Tym razem dokładnie zbadamy użyteczność Pakiet Sysinternals firmy Microsoft które jest narzędziem, które zapewnia nam duże wsparcie w zakresie problemów z oprogramowaniem, pozwalając nam na prawidłowe zarządzanie nim i jego aktualizację.
To narzędzie można pobrać (w zestawie narzędzi 20MB) za darmo z następującego linku:
Możemy również wprowadzić poniższy link, aby pobrać i uruchomić konkretną aplikację, której potrzebujemy, bez konieczności pobierania całego pakietu:
Przed rozpoczęciem analizy niektórych aplikacji zawartych w Pakiet Sysinternals zobaczmy trochę jego historii. Sysinternals został stworzony w 1996 roku i jest stale aktualizowany przez Marka Russinovicha, a ten pakiet składa się z ponad 70 aplikacji, które niewątpliwie będą bardzo pomocne dla nas wszystkich.
Pakiet Sysinternals działa w następujących systemach operacyjnych:
- System Windows 7
- Windows 8, 8.1
- Okna 10
- Windows serwer 2008 i nowsze
Jeśli chcemy wykonać polecenia pakietu Sysinternals za pomocą polecenia Uruchomić, z polecenia cmd lub korzystając z pola wyszukiwania musimy dodać zestaw do zmiennych środowiska systemowego.
Możemy wykonać następujące czynności:
W oknie dialogowym wpisujemy termin Zmienny a w wyświetlonych opcjach wybieramy „Edytuj zmienne środowiskowe systemu”.
Wyświetlone zostaną następujące informacje:
Tam wybieramy opcję Zmienne środowiskowe znajdujące się na dole.
W wyświetlonym oknie wybieramy Linia ścieżki a później opcja Edytuj pole Zmienne systemowe. Tam wejdziemy na ścieżkę, do której pobraliśmy pakiet Sysinternals.
Klikamy Akceptować w kolejnych oknach, aby zastosować zmiany. W ten sposób możemy wykonywać polecenia Sysinternals z wiersza poleceń.
Zamierzamy rozpocząć analiza jednych z najciekawszych narzędzi prezentowanych przez Sysinternals i jak pomagają nam w naszym wsparciu technicznym.
1. Automatyczne uruchamianie
Pierwszym narzędziem, które przeanalizujemy, jest Autoruns. Autoruns pozwala nam na ogólne i bardzo szczegółowe podejście do usług, aplikacji i bibliotek uruchamianych zaraz po uruchomieniu systemu Windows 10.
Podczas wykonywania Autoruns zobaczymy następujące środowisko:
POWIĘKSZAĆ
Jak widać, mamy szczegółowe informacje o każdym programie lub usłudze, która uruchamia się automatycznie i jest podzielona na różne sekcje:
- Wpis automatycznego uruchamiania: Zawiera nazwę uruchamianej usługi lub aplikacji.
- Opis: Zawiera krótkie podsumowanie aplikacji.
- Wydawca: Pokazuje nam producenta lub właściciela usługi lub aplikacji.
- Ścieżka obrazu: Pokazuje nam drogę, na której znajduje się usługa lub program.
- Znak czasu: Wskazuje datę i godzinę zainstalowania programu lub usługi.
- Całkowity wirus: Narzędzie Autoruns zawiera skaner antywirusowy, a jeśli taki istnieje, zobaczymy go tutaj.
Jak widać w górnych zakładkach możemy zobaczyć usługi lub programy według kategorii, na przykład widzimy, że uruchamia się automatycznie z Office, Drukarki, Winlogon itp., wystarczy wybrać żądaną kartę, na przykład wybierzemy Winlogon.
Coś znanego w Autorun to to, że widzimy, że są rzędy z żółtym kolorem, to oznacza, że wpis należy do programu, który już nie istnieje w systemie. Jeśli którykolwiek wiersz jest na czerwono, oznacza to, że kolumna Wydawca jest pusta, może to być bardzo pomocne.
2. Bginfo
Kolejnym narzędziem, które przeanalizujemy, jest Bginfo, które wyświetla na pulpicie informacje o zdefiniowanych w nim parametrach.
ten Narzędzie BGinfo wygląda tak:
Tam możemy wybrać, które pola mają być widoczne z prawej strony za pomocą opcji Zwyczaj, gdy już określimy, które pola chcemy dodać, klikamy Zastosować a później w w porządku. Zobaczymy, że środowisko naszego pulpitu zostało zmodyfikowane o szczegółowe informacje o wybranych polach:
POWIĘKSZAĆ
[kolor = # a9a9a9] Kliknij obraz, aby powiększyć [/ kolor]
Możemy edytować położenie informacji, środek, prawo lub lewo, a każde pole jest bardzo łatwe do zrozumienia, a także bardzo przydatne.
3. Cacheset
Następnym narzędziem będzie Cacheset, który pozwala nam ustalić parametry związane z pamięcią cache systemu.
Interfejs pamięci podręcznej wygląda następująco:
Tam widzimy aktualną pamięć i maksymalny szczyt, w opcji ustawień możemy ustalić zarówno minimalną, jak i maksymalną pamięć do przydzielenia, po zdefiniowaniu tych aspektów klikamy Apply, aby zmiany zostały wprowadzone.
4. Informacje podstawowe
Ciekawym narzędziem jest Informacje podstawowe który my wyświetla informacje między procesorami logicznymi a procesorem fizycznym.
To jest okno wyświetlane z Coreinfo:
W Coreinfo możemy użyć niektórych parametrów, takich jak:
- -C: Prześlij informacje o rdzeniach
- -g: Zrzuć informacje o grupach
- -l: Zrzuć informacje o pamięci podręcznej
- -s: Zrzuć informacje o gniazdach
5. Dbgview
Z Dbgview możemy zrób zrzuty ekranu pulpitów, które mamy do dyspozycji i przeprowadź debugowanie.
POWIĘKSZAĆ
6. Diskmon
Za pomocą Diskmon możemy monitorować w czasie rzeczywistym sektory naszych dysków twardych, które są aktywne, środowisko Diskmon wygląda następująco:
Tutaj możemy zaobserwować różne aspekty sektorów, takie jak:
- #: odnosi się do numeru wiersza narzędzia.
- Czas: Wskazuje liczbę sekund między początkiem ramki a żądaniem.
- Czas trwania: Całkowity czas żądania.
- Dysk: Odnosi się do numeru analizowanego dysku.
- Żądanie: W tej kolumnie możemy zobaczyć rodzaj wymagania, czytanie lub pisanie.
- Sektor: Odnosi się do numeru analizowanego sektora.
- Długość: Wskazuje długość żądania.
7. Widok dysku
ten Narzędzie Diskview pokazuje nam graficznie (na woluminach w formacie NTFS) które sektory są używane i możemy zobaczyć, które pliki zajmują konkretną przestrzeń.
Po uruchomieniu narzędzia możemy wybrać objętość do skanowania, zdefiniować powiększenie i widzimy, że rozpoczyna się proces skanowania:
Po zakończeniu procesu możemy zobaczyć:
Górna część przedstawia analizowaną objętość. Możemy zobaczyć szczegóły, takie jak numer klastra, ścieżka, w której się znajduje, oraz fragmenty klastra. To narzędzie jest przydatne, jeśli musimy przeprowadzić szczegółową analizę klastrów na dysku i jakie pliki znajdują się w każdym sektorze.
8. Pliki Listdll
Dzięki narzędziu Listdlls możemy zobacz pełną listę zainstalowanych bibliotek DLL w naszym systemie. Środowisko Listdlls wygląda następująco:
Jak widać, rozmiar, baza i ścieżka, w której znajduje się biblioteka DLL, są wskazane na wypadek, gdybyśmy musieli podjąć jakiekolwiek działania na niej.
9. LoadOrd
Aplikacja Loadord pozwala nam zwizualizować kolejność, w jakiej system Windows ładuje sterowniki urządzeń i usługi startowe. Po uruchomieniu tej aplikacji zobaczymy:
POWIĘKSZAĆ
Możemy zobaczyć pełne podsumowanie usług i sterowników, takie jak ich nazwa, ścieżka, w której się znajdują, grupa, do której należą itp.
10. Portmon
Aplikacja Portmon pozwala nam nosić kontrola nad aktywnością w portach szeregowych i równoległych naszego zespołuDzięki Portmon możemy tworzyć filtry i przeprowadzać zaawansowane wyszukiwania dotyczące sposobu wykorzystania tych portów.
Środowisko Portmon wygląda tak:
11. Procexp
Jednym z narzędzi, które jest niewątpliwie najpowszechniejsze i będzie jednym z najczęściej używanych, jest eksplorator procesów Procexp, który jest podobny do menedżera zadań w Windows 10, ale z tą różnicą, że procexp jest znacznie bardziej kompletny.
Po wykonaniu procexp będzie to okno, które będziemy obserwować:
Widzimy pełne zestawienie procesów, które są aktualnie uruchomione w systemie, zawierające informacje o nazwie procesu, ilości zużywanej pamięci, jego identyfikatorze (PID), producencie itp.
Jak widać, każdy proces jest skategoryzowany. W menu Opcje możemy podjąć działania na procesach, takie jak „zabić” proces, zawiesić go, ustalić priorytet, przeanalizować je i tak dalej.
Z tej samej aplikacji procexp możemy zobaczyć:
- Stan
- W czasie rzeczywistym
- Pamięć
- Edytor
- Urządzenia we/wy
- itp.
Widzimy, jak narzędzie rozkłada każdy komponent i procent użycia, jeśli chcemy mieć bardziej szczegółowy widok, przechodzimy do odpowiedniej zakładki, na przykład przechodzimy do zakładki CPU:
Widzimy pełne i szczegółowe podsumowanie stanu procesora; liczba procesów, zagrożeń, liczba rdzeni itp.
Jeden z zalety jakie mamy z procexp to personalizacjaJeśli chcemy, możemy zdefiniować kolory dla różnych procesów w następujący sposób:
- [kolor = # 008000]Zielony:[/ kolor] odnosi się do nowych obiektów.
- [kolor = # 40e0d0]Jasny niebieski:[/ kolor] identyfikuje własne procesy.
- [kolor = # ee82ee] Różowy: [/ kolor] wskazuje procesy zawierające usługi systemu Windows.
- [kolor = # 4b0082]Purpurowy:[/ kolor] odnosi się do skompresowanego (pakowanego).
- [kolor = # daa520]Turkus:[/ color] odnosi się do procesów związanych z aplikacjami Sklepu Windows.
- [kolor = # 808080]Ciemny szary:[/ color] są zawieszonymi procesami.
Po prostu, jeśli chcemy, aby kolory identyfikujące procesy były inne, po prostu kliknij Reszta aby je edytować. Jeśli naszym pragnieniem jest sprawdzenie, ile zasobów zużywa proces w systemie Windows 10, możemy dwukrotnie kliknąć proces lub kliknąć prawym przyciskiem myszy i wybrać właściwości, a następnie przejść do zakładki Wykres GPU.
12. Procmon
Kolejną z aplikacji, która będzie bardzo przydatna, jest Procmon (monitor procesu). Narzędzie to dostarczy nam szczegółowych informacji o procesach zarówno plików systemowych, rejestrów, sieci, procesów, zagrożeń, wszystko w czasie rzeczywistym, co jest dla nas najważniejsze.
POWIĘKSZAĆ
Jak widzimy procmon oferuje nam wystarczająco dużo informacje o procesach Jak na przykład:
- nazwa procesu
- Czas aktywności
- Trasa, na której się znajduje
- Wynik procesu
- Detale
- Itp.
W ramach procmonu mamy ciekawe narzędzia, które mogą nam pomóc w utrzymaniu kontroli nad naszymi zasobami, na przykład w ramach Menu narzędzi możemy wybrać opcję Podsumowanie aktywności procesu Aby zobaczyć szczegółowe podsumowanie aktywności każdego procesu, wynik będzie następujący.
Procmon jest w stanie zebrać dużą ilość informacji na naszą korzyść. Po uruchomieniu procmon zobaczymy:
Widzimy bardzo kompletny wynik, w którym wskazane jest zużycie zasobów, początek i koniec procesu itp. W Narzędzia jeśli wybierzemy Podsumowanie rejestru możemy znaleźć liczbę rekordów dostępnych podczas ramki:
Podobnie możemy znaleźć zestawienie połączeń sieciowych, systemu itp. Możemy zastosować filtry, aby mieć bardziej scentralizowane zarządzanie procesamiPo prostu wybierz element i kliknij prawym przyciskiem myszy, w tym przypadku wybierzemy PID 968.
POWIĘKSZAĆ
Wybieramy opcję „Dołącz 968” i widzimy, że rozpoczyna się proces filtrowania.
Widzimy, że są tylko wyniki PID 968. Jeśli w dowolnym momencie chcemy zobaczyć proces szczegółowo, wystarczy kliknąć prawym przyciskiem na proces i wybrać Właściwości (edytuj), w tym przypadku wybieramy Proces Explorer.exe i widzimy co następuje:
13. RamMap
Innym narzędziem, którego możemy użyć, jest RamMap co nam pozwala zarządzać wszystkim związanym z pamięcią RAM mając pod ręką różne narzędzia.
Podczas wykonywania RamMap zobaczymy:
Jak widać, mamy pod ręką wszystkie informacje związane z pamięcią i skategoryzowane według kolorów i rodzaju użytkowania. Korzystając z dowolnej zakładki u góry, możemy szczegółowo zobaczyć, które procesy zużywają pamięć. Na przykład możemy nacisnąć tab Procesy, a otrzymamy następujący widok:
W ten sposób możemy kontrolować, które procesy zużywają więcej zasobów pamięci w systemie i możemy zdecydować, czy zakończyć te procesy, czy nie.
14. UdostępnijEnum
Korzystanie z aplikacji ShareEnum możemy zobaczyć zarówno pliki, jak i obiekty, które są udostępniane w domenie lub grupie roboczej. Po uruchomieniu ShareEnum zobaczymy:
Widzimy ścieżkę, w której udostępniliśmy pliki, domenę i inne informacje.
15. Widok TCP
Kolejną z aplikacji wchodzących w skład pakietu Sysinternals jest Widok TCP, za pomocą tego narzędzia możemy wyraźnie widzieć wszystkie połączenia przez TCP i UDP wykonane z naszego systemu Windows 10 między portami lokalnymi a adresami zdalnymi.
Gdy wykonamy TCPView, będzie to środowisko, które zobaczymy:
POWIĘKSZAĆ
Jak widzimy, mamy informacje o portach wykorzystywanych przez każdy proces, a także o pakietach zarówno wysyłanych, jak i odbieranych, a wszystkie te informacje są bardzo ważne dla prawidłowego zarządzania na poziomie sieci, w przypadku konieczności weryfikacji lub analizy jakichkolwiek aspekt. Jeśli klikniemy prawym przyciskiem myszy dowolny z procesów, możemy zobaczyć jego właściwości lub, jeśli tak, zakończyć go.
16. VMMap
Jednym z ostatnich narzędzi, które będziemy analizować, jest VMMap który my pozwala na weryfikację procesów wirtualnych i wykorzystania pamięci fizycznej za pomocą środowiska graficznego.
Po uruchomieniu VMMap otrzymamy:
Narzędzie wyświetli dostępne procesy, musimy wybrać proces, o którym chcemy uzyskać szczegółowe informacje, po wybraniu kliknij OK, a wtedy zobaczysz:
W naszym przypadku wybieramy proces explorer.exe i, jak widzimy, VMMap pokazuje nam pełne informacje o tym nauczycielu, jego zużyciu pamięci i sposobie wykorzystania każdej części tej pamięci.
To narzędzie jest ważne w przypadku problemów z wydajnością procesu x lub y i nie wiemy, które z nich mogą wpłynąć na wydajność i stabilność systemu Windows 10.
W ramach Sysinternals mamy grupę narzędzi, które spełniają podstawowe funkcje, ale czasami są bardzo pomocne. Mamy następujące:
- PsExec: Pozwala na wykonywanie procesów w stylu CTRL+R (Execute)
- PsPlik: Wymień pliki, które są otwierane zdalnie
- PsGetSid: Daje nam identyfikator SID komputera lub użytkownika
- PsInfo: To polecenie pokazuje nam informacje o systemie
- PsZabij: Daje nam możliwość zakończenia procesów
- Lista PS: Wyświetla informacje o aktywnych procesach
- Ps Zalogowany: Widzimy użytkowników, którzy zalogowali się do systemu
- PsPasswd: Pozwala nam na modyfikację haseł kont zarejestrowanych w systemie
- PsPing: Pełni funkcję polecenia Ping, pozwalając zobaczyć, że istnieje komunikacja między urządzeniami.
- Usługa PS: Daje nam możliwość przeglądania i kontrolowania usług.
- PsZamknięcie: Korzystając z tej opcji możemy między innymi wyłączyć, ponownie uruchomić, wylogować.
- PsZawieś: Możemy zawiesić i ponownie uruchomić usługi
W ten sam sposób możemy znaleźć ponad 30 innych aplikacji, które mogą być bardzo pomocne, nie tylko lokalnie, ale także na poziomie domeny, niektóre z tych innych aplikacji w szybki sposób to:
UchwytPozwala nam na obserwację procesów, które działają w systemie w czasie rzeczywistym.
StrumienieDzięki strumieniom możemy analizować wszystkie pliki i katalogi zarówno lokalnie, jak i na poziomie domeny, aby zobaczyć ich informacje, takie jak rozmiar, właściwości itp.
UsuńJest to narzędzie wiersza poleceń, które pozwala nam bezpiecznie usuwać pliki i katalogi w systemie.
KontigJest to narzędzie, które pozwala nam defragmentować jeden lub więcej plików w ten sposób, co pozwala nam poprawić wydajność tych plików.
PrzenieśplikJest to aplikacja, która pozwala nam programować ruchy i usuwać polecenia po kolejnym uruchomieniu systemu.
Kontrola sygnaturyZa pomocą tego narzędzia możemy zobaczyć wersję, datę utworzenia i podpis cyfrowy niektórych plików.
Jak widzieliśmy, mamy bardzo ciekawy pakiet do zarządzania, kontroli i nadzoru naszego Windows 10. Zapraszamy do zapoznania się z różnymi aplikacjami zawartymi w Sysinternals i ustalenia, które są najbardziej odpowiednie do naszej pracy i pamiętania o tym te narzędzia są zawsze bezpłatne.