Вы когда-нибудь хотели иметь полный контроль над своим ПК с Windows? Имея возможность не только заглянуть под капот практически любого процесса или приложения Windows, но и возможность видеть, к каким файлам и ключам реестра обращаются ваши приложения в режиме реального времени, удивительный.
Возможно, вы специалист по компьютерам и хотите добавить серьезное ноу-хау в свой инструментарий Windows. Если мы пробудили ваш интерес, не смотрите дальше, пока мы разбираем Sysinternals, один из самых родословных и мощных наборов системных и административных утилит для Windows.
Краткая история Sysinternals
Sysinternals — это набор бесплатных системных утилит, утилит администрирования и устранения неполадок для Windows.
Sysinternals появились почти так же давно, как и сама Windows, первая итерация которой датируется 1996 годом. С тех пор пакет Sysinternals развивался с каждой последующей версией Windows, и его арсенал расширялся до более чем 70 различных утилит. Microsoft сразу купила и приобрела это программное обеспечение в 2006 году и оставила его бесплатным и доступным для загрузки в виде полного пакета или по отдельности.
Sysinternals также получает регулярные обновления с добавлением новых утилит с течением времени. Лучше всего то, что программное обеспечение является переносимым и не требует установки. Большинство утилит представляют собой простые EXE-файлы, которые вы можете поместить на флэш-накопитель USB и добавить в свою папку. Инструментарий портативного приложения Windows для системного администрирования.
Как получить Sysinternals
Во-первых, вам нужно загрузить Sysinternals на свой компьютер. К счастью, это не сложно.
Скачать напрямую с Майкрософт
Для начала посетите Указатель утилит Sysinternals, где вы также можете прочитать краткое описание функций каждого инструмента.
Если вы решите загрузить полный пакет Sysinternals, ваш браузер загрузит ZIP-файл размером около 45 МБ.
В папке загрузок просто щелкните правой кнопкой мыши на SysinternalsSuite.zip и выберите Извлечь все.Затем настройте папку назначения по вашему выбору и нажмите кнопку Извлекать кнопка.
Теперь вы можете исследовать и использовать инструменты по своему усмотрению. Стоит иметь в виду, что для большинства инструментов требуется доступ администратора, поэтому обязательно щелкните правой кнопкой мыши на каждом инструменте и выберите Запустить от имени администратора перед использованием.
Sysinternals Live — это служба Microsoft, которая позволяет запускать инструменты Sysinternals прямо из Интернета.
Вы можете запустить отдельный инструмент напрямую, введя путь Sysinternals Live к инструменту в проводнике Windows или в диалоговом окне «Выполнить». Используйте следующий синтаксис: \\live.sysinternals.com\инструменты\
Нажимать Победить + р чтобы открыть диалоговое окно «Выполнить». Укажите имя инструмента в конце пути и нажмите Входить или нажмите ХОРОШО.
Через мгновение или два вас встретит Предупреждение безопасности где можно просто выбрать Бегать продолжать. Обратите внимание, что вы можете просмотреть весь Каталог инструментов Microsoft Sysinternals Live в вашем браузере.
Что вы можете сделать с Sysinternals?
Хотя маловероятно, что кто-либо когда-либо воспользуется всеми инструментами, доступными в пакете, в вашем распоряжении есть множество утилит.
Существуют такие инструменты, как Process Monitor, который отслеживает активность файловой системы, реестра, процессов, потоков и DLL в режиме реального времени. Process Explorer, с другой стороны, похож на диспетчер задач Windows, но с массой дополнительных функций.
Autoruns помогает вам управлять процессами запуска Windows, а также обнаруживать особенно надоедливые встроенные вредоносные программы. Видеть как управлять программами автозапуска Windows с помощью автозапуска Чтобы получить больше информации.
SDelete, программа безопасного удаления, совместимая с DoD, также очищает свободное пространство и не оставляет следов ранее удаленных файлов.
Существует также множество мощных утилит командной строки, которые помогают во всем, от безопасности сети и общего доступа к файлам до расширенной установки Active Directory и многого другого.
Далее давайте рассмотрим некоторые из наиболее популярных инструментов и способы их использования.
Process Explorer: старший брат диспетчера задач
Когда вы открываете Process Explorer в первый раз, вы можете быть немного ошеломлены огромным количеством опций и данных, которые вам представлены.
На левой панели находится иерархическое древовидное представление, в котором перечислены все процессы и подпроцессы, запущенные на вашем компьютере. Рядом с этим вы найдете использование ЦП и ОЗУ, ПИД (идентификатор процесса), Описание, и Название компании все представлено в столбцах, которые можно сортировать и настраивать.
На панели инструментов есть мини-графики активности для Процессор, Физическая память, и Ввод, вывод который когда-то щелкнул открыть в отдельном окне. Под Параметры > Иконки в трее вы также можете выбрать, какое действие вы хотите отображать на панели задач Windows при сворачивании приложения.
Одним из основных различий между Process Explorer и диспетчером задач Windows является ключ с цветовой кодировкой, используемый для идентификации различных типов процессов. Вы можете вызвать этот ключ, перейдя в Параметры > Выбор цвета. Следите за процессами, отмеченными фиолетовым цветом, так как они содержат сжатый код и могут быть признаком скрытого вредоносного ПО.
Щелчок правой кнопкой мыши по любому процессу отобразит набор опций, позволяющих вам Установить приоритет, Убийство, Убить дерево процессов, Приостановить процесс и многое другое.
Монитор процессов: окончательный журнал Windows
Process Monitor сильно отличается от Process Explorer.
Process Monitor позволяет вести журнал каждого отдельного события, происходящего на вашем ПК с Windows. С помощью Process Monitor вы можете увидеть, какие ключи реестра обновляются любым приложением. Даже если служба или приложение порождает новый процесс, каким-либо образом изменяет файловую систему или подключается к сети, вы можете отслеживать это с помощью Process Monitor.
Когда вы впервые откроете Process Monitor, вас встретит огромное количество строк и данных. В фоновом режиме Process Monitor продолжит регистрацию любых событий реестра, файловой системы, сети, процессов и профилирования, которые могут произойти. Это означает, что список данных будет быстро расти, даже если ваша машина простаивает, поскольку службы взаимодействуют с вашей системой.
Ключом к эффективному использованию Process Monitor является фильтрация и сосредоточение внимания только на тех событиях, которые вас интересуют. Например: чтобы быстро отфильтровать процессы Microsoft, вы можете перейти к Параметры > Выберите столбцы и включить Название компании. Затем, просто щелкнув правой кнопкой мыши столбец, вы можете использовать функцию «Включить/Исключить» в контекстном меню, чтобы быстро отфильтровать эти события.
Двойной щелчок или щелчок правой кнопкой мыши по событию и выбор Характеристики откроется дополнительный диалог с большим количеством информации. В этом диалоговом окне вы сможете определить класс события (например, File System или RegistryQueryKey), путь к физической операции и результат.
Отсюда вы можете копнуть еще глубже, перейдя в Куча вкладку, где вы можете увидеть отдельные файлы DLL, связанные с событием.
По умолчанию Process Monitor использует виртуальную память вашего компьютера для временного хранения событий. Если вы пойдете в Файл > Резервные файлы вы можете указать файл для записи и сохранения данных.
Автозапуск: настройка процессов запуска и приложений
Windows предоставляет несколько вариантов работы с запускаемыми процессами и приложениями из коробки. Диспетчер задач, например, имеет специальный Приложения для запуска раздел на панели навигации. Такую же информацию можно найти и в Настройки приложение под Программы > Запускать.
Хотя этого, вероятно, достаточно для большинства людей, на самом деле это не дает вам полной картины того, что загружается каждый раз, когда вы загружаете свой компьютер. На самом деле существует множество более сложных способов настройки программного обеспечения для автоматического запуска в Windows. Существуют вспомогательные объекты браузера, запланированные задачи, службы, драйверы и даже некоторые почти необнаруживаемые методы, такие как перехват изображений и AppInit_dll.
Если вы ищете полный список элементов автозагрузки, то Autoruns — ваш ответ.
По умолчанию, когда вы впервые открываете Autoruns, вы попадаете на Все вкладка Это отображает каждый элемент запуска на каждой вкладке. Естественно, вы можете переключаться между вкладками, чтобы получить дополнительную информацию.
Каждая вкладка дает представление о механизме, используемом элементом запуска. Например, Войти Вкладка отображает все элементы, загружаемые при входе пользователя в Windows. Исследователь На вкладке, с другой стороны, перечислены все элементы автозагрузки, которые присоединяются к процессу File Explorer при его запуске.
Чтобы остановить запуск любого элемента автозагрузки, просто снимите флажок флажок рядом с программой слева. Вот и все. Просто будьте осторожны, отменяя выбор чего-либо в Драйверы и Услуги вкладки, так как большинство из них необходимы для ваших приложений и компонентов Windows.
Sysinternals предлагает гораздо больше
Надеюсь, то, что мы рассмотрели до сих пор, заставило вас задуматься о Sysinternals. Хотите ли вы получить полный снимок всего, что происходит на вашем ПК с помощью Process Explorer, детализированные детали, предоставляемые Process Мониторинг или окончательный авторитет того, какие программы запускаются при запуске с помощью Autoruns, у Sysinternals есть инструмент для примерно все.
Мы рассмотрели только основы того, что возможно с помощью инструментов пакета Sysinternals. Не стесняйтесь исследовать их самостоятельно, но помните, что с большой силой приходит большая ответственность.
