Скрытые инструменты microsoft: лучшие утилиты для windows 10

Seventh Edition Changes

Since this series’ last update, Windows has gone through several releases, coming up to Windows 10 and Windows Server 2016. Windows 10 itself, being the current going-forward name for Windows, has had several releases since its initial Release-to-Manufacturing, or RTM, each labeled with a 4-digit version number indicating year and month of release, such as Windows 10, version 1703 that was completed in March 2017. The above implies that Windows has gone through at least 6 versions since Windows 7.
Starting with Windows 8, Microsoft began a process of OS convergence, which is beneficial from a development perspective as well as for the Windows engineering team itself. Windows 8 and Windows Phone 8 had converged kernels, with modern app convergence arriving in Windows 8.1 and Windows Phone 8.1. The convergence story was complete with Windows 10, which runs on desktops/laptops, servers, XBOX One, phones (Windows Mobile 10), HoloLens, and various Internet of Things (IoT) devices.
With this grand unification completed, the time was right for a new edition of the series, which could now finally catch up with almost half a decade of changes, in what will now be a more stabilized kernel architecture going forward. As such, this latest book covers aspects of Windows from Windows 8 to Windows 10, version 1703. Additionally, this edition welcomes Pavel Yosifovich as its new co-author.

Scope of License

The software is licensed, not sold. This agreement only gives you some
rights to use the software. Sysinternals reserves all other rights.
Unless applicable law gives you more rights despite this limitation, you
may use the software only as expressly permitted in this agreement. In
doing so, you must comply with any technical limitations in the software
that only allow you to use it in certain ways. You may not

  • work around any technical limitations in the software;
  • reverse engineer, decompile or disassemble the software, except and
    only to the extent that applicable law expressly permits, despite
    this limitation;
  • make more copies of the software than specified in this agreement or
    allowed by applicable law, despite this limitation;
  • publish the software for others to copy;
  • rent, lease or lend the software;
  • transfer the software or this agreement to any third party; or
  • use the software for commercial software hosting services.

Обзор служебных утилит Sysinternals

Конечно можно посетить страницу Windows Sysinternals, на https://technet.microsoft.com/sysinternals и использовав алфавитный указатель утилит, выбрать только нужные инструменты. Для чуть более точного подхода, попробуйте шесть отдельных категорий: файл и диск, сеть, процесс, безопасность, системная информация и прочие.

Но гораздо проще скачать весь набор Sysinternals (https://technet.microsoft.com/sysinternals/bb842062) и разархивировать его в собственную папку.

Как удобная альтернатива, для экономии места на диске и уточнения того, что вы планируете использовать самые последние версии утилит, воспользуйтесь службой Sysinternals Live. На https://live.sysinternals.com, вы найдёте полный перечень всех инструментов и файлы поддержки. Если вы знаете название нужного вам инструмента, можно ввести этот путь в проводнике Windows или в командной строке, например, https://live.sysinternals.com/ или \\live.sysinternals.com\tools\. (Подсказка: сохраните избранное для быстрого доступа как web-ярлыки.)

Служба Sysinternals Live позволяет запускать последние в коллекции версии каждого инструмента с помощью одного клика.

Некоторые инструменты Sysinternals полностью конкретизированы и имеют характерный графический интерфейс. Другие, предназначены для интерактивного запуска в командной строке или с помощью скриптов.

What’s New

What’s New (August 18, 2021)

What’s New (July 27, 2021)

ProcDump v10.1
This update to ProcDump, a command-line utility for generating memory dumps from running processes, adds a new option (-dc) for specifying a dumpfile comment and supports «triage» dumps (-mt).

What’s New (June 22, 2021)

RDCMan v2.8
RDCMan, a utility for managing multiple remote desktop connections, is now part of the Sysinternals family of tools! This release fixes CVE-2020-0765, an XML parsing vulnerability.

What’s New (May 25, 2021)

  • Process Monitor v3.80
    Process Monitor is the latest tool to integrate with the new Sysinternals theme engine, giving it dark mode support.

  • Sysmon v13.20
    This update to Sysmon, an advanced system security monitor, adds «» and «» filter conditions and fixes a regression for rule include/exclude logic.

  • TCPView v4.10
    This update to TCPView, a TCP/UDP endpoint query tool, adds the ability to filter connections by state.

  • Process Explorer v16.40
    This update to Process Explorer, an advanced process, DLL and handle viewing utility, adds process filtering support to the main display and reports process CET (shadow stack) support.

What’s New (April 21, 2021)

  • Process Monitor v3.70
    This update to Process Monitor allows constraining the number of events based on a requested number minutes and/or size of the events data, so that older events are dropped if necessary. It also fixes a bug where the Drop Filtered Events option wasn’t always respected and contains other minor bug fixes and improvements.

  • Sysmon v13.10
    This update to Sysmon adds a FileDeleteDetected rule that logs when files are deleted but doesn’t archive, deletes clipboard archive if event is excluded and fixes an ImageLoad event bug.

  • Theme Engine
    This update to the theme engine uses a custom title bar in dark mode, similar to MS Office black theme. WinObj and TCPView have been updated. Expect more tools using the theme engine in the near future!

What’s New (March 23, 2021)

TCPView v4.0
This major update to TCPView adds flexible filtering, support for searching, and now shows the Windows service that owns an endpoint. It is also the second Sysinternals tool to feature the new theme engine with dark mode.

What’s New (February 22, 2021)

  • WinObj v3.0
    This major update to WinObj adds dynamic updates, quick search, full search, properties for more object types, as well as performance improvements. It’s also the first Sysinternals tool to feature a dark theme.

  • Coreinfo v3.52
    This update to CoreInfo adds reporting for CET (shadow stack) support.

Sysinternals Suite 2018-05-14 диагностика и устранение ошибок Windows

Sysinternals Suite диагностика и устранение ошибок Windows — этот программный продукт как и его интернет-сайт был создан в 1996 году, основная задача являлась простой — соединить все имеющиеся в наличии сервисные компьютерные программы в едином месте, то есть вам не нужно раздельно закачивать все решения от Mark Russinovich.

В июле 2006 г, фирма знакомая абсолютно всем как Microsoft, приняла решение купить фирму Sysinternals. С програмкой Sysinternals Suite вы получайте немалое число обслуживающих программных средств направленных на управление, сканирование и уничтожения ошибок, а также на проделывание обычного обследования как единичных программ так и операционок Windows.

В результате, которые входят утилиты сможете разделить на группы, к примеру инструментарии для интернет-сети — тогда вы можете пользоваться не только лишь мониторами подсоединений, но и сделать тест безопасности различных ресурсов, а также просмотреть активные сокеты, иными словами перечень возможно перебирать очень долго, полагаю самостоятельно разберетесь.

Далее следует группа «Сведения о системе» — это такие небольшие сервисные приложения, те которые несомненно помогут вам просмотреть и настроить эксплуатация системных ресурсов. Конкретно говоря возможно просмотреть компьютерной программы те, что автоматом запускаются при пуске ОС Windows, будете в реальном времени смотреть деятельность файловой системы, имеется функция установления порядка загрузки драйверов и т.д.

Программа Sysinternals Suite предоставляет нам с вами дополнительно и приложения системы безопасности. Вы можете провести наладку и регулирование текущей системой безопасности, аналогично вам станет доступна программа для отыскивания и устранения rootkit, имеется охотники за програмками-шпионами. Вы можете без проблем просмотреть перечень юзеров те, что входили в систему, возможно смотреть журнальчик событий и т.д.

Далее идет группа «Процессы и потоки» — эта процедура даст возможность вам пользоваться приложениями которые предназначены для нахождения задач, те которые в свой черед имеют возможность исполняться теми либо другими процессами, а также потребляемыми ими ресурсами. Разумеется Sysinternals Suite даст вам отличные служебные приложения для обслуживания HDD и файлы.

В итоге будем надеяться набор утилит от Sysinternals Suite вам лично сгодится, на самом деле он довольно большой, увидеть можно многое.

Разработчик: Microsoft Лицензия: Freeware Язык: English ОС: Windows All Размер: 23 MB

Теги: программы, диагностика и устранение ошибок Windows, устранение ошибок Windows

Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!

SoundSwitch 5.0.1 переключение между звуковыми устройствами

Дата: 25.01.2020 SoundSwitch переключение между звуковыми устройствами — компьютерная программа подойдет тем, кто имеет в распоряжении пару аудио карточек либо девайсов проигрывания подключенных к компьютерной системе.

Rufus 3.0.1304 + Portable + Русская версия программа создания загрузочной USB флешки

Дата: 29.05.2018 Rufus программа создания загрузочной USB флешки — выпущена в свет следующая новейшая версия великолепной, маленькой компьютерной программы, которая предоставит возможность вам делать и форматировать загрузочные USB флеш накопители, сможет функционировать аналогично с картами памяти и иными накопителями.

MyPC Pro 9.5.2 информация о компьютере

Дата: 10.05.2018 MyPC Pro 9.5.2 информация о компьютере — довольно-таки любопытная компьютерная программа с легким и ясным интерфейсом, каковая предоставит для вас развернутые сведения о вашем персональном компьютере.

  • ← GPU Caps Viewer 1.39.0.0 тестирование видеокарты
  • MyPC Pro 9.5.2 информация о компьютере →

Вернуться к списку

Using ProcDump

Capture Usage:

Install Usage:

Uninstall Usage:

Parameter Description
-a Avoid outage. Requires -r. If the trigger will cause the target to suspend for a prolonged time due to an exceeded concurrent dump limit, the trigger will be skipped.
-at Avoid outage at Timeout. Cancel the trigger’s collection at N seconds.
-b Treat debug breakpoints as exceptions (otherwise ignore them).
-c CPU threshold at which to create a dump of the process.
-cl CPU threshold below which to create a dump of the process.
-d Invoke the minidump callback routine named MiniDumpCallbackRoutine of the specified DLL.
-e Write a dump when the process encounters an unhandled exception. Include the 1 to create dump on first chance exceptions.
-f Filter the first chance exceptions. Wildcards (*) are supported. To just display the names without dumping, use a blank («») filter.
-fx Filter (exclude) on the content of exceptions and debug logging. Wildcards are supported.
-g Run as a native debugger in a managed process (no interop).
-h Write dump if process has a hung window (does not respond to window messages for at least 5 seconds).
-i Install ProcDump as the AeDebug postmortem debugger. Only -ma, -mp, -d and -r are supported as additional options.
-k Kill the process after cloning (-r), or at the end of dump collection
-l Display the debug logging of the process.
-m Memory commit threshold in MB at which to create a dump.
-ma Write a dump file with all process memory. The default dump format only includes thread and handle information.
-mc Write a custom dump file. Include memory defined by the specified MINIDUMP_TYPE mask (Hex).
-md Write a Callback dump file. Include memory defined by the MiniDumpWriteDump callback routine named MiniDumpCallbackRoutine of the specified DLL.
-mk Also write a Kernel dump file. Includes the kernel stacks of the threads in the process. OS doesn’t support a kernel dump (-mk) when using a clone (-r). When using multiple dump sizes, a kernel dump is taken for each dump size.
-ml Trigger when memory commit drops below specified MB value.
-mm Write a mini dump file (default).
-mp Write a dump file with thread and handle information, and all read/write process memory. To minimize dump size, memory areas larger than 512MB are searched for, and if found, the largest area is excluded. A memory area is the collection of same sized memory allocation areas. The removal of this (cache) memory reduces Exchange and SQL Server dumps by over 90%.
-n Number of dumps to write before exiting.
-o Overwrite an existing dump file.
-p Trigger on the specified performance counter when the threshold is exceeded. Note: to specify a process counter when there are multiple instances of the process running, use the process ID with the following syntax: «\Process(<name>_<pid>)\counter»
-pl Trigger when performance counter falls below the specified value.
-r Dump using a clone. Concurrent limit is optional (default 1, max 5).CAUTION: a high concurrency value may impact system performance.- Windows 7   : Uses Reflection. OS doesn’t support -e.- Windows 8.0 : Uses Reflection. OS doesn’t support -e.- Windows 8.1+: Uses PSS. All trigger types are supported.
-s Consecutive seconds before dump is written (default is 10).
-t Write a dump when the process terminates.
-u Treat CPU usage relative to a single core (used with -c).As the only option, Uninstalls ProcDump as the postmortem debugger.
-w Wait for the specified process to launch if it’s not running.
-wer Queue the (largest) dump to Windows Error Reporting.
-x Launch the specified image with optional arguments. If it is a Store Application or Package, ProcDump will start on the next activation (only).
-64 By default ProcDump will capture a 32-bit dump of a 32-bit process when running on 64-bit Windows. This option overrides to create a 64-bit dump. Only use for WOW64 subsystem debugging.
-? Use -? -e to see example command lines.

If you omit the dump file name, it defaults to
.

Use the command line option to automatically accept the
Sysinternals license agreement.

Automated Termination:

Setting an event with name is the same as typing Ctrl+C to gracefully terminate ProcDump

Filename:

Default dump filename:

The following substitutions are supported:

Substitution Explanation
PROCESSNAME Process Name
Process ID PID
EXCEPTIONCODE Exception Code
YYMMDD Year/Month/Day
HHMMSS Hour/Minute/Second

Process Explorer

Process Explorer is one of the best and most used Sysinternals utility. As the name implies, the simple yet advanced tool lets you know everything about every processor and DLL opened and active in your system. You can think of Process Explorer as the Task Manager on steroids.

Some of the things Process Explorer could do include but not limited to see all the processes and DLLs, see which process has a lock on which file or folder, kill or suspend processes, set process priority, check processes using Virustotal, accurate graphical statistics about CPU, memory and I/O usage, a tree view to show processes and their dependencies, etc.

After using the tool for some time, you can actually replace the Windows Task Manager with Process Explorer (Options > Replace Task Manager) in a click or two if you like. Of course, the more you use the application, the better it gets.

How to use: Just download the file, extract and execute the “procexp.exe.” Being a portable application, there is no need for any installation. To kill a process, simply select the process and press the “Delete” key. To scan a process, select the process, navigate to “Options > Virustotal.com” and then select “Check Virustotal.com”.

Examples

This article I wrote describes how PsExec
works and gives tips
on how to use it:

The following command launches an interactive command prompt on
:

This command executes IpConfig on the remote system with the
switch, and displays the resulting output locally:

This command copies the program to the remote system and
executes it interactively:

Specify the full path to a program that is already installed on a remote
system if its not on the system’s path:

Run Regedit interactively in the System account to view the contents of
the SAM and SECURITY keys::

To run Internet Explorer as with limited-user privileges use this
command:

Download PsTools (3.5 MB)

PSTools

PsExec is part of a growing kit of Sysinternals command-line tools
that aid in the administration of local and remote systems named
PsTools.

Runs on:

  • Client: Windows Vista and higher.
  • Server: Windows Server 2008 and higher.

Серия уроков по пакету утилит SysInternals

1. Что такое инструменты SysInternals и как их использовать?

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

В этой серии практических рекомендаций вы научитесь использовать инструменты SysInternals как профессионал, благодаря чему вы сможете лучше понимать и контролировать происходящее в вашей операционной системе.

В Windows есть множество других инструментов администрирования, доступных бесплатно в Интернете или даже из коммерческих источников, но ни один из них не является столь же незаменимым, как набор инструментов SysInternals. Это полный набор бесплатных инструментов для выполнения практически любых задач администратора, от мониторинга или запуска процессов до просмотра секретов, к каким файлам и ключам реестра действительно обращаются ваши приложения.

Эти инструменты использует каждый уважаемый компьютерщик — если вы хотите отделить зерна от плевел, просто спросите своего местного мастера по ремонту компьютеров, для чего используется Process Explorer. Если он ничего не понимает, вероятно, он не так хорош, как говорит. (Не волнуйтесь, если вы этого тоже не знаете, вы познакомитесь с этой утилитой в следующей части).

Помните тот раз, когда Sony пыталась встроить руткиты в свои музыкальные компакт-диски? Да, это была утилита SysInternals, которая первой обнаружила проблему, и именно ребята из SysInternals рассказали об этом. В 2006 году Microsoft наконец купила компанию, стоящую за SysInternals, и они продолжают бесплатно предоставлять эти утилиты на своём веб-сайте.

В этой серии статей вы познакомитесь с каждым из важных инструментов в комплекте, познакомитесь с ними и их многочисленными функциями, а затем эти инструкции помогут понять, как использовать их в реальных условиях. Интересного материала очень много, но поездка будет увлекательной, так что следите за обновлениями.

Следующий урок: Знакомство с Process Explorer

Следующий урок познакомит вас с приложением Process Explorer, заменой диспетчера задач со многими другими функциями. Интерфейс наполнен данными и опциями, поэтому мы рассмотрим и объясним всё, что вам нужно знать, например, что на самом деле означают все эти цвета в списке процессов.

После этого мы расскажем, как использовать его в реальном мире для борьбы с проблемными процессами, вредоносными программами и т. д. Затем мы перейдём на территорию Process Monitor и объясним, как использовать одно из самых мощных приложений для устранения неполадок, чтобы выяснить, что на самом деле происходит под капотом вашего ПК.

А затем мы познакомимся с некоторыми другими утилитами, такими как Autoruns, Bginfo и многими утилитами командной строки, включёнными в набор инструментов.

Предстоит охватить много материала, но это будет интересно.

SDelete

SDelete is one of those tools that you don’t need often but a must have due to its importance. In case you are wondering, SDelete is a command line tool used to delete files and folders permanently. Files deleted with SDelete are not recoverable even with best of the file recovery tools. The workings of SDelete is simple, it will find the sectors where the file is stored and rewrites those sectors with zeros. Thus, the files are irrecoverable. So, if you ever want to securely delete a file or folder, use SDelete.

How to use: As a said before, SDelete is command line tool. To start off, download and extract the file. Now, open the command prompt in the same window by clicking “Shift + Right-click” and then selecting “Open command prompt here.” In the command prompt, execute the below command while replacing the dummy file path with the actual file path.

sdelete D:\path\to\file

There are also other parameters that you can set to clear free space, delete entire drives, the number of passes, etc. You can get those details from the official download page.

There are more tools in the Sysinternals suite like PStools, PortMon, AccessChk, AutoLogon, Diskmon, Coreinfo, Sysmon, etc., that are helpful in a lot of situations. The good thing is, you can get the entire Sysinternals suite in single zip file. So, download and store it in your pen drive. These tools will be useful when the time comes.

Hope that helps and do comment below sharing your thoughts and experiences about using the above tools or to share your favorite Sysinternals utilities.

Using PsPing

PsPing implements Ping functionality, TCP ping, latency and bandwidth
measurement. Use the following command-line options to show the usage
for each test type:

Usage:

Parameter Description
-? I Usage for ICMP ping.
-? T Usage for TCP ping.
-? L Usage for latency test.
-? B Usage for bandwidth test.

ICMP ping usage:

Parameter Description
-h Print histogram (default bucket count is 20).
If you specify a single argument, it’s interpreted as a bucket count and the histogram will contain that number of buckets covering the entire time range of values. Specify a comma-separated list of times to create a custom histogram (e.g. «0.01,0.05,1,5,10»).
-i Interval in seconds. Specify 0 for fast ping.
-l Request size. Append ‘k’ for kilobytes and ‘m’ for megabytes.
-n Number of pings or append ‘s’ to specify seconds e.g. ’10s’.
-q Don’t output during pings.
-t Ping until stopped with Ctrl+C and type Ctrl+Break for statistics.
-w Warmup with the specified number of iterations (default is 1).
-4 Force using IPv4.
-6 Force using IPv6.

For high-speed ping tests use -q and -i 0.

TCP ping usage:

Parameter Description
-h Print histogram (default bucket count is 20).
If you specify a single argument, it’s interpreted as a bucket count and the histogram will contain that number of buckets covering the entire time range of values. Specify a comma-separated list of times to create a custom histogram (e.g. «0.01,0.05,1,5,10»).
-i Interval in seconds. Specify 0 for fast ping.
-l Request size. Append ‘k’ for kilobytes and ‘m’ for megabytes.
-n Number of pings or append ‘s’ to specify seconds e.g. ’10s’.
-q Don’t output during pings.
-t Ping until stopped with Ctrl+C and type Ctrl+Break for statistics.
-w Warmup with the specified number of iterations (default is 1).
-4 Force using IPv4.
-6 Force using IPv6.

For high-speed ping tests use -q and -i 0.

TCP and UDP latency usage:

server:

client:

Parameter Description
-f Open source firewall port during the run.
-u UDP (default is TCP).
-h Print histogram (default bucket count is 20).
If you specify a single argument, it’s interpreted as a bucket count and the histogram will contain that number of buckets covering the entire time range of values. Specify a comma-separated list of times to create a custom histogram (e.g. «0.01,0.05,1,5,10»).
-l Request size. Append ‘k’ for kilobytes and ‘m’ for megabytes.
-n Number of sends/receives. Append ‘s’ to specify seconds e.g. ’10s’
-r Receive from the server instead of sending.
-w Warmup with the specified number of iterations (default is 5).
-4 Force using IPv4.
-6 Force using IPv6.
-s Server listening address and port.

The server can serve both latency and bandwidth tests and remains active
until you terminate it with Control-C.

TCP and UDP bandwidth usage:

server:

client:

Parameter Description
-f Open source firewall port during the run.
-u UDP (default is TCP).
-b Bandwidth test.
-h Print histogram (default bucket count is 20).
If you specify a single argument, it’s interpreted as a bucket count and the histogram will contain that number of buckets covering the entire time range of values. Specify a comma-separated list of times to create a custom histogram (e.g. «0.01,0.05,1,5,10»).
-i Number of outstanding I/Os (default is min of 16 and 2x CPU cores).
-l Request size. Append ‘k’ for kilobytes and ‘m’ for megabytes.
-n Number of sends/receives. Append ‘s’ to specify seconds e.g. ’10s’
-r Receive from the server instead of sending.
-w Warmup for the specified iterations (default is 2x CPU cores).
-4 Force using IPv4.
-6 Force using IPv6.
-s Server listening address and port.

The server can serve both latency and bandwidth tests and remains active
until you terminate it with Control-C.

Description of the Book

IT pros and power users consider the free Windows Sysinternals tools
indispensable for diagnosing, troubleshooting, and deeply understanding
the Windows platform. In this extensively updated guide, Sysinternals
creator Mark Russinovich and expert Windows consultant Aaron Margosis
help you use these powerful tools to optimize any Windows system’s
reliability, efficiency, performance, and security. The authors first
explain Sysinternals’ capabilities and help you get started fast. Next,
they offer in-depth coverage of each major tool, from Process Explorer
and Process Monitor to Sysinternals’ security and file utilities. Then,
building on this knowledge, they show the tools being used to solve
real-world cases involving error messages, hangs, sluggishness, malware
infections, and much more.

Windows Sysinternals creator Mark Russinovich and Aaron Margosis show
you how to:

  • Use Process Explorer to display detailed process and system information
  • Use Process Monitor to capture low-level system events, and quickly
    filter the output to narrow down root causes
  • List, categorize, and manage software that runs when you start or
    sign in to your computer, or when you run Microsoft Office or
    Internet Explorer
  • Verify digital signatures of files, of running programs, and of the
    modules loaded in those programs
  • Use Autoruns, Process Explorer, Sigcheck, and Process Monitor
    features that can identify and clean malware infestations
  • Inspect permissions on files, keys, services, shares, and other
    objects
  • Use Sysmon to monitor security-relevant events across your network
  • Generate memory dumps when a process meets specified criteria
  • Execute processes remotely, and close files that were opened
    remotely
  • Manage Active Directory objects and trace LDAP API calls
  • Capture detailed data about processors, memory, and clocks
  • Troubleshoot unbootable devices, file-in-use errors, unexplained
    communication, and many other problems
  • Understand Windows core concepts that aren’t well-documented
    elsewhere

TCPview

TCPview is a simple application that lists all the processes that are connected to the internet. Every process that is connected to the internet will be labeled as “Established.” If you want to, you can close the connection from the right-click menu. The good thing about TCPview is it show you the live feed of all the processes with a one-second delay. If you want to, you can change the update rate from the View menu. Moreover, the connections are color coded, i.e. new endpoints are shown in green, updates to endpoints are shown in yellow, and the deleted endpoints are shown in red.

How to use: Again, download, extract, and execute the file “tcpview.exe”. As soon as you open the application, you will see all the process with active connections. The “tcpvcon.exe” file you see in the archive is a command line tools that acts like the netstat utility in Windows.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector