Utilități de la Sysinternals. Programe de fișiere și de disc

    Instrumentele Sysinternals sunt un set programe gratuite pentru administrarea și monitorizarea computerelor care rulează sisteme de operare Windows. Inițial Programe Sysinternals(Winternals) au fost dezvoltate de companie Winternals Software LP sub conducerea a doi dezvoltatori - Mark Russinovici și Bryce Cogswell. În iulie 2006, Microsoft a achiziționat Winternals Software LP și toate produsele sale. Site-ul web Sysinternals s-a mutat acum pe portalul web Microsoft și a devenit parte a Microsoft TechNet. Microsoft Technet include acum o secțiune Windows Sysinternals de unde puteți descărca un set complet de utilitare Costum pentru Sysinternals sub forma unei arhive, sau utilitati separate din compoziția sa.

În prezent, pachetul Instrumente Windows Sysinternals pot fi folosite chiar și fără descărcare pe calculator local datorită capacității de a partaja o resursă Sysinternals Live, care poate fi montată ca unitate de rețea alocată, de exemplu, litera R:

net use R:\\live.sysinternals.com\tools

Cu o unitate de rețea, desigur, viteza de schimb de date este mult mai mică decât cu una locală, dar poți lucra cu ea fără probleme, ca și cu una obișnuită. disc local, inclusiv pe linia de comandă. Deci, de exemplu, echipa

porniți R:\autoruns.exe

Utilitate autoruns.exe poate fi lansat într-o fereastră separată. Astfel, fiind în orice loc unde există acces la Internet, poți folosi cel mai funcțional și eficient set de instrumente pentru Windows - Sysinternals Suite.

    Cele mai multe utilitare Sysinternals Suite necesită privilegii administrative pentru a obține funcționalitatea completă. Pentru sistemele de operare din familia Windows 2000/XP, este suficient ca utilizatorul să lucreze sub un cont ca membru al grupului Administratori. În mediul sistemului de operare Windows Vista/Windows 7, este necesar să lansați utilitățile folosind elementul din meniul contextual „Run as administrator”. Fișiere lot care folosesc utilitati Linie de comanda, trebuie să fie rulat și în contextul unui cont cu privilegii de administrator.

Punga de plastic Suita Sysinternals include câteva zeci utilitati mici, atât consolă, cât și interfață grafică, dintre care multe sunt cunoscute pe scară largă printre administratorii de sistem și utilizatorii avansați - pachetul software PSTools, Process Monitor, utilitare de monitorizare Autoruns, Process Explorer, anti-rootkit RootkitRevealer etc. Multe dintre ele sunt discutate în articole separate, link-uri către care pot fi găsite la pagina principala site în secțiune Windows. Pachetul Sysinternals Suite este actualizat de mai multe ori pe an, compoziția sa se poate modifica - versiunile programului se modifică, unele utilități sunt eliminate, unele sunt adăugate, dar setul principal există de mai bine de zece ani, ceea ce indică cererea sa în rândul administratorilor și utilizatorilor competenți a sistemelor de operare din familia Windows. Parametrii liniei de comandă ai utilităților consolei și interfața grafică cu utilizatorul pentru majoritatea programelor sunt foarte asemănătoare, ceea ce facilitează foarte mult utilizarea lor practică.

Utilitare Sysinternals Suite pentru lucrul cu fișiere și discuri

AccessChk

Acceschk- un utilitar de consolă pentru vizualizarea drepturilor de acces ale utilizatorilor la fișiere, directoare, chei de registry și chei, procese și fire.

accesschk -u utilizator1 -c MpsSvc -v- afișează drepturile utilizatorului utilizator1în legătură cu serviciul MpsSvc (Firewall Windows 7. Permiteți-mi să vă reamintesc că în Mediul Windows Utilitarul Accesschk Vista/Windows 7 trebuie rulat ca administrator). Cheie -vînseamnă rezultate detaliate. Dacă această cheie nu este specificată, atunci drepturile utilizatorului sunt indicate prin simboluri R(Citeste si W(Scrie). Afişa Rînseamnă permisiunea de a vizualiza starea (Query_Status), configurația (Query_Config) și pornirea (Service_Start) a serviciului. Wînseamnă că aveți dreptul de a modifica configurația și starea unui serviciu. Combinaţie RWînseamnă că toate acțiunile valide ale serviciului sunt disponibile. (Service_All_Access). Dacă se dă cheia -v apoi în loc de simboluri RȘi W R afișează o descriere a drepturilor de acces, cum ar fi Service_All_Access- permis acces complet

accesschk -c MpsSvc -w -v- afișați o listă de conturi care au drepturi de acces complete (tasta -w) la serviciu MpsSvc.

accesschk -u utilizator1 -c * -w -v- afișează o listă de servicii la care user1 are acces complet.

accesschk -u user1 -k hklm\security- afișați drepturile de acces ale user1 la subsecțiunile secțiunii HKLM\SECURITATE registru

accesschk -u user1 -k hklm\security -d- comutatorul -d înseamnă procesarea doar la nivelul superior (director Sistemul de fișiere sau cheie de registry)

accesschk -u utilizator1 C:\Utilizatori -d- afișați drepturile utilizatorului 1 în raport cu directorul C:\Utilizatori

accesschk -u user1 C:\Utilizatori- afișați drepturile utilizatorului1 în legătură cu subdirectoarele din directorul C:\Users

accesschk C:\Utilizatori -w- afișați o listă de conturi care au acces complet la directorul C:\Users

accesschk -u user1 -p wininit -v- afișați drepturile utilizatorului1 în legătură cu proces wininit

Din păcate, utilitarul accesschk nu știe (cel puțin la momentul scrierii, nu știa cum) să lucreze cu numele conturilor, serviciilor și directoarelor care conțin caractere ale alfabetului rus.

AccessEnum

AccessEnum- un utilitar pentru vizualizarea drepturilor de cont în legătură cu elementele sistemului de fișiere și Registrul Windows.

CacheSet

Utilitate CacheSet este o aplicație care vă permite să gestionați parametrii setului de lucru din memoria cache a fișierelor de sistem. Folosit pentru selecție parametrii optimiși creșterea vitezei și stabilității computerului dvs. Prin modificarea minimului și valorile maxime dimensiunea cache de lucru, puteți obține o anumită creștere a performanței sistemului.

Setarea unor noi valori minime și maxime are loc atunci când apăsați butonul aplica. Buton Resetați vă permite să returnați valorile minime și maxime ale dimensiunii cache care au fost setate la momentul lansării utilitarului.

Contig

Contig- un utilitar de linie de comandă pentru creșterea performanței sistemului prin defragmentarea fișierelor individuale, utilizate frecvent. Convenabil de utilizat pentru defragmentarea fișierelor mașinii virtuale, imagini ISO pe unități flash bootabile folosind un bootloader Grub, care poate necesita un fișier imagine nefragmentat pentru a defragmenta unele fișiere care sunt citite frecvent de pe disc.

Contig.exe /?- emite ajutor la utilizarea utilitarului.

Contig.exe -a E:\SonyaLiveCD.iso- analizați fragmentarea fișierului E:\SonyaLiveCD_15.10.2010.iso

Contig.exe E:\SonyaLiveCD_15.10.2010.iso- defragmentați fișierul specificat.

Contig.exe -a -s C:\windows\*.exe- analizați toate fișierele cu extensia exeîn directorul C:\Windows și subdirectoarele acestuia (cheia -s)

Contig.exe C:\windows\system32\*.exe- defragmentați toate fișierele cu extensia exeîn directorul de sistem C:\Windows\System32

Performanță crescută a sistemului cu utilizare țintită Contig.exeîn general mai mare decât ceea ce se poate obţine prin folosire mijloace standard Defragmentarea Windows.

Disk2vhd

Utilitate Disk2vhd folosit pentru a crea virtuale hard disk format VHD virtual Aparatele Microsoft(Virtual Hard disk- Formatul discului Microsoft Virtual Machine) pe baza datelor disc fizic masina adevarata. Operația de creare a unui disc de mașină virtuală poate fi efectuată direct în mediul OS care rulează. Interfața grafică cu utilizatorul a programului Disk2vhd vă permite să selectați oricare dintre următoarele pentru conversie: unități logice computer realși convertiți-l în disc virtual, care poate fi folosit pentru a lucra într-un mediu de mașină virtuală Microsoft Virtual PC.

DiskMon

DiskMon- vă permite să monitorizați operațiunile I/O pentru hard disk-uriîn mediul sistemelor de operare din familia Windows. Programul poate fi folosit și ca indicator de acces la software hard disk-uri- când este minimizată, este afișată pictograma de pe bara de activități verdeîn timpul unei operații de citire a discului și roșu în timpul unei operațiuni de scriere.

Fereastra principală a programului afișează numărul discului din sistem (coloana Disc), tipul operațiunii (coloana Cerere), numărul sectorului de pe disc care a fost accesat (coloana Sector) și dimensiunea câmpului de date (Coloana lungă). Dacă este necesar, determinați cu ce fișier sectorul număr specific, poți să folosești utilitarul consolei NFI.EXE (utilitatea de informații despre sectorul fișierelor NTFS) din pachetul Microsoft Support Tools.
Format linie de comandă
Numărul sectorului discului nfi.exe
nfi.exe C: 655234- afișați numele fișierului care deține sectorul 655234
nfi.exe C: 0xBF5E34- la fel, dar numarul sectorului este specificat in sistem hexazecimal socoteala
Ca urmare a executării comenzii, va fi afișat un mesaj

***Sectorul logic 12541492 (0xbf5e34) de pe unitatea C se află în fișierul numărul 49502.
\WINDOWS\system32\D3DCompiler_38.dll

Acestea. Sectorul care ne interesează aparține fișierului D3DCompiler_38.dll din directorul Windows\system32.

DiskView

Program DiskView vă permite să intrați grafic card de utilizare spatiu pe disc:

Selectarea unui disc de vizualizat se face în câmp Volum partea de jos a ferestrei programului. După selectarea unității și apăsarea butonului Reîmprospăta programul scanează și afișează o hartă a locației fișierelor și directoarelor. Fereastra de jos afișează un fel de scară a locației datelor relativ la începutul discului. Culoarea zonei se potrivește trasaturi caracteristice grupurile de cluster afișate. Pentru ajutor cu codificarea culorilor, puteți folosi meniul Ajutor - Legendă. . .:

Primul grup al fragmentului- culoarea clusterului inițial din lanț.
Cluster de fișiere contiguu- clusterul aparține unui fișier continuu (nu fragmentat).
Cluster de fișiere ftagmentate- clusterul aparține fișierului fragmentat.
Cluster de fișiere de sistem- cluster-ul aparține fișierului de sistem
Cluster nefolosit- clusterul aparține spațiului liber
Cluster neutilizat în zona MFT- cluster liber în zona MFT a cuprinsului discului
Cluster de fișiere evidențiate de utilizator- clusterul aparține fișierului selectat de utilizator.

ÎN fereastra de sus este afișată o hartă mai detaliată a locației datelor. Bara de defilare vă permite să selectați zona de afișare. Selectarea oricărui punct al spațiului pe disc cu indicatorul din fereastra de jos face ca o hartă de cluster pentru secțiunea selectată a sistemului de fișiere să fie afișată în fereastra de sus. Pentru a schimba nivelul de detaliu al hărții, utilizați butonul Zoomîn partea de jos a ferestrei principale a programului. Făcând clic pe harta cluster din fereastra de sus, se va afișa numele fișierului în câmp A evidentiaşi evidenţierea grupului de clustere corespunzător acestuia cu culoare. Dublu clickîn câmpul clusterelor afișate, în fereastra de sus, se deschide fereastra de proprietăți:

Pentru a afișa gradul de utilizare a discului și informații despre numărul de fișiere și fragmente, utilizați meniul „Fișier” - „Statistici”

D.U.

du.exe- utilitar de linie de comandă pentru determinarea statisticilor privind utilizarea spațiului pe disc în directoarele de fișiere sisteme Windows. Pentru a obține o listă de chei, puteți rula du.exe fără parametri sau cu parametrul /? . Exemple de utilizare a utilitarului:

du.exe C:\- afișarea informațiilor despre utilizarea directorului rădăcină al unității C: - numărul de fișiere, subdirectoare și dimensiunea spațiului de disc ocupat.

FileMon

FileMon(File Monitor) este un utilitar pentru monitorizarea în timp real a întregii activități a sistemului de fișiere. Vă permite să determinați ce procese accesează fișierele și directoarele, care operațiuni sunt efectuate pe ce obiecte de către sistemul de fișiere. Utilitarul FileMon a fost acum înlocuit de Monitor de proces (ProcMon). O descriere detaliată și procedura de utilizare a ambelor programe sunt oferite în articole separate:

Folosind aceste utilitare, puteți determina cu ușurință lista de resurse de fișiere utilizate de aplicație, găsiți fișierele de configurare, determinați cauzele blocărilor sau a altor probleme asociate cu utilizarea fișierelor și directoarelor Windows.

MoveFile

MoveFile vă permite să ștergeți sau să mutați un fișier data viitoare când transferați pornind Windows. Este folosit în cazurile în care un fișier este capturat exclusiv de o aplicație sau serviciu și este imposibil să îl ștergeți sau să îl transferați prin mijloace obișnuite. Exemplu de utilizare:

Movefile.exe „C:\Documents And Settings\user\Local Settings\TEMP\svchost.exe” C:\virus\svchost.ex_

Operația de transfer de fișiere este de fapt efectuată de managerul de sesiune Windows (Session Manager SMSS.EXE), care, în timpul procesului de pornire a sistemului, citește comenzile de redenumire și ștergere înregistrate de utilitarul MoveFile din cheia de registry.
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations .
După finalizarea transferului, cheia dată registrul va fi șters. Pentru a vizualiza transferurile programate de utilitarul MoveFile, puteți utiliza utilitarul PendMoves din Sysinternals Suite.

PageDefrag (pagedfrg.exe)în popularitate de mulți ani, a fost pe locul 4-5 printre utilitățile de la Sysinternals. Vă permite să creșteți performanța sistemului prin defragmentarea fișierelor de registry (SISTEM, SOFTWARE, SAM, SECURITY, DEFAULT în directorul \windows\system32\config), a jurnalelor de sistem (în același director) și a fișierului de pagină (pagefile.sys).

După lansare, utilitarul afișează o listă de fișiere care pot fi procesate și gradul de fragmentare a acestora.

Pentru defragmentare, utilitarul creat de serviciul de sistem pgdfgsvc.exe si, ca si in cazul utilitatii MoveFile, - Manager de sesiune Windows ( SMSS.EXE(abreviere pentru Session Manager Subsystem Service) - subsistemul de gestionare a sesiunii în Windows). Managerul de sesiune procesează cheia de registry în timpul pornirii sistemului
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
Această cheie conține informații despre acele programe care trebuie executate de managerul SMSS.EXE în timpul procesului de pornire Windows. Cele standard sunt verificatoare ale sistemului de fișiere. Utilitarul adaugă comenzi la această cheie pentru a porni serviciul pgdfgsvcși, în consecință, defragmentarea fișiere de sistem, executate înainte ca acestea să fie necesare pentru implementarea sistemului. Dacă este necesar, puteți anula defragmentarea, o puteți efectua o dată sau puteți seta modul să ruleze de fiecare dată când Windows pornește.

PageDefrag poate fi rulat în modul consolă, ajustând setările utilizând parametrii din linia de comandă.

pagedefrag [-e | -o | -n] [-t ]

-e- Defragmentare la fiecare boot
-o- Defragmentare unică
-n- anulați defragmentarea
-t- Numărătoare inversă în secunde înainte de începerea defragmentării

Exemple:

pagedefrag -e -t 10- efectuați defragmentarea la fiecare pornire și setați modul de așteptare la 10 secunde pentru a anula execuția atunci când utilizatorul apasă orice tastă.

Efectuați o defragmentare unică data viitoare când sistemul repornește.

Anulați o defragmentare programată anterior.

Utilitare Sysinternals Suite pentru lucrul cu rețeaua.

ADRestore

ADRestore vă permite să vizualizați o listă de obiecte șterse Director activ(AD) și, dacă este necesar, restabiliți-le pe cele selectate. Pentru a obține ajutor, folosiți cheia /? . Când este lansat fără parametri, utilitarul afișează o listă de obiecte AD marcate ca șterse.

Exemple:

adrestore > C:\adodel.txt- afișați o listă cu toate obiectele AD marcate ca șterse în fișierul C:\adodel.txt
adrestore.exe laserjet- afișați o listă de obiecte AD șterse al căror nume conține șirul „laserjet”
adrestore -r
adrestore -r- afișați o listă de obiecte AD cu o cerere de restaurare.

Utilitar pentru monitorizarea schimbului de date între client și server prin protocol LDAP. Foarte util pentru a găsi motive pentru funcționarea anormală a serviciilor și aplicațiilor într-un mediu Active Directory, urmărirea permisiunilor, găsirea motivelor pentru performanță slabă și pur și simplu pentru studiul mecanismului de interacțiune al obiectelor AD.

Există ajutor încorporat pentru Limba engleză. Clic Click dreapta prin linia de eveniment vă permite să apelați un meniu contextual care vă permite să obțineți scurta descriere proprietățile evenimentului, numele și calea procesului asociat cu acesta, mergeți la evenimentul anterior sau următor care a eșuat. Informațiile sunt afișate sub formă de coloane, a căror compoziție poate fi modificată

Filtrele pentru căutarea și evidențierea evenimentelor sunt utilizate în același mod ca în majoritatea utilitaților Sysinternals cu înveliș grafic. Cu setările implicite, liniile evidențiate cu roșu se referă la evenimente care s-au finalizat cu o eroare. Meniul contextual de asemenea, vă permite să apelați un alt program din Sysinternals Suite direct din mediul ADInsight - Active Directory Explorer ADExplorer, folosit pentru a vizualiza structura de date AD și este similar ca capabilități și interfață cu utilizatorul cu utilitarul ADSIEdit de la Microsoft.

TCPView

TCPView- se clasează în mod constant printre primele zece cele mai populare utilități din Sysinternals Suite. Folosit pentru a afișa o listă a tuturor conexiunilor stabilite în sistem de către protocoale TCPși UDP cu date detaliate, inclusiv locale și adrese de la distanțăși starea conexiunii TCP. Pe Windows XP și sistemele de operare mai vechi, TCPView afișează și numele procesului care deține conexiunea. Într-un fel, TCPView este un plus la utilitarul standard al sistemului de operare Windows. Netstat.exe, dar pe lângă prezentarea datelor de conexiune într-o formă convenabilă, vă permite să efectuați acțiuni suplimentare - întrerupeți o anumită conexiune, închideți procesul care a creat conexiunea și determinați numele gazdei care participă la conexiune.

Meniul contextual cu clic dreapta vă permite să efectuați anumite acțiuni pe conexiunea selectată:

Proprietăţile procedurilor- afișați proprietățile procesului asociat acestei conexiuni. Sunt afișate numele procesului, versiunea, numele și calea fișierului executabil.

Sfarsitul procesului- terminați procesul asociat acestei conexiuni.

Închideți conexiunea- opriți forțat conexiunea selectată.

Care este- execută o cerere de obținere a datelor despre nodul care participă la această conexiune.

Copie- copiați informațiile din această linie în clipboard.

Folosind meniul principal al programului, puteți salva date despre toate conexiunile curente în fisier text(meniul Fișier - Salvare). Ca parte a Sysinternals Suite, pe lângă programul TCPView, există o versiune pentru consolă Tcpvcon cu aceeași funcționalitate.

Utilitare Sysinternals Suite pentru analizarea informațiilor de proces.

Utilitar de urmărire a punctelor pornire automată programe. Un articol despre Autoruns este postat în secțiunea „Securitate”.
- un utilitar pentru monitorizarea activității procesului în Windows (utilizarea memoriei, procesorului, fișierelor și registrului, activitatea de rețeași așa mai departe.).
- un utilitar pentru monitorizarea utilizării resurselor sistemului de către procesele individuale.
PSTools - un set de utilitare de linie de comandă pentru lansarea de la distanță a aplicațiilor (PSExec), obținând o listă de procese pe local sau computer la distanță(PSList), încetarea forțată a sarcinilor (Pskill), managementul serviciului (PSService). În plus, PsTools include utilități pentru repornirea sau închiderea computerelor, afișarea jurnalelor de evenimente, căutarea utilizatorilor conectați la rețea și multe altele.

ListDLL-uri

ListDLL-uri- utilitar de linie de comandă pentru obținerea unei liste de folosite DLL-uri procese separate. Când este lansat fără parametri, pe ecran este afișată o listă cu toate procesele și toate bibliotecile încărcate. Un indiciu despre cum să utilizați utilitarul poate fi obținut folosind cheia /? . Format linie de comandă:

listdlls [-r] [-v | -u]
sau
listdlls [-r] [-v] [-d dllname]

numele procesului- numele (sau o parte a numelui) procesului pentru care doriți să afișați o listă de DLL-uri încărcate.
pid- identificatorul de proces pentru care doriți să afișați o listă de DLL-uri încărcate.
-d dllname- numele DLL-ului.
-r afișează DLL-urile care sunt mutate deoarece nu sunt încărcate la adresa lor de bază
-u- afișați numai acele module care nu au semnătură digitală.
-v- afișați versiunea DLL.

Exemple de utilizare:

listdll-uri- afișați o listă cu toate procesele și toate DLL-urile încărcate

listdlls câștigă- afișați o listă de DLL-uri pentru toate procesele al căror nume începe cu șirul „win”

listdlls winlogon- afișați o listă de DLL-uri utilizate de proces winlogon

listdlls 495- afișați o listă de DLL-uri utilizate de proces cu numărul de identificare PID=495

listdlls -d ntdll.dll- afișarea unei liste de procese care utilizează biblioteca ntdll.dll

Mâner

Mâner- un utilitar de linie de comandă pentru afișarea informațiilor despre descriptori (mânere) deschisi pentru orice proces din sistem. Vă permite să vedeți ce programe au deschis fișierul, cu ce drepturi de acces, tipuri de obiecte și nume de descriptori de program și, de asemenea, dacă este necesar, închideți forțat fișierul după numărul de descriptor. Când este lansat fără parametri, se afișează ecranul lista plina mânerele tuturor deschise pe acest moment fișiere. Un indiciu despre cum să utilizați programul poate fi obținut introducând cheia /? . Format linie de comandă:

mâner [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-A- afișați informații despre toți descriptorii.
-c- închideți fișierul cu numărul specificat descriptor. Vă rugăm să rețineți că închiderea forțată a unui fișier poate provoca o blocare a procesului sau pierderea datelor.
-y- nu necesită confirmare la închiderea unui descriptor de fișier.
-s- display contoare pentru fiecare tip de maner deschis.
-u- afișați numele utilizatorului în contextul căruia este deschis fișierul.
-p- manere de afișare deschise de proces cu numele specificat(parte a numelui). sau PID

Exemple de utilizare:

mâner | Mai mult- afișați o listă cu toate mânerele deschise ale tuturor proceselor în modul de afișare pagină cu pagină.
mâner -p winlogon- afișați o listă de descriptori de fișiere, deschis prin proces Cu nume winlogon
handle -p winlogon > C:\winlogonh.txt- la fel ca în cazul precedent, dar cu redirecționarea ieșirii către fișierul C:\winlogonh.txt
mâner -u- Listați toți descriptorii de fișiere ai tuturor proceselor, arătând contul asociat procesului.
handle -u user1- afișați o listă de mânere de fișiere deschise în contextul contului de utilizator numit „utilizator1”
mâner -s- afișați contoare pentru fiecare tip și numărul total de descriptori deschisi.

Utilitare de securitate Sysinternals Suite.

Utilitarele de securitate includ și programe pentru determinarea punctelor de pornire automate (Autoruns), monitorizarea proceselor (ProcMon), verificarea drepturilor de acces la resursele sistemului etc. Dar, în plus, pachetul Sysinternals Suite include un utilitar al cărui scop principal este detectarea rootkit-urilor (rootkit-urilor) atunci când sistemul este infectat cu viruși care implementează mecanisme speciale pentru ascunderea prezenței lor în sistem.

Termenul „rootkit” în legătură cu programele spion, troienii și alte programe rău intenționate înseamnă că interceptarea este folosită pentru a ascunde prezența acestuia de programele antivirus. funcțiile sistemuluiși corectarea rezultatelor execuției lor astfel încât să nu fie posibilă detectarea unor fișiere, directoare și conexiuni de retea creat de malware. De exemplu, atunci când se solicită o listă de fișiere dintr-un director, informațiile despre fișierul virusului însuși pot fi eliminate din rezultate. În realitate, un astfel de fișier este prezent în sistemul de fișiere, dar pentru software folosind funcții API interceptate de virus, este invizibil. Programele rootkit sunt împărțite în mai multe clase în funcție de capacitatea lor de a rămâne operaționale după repornirea computerului și de tipul de lansare (în modul utilizator sau în modul kernel). Dar caracteristica principală Rootkit-urile sunt interceptarea și corectarea rezultatelor apelurilor de sistem.

Principiul de funcționare se bazează pe utilizarea specificații standard Interfețe API pentru sistemul de fișiere și registry, rutine proprii care implementează aceleași funcții. Incoerența rezultatelor obținute poate indica prezența unui program rootkit. RootkitRevealer scanează registry și sistemul de fișiere atunci când este apăsat un buton Scaneazăși afișează rezultatele activității sale în fereastra principală.

    cale- calea fișierului sau a cheii de registry.
Timestamp-ul- Timp de modificare.
mărimea- mărimea
Descriere- descrierea evenimentului - un semn al posibilei prezențe a unui rootkit în sistem.

Programul nu efectuează operațiuni de eliminare a virușilor și nici măcar nu indică anumite fișiere malware. Utilizatorul trebuie să tragă o concluzie despre prezența sa analizând rezultatele scanării.

În primul rând, ar trebui să fiți atenți la fișierele și cheile de registry pentru care în câmp Descriere) există o descriere a evenimentului "Ascuns de API-ul Windows" - ascuns de API-ul Windows. În marea majoritate a cazurilor, linia rezultatului scanării indică prezența unui rootkit, deoarece de obicei numai fișierele de serviciu legate de sistemul de fișiere NTFS (ale căror nume încep cu semnul) sunt ascunse de API-ul Windows. $ - $BitMap, $BadClus, $MFT, etc.) La scanare, puteți dezactiva afișarea evenimentelor asociate fișierelor standard de servicii ascunse utilizând meniul Opțiuni- bifeaza casuta Ascundeți fișierele standard de metadate NTFS. În plus, trebuie să țineți cont de faptul că unele antivirusuri își ascund fișierele din API-ul Windows în același mod ca malware, iar fiecare linie de scanare rezultă cu un semn Ascuns de API-ul Windows necesită analize suplimentare - în ce director se află? fișier ascuns, numele, extensia, dimensiunea, timpul de modificare. În exemplul de scanare de mai sus, ascunse de API-ul Windows sunt fișiere cu extensia .sys, situate în directorul de drivere (C:\Windows\system32\drivers) și dimensiuni de zeci de kiloocteți - acestea sunt driverele rootkit.

Alte descrieri posibile de evenimente în câmp Descriere poate fi o alarmă falsă și indică faptul că execuția unei anumite funcții API s-a încheiat cu un rezultat suspect. Acest lucru este cauzat de obicei de faptul că în timpul procesului de scanare într-un mediu Windows multitasking, unul dintre programe a modificat datele scanate, sau software-ul legitim folosește metode specializate similare cu cele folosite de creatorii de viruși.

Numele cheii conține valori nule încorporate- numele cheii de registry conține spații, ceea ce poate face o astfel de cheie invizibilă pentru editorul de registry standard.

Nepotrivirea datelor între API-ul Windows și datele brute ale stupului- nepotrivire a datelor cheie de registry primite de la folosind Windows API și date reale ale stupului de registru. Poate fi cauzată de o modificare a datelor de registry care a avut loc în timpul procesului de scanare.

Acces interzis- Accesul este interzis. În practică, o astfel de descriere apare atunci când există instrumente de emulare a unităților CD/DVD instalate în sistem (Alcohol 120, Daemon Tools), unele produse antivirus folosind driverul SPTD.SYS.

Trebuie luat în considerare faptul că RootkitRevealer efectuează o scanare dintr-o copie a sa cu un nume de fișier aleatoriu, lansat ca serviciu Windows. Acest tip de pornire face dificilă detectarea de către viruși și încetarea forței proceduri de scanare. Prin urmare, prezența unui proces cu un nume obscur atunci când rulează RootkitRevealer este normală, dar există cazuri când un virus blochează lansarea unui program, de exemplu, cu numele „RootkitRevealer”. În acest caz, programul pur și simplu nu pornește, ceea ce, apropo, este deja un semn foarte semnificativ al prezenței unui virus în sistem. În acest caz, puteți pur și simplu redenumi fisier executabil, sau mai bine, copiați-l în directorul curent sub alt nume aleatoriu.

Este posibil să rulați RootkitRevealer cu parametrii pe linia de comandă:

rootkitrevealer [-a] [-c] [-m] [-r]

-A- scanează și completează automat.
-c- generați rezultatele scanării în format CSV
-m- scanează metadatele NTFS
-r- nu scanați registrul Windows
fișier jurnal- numele și calea fișierului pentru a înregistra rezultatele scanării.

Exemplu de lansare:

rootkitrevealer -a C:\RootkitRevealer.log- efectuați o scanare și scrieți în fișierul C:\RootkitRevealer.log și finalizați.

Un set indispensabil de utilități gratuite pentru întreținere și Gestionare Windows. Colectie Suita SysInternals conține mai mult de 120 instrumente gratuiteși aplicații. Utilitarele sunt concepute în principal pentru configurarea, optimizarea și testarea sistemului de operare Windows, precum și pentru lucrul cu aplicații terță parte. Suplimente incluse utilități utile pentru a diagnostica hardware-ul computerului de bază.

SysInternals Suite conține toate instrumentele utile pentru întreținerea și depanarea sistemului de operare Windows. Majoritatea utilităților au fost dezvoltate și întreținute de unul dintre cei mai cunoscuți angajați tehnici ai Microsoft, Mark Russinovich.

Utilitățile incluse în ansamblu sunt destinate în principal utilizatorilor de computere experimentați, deoarece mulți dintre ei au acces la setările ascunse ale sistemului și pot, dacă sunt manipulate incorect, să perturbe funcționarea Windows.

Unele dintre cele mai populare utilitare de sistem:

Process Explorer

Vă permite să controlați procesele active din sistem în toate modurile posibile. Vă permite să gestionați prioritățile de resurse pentru oricare dintre procesele afișate. Capacitatea de a închide complet procesul sau de a-l reporni din nou.

Autoruns

O aplicație foarte puternică pentru gestionarea autorunității. Definește și vă permite să controlați conexiunea driverelor, modulelor, serviciilor și altor componente în punctul în care pornește sistemul. Programul are un set mare de instrumente pentru monitorizarea și configurarea diverșilor parametri ai sistemelor de operare Windows.

Desktop-uri

Un program mic și util pentru crearea și gestionarea desktop-urilor virtuale. Acceptă crearea a până la 4 desktop-uri, care vă vor ajuta la distribuirea pictogramelor și a altor obiecte pentru o muncă mai convenabilă și mai funcțională.

Lista completă a utilităților incluse în Sysinternals Suite:

accesschk, accesschk64, AccessEnum, ADExplorer, ADInsight, adrestore, Autologon, Autoruns, Autoruns64, autorunsc, autorunsc64, Bginfo, Cacheset, Clockres, Clockres64, Contig, Contig64, Coreinfo, ctrl2cap, Desktop, diskt4v, diskt4v, Db, diskt4v DiskView, du, du64, efsdump, FindLinks, FindLinks64, handle, handle64, hex2dec, hex2dec64, jonction, jonction64, ldmdump, Listdlls, Listdlls64, livekd, livekd64, LoadOrd, LoadOrd64, LoadOrd64, LoadOrd64, LoadOrd64, LoadOrd64, LoadOrd64, LoadOrd64, LoadOrdC4 mută fișierul, mută fișierul64 , notmyfault, notmyfault64, notmyfaultc, notmyfaultc64, ntfsinfo, ntfsinfo64, pagedfrg, pendmoves, pendmoves64, pipelist, pipelist64, portmon, procdump, procdump64, procexp, procexp64, Procmon, Petsisdfile, PetsisdExec4 PsGetsid64, PsInfo, PsInfo64 , pskill, pskill64, pslist, pslist64, PsLoggedon, PsLoggedon64, psloglist, pspasswd, pspasswd64, psping, psping64, PsService, PsService64, psshutdown, pssuspend, pssuspend64, RegNullMap64, RegNullMap64, RegNullMatch, o RegNullMat64 ru, ru64, sdelete, sdelete64, ShareEnum, ShellRunas, sigcheck, sigcheck64, streams, streams64, strings, strings64, sync, sync64, Sysmon, Sysmon64, Tcpvcon, Tcpview, Testlimit, Testlimit64, vmmap, Volumeid, Winob.

Fiecare utilizator a visat la așa ceva cel puțin o dată în viață. set magic utilitare și programe pentru Windows, care vor conține tot ce aveți nevoie. Și astfel încât să nu trebuie să căutați și să testați fiecare program necesar pentru funcționarea de înaltă calitate a sistemului, verificați calitatea și altele asemenea. Și spre bucuria noastră a tuturor, a apărut un astfel de pachet. Acest Sysinternals Suite - un set universal de diverse utilități , ceea ce va face utilizarea computerului dvs. mai simplă și mai convenabilă datorită faptului că conține cele mai necesare programe pentru căutarea, detectarea și eliminarea tot felul de probleme de sistem.

Folosind Sysinternals Suite puteți efectua aproape orice sarcină pentru a vă întreține dispozitivul preferat - un computer sau laptop. Mai mult, indiferent dacă ești un programator sau un utilizator obișnuit - nu are nicio diferență, cu orice nivel de abilități de utilizare a PC-ului, îți vei da seama ce să faci. Gama de programe este atât de diversă încât indiferent de ceea ce decideți să faceți, Sysinternals Suite are un instrument pentru asta. Momentan setul include peste 70 de utilitati! Acestea sunt programe pentru creșterea securității, control autostart, instrumente pentru lucrul cu baze de date, instrumente pentru monitorizarea proceselor care rulează, instrumente pentru diagnosticare și lucru cu rețeaua și multe, multe altele!

Descărcați setul de utilitare Sysinternals Suite

Puteți descărca gratuit versiunea portabilă Sysinternals Suite a utilităților prin torrent de pe site-ul nostru, urmând linkul de mai jos. Aproape toate programele din set sunt în limba rusă, nu necesită activare și, de asemenea, nu necesită instalare. Tot ce trebuie să faceți este să descărcați pachetul Sysinternals Suite și să despachetați arhiva. Gama de programe este atât de vastă încât fiecare utilizator va găsi ceva util pentru el însuși. În plus, aș dori să remarc că în 2006 această dezvoltare a fost achiziționată de Microsoft Corporation și ei știu să vadă calitatea!

În primul rând, puțină istorie: acest produs, ca și site-ul său web, a fost dezvoltat în 1996, obiectivul a fost simplu - să combinați toate programele de servicii disponibile într-un singur loc, adică nu va trebui să descărcați separat toate dezvoltările de la Mark Russinovich. În iulie 2006, compania cunoscută de toată lumea ca Microsoft a decis să achiziționeze Sysinternals. Deci, dacă te hotărăști descărcați Sysinternals Suite din proiectul nostru, vei primi un numar mare de programe de service care vizează gestionarea, căutarea și eliminarea, precum și efectuarea unor diagnostice simple precum aplicatii individualeși sistemele de operare ale familiei Windows.

În general, toate utilitățile incluse pot fi împărțite în categorii, de exemplu, instrumente de rețea - aici puteți utiliza nu numai monitoare de conexiune, ci și să efectuați o analiză de securitate a diferitelor resurse, precum și să vizualizați prize active, în general, lista poate fi listat de mult timp, cred că vă veți da seama singur. Urmează categoria „Informații de sistem” - acestea sunt mici programe utilitare care vă vor ajuta să vizualizați și să personalizați utilizarea resursele sistemului. În special, puteți vedea programe care pornesc automat când Windows pornește, puteți vizualiza activitatea sistemului de fișiere în timp real, puteți determina ordinea în care sunt încărcate driverele și așa mai departe.

Sysinternals Suite ne oferă și software de securitate. Veți putea să vă configurați și să gestionați sistemul de securitate, veți avea și acces la un utilitar pentru căutarea și eliminarea rootkit-ului și există vânători de spyware. Veți putea vizualiza o listă de utilizatori care s-au autentificat, puteți vizualiza jurnalul de evenimente și așa mai departe. Urmează categoria „Procese și fire” - vă va permite să utilizați programe concepute pentru a determina sarcini care, la rândul lor, pot fi efectuate de anumite procese, precum și resursele pe care le consumă. Desigur, Sysinternals Suite vă va oferi utilități bune pentru a lucra hard disk-uriși fișiere.

Informația a fost preluată de pe site-ul oficial, în general, după despachetarea arhivei, veți vedea doar un set de utilități, plăcute interfața cu utilizatorul nu o veți obține cu categorii, așa că trebuie să înțelegeți exact de ce aveți nevoie. Înainte de a face acest lucru, vă recomand să intrați pe site-ul oficial și să vă uitați la toate categoriile despre care am scris și să decideți ce anume vă interesează. În general, sper să vă fie de folos pachetul de utilități de la Sysinternals Suite; de ​​fapt, este destul de extins, puteți găsi multe.

Dezvoltator: Microsoft
Licență: FreeWare
Limba: Engleză
mărimea: 23 MB
OS: Windows
Descarca.