windows.

Disk2vhd

Utility Disk2vhd koristi za kreiranje virtual hard VHD virtuelni disk Microsoft mašine(Virtuelno Tvrdi disk- Microsoftova virtuelna mašina format diska) na osnovu podataka fizički disk pravi auto. Operacija kreiranja diska virtuelne mašine može se izvesti direktno u okruženju operativnog operativnog sistema. Grafički interfejs korisnik programa Disk2vhd vam omogućava da odaberete bilo koji od logičkih pogona za konverziju pravi kompjuter i pretvoriti ga u virtuelni disk koji se može koristiti za rad u okruženju virtuelne mašine Microsoft Virtual PC.

DiskMon

DiskMon- omogućava vam praćenje I/O operacija za tvrdi diskovi u okruženju operativnih sistema Windows porodice. Program se može koristiti i kao programski indikator poziva na tvrdi diskovi- kada se minimizira, prikazuje se ikona na traci zadataka u zelenoj boji za čitanje sa diska, a crveno za upisivanje.

U glavnom prozoru programa prikazan je broj diska u sistemu (kolona Disk), tip operacije (kolona Zahtjev), broj sektora na disku kojem se pristupilo (kolona Sektor) i veličina polja podataka (Dužina kolona). Ako treba da odredite za koju se datoteku odnosi sektor sa određenim brojem, možete koristiti konzolni uslužni program NFI.EXE (NTFS File Sector Information Utility) iz Microsoftovog paketa alata za podršku.
Format komandne linije
nfi.exe Broj sektora diska
nfi.exe C: 655234- prikazati ime datoteke koja posjeduje sektor 655234
nfi.exe C: 0xBF5E34- isto, ali je broj sektora dat u heksadecimalnom zapisu
Kao rezultat izvršenja naredbe, bit će prikazana poruka

*** Logički sektor 12541492 (0xbf5e34) na disku C je u datoteci broj 49502.
\ WINDOWS \ system32 \ D3DCompiler_38.dll

One. sektor koji nas zanima pripada datoteci D3DCompiler_38.dll u Windows \ system32 direktoriju.

DiskView

Program DiskView omogućava vam da uđete grafički mapa korištenja prostora na disku:

Izbor diska za gledanje vrši se na terenu Volume na dnu prozora programa. Nakon odabira diska i pritiska na Osvježiti program skenira i prikazuje mapu lokacije datoteka i direktorija. Donji prozor prikazuje neku vrstu skale lokacije podataka u odnosu na početak diska. Boja parcele odgovara karakteristične karakteristike prikazane grupe klastera. Za pomoć oko kodiranja boja, koristite meni Pomoć - Legenda. ... ...:

Prvi klaster fragmenta- boja početne grupe u lancu.
Kontinuirani klaster datoteka- klaster pripada uzastopnoj (ne fragmentiranoj) datoteci.
Ftagmentirani klaster datoteka- klaster pripada fragmentiranoj datoteci.
Klaster sistemskih datoteka- klaster pripada sistemskoj datoteci
Neiskorišteni klaster- klaster pripada slobodnom prostoru
Neiskorišteni klaster u MFT zoni- slobodni klaster u MFT području sadržaja diska
Grupa datoteka označena korisnicima- klaster pripada datoteci koju je odabrao korisnik.

Gornji prozor prikazuje detaljniju mapu lokacije podataka. Traka za pomicanje vam omogućava da odaberete područje prikaza. Odabirom bilo koje tačke diskovnog prostora sa pokazivačem u donjem prozoru, u gornjem prozoru se prikazuje prikaz mape klastera za odabrani dio sistema datoteka. Za promjenu nivoa detalja karte koristite dugme Zoom na dnu glavnog prozora programa. Klikom na mapu klastera u gornjem prozoru će se prikazati naziv datoteke u okviru HighLight i isticanje grupe odgovarajućih klastera u boji. Dvostruki klik na polje prikazanih klastera u gornjem prozoru otvara prozor sa svojstvima:

Za prikaz stepena iskorištenosti diska i informacija o broju datoteka i fragmenata, koristite meni "Datoteka" - "Statistika"

DU

du.exe- uslužni program komandne linije za određivanje statistike korišćenja prostora na disku u direktorijumima Windows sistema datoteka. Da biste dobili listu ključeva, možete pokrenuti du.exe bez parametara ili sa parametrom /? ... Primjeri korištenja uslužnog programa:

du.exe C: \- prikaz informacija o korištenju korijenskog direktorija diska C: - broj datoteka, poddirektorija i veličina zauzetog prostora na disku.

FileMon

FileMon(File Monitor) je uslužni program za praćenje svih aktivnosti sistema datoteka u realnom vremenu. Omogućava vam da odredite koji procesi pristupaju datotekama i direktorijima, koje operacije i na kojim objektima izvodi sistem datoteka. Uslužni program FileMon je sada zamijenjen uslužnim programom Monitor procesa (ProcMon)... Detaljan opis i postupak korištenja oba programa dati su u posebnim člancima:

Koristeći ove uslužne programe, možete lako odrediti listu resursa datoteka koje koristi aplikacija, pronaći konfiguracijske datoteke, utvrditi uzroke rušenja ili drugih problema povezanih s korištenjem Windows datoteka i direktorija.

MoveFile

MoveFile omogućava vam brisanje ili premještanje datoteke sljedeći put pokretanje Windowsa... Koristi se u slučajevima kada je fajl isključivo uhvaćen od strane bilo koje aplikacije ili usluge i nemoguće ga je izbrisati ili prenijeti na uobičajen način. Primjer upotrebe:

Movefile.exe "C: \ Dokumenti i postavke \ korisnik \ Lokalne postavke \ TEMP \ svchost.exe" C: \ virus \ svchost.ex_

Operaciju prijenosa datoteka zapravo izvodi Windows Session Manager (Session Manager SMSS.EXE), koji tokom procesa pokretanja sistema čita komande za preimenovanje i brisanje koje je registrirao uslužni program MoveFile iz ključa registratora
HKLM \ System \ CurrentControlSet \ Control \ Session Manager \ PendingFileRenameOperations .
Nakon što se prijenos završi, ovaj ključ registra će biti izbrisan. Da vidite migracije koje planira uslužni program MoveFile, možete koristiti uslužni program PendMoves iz Sysinternals Suitea.

PageDefrag (pagedfrg.exe) po popularnosti dugi niz godina nalazi se na 4-5. mjestu među uslužnim programima iz Sysinternals-a. Omogućava vam da poboljšate performanse sistema defragmentiranjem datoteka registra (SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT datoteke u \ windows \ system32 \ config direktoriju), sistemskih dnevnika (u istom direktoriju) i datoteke stranica (pagefile.sys ).

Nakon pokretanja, uslužni program prikazuje listu datoteka koje se mogu obraditi i stepen njihove fragmentacije.

Sistemska usluga koju kreira uslužni program koristi se za defragmentaciju. pgdfgsvc.exe i, kao što je slučaj sa uslužnim programom MoveFile, - Windows Session Manager ( SMSS.EXE(skraćenica za Session Manager Subsystem Service) - podsistem za upravljanje sesijama u Windows-u). Upravitelj sesije obrađuje ključ registratora tokom pokretanja sistema
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ BootExecute
Ovaj ključ sadrži informacije o onim programima koje mora izvršiti SMSS.EXE menadžer tokom procesa pokretanja Windows-a. Podrazumevano, ovo su proverači sistema datoteka. Uslužni program dodaje komande ovom ključu za pokretanje usluge. pgdfgsvc i, shodno tome, defragmentacija sistemskih datoteka, koja se izvodi prije nego što su potrebne za implementaciju sistema. Ako je potrebno, možete otkazati defragmentaciju, pokrenuti je jednom ili postaviti da se pokreće svaki put kada se Windows pokrene.

PageDefrag se može pokrenuti u režimu konzole podešavanjem podešavanja pomoću parametara komandne linije.

pagedefrag [-e | -o | -n] [-t]

-e- Defragmentacija pri svakom pokretanju
-o- Jednokratna defragmentacija
-n- poništavanje defragmentacije
-t- Odbrojavanje u sekundama prije početka defragmentacije

primjeri:

pagedefrag -e -t 10- izvrši defragmentaciju pri svakom pokretanju i postavi režim pripravnosti na 10 sekundi da poništi izvršenje kada korisnik pritisne bilo koji taster.

Izvršite jednokratnu defragmentaciju pri sljedećem ponovnom pokretanju sistema.

Otkažite prethodno zakazanu defragmentaciju.

Sysinternals Suite Networking Utilities.

ADRestore

ADRestore omogućava vam da vidite listu udaljenih objekata Active Directory (AD) i, ako je potrebno, vratite odabrane. Ključ se koristi za traženje pomoći. /? ... Kada se pokrene bez parametara, uslužni program navodi AD objekte označene kao izbrisane.

primjeri:

adresastore> C: \ adodel.txt- navedite sve AD objekte označene kao izbrisane u datoteci C: \ adodel.txt
adrestore.exe laserjet- prikazati listu izbrisanih AD objekata čiji naziv sadrži string "laserjet"
adresar -r
adresar -r- prikazati listu AD objekata sa zahtjevom za vraćanje.

Uslužni program za praćenje razmjene podataka između klijenta i servera koristeći protokol LDAP... Veoma je koristan za pronalaženje uzroka nenormalnog rada usluga i aplikacija u okruženju Active Directory, praćenje dozvola, pronalaženje uzroka loših performansi ili jednostavno istraživanje interakcije AD objekata.

Postoji ugrađena pomoć za engleski jezik... Kliknite desni klik na liniji događaja vam omogućava da pozovete kontekstni meni, koji vam omogućava da dobijete Kratki opis svojstva događaja, ime i putanju procesa koji je s njim povezan, idite na prethodni ili sljedeći događaj koji nije uspio. Informacije se prikazuju u obliku kolona čiji se sastav može mijenjati

Filteri za traženje i isticanje događaja koriste se na isti način kao u većini Sysinternals uslužnih programa grafička ljuska... U zadanim postavkama, linije označene crvenom bojom odnose se na događaje koji su završili greškom. Kontekstni meni takođe omogućava direktno iz ADInsight-a da pozove drugi program iz Sysinternals Suite - Active Directory Explorer-a ADExplorer, koji se koristi za pregled AD strukture podataka i sličan je po mogućnostima i korisničkom interfejsu uslužnom programu ADSIEdit od Microsofta.

TCPView

TCPView- je stalno jedan od deset najpopularnijih uslužnih programa u Sysinternals Suiteu. Koristi se za prikaz liste svih instaliranih u sistemu veza od strane TCP protokoli i UDP sa detaljnim podacima, uključujući navođenje lokalnog i udaljene adrese i stanje TCP veza. Na Windows XP i novijim operativnim sistemima, TCPView takođe prikazuje ime procesa koji poseduje ovu vezu... U određenom smislu, TCPView je dopuna standardni uslužni program Windows operativni sistem Netstat.exe, ali osim što predstavlja podatke o vezi u prikladnom obliku, omogućava vam i izvođenje dodatne radnje- da biste prekinuli određenu vezu, prekinuti proces koji je kreirao vezu i odrediti ime hosta koji učestvuje u vezi.

Kontekstni meni koji se poziva desnom tipkom miša omogućava vam da izvršite određene radnje na odabranoj vezi:

Procees Properties- prikazati svojstva procesa koji su povezani sa ovom vezom. Prikazuju se naziv procesa, verzija, naziv i putanja izvršne datoteke.

Završi proces- završite proces povezan s ovom vezom.

Zatvorite vezu- prinudno prekinuti odabranu vezu.

Ko je- izvršiti zahtjev za primanje podataka o čvoru koji učestvuje u ovoj vezi.

Kopiraj- kopirajte informacije ove linije u međuspremnik.

Pomoću glavnog menija programa možete sačuvati podatke o svim trenutnim vezama tekstualni fajl(meni Datoteka - Sačuvaj). Kao dio Sysinternals Suitea, osim TCPView programi postoji verzija za konzolu Tcpvcon sa istom funkcionalnošću.

Sysinternals Suite uslužni programi za analizu informacija procesa.

Point Tracking Utility automatski start programe. Članak o Autoruns-u je objavljen u odjeljku "Sigurnost".
- uslužni program za praćenje aktivnosti procesa u Windows-u (memorija, upotreba procesora, pristup datotekama i registru, mrežna aktivnost, itd.).
- uslužni program za praćenje korištenja sistemskih resursa od strane pojedinačnih procesa.
PSTools je zbirka uslužnih programa komandne linije za daljinsko pokretanje aplikacije (PSExec), dobijanje liste procesa na lokalnom ili udaljenom računaru (PSList), prisilno dovršavanje zadataka (Pskill), kontrola servisa (PSService). Osim toga, PsTools uključuje uslužne programe za ponovno pokretanje ili gašenje računara, prikazivanje dnevnika događaja, pronalaženje korisnika prijavljenih na mrežu i još mnogo toga.

ListDLLs

ListDLLs- uslužni program komandne linije za dobijanje liste DLL-ova koje koriste pojedinačni procesi. Kada se pokrene bez parametara, ekran prikazuje listu svih procesa i svih učitanih biblioteka. Pomoću ključa možete dobiti savjet kako koristiti uslužni program /? ... Format komandne linije:

listdlls [-r] [-v | -u]
ili
listdlls [-r] [-v] [-d dllname]

ime procesa- naziv (ili dio imena) procesa za koji želite prikazati listu učitanih DLL-ova.
pid- identifikator procesa za koji želite da prikažete listu učitanih DLL-ova.
-d dllname je naziv DLL-a.
-r prikazati DLL-ove koji su premješteni jer nisu učitani bazna adresa
-u- prikazati samo one module koji nemaju digitalni potpis.
-v- prikaz verzije DLL-a.

Primjeri korištenja:

listdlls- prikaz liste svih procesa i svih učitanih DLL-ova

listdlls win- prikazati listu DLL-ova za sve procese čije ime počinje nizom "win"

listdlls winlogon- prikazati listu DLL-ova koje proces koristi winlogon

listdlls 495- prikaz liste DLL-ova koje proces koristi sa PID brojem = 495

listdlls -d ntdll.dll- prikazati listu procesa koji koriste biblioteku ntdll.dll

Drška

Drška- uslužni program komandne linije za prikaz informacija o otvorenim deskriptorima (ručnicima) za bilo koji proces u sistemu. Omogućava vam da vidite koji su programi otvorili datoteku, sa kojim pravima pristupa, tipovima objekata i nazivima deskriptora programa, kao i, ako je potrebno, nasilno zatvorite datoteku prema broju deskriptora. Kada se pokrene bez parametara, prikazuje se ekran puna lista deskriptori svih trenutno otvorenih datoteka. Nagoveštaj za korišćenje programa može se dobiti unosom ključa /? ... Format komandne linije:

ručka [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-a- prikaz informacija o svim deskriptorima.
-c- zatvorite datoteku sa specificirani broj deskriptor. Treba imati na umu da prisilno zatvaranje datoteke može uzrokovati abnormalni prekid proces ili gubitak podataka.
-y- ne zahtijevaju potvrdu prilikom zatvaranja deskriptora datoteke.
-s- prikaz brojača za svaki tip otvorenih deskriptora.
-u- prikazati ime korisnika u kontekstu čijeg naloga je fajl otvoren.
-p- prikaz deskriptora otvorenih procesom sa navedeno ime(dio imena). ili putem PID-a

Primjeri korištenja:

ručka | više- prikazati listu svih otvorenih ručki svih procesa u načinu stranica.
ručka -p winlogon- prikazati listu deskriptora datoteka koje je otvorio proces pod nazivom winlogon
handle -p winlogon> C: \ winlogonh.txt- isto kao u prethodnom slučaju, ali sa preusmjeravanjem izlaza na datoteku C: \ winlogonh.txt
ručka -u- navesti sve deskriptore datoteka svih procesa, prikazujući račun povezan s procesom.
ručka -u korisnik1- prikazati listu deskriptora datoteka otvorenih u kontekstu korisničkog naloga pod nazivom "user1"
ručka -s- prikazati brojače za svaki tip i ukupan broj otvorenih deskriptora.

Sysinternals Suite sigurnosni uslužni programi.

Sigurnosni uslužni programi uključuju programe za određivanje tačaka automatskog pokretanja (Autoruns), nadzor procesa (ProcMon), provjeru prava pristupa sistemskim resursima itd. Ali, pored toga, Sysinternals Suite uključuje uslužni program čija je glavna svrha da otkrije rootkitove (rootkitove) kada je sistem zaražen virusima koji implementiraju posebne mehanizme da sakriju njihovo prisustvo u sistemu.

Izraz "rootkit" u vezi sa špijunskim softverom, trojancima i drugim zlonamjernim softverom znači da bi se sakrilo njegovo prisustvo od antivirusni softver, koristi se presretanje sistemske funkcije i ispravljanje rezultata njihovog izvršenja na način da nije bilo moguće pronaći neke datoteke, direktorije i mrežne veze kreiran od strane zlonamjernog softvera. Na primjer, kada se traži lista datoteka u direktoriju, informacije o datoteci samog virusa mogu se ukloniti iz rezultata. U stvarnosti, takva datoteka je prisutna u sistemu datoteka, ali za korištenje softverskih alata API funkcije presreće ga virus, nevidljivo je. Rootkit programi su podijeljeni u nekoliko klasa ovisno o njihovoj sposobnosti da ostanu operativni nakon ponovnog pokretanja računala i vrsti pokretanja (korisnički način ili režim kernela). Ali glavna karakteristika rootkita je presretanje i ispravljanje rezultata sistemskih poziva.

Princip rada se zasniva na upotrebi osim standardne funkcije API-ji sistema datoteka i registra, njihove vlastite rutine koje implementiraju te iste funkcije. Neslaganje između dobijenih rezultata može ukazivati ​​na prisustvo rootkit programa. RootkitRevealer vrši skeniranje registra i sistema datoteka pritiskom na dugme Skeniraj i prikazuje rezultate svog rada u glavnom prozoru.

& nbsp & nbsp Put- putanja datoteke ili ključa registra.
Vremenska oznaka- Vrijeme izmjene.
Veličina- veličina
Opis- opis događaja - znak mogućeg prisustva rootkita u sistemu.

Program ne izvodi nikakve radnje za uklanjanje virusa i čak ne ukazuje na određene datoteke zlonamjernog softvera. Zaključak o njihovoj prisutnosti korisnik mora donijeti sam, nakon analize rezultata skeniranja.

Prije svega, datoteke i ključevi registra za koje u polju Opis) postoji opis događaja „Skriveno od Windows API" - Skriveno od Windows API-ja. U ogromnoj većini slučajeva, linija rezultata skeniranja ukazuje na prisustvo rootkita, pošto su obično samo servisne datoteke koje se odnose na NTFS sistem datoteka skrivene od Windows API-ja (čija imena počinju sa $ - $ BitMap, $ BadClus, $ MFT, itd.) Prilikom skeniranja možete onemogućiti prikaz događaja povezanih sa standardnim skrivenim servisnim fajlovima koristeći meni Opcije- označite polje za stavku Sakrij standardne NTFS datoteke metapodataka... Osim toga, treba imati na umu da neki antivirusi skrivaju svoje datoteke od Windows API-ja na isti način kao malware, a svaki red skeniranja rezultira znakom Skriveno od Windows API-ja zahtijeva dodatnu analizu - u kojem direktoriju se nalazi skriveni fajl, njegovo ime, proširenje, veličina, vrijeme izmjene. U gornjem primeru skeniranja, skrivene od Windows API-ja su datoteke sa ekstenzijom .sys koje se nalaze u direktorijumu drajvera (C: \ Windows \ system32 \ drajveri) i veličine desetine kilobajta - ovo su rutkit drajveri.

Ostalo mogući opisi terenski događaji Opis može biti lažni alarm i ukazivati ​​na to da je API funkcija završena sa sumnjivim rezultatom. To je obično uzrokovano činjenicom da su tokom skeniranja u Windows okruženju koje obavlja više zadataka, neki od programa modificirali podatke koji se skeniraju, ili legalni softver koristi specijalizirane metode slične onima koje koriste kreatori virusa.

Ime ključa sadrži ugrađene nule- naziv ključa registratora sadrži razmake, koji takav ključ mogu učiniti nevidljivim za standardni uređivač registra.

Nepodudarnost podataka između Windows API-ja i sirovih podataka košnice- nedosljednost između podataka ključa registratora dobijenih korištenjem Windows API-ja i stvarnih podataka košnice registratora. Može biti uzrokovano promjenom podataka registra do koje je došlo tokom skeniranja.

Pristup odbijen- Pristup odbijen. U praksi se takav opis nalazi u prisustvu alata za emulaciju CD/DVD pogona instaliranih u sistemu (Alcohol 120, Daemon tools), neke antivirusni proizvodi koristeći upravljački program SPTD.SYS.

Treba imati na umu da RootkitRevealer skenira svoju kopiju sa nasumičnim imenom datoteke, koja se pokreće kao windows servis... Ova vrsta pokretanja otežava viruse i prinudni raskid procedure skeniranja. Stoga je normalno da imate proces s nerazumljivim imenom dok se pokreće RootkitRevealer, ali postoje slučajevi kada virus blokira pokretanje programa, na primjer, pod nazivom "RootkitRevealer". U ovom slučaju, program se jednostavno ne pokreće, što je, inače, već vrlo značajan znak virusa u sistemu. U ovom slučaju, možete jednostavno preimenovati izvršnu datoteku, ili još bolje, kopirati je u trenutni direktorij pod drugim nasumičnim imenom.

Moguće je pokrenuti RootkitRevealer sa parametrima na komandnoj liniji:

rootkitrevealer [-a] [-c] [-m] [-r]

-a- automatsko skeniranje i izlaz.
-c- generirati rezultate skeniranja u CSV formatu
-m- skeniranje NTFS metapodataka
-r- nemojte skenirati Windows registar
logfile- naziv i putanju datoteke za snimanje rezultata skeniranja.

Primjer pokretanja:

rootkitrevealer -a C: \ RootkitRevealer.log- izvršite skeniranje i upišite u datoteku C: \ RootkitRevealer.log i izađite.

Sysinternals Suite- set besplatnih uslužnih programa za dijagnosticiranje operativnog sistema. Ovaj paket uključuje alate za rješavanje manjih problema i alate koji pomažu u čišćenju operativnog sistema od smeća, provjeri diska na greške itd. Ovaj paket je u potpunosti kompatibilan sa operativnim sistemima Windows porodice, pošto razvijen je uz direktno učešće Microsoft... Paket uključuje oko 60 različitih uslužnih programa za rad sa sistemom. Ovo je jedno od najpopularnijih rješenja za održavanje vašeg operativnog sistema u vrhunskom stanju, jer se vremenom gomila smeće u registru i drugim mjestima koja treba očistiti. Također, potrebno je periodično provjeravati disk na greške i defragmentirati ga. Ovi i mnogi drugi zadaci rješavaju se u paketu Sysinternals Suite... Program ima jednostavno sučelje, lako se instalira i ima rusku lokalizaciju, što olakšava rad s njim. Osim toga, program je male veličine, što mu omogućava da stane na gotovo svaki medij. Čak i na malom USB sticku. Osim toga, Sysinternals Suite se stalno ažurira. Lista uslužnih programa uključenih u program s vremena na vrijeme raste. Međutim, to ne smanjuje ni brzinu programa ni pogodnost njegove upotrebe.

- Sposobnost dijagnosticiranja grešaka u vašem sistemu.
- Omogućava vam defragmentaciju registra.
- Postoji uslužni program koji vam omogućava da zaobiđete sistemsku zaštitu lozinkom.
- Omogućava praćenje svih aktivnosti procesa.
- Postoji uslužni program koji prati sve radnje u sistemu datoteka.
- Niski sistemski zahtjevi.
- Praktična struktura olakšava pronalaženje željenog alata.
- Paket uključuje oko 60 komada razni programi, koji na ovaj ili onaj način utiče na rad sa sistemom.
- Mala velicina paket.

Nedostaci programa