Утиліти sysinternals suite

Відео: Find Malware (inc.Stuxnet) with Sysinternals Suite

Інструменти Sysinternals - це набір безкоштовних програм для адміністрування і моніторингу комп`ютерів під управління операційних систем Windows. Спочатку програми Sysinternals (Winternals) розроблялися компанією Winternals Software LP під керівництвом двох розробників - Марка Руссиновича (Mark Russinovich) і Брайса Когсуелла (Bryce Cogswell) .В липні 2006 року корпорація Microsoft придбала компанію Winternals Software LP і всю її продукцію. В даний час веб-сайт Sysinternals переїхав на веб-портал Microsoft і став частиною Microsoft TechNet. У складі Microsoft Technet тепер є розділ Windows Sysinternals, де можна скачати повний набір утиліт Sysinternals Suit у вигляді архіву, або окремі утиліти з його складу.

Більшість утиліт пакета Sysinternals Suite для отримання повної функціональностітребуют наявності адміністративних привілеїв. Для операційних сістемсемейства Windows 2000 / XP досить того, щоб користувач працював під учетнойзапісью члена групи адміністраторів. У середовищі операційних систем Widows Vista / Windows 7 необхідний запуск утиліт з використанням пункту контекстногоменю "Запустити від імені адміністратора". Командні файли, в яких іспользуютсяутіліти командного рядка, також повинні виконуватися в контексті облікового запису з прівілегіяміадміністратора.

пакет Sysinternals Suite включає в себе кілька десятків невеликих утиліт, як консольних, так і з графічним інтерфейсом, багато з яких широко відомі в середовищі системних адміністраторів і просунутих користувачів - пакет програм PSTools, утиліти моніторингу Process Monitor, Autoruns, Process Explorer, антіруткит RootkitRevealer і т.д . Багато з них розглядаються в окремих статтях, посилання на які знайдете на головній сторінці сайту в розділі Windows . Пакет Sysinternals Suite оновлюється кілька разів на рік, склад його може змінюватися - змінюються версії програм, деякі з утиліт видаляються, деякі додаються, але основний набір існує більше десяти років, що говорить про його затребуваності в середовищі адміністраторів і грамотних користувачів операційних систем сімейства Windows. Параметри командного рядка консольних утиліт і графічний інтерфейс користувача для більшості програм дуже схожі, що значно полегшує їх практичне використання.

Утиліти Sysinternals Suite для роботи з файлами і дисками

AccessChk

Accesschk - консольна утиліта для перегляду прав доступу користувача до файлів, каталогів, ключам і розділів реєстру, процесам і потокам.

accesschk -u user1 -c MpsSvc -v - відобразити права користувача user1 по відношенню до служби MpsSvc (Брандмауер Windows 7. Нагадаю, що в середовищі Windows Vista / Windows 7 утиліта Accesschk повинна запускатися від імені адміністратора). ключ -v означає детальний висновок результатів. Якщо це ключ не заданий, то права користувача индицируются символами R (Read) і W (Write). відображення R означає дозвіл на перегляд стану (Query_Status), конфігурації (Query_Config) і запуск (Service_Start) служби. W означає наявність права на зміни конфігурації і стану служби. комбінація RW означає, що є доступ до будь-яких допустимим дій по відношенню до служби. (Service_All_Access). Якщо заданий ключ -v то замість символів R і WR відображається опис прав доступу, як, наприклад Service_All_Access - дозволений повний доступ

accesschk -c MpsSvc -w -v - відобразити список облікових записів, які мають право повного доступу (ключ -w) до служби MpsSvc.

accesschk -u user1 -c * -w -v - відобразити список служб, до яких користувач user1 має повний доступ.

accesschk -u user1 -k hklm security - відобразити права доступу користувача user1 до підрозділів розділу HKLM SECURITY реєстру.

accesschk -u user1 -k hklm security -d - ключ -d означає обробку тільки верхнього рівня (каталогу файлової системи або розділу реєстру)

accesschk -u user1 C: Users -d - відобразити права користувача user1 по відношенню до каталогу C: Users

accesschk -u user1 C: Users - відобразити права користувача user1 по відношенню до підкаталогам каталогу C: Users

accesschk C: Users -w - відобразити список облікових записів, що має повний доступ до каталогу C: Users

accesschk -u user1 -p wininit -v - відобразити права користувача user1 по відношенню до процесу wininit

На жаль, утиліта accesschk не вміє (принаймні, на момент написання статті - не вміла) працювати з іменами облікових записів, служб і каталогів, що містять символи російського алфавіту.

AccessEnum

AccessEnum - утиліта для перегляду прав облікових записів по відношенню до елементів файлової системи і реєстру Windows.

Отримані дані можна зберегти (кнопка Save) І використовувати в подальшому для аналізу і виявлення змін в правах доступу до файлів, каталогів, просторів і ключів реєстру (меню File - Compare to Saved. . . ).

CacheSet

утиліта CacheSet - це додаток, що дозволяє управляти параметрами робочого набору (Working Set) кеша файлів системи. Використовується для підбору оптимальних параметрів і збільшення швидкості і стабільності роботи ПК. Змінюючи мінімальні і максимальні значення розміру робочого кеш, можна домогтися деякого збільшення продуктивності системи.

Установка нових значень мінімуму і максимуму відбувається при натисканні на кнопку Apply. кнопка Reset дозволяє повернути значення мінімального і максимального розміру кеш, які були задані на момент запуску утиліти.

Contig

Contig - утиліта командного рядка для збільшення продуктивності системи шляхом дефрагментації окремих, часто використовуваних файлів. Зручно використовувати для дефрагментації файлів віртуальних машин, образів ISO на завантажувальних флешках з використанням завантажувача Grub, якому може знадобитися не фрагментований файл-образ, для дефрагментації деяких, часто зчитувальних з диска файлів.

Contig.exe /? - видати довідку по використанню утиліти.

Contig.exe -a E: SonyaLiveCD.iso - провести аналіз на фрагментованість файлу E: SonyaLiveCD_15.10.2010.iso

Contig.exe E: SonyaLiveCD_15.10.2010.iso - виконати дефрагментацію заданого файлу.

Contig.exe -a -s C: windows *. Exe - виконати аналіз всіх файлів з розширенням exe в каталозі C: Windows і його підкаталогах (ключ -s)

Contig.exe C: windows system32 *. Exe - дефрагментировать всі файли з розширенням exe в системному каталозі C: Windows System32

Підвищення продуктивності системи при цілеспрямованому використанні Contig.exe як правило, вище в порівнянні з тим, що може бути отримано при використанні стандартних засобів дефрагментації Windows.

Disk2vhd

утиліта Disk2vhd використовується для створення віртуального жорсткого диска формату VHD віртуальної машини Microsoft (Virtual Hard Disk - Microsoft`s Virtual Machine disk format) на основі даних фізичного диска реальної машини. Операція зі створення диска віртуальної машини може виконуватися безпосередньо в середовищі працює ОС. Графічний інтерфейс користувача програми Disk2vhd дозволяє вибрати для перетворення будь-якої з логічних дисків реального комп`ютера і перетворити його у віртуальний диск, який можна буде використовувати для роботи в середовищі віртуальної машини Microsoft Virtual PC.

DiskMon

DiskMon - дозволяє виконувати моніторинг операцій введення-виведення для жорстких дисків в середовищі операційних систем сімейства Windows. Програма також може бути використана в якості програмного індикатора звернень до жорстких дисків - в згорнутому стані значок на панелі завдань відображається зеленим кольором при операції читання з диска, і червоним - при операції запису.

В основному вікні програми відображається номер диска в системі (колонка Disk), тип операції (колонка Requst), номер сектора на диску, до якого Ви отримували доступ (колонка Sector), і розмір поля даних (колонка Lenth). При необхідності визначити до якого файлу має відношення сектор з певним номером, можновоспользоваться консольної утилітою NFI.EXE (NTFS File Sector Information Utility) зі складу пакета Support Tools від Microsoft. завантажити 10кб
Формат командного рядка
nfi.exe Диск Номер сектора
nfi.exe C: 655234 - відобразити ім`я файлу, якому належить сектор 655234
nfi.exe C: 0xBF5E34 - те ж саме, але номер сектора заданий в шістнадцятковій системі числення
В результаті виконання команди буде видано повідомлення

*** Logical sector 12541492 (0xbf5e34) on drive C is in file number 49502.
WINDOWS system32 D3DCompiler_38.dll

Тобто цікавий для нас сектор належить файлу D3DCompiler_38.dll в каталозі Windows system32.

DiskView

програма DiskView дозволяє отримати в графічному вигляді карту використання дискового простору:

Вибір диска для перегляду виконується в поле Volume нижній частині вікна програми. Після вибору диска і натиснення кнопки Refresh програма сканує і висновок карти розташування файлів і каталогів. У нижньому вікні відображається своєрідна шкала розташування даних щодо початку диска. Колір ділянки відповідає характерним особливостям відображуваних груп кластерів. Для отримання довідки по кольоровому маркуванню можна скористатися меню Help - Legend. . . :

First cluster of the fragment - колір початкового кластера в ланцюжку.
Contiguous file cluster - кластер належить безперервному (НЕ фрагментованому) файлу.
Ftagmented file cluster - кластер належить фрагментованому файлу.
System file cluster - кластер належить системному файлу
Unused cluster - кластер належить вільному простору
Unused cluster in MFT zone - вільний кластер в зоні MFT змісту диска
User Highlighted File cluster - кластер належить обраному користувачем файлу.

У верхньому вікні відображається більш деталізована карта розташування даних. Смуга прокрутки дозволяє вибрати зону відображення. Вибір покажчиком будь-якої точки дискового простору в нижньому вікні, викликає відображення карти кластерів для вибраної ділянки файлової системи в верхньому. Для зміни рівня деталізації карти служить кнопка Zoom в нижній частині основного вікна програми. Клацання на карті кластерів в верхньому вікні призведе до відображення імені файлу в полі HighLight і виділенню кольором групи відповідних йому кластерів. Подвійне клацання на поле відображаються кластерів, у верхньому вікні, викликає вікно властивостей:

Для відображення ступеня використання диска і інформації про кількість файлів і фрагментів використовується меню "File" - "Statistics"

DU

du.exe - утиліта командного рядка для визначення статистики використання дискового простору в каталогах файлової системи Windows. Для отримання переліку ключів можна виконати запуск du.exe без параметрів, або з параметром /?. Приклади використання утиліти:

du.exe C: - відобразити інформацію про використання кореневого каталогу диска C: - число файлів, підкаталогів і розмір займаного дискового простору.

FileMon

FileMon (File Monitor) - утиліта для відстеження в режимі реального часу всієї активності файлової системи. Дозволяє визначити, які процеси звертаються до файлів і каталогів, які операції і над якими об`єктами файлової системою виконуються. В даний час утиліта FileMon замінена утилітою Process Monitor (ProcMon). Детальний опис і порядок використання обох програм наведені в окремих статтях:

Filemon - відстеження звернень до файлової системи.

Process Monitor - відстеження активності процесів Windows.

За допомогою цих утиліт можна легко визначити перелік файлових ресурсів, використовуваних додатком, знайти конфігураційні файли, визначити причини аварійних завершень чи інших проблем, пов`язаних з використанням файлів і каталогів Windows.

MoveFile

MoveFile дозволяє виконати видалення або перенесення файлу при наступному перезавантаженні Windows. Використовується в тих випадках, коли файл монопольно захоплений яким-небудь додатком або сервісом і видалити або перенести його звичайними засобами неможливо. Приклад використання:

movefile.exe "C: Documents And Settings user Local Settings TEMP svchost.exe" C: virus svchost.ex_

Операцію по перенесенню файлу реально виконує диспетчер сеансів Windows (Session Manager SMSS.EXE), який в процесі завантаження системи зчитує зареєстровані утилітою MoveFile команди перейменування і видалення з ключа реєстру
HKLM System CurrentControlSet Control Session Manager PendingFileRenameOperations .
Після виконання перенесення, даний ключ реєстру буде видалений. Для перегляду запланованих утилітою MoveFile переносів можна скористатися утилітою PendMoves з набору Sysinternals Suite.

PageDefrag

PageDefrag (pagedfrg.exe) за популярністю багато років знаходиться на 4-5 місці серед утиліт від Sysinternals. Дозволяє підвищити швидкодію системи шляхом дефрагментації файлів реєстру (файлів SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT каталогу windows system32 config), журналів системи (в цьому ж каталозі) і файлу підкачки (pagefile.sys).

Після запуску, утиліта виводить перелік файлів, які можуть бути оброблені і ступінь їх фрагментації.

PageDefrag

Для дефрагментації використовується створювана утилітою системна служба pgdfgsvc.exe і, як і в випадку з утилітою MoveFile, - диспетчер сеансів Windows (SMSS.EXE(Абревіатура від англ. Session Manager Subsystem Service) - підсистема управління сеансами в Windows). Диспетчер сеансів в процесі завантаження системи обробляє ключ реєстру
HKLM SYSTEM CurrentControlSet Control Session Manager BootExecute
У цьому ключі міститься інформація про ті програми, які повинні бути виконані диспетчером SMSS.EXE в процесі початкового завантаження Windows. Стандартно - це програми перевірки файлової системи. утиліта PageDefrag додає в даний ключ команди, що забезпечують запуск служби pgdfgsvc і, відповідно, дефрагментацію системних файлів, виконувану до того, як вони будуть потрібні для розгортання системи. При необхідності, можна скасувати дефрагментацію, виконати її одноразово, або встановити режим виконання при кожному завантаженні Windows.

Програму PageDefrag можна запускати в консольному режимі, регулюючи налаштування за допомогою параметрів командного рядка.

pagedefrag [-e | -o | -n] [-t lt; секундиgt;]

-e - Дефрагментація при кожному завантаженні
-o - одноразова дефрагментація
-n - скасування дефрагментації
-t - Зворотний відлік часу в секундах перед початком дефрагментації

приклади:

pagedefrag -e -t 10 - виконувати дефрагментацію при кожному завантаженні і встановити режим очікування 10 секунд для скасування виконання при натисканні користувачем будь-якої клавіші.

pagedefrag -o - виконати одноразову дефрагментацію при наступному перезавантаженні системи.

pagedefrag -n - скасувати раніше заплановану дефрагментацію.

Утиліти Sysinternals Suite для роботи з мережею

ADRestore

ADRestore дозволяє переглянути список віддалених об`єктів Active Directory (AD) і, при необхідності, - відновити обрані. Для отримання довідки використовується ключ /? . При запуску без параметрів утиліта виводить список об`єктів AD, позначених як вилучені.

приклади:

adrestore gt; C: adodel.txt - вивести список всіх об`єктів AD, позначених як вилучені, в файл C: adodel.txt
adrestore.exe laserjet - вивести список віддалених об`єктів AD, в імені яких міститься рядок "laserjet"
adrestore -r - вивести список об`єктів AD із запитом на відновлення.
adrestore -r - вивести список об`єктів AD із запитом на відновлення.

ADinsight

ADInsight - утиліта для спостереження за обміном даними між клієнтом і сервером по протоколу LDAP. Дуже корисна при пошуку причин поганої роботи служб і додатків в середовищі Active Directory, відстеження дозволів, пошуку причин низької продуктивності, і просто для вивчення механізму взаємодії об`єктів AD.

ADInsight

Є вбудована довідка на англійській мові. Клацання правою кнопкою по рядку події дозволяє викликати контекстне меню, що дозволяє отримати короткий опис властивостей події, імені та шляхи процесу, пов`язаного з ним, перейти до попереднього або наступного події, який призвів до помилкою. Інформація відображається у вигляді колонок, склад яких можна змінити

ADInsight - вибір колонок для відображення

ADInsight - вибір колонок для відображення

Фільтри для пошуку і підсвічування подій використовуються так само, як і в більшості утиліт Sysinternals з графічною оболонкою. При налаштуваннях за замовчуванням, рядки підсвічені червоним кольором, відносяться до подій, що завершився з помилкою. Контекстне меню також дозволяє безпосередньо з середовища ADInsight викликати іншу програму зі складу пакета Sysinternals Suite - провідник Active Directory ADExplorer , використовувану для перегляду структури даних AD і за можливостями і інтерфейсу користувача схожою з утилітою ADSIEdit від Microsoft.

TCPView

TCPView - стабільно входить в десятку найбільш популярних утиліт пакета Sysinternals Suite. Використовується для відображення списку всіх встановлених в системі з`єднань по протоколах TCP і UDP з детальними даними, в тому числі із зазначенням локальних і віддалених адрес і стану TCP-з`єднань. В операційних системах Windows XP і старше, програма TCPView також відображає ім`я процесу, якому належить дана сполука. У певному сенсі, TCPView є доповненням стандартної утиліти операційної системи Windows Netstat.exe,але крім представлення даних про з`єднання в зручній формі, дозволяє скористатися додатковими функціями - розірвати конкретне з`єднання, завершити процес, який створив з`єднання і визначити ім`я хоста, який бере участь в з`єднанні.

TCPView - відображення поточних мережевих з`єднань.

TCPView - відображення поточних мережевих з`єднань.

Контекстне меню, яке викликається правою кнопкою мишки дозволяє виконувати певні дії над обраними з`єднанням:

Procees Properties - відобразити властивості процесу, пов`язаного з даним з`єднанням. Відображається назва процесу, версія, ім`я та шлях виконуваного файлу.

End Process - завершити процес, пов`язаний з даним з`єднанням.

Close Connection - примусово завершити вбрання з`єднання.

Whois - виконати запит на отримання даних про вузол, що бере участь в даному з`єднанні.

Copy - скопіювати в буфер обміну інформацію цього рядка.

З використанням основного меню програми можна зберегти дані про всі поточні з`єднаннях в текстовий файл (меню File - Save ) .В складі пакету Sysinternals Suite, крім програми TCPView є консольний варіант Tcpvcon з тими ж функціональними можливостями.

Утиліти Sysinternals Suite для аналізу відомостей про процеси

Autoruns - утиліта для відстеження точок автоматичного запуску програм. Стаття про Autoruns розміщена в розділі "Безпека".
Process Monitor - утиліта для відстеження активності процесів в Windows (використання пам`яті, процесора, звернення до файлів і реєстру, мережева активність і т.п.).
Process Explorer - утиліта для спостереження за використанням ресурсів системи окремими процесами.
PSTools - набір утиліт командного рядка для віддаленого запуску додатків (PSExec), отримання списку процесів на локальному або віддаленому комп`ютері (PSList), примусового завершення завдань (Pskill), управління службами (PSService). Крім того, в набір PsTools входять службові програми для перезавантаження або виключення комп`ютерів, виведення вмісту журналів подій, пошуку зареєстрованих по мережі користувачів і багато іншого.

ListDLLs

ListDLLs - утиліта командного рядка для отримання списку використовуваних бібліотек DLL окремими процесами. При запуску без параметрів, на екран виводиться список всіх процесів і всіх завантажених бібліотек. Підказку щодо застосування утиліти можна отримати з використанням ключа /?. Формат командного рядка:

listdlls [-r] [-v | -u] [processname | pid] або listdlls [-r] [-v] [-d dllname]

processname - ім`я (або частина імені) процесу, для якого потрібно відобразити список завантажених DLL.
pid - ідентифікатор процесу, для якого потрібно відобразити список завантажених DLL.
-d dllname - ім`я бібліотеки DLL.
-r відображати DLL, які переміщені, тому що не вдалося завантажити їх базової адреси
-u - відображати тільки ті модулі, які не мають цифрового підпису.
-v - відображати версію бібліотеки DLL.

Приклади використання:

listdlls - відобразити список усіх процесів і всіх завантажених бібліотек DLL

listdlls gt; C: listdlls.txt - зберегти в текстовий файл з ім`ям C: listdlls.txt список всіх процесів і всіх завантажених бібліотек DLL

listdlls win - відобразити список DLL для все процесів, ім`я яких починається з рядка "win"

listdlls winlogon - відобразити список DLL, використовувані процесом winlogon

listdlls 495 - відобразити список DLL, використовувані процесом з номером ідентифікатора PID = 495

listdlls -d ntdll.dll - відобразити список процесів, що використовують бібліотеку ntdll.dll

Поділися в соціальних мережах:

Схожі