Utilità della suite Sysinternals. Utilità da Sysinternals

Ogni utente ha sognato qualcosa di simile almeno una volta nella vita. insieme magico utilità e programmi per Windows, che conterranno tutto ciò di cui hai bisogno. E in modo da non dover cercare e testare ogni programma necessario per il funzionamento di alta qualità del sistema, controllarne la qualità e simili. E per la gioia di tutti noi, è apparso un pacchetto del genere. Questo Sysinternals Suite: un set universale di varie utilità , che renderà l'utilizzo del computer più semplice e conveniente poiché contiene di più programmi necessari per cercare, rilevare e rimuovere tutti i tipi di problemi di sistema.

Utilizzando Sysinternals Suite puoi eseguire quasi tutte le attività per mantenere il tuo dispositivo preferito: un computer o un laptop. Inoltre, che tu sia un programmatore o un utente normale, non fa differenza, con qualsiasi livello di abilità nell'uso del PC capirai cosa fare. La gamma di programmi è così varia che qualunque cosa tu decida di fare, Sysinternals Suite ha uno strumento per farlo. SU questo momento il set comprende più di 70 utilità! Si tratta di programmi per migliorare la sicurezza, controllo di avvio automatico, strumenti per lavorare con database e strumenti di controllo processi in esecuzione, strumenti per la diagnostica e il networking e molto, molto altro ancora!

Scarica il set di utilità Sysinternals Suite

Scarica gratuitamente tramite torrent un pacchetto unico Utilità Sysinternals Puoi trovare la versione portatile della Suite sul nostro sito web seguendo il link sottostante. Quasi tutti i programmi nel set sono in russo, non richiedono l'attivazione e inoltre non richiedono l'installazione. Tutto quello che devi fare è scaricare il pacchetto Sysinternals Suite e decomprimere l'archivio. La gamma di programmi è così ampia che ogni utente troverà qualcosa di utile per se stesso. Inoltre, vorrei sottolineare che nel 2006 questo sviluppo è stato acquistato da Microsoft Corporation e loro sanno vedere la qualità!

Innanzitutto, un po 'di storia: questo prodotto, come il suo sito Web, è stato sviluppato nel 1996, l'obiettivo era semplice: combinare tutti i programmi di servizio disponibili in un unico posto, ovvero non sarà necessario scaricare separatamente tutti gli sviluppi da Mark Russinovich. Nel luglio 2006, l'azienda conosciuta da tutti come Microsoft ha deciso di acquisire Sysinternals. Quindi, se decidi scarica la suite Sysinternals dal nostro progetto riceverai un gran numero di programmi di servizio volti alla gestione, alla ricerca e alla risoluzione dei problemi, nonché all'esecuzione di una semplice diagnostica sia delle singole applicazioni che dei sistemi operativi della famiglia Windows.

In generale, tutte le utilità incluse possono essere suddivise in categorie, ad esempio strumenti di rete: qui puoi utilizzare non solo i monitoraggi della connessione, ma anche condurre un'analisi della sicurezza di varie risorse, nonché visualizzare i socket attivi, in generale l'elenco può essere elencato per molto tempo, penso che lo capirai da solo. La prossima è la categoria "Informazioni di sistema": si tratta di piccoli programmi di utilità che ti aiuteranno a visualizzare e personalizzare il tuo utilizzo risorse di sistema. In particolare, puoi guardare i programmi che si avviano automaticamente quando Avvio di Windows, è possibile visualizzare l'attività del file system in tempo reale, è possibile determinare l'ordine di caricamento dei driver e così via.

Sysinternals Suite ci offre anche un software di sicurezza. Potrai configurare e gestire il tuo sistema di sicurezza e avrai anche accesso a un'utilità per la ricerca e rimozione del rootkit, ci sono cacciatori di spyware. Sarai in grado di visualizzare un elenco di utenti che hanno effettuato l'accesso, puoi visualizzare il registro eventi e così via. Poi arriva la categoria "Processi e thread": ti consentirà di utilizzare programmi progettati per determinare le attività che, a loro volta, possono essere eseguite da determinati processi, nonché le risorse che consumano. Naturalmente, Sysinternals Suite ti fornirà buone utilità per lavorare con dischi rigidi e file.

Le informazioni sono state prese dal sito ufficiale, in generale, dopo aver decompresso l'archivio, vedrai solo una serie di utilità, piacevoli interfaccia utente non lo otterrai con le categorie, quindi devi capire esattamente di cosa hai bisogno. Prima di farlo, ti consiglio di andare sul sito ufficiale e dare un'occhiata a tutte le categorie di cui ho scritto e decidere cosa ti interessa esattamente. In generale, spero che il pacchetto di utilità di Sysinternals Suite ti sia utile, infatti è piuttosto ampio, puoi trovare molto.

Sviluppatore:Microsoft
Licenza: Freeware
Lingua: Inglese
Misurare: 23MB
sistema operativo:Finestre
Scaricamento.

La suite di utilità Sysinternals è stata racchiusa in un unico set di strumenti per la risoluzione dei problemi.




Visualizza le autorizzazioni di accesso a file, chiavi di registro o servizi Windows per un utente o un gruppo di utenti specifico.




Piccolo, ma potente programma per l'analisi della sicurezza. Visualizza un elenco di utenti e gruppi che hanno accesso a file, cartelle e chiavi di registro, in modo da poter cercare le vulnerabilità nelle impostazioni delle autorizzazioni di accesso.




Il programma CacheSet consente di regolare la dimensione del working set del gestore della cache utilizzando le funzioni NT native. Compatibile con tutte le versioni del sistema operativo NT.




Attuale deframmentazione veloce file utilizzati regolarmente? Il software Contig ti consente di ottimizzare file separati e crearne di nuovi situati in cluster adiacenti.




Visualizza informazioni sulla posizione delle partizioni sui dischi




Questa utility registra tutta l'attività del disco rigido; inoltre, può fungere da indicatore di attività del disco sulla barra delle applicazioni.




Programma grafico di analisi del settore del disco




Visualizza l'utilizzo dello spazio su disco per directory




Visualizza informazioni sui file crittografati




Questo programma è progettato per monitorare tutta l'attività del file system in tempo reale.




Creazione di collegamenti simbolici NTFS nell'ambiente Win2K




Consente di scaricare dalla memoria il contenuto del database del gestore del disco logico, che descrive lo schema di layout per i dischi dinamici di Windows 2000.




Pianifica i comandi di ridenominazione ed eliminazione per il prossimo riavvio. Questo programma può essere utile per rimuovere file malware persistenti e attivi.




L'utilità NTFSInfo fornisce informazioni dettagliate sui volumi NTFS, incluse la dimensione e la posizione della tabella dei file master (MFT) e della zona MFT, nonché la dimensione dei file di metadati NTFS.




Deframmentazione di file di scambio e hive di registro!




Visualizza un elenco di file programmati per essere eliminati e rinominati al successivo riavvio del sistema.




Questo programma consente di monitorare l'attività del file system, del registro, dei processi, dei thread e delle DLL in tempo reale.




Ti permette di vedere quali file sono aperti da remoto.




PsTools include utilità riga di comando, con il quale è possibile visualizzare un elenco di processi in esecuzione su computer locali o remoti, avviare processi in remoto, riavviare computer, visualizzare il contenuto dei registri eventi e molto altro.

    Gli strumenti Sysinternals sono un set programmi gratuiti per l'amministrazione e il monitoraggio di computer che eseguono sistemi operativi Windows. Inizialmente, l'azienda ha sviluppato i programmi Sysinternals (Winternals). LP del software Winternals sotto la guida di due sviluppatori: Mark Russinovich e Bryce Cogswell. Nel luglio 2006, Microsoft ha acquisito Winternals Software LP e tutti i suoi prodotti. Il sito Web Sysinternals è stato ora spostato nel portale Web Microsoft ed è diventato parte di Microsoft TechNet. Microsoft Technet ora dispone di una sezione Windows Sysinternals da cui è possibile scaricare set completo utilità Tuta Sysinternals sotto forma di archivio, o utenze separate dalla sua composizione.

Attualmente, il pacchetto Strumenti di Windows I Sysinternals possono essere utilizzati anche senza scaricarli computer locale grazie all'opportunità condivisione alla risorsa Sysinternals Live, che può essere connessa come unità di rete, a cui è assegnata, ad esempio, la lettera R:

net usa R:\\live.sysinternals.com\tools

CON unità di rete, ovviamente, la velocità di scambio dei dati è molto inferiore rispetto a quella locale, ma puoi lavorarci senza problemi, come con un normale disco locale, anche dalla riga di comando. Quindi, ad esempio, la squadra

avviare R:\autoruns.exe

Utilità autoruns.exe può essere avviato in una finestra separata. Pertanto, trovandoti ovunque sia disponibile l'accesso a Internet, puoi utilizzare il set di strumenti più funzionale ed efficace per Windows: Sysinternals Suite.

    La maggior parte delle utilità della Sysinternals Suite richiedono privilegi amministrativi per ottenere la piena funzionalità. Per i sistemi operativi della famiglia Windows 2000/XP è sufficiente che l'utente lavori con un account come membro del gruppo Amministratori. Nell'ambiente del sistema operativo Windows Vista/Windows 7 è necessario avviare le utilità tramite la voce del menu contestuale "Esegui come amministratore". File batch, che utilizzano utilità della riga di comando, devono essere eseguiti anche nel contesto di un account con privilegi di amministratore.

Sacchetto di plastica Suite Sysinternals comprende diverse decine piccole utenze, sia console che interfaccia grafica, molte delle quali sono ampiamente conosciute tra gli amministratori di sistema e gli utenti avanzati: il pacchetto software PSTools, Process Monitor, le utilità di monitoraggio Autoruns, Esplora processi, RootkitRevealer anti-rootkit, ecc. Molti di essi sono discussi in articoli separati, i cui collegamenti possono essere trovati nella pagina principale del sito nella sezione finestre. Il pacchetto Sysinternals Suite viene aggiornato più volte all'anno, la sua composizione può cambiare: le versioni del programma cambiano, alcune utilità vengono rimosse, altre vengono aggiunte, ma il set principale esiste da più di dieci anni, il che indica la sua richiesta tra amministratori e utenti competenti dei sistemi operativi della famiglia Windows. I parametri della riga di comando delle utilità della console e l'interfaccia utente grafica della maggior parte dei programmi sono molto simili, il che ne facilita notevolmente l'uso pratico.

Utilità della suite Sysinternals per lavorare con file e dischi

AccessChk

Accesschk- un'utilità console per visualizzare i diritti di accesso degli utenti a file, directory, chiavi e chiavi di registro, processi e thread.

accesschk -u utente1 -c MpsSvc -v- visualizzare i diritti dell'utente utente1 in relazione al servizio MpsSvc (firewall di Windows 7. Ti ricordo che in Windows Vista/Windows 7 l'utility Accesschk deve essere eseguita come amministratore). Chiave -v significa output dettagliato dei risultati. Se questa chiave non è specificata, i diritti utente sono indicati dai simboli R(Leggi e W(Scrivere). Schermo R significa autorizzazione a visualizzare lo stato (Query_Status), la configurazione (Query_Config) e l'avvio (Service_Start) del servizio. W significa che hai il diritto di modificare la configurazione e lo stato del servizio. Combinazione RW significa che sono disponibili tutte le azioni valide sul servizio. (Service_All_Access). Se viene data la chiave -v quindi invece dei simboli R E W R visualizza una descrizione dei diritti di accesso, come ad esempio Servizio_Tutto_Accesso- consentito accesso completo

accesschk -c MpsSvc -w -v- visualizzare un elenco di account che hanno diritti di accesso completi (il tasto -w) al servizio MpsSvc.

accesschk -u utente1 -c * -w -v- visualizzare un elenco di servizi a cui l'utente1 ha pieno accesso.

accesschk -u utente1 -k hklm\security- visualizzare i diritti di accesso dell'utente1 alle sottosezioni della sezione HKLM\SICUREZZA registro

accesschk -u utente1 -k hklm\security -d- l'opzione -d significa elaborare solo il livello superiore (directory del file system o chiave di registro)

accesschk -u utente1 C:\Utenti -d- visualizzare i diritti di utente1 rispetto alla directory C:\Users

accesschk -u utente1 C:\Utenti- visualizzare i diritti di utente1 in relazione alle sottodirectory della directory C:\Users

accesschk C:\Utenti -w- visualizzare un elenco di account che hanno pieno accesso alla directory C:\Users

accesschk -u utente1 -p wininit -v- visualizzare i diritti dell'utente1 in relazione al processo wininit

Sfortunatamente, l'utilità accesschk non sa come (almeno al momento in cui scrivo, non sapeva come) lavorare con i nomi di account, servizi e directory contenenti caratteri dell'alfabeto russo.

AccessEnum

AccessEnum- un'utilità per visualizzare i diritti dell'account in relazione agli elementi del file system e del registro di Windows.

CacheSet

Utilità CacheSetè un'applicazione che consente di gestire i parametri del Working Set della cache dei file di sistema. Utilizzato per selezionare i parametri ottimali e aumentare la velocità e la stabilità del PC. Modificando i valori minimo e massimo per la dimensione della cache di lavoro, è possibile ottenere un miglioramento delle prestazioni del sistema.

L'impostazione dei nuovi valori minimo e massimo avviene quando si preme il pulsante Fare domanda a. Pulsante Ripristina ti permette di restituire il minimo e taglia massima cache impostate al momento dell'avvio dell'utilità.

Contig

Contig- un'utilità della riga di comando per aumentare le prestazioni del sistema deframmentando singoli file utilizzati di frequente. Comodo da usare per deframmentare file di macchine virtuali, immagini ISO su unità flash avviabili utilizzando un bootloader Grub, che potrebbe richiedere un file immagine non frammentato per deframmentare alcuni file letti frequentemente dal disco.

Contig.exe/?- fornire assistenza sull'utilizzo dell'utilità.

Contig.exe -a E:\SonyaLiveCD.iso- analizzare la frammentazione del file E:\SonyaLiveCD_15.10.2010.iso

Contig.exe E:\SonyaLiveCD_15.10.2010.iso- deframmentare il file specificato.

Contig.exe -a -s C:\windows\*.exe- analizza tutti i file con l'estensione exe nella directory C:\Windows e nelle sue sottodirectory (tasto -S)

Contig.exe C:\windows\system32\*.exe- Deframmentare tutti i file con l'estensione exe nella directory di sistema C:\Windows\System32

Aumento delle prestazioni del sistema con un utilizzo mirato Contig.exe generalmente superiore a quanto ottenibile utilizzando mezzi standard Deframmentazione di Windows.

Disco2vhd

Utilità Disco2vhd usato per creare difficile virtuale Disco virtuale VHD Macchine Microsoft(Virtuale Disco rigido- La macchina virtuale di Microsoft formato del disco) sulla base dei dati disco fisico vera macchina. L'operazione di creazione del disco della macchina virtuale può essere eseguita direttamente nell'ambiente del sistema operativo in esecuzione. GUI L'utente del programma Disk2vhd consente di selezionare una qualsiasi delle unità logiche per la conversione computer reale e convertirlo in disco virtuale, che può essere utilizzato per lavorare in un ambiente di macchina virtuale PC virtuale Microsoft.

DiskMon

DiskMon- consente di monitorare le operazioni di I/O per dischi fissi nell'ambiente dei sistemi operativi della famiglia Windows. Il programma può essere utilizzato anche come indicatore di accesso al software dischi fissi- quando ridotto a icona, viene visualizzata l'icona sulla barra delle applicazioni verde durante un'operazione di lettura del disco e rosso durante un'operazione di scrittura.

La finestra principale del programma visualizza il numero del disco nel sistema (colonna Disco), il tipo di operazione (colonna Richiesta), il numero del settore del disco a cui è stato effettuato l'accesso (colonna Settore) e la dimensione del campo dati (Lunghezza colonna). Se è necessario determinare a quale file è correlato un settore con un determinato numero, è possibile utilizzare l'utilità della console NFI.EXE (NTFS File Sector Information Utility) dal pacchetto Support Tools di Microsoft.
Formato della riga di comando
Numero del settore del disco nfi.exe
nfi.exe C: 655234- visualizzare il nome del file che possiede il settore 655234
nfi.exe C: 0xBF5E34- la stessa cosa, ma il numero del settore è specificato nel sistema numerico esadecimale
Come risultato dell'esecuzione del comando, verrà visualizzato un messaggio

***Il settore logico 12541492 (0xbf5e34) sull'unità C è nel file numero 49502.
\WINDOWS\system32\D3DCompiler_38.dll

Quelli. Il settore che ci interessa appartiene al file D3DCompiler_38.dll nella directory Windows\system32.

DiskView

Programma DiskView ti permette di entrare forma grafica mappa di utilizzo dello spazio su disco:

La selezione di un disco da visualizzare viene effettuata sul campo Volume parte inferiore della finestra del programma. Dopo aver selezionato l'unità e premuto il pulsante ricaricare il programma esegue la scansione e visualizza una mappa della posizione di file e directory. La finestra inferiore mostra una sorta di scala della posizione dei dati rispetto all'inizio del disco. Il colore dell'area corrisponde caratteristiche peculiari gruppi di cluster visualizzati. Per assistenza con la codifica dei colori, è possibile utilizzare il menu Aiuto - Legenda. . .:

Primo grappolo del frammento- il colore del grappolo iniziale della catena.
Cluster di file contigui- il cluster appartiene ad un file continuo (non frammentato).
Cluster di file frammentato- il cluster appartiene al file frammentato.
Cluster di file di sistema- il cluster appartiene al file system
Gruppo inutilizzato- il cluster appartiene allo spazio libero
Cluster inutilizzato nella zona MFT- cluster libero nella zona MFT del sommario del disco
Cluster di file evidenziato dall'utente- il cluster appartiene al file selezionato dall'utente.

La finestra superiore visualizza una mappa più dettagliata della posizione dei dati. La barra di scorrimento consente di selezionare l'area di visualizzazione. Selezionando un punto qualsiasi dello spazio su disco con il puntatore nella finestra inferiore, nella finestra superiore verrà visualizzata una mappa dei cluster per la sezione selezionata del file system. Per modificare il livello di dettaglio della mappa utilizzare il pulsante Ingrandisci nella parte inferiore della finestra principale del programma. Facendo clic sulla mappa del cluster nella finestra in alto verrà visualizzato il nome del file nel campo Evidenziare ed evidenziando con il colore il gruppo di cluster ad esso corrispondente. Facendo doppio clic sul campo dei cluster visualizzati nella finestra in alto si apre la finestra delle proprietà:

Per visualizzare il grado di utilizzo del disco e informazioni sul numero di file e frammenti, utilizzare il menu "File" - "Statistiche"

D.U.

du.exe- un'utilità della riga di comando per determinare le statistiche sull'utilizzo dello spazio su disco nelle directory del file system di Windows. Per ottenere un elenco di chiavi, è possibile eseguire du.exe senza parametri o con il parametro /? . Esempi di utilizzo dell'utilità:

du.exe C:\- visualizzare informazioni sull'utilizzo della directory principale dell'unità C: - il numero di file, sottodirectory e la dimensione dello spazio su disco occupato.

FileMon

FileMon(File Monitor) è un'utilità per monitorare in tempo reale tutta l'attività del file system. Consente di determinare quali processi accedono a file e directory, quali operazioni vengono eseguite su quali oggetti dal file system. L'utilità FileMon è stata ora sostituita da Monitoraggio del processo (ProcMon). Una descrizione dettagliata e la procedura per utilizzare entrambi i programmi sono fornite in articoli separati:

Utilizzando queste utilità, puoi facilmente determinare l'elenco delle risorse file utilizzate dall'applicazione, trovare file di configurazione e determinare le cause di arresti anomali o altri problemi associati all'uso di file e directory di Windows.

SpostaFile

SpostaFile ti consente di eliminare o spostare un file al successivo trasferimento avvio di Windows. Viene utilizzato nei casi in cui un file viene acquisito esclusivamente da qualche applicazione o servizio ed è impossibile eliminarlo o trasferirlo con mezzi ordinari. Esempio di utilizzo:

Movefile.exe "C:\Documents And Settings\utente\Impostazioni locali\TEMP\svchost.exe" C:\virus\svchost.ex_

L'operazione di trasferimento dei file viene in realtà effettuata dal gestore sessioni di Windows (Session Manager SMSS.EXE), che, durante il processo di avvio del sistema, legge dalla chiave di registro i comandi di ridenominazione ed eliminazione registrati dall'utility MoveFile
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations .
Una volta completato il trasferimento, questa chiave di registro verrà eliminata. Per visualizzare i trasferimenti pianificati dall'utilità MoveFile, è possibile utilizzare l'utilità PendMoves dalla suite Sysinternals.

PageDefrag (pagedfrg.exe) in popolarità per molti anni è stato al 4-5 posto tra le utilità di Sysinternals. Consente di aumentare le prestazioni del sistema deframmentando i file di registro (file SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT nella directory \windows\system32\config), i registri di sistema (nella stessa directory) e il file di paging (pagefile.sys).

Dopo il lancio, l'utilità visualizza un elenco di file che possono essere elaborati e il grado della loro frammentazione.

Per la deframmentazione viene utilizzato un servizio di sistema creato dall'utilità. pgdfgsvc.exe e, come nel caso dell'utilità SpostaFile, - Gestione sessioni di Windows ( SMSS.EXE(abbreviazione di Session Manager Subsystem Service) - sottosistema di gestione delle sessioni in Windows). Il gestore della sessione elabora la chiave di registro durante l'avvio del sistema
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
Questa chiave contiene informazioni sui programmi che devono essere eseguiti dal gestore SMSS.EXE durante il processo di avvio di Windows. Quelli standard sono controllori del file system. L'utilità aggiunge comandi a questa chiave per avviare il servizio pgdfgsvc e, di conseguenza, la deframmentazione dei file di sistema, eseguita prima che siano necessari per la distribuzione del sistema. Se necessario, puoi annullare la deframmentazione, eseguirla una volta o impostare la modalità per l'esecuzione a ogni avvio di Windows.

PageDefrag può essere eseguito in modalità console, regolando le impostazioni utilizzando i parametri della riga di comando.

deframmentazione pagine [-e | -o | -n] [-t]

-e- Deframmentazione ad ogni avvio
-o- Deframmentazione una tantum
-N- annullare la deframmentazione
-T- Conto alla rovescia in secondi prima dell'avvio della deframmentazione

Esempi:

pagedefrag -e -t 10- eseguire la deframmentazione ad ogni avvio e impostare la modalità di attesa su 10 secondi per annullare l'esecuzione quando l'utente preme un tasto qualsiasi.

Eseguire una deframmentazione una tantum al successivo riavvio del sistema.

Annulla una deframmentazione precedentemente pianificata.

Utilità della suite Sysinternals per lavorare con la rete.

ADRestore

ADRestore consente di visualizzare l'elenco oggetti remoti Active Directory (AD) e, se necessario, ripristinare quelli selezionati. Per ottenere aiuto, utilizzare la chiave /? . Se avviata senza parametri, l'utilità visualizza un elenco di oggetti AD contrassegnati come eliminati.

Esempi:

adrestore > C:\adodel.txt- visualizzare un elenco di tutti gli oggetti AD contrassegnati come eliminati nel file C:\adodel.txt
adrestore.exe laserjet- visualizzare un elenco di oggetti AD eliminati il ​​cui nome contiene la stringa "laserjet"
adrestore -r
adrestore -r- visualizzare l'elenco degli oggetti AD con richiesta di ripristino.

Utilità per monitorare lo scambio di dati tra client e server tramite protocollo LDAP. Molto utile per trovare ragioni per un funzionamento anomalo di servizi e applicazioni in un ambiente Active Directory, tenere traccia delle autorizzazioni, trovare ragioni per scarse prestazioni e semplicemente per studiare il meccanismo di interazione degli oggetti AD.

È disponibile una guida integrata per lingua inglese. Clic fare clic con il tasto destro per riga di evento ti consente di richiamare un menu contestuale che ti consente di ottenere breve descrizione le proprietà dell'evento, il nome e il percorso del processo ad esso associato, passano all'evento precedente o successivo fallito. Le informazioni vengono visualizzate sotto forma di colonne, la cui composizione può essere modificata

I filtri per la ricerca e l'evidenziazione degli eventi vengono utilizzati allo stesso modo della maggior parte delle utilità Sysinternals con guscio grafico. Con le impostazioni predefinite, le righe evidenziate in rosso si riferiscono agli eventi completati con un errore. Il menu contestuale consente inoltre di richiamare un altro programma della Suite Sysinternals direttamente dall'ambiente ADInsight - Active Directory Explorer ADExplorer, utilizzato per visualizzare la struttura dei dati AD ed è simile all'utilità per funzionalità e interfaccia utente ADSIModifica da Microsoft.

TCPView

TCPView- si colloca costantemente tra le prime dieci utilità più popolari nella suite Sysinternals. Utilizzato per visualizzare un elenco di tutte le connessioni stabilite nel sistema da Protocolli TCP e UDP con dati dettagliati, inclusi locali e indirizzi remoti e lo stato della connessione TCP. Su Windows XP e sistemi operativi precedenti, TCPView visualizza anche il nome del processo proprietario del file questa connessione. In un certo senso, TCPView è un complemento utilità standard Sistema operativo Windows Netstat.exe, ma oltre a presentare i dati di connessione in una forma comoda, ti consente di eseguire azioni aggiuntive- terminare una connessione specifica, terminare il processo che ha creato la connessione e determinare il nome dell'host coinvolto nella connessione.

Il menu contestuale del tasto destro consente di eseguire determinate azioni sulla connessione selezionata:

Proprietà del procedimento- visualizzare le proprietà del processo associato a questa connessione. Vengono visualizzati il ​​nome del processo, la versione, il nome e il percorso del file eseguibile.

Fine del processo- terminare il processo associato a questa connessione.

Chiudi connessione- termina forzatamente la connessione selezionata.

Chi è- eseguire una richiesta per ottenere dati sul nodo che partecipa a questa connessione.

copia- copia le informazioni di questa riga negli appunti.

Utilizzando il menu principale del programma, puoi salvare i dati su tutte le connessioni correnti in file di testo(menù File - Salva). Come parte della suite Sysinternals, eccetto Programmi TCPView esiste una versione per console Tcpvcon con la stessa funzionalità.

Utilità della suite Sysinternals per l'analisi delle informazioni sui processi.

Utilità di tracciamento dei punti avvio automatico programmi. Un articolo sugli Autorun è pubblicato nella sezione "Sicurezza".
- un'utilità per monitorare l'attività del processo in Windows (utilizzo della memoria, utilizzo del processore, accesso a file e registro, attività di rete, ecc.).
- un'utilità per monitorare l'utilizzo delle risorse di sistema da parte dei singoli processi.
PSTools: un insieme di utilità da riga di comando per avvio remoto applicazioni (PSExec), ottenere un elenco di processi su un computer locale o remoto (PSList), forzare il completamento delle attività (Pskill), gestire servizi (PSService). Inoltre, PsTools include utilità per riavviare o spegnere i computer, visualizzare i registri degli eventi, cercare gli utenti che hanno effettuato l'accesso alla rete e molto altro.

ElencoDLL

ElencoDLL- un'utilità della riga di comando per ottenere un elenco di DLL utilizzate dai singoli processi. Quando viene avviato senza parametri, sullo schermo viene visualizzato un elenco di tutti i processi e tutte le librerie caricate. Un suggerimento su come utilizzare l'utilità può essere ottenuto utilizzando la chiave /? . Formato della riga di comando:

listdlls [-r] [-v | -u]
O
listdlls [-r] [-v] [-d nomedll]

nome del processo- il nome (o parte del nome) del processo per il quale si desidera visualizzare l'elenco delle DLL caricate.
pid- identificatore del processo per il quale si desidera visualizzare l'elenco delle DLL caricate.
-d nomedll- nome della DLL.
-R visualizzare le DLL che vengono spostate perché non caricate indirizzo di base
-u- visualizzare solo i moduli che non ne hanno firma digitale.
-v- visualizzare la versione DLL.

Esempi di utilizzo:

listdlls- visualizzare un elenco di tutti i processi e tutte le DLL caricate

le listdll vincono- visualizzare un elenco di DLL per tutti i processi il cui nome inizia con la stringa "win"

listdlls winlogon- visualizzare un elenco di DLL utilizzate dal processo winlogon

listdlls 495- visualizzare un elenco di DLL utilizzate dal processo con numero identificativo PID=495

listdlls -d ntdll.dll- visualizzare un elenco di processi che utilizzano la libreria ntdll.dll

Maniglia

Maniglia- un'utilità della riga di comando per visualizzare informazioni sui descrittori aperti (handle) per qualsiasi processo nel sistema. Ti consente di vedere quali programmi hanno aperto il file, con quali diritti di accesso, tipi di oggetti e nomi dei descrittori di programma e anche, se necessario, chiudere forzatamente il file tramite il suo numero di descrittore. Quando viene avviato senza parametri, viene visualizzata la schermata lista completa gestisce tutti i file attualmente aperti. Un suggerimento su come utilizzare il programma può essere ottenuto inserendo la chiave /? . Formato della riga di comando:

gestire [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-UN- visualizzare informazioni su tutti i descrittori.
-C- chiudi il file con numero specificato descrittore. Tieni presente che la chiusura forzata di un file potrebbe causare incidente processo o perdita di dati.
-y- non richiedono conferma alla chiusura di un descrittore di file.
-S- banchi espositivi per ogni tipologia di maniglia aperta.
-u- visualizzare il nome dell'utente nel contesto del cui account viene aperto il file.
-P- Visualizza gli handle aperti dal processo con nome specificato(parte del nome). o PID

Esempi di utilizzo:

maniglia | Di più- visualizzare un elenco di tutti gli handle aperti di tutti i processi in modalità di visualizzazione pagina per pagina.
gestire -p winlogon- visualizza un elenco di handle di file aperti dal processo denominato winlogon
handle -p winlogon > C:\winlogonh.txt- come nel caso precedente, ma con reindirizzamento dell'output nel file C:\winlogonh.txt
gestire -u- Elenca tutti i descrittori di file di tutti i processi, mostrando l'account associato al processo.
handle -u utente1- visualizza un elenco di handle di file aperti nel contesto dell'account utente denominato "utente1"
maniglia -s- visualizzare i contatori per ciascuna tipologia ed il numero totale di descrittori aperti.

Utilità di sicurezza della suite Sysinternals.

Le utilità di sicurezza includono anche programmi per determinare i punti di avvio automatici (Autoruns), monitorare i processi (ProcMon), controllare i diritti di accesso alle risorse di sistema, ecc. Ma, in aggiunta, il pacchetto Sysinternals Suite include un'utilità il cui scopo principale è rilevare i rootkit (rootkit) quando il sistema è infetto da virus che implementano meccanismi speciali per nascondere la loro presenza nel sistema.

Il termine "rootkit" in relazione a spyware, trojan e altri software dannosi significa che, per nasconderne la presenza programmi antivirus, viene utilizzata l'intercettazione funzioni del sistema e correggere i risultati della loro esecuzione in modo che non sia possibile rilevare alcuni file, directory e le connessioni di rete creato dal malware. Ad esempio, quando si richiede un elenco di file in una directory, le informazioni sul file del virus stesso potrebbero essere rimosse dai risultati. In realtà, un file di questo tipo è presente nel file system, ma per il software che lo utilizza Funzioni dell'API, intercettato dal virus, è invisibile. I programmi rootkit sono suddivisi in diverse classi a seconda della loro capacità di rimanere operativi dopo il riavvio del computer e del tipo di avvio (in modalità utente o modalità kernel). Ma la caratteristica principale dei rootkit è l'intercettazione e la correzione dei risultati delle chiamate di sistema.

Il principio di funzionamento si basa sull'utilizzo di caratteristiche standard Interfacce API per il file system e il registro, routine proprie che implementano le stesse funzioni. L'incoerenza nei risultati ottenuti può indicare la presenza di un programma rootkit. RootkitRevealer esegue la scansione del registro e del file system quando viene premuto un pulsante Scansione e visualizza i risultati del suo lavoro nella finestra principale.

    Sentiero- percorso del file o chiave di registro.
Timestamp- Tempo di modifica.
Misurare- misurare
Descrizione- descrizione dell'evento - segno della possibile presenza di un rootkit nel sistema.

Il programma non esegue alcuna operazione di rimozione dei virus né punta a specifici file malware. L'utente deve trarre una conclusione sulla propria presenza analizzando i risultati della scansione.

Prima di tutto, dovresti diffidare dei file e delle chiavi di registro che si trovano sul campo Descrizione) c'è una descrizione dell'evento "Nascosto da API di Windows" - nascosto dall'API di Windows. Nella stragrande maggioranza dei casi, la riga del risultato della scansione indica la presenza di un rootkit, poiché solitamente solo i file di servizio relativi al file system NTFS (i cui nomi iniziano con il segno) sono nascosti all'API di Windows. $ - $BitMap, $BadClus, $MFT, ecc.) Durante la scansione, è possibile disattivare la visualizzazione degli eventi associati ai file di servizi nascosti standard utilizzando il menu Opzioni- selezionare la casella Nascondi file di metadati NTFS standard. Inoltre, è necessario tenere presente che alcuni antivirus nascondono i propri file dall'API di Windows allo stesso modo di malware e ogni riga della scansione risulta con un segno Nascosto dall'API di Windows richiede un'analisi aggiuntiva: in quale directory si trova? file nascosto, nome, estensione, dimensione, ora di modifica. Nell'esempio di scansione riportato sopra, nascosti all'API di Windows ci sono file con estensione .sys, situati nella directory dei driver (C:\Windows\system32\drivers) e con dimensioni di decine di kilobyte: questi sono i driver rootkit.

Altro possibili descrizioni eventi in campo Descrizione potrebbe trattarsi di un falso allarme e indicare che l'esecuzione di qualche funzione API si è conclusa con un risultato sospetto. Ciò è solitamente causato dal fatto che durante il processo di scansione in un ambiente Windows multitasking, uno dei programmi ha modificato i dati da scansionare oppure che un software legittimo utilizza metodi specializzati simili a quelli utilizzati dai creatori di virus.

Il nome della chiave contiene valori null incorporati- il nome della chiave di registro contiene spazi, che possono rendere tale chiave invisibile all'editor di registro standard.

Mancata corrispondenza dei dati tra l'API di Windows e i dati hive non elaborati- discrepanza tra i dati della chiave di registro ottenuti utilizzando l'API di Windows e i dati effettivi dell'hive del registro. Potrebbe essere causato da una modifica nei dati del registro verificatasi durante il processo di scansione.

Accesso negato- L'accesso è negato. In pratica, tale descrizione si verifica quando nel sistema sono installati strumenti di emulazione di unità CD/DVD (Alcohol 120, Strumenti del demonio), Alcuni prodotti antivirus utilizzando il driver SPTD.SYS.

Bisogna tenere presente che RootkitRevealer esegue una scansione da una copia di se stesso con un nome di file casuale, lanciata come Servizio Windows. Questo tipo di avvio rende difficile il rilevamento di virus e terminazione forzata procedure di scansione. Pertanto, la presenza di un processo con un nome oscuro durante l'esecuzione di RootkitRevealer è normale, ma ci sono casi in cui un virus blocca l'avvio di un programma, ad esempio, con il nome "RootkitRevealer". In questo caso, il programma semplicemente non si avvia, il che, tra l'altro, è già un segno molto significativo della presenza di un virus nel sistema. In questo caso puoi semplicemente rinominare il file eseguibile o, meglio ancora, copiarlo nella directory corrente con un altro nome casuale.

È possibile eseguire RootkitRevealer con parametri sulla riga di comando:

rootkitrevealer [-a] [-c] [-m] [-r]

-UN- scansiona e completa automaticamente.
-C- generare risultati di scansione in formato CSV
-M- scansiona i metadati NTFS
-R- non eseguire la scansione del registro di Windows
logfile- nome e percorso del file in cui registrare i risultati della scansione.

Esempio di lancio:

rootkitrevealer -a C:\RootkitRevealer.log- eseguire una scansione e scrivere nel file C:\RootkitRevealer.log e completare.

Suite Sysinternals– una serie di utilità gratuite per la diagnosi del sistema operativo. Questo pacchetto include sia strumenti per la risoluzione di problemi minori, sia strumenti per aiutare a pulire il sistema operativo dai detriti, controllare la presenza di errori sul disco, ecc. Questo pacchetto è completamente compatibile con i sistemi operativi della famiglia Windows, perché è stato sviluppato con la partecipazione diretta Microsoft. Il pacchetto include circa 60 diverse utilità per lavorare con il sistema. Questa è una delle soluzioni più popolari per mantenere il sistema operativo in condizioni eccellenti, perché nel tempo si accumula spazzatura nel registro e in altri luoghi che devono essere puliti. Inoltre, è necessario controllare periodicamente la presenza di errori sul disco e deframmentarlo. Il pacchetto affronta questi e molti altri compiti Suite Sysinternals. Il programma ha un'interfaccia semplice, è facile da installare e ha la localizzazione russa, il che rende più semplice lavorarci. Inoltre, il programma è di piccole dimensioni, il che ne consente l'inserimento su quasi tutti i supporti. Anche su una piccola unità flash. Inoltre, Sysinternals Suite è costantemente aggiornata. L'elenco delle utilità incluse nel programma aumenta di volta in volta. Tuttavia, ciò non riduce né la velocità del programma né la facilità d'uso.

- Possibilità di diagnosticare gli errori del sistema.
- Consente di deframmentare il registro.
- Esiste un'utilità che ti consente di bypassare la protezione tramite password del sistema.
- Permette di monitorare tutte le attività del processo.
- Esiste un'utilità che monitora tutte le azioni nel file system.
- Requisiti di sistema bassi.
- La comoda struttura semplifica la ricerca dell'utilità di cui hai bisogno.
- Il pacchetto ne comprende circa 60 vari programmi, in un modo o nell'altro influenzando il lavoro con il sistema.
- Taglia piccola pacchetto.

Svantaggi del programma