Инструменты sysinternals suite
Содержание:
- Утилиты для тонкой настройки Windows
- Examples
- How it Works: Windows 95 and 98
- Using AccessChk
- Обзор служебных утилит Sysinternals
- Limitation on and Exclusion of Remedies and Damages
- TCPview
- How it Works: Windows 95 and 98
- Introduction
- Introduction
- Introduction
- Sysinternals Suite 2018-05-14 диагностика и устранение ошибок Windows
- Table of Contents
- Configuration Entries
- Запуск инструментов из SysInternals Live
- Installation and Use
- Что такое инструменты SysInternals?
Утилиты для тонкой настройки Windows
Незаменимый набор бесплатных утилит для обслуживания и управления Windows. Сборник SysInternals Suite содержит более 120 бесплатных инструментов и приложений. В основном утилиты предназначены для настройки, оптимизации и тестирования операционной системы Windows, а также для работы со сторонними приложениями. Дополнительно включены полезные утилиты для диагностики основных аппаратных средств компьютера.
В SysInternals Suite собраны все полезные инструменты для обслуживания и выявления неполадок в ОС Windows. Большинство из утилит были разработаны и поддерживаются одним из самых известных технических сотрудников Microsoft Марком Руссинович (Mark Russinovich).
Входящие в сборку утилиты в основном предназначены для опытных пользователей ПК, так как многие из них имеют доступ к скрытым системным настройка и способны при некорректном обращении нарушить работу Windows.
Одни из самых популярных системных утилит:
Process Explorer
Позволяет всячески контролировать активные процессы в системе. Дает возможность управлять приоритетами ресурсов для любого из отображенных процессов. Способна полностью закрыть процесс или перезапустить заново.
Autoruns
Очень мощное приложение для управления автозапуском. Определяет и позволяет контролировать подключение драйверов, модулей, сервисов и других компонентов в месте с запуском системы. Программа обладает большим набором инструментов для контроля и настройки разнообразных параметров операционных систем Windows.
Desktops
Небольшая и полезная программа для создания и управления виртуальными рабочими столами. Поддерживает создание до 4-х рабочих столов, которые помогут распределить Ваши иконки и другие объекты для более удобной и функциональной работы.
accesschk, accesschk64, AccessEnum, ADExplorer, ADInsight, adrestore, Autologon, Autoruns, Autoruns64, autorunsc, autorunsc64, Bginfo, Cacheset, Clockres, Clockres64, Contig, Contig64, Coreinfo, ctrl2cap, Dbgview, Desktops, disk2vhd, diskext, diskext64, Diskmon, DiskView, du, du64, efsdump, FindLinks, FindLinks64, handle, handle64, hex2dec, hex2dec64, junction, junction64, ldmdump, Listdlls, Listdlls64, livekd, livekd64, LoadOrd, LoadOrd64, LoadOrdC, LoadOrdC64, logonsessions, logonsessions64, movefile, movefile64, notmyfault, notmyfault64, notmyfaultc, notmyfaultc64, ntfsinfo, ntfsinfo64, pagedfrg, pendmoves, pendmoves64, pipelist, pipelist64, portmon, procdump, procdump64, procexp, procexp64, Procmon, PsExec, PsExec64, psfile, psfile64, PsGetsid, PsGetsid64, PsInfo, PsInfo64, pskill, pskill64, pslist, pslist64, PsLoggedon, PsLoggedon64, psloglist, pspasswd, pspasswd64, psping, psping64, PsService, PsService64, psshutdown, pssuspend, pssuspend64, RAMMap, RegDelNULL, RegDelNULL64, regjump, RootkitRevealer, ru, ru64, sdelete, sdelete64, ShareEnum, ShellRunas, sigcheck, sigcheck64, streams, streams64, strings, strings64, sync, sync64, Sysmon, Sysmon64, Tcpvcon, Tcpview, Testlimit, Testlimit64, vmmap, Volumeid, Volumeid64, whois, whois64, Winobj, ZoomIt.
Examples
This article I wrote describes how PsExec
works and gives tips
on how to use it:
The following command launches an interactive command prompt on
:
This command executes IpConfig on the remote system with the
switch, and displays the resulting output locally:
This command copies the program to the remote system and
executes it interactively:
Specify the full path to a program that is already installed on a remote
system if its not on the system’s path:
Run Regedit interactively in the System account to view the contents of
the SAM and SECURITY keys::
To run Internet Explorer as with limited-user privileges use this
command:
Download PsTools (3.5 MB)
PSTools
PsExec is part of a growing kit of Sysinternals command-line tools
that aid in the administration of local and remote systems named
PsTools.
Runs on:
- Client: Windows Vista and higher.
- Server: Windows Server 2008 and higher.
How it Works: Windows 95 and 98
On Windows 95 and 98, the Portmon GUI relies on a dynamically loaded
VxD to capture serial and parallel activity. The Windows VCOMM (Virtual
Communications) device driver serves as the interface to parallel and
serial devices, so applications that access ports indirectly use its
services. The Portmon VxD uses standard VxD service hooking to
intercept all accesses to VCOMM’s functions. Like its NT device driver,
Portmon’s VxD interprets requests to display them in a friendly
format. On Windows 95 and 98 Portmon monitors all ports so there is no
port selection like on NT.
Download Portmon (226 KB)
Run now from Sysinternals Live.
Using AccessChk
Usage:
| Parameter | Description |
|---|---|
| -a | Name is a Windows account right. Specify as the name to show all rights assigned to a user. Note that when you specify a specific right, only groups and accounts directly assigned to the right are displayed. |
| -c | Name is a Windows Service, e.g. . Specify as the name to show all services and to check the security of the Service Control Manager. |
| -d | Only process directories or top-level keys |
| -e | Only show explicitly set-Integrity Levels (Windows Vista and higher only) |
| -f | If following , shows full process token information including groups and privileges. Otherwise is a list of comma-separated accounts to filter from the output. |
| -h | Name is a file or printer share. Specify as the name to show all shares. |
| -i | Ignore objects with only inherited ACEs when dumping full access control lists. |
| -k | Name is a Registry key, e.g. |
| -l | Show full security descriptor. Add to ignore inherited ACEs. |
| -n | Show only objects that have no access |
| -o | Name is an object in the Object Manager namespace (default is root). To view the contents of a directory, specify the name with a trailing backslash or add . Add and an object type (e.g. section) to see only objects of a specific type. |
| -p | Name is a process name or PID, e.g. (specify as the name to show all processes). Add to show full process token information, including groups and privileges. Add to show threads. |
| -q | Omit Banner |
| -r | Show only objects that have read access |
| -s | Recurse |
| -t | Object type filter, e.g. |
| -u | Suppress errors |
| -v | Verbose (includes Windows Vista Integrity Level) |
| -w | Show only objects that have write access |
If you specify a user or group name and path, AccessChk will report the
effective permissions for that account; otherwise it will show the
effective access for accounts referenced in the security descriptor.
By default, the path name is interpreted as a file system path (use the
prefix to specify a named pipe path). For each object,
AccessChk prints if the account has read access, for write access,
and nothing if it has neither. The switch has AccessChk dump the
specific accesses granted to an account.
Обзор служебных утилит Sysinternals
Конечно можно посетить страницу Windows Sysinternals, на https://technet.microsoft.com/sysinternals и использовав алфавитный указатель утилит, выбрать только нужные инструменты. Для чуть более точного подхода, попробуйте шесть отдельных категорий: файл и диск, сеть, процесс, безопасность, системная информация и прочие.
Но гораздо проще скачать весь набор Sysinternals (https://technet.microsoft.com/sysinternals/bb842062) и разархивировать его в собственную папку.
Как удобная альтернатива, для экономии места на диске и уточнения того, что вы планируете использовать самые последние версии утилит, воспользуйтесь службой Sysinternals Live. На https://live.sysinternals.com, вы найдёте полный перечень всех инструментов и файлы поддержки. Если вы знаете название нужного вам инструмента, можно ввести этот путь в проводнике Windows или в командной строке, например, https://live.sysinternals.com/<toolname> или \\live.sysinternals.com\tools\<toolname>. (Подсказка: сохраните избранное для быстрого доступа как web-ярлыки.)
Служба Sysinternals Live позволяет запускать последние в коллекции версии каждого инструмента с помощью одного клика.
Некоторые инструменты Sysinternals полностью конкретизированы и имеют характерный графический интерфейс. Другие, предназначены для интерактивного запуска в командной строке или с помощью скриптов.
Limitation on and Exclusion of Remedies and Damages
You can recover from sysinternals and its suppliers only direct damages
up to U.S. $5.00. You cannot recover any other damages, including
consequential, lost profits, special, indirect or incidental damages.
This limitation applies to
- anything related to the software, services, content (including code)
on third party Internet sites, or third party programs; and - claims for breach of contract, breach of warranty, guarantee or
condition, strict liability, negligence, or other tort to the extent
permitted by applicable law.
It also applies even if Sysinternals knew or should have known about the
possibility of the damages. The above limitation or exclusion may not
apply to you because your country may not allow the exclusion or
limitation of incidental, consequential or other damages.
Please note: As this software is distributed in Quebec , Canada , some
of the clauses in this agreement are provided below in French.
Remarque : Ce logiciel étant distribué au Québec, Canada, certaines
des clauses dans ce contrat sont fournies ci-dessous en français.
EXONÉRATION DE GARANTIE. Le logiciel visé par une licence est offert
« tel quel ». Toute utilisation de ce logiciel est à votre seule risque
et péril. Sysinternals n’accorde aucune autre garantie expresse. Vous
pouvez bénéficier de droits additionnels en vertu du droit local sur la
protection dues consommateurs, que ce contrat ne peut modifier. La ou
elles sont permises par le droit locale, les garanties implicites de
qualité marchande, d’adéquation à un usage particulier et d’absence de
contrefaçon sont exclues.
LIMITATION DES DOMMAGES-INTÉRÊTS ET EXCLUSION DE RESPONSABILITÉ POUR
LES DOMMAGES. Vous pouvez obtenir de Sysinternals et de ses
fournisseurs une indemnisation en cas de dommages directs uniquement à
hauteur de 5,00 $ US. Vous ne pouvez prétendre à aucune indemnisation
pour les autres dommages, y compris les dommages spéciaux, indirects ou
accessoires et pertes de bénéfices.
Cette limitation concerne :
- tout ce qui est relié au logiciel, aux services ou au contenu (y
compris le code) figurant sur des sites Internet tiers ou dans des
programmes tiers ; et - les réclamations au titre de violation de contrat ou de garantie, ou
au titre de responsabilité stricte, de négligence ou d’une autre
faute dans la limite autorisée par la loi en vigueur.
Elle s’applique également, même si Sysinternals connaissait ou devrait
connaître l’éventualité d’un tel dommage. Si votre pays n’autorise pas
l’exclusion ou la limitation de responsabilité pour les dommages
indirects, accessoires ou de quelque nature que ce soit, il se peut que
la limitation ou l’exclusion ci-dessus ne s’appliquera pas à votre
égard.
EFFET JURIDIQUE. Le présent contrat décrit certains droits
juridiques. Vous pourriez avoir d’autres droits prévus par les lois de
votre pays. Le présent contrat ne modifie pas les droits que vous
confèrent les lois de votre pays si celles-ci ne le permettent pas.
TCPview
TCPview is a simple application that lists all the processes that are connected to the internet. Every process that is connected to the internet will be labeled as “Established.” If you want to, you can close the connection from the right-click menu. The good thing about TCPview is it show you the live feed of all the processes with a one-second delay. If you want to, you can change the update rate from the View menu. Moreover, the connections are color coded, i.e. new endpoints are shown in green, updates to endpoints are shown in yellow, and the deleted endpoints are shown in red.
How to use: Again, download, extract, and execute the file “tcpview.exe”. As soon as you open the application, you will see all the process with active connections. The “tcpvcon.exe” file you see in the archive is a command line tools that acts like the netstat utility in Windows.
How it Works: Windows 95 and 98
On Windows 95 and 98, the Portmon GUI relies on a dynamically loaded
VxD to capture serial and parallel activity. The Windows VCOMM (Virtual
Communications) device driver serves as the interface to parallel and
serial devices, so applications that access ports indirectly use its
services. The Portmon VxD uses standard VxD service hooking to
intercept all accesses to VCOMM’s functions. Like its NT device driver,
Portmon’s VxD interprets requests to display them in a friendly
format. On Windows 95 and 98 Portmon monitors all ports so there is no
port selection like on NT.
Download Portmon (226 KB)
Run now from Sysinternals Live.
Introduction
This utility, which has the most comprehensive knowledge of
auto-starting locations of any startup monitor, shows you what programs
are configured to run during system bootup or login, and when you start
various built-in Windows applications like Internet Explorer, Explorer
and media players. These programs and drivers include ones in your
startup folder, Run, RunOnce, and other Registry keys.
Autoruns reports Explorer shell extensions, toolbars, browser helper
objects, Winlogon notifications, auto-start services, and much
more. Autoruns goes way beyond other autostart utilities.
Autoruns’ Hide Signed Microsoft Entries option helps you to zoom
in on third-party auto-starting images that have been added to your
system and it has support for looking at the auto-starting images
configured for other accounts configured on a system. Also included in
the download package is a command-line equivalent that can output in CSV
format, Autorunsc.
You’ll probably be surprised at how many executables are launched
automatically!
Introduction
Utilities like Telnet and remote control programs like Symantec’s PC
Anywhere let you execute programs on remote systems, but they can be a
pain to set up and require that you install client software on the
remote systems that you wish to access. PsExec is a light-weight
telnet-replacement that lets you execute processes on other systems,
complete with full interactivity for console applications, without
having to manually install client software. PsExec’s most powerful uses
include launching interactive command-prompts on remote systems and
remote-enabling tools like IpConfig that otherwise do not have the
ability to show information about remote systems.
Note: some anti-virus scanners report that one or more of the tools are
infected with a «remote admin» virus. None of the PsTools contain
viruses, but they have been used by viruses, which is why they trigger
virus notifications.
Introduction
The Windows NT and Windows 2000 Resource Kits come with a number of
command-line tools that help you administer your Windows NT/2K systems.
Over time, I’ve grown a collection of similar tools, including some not
included in the Resource Kits. What sets these tools apart is that they
all allow you to manage remote systems as well as the local one. The
first tool in the suite was PsList, a tool that lets you view detailed
information about processes, and the suite is continually growing. The
«Ps» prefix in PsList relates to the fact that the standard UNIX process
listing command-line tool is named «ps», so I’ve adopted this prefix for
all the tools in order to tie them together into a suite of tools named
PsTools.
Note
Some anti-virus scanners report that one or more of the tools are infected with a «remote admin» virus. None of the PsTools contain viruses, but they have been used by viruses, which is why they trigger virus notifications.
The tools included in the PsTools suite, which are downloadable as a
package, are:
-
PsExec —
execute processes remotely -
PsFile —
shows files opened remotely -
PsGetSid —
display the SID of a computer or a user -
PsInfo —
list information about a system -
PsPing —
measure network performance -
PsKill —
kill processes by name or process ID -
PsList —
list detailed information about processes -
PsLoggedOn —
see who’s logged on locally and via resource sharing (full source is
included) -
PsLogList —
dump event log records -
PsPasswd —
changes account passwords -
PsService —
view and control services -
PsShutdown —
shuts down and optionally reboots a computer -
PsSuspend —
suspends processes -
PsUptime — shows you how long a system has been running since its
last reboot (PsUptime’s functionality has been incorporated into
PsInfo
The PsTools download package includes an HTML help file with complete
usage information for all the tools.
Download PsTools Suite (3.5 MB)
Runs on:
- Client: Windows Vista and higher
- Server: Windows Server 2008 and higher
- Nano Server: 2016 and higher
Installation
None of the tools requires any special installation. You don’t even need to install any client software on the remote computers at which you target them. Run them by typing their name and any command-line options you want. To show complete usage information, specify the «-? » command-line option.
If you have questions or problems, please visit the Sysinternals PsTools Forum.
Related Links
Introduction to the PsTools: Wes Miller gives a high-level overview of the Sysinternals PsTools in the March column of his TechNet Magazine column.
Sysinternals Suite 2018-05-14 диагностика и устранение ошибок Windows
Sysinternals Suite диагностика и устранение ошибок Windows — этот программный продукт как и его интернет-сайт был создан в 1996 году, основная задача являлась простой — соединить все имеющиеся в наличии сервисные компьютерные программы в едином месте, то есть вам не нужно раздельно закачивать все решения от Mark Russinovich.
В июле 2006 г, фирма знакомая абсолютно всем как Microsoft, приняла решение купить фирму Sysinternals. С програмкой Sysinternals Suite вы получайте немалое число обслуживающих программных средств направленных на управление, сканирование и уничтожения ошибок, а также на проделывание обычного обследования как единичных программ так и операционок Windows.
В результате, которые входят утилиты сможете разделить на группы, к примеру инструментарии для интернет-сети — тогда вы можете пользоваться не только лишь мониторами подсоединений, но и сделать тест безопасности различных ресурсов, а также просмотреть активные сокеты, иными словами перечень возможно перебирать очень долго, полагаю самостоятельно разберетесь.
Далее следует группа «Сведения о системе» — это такие небольшие сервисные приложения, те которые несомненно помогут вам просмотреть и настроить эксплуатация системных ресурсов. Конкретно говоря возможно просмотреть компьютерной программы те, что автоматом запускаются при пуске ОС Windows, будете в реальном времени смотреть деятельность файловой системы, имеется функция установления порядка загрузки драйверов и т.д.
Программа Sysinternals Suite предоставляет нам с вами дополнительно и приложения системы безопасности. Вы можете провести наладку и регулирование текущей системой безопасности, аналогично вам станет доступна программа для отыскивания и устранения rootkit, имеется охотники за програмками-шпионами. Вы можете без проблем просмотреть перечень юзеров те, что входили в систему, возможно смотреть журнальчик событий и т.д.
Далее идет группа «Процессы и потоки» — эта процедура даст возможность вам пользоваться приложениями которые предназначены для нахождения задач, те которые в свой черед имеют возможность исполняться теми либо другими процессами, а также потребляемыми ими ресурсами. Разумеется Sysinternals Suite даст вам отличные служебные приложения для обслуживания HDD и файлы.
В итоге будем надеяться набор утилит от Sysinternals Suite вам лично сгодится, на самом деле он довольно большой, увидеть можно многое.
Разработчик: Microsoft Лицензия: Freeware Язык: English ОС: Windows All Размер: 23 MB
Теги: программы, диагностика и устранение ошибок Windows, устранение ошибок Windows
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
SoundSwitch 5.0.1 переключение между звуковыми устройствами
Дата: 25.01.2020 SoundSwitch переключение между звуковыми устройствами — компьютерная программа подойдет тем, кто имеет в распоряжении пару аудио карточек либо девайсов проигрывания подключенных к компьютерной системе.
Rufus 3.0.1304 + Portable + Русская версия программа создания загрузочной USB флешки
Дата: 29.05.2018 Rufus программа создания загрузочной USB флешки — выпущена в свет следующая новейшая версия великолепной, маленькой компьютерной программы, которая предоставит возможность вам делать и форматировать загрузочные USB флеш накопители, сможет функционировать аналогично с картами памяти и иными накопителями.
MyPC Pro 9.5.2 информация о компьютере
Дата: 10.05.2018 MyPC Pro 9.5.2 информация о компьютере — довольно-таки любопытная компьютерная программа с легким и ясным интерфейсом, каковая предоставит для вас развернутые сведения о вашем персональном компьютере.
- ← GPU Caps Viewer 1.39.0.0 тестирование видеокарты
- MyPC Pro 9.5.2 информация о компьютере →
Вернуться к списку
Table of Contents
- Part I: Getting started
- Chapter 1 Getting started with the Sysinternals utilities
- Chapter 2 Windows core concepts
- Part II: Usage guide
- Chapter 3 Process Explorer
- Chapter 4 Autoruns
- Chapter 5 Process Monitor
- Chapter 6 ProcDump
- Chapter 7 PsTools
- Chapter 8 Process and diagnostic utilities
- Chapter 9 Security utilities
- Chapter 10 Active Directory utilities
- Chapter 11 Desktop utilities
- Chapter 12 File utilities
- Chapter 13 Disk utilities
- Chapter 14 Network and communication utilities
- Chapter 15 System information utilities
- Chapter 16 Miscellaneous utilities
- Part III: Troubleshooting — «The Case of the Unexplained…»
- Chapter 17 Error messages
- Chapter 18 Crashes
- Chapter 19 Hangs and sluggish performance
- Chapter 20 Malware
- Chapter 21 Understanding system behavior
- Chapter 22 Developer troubleshooting
Configuration Entries
Configuration entries are similar to command line switches and include the following
Configuration entries include the following:
| Entry | Value | Description |
|---|---|---|
| ArchiveDirectory | String | Name of directories at volume roots into which copy-on-delete files are moved. The directory is protected with a System ACL (you can use PsExec from Sysinternals to access the directory using ). Default: Sysmon |
| CheckRevocation | Boolean | Controls signature revocation checks. Default: True |
| CopyOnDeletePE | Boolean | Preserves deleted executable image files. Default: False |
| CopyOnDeleteSIDs | Strings | Comma-separated list of account SIDs for which file deletes will be preserved. |
| CopyOnDeleteExtensions | Strings | Extensions for files that are preserved on delete. |
| CopyOnDeleteProcesses | Strings | Process name(s) for which file deletes will be preserved. |
| DnsLookup | Boolean | Controls reverse DNS lookup. Default: True |
| DriverName | String | Uses specied name for driver and service images. |
| HashAlgorithms | Strings | Hash algorithm(s) to apply for hashing. Algorithms supported include MD5, SHA1, SHA256, IMPHASH and * (all). Default: None |
Command line switches have their configuration entry described in the Sysmon usage
output. Parameters are optional based on the tag. If a command line
switch also enables an event, it needs to be configured though its
filter tag. You can specify the -s switch to have Sysmon print the full
configuration schema, including event tags as well as the field names
and types for each event. For example, here’s the schema for the
event type:
Запуск инструментов из SysInternals Live
Если вы не хотите, чтобы у вас возникли проблемы с загрузкой и разархивированием, а затем с запуском приложения, и вы не хотите обновлять USB-накопитель с последними версиями, или у вас просто нет доступа к вашему диску во время работы на чужом компьютере, всегда можно прибегнуть к SysInternals Live.
Суть в следующем: несколько лет назад ребятам из SysInternals стало любопытно, смогут ли они найти новый способ распространения своего программного обеспечения… поэтому они создали общий файловый ресурс Windows на своём сервере и предоставили всем в Интернете доступ к нему.
Таким образом, вы можете просто ввести \\live.sysinternals.com\tools в поле «Выполнить» Windows после того, как вызовете его с помощью сочетания клавиш Win+R, откроется их общая папка, где вы можете осмотреться.
Адрес \\live.sysinternals.com\tools можно ввести в проводнике или даже просто в веб-браузере.
Примечание: формат \\СЕРВЕР\ОБЩАЯ-ПАПКА называется путём UNC (Universal Naming Convention), и он работает практически в любом месте Windows. Вы можете использовать его в адресной строке проводника, в диалоговых окнах открытия и сохранения файлов или в любом другом месте, где вы обычно используете путь к файлу.
Любой инструмент вы можете запустить просто дважды щёлкнув его мышью.
Однако утилит много и поиск нужной может занять время. К счастью, есть гораздо более быстрый способ запустить любую утилиту SysInternals с любого подключённого к Интернету ПК с Windows.
Просто следуйте этому формату, чтобы напрямую запустить одну из утилит через окно «Выполнить»:
\\live.sysinternals.com\tools\ИМЯ-Инструмента
Например, для запуска Process Explorer имя исполняемого файла — procxp.exe, поэтому вы можете использовать \\live.sysinternals.com\tools\procexp64.exe для запуска Process Explorer, или изменить procexp64.exe на procmon64.exe для запуска Монитора процессов.
При запуске с SysInternals Live каждый раз будет показываться диалоговое окно с предупреждением системы безопасности, прежде чем вы действительно запустите любую из них. Это, конечно, хорошо, что Windows не позволяет запускать что-либо из общей папки. Это было бы катастрофой!
Мы настоятельно рекомендуем просто загрузить и установить копию инструментов на каждый компьютер, с которым вы работаете, а не запускать каждый раз с сайта Live. Но в крайнем случае приятно знать, что вы можете это сделать.
Installation and Use
Simply execute the Portmon program file (portmon.exe) and Portmon
will immediately start capturing debug output. To run Portmon on
Windows 95 you must get the WinSock2
update from Microsoft. Note
that if you run Portmon on Windows NT/2K portmon.exe must be located
on a non-network drive and you must have administrative privilege.
Menus, hot-keys, or toolbar buttons can be used to clear the window,
save the monitored data to a file, search output, change the window
font, and more. The on-line help describes all of Portmon’s features.
Portmon understands all serial and parallel port I/O control (IOCTLs)
commands and will display them along with interesting information
regarding their associated parameters. For read and write requests
Portmon displays the first several dozen bytes of the buffer, using
‘.’ to represent non-printable characters. The Show Hex menu option lets
you toggle between ASCII and raw hex output of buffer data.
Что такое инструменты SysInternals?
Набор инструментов SysInternals — это просто набор приложений Windows, которые можно бесплатно загрузить из соответствующего раздела веб-сайта Microsoft. Все они портативны, а это значит, что вам не только не нужно их устанавливать, вы можете скопировать их на флешку и использовать с любого ПК. Фактически, вы можете запускать их без установки через SysInternals Live (что мы немного проиллюстрируем).
Инструменты включают в себя такие утилиты, как Process Explorer, который очень похож на диспетчер задач с множеством дополнительных функций, или Process Monitor, который контролирует ваш компьютер на предмет изменений файловой системы, реестра или даже сетевой активности практически любого процесса в вашей операционной системе.
Autoruns помогает контролировать автоматическую запуску всех процессов, TCPView показывает, что подключается к ресурсам в Интернете, и есть целый набор инструментов, которые запускаются из командной строки, чтобы помочь вам взять под контроль процессы, службы и т. д.
Большинству этих инструментов потребуется права администратора на вашем компьютере, поэтому было бы разумно протестировать их на виртуальной машине или на тестовом компьютере, если вы не уверены, что делаете — это очень мощные инструменты.
Например, предположим, что вы хотите устранить причину, по которой компьютер стал работать слишком медленно. И вы хотите проверить все потоки для конкретного приложения, а затем вы хотите увидеть весь стек для одного из этих потоков, чтобы точно узнать, какие библиотеки DLL и функции вызываются. В Process Explorer это делается тривиально — вы можете просто дважды щёлкнуть процесс, перейти на вкладку Threads и затем нажать кнопку Stack.
Что всё это значит? Подождите до уроков 2 и 3, где мы сделаем все возможное, чтобы объяснить вам концепции и, что более важно, объяснить, почему вы вас могут заинтересовать такие дебри процессов
