Sysinternals suite что это
Утилиты Microsoft Sysinternals
В настоящее время, пакет инструментов Windows Sysinternals может использоваться даже без загрузки на локальный компьютер благодаря возможности совместного доступа к ресурсу Sysinternals Live, который может быть подключен в качестве сетевого диска. Хотя, стоит отметить, что быстродействие данного ресурса оставляет желать лучшего и скорее всего его можно рассматривать как аварийный вариант работы.
С сетевым диском, конечно, скорость обмена данными гораздо ниже, чем с локальным, но с ним можно без проблем работать, как с обычным локальным диском, в том числе и в командной строке. Так, например, командой
утилита autoruns.exe может быть запущена в отдельном окне. Таким образом, находясь в любом месте, где есть доступ в Интернет, можно воспользоваться самым функциональным и эффективным набором инструментов для Windows – Sysinternals Suite.
Большинство утилит пакета Sysinternals Suite для получения полной функциональности требуют наличия административных привилегий. Для операционных систем семейства Windows 2000/XP достаточно того, чтобы пользователь работал под учетной записью члена группы администраторов. В среде операционных систем Widows Vista/Windows 7 необходим запуск утилит с использованием пункта контекстного меню «Запустить от имени администратора». Командные файлы, в которых используются утилиты командной строки, также должны выполняться в контексте учетной записи с привилегиями администратора.
Повышение производительности системы при целенаправленном использовании Contig.exe как правило, выше по сравнению с тем, что может быть получено при использовании стандартных средств дефрагментации Windows.
***Logical sector 12541492 (0xbf5e34) on drive C is in file number 49502.
\WINDOWS\ system32\ D3DCompiler_38.dll
Т.е. интересующий нас сектор принадлежит файлу D3DCompiler_38.dll в каталоге Windows\system32.
Программа DiskView позволяет получить в графическом виде карту использования дискового пространства:
В верхнем окне отображается более детализированная карта расположения данных. Полоса прокрутки позволяет выбрать зону отображения. Выбор указателем любой точки дискового пространства в нижнем окне, вызывает отображение карты кластеров для выбранного участка файловой системы в верхнем. Для изменения уровня детализации карты служит кнопка Zoom в нижней части основного окна программы. Щелчок на карте кластеров в верхнем окне приведет к отображению имени файла в поле HighLight и выделению цветом группы соответствующих ему кластеров. Двойной щелчок на поле отображаемых кластеров, в верхнем окне, вызывает окно свойств:
С помощью этих утилит можно легко определить перечень файловых ресурсов, используемых приложением, найти конфигурационные файлы, определить причины аварийных завершений или иных проблем, связанным с использованием файлов и каталогов Windows.
MoveFile позволяет выполнить удаление или перенос файла при следующей перезагрузке Windows. Используется в тех случаях, когда файл монопольно захвачен каким-либо приложением или сервисом и удалить или перенести его обычными средствами невозможно. Пример использования:
movefile.exe «C:\Documents And Settings\user\Local Settings\TEMP\svchost.exe» C:\virus\svchost.ex_
PageDefrag (pagedfrg.exe) по популярности многие годы находится на 4-5 месте среди утилит от Sysinternals. Позволяет повысить быстродействие системы путем дефрагментации файлов реестра (файлов SYSTEM, SOFTWARE, SAM, SECURITY,DEFAULT каталога \windows\system32\config), журналов системы ( в этом же каталоге ) и файла подкачки (pagefile.sys).
После запуска, утилита выводит перечень файлов, которые могут быть обработаны и степень их фрагментации.
Программу PageDefrag можно запускать в консольном режиме, регулируя настройки с помощью параметров командной строки.
Утилиты Sysinternals Suite для работы с сетью.
Имеется встроенная справка на английском языке. Щелчок правой кнопкой по строке события позволяет вызвать контекстное меню, позволяющее получить краткое описание свойств события, имени и пути процесса, связанного с ним, перейти к предыдущему или следующему событию, завершившемуся ошибкой. Информация отображается в виде колонок, состав которых можно изменить
Контекстное меню, вызываемое правой кнопкой мышки позволяет выполнять определенные действия над выбранным соединением:
handle [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p
К утилитам безопасности можно отнести и программы для определения точек автоматического запуска (Autoruns), наблюдения за процессами (ProcMon), проверки прав доступа к ресурсам системы и т.п. Но, кроме того, в пакет Sysinternals Suite входит утилита RootkitRevealer основным предназначением которой является обнаружение rootkit-средств (руткитов) при заражении системы вирусами, реализующими специальные механизмы скрытия своего присутствия в системе.
Принцип работы RootkitRevealer основан на использовании кроме стандартных функций API-интерфейсов для файловой системы и реестра, своих собственных подпрограмм, реализующих эти же функции. Несоответствие полученных результатов может означать наличие rootkit-программы. RootkitRevealer выполняет сканирование реестра и файловой системы при нажатии кнопки Scan и результаты своей работы отображает в основном окне.
Программа не выполняет никаких операций по удалению вирусов и даже не указывает на конкретные файлы вредоносных программ. Вывод об их наличии должен сделать сам пользователь, проанализировав результаты сканирования.
Другие возможные описания события в поле Description могут быть ложной тревогой и говорить о том, что выполнение какой-либо функции API завершилось подозрительным результатом. Обычно это вызвано тем, что в процессе сканирования в мультизадачной среде Windows, какая-то из программ выполнила модификацию проверяемых данных или легальное программное обеспечение использует специализированные методы, схожие с теми, которыми пользуются создатели вирусов.
Существует возможность запуска RootkitRevealer с параметрами в командной строке:
rootkitrevealer [-a] [-c] [-m] [-r] [logfile]
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»