Shërbimet nga Sysinternals. Programet e skedarëve dhe disqeve

    Veglat Sysinternals janë një grup programe falas për të administruar dhe monitoruar kompjuterët që përdorin sisteme operative Windows. Fillimisht Programet Sysinternals(Winternals) janë zhvilluar nga Winternals Software L.P. nën udhëheqjen e dy zhvilluesve - Mark Russinovich (Mark Russinovich) dhe Bryce Cogswell (Bryce Cogswell). Në korrik 2006, Microsoft bleu Winternals Software LP dhe të gjitha produktet e tij. Faqja e internetit Sysinternals tani është zhvendosur në portalin e internetit të Microsoft dhe është bërë pjesë e Microsoft TechNet. Microsoft Technet tani ka një seksion Windows Sysinternals ku mund të shkarkoni grupin e plotë të shërbimeve Kostum Sysinternals si arkiv, ose shërbime të veçanta komunale nga përbërja e tij.

Aktualisht, paketa Mjetet e Windows Sysinternalët mund të përdoren edhe pa u shkarkuar në kompjuter lokal falë aftësisë për të ndarë një burim Sysinternals Live, i cili mund të montohet si një disk rrjeti, të cilit i është caktuar, për shembull, shkronja R:

përdorim neto R: \\live.sysinternals.com\tools

Me një disk rrjeti, natyrisht, shpejtësia e shkëmbimit të të dhënave është shumë më e ulët sesa me një lokal, por mund të punoni me të pa asnjë problem, ashtu si me një të rregullt. disku lokal, duke përfshirë në vijën e komandës. Kështu, për shembull, komanda

filloni R:\autoruns.exe

Shërbimet autoruns.exe mund të hapet në një dritare të veçantë. Kështu, duke qenë në çdo vend ku ka akses në internet, mund të përdorni grupin më funksional dhe efikas të mjeteve për Windows - Sysinternals Suite.

    Shumica e shërbimeve Sysinternals Suite kërkojnë privilegje administrative për të qenë plotësisht funksionale. Për sistemet operative të familjes Windows 2000/XP, mjafton që përdoruesi të punojë nën një llogari që është anëtar i grupit të Administratorëve. Në mjedisin e sistemeve operative Widows Vista/Windows 7, është e nevojshme të nisni shërbimet duke përdorur artikullin e menysë së kontekstit "Run as administrator". skedarët e grupit që përdorin shërbimet komunale linja e komandës, duhet gjithashtu të ekzekutohet në kontekstin e një llogarie me privilegje administrative.

Paketa Suite Sysinternal përfshin disa dhjetëra shërbimet e vogla, si ndërfaqja e tastierës ashtu edhe ndërfaqja grafike, shumë prej të cilave janë të njohura gjerësisht në mesin e administratorëve të sistemit dhe përdoruesve të avancuar - paketa e softuerit PSTools, shërbimet e monitorimit Process Monitor, Autoruns, Proces Explorer, anti-rootkit RootkitRevealer etj. Shumë prej tyre diskutohen në artikuj të veçantë, lidhje me të cilat do të gjeni faqja kryesore faqe në seksion Dritaret. Suite Sysinternals përditësohet disa herë në vit, përbërja e tij mund të ndryshojë - versionet e programit ndryshojnë, disa nga shërbimet janë hequr, disa janë shtuar, por grupi kryesor ka ekzistuar për më shumë se dhjetë vjet, gjë që tregon kërkesën e saj midis administratorëve dhe kompetentëve përdoruesit e sistemeve operative të familjes Windows. Opsionet e linjës së komandës të shërbimeve të konsolës dhe ndërfaqja grafike e përdoruesit për shumicën e programeve janë shumë të ngjashme, gjë që thjeshton shumë përdorimin e tyre praktik.

Sysinternals Suite File and Disk Utilities

AccessChk

Accesschk- mjeti i konsolës për shikimin e të drejtave të aksesit të përdoruesit në skedarë, direktori, çelësa dhe çelësa regjistri, procese dhe thread.

accesschk -u përdorues1 -c MpsSvc -v- shfaqni të drejtat e përdoruesit përdoruesi 1 në lidhje me shërbimin MpsSvc (Firewall i Windows 7. Më lejoni t'ju kujtoj se në Mjedisi Windows Vista/Windows 7, programi Accesschk duhet të ekzekutohet si administrator). Celës -v do të thotë dalje me fjalë. Nëse ky çelës nuk është vendosur, atëherë të drejtat e përdoruesit tregohen me simbole R(Lexo dhe W(Shkruaj). Ekrani R do të thotë leje për të parë statusin (Query_Status), konfigurimin (Query_Config) dhe fillimin (Service_Start) të shërbimit. W do të thotë që ju keni të drejtë të ndryshoni konfigurimin dhe gjendjen e shërbimit. Kombinimi RW do të thotë që ju keni akses në çdo veprim të vlefshëm në lidhje me shërbimin. (Shërbimi_All_Access). Nëse jepet një çelës -v pastaj në vend të personazheve R dhe W R shfaq një përshkrim të lejeve, si p.sh Shërbimi_All_Access- lejohet akses të plotë

accesschk -c MpsSvc -w -v- shfaq një listë të llogarive me të drejta të plota aksesi (kyç -w) në shërbim MpsSvc.

accesschk -u përdorues1 -c * -w -v- shfaq një listë shërbimesh në të cilat përdoruesi1 ka akses të plotë.

accesschk -u përdorues1 -k hklm\siguria- shfaqni të drejtat e aksesit të përdoruesit1 në nënseksionet e seksionit HKLM\SECURITY regjistroheni.

accesschk -u përdorues1 -k hklm\siguri -d- ndërprerësi -d nënkupton përpunimin vetëm të nivelit të lartë (direktorisë sistemi i skedarëve ose çelësi i regjistrit)

accesschk -u përdorues1 C:\Përdoruesit -d- shfaq të drejtat e përdoruesit1 në lidhje me direktorinë C:\Users

accesschk -u përdorues1 C:\Përdoruesit- shfaq të drejtat e përdoruesit të përdoruesit1 në lidhje me nëndrejtoritë e drejtorisë C:\Users

Accesschk C:\Përdoruesit -w- shfaq një listë të llogarive që kanë akses të plotë në drejtorinë C:\Users

accesschk -u përdorues1 -p wininit -v- shfaq të drejtat e përdoruesit1 përdorues në lidhje me procesin wininit

Fatkeqësisht, mjeti accesschk nuk mund (të paktën, në kohën e këtij shkrimi nuk mundi) të punojë me emrat e llogarive, shërbimeve dhe drejtorive që përmbajnë karaktere ruse.

AccessEnum

AccessEnum- një mjet për shikimin e të drejtave të llogarive në lidhje me elementët e sistemit të skedarëve dhe Regjistri i Windows.

CacheSet

Shërbimet CacheSetështë një aplikacion që ju lejon të menaxhoni parametrat e grupit të punës të cache-it të skedarëve të sistemit. Përdoret për përzgjedhje parametrat optimale dhe rrisin shpejtësinë dhe qëndrueshmërinë e kompjuterit. Duke ndryshuar minimumin dhe vlerat maksimale madhësia e cache-it të punës, mund të arrini një rritje të performancës së sistemit.

Vendosja e vlerave të reja minimale dhe maksimale ndodh kur shtypni butonin aplikoni. Butoni rivendosur ju lejon të ktheni vlerat e madhësive minimale dhe maksimale të cache-it që u vendosën në kohën kur u nis programi.

Contig

Contig- një mjet i linjës komanduese për të rritur performancën e sistemit duke defragmentuar skedarët individualë të përdorur shpesh. Është i përshtatshëm për t'u përdorur për defragmentimin e skedarëve të makinës virtuale, imazhet ISO në disqet flash të bootable duke përdorur një ngarkues. Grub, i cili mund të kërkojë një skedar imazhi të pafragmentuar për të defragmentuar disa nga skedarët që lexohen shpesh nga disku.

contig.exe /?- lëshoni një certifikatë për përdorimin e shërbimeve.

Contig.exe -a E:\SonyaLiveCD.iso- analizoni fragmentimin e skedarit E:\SonyaLiveCD_15.10.2010.iso

Contig.exe E:\SonyaLiveCD_15.10.2010.iso- defragmentoni skedarin e specifikuar.

Contig.exe -a -s C:\windows\*.exe- analizoni të gjithë skedarët me shtesën exe në direktoriumin C:\Windows dhe nëndirektoritë e tij (kyç -s)

Contig.exe C:\windows\system32\*.exe- defragmentoni të gjithë skedarët me zgjerim exe në drejtorinë e sistemit C:\Windows\System32

Përmirësoni performancën e sistemit me përdorim të synuar Contig.exe përgjithësisht më e lartë se ajo që mund të merret duke përdorur mjete standarde defragoni Windows.

Disk2vhd

Shërbimet Disk2vhd përdoret për të krijuar një virtual hard disk format vhd virtuale Makinat Microsoft(Virtual hard disk- Formati i diskut i makinës virtuale të Microsoft) bazuar në të dhëna disk fizik makinë e vërtetë. Operacioni për të krijuar një disk të makinës virtuale mund të kryhet drejtpërdrejt në një mjedis OS që funksionon. Ndërfaqja grafike e përdoruesit të programit Disk2vhd ju lejon të zgjidhni ndonjë prej tyre disqet logjike kompjuter i vërtetë dhe konvertojeni atë në disk virtual, i cili mund të përdoret për të punuar në një mjedis të makinës virtuale Microsoft Virtual PC.

DiskMon

DiskMon- ju lejon të monitoroni operacionet I/O për hard disqet në mjedisin e sistemeve operative të familjes Windows. Programi mund të përdoret gjithashtu si një tregues programi i thirrjeve për hard disqet- kur minimizohet, shfaqet ikona e shiritit të detyrave në të gjelbër gjatë një operacioni të leximit të diskut dhe me të kuqe gjatë një operacioni shkrimi.

Dritarja kryesore e programit shfaq numrin e diskut në sistem (kolona Disk), llojin e funksionimit (kolona Kërkesë), numrin e sektorit në disk që është aksesuar (kolona Sektori) dhe madhësinë e fushën e të dhënave (kolona Lenth). Nëse është e nevojshme, përcaktoni se me cilën dosje është sektori numër të caktuar, ju mund të përdorni mjeti i konsolës NFI.EXE (NTFS File Sector Information Utility) nga paketa e Mjeteve Mbështetëse nga Microsoft.
formati i linjës së komandës
Numri i Sektorit të Diskut nfi.exe
nfi.exe C: 655234- shfaq emrin e skedarit që zotëron sektorin 655234
nfi.exe C: 0xBF5E34- e njëjta gjë, por numri i sektorit është vendosur sistemi heksadecimal duke llogaritur
Si rezultat i ekzekutimit të komandës, do të shfaqet një mesazh

***Sektori logjik 12541492 (0xbf5e34) në diskun C është në numrin e skedarit 49502.
\WINDOWS\system32\D3DCompiler_38.dll

ato. sektori për të cilin ne jemi të interesuar i përket skedarit D3DCompiler_38.dll në drejtorinë Windows\system32.

pamje e diskut

Programi pamje e diskut ju lejon të merrni formë grafike harta e përdorimit hapësirë ​​në disk:

Zgjedhja e një disku për shikim kryhet në terren Vëllimi në fund të dritares së programit. Pasi të zgjidhni një disk dhe të shtypni butonin Rifresko programi skanon dhe shfaq një hartë të vendndodhjes së skedarëve dhe drejtorive. Dritarja e poshtme shfaq një lloj shkalle për vendndodhjen e të dhënave në lidhje me fillimin e diskut. Ngjyra e zonës përputhet tipare karakteristike grupe të shfaqura. Mund të përdorni menynë për ndihmë për kodimin e ngjyrave. Ndihmë-Legjendë. . .:

Grupi i parë i fragmentit- ngjyra e grupit fillestar në zinxhir.
Grupi i skedarëve të vazhdueshëm- grupi i përket një skedari të vazhdueshëm (jo të fragmentuar).
Grupi i skedarëve të fragmentuar- grupi i përket skedarit të fragmentuar.
Grupimi i skedarëve të sistemit- grupi i përket një skedari sistemi
Grup i papërdorur- grupi i përket hapësirës së lirë
Grup i papërdorur në zonën MFT- grup i lirë në zonën MFT të tabelës së përmbajtjes së diskut
Grupi i skedarëve të theksuar nga përdoruesi- grupi i përket skedarit të zgjedhur nga përdoruesi.

V dritarja e sipërme shfaqet një hartë më e detajuar e vendndodhjes së të dhënave. Shiriti i lëvizjes ju lejon të zgjidhni zonën e ekranit. Zgjedhja e çdo pike të hapësirës së diskut me treguesin në dritaren e poshtme bën që harta e grupit të shfaqet për seksionin e zgjedhur të sistemit të skedarëve në atë të sipërm. Butoni përdoret për të ndryshuar nivelin e detajeve të hartës. Zmadhoni në fund të dritares kryesore të programit. Duke klikuar në hartën e grupit në dritaren e sipërme do të shfaqet emri i skedarit në fushë dritë e lartë dhe përzgjedhja e ngjyrave të grupit të grupimeve që i përgjigjen. klikoni dy herë në fushën e grupimeve të shfaqura, në dritaren e sipërme, thirret dritarja e vetive:

Për të shfaqur shkallën e përdorimit të diskut dhe informacionin për numrin e skedarëve dhe fragmenteve, përdorni menunë "File" - "Statistikat"

DU

du.exe- mjeti i linjës së komandës për përcaktimin e statistikave të përdorimit të hapësirës në disk në drejtoritë e skedarëve Sistemet Windows. Për të marrë një listë çelësash, mund të ekzekutoni du.exe pa parametra ose me parametrin /? . Shembuj të përdorimit të programit:

du.exe C:\- shfaq informacione për përdorimin e direktoriumit rrënjësor të diskut C: - numrin e skedarëve, nëndrejtoritë dhe sasinë e hapësirës së zënë në disk.

FileMon

FileMon(File Monitor) është një mjet për monitorimin në kohë reale të të gjithë aktivitetit të sistemit të skedarëve. Ju lejon të përcaktoni se cilat procese po aksesojnë skedarët dhe drejtoritë, cilat operacione në cilat objekte kryhen nga sistemi i skedarëve. Programi FileMon tani është zëvendësuar nga programi Monitoruesi i procesit (ProcMon). Një përshkrim i hollësishëm dhe mënyra e përdorimit të të dy programeve jepen në artikuj të veçantë:

Duke përdorur këto shërbime, mund të përcaktoni lehtësisht listën e burimeve të skedarëve të përdorur nga aplikacioni, gjeni skedarët e konfigurimit, përcaktoni shkaqet e përplasjeve ose problemeve të tjera që lidhen me përdorimin e skedarëve dhe drejtorive të Windows.

MoveFile

MoveFile ju lejon të fshini ose transferoni skedarin në transferimin tjetër Nisja e Windows. Përdoret në rastet kur skedari është kapur ekskluzivisht nga ndonjë aplikacion ose shërbim dhe është e pamundur të fshihet ose transferohet me mjete konvencionale. Shembull përdorimi:

Movefile.exe "C:\Documents And Settings\user\Local Settings\TEMP\svchost.exe" C:\virus\svchost.ex_

Operacioni i transferimit të skedarëve në fakt kryhet nga Menaxheri i Sesioneve të Windows (Session Manager SMSS.EXE), i cili gjatë procesit të nisjes së sistemit lexon komandat e riemërtimit dhe fshirjes të regjistruara nga mjeti MoveFile nga çelësi i regjistrit
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations .
Pas përfundimit të transferimit, çelësi i dhënë regjistri do të fshihet. Për të parë transferimet e planifikuara nga programi MoveFile, mund të përdorni programin PendMoves nga Suite Sysinternals.

PageDefrag (pagedfrg.exe) në popullaritet për shumë vite ka qenë në vendin e 4-5 në mesin e shërbimeve nga Sysinternals. Ju lejon të rrisni performancën e sistemit duke defragmentuar skedarët e regjistrit (SISTEMI, SOFTWARE, SAM, SECURITY, skedarët DEFAULT të drejtorisë \windows\system32\config), regjistrat e sistemit (në të njëjtën direktori) dhe skedarin e paging (pagefile.sys) .

Pas ekzekutimit, programi shfaq një listë të skedarëve që mund të përpunohen dhe shkallën e fragmentimit të tyre.

Për defragmentim, programi i krijuar nga shërbimi i sistemit pgdfgsvc.exe dhe, si në rastin e ndërmarrjes MoveFile, - Menaxheri i sesionit të Windows ( SMSS.EXE(shkurtim për anglisht. Session Manager Subsystem Service) - nënsistemi i menaxhimit të sesioneve në Windows). Menaxheri i sesionit përpunon çelësin e regjistrit gjatë procesit të nisjes së sistemit
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
Ky çelës përmban informacion në lidhje me programet që duhet të ekzekutohen nga menaxheri SMSS.EXE gjatë procesit të nisjes së Windows. Si parazgjedhje, këto janë kontrollues të sistemit të skedarëve. Shërbimi shton komanda në këtë çelës që sigurojnë fillimin e shërbimit pgdfgsvc dhe, në përputhje me rrethanat, defragmentimi skedarët e sistemit ekzekutohen përpara se të nevojiten për vendosjen e sistemit. Nëse është e nevojshme, mund të anuloni defragmentimin, ta ekzekutoni një herë ose ta vendosni të funksionojë sa herë që fillon Windows.

PageDefrag mund të ekzekutohet në modalitetin e konsolës, duke rregulluar cilësimet duke përdorur opsionet e linjës së komandës.

pagedefrag [-e | -o | -n] [-t]

-e- Defragoni në çdo çizme
-o- Defragmentimi një herë
-n- anuloni defragmentimin
-t- Numërimi mbrapsht në sekonda përpara se të fillojë defragmentimi

Shembuj:

pagedefrag -e -t 10- kryeni defragmentimin në çdo nisje dhe vendosni një modalitet të fjetjes prej 10 sekondash për të anuluar ekzekutimin kur përdoruesi shtyp ndonjë buton.

Kryeni një defragmentim një herë herën tjetër që të rindizni sistemin tuaj.

Anuloni një defragmentim të planifikuar më parë.

Shërbimet e Sysinternals Suite për rrjetëzim.

ADRestore

ADRestore ju lejon të shikoni një listë të objekteve të fshira Active Directory(AD) dhe, nëse është e nevojshme, rivendosni ato të zgjedhura. Çelësi përdoret për të marrë ndihmë. /? . Kur ekzekutohet pa parametra, programi shfaq një listë të objekteve AD të shënuara si të fshira.

Shembuj:

adrestore > C:\adodel.txt- nxjerr një listë të të gjitha objekteve AD të shënuara si të fshira në skedarin C:\adodel.txt
adrestore.exe laserjet- shfaq një listë të objekteve të largëta të AD, emri i të cilëve përmban vargun "laserjet"
adrestore -r
adrestore -r- shfaq një listë të objekteve AD me një kërkesë për të rivendosur.

Një mjet për monitorimin e shkëmbimit të të dhënave midis një klienti dhe një serveri përmes një protokolli LDAP. Shumë i dobishëm kur kërkoni arsye për sjellje jonormale të shërbimeve dhe aplikacioneve në një mjedis Active Directory, për të monitoruar lejet, për të kërkuar arsye për performancë të dobët dhe thjesht për të studiuar mekanizmin e ndërveprimit midis objekteve AD.

Ka ndihmë të integruar për gjuhe angleze. Klikoni klikoni me të djathtën në linjën e ngjarjes ju lejon të telefononi menunë e kontekstit që ju lejon të merrni Përshkrim i shkurtër vetitë e ngjarjes, emri dhe rruga e procesit të lidhur me të, shkojnë te ngjarja e mëparshme ose e ardhshme që dështoi. Informacioni shfaqet në formën e kolonave, përbërja e të cilave mund të ndryshohet

Filtrat për kërkimin dhe nënvizimin e ngjarjeve përdoren në të njëjtën mënyrë si në shumicën e shërbimeve të Sysinternals me guaskë grafike. Në cilësimet e paracaktuara, linjat e theksuara me të kuqe i referohen ngjarjeve që përfunduan me një gabim. Menyja e kontekstit gjithashtu ju lejon të telefononi drejtpërdrejt nga mjedisi ADINsight një program tjetër nga paketa Sysinternals Suite - Active Directory Explorer ADExplorer, përdoret për të parë strukturën e të dhënave AD dhe është e ngjashme në veçoritë dhe ndërfaqja e përdoruesit me programin ADSIEdit nga Microsoft.

TCPView

TCPView- renditet vazhdimisht në mesin e dhjetë shërbimeve më të njohura të Sysinternals Suite. Përdoret për të shfaqur një listë të të gjitha lidhjeve të vendosura në sistem nga Protokollet TCP dhe UDP me detaje, duke përfshirë lokale dhe adresat e largëta dhe statusi i lidhjeve TCP. Në Windows XP dhe sistemet operative më të vjetra, TCPView shfaq gjithashtu emrin e procesit që zotëron lidhjen. Në njëfarë kuptimi, TCPView është një shtesë e programit standard të sistemit operativ Windows. netstat.exe, por përveç paraqitjes së të dhënave për lidhjet në një formë të përshtatshme, ju lejon të kryeni veprime shtesë - prishni një lidhje specifike, përfundoni procesin që krijoi lidhjen dhe përcaktoni emrin e hostit që merr pjesë në lidhje.

Menyja e kontekstit e thirrur me butonin e djathtë të miut ju lejon të kryeni veprime të caktuara në lidhjen e zgjedhur:

Vetitë e proceseve- shfaqni vetitë e procesit të lidhur me këtë lidhje. Shfaq emrin e procesit, versionin, emrin dhe rrugën e skedarit të ekzekutueshëm.

Përfundimi i procesit- përfundoni procesin e lidhur me këtë lidhje.

lidhje e ngushtë- Përfundimi me forcë i lidhjes së zgjedhur.

Kush eshte- ekzekutoni një kërkesë për të marrë të dhëna për nyjen që merr pjesë në këtë lidhje.

Kopjo- kopjoni informacionin e kësaj rreshti në clipboard.

Duke përdorur menynë kryesore të programit, mund të ruani të dhëna për të gjitha lidhjet aktuale në skedar teksti(menu Skedar-Ruaj) . Si pjesë e Suite Sysinternals, përveç programit TCPView, ekziston një version i konsolës tcpvcon me të njëjtin funksionalitet.

Shërbimet Sysinternals Suite për analizimin e informacionit të procesit.

Shërbimi i gjurmimit të pikave fillim Automatik programet. Një artikull në lidhje me Autoruns është postuar në seksionin "Siguria".
- një mjet për monitorimin e aktivitetit të proceseve në Windows (memorie, procesor, skedar dhe akses në regjistër, aktiviteti i rrjetit etj.).
- një mjet për monitorimin e përdorimit të burimeve të sistemit nga proceset individuale.
PSTools - një grup shërbimesh të linjës së komandës për ekzekutimin e aplikacioneve nga distanca (PSExec), duke marrë një listë të proceseve në lokal ose kompjuter në distancë(PSList), përfundimi me forcë i detyrave (Pskill), kontrolli i shërbimit (PSService) . Për më tepër, paketa PsTools përfshin shërbime për rinisjen ose mbylljen e kompjuterëve, shfaqjen e përmbajtjes së regjistrave të ngjarjeve, kërkimin e përdoruesve të regjistruar në rrjet dhe shumë më tepër.

ListDLL-të

ListDLL-të- Shërbimi i linjës së komandës për të marrë një listë të përdorur DLL-të procese të veçanta. Kur ekzekutohet pa parametra, në ekran shfaqet një listë e të gjitha proceseve dhe të gjitha bibliotekave të ngarkuara. Një sugjerim se si të përdorni programin mund të merret duke përdorur çelësin /? . Formati i linjës së komandës:

listdlls [-r] [-v | -u]
ose
listdlls [-r] [-v] [-d dllname]

emri i procesit- emrin (ose një pjesë të emrit) të procesit për të cilin dëshironi të shfaqni një listë të DLL-ve të ngarkuara.
pid- ID e procesit për të cilin dëshironi të shfaqni një listë të DLL-ve të ngarkuara.
-d dllname- emri i DLL.
-r shfaqni DLL-të që janë zhvendosur sepse nuk janë të ngarkuara në adresën e tyre bazë
-u- shfaq vetëm ato module që nuk kanë nënshkrim dixhital.
-v- shfaq versionin e DLL.

Shembuj të përdorimit:

listdlls- shfaq një listë të të gjitha proceseve dhe të gjitha DLL-të e ngarkuara

listdll fiton- shfaq një listë të DLL-ve për të gjitha proceset, emri i të cilëve fillon me vargun "win"

listdlls winlogon- shfaq një listë të DLL-ve të përdorura nga procesi winlogon

listdlls 495- shfaq një listë të DLL-ve të përdorura nga procesi me numër ID PID=495

listdlls -d ntdll.dll- shfaq një listë të proceseve duke përdorur bibliotekën ntdll.dll

Doreza

Doreza- mjeti i linjës së komandës për shfaqjen e informacionit rreth përshkruesve të hapur (dorezat) për çdo proces në sistem. Kjo ju lejon të shihni se cilat programe hapën skedarin, me cilat të drejta aksesi, llojet e objekteve dhe emrat e përshkruesve të programit dhe, nëse është e nevojshme, mbyllni me forcë skedarin me numrin e përshkruesit të tij. Kur niset pa parametra, shfaqet ekrani listën e plotë trajton të gjithë të hapur ky moment dosjet. Një sugjerim se si të përdorni programin mund të merret duke futur çelësin /? . Formati i linjës së komandës:

trajtoj [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-a- informacione dalëse për të gjithë përshkruesit.
-c- mbyllni skedarin me numri i specifikuar përshkrues. Kini parasysh se mbyllja me forcë e një skedari mund të shkaktojë dështimin e procesit ose humbjen e të dhënave.
-y- mos kërkoni konfirmim kur mbyllni një përshkrues skedari.
-s- shfaqni numëruesit për çdo lloj përshkruesish të hapur.
-u- shfaqni emrin e përdoruesit në kontekstin e llogarisë së të cilit hapet skedari.
-fq- dorezat e ekranit të hapura nga procesi me emrin e dhënë(pjesë e emrit). ose PID

Shembuj të përdorimit:

trajtoj | më shumë- shfaq një listë të të gjitha dorezave të hapura të të gjitha proceseve në modalitetin e faqes.
trajtoj -p winlogon- shfaq një listë të përshkruesve të skedarëve, proces i hapur Me emër winlogon
trajtoj -p winlogon > C:\winlogonh.txt- njësoj si në rastin e mëparshëm, por me daljen e ridrejtuar në skedarin C:\winlogonh.txt
trajtoj-u- Listoni të gjithë përshkruesit e skedarëve të të gjitha proceseve, duke shfaqur llogarinë e lidhur me procesin.
trajtoj -u përdorues1- shfaq një listë të përshkruesve të skedarëve të hapur në kontekstin e llogarisë së përdoruesit të quajtur "user1"
trajtoj -s- shfaq numëruesit për çdo lloj dhe numrin total të përshkruesve të hapur.

Shërbimet e sigurisë Sysinternals Suite.

Shërbimet e sigurisë përfshijnë programe për përcaktimin e pikave automatike të fillimit (Autoruns), proceset e monitorimit (ProcMon), kontrollimin e të drejtave të aksesit në burimet e sistemit, etj. Por, përveç kësaj, paketa Sysinternals Suite përfshin një mjet, qëllimi kryesor i të cilit është të zbulojë rootkits (rootkits) kur sistemi është i infektuar me viruse që zbatojnë mekanizma të veçantë për të fshehur praninë e tyre në sistem.

Termi "rootkit" në lidhje me spyware, trojans dhe malware të tjerë do të thotë që përgjimi përdoret për të fshehur praninë e tij nga programet antivirus. funksionet e sistemit dhe korrigjimin e rezultateve të ekzekutimit të tyre në atë mënyrë që të mos ishte e mundur të zbuloheshin disa skedarë, drejtori dhe lidhjet e rrjetit gjeneruar nga malware. Kështu, për shembull, kur kërkoni një listë skedarësh në një drejtori, informacioni në lidhje me skedarin e vetë virusit mund të hiqet nga rezultatet. Në realitet, një skedar i tillë është i pranishëm në sistemin e skedarëve, por për mjete softuerike, duke përdorur funksionet API të përgjuara nga një virus, është i padukshëm. Programet e Rootkit ndahen në disa klasa në varësi të aftësisë për të mbetur funksional pas rinisjes së kompjuterit dhe llojit të fillimit (në modaliteti i personalizuar ose në modalitetin kernel). Por tipar kryesor rootkits po përgjojnë dhe korrigjojnë rezultatet e thirrjeve të sistemit.

Parimi i funksionimit bazohet në përdorimin e karakteristika standarde API për sistemin e skedarëve dhe regjistrin, rutinat e tyre që zbatojnë të njëjtat funksione. Mospërputhja në rezultatet e marra mund të tregojë praninë e një programi rootkit. RootkitRevealer kryen një skanim të regjistrit dhe sistemit të skedarëve me klikimin e butonit Skanoni dhe shfaq rezultatet e punës së tij në dritaren kryesore.

    Rrugë- shtegu i skedarit ose çelësit të regjistrit.
Vula kohore- Koha e modifikimit.
madhësia- permasa
Përshkrim- përshkrimi i ngjarjes - një shenjë e pranisë së mundshme të një rootkit në sistem.

Programi nuk kryen asnjë operacion për heqjen e virusit dhe as nuk tregon për skedarë të veçantë malware. Përfundimi për praninë e tyre duhet të bëhet nga vetë përdoruesi, pasi të ketë analizuar rezultatet e skanimit.

Para së gjithash, skedarët dhe çelësat e regjistrit për të cilët janë në fushë Përshkrim) përshkrimi i ngjarjes është i pranishëm "Fshehur nga Windows API" - i fshehur nga API i Windows. Në shumicën dërrmuese të rasteve, linja e rezultateve të skanimit tregon praninë e një rootkit, pasi zakonisht vetëm skedarët e shërbimit që lidhen me sistemin e skedarëve NTFS (emrat e të cilëve fillojnë me shenjën $ - $BitMap, $BadClus, $MFT, etj.) Kur skanoni, mund të çaktivizoni shfaqjen e ngjarjeve të lidhura me skedarët standard të shërbimit të fshehur duke përdorur menynë Opsione- shënoni kutinë Fshih skedarët standard të meta të dhënave NTFS. Përveç kësaj, mbani në mend se disa antiviruse fshehin skedarët e tyre nga API i Windows në të njëjtën mënyrë si malware, dhe çdo linjë skanimi rezulton me atributin Fshehur nga Windows API kërkon analiza shtesë - në cilin direktorium ndodhet skedar i fshehur, emri i tij, shtrirja, madhësia, koha e modifikimit. Në shembullin e mësipërm të skanimit, të fshehura nga API-ja e Windows janë skedarë me shtesën .sys, të vendosura në direktorinë e drejtuesve (C:\Windows\system32\drivers) dhe që kanë një madhësi prej dhjetëra kilobajt - këta janë drejtuesit e rootkit.

Përshkrime të tjera të mundshme të ngjarjeve në terren Përshkrim mund të jetë një alarm i rremë dhe të tregojë se ekzekutimi i disa funksioneve API përfundoi me një rezultat të dyshimtë. Kjo zakonisht shkaktohet nga fakti se gjatë procesit të skanimit në mjedisin multitasking të Windows, një nga programet ka kryer një modifikim të të dhënave që kontrollohen, ose softueri legjitim përdor metoda të specializuara të ngjashme me ato të përdorura nga krijuesit e viruseve.

Emri i çelësit përmban null të ngulitura- emri i çelësit të regjistrit përmban hapësira, të cilat mund ta bëjnë një çelës të tillë të padukshëm për redaktuesin standard të regjistrit.

Mospërputhja e të dhënave midis API-së së Windows dhe të dhënave të papërpunuara të koshereve- mospërputhja e të dhënave kryesore të regjistrit të marra nga duke përdorur Windows API dhe të dhënat reale të koshereve të regjistrit. Mund të shkaktohet nga një ndryshim në të dhënat e regjistrit që ka ndodhur gjatë skanimit.

Ndalohet hyrja- Hyrja e ndaluar. Në praktikë, një përshkrim i tillë ndodh kur ka mjete emulimi të disqeve CD / DVD të instaluara në sistem (Alcohol 120, Daemon Tools), disa produkte antivirus që përdorin drejtuesin SPTD.SYS.

Ju lutemi vini re se RootkitRevealer skanon nga kopja e tij me një emër skedari të rastësishëm, i nisur si shërbim windows. Ky lloj startup e bën të vështirë zbulimin e viruseve dhe ndërprerje e detyruar procedurat e skanimit. Prandaj, është normale të kesh një proces me një emër të panjohur gjatë ekzekutimit të RootkitRevealer, por ka raste kur një virus bllokon nisjen e një programi, për shembull, i quajtur "RootkitRevealer". Në këtë rast, programi thjesht nuk fillon, gjë që, nga rruga, tashmë është një shenjë shumë domethënëse e pranisë së një virusi në sistem. Në këtë rast, thjesht mund të riemërtoni skedari i ekzekutueshëm, ose më mirë akoma, kopjojeni atë në drejtorinë aktuale me një emër tjetër të rastësishëm.

Është e mundur të nisësh RootkitRevealer me parametra në vijën e komandës:

rootkitrevealer [-a] [-c] [-m] [-r]

-a- skanoni dhe përfundoni automatikisht.
-c- gjeneroni rezultatet e skanimit në formatin CSV
-m- skanoni meta të dhënat NTFS
-r- mos skanoni regjistrin e Windows
skedar log- emri dhe rruga e skedarit për të ruajtur rezultatet e skanimit.

Shembulli i ekzekutimit:

rootkitrevealer -a C:\RootkitRevealer.log- kryeni një skanim duke shkruar në skedarin C:\RootkitRevealer.log dhe përfundoni.

Një grup i domosdoshëm shërbimesh falas për mirëmbajtje dhe Kontrollet e Windows. Mbledhja Suite SysInternal përmban më shumë se 120 mjete falas dhe aplikacionet. Në thelb, shërbimet janë krijuar për të konfiguruar, optimizuar dhe testuar sistemin operativ Windows, si dhe për të punuar me aplikacionet e palëve të treta. Shtesa të përfshira shërbimet e dobishme për diagnostikimin e harduerit kryesor të kompjuterit.

Suite SysInternals përmban të gjitha mjetet e dobishme për mirëmbajtjen dhe zgjidhjen e problemeve të Windows. Shumica e shërbimeve janë zhvilluar dhe mirëmbajtur nga një prej kontribuesve teknikë më të famshëm të Microsoft, Mark Russinovich.

Shërbimet e përfshira në asamble janë të destinuara kryesisht për përdoruesit e PC me përvojë, pasi shumë prej tyre kanë akses në cilësimet e fshehura të sistemit dhe mund të prishin Windows nëse trajtohen gabimisht.

Disa nga shërbimet më të njohura të sistemit:

Proces Explorer

Ju lejon të kontrolloni proceset aktive në sistem në çdo mënyrë të mundshme. Ofron aftësinë për të menaxhuar prioritetet e burimeve për cilindo nga proceset e shfaqura. Mund të mbyllë plotësisht procesin ose të rifillojë përsëri.

autoruns

Një aplikacion shumë i fuqishëm për menaxhimin e fillimit automatik. Përcakton dhe ju lejon të kontrolloni lidhjen e drejtuesve, moduleve, shërbimeve dhe komponentëve të tjerë në vend me nisjen e sistemit. Programi ka një grup të madh mjetesh për kontrollin dhe konfigurimin e parametrave të ndryshëm të sistemeve operative Windows.

Desktopët

Një program i vogël dhe i dobishëm për krijimin dhe menaxhimin e desktopëve virtualë. Mbështet krijimin e deri në 4 desktop, të cilat do të ndihmojnë në shpërndarjen e ikonave tuaja dhe objekteve të tjera për punë më të përshtatshme dhe funksionale.

Lista e plotë e shërbimeve të përfshira në Suite Sysinternals:

accesschk, accesschk64, AccessEnum, ADExplorer, ADInsight, adrestore, Autologon, Autoruns, Autoruns64, autorunsc, autorunsc64, Bginfo, Cacheset, Clockres, Clockres64, Contig, Contig64, Coreinfo, ctrl2cap, diview, disk, disk DiskView, du, du64, efsdump, FindLinks, FindLinks64, handle, handle64, hex2dec, hex2dec64, junction, junction64, ldmdump, Listdlls, Listdlls64, livekd, livekd64, LoadOrd64, Loadsesrd, LoadOrd6, Loadsession move. notmyfault notmyfault64 pskill, pskill64, pslist, pslist64, PsLoggedon, PsLoggedon64, psloglist, pspasswd, pspasswd64, psping, psping64, PsService, PsService64, pssuspsshutsel, Reggjedn64 ump, RootkitRevealer, ru, ru64, sdelete, sdelete64, ShareEnum, ShellRunas, sigcheck, sigcheck64, streams, streams64, strings, strings64, sinkronizimi, sinkronizimi64, Sysmon, Sysmon64, Tcpvview4, Tcpvimitl, Tcpvimitl, Tcpvimitl, Tcpvimitl, Tcpvimitl, Tcpvimitl4 whois, whois64, Winobj, ZoomIt.

Secili nga përdoruesit të paktën një herë në jetën e tij ëndërroi për të tillë set magjik shërbimet dhe programet për Windows, të cilat do të kenë gjithçka që ju nevojitet. Dhe në mënyrë që të mos keni nevojë të kërkoni dhe testoni çdo program të nevojshëm për funksionimin me cilësi të lartë të sistemit, të kontrolloni cilësinë dhe të ngjashme. Dhe për kënaqësinë e të gjithëve ne, u shfaq një paketë e tillë. Kjo Sysinternals Suite - grupi më i gjithanshëm i shërbimeve të ndryshme , e cila do ta bëjë përdorimin e një kompjuteri më të lehtë dhe më të përshtatshëm për faktin se ai ka programet më të nevojshme për gjetjen, zbulimin dhe heqjen e të gjitha llojeve të problemeve të sistemit.

Duke përdorur Sysinternals Suite, mund të kryeni pothuajse çdo detyrë mirëmbajtjeje në pajisjen tuaj të preferuar - një kompjuter ose laptop. Dhe nëse jeni një programues apo një përdorues i zakonshëm - nuk ka rëndësi, me çdo nivel të aftësive kompjuterike ju do të kuptoni se çfarë të bëni. Grupi i programeve është aq i larmishëm sa çfarëdo që të vendosni të bëni, Sysinternals Suite ka një mjet për të. Për momentin, kompleti ka më shumë se 70 shërbime! Këto janë programe për përmirësimin e sigurisë, kontrollin autorun, mjete për të punuar me bazat e të dhënave, mjete për monitorimin e proceseve të ekzekutimit, mjete për diagnostikimin dhe punën me rrjetin, dhe shumë, shumë më tepër!

Shkarkoni Sysinternals Suite

Ju mund të shkarkoni paketën unike të shërbimeve, version portativ Sysinternals Suite, falas përmes torrentit në faqen tonë të internetit duke klikuar në lidhjen më poshtë. Pothuajse të gjitha programet në grup janë në rusisht, nuk kërkojnë aktivizim dhe nuk kërkojnë instalim. E tëra çfarë ju duhet të bëni është të shkarkoni paketën Sysinternals Suite dhe të nxirrni arkivin. Grupi i programeve është aq i gjerë sa secili prej përdoruesve do të gjejë diçka të dobishme për veten e tij. Për më tepër, dua të vërej se në vitin 2006 ky zhvillim u ble nga Microsoft, dhe ata dinë të shohin cilësinë!

Së pari, pak histori: ky produkt, si faqja e tij, u zhvillua në vitin 1996, qëllimi ishte i thjeshtë - të kombinoni të gjitha programet e shërbimit të disponueshëm në një vend, domethënë, nuk do t'ju duhet të shkarkoni veçmas të gjitha zhvillimet nga Mark Russinovich. Në korrik 2006, kompania e njohur për të gjithë si Microsoft vendosi të blejë Sysinternals. Pra, nëse vendosni shkarko Sysinternals Suite nga projekti ynë, ju do të merrni nje numer i madh i programe shërbimi që synojnë menaxhimin, gjetjen dhe eliminimin, si dhe kryerjen e diagnostikimeve të thjeshta si aplikime individuale dhe sistemet operative të familjes Windows.

Në përgjithësi, të gjitha shërbimet hyrëse mund të ndahen në kategori, për shembull, mjetet e rrjetit - këtu mund të përdorni jo vetëm monitorët e lidhjes, por edhe të analizoni sigurinë e burimeve të ndryshme, si dhe të shikoni prizat aktive, në përgjithësi, lista mund të jetë i listuar për një kohë të gjatë, mendoj se do ta kuptoni vetë. Më pas vjen kategoria "Informacioni i Sistemit" - këto janë shërbime të vogla që do t'ju ndihmojnë të shikoni dhe personalizoni përdorimin tuaj. burimet e sistemit. Në veçanti, mund të shihni programe që fillojnë automatikisht kur fillon Windows, mund të shikoni aktivitetin e sistemit të skedarëve në kohë reale, është e mundur të përcaktoni rendin në të cilin ngarkohen drejtuesit, etj.

Sysinternals Suite na ofron gjithashtu softuer sigurie. Ju do të jeni në gjendje të konfiguroni dhe menaxhoni sistemin tuaj të sigurisë, do të keni gjithashtu akses në një mjet kërkimi dhe heqjeje të rootkit, ka gjuetarë spyware. Ju do të jeni në gjendje të shikoni listën e përdoruesve që janë regjistruar, mund të shikoni regjistrin e ngjarjeve dhe kështu me radhë. Më pas vjen kategoria "Proceset dhe fijet" - do t'ju lejojë të përdorni programe të krijuara për të përcaktuar detyrat që, nga ana tjetër, mund të kryhen nga procese të caktuara, si dhe burimet që ata konsumojnë. Sigurisht, Sysinternals Suite do t'ju ofrojë shërbime të mira për të punuar hard disqet dhe dosjet.

Informacioni është marrë nga faqja zyrtare, në përgjithësi, pas shpaketimit të arkivit, thjesht do të keni një grup shërbimesh, një të këndshme ndërfaqja e përdoruesit ju nuk do ta merrni atë me kategori, kështu që ju duhet të kuptoni se çfarë saktësisht ju nevojitet. Para kësaj, ju rekomandoj të shkoni në faqen zyrtare të internetit dhe të shihni të gjitha kategoritë për të cilat kam shkruar dhe të vendosni se çfarë ju intereson saktësisht. Në përgjithësi, shpresoj se paketa e shërbimeve nga Sysinternals Suite do të jetë e dobishme për ju, në fakt është mjaft e gjerë, mund të gjeni shumë.

Zhvilluesi: Microsoft
Liçensë: pa pagesë
Gjuhe: anglisht
Permasa: 23 MB
OS: Dritare
Shkarko.