14 Udvalgte Windows Sysinternals -værktøjer

Denne gang vil vi grundigt undersøge nytten Sysinternals suite fra Microsoft som er et værktøj, der giver os en stor mængde support med hensyn til softwareproblemer, så vi kan opretholde en korrekt administration og opdatering af den.

Dette værktøj kan downloades (i et 20MB værktøjssæt) gratis fra følgende link:

Vi kan også indtaste følgende link for at downloade og køre den specifikke applikation, vi har brug for uden at skulle downloade hele pakken:

Inden du begynder at analysere nogle af de applikationer, der er inkluderet i Sysinternals suite lad os se lidt af dens historie. Sysinternals blev oprettet i 1996 og er konstant blevet opdateret af Mark Russinovich, og denne suite består af mere end 70 applikationer, der utvivlsomt vil være til stor hjælp for os alle.

Sysinternals -pakken kører på følgende operativsystemer:

  • Windows 7
  • Windows 8, 8.1
  • Windows 10
  • Windows server 2008 og fremefter

Hvis vi vil udføre kommandoerne i Sysinternals -pakken ved hjælp af kommandoen Løb, fra cmd eller ved hjælp af søgefeltet skal vi tilføje pakken til variablerne i systemmiljøet.

Vi kan udføre følgende:

I dialogboksen indtaster vi udtrykket Variabel og i de viste muligheder vælger vi "Rediger systemmiljøvariablerne."

Følgende vises:

Der vælger vi indstillingen Miljøvariabler placeret i bunden.

I det viste vindue vælger vi Sti linje og senere muligheden Rediger feltet Systemvariabler. Der vil vi gå ind på stien, hvor vi har downloadet Sysinternals -pakken.

Vi klikker videre At acceptere i de følgende vinduer for at anvende ændringerne. På denne måde kan vi udføre Sysinternals -kommandoerne fra kommandolinjen.

Vi kommer til at starte analyse af nogle af de mest interessante værktøjer, Sysinternals præsenterer og hvordan de hjælper os i vores tekniske support.

1. Autoruns


Det første værktøj, vi vil analysere, er Autoruns. Autoruns giver os mulighed for at have en generel og meget detaljeret tilgang til tjenester, applikationer og biblioteker, der kører, så snart Windows 10 starter.

Når vi udfører Autoruns, ser vi følgende miljø:

FORSTØRRE

Som vi kan se, har vi specifikke oplysninger om hvert program eller service, der starter automatisk og er opdelt i forskellige sektioner:

  • Autorun Entry: Inkluderer navnet på den service eller applikation, der starter.
  • Beskrivelse: Inkluderer en kort opsummering om ansøgningen.
  • Forlægger: Det viser os producenten eller ejeren af ​​tjenesten eller applikationen.
  • Billedsti: Det viser os ruten, hvor tjenesten eller programmet er placeret.
  • Tidsstempel: Angiver dato og klokkeslæt for programmet eller tjenesten blev installeret.
  • Total virus: Autoruns -værktøjet indeholder en virusscanner, og hvis der er en, ser vi den her.

Som vi kan se i de øverste faner, kan vi se tjenesterne eller programmerne efter kategori, for eksempel kan vi se, at det starter automatisk fra Office, Printers, Winlogon osv. Bare vælg den fane, vi ønsker, f.eks. vi vælger Winlogon.

Noget berygtet i Autorun er, at vi kan se, at der er rækker med gul farve, dette betyder, at posten tilhører et program, der ikke længere findes i systemet. Hvis en række er rød, betyder det, at Publisher -kolonnen er tom, dette kan være en stor hjælp.

2. Bginfo


Det næste værktøj, vi vil analysere, er Bginfo, som viser oplysninger på skrivebordet om de parametre, der er defineret i det.

Det BGinfo værktøj ser sådan ud:

Der kan vi vælge, hvilke felter der skal ses fra højre side ved hjælp af indstillingen Brugerdefinerede, når vi definerer, hvilke felter vi vil tilføje, klikker vi på ansøge og senere ind okay. Vi vil se, at miljøet på vores skrivebord er blevet ændret med detaljerede oplysninger om de valgte felter:

FORSTØRRE

[color = # a9a9a9] Klik på billedet for at forstørre [/ color]

Vi kan redigere placeringen af ​​oplysningerne, center, højre eller venstre, og hvert felt er meget let at forstå, såvel som meget nyttigt.

3. Cacheset


Det næste værktøj bliver Cacheset, som giver os mulighed for at etablere parametre relateret til cachehukommelsen af systemet.

Cacheset -grænsefladen er som følger:

Der kan vi se den aktuelle hukommelse og den maksimale top, i indstillingsmuligheden kan vi etablere både minimum og maksimal hukommelse, der skal tildeles, når vi definerer disse aspekter, klikker vi på Anvend, så ændringerne foretages.

4. Coreinfo


Et interessant værktøj er Coreinfo som vi viser oplysninger mellem logiske processorer og fysisk processor.

Dette er vinduet, der vises med Coreinfo:

Vi kan bruge nogle parametre med Coreinfo som:

  • -c: Flyv informationen om kernerne
  • -g: Dump oplysninger om grupper
  • -l: Dump cacheoplysningerne
  • -s: Dump oplysninger om stikkontakter

5. Dbgview


Med Dbgview vi kan tage skærmbilleder af de stationære computere, vi har til rådighed, og foretag en fejlfinding.

FORSTØRRE

6. Diskmon


Ved brug af Diskmon vi kan overvåge i realtid de sektorer på vores harddiske, der er aktive, er Diskmon -miljøet som følger:

Her kan vi observere forskellige aspekter af sektorerne, såsom:

  • #: refererer til værktøjets rækkenummer.
  • Tid: Angiver antallet af sekunder mellem rammens start og anmodningen.
  • Varighed: Anmodningens samlede tid.
  • Disk: Det refererer til nummeret på den analyserede disk.
  • Anmodning: I denne kolonne kan vi se typen af ​​krav, læsning eller skrivning.
  • Sektor: Det refererer til antallet af sektoren, der analyseres.
  • Længde: Angiver anmodningens længde.

7. Diskvisning


Det Diskview -værktøj viser os grafisk (på NTFS-formaterede diskenheder) hvilke sektorer, der bruges, og vi kan se, hvilke filer der optager et bestemt rum.

Når værktøjet er udført, kan vi vælge den volumen, der skal scannes, definere zoomen, og vi kan se, at scanningsprocessen begynder:

Når processen er færdig kan vi se følgende:

Den øverste del repræsenterer det analyserede volumen. Vi kan se detaljer som klyngenummer, stien, hvor den er placeret, og klynge -fragmenterne. Dette værktøj er nyttigt, hvis vi skal udføre en detaljeret analyse af klyngerne på disken, og hvilke filer der er i hver sektor.

8. Listdlls


Med Listdlls -værktøjet kan vi se en komplet liste over installerede DLL -biblioteker i vores system. Listdlls -miljøet er som følger:

Som vi kan se, er størrelsen, basen og stien, hvor DLL'en er placeret, angivet, hvis vi skal gøre noget ved det.

9. LoadOrd


Ansøgningen Loadord giver os mulighed for at visualisere den rækkefølge, hvor Windows indlæser enhedsdrivere og opstartstjenester. Når vi kører denne applikation, ser vi følgende:

FORSTØRRE

Vi kan se et komplet resumé af tjenesterne og chaufførerne, f.eks. Deres navn, stien, hvor de er placeret, den gruppe, de tilhører osv.

10. Portmon


Ansøgningen Portmon giver os mulighed for at bære en kontrol over aktiviteten i vores teams serielle og parallelle porteMed Portmon kan vi oprette filtre og udføre avancerede søgninger om, hvordan disse porte bruges.

Portmons miljø ser sådan ud:

11. Procexp


Et af de værktøjer, der utvivlsomt er det mest almindelige og vil være et af de mest anvendte, er procesudforskeren, det er Procexp, som er ligner task manager i Windows 10, men med den forskel, at procexp er meget mere komplet.

Når procexp er udført, er dette vinduet, som vi vil observere:

Vi kan se et komplet resumé af de processer, der kører i øjeblikket i systemet, der giver oplysninger om navnet på processen, mængden af ​​hukommelse, den bruger, dens ID (PID), producenten osv.

Som vi kan se, er hver proces kategoriseret. På menuen Muligheder vi kan tage handlinger på processerne som at "dræbe" processen, suspendere den, fastsætte prioritet, analysere dem og så videre.

Fra den samme procexp -applikation kan vi se:

  • Staten
  • I realtid
  • Hukommelse
  • Processor
  • I / O -enheder
  • etc.

Vi ser, hvordan værktøjet nedbryder hver komponent og procentdelen af ​​brug, hvis vi vil have en mere detaljeret visning, skal du gå til den tilsvarende fane, for eksempel gå vi til fanen CPU:

Vi ser et komplet og detaljeret resumé om CPU'ens status; antallet af processer, trusler, antal kerner osv.

En af de fordele vi har med procexp er tilpasningHvis vi ønsker det, kan vi definere farver til de forskellige processer sådan:

  • [farve = # 008000]Grøn:[/ farve] refererer til nye objekter.
  • [farve = # 40e0d0]Lyseblå:[/ farve] identificerer egne processer.
  • [color = # ee82ee] Pink: [/ color] angiver processer, der indeholder Windows -tjenester.
  • [farve = # 4b0082]Lilla:[/ farve] refererer til en komprimeret (pakket).
  • [farve = # daa520]Turkis:[/ color] refererer til processer, der er forbundet med Windows Store -applikationer.
  • [farve = # 808080]Mørkegrå:[/ color] er suspenderede processer.

Hvis vi vil have, at farverne, der identificerer processerne, er forskellige, skal du bare klikke på Lave om at redigere dem. Hvis vores ønske er at se, hvor meget ressource en proces forbruger i Windows 10, kan vi dobbeltklikke på processen eller højreklikke og vælge egenskaber og der gå til fanen GPU-graf.

12. Procmon


En anden af ​​de applikationer, der vil være meget nyttige, er Procmon (procesmonitor). Dette værktøj giver os detaljerede oplysninger om processerne i både systemfiler, registre, netværk, processer, trusler, alt i realtid, hvilket er det vigtigste for os.

FORSTØRRE

Som vi ser forkynde tilbyder os nok information om processer såsom:

  • procesens navn
  • Aktivitetstid
  • Rute, hvor den er placeret
  • Procesresultat
  • detaljer
  • Etc.

Inden for procmon har vi interessante værktøjer, der kan hjælpe os med at bevare kontrollen over vores ressourcer, for eksempel inden for Værktøjsmenu vi kan vælge indstillingen Procesaktivitetsoversigt For at se en detaljeret oversigt over aktiviteten af ​​hver proces, vil resultatet blive som følger.

Procmon er i stand til at indsamle en stor mængde information til vores fordel. Når vi kører procmon, ser vi følgende:

Vi ser et meget komplet resultat, hvor ressourceforbrug, start og slutning af processen er angivet osv. Inden for Værktøjer hvis vi vælger Registreringsoversigt vi kan finde antallet af poster, der er adgang til under rammen:

På samme måde kan vi finde en oversigt over netværksforbindelserne, systemet osv. Vi kan anvende filtre for at have en mere centraliseret styring af processerVælg blot elementet og højreklik, i dette tilfælde vælger vi PID 968.

FORSTØRRE

Vi vælger indstillingen "Inkluder 968", og vi vil se, at filtreringsprocessen begynder.

Vi ser, at der kun er resultaterne af PID 968. Hvis vi til enhver tid vil se en proces i detaljer, skal du bare højreklikke på processen og vælge Egenskaber, i dette tilfælde vælger vi Explorer.exe -proces og vi kan se følgende:

13. RamMap


Et andet værktøj, vi kan bruge, er RamMap som tillader os administrere alt relateret til RAM med forskellige hjælpemidler til rådighed.

Ved udførelse RamMap vi vil se følgende:

Som vi kan se, har vi alle oplysninger relateret til hukommelse til rådighed og kategoriseret efter farver og brugstype. Ved hjælp af en af ​​fanerne øverst kan vi se detaljeret, hvilke processer der bruger hukommelse. For eksempel kan vi trykke på fanen Processer, og vi får følgende visning:

På denne måde kan vi kontrollere, hvilke processer der forbruger flere hukommelsesressourcer i systemet, og vi kan beslutte, om disse processer skal afbrydes eller ej.

14. Del nummer


Brug af appen ShareEnum vi kan se både de filer og de objekter, der deles inden for domænet eller arbejdsgruppen. Når vi kører ShareEnum, ser vi følgende:

Vi kan se stien, hvor vi har delt filer, domænet og andre oplysninger.

15. TCPView


En anden af ​​applikationerne i Sysinternals -pakken er TCPView, med dette værktøj kan vi klart se alle forbindelser via TCP og UDP lavet fra vores Windows 10 -system mellem lokale porte og eksterne adresser.

Når vi udfører TCPView, er dette det miljø, vi vil se:

FORSTØRRE

Som vi kan se, har vi oplysninger om de porte, der bruges til hver proces, samt pakkerne både sendt og modtaget, og alle disse oplysninger er meget vigtige for korrekt styring på netværksniveau, hvis vi skal verificere eller analysere evt. aspekt. Hvis vi højreklikker på en af ​​processerne, kan vi se dens egenskaber eller i givet fald afslutte den.

16. VMMap


Et af de sidste værktøjer, som vi vil analysere, er VMMap som vi gør det muligt at verificere virtuelle processer og fysisk hukommelsesbrug gennem et grafisk miljø.

Når vi har udført VMMap, har vi følgende:

Værktøjet viser de tilgængelige processer, vi skal vælge den proces, som vi ønsker at få detaljerede oplysninger om, når de er valgt, skal du klikke på OK, og derefter vil du se følgende:

I vores tilfælde vælger vi explorer.exe -processen, og som vi kan se, viser VMMap os komplette oplysninger om denne lærer, dens hukommelsesforbrug og hvordan den bruger hver del af hukommelsen.

Dette værktøj er vigtigt, hvis der er problemer med ydeevnen med x- eller y -processen, og vi er ikke klar over, hvilke der kan påvirke ydeevnen og stabiliteten i Windows 10.

Inden for Sysinternals har vi en gruppe værktøjer, der opfylder grundlæggende funktioner, men sommetider er meget hjælpsomme. Vi har følgende:

  • PsExec: Det tillader udførelse af processer i stil med CTRL + R (Execute)
  • PsFile: Liste over de filer, der er åbne på afstand
  • PsGetSid: Det giver os SID'en for en computer eller en bruger
  • PsInfo: Denne kommando viser os oplysninger om systemet
  • PsKill: Det giver os mulighed for at afslutte processer
  • PsList: Viser oplysninger om aktive processer
  • PsLoggedOn: Vi kan se de brugere, der har logget ind på systemet
  • PsPasswd: Det giver os mulighed for at ændre adgangskoder til de konti, der er registreret i systemet
  • PsPing: Det opfylder funktionen af ​​Ping -kommandoen, så du kan se, at der er kommunikation mellem enheder.
  • PsService: Det giver os mulighed for at se og kontrollere tjenester.
  • PsShutdown: Ved hjælp af denne mulighed kan vi slukke, genstarte, logge af blandt andre muligheder.
  • PsSuspend: Vi kan suspendere og genstarte tjenester

På samme måde kan vi finde mere end 30 andre applikationer, der kan være en stor hjælp, ikke kun lokalt, men også på domæneniveau, nogle af disse andre applikationer på en hurtig måde er:

HåndtereDet giver os mulighed for at observere de processer, der har aktivitet i realtid i systemet.

VandløbMed Streams kan vi analysere alle filer og mapper både lokalt og på domæneniveau for at se deres oplysninger såsom størrelse, egenskaber osv.

SletDet er et kommandolinjeværktøj, der giver os mulighed for sikkert at slette filer og mapper på systemet.

ContigDet er et værktøj, der giver os mulighed for at defragmentere en eller flere filer på denne måde, der giver os mulighed for at forbedre disse filers ydeevne.

FlytfilDet er et program, der giver os mulighed for at programmere bevægelser og slette kommandoer efter den næste start af systemet.

SigcheckMed dette værktøj kan vi se versionen, oprettelsesdatoen og den digitale signatur af visse filer.

Som vi har set, har vi en meget interessant pakke til styring, kontrol og overvågning af vores Windows 10. Invitationen er at gennemgå de forskellige applikationer, der er inkluderet i Sysinternals og afgøre, hvilke der er mest passende til vores arbejde og huske, at disse værktøjer er gratis til enhver tid.

wave wave wave wave wave