Sysinternals suite как пользоваться
Перейти к содержимому

Sysinternals suite как пользоваться

  • автор:

Sysinternals Suite

По Mark Russinovich
Обновлено: 13 февраля 2024 г.

Введение

Служебные программы устранения неполадок sysinternals были развернуты в одном наборе инструментов. Этот файл содержит отдельные средства устранения неполадок и файлы справки. Он не содержит средств, не связанных с устранением неполадок, таких как средство сохранения экрана BSOD.

Дополнительные ресурсы

Значок отказа согласно Закону Калифорнии о защите конфиденциальности потребителей (CCPA)

Sysinternals Suite — набор системных утилит для Windows

Установка Sysinternals Suite, какие программы входят в комплект

Всё что потребуется для установки Sysinternals Suite, это несколько простых шагов:

Sysinternals Suite в Microsoft Store

  1. Пользователи Windows 11 и Windows 10 могут открыть магазин приложений Microsoft Store и выполнить поиск по запросу «Sysinternals Suite» и установить его. Прямая ссылка на приложение в магазине.
  2. Пользователи предыдущих версий системы могут скачать установщик набора утилит с официального сайта, а затем выполнить установку.

В результате будет установлен набор самых популярных и часто используемых опытными пользователями и системными администраторами утилит Sysinternals.

Приложения вы найдете в списке всех приложений в меню «Пуск»:

Список утилит Sysinternals Suite

  • AccessEnum
  • ADExplorer
  • ADInsight
  • Autologon ( автоматический вход в систему без ввода логина и пароля)
  • Autoruns ( просмотр, проверка, управление элементами, запускаемыми автоматически в Windows)
  • BGInfo
  • CacheSet
  • CPU Stress
  • DebugView
  • Desktops ( виртуальные рабочие столы для версий Windows, где они не поддерживаются)
  • Disk2Vhd (создание виртуального жесткого диска из физического диска)
  • Diskmon
  • DiskView
  • LoadOrder
  • NotMyFault ( имитация сбоев, синего экрана BSoD)
  • Process Explorer (очень продвинутый диспетчер задач)
  • Process Monitor
  • RamMap
  • RDCMan
  • ShareEnum
  • ShellRunas
  • TCPView
  • VMMap
  • WinObj
  • ZoomIt

Надеюсь, для кого-то информация окажется полезной и упростит скачивание и установку необходимых инструментов в Windows.

А вдруг и это будет интересно:

  • Лучшие бесплатные программы для Windows
  • Как выйти из полноэкранного режима в Windows
  • Как включить компактный вид панели быстрых настроек Windows 11
  • Delta — эмулятор старых консолей на iPhone теперь доступен в AppStore
  • Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
  • Msftconnecttest.com — что это и как исправить возможные ошибки
  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники
  • Живые обои на рабочий стол Windows 11 и Windows 10
  • Лучшие бесплатные программы на каждый день
  • Как скачать Windows 10 64-бит и 32-бит оригинальный ISO
  • Как смотреть ТВ онлайн бесплатно
  • Бесплатные программы для восстановления данных
  • Лучшие бесплатные антивирусы
  • Средства удаления вредоносных программ (которых не видит ваш антивирус)
  • Встроенные системные утилиты Windows 10, 8 и 7, о которых многие не знают
  • Бесплатные программы удаленного управления компьютером
  • Запуск Windows 10 с флешки без установки
  • Лучший антивирус для Windows 10
  • Бесплатные программы для ремонта флешек
  • Что делать, если сильно греется и выключается ноутбук
  • Программы для очистки компьютера от ненужных файлов
  • Лучший браузер для Windows
  • Бесплатный офис для Windows
  • Запуск Android игр и программ в Windows (Эмуляторы Android)
  • Что делать, если компьютер не видит флешку
  • Управление Android с компьютера
  • Настройка возможностей восстановления Apple ID на iPhone
  • Как выйти из полноэкранного режима в Windows
  • Как включить компактный вид панели быстрых настроек Windows 11
  • Delta — эмулятор старых консолей на iPhone теперь доступен в AppStore
  • Шрифты в интерфейсе Chrome стали более жирными и размытыми — как исправить?
  • Msftconnecttest.com — что это и как исправить возможные ошибки
  • Как вывести результат выполнения команды в файл в Windows
  • Как запускать программу на определенном мониторе в Windows
  • Как запретить использование режима Инкогнито в браузере
  • После изменения числа процессоров и максимума памяти Windows перестала запускаться — что делать?
  • Использование Desktop.ini Editor для редактирования свойств папок Windows
  • Флешка отображается как два отдельных диска — почему и что делать?
  • Как удалить дубликаты фото и видео на iPhone
  • Компьютер или ноутбук не запускается после замены батарейки CMOS — что делать?
  • Ошибка nvgpucomp64.dll в играх — варианты решения
  • Windows
  • Android
  • iPhone, iPad и Mac
  • Программы
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Ноутбуки
  • Wi-Fi и настройка роутера
  • Интернет и браузеры
  • Для начинающих
  • Безопасность
  • Ремонт компьютеров
  • Windows
  • Android
  • iPhone, iPad и Mac
  • Программы
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Ноутбуки
  • Wi-Fi и настройка роутера
  • Интернет и браузеры
  • Для начинающих
  • Безопасность
  • Ремонт компьютеров

Утилиты Microsoft Sysinternals

Инструменты Sysinternals — это набор бесплатных программ для администрирования и мониторинга компьютеров под управления операционных систем Windows. Изначально программы Sysinternals (Winternals) разрабатывались компанией Winternals Software LP под руководством двух разработчиков — Марка Руссиновича (Mark Russinovich) и Брайса Когсуэлла (Bryce Cogswell). В июле 2006 года корпорация Microsoft приобрела компанию Winternals Software LP и всю её продукцию. В настоящее время веб-сайт Sysinternals переехал на веб-портал Microsoft и стал частью Microsoft TechNet. В составе Microsoft Technet теперь имеется раздел Windows Sysinternals , где можно скачать полный набор утилит Sysinternals Suit в виде архива, либо отдельные утилиты из его состава.

Большинство утилит пакета Sysinternals Suite для получения полной функциональности требуют наличия административных привилегий. Для операционных систем семейства Windows 2000/XP достаточно того, чтобы пользователь работал под учетной записью члена группы администраторов. В среде операционных систем Widows Vista/Windows 7 необходим запуск утилит с использованием пункта контекстного меню «Запустить от имени администратора». Командные файлы, в которых используются утилиты командной строки, также должны выполняться в контексте учетной записи с привилегиями администратора.

Пакет Sysinternals Suite включает в себя несколько десятков небольших утилит, как консольных, так и с графическим интерфейсом, многие из которых широко известны в среде системных администраторов и продвинутых пользователей — пакет программ PSTools, утилиты мониторинга Process Monitor, Autoruns, Process Explorer, антируткит RootkitRevealer и т.д. Многие из них рассматриваются в отдельных статьях, ссылки на которые найдете на главной странице сайта в разделе Windows . Пакет Sysinternals Suite обновляется несколько раз в год, состав его может изменяться — меняются версии программ, некоторые из утилит удаляются, некоторые добавляются, но основной набор существует более десяти лет, что говорит о его востребованности в среде администраторов и грамотных пользователей операционных систем семейства Windows. Параметры командной строки консольных утилит и графический интерфейс пользователя для большинства программ очень схожи, что значительно облегчает их практическое использование.

Accesschk — консольная утилита для просмотра прав доступа пользователя к файлам, каталогам, ключам и разделам реестра, процессам и потокам.

accesschk -u user1 -c MpsSvc -v — отобразить права пользователя user1 по отношению к службе MpsSvc (Брандмауэр Windows 7. Напомню, что в среде Windows Vista/Windows 7 утилита Accesschk должна запускаться от имени администратора). Ключ -v означает подробный вывод результатов. Если это ключ не задан, то права пользователя индицируются символами R (Read) и W (Write). Отображение R означает разрешение на просмотр состояния (Query_Status), конфигурации (Query_Config) и запуск (Service_Start) службы. W означает наличие права на изменения конфигурации и состояния службы. Комбинация RW означает, что имеется доступ к любым допустимым действиям по отношению к службе. (Service_All_Access). Если задан ключ -v то вместо символов R и W R отображается описание прав доступа, как, например Service_All_Access — разрешен полный доступ

accesschk -c MpsSvc -w -v — отобразить список учетных записей, имеющих право полного доступа (ключ -w ) к службе MpsSvc .

accesschk -u user1 -c * -w -v — отобразить список служб, к которым пользователь user1 имеет полный доступ.

accesschk -u user1 -k hklm\security — отобразить права доступа пользователя user1 к подразделам раздела HKLM\SECURITY реестра.

accesschk -u user1 -k hklm\security -d — ключ -d означает обработку только верхнего уровня (каталога файловой системы или раздела реестра)

accesschk -u user1 C:\Users -d — отобразить права пользователя user1 по отношению к каталогу C:\Users

accesschk -u user1 C:\Users — отобразить права пользователя user1 по отношению к подкаталогам каталога C:\Users

accesschk C:\Users -w — отобразить список учетных записей, имеющий полный доступ к каталогу C:\Users

accesschk -u user1 -p wininit -v — отобразить права пользователя user1 по отношению к процессу wininit

К сожалению, утилита accesschk не умеет (по крайней мере, на момент написания статьи — не умела ) работать с именами учетных записей, служб и каталогов, содержащих символы русского алфавита.

AccessEnum — утилита для просмотра прав учетных записей по отношению к элементам файловой системы и реестра Windows.

Полученные данные можно сохранить (кнопка Save ) и использовать в дальнейшем для анализа и обнаружения изменений в правах доступа к файлам, каталогам, разделам и ключам реестра (меню File — Compare to Saved. . . ) .

Утилита CacheSet — это приложение, позволяющее управлять параметрами рабочего набора (Working Set) кэша файлов системы. Используется для подбора оптимальных параметров и увеличения скорости и стабильности работы ПК. Изменяя минимальные и максимальные значения размера рабочего кэш, можно добиться некоторого увеличения производительности системы.

Установка новых значений минимума и максимума происходит при нажатии на кнопку Apply . Кнопка Reset позволяет вернуть значения минимального и максимального размера кэш, которые были заданы на момент запуска утилиты.

Contig — утилита командной строки для увеличения производительности системы путем дефрагментации отдельных, часто используемых файлов. Удобно использовать для дефрагментации файлов виртуальных машин, образов ISO на загрузочных флешках с использованием загрузчика Grub , которому может потребоваться не фрагментированный файл-образ, для дефрагментации некоторых, часто считываемых с диска файлов.

Contig.exe /? — выдать справку по использованию утилиты.

Contig.exe -a E:\LiveCD.iso — провести анализ на фрагментированность файла E:\LiveCD.iso

Contig.exe E:\LiveCD.iso — выполнить дефрагментацию заданного файла.

Contig.exe -a -s C:\windows\*.exe — выполнить анализ всех файлов с расширением exe в каталоге C:\Windows и его подкаталогах (ключ -s )

Contig.exe C:\windows\system32\*.exe — дефрагментировать все файлы с расширением exe в системном каталоге C:\Windows\System32

Повышение производительности системы при целенаправленном использовании Contig.exe как правило, выше по сравнению с тем, что может быть получено при использовании стандартных средств дефрагментации Windows.

Утилита Disk2vhd используется для создания виртуального жесткого диска формата VHD виртуальной машины Microsoft (Virtual Hard Disk — Microsoft’s Virtual Machine disk format) на основе данных физического диска реальной машины. Операция по созданию диска виртуальной машины может выполняться непосредственно в среде работающей ОС. Графический интерфейс пользователя программы Disk2vhd позволяет выбрать для преобразования любой из логических дисков реального компьютера и преобразовать его в виртуальный диск, который можно будет использовать для работы в среде виртуальной машины Microsoft Virtual PC.

DiskMon — позволяет выполнять мониторинг операций ввода-вывода для жестких дисков в среде операционных систем семейства Windows. Программа также может быть использована в качестве программного индикатора обращений к жестким дискам — в свернутом состоянии значок на панели задач отображается зеленым цветом при операции чтения с диска, и красным — при операции записи.

В основном окне программы отображается номер диска в системе (колонка Disk), тип операции (колонка Requst), номер сектора на диске, к которому выполнялось обращение (колонка Sector), и размер поля данных (колонка Lenth). При необходимости определить к какому файлу имеет отношение сектор с определенным номером, можно воспользоваться консольной утилитой NFI.EXE (NTFS File Sector Information Utility) из состава пакета Support Tools от Microsoft. Скачать 10кб
Формат командной строки
nfi.exe Диск Номер сектора
nfi.exe C: 655234 — отобразить имя файла, которому принадлежит сектор 655234
nfi.exe C: 0xBF5E34 — то же самое, но номер сектора задан в шестнадцатеричной системе счисления
В результате выполнения команды будет выдано сообщение

***Logical sector 12541492 (0xbf5e34) on drive C is in file number 49502.
\WINDOWS\ system32\ D3DCompiler_38.dll

Т.е. интересующий нас сектор принадлежит файлу D3DCompiler_38.dll в каталоге Windows\system32.

Программа DiskView позволяет получить в графическом виде карту использования дискового пространства:

Выбор диска для просмотра выполняется в поле Volume нижней части окна программы. После выбора диска и нажатия кнопки Refresh программа выполняет сканирование и вывод карты расположения файлов и каталогов. В нижнем окне отображается своеобразная шкала расположения данных относительно начала диска. Цвет участка соответствует характерным особенностям отображаемых групп кластеров . Для получения справки по цветовой маркировке можно воспользоваться меню Help — Legend. . . :

First cluster of the fragment — цвет начального кластера в цепочке.
Contiguous file cluster — кластер принадлежит непрерывному (не фрагментированному) файлу.
Ftagmented file cluster — кластер принадлежит фрагментированному файлу.
System file cluster — кластер принадлежит системному файлу
Unused cluster — кластер принадлежит свободному пространству
Unused cluster in MFT zone — свободный кластер в зоне MFT оглавления диска
User Highlighted File cluster — кластер принадлежит выбранному пользователем файлу.

В верхнем окне отображается более детализированная карта расположения данных. Полоса прокрутки позволяет выбрать зону отображения. Выбор указателем любой точки дискового пространства в нижнем окне, вызывает отображение карты кластеров для выбранного участка файловой системы в верхнем. Для изменения уровня детализации карты служит кнопка Zoom в нижней части основного окна программы. Щелчок на карте кластеров в верхнем окне приведет к отображению имени файла в поле HighLight и выделению цветом группы соответствующих ему кластеров. Двойной щелчок на поле отображаемых кластеров, в верхнем окне, вызывает окно свойств:

Для отображения степени использования диска и информации о количестве файлов и фрагментов используется меню «File» — «Statistics»

du.exe — утилита командной строки для определения статистики использования дискового пространства в каталогах файловой системы Windows. Для получения перечня ключей можно выполнить запуск du.exe без параметров, или с параметром /? . Примеры использования утилиты:

du.exe C:\ — отобразить информацию об использовании корневого каталога диска C: — число файлов, подкаталогов и размер занимаемого дискового пространства.

FileMon (File Monitor) — утилита для отслеживания в режиме реального времени всей активности файловой системы. Позволяет определить, какие процессы обращаются к файлам и каталогам, какие операции и над какими объектами файловой системой выполняются. В настоящее время утилита FileMon заменена утилитой Process Monitor (ProcMon) . Подробное описание и порядок использования обеих программ приведены в отдельных статьях:

С помощью этих утилит можно легко определить перечень файловых ресурсов, используемых приложением, найти конфигурационные файлы, определить причины аварийных завершений или иных проблем, связанным с использованием файлов и каталогов Windows.

MoveFile позволяет выполнить удаление или перенос файла при следующей перезагрузке Windows. Используется в тех случаях, когда файл монопольно захвачен каким-либо приложением или сервисом и удалить или перенести его обычными средствами невозможно. Пример использования:

movefile.exe «C:\Documents And Settings\user\Local Settings\TEMP\svchost.exe» C:\virus\svchost.ex_

Операцию по переносу файла реально выполняет диспетчер сеансов Windows (Session Manager SMSS.EXE), который в процессе загрузки системы считывает зарегистрированные утилитой MoveFile команды переименования и удаления из ключа реестра
HKLM\ System\ CurrentControlSet\ Control\ Session Manager\ PendingFileRenameOperations .
После выполнения переноса, данный ключ реестра будет удален. Для просмотра запланированных утилитой MoveFile переносов можно воспользоваться утилитой PendMoves из набора Sysinternals Suite.

PageDefrag (pagedfrg.exe) по популярности многие годы находится на 4-5 месте среди утилит от Sysinternals. Позволяет повысить быстродействие системы путем дефрагментации файлов реестра (файлов SYSTEM, SOFTWARE, SAM, SECURITY,DEFAULT каталога \windows\system32\config), журналов системы ( в этом же каталоге ) и файла подкачки (pagefile.sys).

После запуска, утилита выводит перечень файлов, которые могут быть обработаны и степень их фрагментации.

PageDefrag

Для дефрагментации используется создаваемая утилитой системная служба pgdfgsvc.exe и, как и в случае с утилитой MoveFile , — диспетчер сеансов Windows ( SMSS.EXE (аббревиатура от англ. Session Manager Subsystem Service) — подсистема управления сеансами в Windows) . Диспетчер сеансов в процессе загрузки системы обрабатывает ключ реестра
HKLM\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ BootExecute
В данном ключе содержится информация о тех программах, которые должны быть выполнены диспетчером SMSS.EXE в процессе начальной загрузки Windows. Стандартно — это программы проверки файловой системы. Утилита PageDefrag добавляет в данный ключ команды, обеспечивающие запуск службы pgdfgsvc и, соответственно, дефрагментацию системных файлов, выполняемую до того, как они потребуются для развертывания системы. При необходимости, можно отменить дефрагментацию, выполнить ее однократно, или установить режим выполнения при каждой загрузке Windows.

Программу PageDefrag можно запускать в консольном режиме, регулируя настройки с помощью параметров командной строки.

pagedefrag [-e | -o | -n] [-t ]

-e — Дефрагментация при каждой загрузке
-o — Однократная дефрагментация
-n — отмена дефрагментации
-t — Обратный отсчет времени в секундах перед началом дефрагментации

pagedefrag -e -t 10 — выполнять дефрагментацию при каждой загрузке и установить режим ожидания 10 секунд для отмены выполнения при нажатии пользователем любой клавиши.

pagedefrag -o — выполнить однократную дефрагментацию при следующей перезагрузке системы.

pagedefrag -n — отменить ранее запланированную дефрагментацию.

Утилиты Sysinternals Suite для работы с сетью.

ADRestore позволяет просмотреть список удаленных объектов Active Directory (AD) и, при необходимости, — восстановить выбранные. Для получения справки используется ключ /? . При запуске без параметров утилита выводит список объектов AD, помеченных как удаленные.

adrestore > C:\adodel.txt — вывести список всех объектов AD, помеченных как удаленные, в файл C:\adodel.txt
adrestore.exe laserjet — вывести список удаленных объектов AD, в имени которых содержится строка «laserjet»
adrestore -r — вывести список объектов AD с запросом на восстановление.
adrestore -r — вывести список объектов AD с запросом на восстановление.

ADInsight — утилита для наблюдения за обменом данными между клиентом и сервером по протоколу LDAP . Очень полезна при поиске причин ненормальной работы служб и приложений в среде Active Directory , отслеживании разрешений, поиске причин низкой производительности, и просто для изучения механизма взаимодействия объектов AD.

ADInsight

Имеется встроенная справка на английском языке. Щелчок правой кнопкой по строке события позволяет вызвать контекстное меню, позволяющее получить краткое описание свойств события, имени и пути процесса, связанного с ним, перейти к предыдущему или следующему событию, завершившемуся ошибкой. Информация отображается в виде колонок, состав которых можно изменить

ADInsight - выбор колонок для отображения

Фильтры для поиска и подсветки событий используются так же, как и в большинстве утилит Sysinternals с графической оболочкой. При настройках по умолчанию, строки подсвеченные красным цветом, относятся к событиям, завершившимся с ошибкой. Контекстное меню также позволяет непосредственно из среды ADInsight вызвать другую программу из состава пакета Sysinternals Suite — проводник Active Directory ADExplorer , используемую для просмотра структуры данных AD и по возможностям и интерфейсу пользователя схожей с утилитой ADSIEdit от Microsoft.

TCPView — стабильно входит в десятку наиболее популярных утилит пакета Sysinternals Suite. Используется для отображения списка всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. В операционных системах Windows XP и старше, программа TCPView также отображает имя процесса, которому принадлежит данное соединение. В некотором смысле, TCPView является дополнением стандартной утилиты операционной системы Windows Netstat.exe , но кроме представления данных о соединениях в удобной форме, позволяет выполнить дополнительные действия — разорвать конкретное соединение, завершить процесс, создавший соединение и определить имя хоста, участвующего в соединении.

TCPView - отображение текущих сетевых соединений.

Контекстное меню, вызываемое правой кнопкой мышки позволяет выполнять определенные действия над выбранным соединением:

Procees Properties — отобразить свойства процесса, связанного с данным соединением. Отображается название процесса, версия, имя и путь исполняемого файла.

End Process — завершить процесс, связанный с данным соединением.

Close Connection — принудительно завершить выбранное соединение .

Whois — выполнить запрос на получение данных об узле, участвующем в данном соединении.

Copy — скопировать в буфер обмена информацию данной строки.

С использованием основного меню программы можно сохранить данные о всех текущих соединениях в текстовый файл ( меню File — Save ) . В составе пакета Sysinternals Suite, кроме программы TCPView имеется консольный вариант Tcpvcon с теми же функциональными возможностями.

Утилиты Sysinternals Suite для анализа сведений о процессах .

Autoruns — утилита для отслеживания точек автоматического запуска программ. Статья об Autoruns размещена в разделе «Безопасность».
Process Monitor — утилита для отслеживания активности процессов в Windows (использование памяти, процессора, обращения к файлам и реестру, сетевая активность и т.п.).
Process Explorer — утилита для наблюдения за использованием ресурсов системы отдельными процессами.
PSTools — набор утилит командной строки для удаленного запуска приложений (PSExec), получения списка процессов на локальном или удаленном компьютере (PSList), принудительного завершения задач (Pskill), управления службами (PSService) . Кроме того, в набор PsTools входят служебные программы для перезагрузки или выключения компьютеров, вывода содержимого журналов событий, поиска зарегистрированных по сети пользователей и многое другое.

ListDLLs — утилита командной строки для получения списка используемых библиотек DLL отдельными процессами. При запуске без параметров, на экран выводится список всех процессов и всех загруженных библиотек. Подсказку по применению утилиты можно получить с использованием ключа /? . Формат командной строки:

listdlls [-r] [-v | -u] [processname|pid]
или
listdlls [-r] [-v] [-d dllname]

processname — имя ( или часть имени) процесса, для которого нужно отобразить список загруженных DLL.
pid — идентификатор процесса, для которого нужно отобразить список загруженных DLL .
-d dllname — имя библиотеки DLL.
-r отображать DLL , которые перемещены, так как не загружены по их базовому адресу
-u — отображать только те модули, которые не имеют цифровой подписи.
-v — отображать версию библиотеки DLL .

listdlls — отобразить список всех процессов и всех загруженных библиотек DLL

listdlls > C:\listdlls.txt — сохранить в текстовый файл с именем C:\listdlls.txt список всех процессов и всех загруженных библиотек DLL

listdlls win — отобразить список DLL для все процессов, имя которых начинается со строки «win»

listdlls winlogon — отобразить список DLL , используемых процессом winlogon

listdlls 495 — отобразить список DLL , используемых процессом с номером идентификатора PID=495

listdlls -d ntdll.dll — отобразить список процессов, использующих библиотеку ntdll.dll

Handle — утилита командной строки для отображения информации открытых дескрипторах (хэндлах) для любого процесса в системе. Она позволяет посмотреть, какие программы открыли файл, с какими правами доступа, типы объектов и имена дескрипторов программы, а также, при необходимости, принудительно закрыть файл по номеру его дескриптора. При запуске без параметров, на экран выводится полный список дескрипторов всех открытых на данный момент файлов. Подсказку по использованию программы, можно получить введя ключ /? . Формат командной строки:

handle [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p

] [name]
-a — вывод информации о всех дескрипторах.
-c — закрыть файл с указанным номером дескриптора. Необходимо учитывать, что принудительное закрытие файла, может вызвать аварийное завершение процесса или потерю данных.
-y — не требовать подтверждения при закрытии дескриптора файла.
-s — отображать счетчики для каждого типа открытых дескрипторов.
-u — отображать имя пользователя, в контексте учетной записи которого открыт файл.
-p — отображать дескрипторы, открытые процессом с указанным именем (частью имени). или идентификатором PID

handle | more — отобразить список всех открытых дескрипторов всех процессов в режиме постраничного вывода на экран.
handle -p winlogon — отобразить список дескрипторов файлов, открытых процессом с именем winlogon
handle -p winlogon > C:\winlogonh.txt — то же, что и в предыдущем случае, но с перенаправлением вывода в файл C:\winlogonh.txt
handle -u — вывести список всех дескрипторов файлов всех процессов с отображением учетной записи, связанной с процессом.
handle -u user1 — отобразить список дескрипторов файлов, открытых в контексте учетной записи пользователя с именем «user1»
handle -s — отобразить счетчики по каждому типу и суммарное число открытых дескрипторов.

Утилиты безопасности пакета Sysinternals Suite .

К утилитам безопасности можно отнести и программы для определения точек автоматического запуска (Autoruns), наблюдения за процессами (ProcMon), проверки прав доступа к ресурсам системы и т.п. Но, кроме того, в пакет Sysinternals Suite входит утилита RootkitRevealer основным предназначением которой является обнаружение rootkit-средств (руткитов) при заражении системы вирусами, реализующими специальные механизмы скрытия своего присутствия в системе.

Термин «rootkit» по отношению к программам-шпионам, троянам, и прочему вредоносному ПО, означает, что для сокрытия своего присутствия от антивирусных программ, используется перехват системных функций и коррекция результатов их выполнения таким образом, чтобы не было возможности обнаружить некоторые файлы, каталоги и сетевые соединения, создаваемые вредоносной программой. Так, например, при запросе списка файлов в каталоге, из результатов может быть удалена информация о файле самого вируса. Реально такой файл присутствует в файловой системе, но для программных средств, использующих функции API, перехваченные вирусом, он невидим. Rootkit-программы подразделяются на несколько классов в зависимости от способности сохранять работоспособность после перезагрузки компьютера и типа запуска (в пользовательском режиме или в режиме ядра). Но главный признак руткитов — это перехват и коррекция результатов системных вызовов.

Принцип работы RootkitRevealer основан на использовании кроме стандартных функций API-интерфейсов для файловой системы и реестра, своих собственных подпрограмм, реализующих эти же функции. Несоответствие полученных результатов может означать наличие rootkit-программы. RootkitRevealer выполняет сканирование реестра и файловой системы при нажатии кнопки Scan и результаты своей работы отображает в основном окне.

Rootkitrevealer

Path — путь файла или ключа реестра.
Timestamp — Время модификации.
Size — размер
Description — описание события — признак возможного наличия rootkit в системе.

Программа не выполняет никаких операций по удалению вирусов и даже не указывает на конкретные файлы вредоносных программ. Вывод об их наличии должен сделать сам пользователь, проанализировав результаты сканирования.

В первую очередь, должны настораживать файлы и ключи реестра, для которых в поле Description ) присутствует описание события «Hidden from Windows API» — скрыто от API-интерфейса Windows. В подавляющем большинстве случаев — строка результатов сканирования указывает на наличие rootkit , поскольку, скрытыми от Windows API обычно бывают только служебные файлы, относящиеся к файловой системе NTFS ( имена которых начинаются со знака $ — $BitMap, $BadClus, $MFT и т.п. ) При сканировании можно отключить отображение событий, связанных с стандартными скрытыми служебными файлами используя меню Options — поставить галочку для пункта Hide Standard NTFS Metadata Files . Кроме того, нужно учитывать, что некоторые антивирусы прячут свои файлы от Windows API таким же образом, как и вредоносные программы, и каждая строка результатов сканирования с признаком Hidden from Windows API требует дополнительного анализа — в каком каталоге находится скрытый файл, его имя, расширение, размер, время модификации. В приведенном выше примере сканирования, скрытыми от Windows API являются файлы с расширением .sys , расположенные в каталоге драйверов (C:\Windows\system32\drivers) и имеющие размер в десятки килобайт — это и есть драйверы rootkit.

Другие возможные описания события в поле Description могут быть ложной тревогой и говорить о том, что выполнение какой-либо функции API завершилось подозрительным результатом. Обычно это вызвано тем, что в процессе сканирования в мультизадачной среде Windows, какая-то из программ выполнила модификацию проверяемых данных или легальное программное обеспечение использует специализированные методы, схожие с теми, которыми пользуются создатели вирусов.

Key name contains embedded nulls — имя ключа реестра содержит пробелы, что может сделать такой ключ невидимым для стандартного редактора реестра.

Data mismatch between Windows API and raw hive data — несоответствие данных ключа реестра, полученных с использованием Windows API и реальных данных куста реестра. Может быть вызвано изменением данных реестра, которое произошло в процессе сканирования.

Access denied — доступ запрещен. На практике, такое описание встречается при наличии установленных в системе средств эмуляции CD/DVD приводов ( Alcohol 120, Daemon Tools) , некоторых антивирусных продуктов, использующих драйвер SPTD.SYS .

Необходимо учитывать, что RootkitRevealer выполняет сканирование из своей копии со случайным именем файла, запущенной как служба Windows. Такой тип запуска делает затруднительным его обнаружение вирусами и принудительное завершение процедуры сканирования. Поэтому, наличие процесса с невразумительным именем при работе RootkitRevealer является нормальным, но бывают случаи, когда вирус блокирует запуск программы, например, по имени «RootkitRevealer». В этом случае, программа просто не запускается, что, кстати, уже является очень весомым признаком наличия вируса в системе. В таком случае, можно просто переименовать исполняемый файл RootkitRevealer.exe , а еще лучше скопировать его в текущем каталоге под другим случайным именем .

Существует возможность запуска RootkitRevealer с параметрами в командной строке:

rootkitrevealer [-a] [-c] [-m] [-r] [logfile]

-a — автоматически выполнить сканирование и завершиться.
-c — сформировать результаты сканирования в формате CSV
-m — выполнять сканирование метаданных NTFS
-r — не выполнять сканирование реестра Windows
logfile — имя и путь файла для записи результатов сканирования.

rootkitrevealer -a C:\RRevealer.log — выполнить сканирование с записью в файл C:\RRevealer.log и завершиться.

Двадцать один бесплатный инструмент, о котором должен знать каждый системный администратор

Иногда наличие одного-единственного нужного инструмента может сэкономить вам не один час и спасти от лишней монотонной работы. Мы составили список лучших универсальных инструментов, которые помогают системным администраторам диагностировать и устранять неполадки, тестировать и грамотно настраивать систему для работы, а также эффективно обмениваться информацией.

WireShark

Wireshark — самый популярный анализатор сетевых протоколов в мире. Этот инструмент позволяет следить за всем, что происходит в вашей сети, вплоть до мельчайших подробностей. Использование этого инструмента является неофициальным стандартом во многих отраслях и образовательных учреждениях.
Wireshark является кросс-платформенным инструментом и поддерживает работу в таких операционных системах, как OS X, Windows и Unix.

FileZilla

Filezilla представляет собой FTP-сервер и FTP-клиент с лицензией GNU GPL. Благодаря возможности подключения к защищенным SSH-узлам этот инструмент становится идеальным выбором в тех случаях, когда вам требуется предоставить доступ клиентам, предпочитающим CLI-интерфейсам графические интерфейсы.

Fiddler

Fiddler представляет собой прокси-сервер для работы в локальной сети, который позволяет разработчикам выполнять отладку веб-приложений. При наличии нескольких различных приложений или процессов, которые могут влиять на значения в форме, возможность просматривать фактические выходные данные при передаче может быть очень полезной и удобной.
При работе с удаленным API-интерфейсом вы сможете при необходимости составить запросы и повторно воспроизвести их.

Sysinternals Suite

Sysinternals Suite предоставляет системным администраторам целый набор универсальных инструментов для работы с файлами и дисками, обслуживания сети, управления процессами и безопасностью, а также для сбора системной информации на узлах Windows.
Одна из самых популярных и удобных утилит в этом наборе — Autoruns.exe, с помощью которой можно выполнить обнаружение всех программ, запускаемых автоматически при запуске системы.

Mosh

Пользователям SSH часто приходится сталкиваться с нестабильностью сеансов удаленной работы. Всего один сбой в подключении к Wi-Fi не больше секунды — и вся работа насмарку. Mosh предоставляет безопасный протокол замены, который обеспечивает возобновление прерванных сеансов и повышает производительность работы в целом. Mosh совместим практически с любой платформой и доступен в том числе в виде плагина Chrome, что делает его еще более мобильным.

Инструмент Autossh поддерживает перезапуск прерванных сеансов и туннелей SSH. При этом он в большей степени предназначен для туннелей SSH, чем для интерактивных сеансов.
Если вам требуется бессрочный сеанс, можно использовать сеанс screen.

Clonezilla

При администрировании или выделении большого числа компьютеров гораздо удобнее создать один главный образ для рассылки на все целевые компьютеры. Именно это позволяет делать программное обеспечение Clonezilla с открытым исходным кодом.
Функция многоадресной рассылки Clonezilla SE позволяет одновременно выполнять пакетное обновление для большого числа компьютеров.

Clusto

Clusto — инструмент для управления серверным кластером на базе Python, с помощью которого можно создать упрощенный интерфейс для взаимодействия с инфраструктурой.
Clusto позволяет хранить информацию в любой базе данных, взаимодействие с которой осуществляется посредством SQLAlchemy. Это значительно упрощает задачи управления, поскольку для начала работы вам не потребуется никаких специальных инструментов и функций.

Ansible

Ansible позиционируется как простейший инструмент автоматизации заданий по подготовке ИТ-инфраструктуры.
Сборники сценариев Ansible Playbooks предоставляют программный метод для создания пакетных инструкций. Такие инструкции впоследствии можно легко воспроизвести на любом количестве серверов, с которыми установлено соединение по SSH.

Chef

Chef обеспечивает автоматизацию серверной инфраструктуры за счет установки клиентов Chef на каждом узле в сети. Эти клиенты регулярно собирают данные с центрального сервера Chef и проверяют внутреннюю конфигурацию на соответствие эталонной. Обнаруженные расхождения в конфигурациях устраняются путем выполнения соответствующих команд.
Такие регулярные проверки на соответствие позволяют быстро отменить все изменения, внесенные системным администратором вручную.

Puppet

Puppet обеспечивает возможность декларативного конфигурирования серверов с использованием DSL, написанного на языке Ruby. Те, кто знаком с Ruby, смогут без проблем использовать все возможности Puppet для управления серверами независимо от их количества.
Для более подробного изучения Puppet предлагается предварительно настроенная виртуальная машина, на которой можно потренироваться и попробовать свои силы.

Dnsmasq

Dnsmasq — это DNS-преобразователь для локальных сетей, гораздо более простой и легкий по сравнению с BIND и другими «тяжеловесными» серверами. Этот инструмент идеально подходит для работы в средах с незначительным потреблением ресурсов (таких как маршрутизаторы и брандмауэры).
Кэширование запросов с его помощью выполняется локально, однако запросы при этом возвращаются поставщику DNS в исходящем потоке.

Bugzilla

Первоначально этот инструмент использовался для создания отчетов и обработки ошибок в программном обеспечении. Однако на сегодняшний день возможности Bugzilla существенно расширились, и теперь этот инструмент предоставляет функции управления качеством, а также отправки и проверки исправлений.
Bugzilla интегрируется с огромным количеством систем управления исходным кодом. Это позволяет настроить двусторонний обмен данными для устранения ошибок путем подтверждения изменения кода и т. д.

Sysdig

Sysdig — это открытый инструмент управления системного уровня. С его помощью можно получать, фильтровать и сохранять различные процессы, которые активны в любой заданной точке на компьютере под управлением Linux.
Sysdig выполняет ряд общих задач, таких как отслеживание открытия файлов в каталоге в реальном времени.
Для измерения и расширения ключевых функций Sysdig можно использовать сценарии Lua.

TreeSize

Treesize — инструмент для просмотра файловой системы NTFS, который позволяет визуализировать потребление пространства в представлении, внешне сходном с Проводником Windows.
Treesize высвобождает основную таблицу файлов на целевом компьютере, позволяя быстрее считывать результаты без получения разрешений на чтение содержимого.
7-Zip

Утилита с открытым исходным кодом для сжатия исходных данных в Windows. 7-zip быстро обрабатывает ZIP-архивы независимо от их размера и создает самораспаковывающиеся архивы в формате 7z.

Notepad++

Чрезвычайно удобный текстовый редактор с открытым исходным кодом для Windows с поддержкой регулярных выражений, выделения синтаксиса и интерфейсов с табуляцией.
Если вам приходится часто переходить с одного компьютера на другой, попробуйте Notepad++ Portable. Эту версию можно запускать с USB-носителя или из общей папки.

KeePass

Этот инструмент с открытым исходным кодом для управления паролями позволяет генерировать для каждого сайта или приложения надежные случайные пароли. Защищенное хранилище KeePass обеспечивает безопасное хранение паролей. Вам не придется запоминать и тем более записывать сотни комбинаций длиной более 20 символов.
Чтобы разрешить другим пользователям доступ к файлу паролей или сделать его доступным из нескольких расположений, можно сохранить его в облачном хранилище DataAnywhere.

Netcat

Этот инструмент часто называют швейцарским ножом среди сетевых утилит. Netcat предоставляет массу полезных функций для отправки и получения данных о сетевых портах.
Пример. Предположим, вам требуется одноразовый веб-сервер на порте 8080.

 < echo -ne "HTTP/1.0 200 OK\r\nContent-Length: $(wc -c | nc -l 8080

Process Explorer

Выполняйте отслеживание, выявление, запуск и остановку процессов, управление которыми осуществляется на компьютере с ОС Windows. Кроме того, этот инструмент позволяет отслеживать утечки памяти и выявлять несанкционированные процессы.

ADModify.NET используется в первую очередь администраторами Exchange и Active Directory для массового изменения пользовательских атрибутов.

  • Varonis
  • администрирование
  • полезная информация
  • ресурсы для разработчиков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *