Utilitare Sysinternals Suite. Utilități de la Sysinternals

Fiecare dintre utilizatori cel puțin o dată în viață a visat la așa ceva set magic utilitare și programe pentru Windows, care vor avea tot ce aveți nevoie. Și astfel încât să nu fie nevoie să căutați și să testați fiecare program necesar pentru funcționarea de înaltă calitate a sistemului, verificați calitatea și altele asemenea. Și spre bucuria noastră a tuturor, a apărut un astfel de pachet. Acest Sysinternals Suite - cel mai versatil set de diverse utilități , ceea ce va face utilizarea computerului mai ușoară și mai comodă datorită faptului că conține cel mai mult programele dorite pentru a găsi, detecta și elimina tot felul de probleme de sistem.

Folosind Sysinternals Suite puteți efectua aproape orice sarcină de întreținere pe dispozitivul dvs. preferat - un computer sau laptop. Și dacă ești un programator sau un utilizator obișnuit - nu contează, cu orice nivel de cunoștințe de PC, îți vei da seama ce să faci. Setul de programe este atât de divers încât orice ați decide să faceți, Sysinternals Suite are un instrument pentru asta. Pe acest moment setul contine peste 70 de utilitati! Acestea sunt programe pentru îmbunătățirea securității, controlul autorunității, instrumente de lucru cu baze de date, instrumente de monitorizare rularea proceselor, instrumente de diagnosticare și de rețea și multe, multe altele!

Descărcați Sysinternals Suite

Descărcați gratuit prin torrent un pachet unic Utilitare Sysinternals Puteți descărca versiunea portabilă Suite de pe site-ul nostru, urmând linkul de mai jos. Aproape toate programele din set sunt în limba rusă, nu necesită activare și nu necesită instalare. Tot ce trebuie să faceți este să descărcați pachetul Sysinternals Suite și să extrageți arhiva. Setul de programe este atât de extins încât fiecare dintre utilizatori va găsi ceva util pentru ei înșiși. În plus, aș dori să remarc că în 2006 această dezvoltare a fost cumpărată de Microsoft și ei știu să vadă calitatea!

În primul rând, puțină istorie: acest produs, ca și site-ul său, a fost dezvoltat în 1996, obiectivul a fost simplu - să combinați toate programele de servicii disponibile într-un singur loc, adică nu va trebui să descărcați separat toate dezvoltările de la Mark Russinovich. În iulie 2006, compania cunoscută de toată lumea ca Microsoft a decis să achiziționeze Sysinternals. Deci dacă te hotărăști descărcați Sysinternals Suite din proiectul nostru, veți primi un număr mare de programe de service care vizează gestionarea, căutarea și eliminarea, precum și efectuarea de diagnoze simple atât a aplicațiilor individuale, cât și a sistemelor de operare ale familiei Windows.

În general, toate utilitățile primite pot fi împărțite în categorii, de exemplu, instrumente de rețea - aici puteți utiliza nu numai monitoare de conexiune, ci și să analizați securitatea diferitelor resurse, precum și să vizualizați prize active, în general, lista poate fi listat de mult timp, cred că vă veți da seama singur. Urmează categoria „Informații de sistem” - acestea sunt mici utilități care vă vor ajuta să vizualizați și să vă personalizați utilizarea. resursele sistemului. În special, puteți vedea programe care pornesc automat când Pornire Windows, puteți vizualiza activitatea sistemului de fișiere în timp real, este posibil să determinați ordinea în care sunt încărcate driverele și așa mai departe.

Suita Sysinternals ne oferă și software de securitate. Veți putea să vă configurați și să gestionați sistemul de securitate și veți avea, de asemenea, acces la un utilitar de căutare și eliminarea rootkit-ului, există vânători de spyware. Veți putea vizualiza lista utilizatorilor care s-au autentificat, puteți vizualiza jurnalul de evenimente și așa mai departe. Urmează categoria „Procese și fire” - vă va permite să utilizați programe concepute pentru a determina sarcinile care, la rândul lor, pot fi efectuate de anumite procese, precum și resursele pe care le consumă. Desigur, Sysinternals Suite vă va oferi câteva utilitare bune pentru a lucra cu hard disk-uri și fișiere.

Informația a fost preluată de pe site-ul oficial, în general, după despachetarea arhivei, veți avea doar un set de utilități, o placă interfața cu utilizatorul nu o vei obține cu categorii, așa că trebuie să înțelegi exact de ce ai nevoie. Înainte de asta, vă recomand să intrați pe site-ul oficial și să vedeți toate categoriile despre care am scris și să decideți ce anume vă interesează. In general, sper ca pachetul de utilitati de la Sysinternals Suite sa va fie de folos, de fapt este destul de extins, puteti gasi multe.

Dezvoltator: Microsoft
Licență: software gratuit
Limba: Engleză
mărimea: 23 MB
OS: Windows
Descarca.

Pachetul de utilitare Sysinternals a fost împachetat într-un singur set de instrumente de depanare și depanare.




Afișează permisiunile pentru fișiere, chei de registry sau servicii Windows pentru un anumit utilizator sau grup de utilizatori.




mic dar program puternic pentru analiza de securitate. Afișează o listă de utilizatori și grupuri care au acces la fișiere, foldere și chei de registry, astfel încât să puteți căuta vulnerabilități în setările de permisiuni de acces.




Programul CacheSet vă permite să ajustați dimensiunea setului de lucru al managerului de cache folosind funcții NT native. Compatibil cu toate versiunile de NT OS.




Relevant defragmentare rapidă fișiere utilizate în mod regulat? Programul Contig vă permite să optimizați fisiere individualeși creați altele noi plasate în grupuri adiacente.




Afișează informații despre alocarea partițiilor pe discuri




Acest utilitar captează toate operațiunile de pe hard disk; în plus, poate acționa ca un indicator al activității discului pe bara de activități.




Program grafic de analiză a sectorului discului




Afișează utilizarea spațiului pe disc în funcție de director




Vizualizarea informațiilor despre fișierele criptate




Acest program este conceput pentru a urmări toată activitatea sistemului de fișiere în timp real.




Crearea de legături simbolice NTFS într-un mediu Win2K




Vă permite să descărcați din memorie conținutul bazei de date managerului de discuri logic, care descrie schema de aspect a discurilor dinamice Windows 2000.




Programarea comenzilor de redenumire și ștergere pentru următoarea repornire. Acest program poate fi util în eliminarea fișierelor malware persistente și active.




Utilitarul NTFSInfo oferă informații detaliate despre volumele NTFS, inclusiv dimensiunea și locația tabelului de fișiere master (MFT) și a zonei MFT și dimensiunea fișierelor de metadate NTFS.




Defragmentați fișierele de schimb și stupii de registry!




Vizualizați o listă de fișiere care sunt programate pentru a fi șterse și redenumite la următoarea repornire a sistemului.




Acest program vă permite să monitorizați activitatea sistemului de fișiere, registry, procese, fire și DLL-uri în timp real.




Vă permite să vedeți ce fișiere sunt deschise de la distanță.




PsTools include utilitare Linie de comanda, cu care puteți afișa o listă de procese care rulează pe computere locale sau la distanță, puteți lansa procese de la distanță, reporniți computerele, afișați conținutul jurnalelor de evenimente și multe altele.

    Instrumentele Sysinternals sunt un set de programe gratuite pentru a administra și monitoriza computere care rulează sisteme de operare Windows. Programele Sysinternals (Winternals) au fost dezvoltate inițial de Winternals Software L.P. sub conducerea a doi dezvoltatori - Mark Russinovich (Mark Russinovich) și Bryce Cogswell (Bryce Cogswell). În iulie 2006, Microsoft a achiziționat Winternals Software LP și toate produsele sale. Site-ul web Sysinternals s-a mutat acum pe portalul web Microsoft și a devenit parte a Microsoft TechNet. Microsoft Technet are acum o secțiune Windows Sysinternals de unde puteți descărca Set complet utilitati Costum pentru Sysinternals ca arhivă, sau utilitati separate din compoziția sa.

În prezent, pachetul Instrumente Windows Sysinternals pot fi folosite chiar și fără descărcare pe calculator local datorită oportunității partajarea la o resursă Sysinternals Live care poate fi mapată ca unitate de rețea, căreia i se atribuie, de exemplu, litera R:

net use R: \\live.sysinternals.com\tools

DIN unitate de rețea, desigur, viteza de schimb de date este mult mai mică decât cu una locală, dar puteți lucra cu ea fără probleme, ca și cu un disc local obișnuit, inclusiv pe linia de comandă. Deci, de exemplu, echipa

porniți R:\autoruns.exe

Utilitate autoruns.exe poate fi lansat într-o fereastră separată. Astfel, fiind în orice loc unde există acces la Internet, poți folosi cel mai funcțional și eficient set de instrumente pentru Windows - Sysinternals Suite.

    Majoritatea utilitarelor Sysinternals Suite necesită privilegii administrative pentru a fi pe deplin funcționale. Pentru sistemele de operare din familia Windows 2000/XP, este suficient ca utilizatorul să lucreze sub un cont care este membru al grupului Administratori. În mediul sistemelor de operare Widows Vista/Windows 7, este necesar să lansați utilitățile folosind elementul de meniu contextual „Run as administrator”. fișiere batch care utilizează utilitare de linie de comandă trebuie, de asemenea, rulate în contextul unui cont cu privilegii administrative.

Pachet Sysinternal Suite include câteva zeci utilitati mici, atât consolă, cât și interfață grafică, dintre care multe sunt cunoscute pe scară largă printre administratorii de sistem și utilizatorii avansați - pachetul software PSTools, utilitare de monitorizare Process Monitor, Autoruns, Process Explorer, anti-rootkit RootkitRevealer etc. Multe dintre ele sunt discutate în articole separate, link-uri către care veți găsi pe pagina principală a site-ului în secțiunea Windows. Suita Sysinternals este actualizată de mai multe ori pe an, compoziția sa se poate modifica - versiunile programului se modifică, unele dintre utilități sunt eliminate, unele sunt adăugate, dar setul principal există de mai bine de zece ani, ceea ce indică cererea sa în rândul administratorilor și competenților. utilizatorii sistemelor de operare din familia Windows. Opțiunile liniei de comandă ale utilitaților consolei și interfața grafică cu utilizatorul pentru majoritatea programelor sunt foarte asemănătoare, ceea ce simplifică foarte mult utilizarea lor practică.

Utilitare pentru fișiere și disc Sysinternals Suite

AccessChk

Acceschk- utilitar de consolă pentru vizualizarea drepturilor de acces ale utilizatorilor la fișiere, directoare, chei și chei de registry, procese și fire.

accesschk -u user1 -c MpsSvc -v- afișarea drepturilor de utilizator utilizator1în legătură cu serviciul MpsSvc (Windows Firewall 7. Permiteți-mi să vă reamintesc că într-un mediu Windows Vista/Windows 7, utilitarul Accesschk trebuie rulat ca administrator). Cheie -vînseamnă ieșire verbosă. Dacă această cheie nu este setată, atunci drepturile utilizatorului sunt indicate prin simboluri R(Citeste si W(Scrie). Afişa Rînseamnă permisiunea de a vizualiza starea (Query_Status), configurația (Query_Config) și pornirea (Service_Start) a serviciului. Wînseamnă că aveți dreptul de a modifica configurația și starea serviciului. Combinaţie RWînseamnă că aveți acces la orice acțiuni valide cu privire la serviciu. (Service_All_Access). Dacă se dă o cheie -v apoi în loc de simboluri RȘi W R afișează o descriere a permisiunilor, cum ar fi Service_All_Access- permis acces complet

accesschk -c MpsSvc -w -v- afișați o listă de conturi cu drepturi de acces complete (tasta -w) la serviciu MpsSvc.

accesschk -u utilizator1 -c * -w -v- afișează o listă de servicii la care user1 are acces complet.

accesschk -u user1 -k hklm\security- afișați drepturile de acces ale utilizatorului1 la subsecțiunile secțiunilor HKLM\SECURITATE Inregistreaza-te.

accesschk -u user1 -k hklm\security -d- comutatorul -d înseamnă procesarea doar la nivelul superior (directorul sistemului de fișiere sau cheia de registry)

accesschk -u utilizator1 C:\Utilizatori -d- afișați drepturile utilizatorului user1 în raport cu directorul C:\Users

accesschk -u user1 C:\Utilizatori- afișați drepturile utilizatorului user1 în raport cu subdirectoarele din directorul C:\Users

accesschk C:\Utilizatori -w- afișați o listă de conturi care au acces complet la directorul C:\Users

accesschk -u user1 -p wininit -v- afișați drepturile utilizatorului1 utilizator în legătură cu proces wininit

Din păcate, utilitarul accesschk nu poate (cel puțin, la momentul scrierii acestui articol nu putea) să funcționeze cu numele conturilor, serviciilor și directoarelor care conțin caractere rusești.

AccessEnum

AccessEnum- un utilitar pentru vizualizarea drepturilor conturilor în raport cu elementele sistemului de fișiere și registrul Windows.

CacheSet

Utilitate CacheSet este o aplicație care vă permite să gestionați parametrii Working Set din memoria cache de fișiere a sistemului. Este folosit pentru a selecta parametrii optimi și pentru a crește viteza și stabilitatea computerului. Schimbând valorile minime și maxime ale dimensiunii cache-ului de lucru, puteți obține o anumită creștere a performanței sistemului.

Setarea unor noi valori minime și maxime are loc atunci când apăsați butonul aplica. Buton resetare vă permite să returnați valorile minimului și dimensiune maximă cache care au fost setate la momentul lansării utilitarului.

Contig

Contig- un utilitar de linie de comandă pentru a crește performanța sistemului prin defragmentarea fișierelor individuale, utilizate frecvent. Este convenabil de utilizat pentru defragmentarea fișierelor mașinii virtuale, imagini ISO pe unități flash bootabile folosind un bootloader Grub, care poate necesita un fișier imagine nefragmentat pentru a defragmenta unele dintre fișierele citite frecvent de pe disc.

contig.exe /?- eliberarea unui certificat de utilizare a utilitatii.

Contig.exe -a E:\SonyaLiveCD.iso- analizați fragmentarea fișierului E:\SonyaLiveCD_15.10.2010.iso

Contig.exe E:\SonyaLiveCD_15.10.2010.iso- defragmentează fișierul specificat.

Contig.exe -a -s C:\windows\*.exe- analizați toate fișierele cu extensia executabilîn directorul C:\Windows și subdirectoarele acestuia (cheia -s)

Contig.exe C:\windows\system32\*.exe- defragmentați toate fișierele cu extensie executabilîn directorul de sistem C:\Windows\System32

Îmbunătățiți performanța sistemului cu utilizare țintită Contig.exeîn general mai mare decât ceea ce se poate obţine prin folosire mijloace standard defragmentează Windows.

Disk2vhd

Utilitate Disk2vhd folosit pentru a crea virtual hard disc virtual vhd Aparatele Microsoft(Virtual hard disk-Mașina virtuală Microsoft format de disc) pe baza datelor disc fizic mașină adevărată. Operația de creare a unui disc de mașină virtuală poate fi efectuată direct într-un mediu de operare care rulează. GUI programul de utilizator Disk2vhd vă permite să alegeți să convertiți oricare dintre unitățile logice computer realși convertiți-l în disc virtual, care poate fi folosit pentru a lucra într-un mediu de mașină virtuală Microsoft Virtual PC.

DiskMon

DiskMon- vă permite să monitorizați operațiunile I/O pentru hard disk-uriîn mediul sistemelor de operare din familia Windows. Programul poate fi folosit și ca indicator de program al apelurilor către hard disk-uri- când este minimizată, este afișată pictograma barei de activități în verdeîn timpul unei operații de citire a discului și cu roșu în timpul unei operațiuni de scriere.

Fereastra principală a programului afișează numărul discului din sistem (coloana Disk), tipul operațiunii (coloana Requst), numărul sectorului de pe disc care a fost accesat (coloana Sector) și dimensiunea câmpul de date (coloana Lenth). Dacă trebuie să determinați la ce fișier este legat sectorul cu un anumit număr, puteți utiliza utilitarul de consolă NFI.EXE (utilitatea de informații despre sectorul fișierelor NTFS) din pachetul Instrumente de asistență de la Microsoft.
format de linie de comandă
Numărul sectorului de unități nfi.exe
nfi.exe C:655234- afișați numele fișierului care deține sectorul 655234
nfi.exe C:0xBF5E34- la fel, dar numărul sectorului este dat în sistem de numere hexazecimale
Ca urmare a executării comenzii, va fi afișat un mesaj

***Sectorul logic 12541492 (0xbf5e34) de pe unitatea C se află în fișierul numărul 49502.
\WINDOWS\system32\D3DCompiler_38.dll

Acestea. sectorul care ne interesează aparține fișierului D3DCompiler_38.dll din directorul Windows\system32.

vizualizarea discului

Program vizualizarea discului vă permite să obțineți forma grafica Harta utilizării spațiului pe disc:

Alegerea unui disc pentru vizualizare se face pe teren Volum partea de jos a ferestrei programului. După selectarea unui disc și apăsarea butonului Reîmprospăta programul scanează și afișează o hartă a locației fișierelor și directoarelor. Fereastra de jos afișează un fel de scară pentru locația datelor relativ la începutul discului. Culoarea zonei se potrivește trasaturi caracteristice grupurile de cluster afișate. Puteți folosi meniul pentru ajutor pentru codificarea culorilor. Ajutor-Legendă. . .:

Primul grup al fragmentului- culoarea clusterului inițial din lanț.
Cluster de fișiere contiguu- clusterul aparține unui fișier continuu (nu fragmentat).
Cluster de fișiere fragmentate- clusterul aparține fișierului fragmentat.
Cluster de fișiere de sistem- cluster-ul aparține unui fișier de sistem
Cluster nefolosit- clusterul aparține spațiului liber
Cluster neutilizat în zona MFT- cluster liber în zona MFT a cuprinsului discului
Cluster de fișiere evidențiate de utilizator- clusterul aparține fișierului selectat de utilizator.

Fereastra de sus afișează o hartă mai detaliată a locației datelor. Bara de defilare vă permite să selectați zona de afișare. Selectarea oricărui punct al spațiului pe disc cu indicatorul din fereastra de jos face ca harta cluster să fie afișată pentru secțiunea selectată a sistemului de fișiere în cea de sus. Butonul este folosit pentru a schimba nivelul de detaliu al hărții. Zoomîn partea de jos a ferestrei principale a programului. Făcând clic pe harta cluster din fereastra de sus, se va afișa numele fișierului în câmp a subliniași selectarea culorii grupului de clustere corespunzător acestuia. Făcând dublu clic pe câmpul clusterelor afișate, în fereastra de sus, se deschide fereastra de proprietăți:

Pentru a afișa gradul de utilizare a discului și informații despre numărul de fișiere și fragmente, utilizați meniul „Fișier” - „Statistici”

DU

du.exe- utilitar de linie de comandă pentru determinarea statisticilor de utilizare a spațiului pe disc în directoare ale sistemului de fișiere Windows. Pentru a obține o listă de chei, puteți rula du.exe fără parametri sau cu parametrul /? . Exemple de utilizare a utilitarului:

du.exe C:\- afișați informații despre utilizarea directorului rădăcină al unității C: - numărul de fișiere, subdirectoare și cantitatea de spațiu pe disc ocupată.

FileMon

FileMon(File Monitor) este un utilitar pentru monitorizarea în timp real a tuturor activităților sistemului de fișiere. Vă permite să determinați ce procese accesează fișierele și directoarele, ce operațiuni sunt efectuate pe ce obiecte de către sistemul de fișiere. Utilitarul FileMon a fost acum înlocuit de utilitar Monitor de proces (ProcMon). O descriere detaliată și modul de utilizare a ambelor programe sunt oferite în articole separate:

Folosind aceste utilitare, puteți determina cu ușurință lista de resurse de fișiere utilizate de aplicație, puteți găsi fișiere de configurare, puteți determina cauzele blocărilor sau alte probleme asociate cu utilizarea fișierelor și directoarelor Windows.

MoveFile

MoveFile vă permite să ștergeți sau să transferați fișierul la următorul transfer pornire Windows. Este folosit în cazurile în care fișierul a fost capturat exclusiv de o aplicație sau serviciu și este imposibil să îl ștergeți sau să îl transferați prin mijloace convenționale. Exemplu de utilizare:

Movefile.exe „C:\Documents And Settings\user\Local Settings\TEMP\svchost.exe” C:\virus\svchost.ex_

Operațiunea de transfer de fișiere este de fapt efectuată de Windows Session Manager (Session Manager SMSS.EXE), care în timpul procesului de pornire a sistemului citește comenzile de redenumire și ștergere înregistrate de utilitarul MoveFile din cheia de registry
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations .
După ce migrarea este finalizată, această cheie de registry va fi ștearsă. Pentru a vizualiza transferurile planificate de utilitarul MoveFile, puteți utiliza utilitarul PendMoves din Sysinternals Suite.

PageDefrag (pagedfrg.exe)în popularitate de mulți ani a fost pe locul 4-5 printre utilitățile de la Sysinternals. Vă permite să creșteți performanța sistemului prin defragmentarea fișierelor de registry (SISTEM, SOFTWARE, SAM, SECURITY, DEFAULT ale directorului \windows\system32\config), jurnalele de sistem (în același director) și fișierul de paginare (pagefile.sys) .

După rulare, utilitarul afișează o listă de fișiere care pot fi procesate și gradul de fragmentare a acestora.

Pentru defragmentare se folosește serviciul de sistem creat de utilitar. pgdfgsvc.exe si, ca si in cazul utilitatii MoveFile, - Manager de sesiune Windows ( SMSS.EXE(abreviere pentru limba engleză. Serviciul subsistem Manager de sesiune) - subsistem de gestionare a sesiunii în Windows). Managerul de sesiune procesează cheia de registry în timpul procesului de pornire a sistemului
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
Această cheie conține informații despre programele care trebuie executate de managerul SMSS.EXE în timpul procesului de pornire Windows. În mod implicit, acestea sunt verificatoare ale sistemului de fișiere. Utilitarul adaugă comenzi la această cheie care asigură pornirea serviciului pgdfgsvcși, în consecință, defragmentarea fișierelor de sistem, efectuată înainte ca acestea să fie necesare pentru implementarea sistemului. Dacă este necesar, puteți să anulați defragmentarea, să o executați o dată sau să o setați să ruleze de fiecare dată când Windows pornește.

PageDefrag poate fi rulat în modul consolă, ajustând setările utilizând opțiunile din linia de comandă.

pagedefrag [-e | -o | -n] [-t]

-e- Defragmentează la fiecare boot
-o- O singură defragmentare
-n- anulați defragmentarea
-t- Numărătoare inversă în secunde înainte de începerea defragmentării

Exemple:

pagedefrag -e -t 10- efectuați defragmentarea la fiecare pornire și setați un mod de repaus de 10 secunde pentru a anula execuția atunci când utilizatorul apasă orice tastă.

Rulați o defragmentare unică data viitoare când reporniți sistemul.

Anulați o defragmentare programată anterior.

Utilitare Sysinternals Suite pentru rețea.

ADRestore

ADRestore vă permite să vizualizați lista obiecte la distanță Active Directory (AD) și, dacă este necesar, restaurați-le pe cele selectate. Cheia este folosită pentru a obține ajutor. /? . Când rulează fără parametri, utilitarul afișează o listă de obiecte AD marcate ca șterse.

Exemple:

adrestore > C:\adodel.txt- scoateți o listă cu toate obiectele AD marcate ca șterse în fișierul C:\adodel.txt
adrestore.exe laserjet- afișați o listă de obiecte AD la distanță al căror nume conține șirul „laserjet”
adrestore -r
adrestore -r- afișați o listă de obiecte AD cu o solicitare de restaurare.

Un utilitar pentru monitorizarea schimbului de date între un client și un server printr-un protocol LDAP. Foarte util atunci când se caută motive pentru comportamentul anormal al serviciilor și aplicațiilor într-un mediu Active Directory, se monitorizează permisiunile, se caută motive pentru performanță slabă și doar pentru a studia mecanismul de interacțiune dintre obiectele AD.

Există ajutor încorporat pentru limba engleza. Clic Click dreapta pe linia evenimentului vă permite să apelați meniul contextual care vă permite să obțineți scurta descriere proprietățile evenimentului, numele și calea procesului asociat cu acesta, mergeți la evenimentul anterior sau următor care a eșuat. Informațiile sunt afișate sub formă de coloane, a căror compoziție poate fi modificată

Filtrele pentru căutarea și evidențierea evenimentelor sunt utilizate în același mod ca în majoritatea utilitaților Sysinternals cu înveliș grafic. La setările implicite, liniile evidențiate cu roșu se referă la evenimente care s-au încheiat cu o eroare. De asemenea, meniul contextual vă permite să apelați direct din mediul ADInsight un alt program din pachetul Sysinternals Suite - Active Directory Explorer ADExplorer, folosit pentru a vizualiza structura de date AD și este similar în funcții și interfață cu utilizatorul cu utilitarul ADSIEdit de la Microsoft.

TCPView

TCPView- se clasează în mod constant printre primele zece cele mai populare utilitare Sysinternals Suite. Folosit pentru a afișa o listă cu toate conexiunile stabilite în sistem de către protocoale TCPși UDP cu detalii, inclusiv locale și adrese de la distanțăși starea conexiunilor TCP. Pe Windows XP și sistemele de operare mai vechi, TCPView afișează și numele procesului care îl deține acest compus. Într-un fel, TCPView este un supliment utilitate standard sistem de operare Windows netstat.exe, dar pe lângă prezentarea datelor de conexiune într-o formă convenabilă, vă permite să efectuați acțiuni suplimentare- terminați o anumită conexiune, încheiați procesul care a creat conexiunea și determinați numele gazdei care participă la conexiune.

Meniul contextual apelat de butonul din dreapta al mouse-ului vă permite să efectuați anumite acțiuni pe conexiunea selectată:

Proprietăți proces- afișați proprietățile procesului asociat acestei conexiuni. Afișează numele procesului, versiunea, numele și calea fișierului executabil.

Sfarsitul procesului- încheie procesul asociat acestei conexiuni.

legătură strânsă- Forțați întreruperea conexiunii selectate.

Cine este- execută o cerere de obținere a datelor despre nodul care participă la această conexiune.

Copie- copiați informațiile din această linie în clipboard.

Folosind meniul principal al programului, puteți salva date despre toate conexiunile curente în fisier text(meniul Fișier-Salvare). Ca parte a Suitei Sysinternals, cu excepția programe TCPView există o versiune pentru consolă tcpvcon cu aceeași funcționalitate.

Utilitare Sysinternals Suite pentru analizarea informațiilor de proces.

Utilitar de urmărire a punctelor pornire automată programe. Un articol despre Autoruns este postat în secțiunea „Securitate”.
- un utilitar pentru monitorizarea activității proceselor în Windows (memorie, utilizare procesor, acces la fișiere și registry, activitatea în rețea etc.).
- un utilitar pentru monitorizarea utilizării resurselor sistemului de către procesele individuale.
PSTools este un set de utilitare de linie de comandă pentru pornire de la distanță aplicații (PSExec), obținerea unei liste de procese pe un computer local sau la distanță (PSList), încetarea forțată a sarcinilor (Pskill), managementul serviciului (PSService) . În plus, suita PsTools include utilități pentru repornirea sau închiderea computerelor, afișarea conținutului jurnalelor de evenimente, căutarea utilizatorilor înregistrați în rețea și multe altele.

ListDLL-uri

ListDLL-uri este un utilitar de linie de comandă pentru obținerea unei liste de DLL-uri utilizate de către procesele individuale. Când rulați fără parametri, pe ecran este afișată o listă cu toate procesele și toate bibliotecile încărcate. Un indiciu despre cum să utilizați utilitarul poate fi obținut folosind cheia /? . Format linie de comandă:

listdlls [-r] [-v | -u]
sau
listdlls [-r] [-v] [-d dllname]

numele procesului- numele (sau o parte a numelui) procesului pentru care doriți să afișați o listă de DLL-uri încărcate.
pid- ID-ul procesului pentru care doriți să afișați o listă de DLL-uri încărcate.
-d dllname- numele DLL-ului.
-r afișează DLL-urile care sunt mutate deoarece nu sunt încărcate de ei adresa de bază
-u- afișați numai acele module care nu au semnatura digitala.
-v- afișați versiunea DLL.

Exemple de utilizare:

listdll-uri- afișați o listă cu toate procesele și toate DLL-urile încărcate

listdll câștigă- afișați o listă de DLL-uri pentru toate procesele al căror nume începe cu șirul „win”

listdlls winlogon- afișați o listă de DLL-uri utilizate de proces winlogon

listdlls 495- afișați o listă de DLL-uri utilizate de proces cu numărul ID PID=495

listdlls -d ntdll.dll- afișarea unei liste de procese care utilizează biblioteca ntdll.dll

Mâner

Mâner- utilitar de linie de comandă pentru afișarea informațiilor despre descriptori (mânere) deschisi pentru orice proces din sistem. Vă permite să vedeți ce programe au deschis fișierul, cu ce drepturi de acces, tipuri de obiecte și nume de descriptor de program și, dacă este necesar, să închideți forțat fișierul după numărul de descriptor. Când este lansat fără parametri, se afișează ecranul lista plina tratează toate fișierele deschise curent. Un indiciu despre cum să utilizați programul poate fi obținut introducând cheia /? . Format linie de comandă:

mâner [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-A- informații de ieșire despre toți descriptorii.
-c- închideți fișierul cu numărul specificat descriptor. Vă rugăm să rețineți că închiderea forțată a unui fișier poate provoca prăbușire proces sau pierdere de date.
-y- nu necesită confirmare la închiderea unui descriptor de fișier.
-s- afisare contoare pentru fiecare tip de descriptori deschisi.
-u- afișați numele utilizatorului în contextul căruia este deschis fișierul.
-p- manere de afișare deschise de proces cu nume dat(parte a numelui). sau PID

Exemple de utilizare:

mâner | Mai mult- afișați o listă cu toate mânerele deschise ale tuturor proceselor în modul de paginare.
mâner -p winlogon- afișează o listă de descriptori de fișiere deschise de procesul numit winlogon
handle -p winlogon > C:\winlogonh.txt- la fel ca în cazul precedent, dar cu ieșirea redirecționată către fișierul C:\winlogonh.txt
mâner-u- Listați toți descriptorii de fișiere ai tuturor proceselor, afișând contul asociat procesului.
handle -u user1- afișați o listă de descriptori de fișiere deschise în contextul contului de utilizator numit „utilizator1”
mâner -s- afișați contoare pentru fiecare tip și numărul total de descriptori deschisi.

Utilitare de securitate Sysinternals Suite.

Utilitarele de securitate includ programe pentru determinarea punctelor de pornire automate (Autoruns), procese de monitorizare (ProcMon), verificarea drepturilor de acces la resursele sistemului etc. Dar, în plus, pachetul Sysinternals Suite include un utilitar al cărui scop principal este detectarea rootkit-urilor (rootkit-urilor) atunci când sistemul este infectat cu viruși care implementează mecanisme speciale pentru a-și ascunde prezența în sistem.

Termenul „rootkit” în legătură cu programele spion, troienii și alte programe rău intenționate înseamnă că, pentru a-și ascunde prezența de programe antivirus, se folosește interceptarea funcțiile sistemului si corectarea rezultatelor executarii lor in asa fel incat sa nu fie posibila detectarea unor fisiere, directoare si conexiuni de retea generate de malware. Deci, de exemplu, atunci când solicitați o listă de fișiere dintr-un director, informațiile despre fișierul virusului însuși pot fi eliminate din rezultate. În realitate, un astfel de fișier este prezent în sistemul de fișiere, dar pentru instrumentele software care utilizează Funcții API interceptat de virus, este invizibil. Programele rootkit sunt împărțite în mai multe clase în funcție de capacitatea de a rămâne funcționale după o repornire a computerului și de tipul de pornire (în modul utilizator sau în modul kernel). Dar principala caracteristică a rootkit-urilor este interceptarea și corectarea rezultatelor apelurilor de sistem.

Principiul de funcționare se bazează pe utilizarea specificații standard API-uri pentru sistemul de fișiere și registry, propriile rutine care implementează aceleași funcții. Incoerența rezultatelor obținute poate indica prezența unui program rootkit. RootkitRevealer efectuează o scanare a registrului și a sistemului de fișiere la clic pe buton Scaneazăși afișează rezultatele activității sale în fereastra principală.

    cale- calea fișierului sau a cheii de registry.
Timestamp-ul- Timp de modificare.
mărimea- mărimea
Descriere- descrierea evenimentului - un semn al posibilei prezențe a unui rootkit în sistem.

Programul nu efectuează operațiuni de eliminare a virușilor și nici măcar nu indică anumite fișiere malware. Concluzia despre prezența lor ar trebui făcută chiar de utilizator, după analizarea rezultatelor scanării.

În primul rând, fișierele și cheile de registry pentru care în câmp Descriere) descrierea evenimentului este prezentă "Ascuns de API-ul Windows" - ascuns de API-ul Windows. În marea majoritate a cazurilor, linia rezultatelor scanării indică prezența unui rootkit , deoarece de obicei numai fișierele de serviciu legate de sistemul de fișiere NTFS (ale căror nume încep cu semnul $ - $BitMap, $BadClus, $MFT, etc.) Când scanați, puteți dezactiva afișarea evenimentelor asociate fișierelor standard de servicii ascunse folosind meniul Opțiuni- bifeaza casuta Ascundeți fișierele standard de metadate NTFS. În plus, rețineți că unele antivirusuri își ascund fișierele din API-ul Windows în același mod ca malware, iar fiecare linie de scanare rezultă cu atributul Ascuns de API-ul Windows necesită analize suplimentare - în ce director se află fișier ascuns, numele, extensia, dimensiunea, timpul de modificare. În exemplul de scanare de mai sus, ascunse de API-ul Windows sunt fișiere cu extensia .sys, aflate în directorul de drivere (C:\Windows\system32\drivers) și având o dimensiune de zeci de kiloocteți - acestea sunt driverele rootkit.

Alte descrieri posibile evenimentele din domeniu Descriere poate fi o alarmă falsă și indică faptul că execuția unei anumite funcții API s-a încheiat cu un rezultat suspect. Acest lucru este cauzat de obicei de faptul că, în timpul procesului de scanare în mediul multitasking Windows, unul dintre programe a efectuat o modificare a datelor verificate, sau software-ul legitim folosește metode specializate similare cu cele folosite de creatorii de viruși.

Numele cheii conține valori nule încorporate- numele cheii de registry conține spații, ceea ce poate face o astfel de cheie invizibilă pentru editorul de registry standard.

Nepotrivirea datelor între API-ul Windows și datele brute ale stupului- discrepanța între datele cheii de registry obținute folosind API-ul Windows și datele reale ale stupului de registry. Poate fi cauzată de o modificare a datelor de registry care a avut loc în timpul scanării.

Acces interzis- Accesul este interzis. În practică, o astfel de descriere apare atunci când există instrumente de emulare a unităților CD / DVD instalate în sistem (Alcohol 120, Daemon Tools) , niste produse antivirus care utilizează driverul SPTD.SYS.

Vă rugăm să rețineți că RootkitRevealer scanează din copia sa cu un nume de fișier aleatoriu, lansat ca serviciu windows. Acest tip de pornire face dificilă detectarea virușilor și rezilierea forțată proceduri de scanare. Prin urmare, este normal să existe un proces cu un nume obscur în timpul rulării RootkitRevealer, dar există momente când un virus blochează lansarea unui program, de exemplu, numit „RootkitRevealer”. În acest caz, programul pur și simplu nu pornește, ceea ce, apropo, este deja un semn foarte semnificativ al prezenței unui virus în sistem. În acest caz, puteți pur și simplu să redenumiți fișierul executabil sau, mai bine, să îl copiați în directorul curent sub un alt nume aleatoriu.

Este posibil să lansați RootkitRevealer cu parametrii pe linia de comandă:

rootkitrevealer [-a] [-c] [-m] [-r]

-A- scanează și se încheie automat.
-c- generați rezultatele scanării în format CSV
-m- scanează metadatele NTFS
-r- nu scanați registrul Windows
fișier jurnal- numele și calea fișierului pentru a salva rezultatele scanării.

Exemplu de rulare:

rootkitrevealer -a C:\RootkitRevealer.log- efectuați o scanare cu scriere în fișierul C:\RootkitRevealer.log și terminați.

Sysinternal Suite- un set de utilitare gratuite pentru diagnosticarea sistemului de operare. Acest pachet include atât instrumente pentru remedierea problemelor minore, cât și instrumente pentru a ajuta la curățarea sistemului de operare de la gunoi, la verificarea discului pentru erori etc. Acest pachet este pe deplin compatibil cu sistemele de operare din familia Windows. a fost dezvoltat cu participarea directă Microsoft. Pachetul include aproximativ 60 de utilități diferite pentru lucrul cu sistemul. Aceasta este una dintre cele mai populare soluții pentru a vă menține sistemul de operare în stare optimă, deoarece în timp, gunoiul se acumulează în registru și în alte locuri care trebuie curățate. De asemenea, este necesar să verificați periodic discul pentru erori și să îl defragmentați. Pachetul face față acestor sarcini și multor alte sarcini. Sysinternal Suite. Programul are o interfață simplă, este ușor de instalat și are localizare în limba rusă, ceea ce face mai ușor să lucrezi cu el. În plus, programul are o dimensiune mică, ceea ce vă permite să îl plasați pe aproape orice mediu. Chiar și pe o unitate flash mică. În plus, Sysinternals Suite este actualizat constant. Lista utilităților incluse în program crește din când în când. Cu toate acestea, acest lucru nu reduce nici viteza programului, nici confortul utilizării acestuia.

- Abilitatea de a diagnostica sistemul dumneavoastră pentru erori.
- Vă permite să defragmentați registry.
- Există un utilitar care vă permite să ocoliți protecția prin parolă a sistemului.
- Vă permite să monitorizați toate acțiunile proceselor.
- Există un utilitar care monitorizează toate acțiunile din sistemul de fișiere.
- Cerințe scăzute de sistem.
- Structura convenabilă facilitează găsirea utilitarului potrivit.
- Pachetul include aproximativ 60 diverse programe, într-un fel sau altul afectând munca cu sistemul.
- mărime mică pachet.

Dezavantajele programului