Tentokrát důkladně prozkoumáme užitečnost Sada Sysinternals od společnosti Microsoft což je nástroj, který nám poskytuje velké množství podpory, pokud jde o softwarové problémy, což nám umožňuje udržovat správnou správu a její aktualizaci.
Tento nástroj lze zdarma stáhnout (v sadě nástrojů 20 MB) zdarma z následujícího odkazu:
Můžeme také zadat následující odkaz ke stažení a spuštění konkrétní aplikace, kterou potřebujeme, aniž bychom museli stahovat celou sadu:
Než začnete analyzovat některé aplikace zahrnuté v souboru Sysinternals suite podívejme se trochu na jeho historii. Sysinternals byl vytvořen v roce 1996 a byl neustále aktualizován Markem Russinovichem a tato sada se skládá z více než 70 aplikací, které budou nepochybně velkou pomocí pro nás všechny.
Sada Sysinternals běží na následujících operačních systémech:
- Windows 7
- Windows 8, 8.1
- Windows 10
- Windows Server 2008 a novější
Chceme -li pomocí příkazu spustit příkazy sady Sysinternals Běh, z cmd nebo pomocí vyhledávacího pole musíme přidat sadu do proměnných systémového prostředí.
Můžeme provést následující:
V dialogovém okně zadáme výraz Variabilní a v zobrazených možnostech vybereme "Upravit proměnné prostředí systému."
Zobrazí se následující:
Tam vybereme možnost Proměnné prostředí umístěné ve spodní části.
V zobrazeném okně vybereme Linka cesty a později možnost Upravte pole Systémové proměnné. Tam zadáme cestu, kam jsme stáhli sadu Sysinternals.
Klikneme na Přijmout v následujících oknech aplikujte změny. Tímto způsobem můžeme spouštět příkazy Sysinternals z příkazového řádku.
Chystáme se spustit analýza některých z nejzajímavějších nástrojů, které Sysinternals představuje a jak nám pomáhají v naší technické podpoře.
1. Automatické spuštění
První nástroj, který budeme analyzovat, je Autoruns. Autoruns nám umožňuje mít obecný a velmi podrobný přístup ke službám, aplikacím a knihovnám, které běží hned po spuštění Windows 10.
Při spouštění Autorunů uvidíme následující prostředí:
ZVĚTŠIT
Jak vidíme, máme konkrétní informace o každém programu nebo službě, které se spouští automaticky a jsou rozděleny do různých sekcí:
- Autorunové zadání: Zahrnuje název služby nebo aplikace, která se spouští.
- Popis: Zahrnuje stručný souhrn o aplikaci.
- Vydavatel: Ukazuje nám výrobce nebo vlastníka služby nebo aplikace.
- Cesta obrázku: Ukazuje nám trasu, kde se služba nebo program nachází.
- Časové razítko: Udává datum a čas, kdy byl program nebo služba nainstalována.
- Virus celkem: Nástroj Autoruns obsahuje antivirový skener a pokud existuje, uvidíme ho zde.
Jak vidíme na horních kartách, můžeme vidět služby nebo programy podle kategorie, například vidíme, že se spouští automaticky z Office, Printers, Winlogon atd., Stačí vybrat požadovanou kartu, například vybereme Winlogon.
Něco notoricky známého v Autorunu je, že vidíme, že existují řádky se žlutou barvou, toto znamená, že položka patří programu, který již v systému neexistuje. Pokud je některý řádek červený, znamená to, že sloupec Vydavatel je prázdný, což může být velkou pomocí.
2. Bginfo
Dalším nástrojem, který budeme analyzovat, je Bginfo, který zobrazuje na ploše informace o parametrech v něm definovaných.
The Nástroj BGinfo vypadá takto:
Tam můžeme pomocí možnosti vybrat, která pole se mají zobrazit z pravé strany Zvyk, jakmile definujeme, která pole chceme přidat, klikneme na ně Aplikovat a později v dobře. Uvidíme, že prostředí naší pracovní plochy bylo upraveno s podrobnými informacemi o polích, která byla vybrána:
ZVĚTŠIT
[color = # a9a9a9] Kliknutím na obrázek zvětšíte [/ color]
Můžeme upravit polohu informací, střed, vpravo nebo vlevo a každé pole je velmi snadno srozumitelné a velmi užitečné.
3. Cacheset
Další nástroj bude Cacheset, který nám umožňuje stanovit parametry týkající se mezipaměti systému.
Rozhraní Cacheset je následující:
Zde vidíme aktuální paměť a maximální špičku, v možnosti nastavení můžeme stanovit minimální i maximální paměť, kterou je třeba přidělit, jakmile definujeme tyto aspekty, klikneme na Použít, aby byly provedeny změny.
4. Coreinfo
Zajímavým nástrojem je Coreinfo které my zobrazuje informace mezi logickými procesory a fyzickým procesorem.
Toto je okno zobrazené s Coreinfo:
S Coreinfo můžeme použít některé parametry, jako například:
- -C: Podívejte se na informace o jádrech
- -G: Vypusťte informace o skupinách
- -l: Vypusťte informace o mezipaměti
- -s: Vyhoďte informace o zásuvkách
5. Dbgview
S Dbgview můžeme pořiďte screenshoty desktopů, které máme k dispozici, a proveďte ladění.
ZVĚTŠIT
6. Diskmon
Použitím Diskmon můžeme sledovat v reálném čase sektory našich pevných disků, které jsou aktivní, prostředí Diskmon je následující:
Zde můžeme sledovat různé aspekty sektorů, jako například:
- #: odkazuje na číslo řádku nástroje.
- Čas: Udává počet sekund mezi začátkem rámce a požadavkem.
- Doba trvání: Celkový čas požadavku.
- Disk: Udává číslo analyzovaného disku.
- Žádost: V tomto sloupci vidíme typ požadavku, čtení nebo psaní.
- Sektor: Odkazuje na počet sektorů, které jsou analyzovány.
- Délka: Udává délku požadavku.
7. Diskview
The Nástroj Diskview nám ukazuje graficky (na svazcích formátovaných NTFS) které sektory jsou používány a vidíme, které soubory zabírají konkrétní prostor.
Jakmile je nástroj spuštěn, můžeme vybrat svazek pro skenování, definovat zoom a můžeme vidět, že proces skenování začíná:
Jakmile je proces dokončen, můžeme vidět následující:
Horní část představuje analyzovaný objem. Můžeme vidět detaily, jako je číslo klastru, cesta, kde se nachází, a fragmenty klastru. Tento nástroj je užitečné, pokud musíme provést podrobnou analýzu klastrů na disku a jaké soubory jsou v každém sektoru.
8. Listdlls
S nástrojem Listdlls můžeme podívejte se na úplný seznam nainstalovaných knihoven DLL v našem systému. Prostředí Listdlls je následující:
Jak vidíme, velikost, základna a cesta, kde se knihovna DLL nachází, jsou uvedeny v případě, že na ní musíme provést nějakou akci.
9. LoadOrd
Aplikace Loadord nám umožňuje vizualizovat pořadí, ve kterém systém Windows načítá ovladače zařízení a spouštěcí služby. Jakmile spustíme tuto aplikaci, uvidíme následující:
ZVĚTŠIT
Můžeme vidět kompletní souhrn služeb a ovladačů, jako je jejich jméno, cesta, kde se nacházejí, skupina, do které patří atd.
10. Portmon
Aplikace Portmon nám umožňuje nést a kontrolu nad aktivitou v sériových a paralelních portech našeho týmuS Portmonem můžeme vytvářet filtry a provádět pokročilá vyhledávání, jak jsou tyto porty používány.
Portmonovo prostředí vypadá takto:
11. Procexp
Jedním z nástrojů, který je bezpochyby nejběžnější a bude jedním z nejpoužívanějších, je Průzkumník procesů, tj. Procexp, který je podobný správci úloh ve Windows 10, ale s tím rozdílem, že procexp je mnohem úplnější.
Jakmile je procexp spuštěn, toto bude okno, které budeme sledovat:
Můžeme vidět kompletní souhrn procesů, které jsou v systému aktuálně spuštěny, a poskytnout informace o názvu procesu, množství paměti, kterou zabírá, jeho ID (PID), výrobci atd.
Jak vidíme, každý proces je kategorizován. V nabídce Možnosti můžeme provádět akce týkající se procesů, jako je „zabít“ proces, pozastavit jej, stanovit prioritu, analyzovat je atd.
Ze stejné aplikace procexp vidíme:
- Stát
- V reálném čase
- Paměť
- Procesor
- I / O zařízení
- atd.
Vidíme, jak nástroj rozděluje jednotlivé komponenty a procento využití, pokud chceme mít podrobnější pohled, přejděte na odpovídající kartu, například přejdeme na kartu CPU:
Vidíme úplné a podrobné shrnutí stavu CPU; počet procesů, hrozeb, počet jader atd.
Jeden z výhody, které máme s procexp, je přizpůsobeníPokud si přejeme, můžeme definovat barvy pro různé procesy takto:
- [barva = # 008000]Zelená:[/ color] odkazuje na nové objekty.
- [color = # 40e0d0]Světle modrá:[/ color] identifikuje vlastní procesy.
- [color = # ee82ee] Růžová: [/ color] označuje procesy, které obsahují služby Windows.
- [color = # 4b0082]Nachový:[/ color] označuje komprimovaný (zabalený).
- [color = # daa520]Tyrkysový:[/ color] označuje procesy spojené s aplikacemi Windows Store.
- [barva = # 808080]Tmavě šedá:[/ color] jsou pozastavené procesy.
Jednoduše pokud chceme, aby barvy, které identifikují procesy, byly různé, jednoduše klikněte na Změna upravit je. Pokud si přejeme zjistit, kolik zdrojů proces spotřebovává v systému Windows 10, můžeme na proces poklepat nebo kliknout pravým tlačítkem a vybrat vlastnosti a tam přejít na kartu GPU Graph.
12. Procmon
Další z aplikací, které budou velmi užitečné, je Procmon (monitor procesu). Tento nástroj nám poskytne podrobné informace o procesech jak systémových souborů, registrů, sítě, procesů, hrozeb, to vše v reálném čase, což je pro nás nejdůležitější.
ZVĚTŠIT
Jak vidíme procmon nám toho nabízí dost informace o procesech jako:
- název procesu
- Čas aktivity
- Trasa tam, kde se nachází
- Výsledek procesu
- Podrobnosti
- Atd.
V rámci procmon máme zajímavé nástroje, které nám mohou pomoci udržet kontrolu nad našimi zdroji, například v rámci Nabídka nástrojů můžeme vybrat možnost Souhrn aktivit procesu Chcete -li zobrazit podrobný souhrn činnosti každého procesu, bude výsledek následující.
Procmon je schopen shromáždit velké množství informací v náš prospěch. Jakmile spustíme procmon, uvidíme následující:
Vidíme velmi kompletní výsledek, kde je uvedena spotřeba zdrojů, začátek a konec procesu atd. V rámci Nástroje pokud si vybereme Shrnutí registru můžeme zjistit počet záznamů přístupných během rámce:
Stejně tak můžeme najít souhrn síťových připojení, systému atd. Můžeme použít filtry, abychom měli a centralizovanější správa procesůJednoduše vyberte položku a klikněte pravým tlačítkem, v tomto případě vybereme PID 968.
ZVĚTŠIT
Vybereme možnost „Zahrnout 968“ a uvidíme, že proces filtrování začíná.
Vidíme, že existují pouze výsledky PID 968. Pokud chceme kdykoli vidět proces podrobně, klikněte pravým tlačítkem na proces a vyberte Vlastnosti, v tomto případě vybereme Proces Explorer.exe a můžeme vidět následující:
13. RamMap
Další nástroj, který můžeme použít, je RamMap což nám umožňuje spravovat vše, co souvisí s RAM mít po ruce různé nástroje.
Při provádění RamMap uvidíme následující:
Jak vidíme, máme po ruce všechny informace týkající se paměti a roztříděné podle barev a typu použití. Pomocí kterékoli z karet v horní části můžeme podrobně vidět, které procesy zabírají paměť. Například můžeme stisknout záložku Procesy, a dostaneme následující pohled:
Tímto způsobem můžeme řídit, které procesy spotřebovávají více paměťových prostředků v systému, a můžeme se rozhodnout, zda tyto procesy ukončíme nebo ne.
14. ShareEnum
Pomocí aplikace ShareEnum můžeme vidět jak soubory, tak objekty, které jsou sdíleny v rámci domény nebo pracovní skupiny. Jakmile spustíme ShareEnum, uvidíme následující:
Můžeme vidět cestu, kde máme sdílené soubory, doménu a další informace.
15. TCPView
Další z aplikací zahrnutých v sadě Sysinternals je TCPView, s tímto nástrojem můžeme jasně vidět všechna připojení přes TCP a UDP vytvořené z našeho systému Windows 10 mezi místními porty a vzdálenými adresami.
Když spustíme TCPView, uvidíme toto prostředí:
ZVĚTŠIT
Jak vidíme, máme informace o portech používaných každým procesem, stejně jako o odeslaných a přijatých paketech, a všechny tyto informace jsou velmi důležité pro správnou správu na úrovni sítě v případě, že potřebujeme ověřit nebo analyzovat jakékoli aspekt. Pokud na některý z procesů klikneme pravým tlačítkem, uvidíme jeho vlastnosti, nebo pokud ano, ukončíme ho.
16. VMMap
Jedním z posledních nástrojů, které budeme analyzovat, je VMMap které my umožňuje ověřit využití virtuálních procesů a fyzické paměti prostřednictvím grafického prostředí.
Když jsme provedli VMMap, budeme mít následující:
Nástroj zobrazí procesy, které jsou k dispozici, musíme vybrat proces, o kterém chceme získat podrobné informace, po výběru klikněte na OK a poté uvidíte následující:
V našem případě vybereme proces explorer.exe a, jak vidíme, VMMap nám ukazuje úplné informace o tomto učiteli, jeho využití paměti a o tom, jak využívá každou část této paměti.
Tento nástroj je důležitý v případě, že v procesu x nebo y existují nějaké problémy s výkonem a není nám jasné, které z nich mohou ovlivnit výkon a stabilitu Windows 10.
V rámci Sysinternals máme skupinu nástrojů, které plní základní funkce, ale někdy jsou velmi užitečné. Máme následující:
- PsExec: Umožňuje provádění procesů ve stylu CTRL + R (Execute)
- PsFile: Seznam souborů, které jsou otevřeny vzdáleně
- PsGetSid: Poskytuje nám SID počítače nebo uživatele
- PsInfo: Tento příkaz nám ukazuje informace o systému
- PsKill: To nám dává možnost ukončení procesů
- PsList: Zobrazí informace o aktivních procesech
- PsLoggedOn: Vidíme uživatele, kteří se přihlásili do systému
- PsPasswd: Umožňuje nám upravit hesla účtů registrovaných v systému
- PsPing: Plní funkci příkazu Ping, což vám umožňuje vidět, že mezi zařízeními probíhá komunikace.
- PsService: To nám dává možnost prohlížet a ovládat služby.
- PsShutdown: Pomocí této možnosti můžeme mimo jiné vypnout, restartovat, odhlásit se.
- PsSuspend: Můžeme pozastavit a restartovat služby
Stejným způsobem můžeme najít více než 30 dalších aplikací, které mohou být velkou pomocí, a to nejen lokálně, ale také na úrovni domény. Některé z těchto rychlých aplikací jsou:
RukojeťUmožňuje nám sledovat procesy, které mají v systému aktivitu v reálném čase.
ProudyPomocí streamů můžeme analyzovat všechny soubory a adresáře místně i na úrovni domény, abychom viděli jejich informace, jako je velikost, vlastnosti atd.
OdstranitJedná se o nástroj příkazového řádku, který nám umožňuje bezpečně odstraňovat soubory a adresáře v systému.
ContigJedná se o nástroj, který nám umožňuje defragmentovat jeden nebo více souborů tímto způsobem a který nám umožňuje zlepšit výkon těchto souborů.
MovefileJe to aplikace, která nám umožňuje programovat pohyby a mazat příkazy po dalším spuštění systému.
SigcheckPomocí tohoto nástroje můžeme vidět verzi, datum vytvoření a digitální podpis určitých souborů.
Jak jsme viděli, máme velmi zajímavou sadu pro správu, ovládání a dohled nad našimi Windows 10. Pozvánka je prohlédnout si různé aplikace zahrnuté v Sysinternals a určit, které jsou pro naši práci nejvhodnější, a pamatovat na to tyto nástroje jsou vždy zdarma.
