Sysinternals to zestaw narzędzi diagnostycznych i naprawczych dla naszych systemów operacyjnych z rodziny Microsoftu, napisanych przez Marka Russinovicha i Bryce’a Cogswella. Naszym zdaniem zestaw ten jest niezbędnikiem dla każdego informatyka dbającego o wydajność i bezpieczeństwo komputerów nad, którymi czuwa. Narzędzia można pobrać i uruchomić na kilka sposobów:
- przez wejście na stronę Microsoft-u: TUTAJ
- przez pobranie pakietu ze sklepu Microsoft Store: TUTAJ
- przez uruchomienie wybranej aplikacji bezpośrednio z serwera: \\live.sysinternals.com\tools\
- przez zmapowanie dysku sieciowego z bezpośrednim dostępem do zasobów https://live.sysinternals.com/
Narzędzi z pakietu Sysinternals jest sporo, my postaramy się pokazać i opisać większość z nich. Starając się nie wynajdywać koła na nowo, nasze wpisy będziemy opierać o materiał z książki „Windows Sysinternals wykrywanie i rozwiązywanie problemów. Optymalizacja niezawodności i wydajności systemów Windows przy użyciu Sysinternals” autorstwa Marka Russinovicha, Aarona Margosisa. Zachęcamy oczywiście do jej zakupu ponieważ my skupimy się na praktyce z namiastką wiedzy teoretycznej 😊 Poszczególne narzędzia z pakietu będziemy uruchamiali na przygotowanym środowisku wirtualnym przedstawionym poniżej:
A tu zapożyczona z ww. książki tabela opisująca pokrótce zawartość pakietu:
| Narzędzie | Opis |
| Process Explorer | Zastępuje Task Manager (Menedżer zadań) i wyświetla znacznie bardziej szczegółowe dane o procesach i wątkach, w tym zależność nadrzędny/podrzędny, załadowane biblioteki DLL oraz otwarte dojścia do obiektów, takie jak pliki w użyciu. |
| Autoruns | Wylicza i klasyfikuje oprogramowanie skonfigurowane do automatycznego uruchamiania podczas rozruchu systemu, logowania użytkownika lub przy uruchamianiu Internet Explorer, jednocześnie pozwalając na wyłączenie lub usunięcie tych wpisów. |
| Process Monitor | Rejestruje szczegóły o całej aktywności dotyczącej systemu plików, rejestru, sieci, procesów, wątków i ładowania obrazów w czasie rzeczywistym. |
| ProcDump | Generuje zrzut pamięci dla procesu, gdy ten spełni określone kryteria, takie jak wywołanie szczytu obciążenia CPU lub nieodpowiadające okno. |
| PsExec | Zdalnie uruchamia procesy, jako Local System, z przekierowaniem wyjścia, lub obydwa. |
| PsFile | Wylicza i pozwala zamknąć pliki otwarte zdalnie. |
| PsGetSid | Wyświetla identyfikator zabezpieczeń (Security Identifier – SID) podmiotu zabezpieczeń, takiego jak komputer, użytkownik, grupa lub usługa. |
| PsInfo | Wylicza informacje o systemie. |
| PsKill | Kończy procesy wskazane poprzez nazwę lub identyfikator (PID). |
| PsList | Wyświetla szczegółowe informacje o procesach i wątkach. |
| PsLoggedOn | Wylicza konta, które są zalogowane lokalnie lub za pośrednictwem połączeń zdalnych. |
| PsLogList | Zrzuca rekordy dziennika zdarzeń. |
| PsPasswd | Ustawia hasła dla kont użytkowników. |
| PsService | Wylicza i umożliwia kontrolę nad uruchamianiem usług Windows. |
| PsShutdown | Zamyka system, wylogowuje użytkownika lub zmienia stan zasilania systemu lokalnego i systemów zdalnych. |
| PsSuspend | Wstrzymuje i wznawia procesy. |
| VMMap | Wyświetla szczegóły wykorzystania pamięci wirtualnej i fizycznej przez procesy. |
| DebugView | Monitoruje dane wyjściowe debugowania trybu użytkownika i trybu jądra, generowane przez komputer lokalny lub zdalny. |
| LiveKd | Uruchamia standardowy debuger jądra na migawce uruchomionego systemu lokalnego lub gościa Hyper-V (maszyny wirtualnej) bez konieczności ponownego uruchamianie w trybie debugowania, a dodatkowo umożliwia wykonanie zrzutu pamięci działającego systemu. |
| ListDLLs | Wyświetla w oknie konsoli informacje o bibliotekach DLL załadowanych w systemie. |
| Handle | Wyświetla w konsoli informacje o dojściach do obiektów otwartych przez procesy systemu. |
| SigCheck | Weryfikuje podpisy plików, wyświetla wersję i inne informacje o obrazie wykonywalnym, a także odpytuje silniki antywirusowe za pośrednictwem witryny VirusTotal.com |
| AccessChk | Wyszukuje obiekty, które przyznają uprawnienia określonym użytkownikom lub grupom i udostępnia szczegółowe informacje i przyznanych uprawnieniach. |
| Sysmon | Monitoruje i zgłasza aktywność systemu; narzędzie nakierowane na identyfikowanie aktywności napastnika. |
| AccessEnum | Przeszukuje hierarchię plików lub rejestru i identyfikuje miejsca, w których uprawnienia mogły zostać zmienione. |
| ShareEnum | Wylicza udziały plików i drukarek w sieci oraz informacje, kto ma do nich dostęp. |
| ShellRunAs | Przywraca możliwość uruchomienia programu przy użyciu poświadczeń innego użytkownika w systemie Windows Vista. |
| Autologon | Konfiguruje konto użytkownika do automatycznego zalogowania podczas rozruchu systemu. |
| LogonSessions | Wylicza aktywne sesje logowania Local Security Authority (LSA) na komputerze. |
| SDelete | Bezpiecznie usuwa pliki lub struktury katalogów i wymazuje dane w zwolnionych obszarach twardego dysku. |
| AdExplorer | Wyświetla i umożliwia edycję obiektów Active Directory. |
| AdInsight | Śledzi wywołania API Active Directory Lightweight Directory Access Protocol (LDAP). |
| AdRestore | Wylicza i przywraca usunięte obiekty Active Directory |
| BgInfo | Wyświetla informacje konfiguracyjne komputera jako tło pulpitu (wallpaper). |
| Desktops | Uruchamia aplikacje w oddzielnych pulpitach wirtualnych. |
| ZoomIt | Powiększa zawartość ekranu i umożliwia tworzenie adnotacji. |
| Strings | Przeszukuje pliki pod kątem zawartego w nich tekstu ASCII lub Unicode. |
| Streams | Identyfikuje systemowe obiekty, które mają alternatywne strumienie danych i umożliwia usunięcie tych strumieni. |
| Junction | Wylicza i usuwa połączenia katalogów NTFS. |
| FindLinks | Wylicza twarde łącza NTFS. |
| DU | Wylicza wielkość logiczną i zajmowanego miejsca dla hierarchii katalogów. |
| PendMoves | Raportuje operacje plikowe zaplanowane do wykonania podczas następnego uruchomienia systemu. |
| MoveFile | Planuje operacje plikowe do wykonania podczas następnego uruchomienia systemu. |
| Disk2Vhd | Tworzy obraz fizycznego dysku jako wirtualny dysk twardy (VHD) |
| Sync | Zrzuca niezapisane dane z buforów dyskowych na dysk fizyczny. |
| DiskView | Wyświetla graficzną mapę woluminu (na poziomie klastrów), pozwalając określić, jaki plik znajduje się w określonym klastrze i jakie klastry zajmuje wskazany plik. |
| Contig | Defragmentuje wskazane pliki lub pokazuje, jak bardzo pofragmentowany jest wybrany plik. |
| DiskExt | Wyświetla informacje o fragmentach dysku (ekstentach). |
| LDMDump | Wyświetla szczegółowe informacje o dyskach dynamicznych, odczytywane z bazy danych Logical Disk Manager (LDM). |
| VolumeID | Zmienia identyfikator woluminu (znany też jako jego numer seryjny). |
| PsPing | Mierzy czas przebiegu w jedną i w obie strony dla pakietów TCP lub UDP, opóźnienie i pasmo przesyłowe. |
| TCPView | Wyświetla aktywne punkty końcowe TCP i UDP. |
| Whois | Zwraca informacje o rejestracji domeny internetowej lub wykonuje odwrotne wyszukiwanie DNS. |
| RAMMap | Udostępnia szczegółowy widok wykorzystania pamięci fizycznej. |
| RU | Pokazuje użycie miejsca w rejestrze dla wskazanego klucza. |
| CoreInfo | Zwraca informacje, czy procesor i wersja Microsoft Windows wspiera różne funkcje, takie jak flaga No Execute dla stron pamięci i pokazuje mapowanie procesorów logicznych na rdzenie, podstawki, węzły Non-Uniform Memory Access (NUMA) i grupy procesorów. |
| WinObj | Wyświetla przestrzeń nazw Windows Object Manager. |
| LoadOrder | Pokazuje (w przybliżeniu) kolejność, w jakiej system Windows ładuje sterowniki urządzeń i uruchamia usługi. |
| PipeList | Wylicza nasłuchujące potoki nazwane. |
| ClockRes | Wyświetla bieżącą, maksymalną i minimalną rozdzielczość zegara systemowego. |
| RegJump | Uruchamia RegEdit, jednocześnie otwierając wskazaną ścieżkę rejestru. |
| Hex2Dec | Konwertuje liczby z postaci szesnastkowej na dziesiętną i odwrotnie. |
| RegDelNull | Wyszukuje i usuwa klucze rejestru z osadzonymi znakami NUL w ich nazwach. |
| Bluescreen Screen Saver | Wygaszacz ekranu realistycznie symulujący „Blue Screen of Death” |
| Ctrl2Cap | Konwertuje naciśnięcie klawisza Caps Lock na naciśnięcie klawisza Control. |
Wstęp mamy za sobą, już niedługo zapraszamy do kolejnej części w której zaczniemy rozpracowywać Process Explorer-a 🙂
