Что такое инструменты SysInternals?
Набор инструментов SysInternals — это просто набор приложений Windows, которые можно бесплатно загрузить из соответствующего раздела веб-сайта Microsoft. Все они портативны, а это значит, что вам не только не нужно их устанавливать, вы можете скопировать их на флешку и использовать с любого ПК. Фактически, вы можете запускать их без установки через SysInternals Live (что мы немного проиллюстрируем).
Инструменты включают в себя такие утилиты, как Process Explorer, который очень похож на диспетчер задач с множеством дополнительных функций, или Process Monitor, который контролирует ваш компьютер на предмет изменений файловой системы, реестра или даже сетевой активности практически любого процесса в вашей операционной системе.
Autoruns помогает контролировать автоматическую запуску всех процессов, TCPView показывает, что подключается к ресурсам в Интернете, и есть целый набор инструментов, которые запускаются из командной строки, чтобы помочь вам взять под контроль процессы, службы и т. д.
Большинству этих инструментов потребуется права администратора на вашем компьютере, поэтому было бы разумно протестировать их на виртуальной машине или на тестовом компьютере, если вы не уверены, что делаете — это очень мощные инструменты.
Например, предположим, что вы хотите устранить причину, по которой компьютер стал работать слишком медленно. И вы хотите проверить все потоки для конкретного приложения, а затем вы хотите увидеть весь стек для одного из этих потоков, чтобы точно узнать, какие библиотеки DLL и функции вызываются. В Process Explorer это делается тривиально — вы можете просто дважды щёлкнуть процесс, перейти на вкладку Threads и затем нажать кнопку Stack.
Что всё это значит? Подождите до уроков 2 и 3, где мы сделаем все возможное, чтобы объяснить вам концепции и, что более важно, объяснить, почему вы вас могут заинтересовать такие дебри процессов.
Запуск инструментов из SysInternals Live
Если вы не хотите, чтобы у вас возникли проблемы с загрузкой и разархивированием, а затем с запуском приложения, и вы не хотите обновлять USB-накопитель с последними версиями, или у вас просто нет доступа к вашему диску во время работы на чужом компьютере, всегда можно прибегнуть к SysInternals Live.
Суть в следующем: несколько лет назад ребятам из SysInternals стало любопытно, смогут ли они найти новый способ распространения своего программного обеспечения… поэтому они создали общий файловый ресурс Windows на своём сервере и предоставили всем в Интернете доступ к нему.
Таким образом, вы можете просто ввести \\live.sysinternals.com\tools в поле «Выполнить» Windows после того, как вызовете его с помощью сочетания клавиш Win+R, откроется их общая папка, где вы можете осмотреться.
Адрес \\live.sysinternals.com\tools можно ввести в проводнике или даже просто в веб-браузере.
Примечание: формат \\СЕРВЕР\ОБЩАЯ-ПАПКА называется путём UNC (Universal Naming Convention), и он работает практически в любом месте Windows. Вы можете использовать его в адресной строке проводника, в диалоговых окнах открытия и сохранения файлов или в любом другом месте, где вы обычно используете путь к файлу.
Любой инструмент вы можете запустить просто дважды щёлкнув его мышью.
Однако утилит много и поиск нужной может занять время. К счастью, есть гораздо более быстрый способ запустить любую утилиту SysInternals с любого подключённого к Интернету ПК с Windows.
Просто следуйте этому формату, чтобы напрямую запустить одну из утилит через окно «Выполнить»:
\\live.sysinternals.com\tools\ИМЯ-Инструмента
Например, для запуска Process Explorer имя исполняемого файла — procxp.exe, поэтому вы можете использовать \\live.sysinternals.com\tools\procexp64.exe для запуска Process Explorer, или изменить procexp64.exe на procmon64.exe для запуска Монитора процессов.
При запуске с SysInternals Live каждый раз будет показываться диалоговое окно с предупреждением системы безопасности, прежде чем вы действительно запустите любую из них. Это, конечно, хорошо, что Windows не позволяет запускать что-либо из общей папки. Это было бы катастрофой!
Мы настоятельно рекомендуем просто загрузить и установить копию инструментов на каждый компьютер, с которым вы работаете, а не запускать каждый раз с сайта Live. Но в крайнем случае приятно знать, что вы можете это сделать.
Утилиты Sysinternals Suite для работы с сетью.
ADRestoreADRestore
позволяет просмотреть список удаленных объектов Active Directory (AD) и, при необходимости, — восстановить выбранные. Для получения справки используется ключ/? . При запуске без параметров утилита выводит список объектов AD, помеченных как удаленные.
Примеры :
adrestore > C:\adodel.txt
— вывести список всех объектов AD, помеченных как удаленные, в файл C:\adodel.txtadrestore.exe laserjet — вывести список удаленных объектов AD, в имени которых содержится строка «laserjet»adrestore -r — вывести список объектов AD с запросом на восстановление.adrestore -r — вывести список объектов AD с запросом на восстановление.ADinsightADInsight
— утилита для наблюдения за обменом данными между клиентом и сервером по протоколуLDAP . Очень полезна при поиске причин ненормальной работы служб и приложений в среде Active Directory , отслеживании разрешений, поиске причин низкой производительности, и просто для изучения механизма взаимодействия объектов AD.
Имеется встроенная справка на английском языке. Щелчок правой кнопкой по строке события позволяет вызвать контекстное меню, позволяющее получить краткое описание свойств события, имени и пути процесса, связанного с ним, перейти к предыдущему или следующему событию, завершившемуся ошибкой. Информация отображается в виде колонок, состав которых можно изменить Фильтры для поиска и подсветки событий используются так же, как и в большинстве утилит Sysinternals с графической оболочкой. При настройках по умолчанию, строки подсвеченные красным цветом, относятся к событиям, завершившимся с ошибкой. Контекстное меню также позволяет непосредственно из среды ADInsight вызвать другую программу из состава пакета Sysinternals Suite — проводник Active Directory ADExplorer , используемую для просмотра структуры данных AD и по возможностям и интерфейсу пользователя схожей с утилитойADSIEdit от Microsoft.TCPViewTCPView
— стабильно входит в десятку наиболее популярных утилит пакета Sysinternals Suite. Используется для отображения списка всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. В операционных системах Windows XP и старше, программа TCPView также отображает имя процесса, которому принадлежит данное соединение. В некотором смысле, TCPView является дополнением стандартной утилиты операционной системы WindowsNetstat.exe , но кроме представления данных о соединениях в удобной форме, позволяет выполнить дополнительные действия — разорвать конкретное соединение, завершить процесс, создавший соединение и определить имя хоста, участвующего в соединении.
Контекстное меню, вызываемое правой кнопкой мышки позволяет выполнять определенные действия над выбранным соединением:Procees Properties
— отобразить свойства процесса, связанного с данным соединением. Отображается название процесса, версия, имя и путь исполняемого файла.
End Process
— завершить процесс, связанный с данным соединением.
Close Connection
— принудительно завершить выбранное соединение .
Whois
— выполнить запрос на получение данных об узле, участвующем в данном соединении.
Copy
— скопировать в буфер обмена информацию данной строки.
С использованием основного меню программы можно сохранить данные о всех текущих соединениях в текстовый файл ( меню File — Save
) . В составе пакета Sysinternals Suite, кроме программы TCPView имеется консольный вариантTcpvcon с теми же функциональными возможностями.
Продукция
«Sysinternals» предоставляет пользователям огромное количество бесплатных утилит, большинство из которых активно разрабатываются Марком Руссиновичем и Брайсом Когсуэллом, таких как «Process Explorer», «AutoRuns», «RootkitRevealer», «Contig», «PageDefrag» и множество других, которых в общей сложности 65 штук. Утилита «NTFSDOS» для обработки томов файловой системы NTFS в операционной системой Microsoft MS-DOS в настоящее время не разрабатывается, а также не доступна для загрузки.
Также были популярными такие продукты, как Administrator Pack совместно с ERD Commander 2005, Remote Recover 3.0, NTFSDOS Professional 5.0, Crash Analyzer Wizard, FileRestore 1.0, Filemon Enterprise Edition 2.0, Regmon Enterprise Edition 2.0, AD Explorer Insight for Active Directory 2.0, TCP Tools.
19 мая 2010 года «Sysinternals» выпустила свою первую и совершенно новую утилиту, с момента приобретения корпорацией Microsoft, под названием «RAMmap», предназначенную для анализа и диагностики использования физической памяти компьютера, утилита похожа на утилиту Microsoft Windows «Монитор производительности и стабильности», но является более продвинутой. RAMmap работает только на Windows Vista и выше.
Список
- Sysinternals Suite
- AccessChk
- AccessEnum
- AdExplorer
- AdInsight
- AdRestore
- Autologon
- AutoRuns
- BgInfo
- BlueScreen
- CacheSet
- ClockRes
- Contig
- Coreinfo
- Ctrl2cap
- DebugView
- Desktops
- Disk2vhd
- DiskExt
- Diskmon
- DiskView
- Disk Usage (DU)
- EFSDump
- FileMon
- Handle
- Hex2dec
- Junction
- LDMDump
- ListDLLs
- LiveKd
- LoadOrder
- LogonSessions
- MoveFile
- NT Locksmith
- NTFSInfo
- PageDefrag
- PendMoves
- PipeList
- PortMon
- ProcDump
- Process Explorer
- Process Monitor
- ProcFeatures
- PsExec
- PsFile
- PsGetSid
- PsInfo
- PsKill
- PsList
- PsLoggedOn
- PsPasswd
- PsService
- PsShutdown
- PsSuspend
- PsTools
- RAMMap
- RegDelNULL
- RegJump
- RegMon
- RootkitRevealer
- PsLogList
- SDelete
- ShareEnum
- ShellRunas
- Sigcheck
- Streams
- Strings
- Sync
- TCPView
- VMMap
- VolumeId
- Whois
- WinObj
- ZoomIt
По аналогии с Filemon Regmon программа позволяет отслеживать действие всех программ, обращающихся к реестру Windows. Она позволяет находить различные ошибки в реестре.
Утилита Process Explorer незаменима в случае, когда в операционную систему проникла программа, скрывающая свой процесс от антивирусов и диспетчера задач Windows. Глубина поиска процессов утилитой Process Explorer столь высока, что ни один процесс не сможет от неё укрыться.
Конечно же этим перечнем список программ пакета Sysinternals Suite не ограничивается. Возможности этих полезных утилит можно исследовать долго.
Программы пакета Sysinternals Suite позволяют получить полный контроль над работой системы. Распространяются утилиты Sysinternals Suite в виде ZIP-архива и не требуют инсталляции на локальный компьютер. Лицензия на Sysinternals Suite позволяет совершенно свободно и бесплатно использовать его как на домашних компьютерах, так и на ПК коммерческих организаций. Благодаря надёжности, простоте использования и широкому функционалу Sysinternals Suite — незаменимый инструмент в арсенале любого специалиста по настройке компьютеров.
Размещено на Allbest.ru
Подобные документы
Использование CASE-средств для моделирования деловых процессов; совершенствование проектирования информационных систем с помощью программного пакета CA ERwin Modeling Suite: характеристики, возможности визуализации структуры данных и среды развертывания.
реферат , добавлен 20.03.2012
Задача очистки операционной системы ПК от удаленных программ. Выбор деинсталлятора: штатный механизм Удаления, обзор возможных решений; описание утилит, методика тестирования, общие функции. Экономическая часть: анализ конкурентоспособности утилит.
дипломная работа , добавлен 31.03.2012
Программы (утилиты) для настройки и обслуживания компьютера. Характеристика популярных диагностических утилит и многофункциональных пакетов (Norton Utilities, Fix-It Utilities, CheckIt). Разработка сайта о системных программах и их классификации.
курсовая работа , добавлен 28.05.2009
Описание процесса начального этапа внедрения программного продукта LSA Suite, в частности импорта/экспорта данных из существующих на предприятии организационно-технических систем. Архитектура разрабатываемого программного комплекса. Блок-схема алгоритма.
курсовая работа , добавлен 05.02.2013
Ознакомление со структурой диска FAT. Описание функциональных возможностей утилит по восстановлению диска и данных в DOS: Chkdsk, Recover и Scandisk. Принципы работы программы дефрагментации диска. Способы устранения проблем при доступе с жесткому диску.
Autoruns
More often than not, every program you install on your system will add itself to the system startup. This helps the application to be ready for use as soon as the system starts. However, the most applications are in the startup queue, the slower system startup will be. Not only programs but there will several things that start with Windows like scheduled tasks, services, drivers, codecs, Explorer shell extensions, browser helper objects, toolbars, etc.
To deal with this, you can simply use the Autoruns application. It provides all the necessary options to manage the startup items. Moreover, it also plays well with Process Explorer. The application’s user interface may look pretty dated but it is neatly divided into categories. Being a powerful application, only disable an entry if you are sure.
How to run: Just like Process Explorer, Autoruns is also portable. So, download, extract and execute the application “autoruns.exe”. Once opened, you can disable any autorun entry by deselecting the checkbox. The “autorunsc.exe” file you see in the zip file is the command line version.
Обзор на Пакет утилит Sysinternals Suite
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Размещено на http://allbest.ru
Обзор на Пакет утилит Sysinternals Suite
1. Пакет утилит Sysinternals Suite
Sysinternals Suite представляет собой многофункциональный пакет системных утилит, которые охватывают широкий спектр функций и задач по настройке, обслуживанию и устранению проблем, возникающих в работе компьютеров. Пакет Sysinternals Suite разработан одним из подразделений компании Microsoft, поэтому надёжность работы входящих в его состав утилит гарантирована. Утилиты Sysinternals Suite предназначены в первую очередь для опытных пользователей и системных администраторов, но и начинающие пользователи, при желании, смогут с их помощью решить многие из своих повседневных проблем.
Большинство утилит пакета Sysinternals Suite для получения полной функциональности требуют наличия административных привилегий. Для операционных систем семейства Windows 2000/XP достаточно того, чтобы пользователь работал под учетной записью члена группы администраторов. В среде операционных систем Widows Vista/Windows 7 необходим запуск утилит с использованием пункта контекстного меню «Запустить от имени администратора». Командные файлы, в которых используются утилиты командной строки, также должны выполняться в контексте учетной записи с привилегиями администратора. Пакет Sysinternals Suite включает в себя несколько десятков небольших утилит, как консольных, так и с графическим интерфейсом, многие из которых широко известны в среде системных администраторов и продвинутых пользователей — пакет программ PSTools, утилиты мониторинга Process Monitor, Autoruns, Process Explorer, антируткит RootkitRevealer и т.д.
Пакет Sysinternals Suite обновляется несколько раз в год, состав его может изменяться — меняются версии программ, некоторые из утилит удаляются, некоторые добавляются, но основной набор существует более десяти лет, что говорит о его востребованности в среде администраторов и грамотных пользователей операционных систем семейства Windows. Параметры командной строки консольных утилит и графический интерфейс пользователя для большинства программ очень схожи, что значительно облегчает их практическое использование.
системный утилит пакет
2. Основные возможности Sysinternals Suite
В составе Sysinternals Suite более 60 различных инструментов. Они созданы и устроены так, чтобы максимально быстро и надёжно решать возникающие проблемы, поэтому интерфейс некоторых из них предельно утилитарен и прост. На какие-либо украшательства окон программ разработчики Sysinternals Suite время не тратят. Некоторые утилиты так и вообще работают в командной строке Windows.
Среди утилит, входящих в состав пакета, можно отдельно остановиться на следующих:
Утилита PageDefrag предназначена для дефрагментации так называемого файла подкачки Windows. Этот файл очень важен для скорости работы операционной системы. Поскольку при работающей ОС ни одна утилита для дефрагментации не может получить к нему доступ, дефрагментировать его можно только в момент загрузки операционной системы. Именно это и позволяет сделать PageDefrag. Можно настроить её на однократное выполнение дефрагментации файла подкачки или на ежедневное выполнение этой процедуры.
Autoruns утилита незаменима на случай, когда в список автозапускаемых приложений Windows затесалась какая-либо вредоносная программа. Autoruns отыскивает автозапускаемые программы на столь низком уровне, что ни один вирус или шпион не может от неё скрыться.
Программа Bginfo позволяет быстро собрать в один отчёт всю техническую информацию о компьютере, в том числе сетевое имя, IP-адрес, адрес сетевого шлюза, объём и тип памяти, свободное пространство на жёстком диске и многое другое.
Программа AccessEnum, позволяющая анализировать права доступа на файлы и каталоги системы, находя бреши, которые могут использовать вирусы для проникновения на компьютер.
Filemon позволяет анализировать все действия программ в операционной системе, так или иначе обрабатывающих файлы. С её помощью удобно находить различные проблемы в файловой системе.
Sysinternals Suite — набор системных утилит для Windows
Большинству опытных пользователей Windows знакомы бесплатные программы из набора Microsoft Sysinternals, такие как из и другие, о некоторых из них я очень давно писал в статье Бесплатные утилиты Майкрософт, о которых вы не знали.
Ранее эти утилиты требовалось скачивать по отдельности, теперь же пользователи Windows 11 и Windows 10 могут скачать и установить набор наиболее востребованных инструментов Sysinternals Suite из магазина приложений Microsoft Store, а пользователи предыдущих версий системы могут скачать автономный установщик этого набора с официального сайта, о чем далее в статье. Также может быть полезным: Microsoft PowerToys — полезные системные утилиты для Windows 11 и Windows 10.
Установка Sysinternals Suite, какие программы входят в комплект
Всё что потребуется для установки Sysinternals Suite, это несколько простых шагов:
- Пользователи Windows 11 и Windows 10 могут открыть магазин приложений Microsoft Store и выполнить поиск по запросу «Sysinternals Suite» и установить его. Прямая ссылка на приложение в магазине.
- Пользователи предыдущих версий системы могут скачать установщик набора утилит с официального сайта, а затем выполнить установку.
В результате будет установлен набор самых популярных и часто используемых опытными пользователями и системными администраторами утилит Sysinternals.
Приложения вы найдете в списке всех приложений в меню «Пуск»:
Утилиты, входящие в набор Sysinternals Suite (их описания можно найти на странице https://docs.microsoft.com/ru-ru/sysinternals/):
- AccessEnum
- ADExplorer
- ADInsight
- Autologon (автоматический вход в систему без ввода логина и пароля)
- Autoruns (просмотр, проверка, управление элементами, запускаемыми автоматически в Windows)
- BGInfo
- CacheSet
- CPU Stress
- DebugView
- Desktops (виртуальные рабочие столы для версий Windows, где они не поддерживаются)
- Disk2Vhd (создание виртуального жесткого диска из физического диска)
- Diskmon
- DiskView
- LoadOrder
- NotMyFault (имитация сбоев, синего экрана BSoD)
- Process Explorer (очень продвинутый диспетчер задач)
- Process Monitor
- RamMap
- RDCMan
- ShareEnum
- ShellRunas
- TCPView
- VMMap
- WinObj
- ZoomIt
Надеюсь, для кого-то информация окажется полезной и упростит скачивание и установку необходимых инструментов в Windows.
TCPview
TCPview is a simple application that lists all the processes that are connected to the internet. Every process that is connected to the internet will be labeled as “Established.” If you want to, you can close the connection from the right-click menu. The good thing about TCPview is it show you the live feed of all the processes with a one-second delay. If you want to, you can change the update rate from the View menu. Moreover, the connections are color coded, i.e. new endpoints are shown in green, updates to endpoints are shown in yellow, and the deleted endpoints are shown in red.
How to use: Again, download, extract, and execute the file “tcpview.exe”. As soon as you open the application, you will see all the process with active connections. The “tcpvcon.exe” file you see in the archive is a command line tools that acts like the netstat utility in Windows.
Настройка Sysinternals Suite для запуска из любого места
Рассмотрим пару советов. Если вы загрузили весь Sysinternals Suite, вы, вероятно, хотели бы запускать свои команды из любого места: диалогового окна «выполнить», в окне командной строки, окне поиска. Если вы добавите папку Sysinternals в переменную среды «Path», вы cможете это делать. Что даст вам возможность увидеть значительно улучшенную версию интерфейса Windows 10 для редактирования этого и других переменных окружения.
Чтобы приступить к работе, введите в поле поиска «environmen/окружающая среда», затем в списке результатов, нажмите кнопку «Редактировать переменные системного окружения». В диалоговом окне «Переменные окружающей среды», нажмите на переменные среды, выберите путь и нажмите кнопку «Редактировать». Отобразится следующее диалоговое окно. Если вы когда-нибудь пытались редактировать переменную Path в предыдущей версии Windows, вы оцените, насколько проще это диалоговое окно по сравнению с его предшественниками.
Если вы извлекли файлы в папку с именем SysinternalsSuite в корневой каталог диска «C», все, что вам нужно сделать, это нажать кнопку «Новый», найти эту папку, и кликнуть на ней, для указания её полного пути. Сделайте то же самое, чтобы указать полный путь туда, где вы сохранили файлы. Затем дважды нажмите кнопку «ОК», чтобы сохранить изменения. Теперь вы можете ввести любую команду Sysinternals, например, «Autoruns», для запуска этого инструмента без указания его полного расположения.
Не все опции в Sysinternals Suite равноценны. Некоторые из них, были явно написаны для другой эпохи и имеют мало отношения к последней десктопной версии Windows или современным версиям серверов. Кроме того, некоторые инструменты, хотя по-прежнему полезны, были заменены встроенными функциями. Например, с приложением «Desktops», можно создать до четырёх виртуальных рабочих столов и назначить для каждого из них горячие клавиши. Добавление виртуальных рабочих столов как встроенная функция в Windows 10 делает альтернативу Sysinternals гораздо менее необходимой.
Лучшая подсказка для понимания, какие программы заслуживают более пристального внимания — поле «Дата создания». Переключитесь в проводнике на вид списка, добавьте поле «Дата создания» и затем сортируйте по этим данным. В этом списке вы найдёте маркировку даты и времени, начиная с 1999 года и многое другое. Наиболее полезные программы Sysinternals регулярно обновляются и отображаются в верхней части списка.
What’s New
What’s New (September 17, 2020)
Sysmon v12.0 In addition to several bug fixes, this major update to Sysmon adds support for capturing clipboard operations to help incident responders retrieve attacker RDP file and command drops, including originating remote machine IP addresses.
Process Monitor v3.60 This update to Process Monitor, a utility that logs process file, network and registry activity, adds support for multiple filter item selection, as well as decoding for new file system control operations and error status codes.
Procdump v10.0 This release of Procdump, a flexible tool for manual and trigger-based process dump generation, adds support for dump cancellation and CoreCLR processes.
ARM64 ports In addition, several tools have been newly ported to and are now available for ARM64. These include: AdInsight v1.2, AutoLogon v3.1, Autoruns v13.98, ClockRes v2.1, DebugView v4.9, DiskExt v1.2, FindLinks v1.1, Handle v4.22, Hex2Dec v1.1, Junction v1.07, PendMoves v1.02, PipeList v1.02, Procdump v10.0, Process Explorer v16.32, RegDelNull v1.11, RU v1.2, Sigcheck v2.8, Streams v1.6, Sync v2.2, VMMap v3.26, WhoIs v1.21 and ZoomIt v4.52. Download all ARM64 tools in a single download with the Sysinternals Suite for ARM64.
What’s New (June 24, 2020)
Sysmon v11.10 This update to Sysmon now captures stream content for alternate data streams into logged events, which is useful for investigating downloads tagged with вЂMark of the Web†(MOTW) streams, introduces an вЂis-any†filter condition, and fixes several bugs.
Sigcheck v2.80 Sigcheck, a flexible tool for showing file versions, file signatures, and certificate stores, introduces a -p option for specifying a trust GUID for signature verification, and it now shows certificate signing chains even when a certificate in the chain is untrusted.
Sysinternals June 24 Update Video Mark Russinovich covers whatвЂs new in this update, with demos of SysmonвЂs alternate data stream content capture and new features in Sigcheck.
What’s New (April 28, 2020)
Sysmon v11.0 This major update to Sysmon includes file delete monitoring and archive to help responders capture attacker tools, adds an option to disable reverse DNS lookup, replaces empty fields with вЂ-†to work around a WEF bug, fixes an issue that caused some ProcessAccess events to drop, and doesnвЂt hash main data streams that are marked as being stored in the cloud.
Sysinternals April 27 Update Video Mark Russinovich covers whatвЂs new in this update, with a demo of SysmonвЂs new file delete monitoring and capture capability.
What’s New (December 11, 2019)
Sysmon v10.42 This update to Sysmon addresses a number of memory leaks, introduces the «Excludes Any» and «Excludes All» filtering conditions and resolves a number of bugs.
Zoomit v4.52 This update to Zoomit resolves a number of dual-monitor related issues.
Whois v1.21 This refresh of Whois contains various bug fixes.
What’s New (September 05, 2019)
Sysmon v10.4 This major update to Sysmon, a security event monitoring service, adds nested rule support to rule groups and “contains any” and “contains all” rule conditions for more flexible filtering, as well as several bug fixes.
Process Explorer v16.30 This update to Process Explorer adds a Shared Commit column to the process view, fixes a bug that caused it to terminate when it is configured to run at logon and the system went to battery, and fixes bugs that prevented the system CPU graph from correctly showing multiple sockets.
Process Monitor
If Process Explorer is created to manage and kill processes, Process Monitor is designed to monitor and get information of every process on your system to know what it is doing. For instance, you may want to know what reg keys are being used by a program to store the settings, what processes are accessing the internet, what reg keys are being modified when you are making changes, etc. Process Monitor can monitor a wide range of activities like real-time file system changes, registry activities, thread activities, processes activities, etc.
Moreover, the application also has a rich filtering system that lets you narrow down and get extensive information about any process and its activities on your system. As you can tell, this is a pretty advanced tool that is very useful in troubleshooting scenarios.
How to use: Download file, extract and then execute the file “procmon.exe”. As soon as you launch, the application will scan for any and all processes on your system. The scan may take some time and the application may even become unresponsive while scanning. So, wait until the scan is completed. After the scan, you will see all the active process. To see the process properties, simply right-click on the process and select “Properties.”
Autoruns
На протяжении многих лет управление автоматически запускающимися при включении вашей системы Windows программами постепенно улучшалось. Последнее дополнение к набору инструментов Windows, вкладка «Автозагрузка» в диспетчере задач.
Но встроенный инструмент не может сравниться с Autoruns, который законно считается «наиболее полным инструментом для просмотра и управления autostart в Windows.»
В отличие от диспетчера задач, который ограничивается списком наиболее распространённых локаций, Autoruns показывает полный список расположений в реестре, в запланированных задач и т.д., то есть везде, где приложение может настроить себя на автоматический запуск. С помощью диспетчера задач, можно временно отключить любые, перечисленные на вкладке «Автозагрузка» записи. А также Autoruns даёт возможность удалить эту запись, без ущерба для реестра.
Иногда — возможно, даже большую часть времени — эти элементы полезны, включая такие задачи, как проверка обновлений безопасности и выполнение основных задач синхронизации. Но некоторые записи просто пожирают используемые при запуске системы ресурсы.
Вкладка «Everything» показывает, каждый файл, драйвер, службу, запланированные задачи и другие элементы, которые запускаются автоматически при включении устройства или входе в систему.
Каждая строка содержит имя записи в автозапуске, издателя и описание исполняемых файлов и библиотек DLL. Путь к выполняющемуся при запуске элемента файлу и его иконку. Снимите флажок, слева от любого элемента, и временно отключите этот пункт. Панели в нижней части отображают сведения о текущем выборе, включая её полную командную строку.
Что означают цветовые коды Autoruns
Цветовое кодирование списков в Autoruns, сначала может вас расстроить, особенно потому, что нигде документально не описывается. Каждая рубрика, идентифицирующая местоположение хранящихся в автозапуске данных, заштрихована светло-фиолетовым цветом. Выбранная в настоящее время строка, выделяется тёмно-синим цветом. Строки, выделенные красным связаны с файлами, у которых поля описание и издатель пусты. Заливка жёлтого цвета означает, что точки входа autostart в этот файл не найдены.
Если вы уверены, что жёлтая строка появилась только потому, что после удаления программы её данные должным образом не очищены, вы можете удалить их с помощью Autoruns. Для красных строк: выберите нужную строку, щёлкните по ней правой кнопкой мыши и в контекстном меню — проверить изображение. Если сертификат цифровой подписи кода файла доверенный, в колонке «издатель» текст изменится на (проверено) и последует имя издателя сертификата подписи кода. Если файл не подписан или проверка по любой другой причине терпит неудачу, текст изменится на (не проверено).
Как уже упоминалось ранее, список Autoruns может быть огромен. Один из способов уменьшить уровень помех — нажать в меню «Options» и выбрать пункт «Скрыть записи Microsoft». Эта опция облегчит обнаружение потенциально проблемных программ от сторонних производителей, в том числе вредоносных.
Используйте этот параметр, чтобы при поиске потенциально проблемных программ сторонних производителей, скрыть записи Microsoft и уменьшить количество сканируемых записей.
Щёлкните правой кнопкой мыши по любой записи, на любой вкладке в Autoruns и просмотрите список опций для этого элемента. Например, опция «Перейти к элементу» перенесёт к папке или ключу реестра, где находится этот элемент. Опция «Перейти к изображению» откроет проводник и покажет установленный для автоматического запуска файл.
Если в списке Autoruns вы увидели незнакомую запись, чтобы увидеть её параметры и исследовать дальше, щёлкните на ней правой кнопкой мыши .
Обратите внимание, что несколько вариантов из этого списка требуют административных привилегий, в том числе возможность удаления записи из реестра. Если вы запустили Autoruns без повышения прав, вы увидите диалоговое окно отказа в доступе, как показано на следующем изображении
Чтобы перезапустить Autoruns и повторите попытку, используйте запуск от имени администратора.
Обзор служебных утилит Sysinternals
Конечно можно посетить страницу Windows Sysinternals, на https://technet.microsoft.com/sysinternals и использовав алфавитный указатель утилит, выбрать только нужные инструменты. Для чуть более точного подхода, попробуйте шесть отдельных категорий: файл и диск, сеть, процесс, безопасность, системная информация и прочие.
Но гораздо проще скачать весь набор Sysinternals (https://technet.microsoft.com/sysinternals/bb842062) и разархивировать его в собственную папку.
Как удобная альтернатива, для экономии места на диске и уточнения того, что вы планируете использовать самые последние версии утилит, воспользуйтесь службой Sysinternals Live. На https://live.sysinternals.com, вы найдёте полный перечень всех инструментов и файлы поддержки. Если вы знаете название нужного вам инструмента, можно ввести этот путь в проводнике Windows или в командной строке, например, https://live.sysinternals.com/<toolname> или \\live.sysinternals.com\tools\<toolname>. (Подсказка: сохраните избранное для быстрого доступа как web-ярлыки.)
Служба Sysinternals Live позволяет запускать последние в коллекции версии каждого инструмента с помощью одного клика.
Некоторые инструменты Sysinternals полностью конкретизированы и имеют характерный графический интерфейс. Другие, предназначены для интерактивного запуска в командной строке или с помощью скриптов.