Sysinternals Suite Utilities. ابزارهای کمکی از Sysinternals

هر کاربر حداقل یک بار در زندگی خود آرزوی چنین چیزی را داشته است. مجموعه جادوییابزارها و برنامه ها برای ویندوز، که شامل همه چیزهایی است که شما نیاز دارید. و برای اینکه مجبور نباشید هر برنامه ای را که برای عملکرد باکیفیت سیستم لازم است جستجو و آزمایش کنید، کیفیت را بررسی کنید و مواردی از این قبیل. و برای خوشحالی همه ما، چنین بسته ای ظاهر شد. این Sysinternals Suite - مجموعه ای جهانی از ابزارهای مختلف ، که استفاده از رایانه را به دلیل داشتن بیشترین مقدار، ساده تر و راحت تر می کند برنامه های لازمبرای جستجو، شناسایی و حذف انواع مشکلات سیستم.

با استفاده از Sysinternals Suite می توانید تقریباً هر کاری را برای نگهداری از دستگاه مورد علاقه خود انجام دهید - رایانه یا لپ تاپ. علاوه بر این، چه یک برنامه نویس یا یک کاربر معمولی باشید - فرقی نمی کند، با هر سطحی از مهارت های استفاده از رایانه شخصی، متوجه خواهید شد که چه کاری انجام دهید. طیف برنامه ها به قدری متنوع است که مهم نیست که چه تصمیمی دارید، Sysinternals Suite ابزاری برای آن دارد. بر این لحظهاین مجموعه شامل بیش از 70 ابزار است! اینها برنامه هایی برای بهبود امنیت، کنترل شروع خودکار، ابزار کار با پایگاه داده و ابزارهای کنترل هستند فرآیندهای در حال اجرا، ابزارهایی برای تشخیص و شبکه سازی، و خیلی، خیلی بیشتر!

مجموعه ابزارهای Sysinternals Suite را دانلود کنید

دانلود رایگان از طریق تورنت یک بسته منحصر به فرد ابزارهای Sysinternalsمی توانید نسخه قابل حمل Suite را با دنبال کردن لینک زیر در وب سایت ما بیابید. تقریباً تمام برنامه های موجود در مجموعه به زبان روسی هستند، نیازی به فعال سازی ندارند و همچنین نیازی به نصب ندارند. تنها کاری که باید انجام دهید این است که بسته Sysinternals Suite را دانلود کرده و آرشیو را باز کنید. دامنه برنامه ها به قدری گسترده است که هر کاربر چیزی مفید برای خود پیدا می کند. علاوه بر این، می خواهم توجه داشته باشم که در سال 2006 این توسعه توسط شرکت مایکروسافت خریداری شد و آنها می دانند که چگونه کیفیت را ببینند!

اول، کمی تاریخچه: این محصول، مانند وب سایت آن، در سال 1996 توسعه یافت، هدف ساده بود - ترکیب همه برنامه های خدماتی موجود در یک مکان، یعنی نیازی به دانلود جداگانه همه پیشرفت ها از مارک روسینوویچ نخواهید داشت. در جولای 2006، شرکتی که همه با نام مایکروسافت شناخته می شوند، تصمیم گرفت Sysinternals را خریداری کند. بنابراین، اگر شما تصمیم بگیرید دانلود Sysinternals Suiteاز پروژه ما، تعداد زیادی برنامه خدماتی با هدف مدیریت، جستجو و عیب یابی و همچنین انجام تشخیص ساده برنامه های کاربردی و سیستم عامل های خانواده ویندوز دریافت خواهید کرد.

به طور کلی، تمام ابزارهای موجود را می توان به دسته هایی تقسیم کرد، به عنوان مثال، ابزارهای شبکه - در اینجا می توانید نه تنها از مانیتورهای اتصال استفاده کنید، بلکه تجزیه و تحلیل امنیتی منابع مختلف را نیز انجام دهید، و همچنین سوکت های فعال را مشاهده کنید، به طور کلی فهرست می تواند باشد. برای مدت طولانی لیست شده است، فکر می کنم شما خودتان متوجه خواهید شد. بعد دسته "اطلاعات سیستم" است - اینها برنامه های کاربردی کوچکی هستند که به شما کمک می کنند تا استفاده خود را مشاهده و سفارشی کنید. منابع سیستم. به طور خاص، می توانید به برنامه هایی نگاه کنید که به طور خودکار از چه زمانی شروع می شوند راه اندازی ویندوز، می توانید فعالیت سیستم فایل را به صورت بلادرنگ مشاهده کنید، امکان تعیین ترتیب بارگذاری درایورها و غیره وجود دارد.

Sysinternals Suite همچنین نرم افزار امنیتی را به ما ارائه می دهد. شما قادر خواهید بود سیستم امنیتی خود را پیکربندی و مدیریت کنید و همچنین به ابزاری برای جستجو و جستجو دسترسی خواهید داشت. حذف روت کیت، شکارچیان جاسوس افزار وجود دارد. شما می توانید لیستی از کاربرانی که وارد شده اند را مشاهده کنید، می توانید گزارش رویداد و غیره را مشاهده کنید. در مرحله بعد، دسته «فرایندها و موضوعات» آمده است - به شما امکان می دهد از برنامه هایی استفاده کنید که برای تعیین وظایفی طراحی شده اند که به نوبه خود می توانند توسط فرآیندهای خاص و همچنین منابعی که مصرف می کنند انجام شوند. البته Sysinternals Suite ابزارهای مفیدی را برای کار با هارد و فایل ها در اختیار شما قرار می دهد.

اطلاعات از وب سایت رسمی گرفته شده است، به طور کلی، پس از باز کردن بایگانی، فقط مجموعه ای از ابزارهای مفید را مشاهده خواهید کرد، دلپذیر رابط کاربریشما آن را با دسته بندی ها دریافت نخواهید کرد، بنابراین باید بدانید که دقیقا به چه چیزی نیاز دارید. قبل از انجام این کار، توصیه می کنم به وب سایت رسمی بروید و تمام دسته بندی هایی را که در مورد آنها نوشتم نگاه کنید و تصمیم بگیرید که دقیقاً به چه چیزی علاقه دارید. به طور کلی، امیدوارم بسته نرم افزارهای Sysinternals Suite برای شما مفید باشد؛ در واقع، بسیار گسترده است، شما می توانید موارد زیادی را پیدا کنید.

توسعه دهنده: مایکروسافت
مجوز: نرم افزار رایگان
زبان: انگلیسی
اندازه: 23 مگابایت
سیستم عامل:پنجره ها
دانلود.

مجموعه ابزارهای Sysinternals در یک مجموعه واحد از ابزارهای عیب یابی و عیب یابی بسته بندی شده اند.




مجوزهای دسترسی به فایل ها، کلیدهای رجیستری یا سرویس های ویندوز را برای کاربر یا گروه خاصی از کاربران نمایش می دهد.




کوچک، اما برنامه قدرتمندبرای تجزیه و تحلیل امنیتی فهرستی از کاربران و گروه‌هایی را که به فایل‌ها، پوشه‌ها و کلیدهای رجیستری دسترسی دارند، نمایش می‌دهد تا بتوانید در تنظیمات مجوز دسترسی به دنبال آسیب‌پذیری بگردید.




برنامه CacheSet به شما امکان می دهد اندازه مجموعه کاری مدیر کش را با استفاده از توابع NT بومی تنظیم کنید. سازگار با تمامی نسخه های NT OS.




جاری یکپارچه سازی سریعفایل هایی که به طور مرتب استفاده می شوند؟ نرم افزار Contig به شما امکان بهینه سازی را می دهد فایل های جداگانهو موارد جدید را در خوشه های مجاور ایجاد کنید.




اطلاعاتی در مورد محل پارتیشن ها روی دیسک ها نمایش می دهد




این ابزار تمام فعالیت های هارد دیسک را ثبت می کند. علاوه بر این، می تواند به عنوان یک نشانگر فعالیت دیسک در نوار وظیفه عمل کند.




برنامه تجزیه و تحلیل بخش دیسک گرافیکی




استفاده از فضای دیسک را بر اساس دایرکتوری نمایش می دهد




مشاهده اطلاعات مربوط به فایل های رمزگذاری شده




این برنامه برای نظارت بر تمام فعالیت های سیستم فایل در زمان واقعی طراحی شده است.




ایجاد پیوندهای نمادین NTFS در محیط Win2K




به شما امکان می دهد محتویات پایگاه داده مدیریت دیسک منطقی را که طرح طرح دیسک های پویا ویندوز 2000 را توصیف می کند، از حافظه خارج کنید.




برای راه اندازی مجدد بعدی دستورات را تغییر نام و حذف کنید. این برنامه می تواند در حذف فایل های بدافزار دائمی و فعال مفید باشد.




ابزار NTFSIinfo اطلاعات دقیقی در مورد حجم های NTFS، از جمله اندازه و مکان جدول فایل اصلی (MFT) و منطقه MFT، و اندازه فایل های فراداده NTFS ارائه می دهد.




یکپارچه سازی فایل های swap و رجیستری hives!




فهرستی از فایل‌هایی را که قرار است در راه‌اندازی مجدد سیستم بعدی حذف و نام‌گذاری شوند، مشاهده کنید.




این برنامه به شما اجازه می دهد تا فعالیت سیستم فایل، رجیستری، پردازش ها، رشته ها و DLL ها را در زمان واقعی نظارت کنید.




به شما امکان می دهد ببینید کدام فایل ها از راه دور باز می شوند.




PsTools شامل ابزارهای کمکی است خط فرمان، که با آن می توانید لیستی از فرآیندهای در حال اجرا بر روی رایانه های محلی یا راه دور را نمایش دهید، فرآیندها را از راه دور راه اندازی کنید، رایانه ها را راه اندازی مجدد کنید، محتویات گزارش رویدادها را نمایش دهید و موارد دیگر.

    ابزارهای Sysinternals یک مجموعه هستند برنامه های رایگانبرای مدیریت و نظارت بر رایانه های دارای سیستم عامل ویندوز. در ابتدا، برنامه های Sysinternals (Winternals) توسط این شرکت توسعه داده شد نرم افزار Winternals LPتحت رهبری دو توسعه دهنده - مارک روسینوویچ و برایس کاگزول. در جولای 2006، مایکروسافت Winternals Software LP و تمامی محصولات آن را خریداری کرد. وب سایت Sysinternals اکنون به پورتال وب مایکروسافت منتقل شده و بخشی از Microsoft TechNet شده است. Microsoft Technet اکنون یک بخش Windows Sysinternals دارد که می توانید آن را دانلود کنید مجموعه کاملخدمات رفاهی لباس Sysinternalsدر قالب یک آرشیو، یا آب و برق جداگانهاز ترکیب آن

در حال حاضر، بسته ابزارهای ویندوز Sysinternals را می توان حتی بدون بارگیری در آن استفاده کرد کامپیوتر محلیبا تشکر از فرصت اشتراک گذاریبه منبع Sysinternals Live، که می تواند به عنوان یک درایو شبکه متصل شود، به عنوان مثال، حرف R به آن اختصاص داده شده است:

شبکه از R:\\live.sysinternals.com\tools استفاده کنید

با درایو شبکهالبته سرعت تبادل داده بسیار کمتر از یک محلی است، اما می توانید بدون مشکل با آن کار کنید، مانند یک دیسک محلی معمولی، از جمله در خط فرمان. بنابراین، برای مثال، تیم

R:\autoruns.exe را شروع کنید

سودمند autoruns.exeرا می توان در یک پنجره جداگانه راه اندازی کرد. بنابراین، با حضور در هر مکانی که دسترسی به اینترنت وجود دارد، می توانید از کاربردی ترین و مؤثرترین مجموعه ابزارهای ویندوز - Sysinternals Suite استفاده کنید.

    اکثر برنامه های Sysinternals Suite برای دستیابی به عملکرد کامل به امتیازات مدیریتی نیاز دارند. برای سیستم عامل های خانواده ویندوز 2000/XP، کافی است کاربر تحت یک حساب کاربری به عنوان عضوی از گروه Administrators کار کند. در محیط سیستم عامل ویندوز ویستا/ویندوز 7، لازم است برنامه های کاربردی را با استفاده از آیتم منوی زمینه "اجرا به عنوان مدیر" راه اندازی کنید. فایل های دسته ای، که از ابزارهای خط فرمان استفاده می کنند، باید در زمینه یک حساب کاربری با امتیازات سرپرست نیز اجرا شوند.

کیسه پلاستیکی مجموعه Sysinternalsشامل چندین ده تاسیسات کوچک، چه رابط کنسول و چه رابط گرافیکی، که بسیاری از آنها به طور گسترده در بین مدیران سیستم و کاربران پیشرفته شناخته شده اند - بسته نرم افزاری PSTools، Process Monitor، Autoruns monitoring utilities، Process Explorer، آنتی روت کیت RootkitRevealer و غیره بسیاری از آنها در مقاله های جداگانه مورد بحث قرار می گیرند که پیوندهای آنها را می توان در صفحه اصلی سایت در بخش یافت. پنجره ها. بسته Sysinternals Suite چندین بار در سال به روز می شود، ترکیب آن ممکن است تغییر کند - نسخه های برنامه تغییر می کند، برخی از برنامه ها حذف می شوند، برخی اضافه می شوند، اما مجموعه اصلی بیش از ده سال است که وجود دارد، که نشان دهنده تقاضای آن در بین مدیران و کاربران شایسته است. سیستم عامل های خانواده ویندوز پارامترهای خط فرمان ابزارهای کنسول و رابط کاربری گرافیکی برای اکثر برنامه ها بسیار شبیه هستند که استفاده عملی از آنها را بسیار تسهیل می کند.

ابزارهای Sysinternals Suite برای کار با فایل ها و دیسک ها

AccessChk

Accesschk- ابزار کنسول برای مشاهده حقوق دسترسی کاربر به فایل ها، دایرکتوری ها، کلیدها و کلیدهای رجیستری، فرآیندها و رشته ها.

accesschk -u user1 -c MpsSvc -v- نمایش حقوق کاربر کاربر 1در رابطه با خدمات MpsSvc (دیوار آتش ویندوز 7. اجازه دهید یادآوری کنم که در ویندوز ویستا/ویندوز 7 ابزار Accesschk باید به عنوان مدیر اجرا شود. کلید -vبه معنای خروجی دقیق نتایج است. اگر این کلید مشخص نشده باشد، حقوق کاربر با نمادها نشان داده می شود آر(بخوان و دبلیو(نوشتن). نمایش دادن آربه معنای اجازه مشاهده وضعیت (Query_Status)، پیکربندی (Query_Config) و شروع (Service_Start) سرویس است. دبلیویعنی شما حق دارید پیکربندی و وضعیت یک سرویس را تغییر دهید. ترکیبی RWبه این معنی است که هرگونه اقدام معتبر در سرویس در دسترس است. (Service_All_Access). اگر کلید داده شود -vسپس به جای نمادها آرو دبلیو R شرحی از حقوق دسترسی را نشان می دهد، مانند Service_All_Access- مجاز دسترسی کامل

accesschk -c MpsSvc -w -v- نمایش لیستی از حساب های دارای حق دسترسی کامل (کلید -w) به سرویس MpsSvc.

accesschk -u user1 -c * -w -v- نمایش لیستی از خدماتی که user1 به آنها دسترسی کامل دارد.

accesschk -u user1 -k hklm\security- نمایش حقوق دسترسی user1 به زیربخش های بخش HKLM\SECURITYثبت

accesschk -u user1 -k hklm\security -d- سوئیچ -d به معنای پردازش تنها سطح بالا (دایرکتوری سیستم فایل یا کلید رجیستری) است.

accesschk -u user1 C:\Users -d- نمایش حقوق user1 در رابطه با دایرکتوری C:\Users

accesschk -u user1 C:\Users- نمایش حقوق user1 در رابطه با زیر شاخه های دایرکتوری C:\Users

accesschk C:\Users -w- نمایش لیستی از حساب هایی که به دایرکتوری C:\Users دسترسی کامل دارند

accesschk -u user1 -p wininit -v- نمایش حقوق user1 در رابطه با فرآیند wininit

متأسفانه، ابزار accesschk نمی داند چگونه (حداقل در زمان نوشتن، نمی دانست چگونه) با نام حساب ها، سرویس ها و دایرکتوری های حاوی حروف الفبای روسی کار کند.

AccessEnum

AccessEnum- ابزاری برای مشاهده حقوق حساب در رابطه با عناصر سیستم فایل و رجیستری ویندوز.

CacheSet

سودمند CacheSetبرنامه ای است که به شما امکان می دهد پارامترهای Working Set کش فایل سیستم را مدیریت کنید. برای انتخاب پارامترهای بهینه و افزایش سرعت و پایداری رایانه شخصی استفاده می شود. با تغییر مقادیر حداقل و حداکثر برای اندازه حافظه پنهان کاری، می توانید به بهبود عملکرد سیستم دست یابید.

تنظیم مقادیر جدید حداقل و حداکثر با فشار دادن دکمه اتفاق می افتد درخواست دادن. دکمه بازنشانی کنیدبه شما امکان می دهد حداقل و حداکثر اندازهحافظه پنهانی که در زمان راه اندازی ابزار تنظیم شده بود.

Contig

Contig- یک ابزار خط فرمان برای افزایش عملکرد سیستم با یکپارچه سازی فایل های فردی که اغلب استفاده می شود. استفاده مناسب برای یکپارچه سازی فایل های ماشین مجازی، تصاویر ISO در درایوهای فلش قابل بوت با استفاده از بوت لودر گراب، که ممکن است برای یکپارچه سازی برخی از فایل هایی که اغلب از روی دیسک خوانده می شوند نیاز به یک فایل تصویری غیرقطعی داشته باشد.

Contig.exe /؟- در مورد استفاده از ابزار کمکی صادر کنید.

Contig.exe -a E:\SonyaLiveCD.iso- تجزیه و تحلیل پراکندگی فایل E:\SonyaLiveCD_15.10.2010.iso

Contig.exe E:\SonyaLiveCD_15.10.2010.iso- فایل مشخص شده را یکپارچه سازی کنید.

Contig.exe -a -s C:\windows\*.exe- تجزیه و تحلیل تمام فایل ها با پسوند exeدر دایرکتوری C:\Windows و زیر شاخه های آن (کلید -s)

Contig.exe C:\windows\system32\*.exe- همه فایل ها را با پسوند یکپارچه سازی کنید exeدر دایرکتوری سیستم C:\Windows\System32

افزایش عملکرد سیستم با استفاده هدفمند Contig.exeبه طور کلی بالاتر از آنچه می توان با استفاده به دست آورد به معنی استانداردیکپارچه سازی ویندوز

Disk2vhd

سودمند Disk2vhdبرای ایجاد استفاده می شود سخت مجازیدیسک مجازی VHD ماشین های مایکروسافت(مجازی هارد دیسک- ماشین مجازی مایکروسافت فرمت دیسک) بر اساس داده ها دیسک فیزیکیماشین واقعی عملیات ایجاد دیسک ماشین مجازی را می توان به طور مستقیم در محیط در حال اجرا OS انجام داد. رابط کاربری گرافیکیکاربر برنامه Disk2vhd به شما این امکان را می دهد که هر یک از درایوهای منطقی را برای تبدیل انتخاب کنید کامپیوتر واقعیو آن را به دیسک مجازی، که می تواند برای کار در محیط ماشین مجازی استفاده شود کامپیوتر مجازی مایکروسافت.

DiskMon

DiskMon- به شما اجازه می دهد تا بر عملیات I/O نظارت داشته باشید دیسکهای سختدر محیط سیستم عامل های خانواده ویندوز. این برنامه همچنین می تواند به عنوان نشانگر دسترسی نرم افزار استفاده شود دیسکهای سخت- هنگامی که به حداقل می رسد، نماد در نوار وظیفه نمایش داده می شود سبزدر طول عملیات خواندن دیسک، و قرمز در طول عملیات نوشتن.

پنجره اصلی برنامه، تعداد دیسک موجود در سیستم (ستون دیسک)، نوع عملیات (ستون درخواست)، تعداد بخش روی دیسک مورد دسترسی (ستون Sector) و اندازه فیلد داده را نمایش می دهد. (ستون بعدی). اگر باید تعیین کنید که یک بخش با تعداد مشخصی به کدام فایل مربوط می شود، می توانید از ابزار کنسول NFI.EXE (NTFS File Sector Information Utility) از بسته ابزارهای پشتیبانی مایکروسافت استفاده کنید.
فرمت خط فرمان
شماره بخش دیسک nfi.exe
nfi.exe C: 655234- نمایش نام فایلی که دارای بخش 655234 است
nfi.exe C: 0xBF5E34- همان چیزی است، اما شماره بخش در سیستم اعداد هگزادسیمال مشخص شده است
در نتیجه اجرای دستور، پیامی نمایش داده می شود

***سکتور منطقی 12541492 (0xbf5e34) در درایو C در فایل شماره 49502 موجود است.
\WINDOWS\system32\D3DCompiler_38.dll

آن ها بخش مورد نظر ما متعلق به فایل D3DCompiler_38.dll در فهرست Windows\system32 است.

دیسک ویو

برنامه دیسک ویوبه شما اجازه می دهد وارد شوید فرم گرافیکینقشه استفاده از فضای دیسک:

انتخاب دیسک برای مشاهده در میدان انجام می شود جلدپایین پنجره برنامه پس از انتخاب درایو و فشار دادن دکمه تازه کردناین برنامه نقشه ای از محل فایل ها و دایرکتوری ها را اسکن و نمایش می دهد. پنجره پایینی نوعی مقیاس از مکان داده ها را نسبت به ابتدای دیسک نشان می دهد. رنگ منطقه مطابقت دارد ویژگی های مشخصهگروه های خوشه ای نمایش داده شده است. برای کمک به کدنویسی رنگ، می توانید از منو استفاده کنید راهنما - افسانه. . .:

اولین خوشه قطعه- رنگ خوشه اولیه در زنجیره.
خوشه فایل پیوسته- خوشه به یک فایل پیوسته (نه تکه تکه شده) تعلق دارد.
خوشه فایل تکه تکه شده- خوشه متعلق به فایل تکه تکه شده است.
خوشه فایل سیستم- خوشه متعلق به فایل سیستم است
خوشه استفاده نشده- خوشه متعلق به فضای آزاد است
خوشه استفاده نشده در منطقه MFT- خوشه آزاد در منطقه MFT فهرست مطالب دیسک
خوشه فایل هایلایت شده توسط کاربر- خوشه به فایل انتخاب شده توسط کاربر تعلق دارد.

پنجره بالا نقشه دقیق تری از مکان داده را نشان می دهد. نوار اسکرول به شما امکان می دهد منطقه نمایش را انتخاب کنید. انتخاب هر نقطه از فضای دیسک با اشاره گر در پنجره پایین باعث می شود که یک نقشه خوشه ای برای بخش انتخاب شده از سیستم فایل در پنجره بالا نمایش داده شود. برای تغییر سطح جزئیات نقشه، از دکمه استفاده کنید بزرگنماییدر پایین پنجره اصلی برنامه با کلیک بر روی نقشه خوشه ای در پنجره بالا، نام فایل در فیلد نمایش داده می شود برجستهو گروه خوشه های مربوط به آن را با رنگ برجسته کنید. با دوبار کلیک کردن بر روی فیلد کلاسترهای نمایش داده شده در پنجره بالا، پنجره خصوصیات باز می شود:

برای نمایش میزان استفاده از دیسک و اطلاعات مربوط به تعداد فایل ها و قطعات، از منوی "File" - "Statistics" استفاده کنید.

D.U.

du.exe- یک ابزار خط فرمان برای تعیین آمار استفاده از فضای دیسک در فهرست های سیستم فایل ویندوز. برای به دست آوردن لیستی از کلیدها، می توانید du.exe را بدون پارامتر یا با پارامتر اجرا کنید /? . نمونه هایی از استفاده از ابزار:

du.exe C:\- نمایش اطلاعات در مورد استفاده از دایرکتوری ریشه درایو C: - تعداد فایل ها، زیر شاخه ها و اندازه فضای دیسک اشغال شده.

فایل مون

فایل مون(File Monitor) ابزاری برای نظارت بر فعالیت های سیستم فایل در زمان واقعی است. به شما امکان می دهد تعیین کنید کدام فرآیندها به فایل ها و دایرکتوری ها دسترسی دارند، کدام عملیات توسط سیستم فایل بر روی کدام اشیاء انجام می شود. ابزار FileMon اکنون با برنامه جایگزین شده است مانیتور فرآیند (ProcMon). شرح مفصل و روش استفاده از هر دو برنامه در مقالات جداگانه آورده شده است:

با استفاده از این ابزارها، می توانید به راحتی لیست منابع فایل مورد استفاده برنامه را تعیین کنید، فایل های پیکربندی را بیابید و علل خرابی یا سایر مشکلات مربوط به استفاده از فایل ها و دایرکتوری های ویندوز را تعیین کنید.

MoveFile

MoveFileبه شما امکان می دهد دفعه بعد که انتقال می دهید فایلی را حذف یا انتقال دهید بوت کردن ویندوز. در مواردی استفاده می شود که یک فایل به طور انحصاری توسط برخی از برنامه ها یا سرویس ها ضبط شده باشد و حذف یا انتقال آن با وسایل عادی غیرممکن باشد. مثال استفاده:

Movefile.exe "C:\Documents And Settings\user\Local Settings\TEMP\svchost.exe" C:\virus\svchost.ex_

عملیات انتقال فایل در واقع توسط مدیر جلسه ویندوز (Session Manager SMSS.EXE) انجام می شود که در طی فرآیند بوت شدن سیستم، دستورات تغییر نام و حذف ثبت شده توسط ابزار MoveFile را از کلید رجیستری می خواند.
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations .
پس از اتمام انتقال، این کلید رجیستری حذف خواهد شد. برای مشاهده نقل و انتقالات برنامه ریزی شده توسط ابزار MoveFile، می توانید از این ابزار استفاده کنید PendMovesاز مجموعه Sysinternals.

PageDefrag (pagedfrg.exe)از نظر محبوبیت برای سالهای متمادی در بین برنامه های کاربردی Sysinternals در جایگاه 4-5 قرار داشته است. به شما امکان می‌دهد با یکپارچه‌سازی فایل‌های رجیستری (SYSTEM، SOFTWARE، SAM، SECURITY، فایل‌های DEFAULT در فهرست \windows\system32\config)، گزارش‌های سیستم (در همان فهرست) و فایل صفحه (pagefile.sys) عملکرد سیستم را افزایش دهید.

پس از راه‌اندازی، ابزار فهرستی از فایل‌های قابل پردازش و میزان تکه تکه شدن آنها را نمایش می‌دهد.

برای یکپارچه سازی، یک سرویس سیستم ایجاد شده توسط ابزار استفاده می شود. pgdfgsvc.exeو همانطور که در مورد ابزار مفید است MoveFile, - Windows Session Manager ( SMSS.EXE(مخفف Session Manager Subsystem Service) - زیرسیستم مدیریت جلسه در ویندوز). مدیر جلسه کلید رجیستری را در هنگام بوت شدن سیستم پردازش می کند
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
این کلید حاوی اطلاعاتی در مورد برنامه هایی است که باید توسط مدیر SMSS.EXE در طول فرآیند بوت ویندوز اجرا شوند. استانداردها چک کننده های سیستم فایل هستند. ابزار برای شروع سرویس دستوراتی را به این کلید اضافه می کند pgdfgsvcو بر این اساس، یکپارچه سازی فایل های سیستم، قبل از اینکه برای استقرار سیستم مورد نیاز باشند، انجام می شود. در صورت لزوم، می توانید یکپارچه سازی را لغو کنید، آن را یک بار انجام دهید، یا حالت را طوری تنظیم کنید که هر بار که ویندوز بوت می شود اجرا شود.

PageDefrag را می توان در حالت کنسول اجرا کرد و تنظیمات را با استفاده از پارامترهای خط فرمان تنظیم کرد.

pagedefrag [-e | -o | -n] [-t ]

-e- یکپارچه سازی در هر بوت
-o- یکباره یکپارچه سازی
-n- لغو یکپارچه سازی
-t- شمارش معکوس در ثانیه قبل از شروع یکپارچه سازی

مثال ها:

pagedefrag -e -t 10- یکپارچه سازی را در هر بوت انجام دهید و حالت انتظار را روی 10 ثانیه تنظیم کنید تا زمانی که کاربر هر کلیدی را فشار می دهد، اجرا لغو شود.

دفعه بعد که سیستم راه اندازی مجدد می شود، یک بار یکپارچه سازی انجام دهید.

یکپارچه سازی برنامه ریزی شده قبلی را لغو کنید.

ابزارهای Sysinternals Suite برای کار با شبکه.

ADRestore

ADRestoreبه شما امکان می دهد لیست را مشاهده کنید اشیاء از راه دور Active Directory (AD) و در صورت لزوم، موارد انتخاب شده را بازیابی کنید. برای دریافت کمک، از کلید استفاده کنید /? . هنگامی که بدون پارامتر راه اندازی می شود، ابزار لیستی از اشیاء AD را نشان می دهد که به عنوان حذف شده علامت گذاری شده اند.

مثال ها:

adrestore > C:\adodel.txt- نمایش لیستی از تمام اشیاء AD که در فایل C:\adodel.txt به عنوان حذف شده علامت گذاری شده اند.
آدرسtore.exe لیزر جت- نمایش لیستی از اشیاء AD حذف شده که نام آنها شامل رشته "laserjet" است
adrestore -r
adrestore -r- نمایش لیستی از اشیاء AD با درخواست بازیابی.

ابزاری برای نظارت بر تبادل داده بین مشتری و سرور از طریق پروتکل LDAP. برای یافتن دلایل عملکرد غیرعادی سرویس ها و برنامه ها در محیط اکتیو دایرکتوری، مجوزهای ردیابی، یافتن دلایل عملکرد ضعیف و صرفاً برای مطالعه مکانیسم تعامل اشیاء AD بسیار مفید است.

کمک داخلی برای وجود دارد زبان انگلیسی. کلیک کلیک راستتوسط خط رویداد به شما امکان می دهد یک منوی زمینه را فراخوانی کنید که به شما امکان می دهد دریافت کنید توضیح کوتاهویژگی های رویداد، نام و مسیر فرآیند مرتبط با آن، به رویداد قبلی یا بعدی که شکست خورده است بروید. اطلاعات در قالب ستون هایی نمایش داده می شود که ترکیب آنها قابل تغییر است

فیلترها برای جستجو و برجسته کردن رویدادها به همان روشی که در اکثر برنامه های Sysinternals با استفاده می شود استفاده می شود پوسته گرافیکی. با تنظیمات پیش‌فرض، خطوط برجسته شده با رنگ قرمز به رویدادهایی اشاره می‌کنند که با خطا تکمیل شده‌اند. منوی زمینه همچنین به شما امکان می دهد برنامه دیگری از Sysinternals Suite را مستقیماً از محیط ADinsight - Active Directory Explorer فراخوانی کنید. ADExplorer، برای مشاهده ساختار داده های AD استفاده می شود و از نظر قابلیت ها و رابط کاربری شبیه به ابزار است ADSIEditاز مایکروسافت

TCPView

TCPView- به طور مداوم در میان ده ابزار محبوب برتر در مجموعه Sysinternals قرار می گیرد. برای نمایش لیستی از تمام اتصالات ایجاد شده در سیستم توسط پروتکل های TCPو UDP با داده های دقیق، از جمله محلی و آدرس های راه دورو وضعیت اتصال TCP. در ویندوز XP و سیستم‌عامل‌های قدیمی‌تر، TCPView همچنین نام فرآیندی را که مالک آن است نمایش می‌دهد این ارتباط. به یک معنا، TCPView یک مکمل است ابزار استانداردسیستم عامل ویندوز Netstat.exe، اما علاوه بر ارائه داده های اتصال به شکلی مناسب، به شما امکان انجام آن را می دهد اقدامات اضافی- پایان دادن به یک اتصال خاص، پایان دادن به فرآیند ایجاد اتصال و تعیین نام میزبان درگیر در اتصال.

منوی زمینه کلیک راست به شما امکان می دهد اقدامات خاصی را در اتصال انتخاب شده انجام دهید:

خواص دادرسی- نمایش خصوصیات فرآیند مرتبط با این اتصال. نام فرآیند، نسخه، نام و مسیر فایل اجرایی نمایش داده می شود.

پایان فرآیند- فرآیند مرتبط با این اتصال را خاتمه دهید.

بستن اتصال- اتصال انتخاب شده را به اجبار خاتمه دهید.

که است- یک درخواست برای به دست آوردن داده در مورد گره شرکت کننده در این اتصال را اجرا کنید.

کپی 🀄- اطلاعات این خط را در کلیپ بورد کپی کنید.

با استفاده از منوی اصلی برنامه، می توانید اطلاعات مربوط به تمام اتصالات فعلی را در آن ذخیره کنید فایل متنی(منو فایل - ذخیره) . به عنوان بخشی از مجموعه Sysinternals، به جز برنامه های TCPViewنسخه کنسولی وجود دارد Tcpvconبا همان عملکرد

ابزارهای Sysinternals Suite برای تجزیه و تحلیل اطلاعات فرآیند.

ابزار ردیابی نقطه شروع خودکاربرنامه ها. مقاله ای در مورد Autoruns در بخش "امنیت" قرار داده شده است.
- ابزاری برای نظارت بر فعالیت فرآیند در ویندوز (استفاده از حافظه، استفاده از پردازنده، دسترسی به فایل و رجیستری، فعالیت شبکه و غیره).
- ابزاری برای نظارت بر استفاده از منابع سیستم توسط فرآیندهای فردی.
PSTools - مجموعه ای از ابزارهای خط فرمان برای شروع از راه دوربرنامه های کاربردی (PSExec)، به دست آوردن لیستی از فرآیندها در یک رایانه محلی یا راه دور (PSList)، تکمیل اجباری وظایف (Pskill)، مدیریت خدمات (PSService). علاوه بر این، PsTools شامل ابزارهایی برای راه‌اندازی مجدد یا خاموش کردن رایانه‌ها، نمایش گزارش رویدادها، جستجوی کاربرانی که وارد شبکه شده‌اند و موارد دیگر می‌شود.

ListDLLs

ListDLLs- یک ابزار خط فرمان برای به دست آوردن لیستی از DLL های مورد استفاده توسط فرآیندهای جداگانه. هنگامی که بدون پارامتر راه اندازی می شود، لیستی از تمام فرآیندها و تمام کتابخانه های بارگذاری شده روی صفحه نمایش داده می شود. راهنمایی در مورد نحوه استفاده از ابزار را می توان با استفاده از کلید به دست آورد /? . فرمت خط فرمان:

listdlls [-r] [-v | -u]
یا
listdlls [-r] [-v] [-d dllname]

نام فرآیند- نام (یا بخشی از نام) فرآیندی که می خواهید لیستی از DLL های بارگذاری شده را برای آن نمایش دهید.
pid- شناسه فرآیندی که می خواهید لیستی از DLL های بارگذاری شده را برای آن نمایش دهید.
-d dllname- نام DLL.
-rنمایش DLL هایی که به دلیل بارگذاری نشدن منتقل شده اند آدرس پایه
-u- نمایش تنها ماژول هایی که ندارند امضای دیجیتالی.
-v- نمایش نسخه DLL

نمونه هایی از استفاده:

listdlls- نمایش لیستی از تمام فرآیندها و همه DLL های بارگذاری شده

listdlls برنده می شوند- نمایش لیستی از DLL ها برای تمام فرآیندهایی که نام آنها با رشته "win" شروع می شود.

listdlls winlogon- نمایش لیستی از DLL های استفاده شده توسط فرآیند winlogon

listdlls 495- نمایش لیستی از DLL های استفاده شده توسط فرآیند با شماره شناسه PID=495

listdlls -d ntdll.dll- نمایش لیستی از فرآیندها با استفاده از کتابخانه ntdll.dll

رسیدگی

رسیدگی- یک ابزار خط فرمان برای نمایش اطلاعات بر روی توصیفگرهای باز (دسته ها) برای هر فرآیند در سیستم. این امکان را به شما می دهد تا ببینید کدام برنامه ها فایل را باز کرده اند، با چه حقوق دسترسی، انواع اشیاء و نام توصیف کننده های برنامه، و همچنین، در صورت لزوم، فایل را به زور با شماره توصیف کننده آن ببندید. هنگامی که بدون پارامتر راه اندازی می شود، صفحه نمایش داده می شود لیست کاملبه همه فایل‌های در حال حاضر باز رسیدگی می‌کند. راهنمایی در مورد نحوه استفاده از برنامه را می توان با وارد کردن کلید به دست آورد /? . فرمت خط فرمان:

دسته [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-آ- نمایش اطلاعات در مورد تمام توصیفگرها.
-ج- فایل را با شماره مشخص شدهتوصیف کننده لطفاً توجه داشته باشید که بستن اجباری یک فایل ممکن است باعث شود تصادف درفرآیند یا از دست دادن داده ها
-y- هنگام بستن یک توصیفگر فایل نیازی به تأیید ندارید.
-s- نمایش شمارنده برای هر نوع دستگیره باز.
-u- نمایش نام کاربری در زمینه حساب کاربری که فایل باز شده است.
-پ- دستگیره های صفحه نمایش باز شده توسط فرآیند با نام مشخص شده(بخشی از نام). یا PID

نمونه هایی از استفاده:

دسته | بیشتر- نمایش لیستی از تمام دستگیره های باز همه فرآیندها در حالت نمایش صفحه به صفحه.
handle -p winlogon- نمایش لیستی از دسته های فایل باز شده توسط فرآیند نامگذاری شده winlogon
handle -p winlogon > C:\winlogonh.txt- مانند مورد قبلی، اما با تغییر مسیر خروجی به فایل C:\winlogonh.txt
دسته -u- فهرست تمام توصیفگرهای پرونده همه فرآیندها، نشان دادن حساب مرتبط با فرآیند.
handle -u user1- نمایش لیستی از دسته های فایل باز شده در زمینه حساب کاربری به نام "user1"
دسته -s- نمایش شمارنده ها برای هر نوع و تعداد کل توصیفگرهای باز.

ابزارهای امنیتی Sysinternals Suite.

ابزارهای امنیتی همچنین شامل برنامه هایی برای تعیین نقاط شروع خودکار (Autoruns)، نظارت بر فرآیندها (ProcMon)، بررسی حقوق دسترسی به منابع سیستم و غیره هستند. اما، علاوه بر این، بسته Sysinternals Suite شامل ابزاری است که هدف اصلی آن شناسایی روت‌کیت‌ها (روت‌کیت‌ها) در هنگام آلوده شدن سیستم به ویروس‌هایی است که مکانیسم‌های خاصی را برای پنهان کردن حضور آنها در سیستم پیاده‌سازی می‌کنند.

اصطلاح "rootkit" در رابطه با نرم افزارهای جاسوسی، تروجان ها و سایر نرم افزارهای مخرب به این معنی است که به منظور پنهان کردن حضور آن از برنامه های آنتی ویروس، رهگیری استفاده می شود توابع سیستمو تصحیح نتایج اجرای آنها به گونه ای که امکان تشخیص برخی از فایل ها، دایرکتوری ها و اتصالات شبکهایجاد شده توسط بدافزار به عنوان مثال، هنگام درخواست لیستی از فایل ها در یک فهرست، اطلاعات مربوط به فایل خود ویروس ممکن است از نتایج حذف شود. در واقع، چنین فایلی در سیستم فایل وجود دارد، اما برای نرم افزارهایی که استفاده می کنند توابع APIرهگیری شده توسط ویروس، نامرئی است. برنامه های Rootkit بسته به توانایی آنها برای عملیاتی ماندن پس از راه اندازی مجدد رایانه و نوع راه اندازی (در حالت کاربر یا حالت هسته) به چندین کلاس تقسیم می شوند. اما ویژگی اصلی روت کیت ها رهگیری و تصحیح نتایج فراخوانی های سیستمی است.

اصل عملیات بر اساس استفاده از ویژگی های استانداردرابط های API برای سیستم فایل و رجیستری، روال های مخصوص به خود که عملکردهای مشابهی را پیاده سازی می کنند. تناقض در نتایج به دست آمده ممکن است نشان دهنده وجود یک برنامه روت کیت باشد. RootkitRevealer رجیستری و سیستم فایل را با فشار دادن یک دکمه اسکن می کند اسکن کنیدو نتایج کار خود را در پنجره اصلی نمایش می دهد.

    مسیر- مسیر فایل یا کلید رجیستری.
مهر زمان- زمان اصلاح
اندازه- اندازه
شرح- شرح رویداد - نشانه ای از وجود احتمالی روت کیت در سیستم.

این برنامه هیچ گونه عملیات حذف ویروس را انجام نمی دهد یا حتی به فایل های بدافزار خاصی اشاره نمی کند. کاربر باید با تجزیه و تحلیل نتایج اسکن در مورد حضور خود نتیجه گیری کند.

اول از همه، شما باید مراقب فایل ها و کلیدهای رجیستری که در این زمینه هستند، باشید شرح) شرحی از رویداد وجود دارد "پنهان از Windows API" - از API ویندوز پنهان شده است. در اکثر موارد، خط نتیجه اسکن وجود یک روت کیت را نشان می دهد، زیرا معمولاً فقط فایل های سرویس مربوط به سیستم فایل NTFS (که نام آنها با علامت شروع می شود) از API ویندوز پنهان می شود. $ - $BitMap، $BadClus، $MFT، و غیره) هنگام اسکن، می توانید نمایش رویدادهای مرتبط با فایل های سرویس مخفی استاندارد را با استفاده از منو غیرفعال کنید. گزینه ها- کادر را علامت بزنید فایل های متادیتا استاندارد NTFS را مخفی کنید. علاوه بر این، باید در نظر داشته باشید که برخی از آنتی ویروس ها فایل های خود را از API ویندوز به همان روشی مخفی می کنند. بد افزار، و هر خط از اسکن با یک علامت منتج می شود از API ویندوز پنهان شده استنیاز به تجزیه و تحلیل اضافی دارد - در کدام دایرکتوری قرار دارد؟ فایل مخفی، نام آن، پسوند، اندازه، زمان اصلاح. در مثال اسکن بالا، فایل‌هایی با پسوند .sys که در دایرکتوری درایور (C:\Windows\system32\drivers) و ده‌ها کیلوبایت حجم دارند، از API ویندوز پنهان شده‌اند - اینها درایورهای rootkit هستند.

دیگر توضیحات احتمالیحوادث در این زمینه شرحممکن است یک هشدار نادرست باشد و نشان دهد که اجرای برخی از عملکردهای API با یک نتیجه مشکوک به پایان رسیده است. این معمولاً به این دلیل است که در طول فرآیند اسکن در یک محیط ویندوز چندوظیفه‌ای، یکی از برنامه‌ها داده‌های در حال اسکن را تغییر داده است یا نرم‌افزار قانونی از روش‌های تخصصی مشابه روش‌هایی که توسط سازندگان ویروس استفاده می‌شود، استفاده می‌کند.

نام کلید حاوی null های تعبیه شده است- نام کلید رجیستری حاوی فاصله هایی است که می تواند چنین کلیدی را برای ویرایشگر استاندارد رجیستری نامرئی کند.

عدم تطابق داده ها بین Windows API و داده های خام hive- اختلاف بین داده های کلید رجیستری به دست آمده با استفاده از API ویندوز و داده های واقعی رجیستری. ممکن است به دلیل تغییر در داده های رجیستری باشد که در طول فرآیند اسکن رخ داده است.

دسترسی رد شد- دسترسی ممنوع است. در عمل، چنین توصیفی زمانی رخ می‌دهد که ابزارهای شبیه‌سازی درایو CD/DVD در سیستم نصب شده باشد (Alcohol 120, ابزار شبح)، مقداری محصولات آنتی ویروسبا استفاده از درایور SPTD.SYS.

باید در نظر گرفت که RootkitRevealer یک اسکن از یک کپی از خود با نام فایل تصادفی انجام می دهد، که به عنوان راه اندازی شده است. سرویس ویندوز. این نوع راه اندازی، شناسایی توسط ویروس ها و خاتمه اجباریرویه های اسکن بنابراین، وجود یک فرآیند با نام مبهم در هنگام اجرای RootkitRevealer طبیعی است، اما مواردی وجود دارد که یک ویروس راه اندازی یک برنامه را مسدود می کند، به عنوان مثال، با نام "RootkitRevealer". در این حالت ، برنامه به سادگی شروع نمی شود ، که به هر حال ، در حال حاضر نشانه بسیار مهمی از وجود ویروس در سیستم است. در این صورت می توانید به سادگی نام فایل اجرایی را تغییر دهید یا حتی بهتر است آن را در فهرست فعلی با نام تصادفی دیگری کپی کنید.

امکان اجرای RootkitRevealer با پارامترهای موجود در خط فرمان وجود دارد:

rootkitrevealer [-a] [-c] [-m] [-r]

-آ- اسکن و تکمیل خودکار
-ج- نتایج اسکن را در قالب CSV ایجاد کنید
-m- اسکن متادیتا NTFS
-r- رجیستری ویندوز را اسکن نکنید
ورود به سیستم فایل- نام و مسیر فایل برای ثبت نتایج اسکن.

مثال راه اندازی:

rootkitrevealer -a C:\RootkitRevealer.log- یک اسکن انجام دهید و در فایل C:\RootkitRevealer.log بنویسید و کامل کنید.

مجموعه Sysinternals- مجموعه ای از ابزارهای رایگان برای تشخیص سیستم عامل. این بسته شامل ابزارهایی برای عیب یابی مشکلات جزئی و ابزارهایی برای کمک به تمیز کردن سیستم عامل از زباله، بررسی دیسک از نظر خطا و غیره است. این بسته با سیستم عامل های خانواده ویندوز سازگاری کامل دارد، زیرا با مشارکت مستقیم توسعه یافته است مایکروسافت. این بسته شامل حدود 60 ابزار مختلف برای کار با سیستم است. این یکی از محبوب ترین راه حل ها برای حفظ سیستم عامل شما در شرایط عالی است، زیرا با گذشت زمان، زباله ها در رجیستری و سایر مکان هایی که نیاز به تمیز کردن دارند جمع می شوند. همچنین لازم است به صورت دوره ای دیسک را از نظر خطا بررسی کرده و آن را یکپارچه سازی کنید. این بسته با این و بسیاری از وظایف دیگر مقابله می کند مجموعه Sysinternals. این برنامه دارای رابط کاربری ساده، نصب آسان و بومی سازی روسی است که کار با آن را آسان تر می کند. علاوه بر این، این برنامه از نظر اندازه کوچک است که به آن امکان می دهد تقریباً روی هر رسانه ای قرار گیرد. حتی روی یک فلش مموری کوچک. علاوه بر این، Sysinternals Suite به طور مداوم به روز می شود. لیست ابزارهای موجود در برنامه هر از چند گاهی افزایش می یابد. با این حال، این نه سرعت برنامه و نه سهولت استفاده را کاهش نمی دهد.

- امکان تشخیص خطای سیستم شما.
- به شما امکان می دهد رجیستری را یکپارچه سازی کنید.
- ابزاری وجود دارد که به شما امکان می دهد محافظت از رمز عبور سیستم را دور بزنید.
- به شما امکان می دهد تمام فعالیت های فرآیند را نظارت کنید.
- ابزاری وجود دارد که تمام اقدامات را در سیستم فایل نظارت می کند.
- سیستم مورد نیاز پایین
- ساختار مناسب پیدا کردن ابزار مورد نیاز را آسان می کند.
- بسته شامل حدود 60 عدد می باشد برنامه های مختلف، به هر طریقی بر کار با سیستم تأثیر می گذارد.
- اندازه کوچکبسته بندی

معایب برنامه