Sysinternals Suite Utilities. Pomoćni programi tvrtke Sysinternals

Svaki korisnik je barem jednom u životu sanjao o nečem ovakvom. čarobni set pomoćne programe i programe za Windows, koji će sadržavati sve što vam treba. I da ne morate svaki program potreban za kvalitetan rad sustava tražiti i testirati, provjeravati kvalitetu i slično. I na radost svih nas pojavio se takav paket. Ovaj Sysinternals Suite - univerzalni skup raznih uslužnih programa , koji će korištenje računala učiniti jednostavnijim i praktičnijim jer sadrži najviše potrebne programe za traženje, otkrivanje i uklanjanje svih vrsta problema u sustavu.

Koristeći Sysinternals Suite možete obavljati gotovo sve zadatke za održavanje vašeg omiljenog uređaja - računala ili prijenosnog računala. Štoviše, jeste li programer ili običan korisnik - nema razlike, s bilo kojom razinom vještine korištenja računala shvatit ćete što vam je činiti. Raspon programa toliko je raznolik da Sysinternals Suite ima alat za to, bez obzira na to što odlučite učiniti. Na ovaj trenutak set uključuje više od 70 alata! To su programi za poboljšanje sigurnosti, kontrola autostarta, alati za rad s bazama podataka te kontrolni alati pokrenuti procesi, alati za dijagnostiku i umrežavanje, i još mnogo, mnogo više!

Preuzmite set uslužnih programa Sysinternals Suite

Preuzmite besplatno putem torrenta jedinstveni paket Sysinternals pomoćni programi Prijenosnu verziju Suitea možete pronaći na našoj web stranici slijedeći poveznicu u nastavku. Gotovo svi programi u setu su na ruskom, ne zahtijevaju aktivaciju, a također ne zahtijevaju instalaciju. Sve što trebate učiniti je preuzeti paket Sysinternals Suite i raspakirati arhivu. Raspon programa je toliko opsežan da će svaki korisnik pronaći nešto korisno za sebe. Osim toga, želio bih napomenuti da je 2006. godine ovaj razvoj kupila Microsoft Corporation, a oni znaju vidjeti kvalitetu!

Prvo, malo povijesti: ovaj proizvod, kao i njegova web stranica, razvijen je još 1996., cilj je bio jednostavan - kombinirati sve dostupne servisne programe na jednom mjestu, odnosno nećete morati zasebno preuzimati sve razvoje Marka Russinovicha. U srpnju 2006. tvrtka svima poznata kao Microsoft odlučila je kupiti Sysinternals. Dakle, ako se odlučite preuzmite Sysinternals Suite iz našeg projekta dobit ćete veliki broj servisnih programa namijenjenih upravljanju, traženju i rješavanju problema, kao i obavljanju jednostavne dijagnostike kako pojedinačnih aplikacija tako i operativnih sustava Windows obitelji.

Općenito, svi uključeni uslužni programi mogu se podijeliti u kategorije, na primjer, mrežni alati - ovdje možete koristiti ne samo monitore veze, već i provesti sigurnosnu analizu različitih resursa, kao i pregledati aktivne utičnice, općenito popis može biti dugo nabrajao, mislim da ćeš to sam shvatiti. Sljedeća je kategorija "Informacije o sustavu" - ovo su mali pomoćni programi koji će vam pomoći da vidite i prilagodite svoju upotrebu resursi sustava. Konkretno, možete pogledati programe koji se automatski pokreću kada Pokretanje sustava Windows, možete vidjeti aktivnost datotečnog sustava u stvarnom vremenu, moguće je odrediti redoslijed učitavanja upravljačkih programa i tako dalje.

Sysinternals Suite također nam nudi sigurnosni softver. Moći ćete konfigurirati i upravljati svojim sigurnosnim sustavom, a također ćete imati pristup uslužnom programu za pretraživanje i uklanjanje rootkita, postoje lovci na špijunski softver. Moći ćete vidjeti popis korisnika koji su se prijavili, možete pregledati dnevnik događaja i tako dalje. Slijedi kategorija "Procesi i niti" - omogućit će vam korištenje programa dizajniranih za određivanje zadataka koje zauzvrat mogu obavljati određeni procesi, kao i resurse koje oni troše. Naravno, Sysinternals Suite će vam pružiti dobre alate za rad s tvrdim diskovima i datotekama.

Informacije su preuzete sa službene web stranice, općenito, nakon raspakiranja arhive vidjet ćete samo skup uslužnih programa, ugodnih korisničko sučelje nećete ga dobiti s kategorijama, pa morate razumjeti što točno trebate. Prije nego to učinite, preporučam vam da odete na službenu web stranicu i pogledate sve kategorije o kojima sam pisao i odlučite što vas točno zanima. Općenito, nadam se da vam je paket uslužnih programa iz Sysinternals Suitea koristan; zapravo je prilično opsežan, možete pronaći puno.

Developer: Microsoft
Licenca: FreeWare
Jezik: Engleski
Veličina: 23 MB
OS:Windows
preuzimanje datoteka.

Paket uslužnih programa Sysinternals upakiran je u jedan skup alata za rješavanje problema i rješavanje problema.




Prikazuje dopuštenja pristupa datotekama, ključevima registra ili Windows uslugama za određenog korisnika ili grupu korisnika.




Mali, ali moćan program za sigurnosnu analizu. Prikazuje popis korisnika i grupa koji imaju pristup datotekama, mapama i ključevima registra, tako da možete potražiti ranjivosti u postavkama dopuštenja pristupa.




Program CacheSet omogućuje podešavanje veličine radnog skupa upravitelja predmemorije pomoću izvornih NT funkcija. Kompatibilan sa svim verzijama NT OS-a.




Trenutno brza defragmentacija redovito korištene datoteke? Contig softver vam omogućuje optimizaciju zasebne datoteke i stvoriti nove smještene u susjednim klasterima.




Prikazuje informacije o položaju particija na diskovima




Ovaj uslužni program bilježi sve aktivnosti tvrdog diska; osim toga, može djelovati kao indikator aktivnosti diska na programskoj traci.




Program za grafičku analizu sektora diska




Prikazuje korištenje prostora na disku prema direktoriju




Pogledajte informacije o šifriranim datotekama




Ovaj program je dizajniran za praćenje svih aktivnosti datotečnog sustava u stvarnom vremenu.




Stvaranje NTFS simboličkih veza u Win2K okruženju




Omogućuje vam da iz memorije učitate sadržaj baze podataka upravitelja logičkog diska, koja opisuje shemu izgleda za dinamičke Windows 2000 diskove.




Zakažite naredbe za preimenovanje i brisanje za sljedeće ponovno pokretanje. Ovaj program može biti koristan u uklanjanju postojanih i aktivnih zlonamjernih datoteka.




Uslužni program NTFSInfo pruža detaljne informacije o NTFS jedinicama, uključujući veličinu i lokaciju glavne tablice datoteka (MFT) i MFT zone te veličinu NTFS datoteka metapodataka.




Defragmentacija swap datoteka i košnica registra!




Pogledajte popis datoteka koje su planirane za brisanje i preimenovanje pri sljedećem ponovnom pokretanju sustava.




Ovaj vam program omogućuje praćenje aktivnosti datotečnog sustava, registra, procesa, niti i DLL-ova u stvarnom vremenu.




Omogućuje vam da vidite koje su datoteke otvorene na daljinu.




PsTools uključuje pomoćne programe naredbeni redak, pomoću kojeg možete prikazati popis procesa koji se izvode na lokalnim ili udaljenim računalima, daljinski pokrenuti procese, ponovno pokrenuti računala, prikazati sadržaj zapisnika događaja i još mnogo toga.

    Sysinternals alati su skup besplatni programi za administriranje i nadzor računala s operativnim sustavima Windows. U početku je tvrtka razvila programe Sysinternals (Winternals). Winternals Software LP pod vodstvom dvojice programera - Marka Russinovicha i Brycea Cogswella. U srpnju 2006. Microsoft je kupio Winternals Software LP i sve njegove proizvode. Web stranica Sysinternals sada se preselila na Microsoftov web portal i postala dio Microsoft TechNeta. Microsoft Technet sada ima odjeljak Windows Sysinternals gdje možete preuzeti cijeli set komunalije Sysinternals odijelo u obliku arhive, odn odvojene komunalije iz njegovog sastava.

Trenutno, paket Windows alati Sysinternals se može koristiti čak i bez preuzimanja na lokalno računalo zahvaljujući prilici dijeljenje resursu Sysinternals Live, koji se može spojiti kao mrežni pogon, kojem je dodijeljeno npr. slovo R:

net koristite R:\\live.sysinternals.com\tools

S mrežni pogon, naravno, brzina razmjene podataka mnogo je niža nego s lokalnom, ali s njom možete raditi bez problema, kao s običnim lokalnim diskom, uključujući i na naredbenom retku. Tako, na primjer, tim

pokrenite R:\autoruns.exe

Korisnost autoruns.exe može se pokrenuti u zasebnom prozoru. Dakle, na bilo kojem mjestu gdje postoji pristup internetu, možete koristiti najfunkcionalniji i najučinkovitiji skup alata za Windows - Sysinternals Suite.

    Većina uslužnih programa Sysinternals Suite zahtijeva administrativne ovlasti za postizanje pune funkcionalnosti. Za operativne sustave iz obitelji Windows 2000/XP dovoljno je da korisnik radi pod računom kao član grupe Administrators. U okruženju operativnog sustava Windows Vista/Windows 7, potrebno je pokrenuti uslužne programe pomoću stavke kontekstnog izbornika "Pokreni kao administrator". Skupne datoteke, koji koriste pomoćne programe naredbenog retka, također se moraju pokrenuti u kontekstu računa s administratorskim ovlastima.

Plastična vrećica Sysinternals Suite uključuje nekoliko desetaka male režije, konzola i grafičko sučelje, od kojih su mnoga nadaleko poznata među sistemskim administratorima i naprednim korisnicima - softverski paket PSTools, Process Monitor, Autoruns pomoćni programi za nadgledanje, Istraživač procesa, anti-rootkit RootkitRevealer, itd. Mnogi od njih se raspravljaju u zasebnim člancima, veze na koje se mogu pronaći na glavnoj stranici web mjesta u odjeljku Windows. Paket Sysinternals Suite ažurira se nekoliko puta godišnje, njegov sastav se može promijeniti - mijenjaju se verzije programa, neki se uslužni programi uklanjaju, neki se dodaju, ali glavni set postoji više od deset godina, što ukazuje na njegovu potražnju među administratorima i kompetentnim korisnicima operativnih sustava Windows obitelji. Parametri naredbenog retka uslužnih programa konzole i grafičkog korisničkog sučelja za većinu programa vrlo su slični, što uvelike olakšava njihovu praktičnu upotrebu.

Sysinternals Suite uslužni programi za rad s datotekama i diskovima

AccessChk

Accesschk- konzolni uslužni program za pregled korisničkih prava pristupa datotekama, direktorijima, ključevima registra i ključevima, procesima i nitima.

accesschk -u korisnik1 -c MpsSvc -v- prikaz korisničkih prava korisnik1 u odnosu na uslugu MpsSvc (Vatrozid za Windows 7. Dopustite mi da vas podsjetim da u sustavu Windows Vista/Windows 7 uslužni program Accesschk mora biti pokrenut kao administrator). Ključ -v znači detaljan izlaz rezultata. Ako ovaj ključ nije naveden, tada su korisnička prava označena simbolima R(Čitati i W(Pisati). Prikaz R znači dopuštenje za pregled statusa (Query_Status), konfiguracije (Query_Config) i pokretanja (Service_Start) usluge. W znači da imate pravo promijeniti konfiguraciju i stanje usluge. Kombinacija RW znači da su sve važeće radnje na usluzi dostupne. (Service_All_Access). Ako se da ključ -v onda umjesto simbola R I W R prikazuje opis prava pristupa, kao što je Usluga_Sve_Pristup- dopušteno puni pristup

accesschk -c MpsSvc -w -v- prikazati popis računa koji imaju puna prava pristupa (tipka -w) usluzi MpsSvc.

accesschk -u korisnik1 -c * -w -v- prikazati popis usluga kojima korisnik1 ima puni pristup.

accesschk -u korisnik1 -k hklm\sigurnost- prikazati prava pristupa korisnika1 pododjeljcima odjeljka HKLM\SIGURNOST registar

accesschk -u korisnik1 -k hklm\sigurnost -d- prekidač -d znači obradu samo gornje razine (direktorij datotečnog sustava ili ključ registra)

accesschk -u korisnik1 C:\Korisnici -d- prikaz prava korisnika1 u odnosu na direktorij C:\Users

accesschk -u korisnik1 C:\Korisnici- prikaz prava korisnika1 u odnosu na poddirektorije direktorija C:\Users

accesschk C:\Korisnici -w- prikazati popis računa koji imaju puni pristup direktoriju C:\Users

accesschk -u korisnik1 -p wininit -v- prikaz prava korisnika1 u odnosu na proces wininit

Nažalost, uslužni program accesschk ne zna kako (barem u vrijeme pisanja nije znao kako) raditi s nazivima računa, usluga i imenika koji sadrže znakove ruske abecede.

AccessEnum

AccessEnum- uslužni program za pregled prava računa u odnosu na elemente datotečnog sustava i Windows registra.

CacheSet

Korisnost CacheSet je aplikacija koja vam omogućuje upravljanje parametrima radnog skupa predmemorije sistemskih datoteka. Koristi se za odabir optimalnih parametara i povećanje brzine i stabilnosti računala. Promjenom minimalnih i maksimalnih vrijednosti za radnu veličinu predmemorije možete postići određeno poboljšanje performansi sustava.

Postavljanje novih minimalnih i maksimalnih vrijednosti događa se kada pritisnete gumb primijeniti. Dugme Resetiraj omogućuje vam vraćanje minimalnog i najveća veličina predmemorije koje su bile postavljene u trenutku pokretanja uslužnog programa.

Contig

Contig- uslužni program naredbenog retka za povećanje performansi sustava defragmentiranjem pojedinačnih, često korištenih datoteka. Praktično za korištenje za defragmentiranje datoteka virtualnog stroja, ISO slika na flash pogonima za pokretanje pomoću pokretačkog programa Grub, što može zahtijevati nefragmentiranu slikovnu datoteku za defragmentaciju nekih datoteka koje se često čitaju s diska.

Contig.exe /?- izdati pomoć pri korištenju uslužnog programa.

Contig.exe -a E:\SonyaLiveCD.iso- analizirati fragmentaciju datoteke E:\SonyaLiveCD_15.10.2010.iso

Contig.exe E:\SonyaLiveCD_15.10.2010.iso- defragmentirajte navedenu datoteku.

Contig.exe -a -s C:\windows\*.exe- analizirati sve datoteke s ekstenzijom egz u direktoriju C:\Windows i njegovim poddirektorijima (ključ -s)

Contig.exe C:\windows\system32\*.exe- defragmentirajte sve datoteke s ekstenzijom egz u sistemskom direktoriju C:\Windows\System32

Povećana izvedba sustava s ciljanom upotrebom Contig.exe općenito veći od onoga što se može dobiti korištenjem standardnim sredstvima Defragmentacija sustava Windows.

Disk2vhd

Korisnost Disk2vhd koristi za stvaranje virtualni tvrdi VHD virtualni disk Microsoftovi strojevi(Virtualan Tvrdi disk- Microsoftov virtualni stroj format diska) na temelju podataka fizički disk pravi auto. Operacija stvaranja diska virtualnog stroja može se izvesti izravno u pokrenutom OS okruženju. GUI Korisnik programa Disk2vhd omogućuje vam odabir bilo kojeg logičkog pogona za konverziju pravo računalo i pretvoriti ga u virtualni disk, koji se može koristiti za rad u okruženju virtualnog stroja Microsoft Virtual PC.

DiskMon

DiskMon- omogućuje praćenje I/O operacija za tvrdi diskovi u okruženju operacijskih sustava obitelji Windows. Program se također može koristiti kao indikator pristupa softveru tvrdi diskovi- kada je minimiziran, prikazuje se ikona na programskoj traci zelena tijekom operacije čitanja diska, a crveno tijekom operacije pisanja.

Glavni prozor programa prikazuje broj diska u sustavu (stupac Disk), vrstu operacije (stupac Zahtjev), broj sektora na disku kojem je pristupljeno (stupac Sektor) i veličinu podatkovnog polja. (Dulji stupac). Ako trebate utvrditi s kojom se datotekom odnosi sektor s određenim brojem, možete koristiti pomoćni program konzole NFI.EXE (NTFS File Sector Information Utility) iz Microsoftovog paketa alata za podršku.
Format naredbenog retka
nfi.exe broj sektora diska
nfi.exe C: 655234- prikazati naziv datoteke koja posjeduje sektor 655234
nfi.exe C: 0xBF5E34- ista stvar, ali je broj sektora naveden u heksadecimalnom brojevnom sustavu
Kao rezultat izvršenja naredbe, prikazat će se poruka

***Logički sektor 12541492 (0xbf5e34) na disku C je u datoteci broj 49502.
\WINDOWS\system32\D3DCompiler_38.dll

Oni. Sektor koji nas zanima pripada datoteci D3DCompiler_38.dll u direktoriju Windows\system32.

DiskView

Program DiskView omogućuje vam da uđete grafički oblik mapa korištenja prostora na disku:

Odabir diska za pregled vrši se u polju Volumen dnu prozora programa. Nakon odabira pogona i pritiska na tipku Osvježiti program skenira i prikazuje mapu položaja datoteka i direktorija. Donji prozor prikazuje neku vrstu ljestvice lokacije podataka u odnosu na početak diska. Boja područja odgovara karakteristične značajke prikazane grupe klastera. Za pomoć s kodiranjem boja, možete koristiti izbornik Pomoć - Legenda. . .:

Prvi klaster fragmenta- boja početnog klastera u lancu.
Kontinuirani klaster datoteka- klaster pripada kontinuiranoj (ne fragmentiranoj) datoteci.
Ftagmentirani klaster datoteka- klaster pripada fragmentiranoj datoteci.
Klaster sistemskih datoteka- klaster pripada sistemskoj datoteci
Neiskorišteni klaster- klaster pripada slobodnom prostoru
Neiskorišteni klaster u MFT zoni- slobodni klaster u MFT zoni tablice sadržaja diska
Grupa datoteka označenih korisnikom- klaster pripada datoteci koju je odabrao korisnik.

Gornji prozor prikazuje detaljniju kartu lokacije podataka. Traka za pomicanje omogućuje odabir područja prikaza. Odabirom bilo koje točke diskovnog prostora pomoću pokazivača u donjem prozoru uzrokuje prikaz karte klastera za odabrani odjeljak datotečnog sustava u gornjem prozoru. Za promjenu razine detalja karte koristite gumb Zum na dnu glavnog prozora programa. Klikom na mapu klastera u gornjem prozoru prikazat će se naziv datoteke u polju Highlight i označavanje skupine grozdova koja joj odgovara bojom. Dvostruki klik na polje prikazanih klastera u gornjem prozoru otvara prozor svojstava:

Za prikaz stupnja iskorištenosti diska i informacije o broju datoteka i fragmenata koristite izbornik "Datoteka" - "Statistika"

D.U.

du.exe- uslužni program naredbenog retka za određivanje statistike korištenja diskovnog prostora u direktorijima Windows datotečnog sustava. Da biste dobili popis ključeva, možete pokrenuti du.exe bez parametara ili s parametrom /? . Primjeri korištenja uslužnog programa:

du.exe C:\- prikaz informacija o korištenju korijenskog direktorija pogona C: - broj datoteka, poddirektorija i veličina zauzetog prostora na disku.

FileMon

FileMon(File Monitor) je uslužni program za praćenje svih aktivnosti datotečnog sustava u stvarnom vremenu. Omogućuje vam da odredite koji procesi pristupaju datotekama i direktorijima, koje se operacije izvode na kojim objektima od strane datotečnog sustava. Uslužni program FileMon sada je zamijenjen programom Monitor procesa (ProcMon). Detaljan opis i postupak korištenja oba programa dat je u zasebnim člancima:

Pomoću ovih uslužnih programa možete jednostavno odrediti popis datotečnih resursa koje koristi aplikacija, pronaći konfiguracijske datoteke i utvrditi uzroke padova ili drugih problema povezanih s korištenjem Windows datoteka i direktorija.

PremjestiDatoteku

PremjestiDatoteku omogućuje brisanje ili premještanje datoteke prilikom sljedećeg prijenosa dizanje Windowsa. Koristi se u slučajevima kada je datoteka snimljena isključivo nekom aplikacijom ili servisom i nemoguće ju je izbrisati ili prenijeti uobičajenim sredstvima. Primjer upotrebe:

Movefile.exe "C:\Documents And Settings\user\Local Settings\TEMP\svchost.exe" C:\virus\svchost.ex_

Operaciju prijenosa datoteka zapravo provodi Windows upravitelj sesija (Session Manager SMSS.EXE), koji tijekom procesa pokretanja sustava čita naredbe za preimenovanje i brisanje koje je registrirao uslužni program MoveFile iz ključa registra
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations .
Nakon dovršetka prijenosa, ovaj ključ registra bit će izbrisan. Za pregled prijenosa zakazanih uslužnim programom MoveFile, možete koristiti ovaj uslužni program PendMoves iz paketa Sysinternals Suite.

PageDefrag (pagedfrg.exe) po popularnosti dugi niz godina bio je na 4-5 mjestu među uslužnim programima iz Sysinternalsa. Omogućuje povećanje performansi sustava defragmentiranjem datoteka registra (SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT datoteke u direktoriju \windows\system32\config), zapisnika sustava (u istom direktoriju) i datoteke stranice (pagefile.sys).

Nakon pokretanja, uslužni program prikazuje popis datoteka koje se mogu obraditi i stupanj njihove fragmentacije.

Za defragmentaciju se koristi usluga sustava koju je stvorio uslužni program. pgdfgsvc.exe i, kao u slučaju korisnosti PremjestiDatoteku, - Windows upravitelj sesija ( SMSS.EXE(skraćenica za Session Manager Subsystem Service) - podsustav za upravljanje sesijama u sustavu Windows). Upravitelj sesije obrađuje ključ registra tijekom pokretanja sustava
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
Ovaj ključ sadrži informacije o onim programima koje mora pokrenuti SMSS.EXE upravitelj tijekom procesa pokretanja sustava Windows. Standardni su alati za provjeru datotečnog sustava. Uslužni program dodaje naredbe ovom ključu za pokretanje usluge pgdfgsvc i, sukladno tome, defragmentacija sistemskih datoteka, koja se izvodi prije nego što su potrebne za implementaciju sustava. Ako je potrebno, možete otkazati defragmentaciju, izvršiti je jednom ili postaviti način da se pokreće svaki put kada se Windows pokrene.

PageDefrag se može pokrenuti u konzolnom načinu rada, podešavajući postavke pomoću parametara naredbenog retka.

stranicadefrag [-e | -o | -n] [-t]

-e- Defragmentacija pri svakom pokretanju
-o- Jednokratna defragmentacija
-n- poništiti defragmentaciju
-t- Odbrojavanje u sekundama prije početka defragmentacije

Primjeri:

pagedefrag -e -t 10- izvršite defragmentaciju pri svakom pokretanju i postavite način čekanja na 10 sekundi za prekid izvršenja kada korisnik pritisne bilo koju tipku.

Izvršite jednokratnu defragmentaciju sljedeći put kada se sustav ponovno pokrene.

Otkažite prethodno zakazanu defragmentaciju.

Sysinternals Suite uslužni programi za rad s mrežom.

ADRestore

ADRestore omogućuje pregled popisa udaljeni objekti Active Directory (AD) i po potrebi vratiti odabrane. Za pomoć koristite ključ /? . Kada se pokrene bez parametara, uslužni program prikazuje popis AD objekata označenih kao izbrisani.

Primjeri:

adresore > C:\adodel.txt- prikazati popis svih AD objekata označenih kao izbrisani u datoteci C:\adodel.txt
adresu.exe laserjet- prikazati popis obrisanih AD objekata čije ime sadrži string "laserjet"
adresirati -r
adresirati -r- prikazati popis AD objekata sa zahtjevom za obnovu.

Uslužni program za praćenje razmjene podataka između klijenta i poslužitelja putem protokola LDAP. Vrlo koristan za pronalaženje razloga za nenormalan rad usluga i aplikacija u okruženju Active Directory, praćenje dopuštenja, pronalaženje razloga za loše performanse i jednostavno za proučavanje mehanizma interakcije AD objekata.

Postoji ugrađena pomoć za Engleski jezik. Klik desni klik po redu događaja omogućuje vam pozivanje kontekstnog izbornika koji vam omogućuje da dobijete Kratki opis svojstva događaja, naziv i put procesa koji je s njim povezan, idite na prethodni ili sljedeći događaj koji nije uspio. Informacije se prikazuju u obliku stupaca, čiji se sastav može mijenjati

Filtri za pretraživanje i označavanje događaja koriste se na isti način kao u većini uslužnih programa Sysinternals s grafička ljuska. Uz zadane postavke, crte označene crvenom bojom odnose se na događaje koji su završili s pogreškom. Kontekstualni izbornik vam također omogućuje pozivanje drugog programa iz Sysinternals Suitea izravno iz ADInsight okruženja - Active Directory Explorer ADExplorer, koristi se za pregled AD strukture podataka i sličan je uslužnom programu po mogućnostima i korisničkom sučelju ADSIEdit od Microsofta.

TCPView

TCPView- stalno se nalazi među prvih deset najpopularnijih uslužnih programa u paketu Sysinternals Suite. Koristi se za prikaz popisa svih veza uspostavljenih u sustavu od strane TCP protokoli i UDP s detaljnim podacima, uključujući lokalne i udaljene adrese i status TCP veze. Na Windows XP i starijim operativnim sustavima TCPView također prikazuje naziv procesa koji posjeduje ovu vezu. U određenom smislu, TCPView je komplement standardni uslužni program Windows operativni sustav Netstat.exe, ali osim što prikazuje podatke o vezi u prikladnom obliku, omogućuje vam izvođenje dodatne akcije- prekinuti određenu vezu, prekinuti proces koji je stvorio vezu i odrediti ime glavnog računala uključenog u vezu.

Kontekstni izbornik desnom tipkom miša omogućuje izvođenje određenih radnji na odabranoj vezi:

Svojstva zbornika- prikazati svojstva procesa povezana s ovom vezom. Prikazuju se naziv procesa, verzija, naziv i put izvršne datoteke.

Kraj procesa- prekinuti proces povezan s ovom vezom.

Zatvorite vezu- nasilno prekinuti odabranu vezu.

Tko je- izvršiti zahtjev za dobivanje podataka o čvoru koji sudjeluje u ovoj vezi.

Kopirati- kopirajte informacije ovog retka u međuspremnik.

Pomoću glavnog izbornika programa možete spremiti podatke o svim trenutnim vezama tekstualna datoteka(Jelovnik Datoteka - Spremi) . Kao dio paketa Sysinternals Suite, osim TCPView programi postoji verzija za konzolu Tcpvcon s istom funkcionalnošću.

Sysinternals Suite pomoćni programi za analizu informacija o procesu.

Uslužni program za praćenje točaka automatsko pokretanje programa. Članak o autorunovima objavljen je u odjeljku "Sigurnost".
- uslužni program za praćenje aktivnosti procesa u sustavu Windows (korištenje memorije, korištenje procesora, pristup datotekama i registru, mrežna aktivnost itd.).
- uslužni program za praćenje korištenja resursa sustava po pojedinim procesima.
PSTools - skup uslužnih programa naredbenog retka za daljinsko pokretanje aplikacije (PSExec), dobivanje popisa procesa na lokalnom ili udaljenom računalu (PSList), prisilno dovršavanje zadataka (Pskill), upravljanje uslugama (PSService). Osim toga, PsTools uključuje pomoćne programe za ponovno pokretanje ili gašenje računala, prikazivanje zapisa događaja, traženje korisnika koji su prijavljeni na mrežu i još mnogo toga.

ListDLL-ovi

ListDLL-ovi- uslužni program naredbenog retka za dobivanje popisa DLL-ova koje koriste pojedinačni procesi. Kada se pokrene bez parametara, na ekranu se prikazuje popis svih procesa i svih učitanih biblioteka. Savjet o korištenju uslužnog programa može se dobiti pomoću ključa /? . Format naredbenog retka:

popisidlls [-r] [-v | -u]
ili
listdlls [-r] [-v] [-d dllname]

naziv procesa- naziv (ili dio naziva) procesa za koji želite prikazati popis učitanih DLL-ova.
pid- identifikator procesa za koji želite prikazati popis učitanih DLL-ova.
-d ime dll- naziv DLL-a.
-r prikazati DLL-ove koji su premješteni jer ih ne učitava njihov osnovna adresa
-u- prikazati samo one module koji nemaju digitalni potpis.
-v- prikaz DLL verzije.

Primjeri korištenja:

listedlls- prikaz popisa svih procesa i svih učitanih DLL-ova

listdlls pobijediti- prikazati popis DLL-ova za sve procese čije ime počinje nizom "win"

listdlls winlogon- prikazati popis DLL-ova koje koristi proces winlogon

liste dlls 495- prikazati popis DLL-ova koje koristi proces s identifikacijskim brojem PID=495

listdlls -d ntdll.dll- prikazati popis procesa pomoću biblioteke ntdll.dll

Ručka

Ručka- uslužni program naredbenog retka za prikaz informacija o otvorenim deskriptorima (ručicama) za bilo koji proces u sustavu. Omogućuje vam da vidite koji su programi otvorili datoteku, s kojim pravima pristupa, vrste objekata i nazive deskriptora programa, a također, ako je potrebno, prisilno zatvorite datoteku prema broju deskriptora. Kada se pokrene bez parametara, prikazuje se ekran puni popis upravlja svim trenutno otvorenim datotekama. Naputak o korištenju programa možete dobiti unosom ključa /? . Format naredbenog retka:

ručka [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-a- prikaz informacija o svim deskriptorima.
-c- zatvorite datoteku pomoću navedeni broj deskriptor. Napominjemo da nasilno zatvaranje datoteke može uzrokovati sudar proces ili gubitak podataka.
-y- ne zahtijevaju potvrdu pri zatvaranju deskriptora datoteke.
-s- prikaz brojača za svaku vrstu otvorene ručke.
-u- prikazati ime korisnika u kontekstu čijeg računa je datoteka otvorena.
-str- ručke za prikaz otvorene procesom s navedeno ime(dio imena). ili PID

Primjeri korištenja:

rukovati | više- prikazati popis svih otvorenih ručica svih procesa u načinu prikaza stranicu po stranicu.
rukovanje -p winlogon- prikazati popis rukovatelja datotekama koje je otvorio imenovani proces winlogon
rukovanje -p winlogon > C:\winlogonh.txt- isto kao u prethodnom slučaju, ali s preusmjeravanjem izlaza u datoteku C:\winlogonh.txt
ručka -u- Navedite sve deskriptore datoteka svih procesa, prikazujući račun povezan s procesom.
ručka -u korisnik1- prikaz popisa datoteka otvorenih u kontekstu korisničkog računa pod nazivom "user1"
ručka -s- prikaz brojača za svaku vrstu i ukupnog broja otvorenih deskriptora.

Sysinternals Suite sigurnosni uslužni programi.

Sigurnosni uslužni programi također uključuju programe za određivanje automatskih početnih točaka (Autoruns), praćenje procesa (ProcMon), provjeru prava pristupa resursima sustava itd. No, osim toga, paket Sysinternals Suite uključuje uslužni program čija je glavna svrha otkrivanje rootkita (rootkita) kada je sustav zaražen virusima koji implementiraju posebne mehanizme za skrivanje svoje prisutnosti u sustavu.

Izraz "rootkit" u odnosu na špijunski softver, trojance i drugi zlonamjerni softver znači da kako bi sakrili svoju prisutnost od antivirusni programi, koristi se presretanje funkcije sustava i ispravljanje rezultata njihovog izvođenja na način da ne bi bilo moguće otkriti neke datoteke, direktorije i mrežne veze stvoren zlonamjernim softverom. Na primjer, kada se traži popis datoteka u direktoriju, informacije o datoteci samog virusa mogu biti uklonjene iz rezultata. U stvarnosti je takva datoteka prisutna u datotečnom sustavu, ali za softver koji koristi API funkcije, presretnut virusom, nevidljiv je. Rootkit programi podijeljeni su u nekoliko klasa ovisno o njihovoj sposobnosti da ostanu operativni nakon ponovnog pokretanja računala i vrsti pokretanja (u korisničkom načinu rada ili načinu rada jezgre). Ali glavna značajka rootkita je presretanje i ispravljanje rezultata sistemskih poziva.

Princip rada temelji se na upotrebi standardne karakteristike API sučelja za datotečni sustav i registar, vlastite rutine koje implementiraju iste funkcije. Nedosljednost u dobivenim rezultatima može ukazivati ​​na prisutnost rootkit programa. RootkitRevealer skenira registar i sustav datoteka kada se pritisne gumb Skenirati te prikazuje rezultate svog rada u glavnom prozoru.

    Staza- put do datoteke ili ključ registra.
Vremenska oznaka- Vrijeme izmjene.
Veličina- veličina
Opis- opis događaja - znak moguće prisutnosti rootkita u sustavu.

Program ne izvodi nikakve operacije uklanjanja virusa niti čak ukazuje na određene datoteke zlonamjernog softvera. Korisnik mora donijeti zaključak o njihovoj prisutnosti analizom rezultata skeniranja.

Prije svega, trebali biste biti oprezni s datotekama i ključevima registra za koje u polju Opis) nalazi se opis događaja "Skriven od Windows API" - skriven od Windows API-ja. U velikoj većini slučajeva, redak rezultata skeniranja ukazuje na prisutnost rootkita, budući da su obično samo servisne datoteke koje se odnose na NTFS datotečni sustav (čija imena počinju sa znakom) skrivene od Windows API-ja. $ - $BitMap, $BadClus, $MFT itd.) Tijekom skeniranja možete onemogućiti prikaz događaja povezanih sa standardnim skrivenim servisnim datotekama pomoću izbornika Mogućnosti- potvrdite okvir Sakrij standardne NTFS datoteke metapodataka. Osim toga, morate uzeti u obzir da neki antivirusi skrivaju svoje datoteke od Windows API-ja na isti način kao malware, a svaki redak skeniranja rezultira znakom Skriven od Windows API-ja zahtijeva dodatnu analizu - u kojem se imeniku nalazi? skrivena datoteka, njegov naziv, proširenje, veličina, vrijeme izmjene. U gornjem primjeru skeniranja, skrivene od Windows API-ja su datoteke s nastavkom .sys, koje se nalaze u direktoriju upravljačkog programa (C:\Windows\system32\drivers) i veličine su desetke kilobajta - to su upravljački programi rootkita.

ostalo moguće opise događanja na terenu Opis može biti lažni alarm i značiti da je izvođenje neke API funkcije završilo sa sumnjivim rezultatom. To je obično uzrokovano činjenicom da je tijekom procesa skeniranja u višezadaćnom Windows okruženju jedan od programa izmijenio podatke koji se skeniraju ili legitimni softver koristi specijalizirane metode slične onima koje koriste kreatori virusa.

Naziv ključa sadrži ugrađene nulte vrijednosti- naziv ključa registra sadrži razmake, što takav ključ može učiniti nevidljivim standardnom uređivaču registra.

Neusklađenost podataka između Windows API-ja i neobrađenih podataka košnice- nepodudarnost između podataka o ključu registra dobivenih pomoću Windows API-ja i stvarnih podataka saća registra. Može biti uzrokovano promjenom podataka registra koja se dogodila tijekom procesa skeniranja.

Pristup odbijen- Pristup je odbijen. U praksi se takav opis događa kada su u sustavu instalirani alati za emulaciju CD/DVD pogona (Alcohol 120, Daemon alati), neke antivirusni proizvodi pomoću upravljačkog programa SPTD.SYS.

Mora se uzeti u obzir da RootkitRevealer izvodi skeniranje iz svoje kopije s nasumičnim nazivom datoteke, pokrenute kao Windows usluga. Ova vrsta pokretanja otežava otkrivanje virusima i prisilni završetak procedure skeniranja. Stoga je prisutnost procesa s nejasnim nazivom kada je RootkitRevealer pokrenut normalna, ali postoje slučajevi kada virus blokira pokretanje programa, na primjer, s nazivom "RootkitRevealer". U ovom slučaju program se jednostavno ne pokreće, što je, usput rečeno, već vrlo značajan znak prisutnosti virusa u sustavu. U tom slučaju možete jednostavno preimenovati izvršnu datoteku ili je još bolje kopirati u trenutni direktorij pod drugim nasumičnim imenom.

Moguće je pokrenuti RootkitRevealer s parametrima na naredbenom retku:

rootkitrevealer [-a] [-c] [-m] [-r]

-a- automatski skenirati i završiti.
-c- generirajte rezultate skeniranja u CSV formatu
-m- skenirati NTFS metapodatke
-r- nemojte skenirati Windows registar
zapisnička datoteka- naziv i put datoteke za snimanje rezultata skeniranja.

Primjer pokretanja:

rootkitrevealer -a C:\RootkitRevealer.log- izvršite skeniranje i zapišite u datoteku C:\RootkitRevealer.log i dovršite.

Sysinternals Suite– skup besplatnih uslužnih programa za dijagnosticiranje operativnog sustava. Ovaj paket uključuje i alate za rješavanje manjih problema i alate za pomoć pri čišćenju operativnog sustava od otpadaka, provjeravanju grešaka na disku itd. Ovaj paket je u potpunosti kompatibilan s operativnim sustavima obitelji Windows, jer razvijen je uz izravno sudjelovanje Microsoft. Paket uključuje oko 60 različitih uslužnih programa za rad sa sustavom. Ovo je jedno od najpopularnijih rješenja za održavanje vašeg operativnog sustava u izvrsnom stanju, jer se s vremenom nakuplja smeće u registru i drugim mjestima koja treba očistiti. Također, potrebno je povremeno provjeriti disk na pogreške i defragmentirati ga. Paket se nosi s ovim i mnogim drugim zadacima Sysinternals Suite. Program ima jednostavno sučelje, lako se instalira i ima rusku lokalizaciju, što olakšava rad s njim. Osim toga, program je male veličine, što mu omogućuje postavljanje na gotovo sve medije. Čak i na malom flash disku. Osim toga, Sysinternals Suite se stalno ažurira. Popis uslužnih programa uključenih u program povećava se s vremena na vrijeme. Međutim, to ne umanjuje niti brzinu programa niti jednostavnost korištenja.

- Sposobnost dijagnosticiranja grešaka u vašem sustavu.
- Omogućuje defragmentaciju registra.
- Postoji uslužni program koji vam omogućuje zaobilaženje zaštite sustava lozinkom.
- Omogućuje vam praćenje svih procesnih aktivnosti.
- Postoji uslužni program koji prati sve radnje u datotečnom sustavu.
- Niski zahtjevi sustava.
- Praktična struktura olakšava pronalaženje potrebnog uslužnog programa.
- Paket uključuje oko 60 razne programe, na ovaj ili onaj način utječu na rad sa sustavom.
- Mala veličina paket.

Nedostaci programa