14 рекомендуемых инструментов Windows Sysinternals

В этой возможности мы подробно рассмотрим служебный пакет Sysinternals от Microsoft, который предоставляет нам значительную поддержку с точки зрения программных проблем, позволяя нам поддерживать правильное управление и обновлять его.

Этот инструмент можно бесплатно загрузить (в комплекте инструментов 20 МБ) по следующей ссылке:

Люкс Sysinternals

Мы также можем ввести следующую ссылку для загрузки и запуска нужного нам приложения без загрузки всего пакета:

Sysinternals инструменты

Прежде чем приступить к анализу некоторых приложений, входящих в комплект Sysinternals, давайте рассмотрим его историю. Sysinternals был создан в 1996 году и постоянно обновлялся Марком Руссиновичем, и этот пакет состоит из более чем 70 приложений, которые, несомненно, будут очень полезны для всех нас.

Пакет Sysinternals работает в следующих операционных системах:

• Windows 7
• Windows 8, 8.1
• Windows 10
• Windows Server 2008 и выше

Если мы хотим выполнить команды пакета Sysinternals с помощью команды « Выполнить», из команды cmd или с помощью поля поиска, мы должны добавить пакет к системным переменным среды.

Мы можем выполнить следующее:

В диалоговом окне мы вводим термин « Переменная» и в отображаемых параметрах выбираем «Редактировать системные переменные среды».

Будет отображено следующее:

Там мы выбираем опцию Environment Variables, расположенную внизу.

В появившемся окне мы выбираем строку Path и затем выбираем опцию Edit the field variable. Там мы войдем в маршрут, по которому мы скачали пакет Sysinternals.

Мы нажимаем Принять в следующих окнах, чтобы применить изменения. Таким образом, мы можем выполнять команды Sysinternals из командной строки.

Мы начнем анализ некоторых наиболее интересных инструментов, представленных Sysinternals, и того, как они помогают нам в нашей технической поддержке.

1. Автозапуск

Первый инструмент, который мы проанализируем, - это автозапуск. Автозапуск позволяет нам иметь общий и очень подробный подход к сервисам, приложениям и библиотекам, которые запускаются сразу после запуска Windows 10.

При выполнении автозапуска мы увидим следующую среду:

Как мы видим, у нас есть конкретная информация о каждой программе или услуге, которая запускается автоматически и разделена на различные разделы:

• Запись автозапуска: включает имя запускаемой службы или приложения.
• Описание: включает краткое резюме о приложении.
• Издатель: показывает нам производителя или владельца службы или приложения.
• Путь к изображению: показывает маршрут, на котором расположена служба или программа.
• Отметка времени: указывает дату и время установки программы или службы.
• Total Virus: инструмент Autoruns включает в себя антивирусный сканер, и если он есть, мы его увидим.

Как мы видим на верхних вкладках, мы можем видеть службы или программы по категориям, например, мы можем видеть, что они автоматически запускаются из Office, из принтеров, из Winlogon и т. Д., Просто выберите нужную вкладку, например, мы выберем Winlogon .

Что-то печально известное в Autorun состоит в том, что мы видим, что есть строки с желтым цветом, это означает, что запись принадлежит программе, которой больше нет в системе . Если какая-либо строка красного цвета, это означает, что столбец Publisher пуст, это может быть очень полезно.

2. Bginfo

Следующим инструментом, который мы будем анализировать, является Bginfo, который отображает информацию о параметрах, определенных в нем, на рабочем столе.

$config[ads_text5] not found

Инструмент BGinfo выглядит следующим образом:

Там мы можем выбрать, какие поля видеть справа, используя опцию Custom, после того, как мы определим, какие поля мы хотим добавить, мы нажимаем Apply и затем OK . Мы увидим, что среда нашего рабочего стола была изменена с подробной информацией о выбранных полях:

[color = # a9a9a9] Нажмите на изображение, чтобы увеличить его [/ color]

Мы можем редактировать положение информации, по центру, справа или слева, и каждое поле очень легко понять, а также очень полезно.

$config[ads_text6] not found

3. Cacheset

Следующим инструментом будет Cacheset, который позволяет нам устанавливать параметры, относящиеся к системному кешу .

Интерфейс Cacheset выглядит следующим образом:

Там мы можем видеть текущую память и максимальный пик, в опции настроек мы можем установить как минимальную, так и максимальную память, которая будет выделена, как только мы определим эти аспекты, мы нажимаем Применить для внесения изменений.

4. Coreinfo

Интересным инструментом является Coreinfo, который показывает нам информацию между логическими процессорами и физическим процессором .

Это окно отображается с Coreinfo:

Мы можем использовать некоторые параметры с Coreinfo, такие как:

• -c: Vuellca информация о ядрах
• -g: Дамп информации о группах
• -l: сбросить данные кеша
• -s: сбросить данные сокета

5. Dbgview

С Dbgview мы можем захватить имеющиеся у нас рабочие столы и выполнить отладку .

6. Дискмон

Используя Diskmon, мы можем в реальном времени отслеживать активные сектора наших жестких дисков. Среда Diskmon выглядит следующим образом:

Здесь мы можем наблюдать различные аспекты секторов, таких как:

• #: относится к номеру строки инструмента.
• Время: указывает количество секунд между началом кадра и запросом.
• Продолжительность: общее время запроса.
• Диск: Относится к номеру анализируемого диска.
• Запрос: в этом столбце мы видим тип требования, чтение или запись.
• Сектор: относится к номеру сектора, который анализируется.
• Длина: указывает на длину запроса.

7. Diskview

Инструмент Diskview графически показывает нам (в томах с форматом NTFS), какие сектора используются, и мы можем видеть, какие файлы занимают определенное пространство .

После запуска инструмента мы можем выбрать объем для сканирования, определить масштаб и увидеть, что процесс сканирования начинается:

После завершения процесса мы видим следующее:

Верхняя часть представляет анализируемый объем. Мы можем видеть детали, такие как номер кластера, маршрут, где он расположен, и фрагменты кластера. Этот инструмент полезен, если мы должны выполнить детальный анализ кластеров на диске и какие файлы находятся в каждом секторе .

8. Listdlls

С помощью инструмента Listdlls мы можем увидеть полный список библиотек DLL, установленных в нашей системе. Среда Listdlls выглядит следующим образом:

Как мы видим, он указывает размер, базу и путь, в котором находится DLL, на случай, если нам понадобится какое-либо действие с ней.

9. LoadOrd

Приложение Loadord позволяет нам визуализировать порядок, в котором Windows загружает драйверы устройств и службы запуска. После запуска этого приложения мы увидим следующее:

Мы можем увидеть полный список услуг и контроллеров, таких как ваше имя, маршрут, в котором вы находитесь, группа, к которой вы принадлежите, и т. Д.

10. Портмон

Приложение Portmon позволяет нам отслеживать активность в последовательных и параллельных портах нашего оборудования, с помощью Portmon мы можем создавать фильтры и выполнять расширенный поиск того, как эти порты используются.

Среда Portmon похожа на это:

11. Procexp

Одним из инструментов, который, без сомнения, является наиболее распространенным и будет одним из наиболее используемых, является обозреватель процессов, это Procexp, который похож на диспетчер задач в Windows 10, но с той разницей, что procxp гораздо более полный,

После выполнения procxp это будет окно, которое мы будем наблюдать:

Мы можем увидеть полную сводку о процессах, которые в данный момент выполняются в системе, предоставляя информацию о названии процесса, количестве потребляемой памяти, его идентификаторе (PID), производителе и т. Д.

Как мы видим, каждый процесс классифицирован. В меню « Параметры» мы можем выполнять действия над процессами, например «убивать» процесс, приостанавливать его, устанавливать приоритет, анализировать их и т. Д.

Из этого же приложения procxp мы видим:

• состояние
• В реальном времени
• память
• процессор
• Устройства ввода / вывода
• и т.д.

Мы видим, как инструмент разбивает каждый компонент и процент использования, если мы хотим получить более детальный вид при переходе на соответствующую вкладку, например, перейдем на вкладку CPU:

Мы видим полное и подробное описание состояния процессора; количество процессов, угроз, количество ядер и т. д.

Одним из преимуществ, которые мы имеем с procxp, является настройка, если мы хотим, чтобы мы могли определить цвета для различных процессов, как это:

• [color = # 008000] Зеленый: [/ color] относится к новым объектам.
• [color = # 40e0d0] Голубой: [/ color] идентифицирует собственные процессы.
• [color = # ee82ee] Розовый: [/ color] указывает процессы, содержащие службы Windows.
• [color = # 4b0082] Фиолетовый: [/ color] относится к планшету (в упаковке).
• [color = # daa520] Бирюзовый: [/ color] относится к процессам, связанным с приложениями Магазина Windows.
• [color = # 808080] Темно-серый: [/ color] приостановленные процессы.

Просто, если мы хотим, чтобы цвета, которые определяют процессы, были разными, просто нажмите кнопку « Изменить», чтобы изменить их. Если мы хотим посмотреть, сколько ресурсов потребляет процесс в Windows 10, мы можем дважды щелкнуть по процессу или щелкнуть правой кнопкой мыши и выбрать свойства, а затем перейти на вкладку График графического процессора.

12. Procmon

Еще одно приложение, которое будет очень полезно, - это Procmon (монитор процесса) . Этот инструмент предоставит нам подробную информацию о процессах как системных файлов, записей, сети, процессов, угроз, так и в режиме реального времени, что является наиболее важным для нас.

Как мы видим, procmon предлагает нам много информации о таких процессах, как:

• Имя процесса
• Время деятельности
• Маршрут, где он расположен
• Результат процесса
• детали
• И т.д.

В рамках procmon у нас есть интересные инструменты, которые могут помочь нам сохранить контроль над нашими ресурсами, например, в меню Tools мы можем выбрать опцию Process Activity Summary, чтобы увидеть подробную сводку активности каждого процесса, результат будет следующим:,

Procmon может собирать большое количество информации в нашу пользу. Как только мы запустим procmon, мы увидим следующее:

Мы видим очень полный результат, где указано потребление ресурсов, начало и конец процесса и т. Д. В Инструментах, если мы выберем Сводку реестра, мы можем найти количество записей, к которым обращались во время графика:

Также мы можем найти сводку сетевых подключений, системы и т. Д. Мы можем применить фильтры для более централизованного управления процессами, просто выберите элемент и щелкните правой кнопкой мыши, в этом случае мы выберем PID 968.

Выберите опцию «Включить 968» и увидите, что процесс фильтрации начинается.

Мы видим, что есть только результаты PID 968. Если в любой момент мы хотим увидеть процесс в деталях, просто щелкните правой кнопкой мыши по процессу и выберите Свойства, в этом случае мы выбираем процесс Explorer.exe и видим следующее:

13. RamMap

Еще одним инструментом, который мы можем использовать, является RamMap, который позволяет нам управлять всем, что связано с оперативной памятью, с помощью различных утилит под рукой.

При запуске RamMap мы увидим следующее:

Как мы видим, у нас есть вся информация, относящаяся к памяти и классифицированная по цветам и типу использования. Используя любую из вкладок вверху, мы можем подробно увидеть, какие процессы потребляют память. Например, мы можем щелкнуть на вкладке « Процессы » и получим следующий вид:

Таким образом, мы можем контролировать, какие процессы потребляют больше ресурсов памяти в системе, и мы можем решить, прекратить ли мы эти процессы или нет.

14. ShareEnum

Используя приложение ShareEnum, мы можем видеть как файлы, так и объекты, которые являются общими в домене или рабочей группе . Как только мы запустим ShareEnum, мы увидим следующее:

Мы можем видеть путь, по которому у нас есть общие файлы, домен и другую информацию.

15. TCPView

Еще одно приложение, входящее в комплект Sysinternals, - это TCPView, с помощью этого инструмента мы можем четко видеть все соединения через локальные порты и удаленные адреса через нашу систему Windows 10 через систему Windows 10.

Когда мы запустим TCPView, это будет среда, которую мы увидим:

Как мы видим, у нас есть информация о портах, используемых каждым процессом, а также об отправленных и полученных пакетах, и вся эта информация очень важна для правильного администрирования на сетевом уровне в случае, если нам необходимо проверить или проанализировать какой-либо аспект. Если мы щелкнем правой кнопкой мыши по любому из процессов, мы сможем увидеть его свойства или в этом случае завершить его.

16. VMMap

Одним из последних инструментов, которые мы проанализируем, является VMMap, который позволяет нам проверять виртуальные процессы и использование физической памяти в графической среде .

Когда мы запустим VMMap, у нас будет следующее:

Инструмент отобразит доступные процессы, мы должны выбрать процесс, из которого мы хотим получить подробную информацию, после выбора мы нажимаем ОК, и тогда будет видно следующее:

В нашем случае мы выбираем процесс explorer.exe, и то, как мы можем наблюдать, VMMap показывает нам полную информацию об этой профессии, использовании памяти и о том, как она использует каждую часть этой памяти.

Этот инструмент важен в случае проблем с производительностью процесса, и мы не знаем четко, что может повлиять на производительность и стабильность Windows 10.

В Sysinternals у нас есть группа инструментов, которые выполняют основные функции, но иногда очень полезны. У нас есть следующее:

• PsExec: позволяет выполнять процессы в стиле CTRL + R (Выполнить)
• PsFile: список файлов, которые открыты удаленно
• PsGetSid: он дает нам SID компьютера или пользователя
• PsInfo: эта команда показывает нам информацию о системе
• PsKill: это дает нам возможность завершать процессы
• PsList: показывает информацию об активных процессах
• PsLoggedOn: мы видим пользователей, которые вошли в систему
• PsPasswd: Позволяет нам изменять пароли учетных записей, зарегистрированных в системе.
• PsPing: он выполняет функцию команды Ping, позволяя видеть, что между устройствами есть связь.
• PsService: Это дает нам возможность видеть и контролировать сервисы.
• PsShutdown: используя эту опцию, мы можем отключить, перезапустить, выйти из системы среди других опций.
• PsSuspend: мы можем приостановить и перезапустить сервисы

Таким же образом мы можем найти более 30 других приложений, которые могут оказать большую помощь не только на локальном уровне, но и на уровне домена, некоторые из этих других приложений быстро:

ручка

Это позволяет нам наблюдать процессы, которые в реальном времени работают в системе.

потоки

С помощью Streams мы можем анализировать все файлы и каталоги как локально, так и на уровне домена, чтобы увидеть их информацию, такую ​​как размер, свойства и т. Д.

SDelete

Это утилита командной строки, которая позволяет нам безопасно удалять файлы и каталоги в системе.

арендуемая

Это утилита, которая позволяет нам дефрагментировать один или несколько файлов, что позволяет нам повысить производительность этих файлов.

MoveFile

Это приложение, которое позволяет нам программировать движения и удалять команды после следующего запуска системы.

SigCheck

С помощью этого инструмента мы можем увидеть версию, дату создания и цифровую подпись определенных файлов.

Как мы уже видели, у нас есть очень интересный пакет для управления, контроля и надзора за нашей Windows 10. Приглашаем вас ознакомиться с различными приложениями, включенными в Sysinternals, и определить, какие из них наиболее подходят для нашей работы, и помнить, что эти инструменты бесплатны. во все времена