Sysinternals vositalari Windows operatsion tizimlarida ishlaydigan kompyuterlarni boshqarish va nazorat qilish uchun bepul dasturlar to'plamidir. Dastlab Sysinternals (Winternals) dasturlari kompaniya tomonidan ishlab chiqilgan Winternals dasturiy ta'minot LP ikki ishlab chiquvchi - Mark Russinovich va Bryce Cogswell boshchiligida. 2006 yil iyul oyida Microsoft Winternals Software LP va uning barcha mahsulotlarini sotib oldi. Sysinternals veb-sayti endi Microsoft veb-portaliga o'tdi va endi Microsoft TechNet tarkibiga kiradi. Microsoft Technet endi Windows Sysinternals bo'limini o'z ichiga oladi, u erda siz to'liq yordam dasturlarini yuklab olishingiz mumkin Sysinternals kostyumi arxiv shaklida yoki uning tarkibidan individual yordamchi dasturlar.

Hozirgi vaqtda Windows Sysinternals asboblar to'plamini hatto R harfi bilan tayinlangan tarmoq drayveri sifatida ko'rsatish mumkin bo'lgan Sysinternals Live resursini almashish imkoniyati tufayli mahalliy kompyuterga yuklab olmasdan ham foydalanish mumkin:

aniq foydalanish R:\\live.sysinternals.com\tools

Tarmoq drayveri bilan, albatta, ma'lumot almashish tezligi mahalliyga qaraganda ancha past, ammo siz u bilan oddiy mahalliy diskda, shu jumladan buyruq satrida bo'lgani kabi muammosiz ishlashingiz mumkin. Masalan, jamoa

R:\autoruns.exe faylini ishga tushiring

Qulaylik autoruns.exe alohida oynada ishga tushirilishi mumkin. Shunday qilib, Internetga kirish imkoni bo'lgan har qanday joyda Windows uchun eng funktsional va samarali vositalar to'plamidan foydalanishingiz mumkin - Sysinternals Suite.

    Ko'pgina Sysinternals Suite yordam dasturlari to'liq funksiyalarga ega bo'lish uchun ma'muriy imtiyozlarni talab qiladi. Windows 2000/XP oilasining operatsion tizimlari uchun foydalanuvchining Administrators guruhi a'zosi sifatida hisob ostida ishlashi kifoya. Windows Vista/Windows 7 operatsion tizimi muhitida "Administrator sifatida ishga tushirish" kontekst menyusi bandidan foydalanib, yordamchi dasturlarni ishga tushirish kerak. Buyruqlar qatori yordam dasturlarini ishlatadigan ommaviy ish fayllari ham administrator huquqlariga ega hisob kontekstida ishga tushirilishi kerak.

Plastik sumka Sysinternals Suite bir necha o'nlab kichik yordamchi dasturlarni o'z ichiga oladi, ham konsol, ham grafik interfeys, ularning aksariyati tizim ma'murlari va ilg'or foydalanuvchilar orasida keng tarqalgan - PSTools dasturiy ta'minot to'plami, monitoring yordam dasturlari Process Monitor, Autoruns, Process Explorer, anti-rootkit RootkitRevealer va boshqalar. . Ularning ko'pchiligi alohida maqolalarda muhokama qilinadi, ularga havolalar bo'limda saytning asosiy sahifasida joylashgan. Windows. Sysinternals Suite to'plami yiliga bir necha marta yangilanadi, uning tarkibi o'zgarishi mumkin - dastur versiyalari o'zgaradi, ba'zi yordamchi dasturlar o'chiriladi, ba'zilari qo'shiladi, lekin asosiy to'plam o'n yildan ortiq vaqt davomida mavjud bo'lib, bu ma'murlar va malakali foydalanuvchilar orasida uning talabini ko'rsatadi. Windows oilasining operatsion tizimlari. Konsol utilitalarining buyruq qatori parametrlari va ko'pchilik dasturlar uchun grafik foydalanuvchi interfeysi juda o'xshash, bu ulardan amaliy foydalanishni sezilarli darajada osonlashtiradi.

AccessChk

Accesschk- fayllar, kataloglar, ro'yxatga olish kitobi kalitlari va kalitlari, jarayonlar va mavzularga foydalanuvchi kirish huquqlarini ko'rish uchun konsol yordam dasturi.

accesschk -u user1 -c MpsSvc -v- foydalanuvchi huquqlarini ko'rsatish foydalanuvchi1 xizmatga nisbatan MpsSvc(Windows 7 xavfsizlik devori. Eslatib o'taman, Windows Vista/Windows 7 da Accesschk yordam dasturi administrator sifatida ishga tushirilishi kerak). Kalit -v natijalarning batafsil chiqishini bildiradi. Agar bu kalit ko'rsatilmagan bo'lsa, u holda foydalanuvchi huquqlari belgilar bilan ko'rsatiladi R(O'qing) va V(Yozing). Displey R xizmat holatini (Query_Status), konfiguratsiyani (Query_Config) va ishga tushirishni (Service_Start) ko'rish uchun ruxsatni bildiradi. V xizmat konfiguratsiyasi va holatini o'zgartirish huquqiga ega ekanligingizni bildiradi. Kombinatsiya RW xizmatdagi har qanday amal amallar mavjudligini bildiradi. (Service_All_access). Agar kalit berilsa -v keyin belgilar o'rniga R Va V R kabi kirish huquqlarining tavsifini ko'rsatadi Service_all_access- to'liq kirishga ruxsat beriladi

accesschk -c MpsSvc -w -v- xizmatga to'liq kirish huquqiga ega (-w tugmasi) hisoblar ro'yxatini ko'rsatish MpsSvc.

accesschk -u user1 -c * -w -v- foydalanuvchi1 to'liq kirish huquqiga ega bo'lgan xizmatlar ro'yxatini ko'rsatish.

accesschk -u user1 -k hklm\security- foydalanuvchi1 ning bo'limning kichik bo'limlariga kirish huquqlarini ko'rsatish HKLM\SECURITY ro'yxatga olish kitobi

accesschk -u user1 -k hklm\security -d-d kaliti faqat yuqori darajadagi ishlov berishni anglatadi (fayl tizimi katalogi yoki ro'yxatga olish kitobi kaliti)

accesschk -u user1 C:\Users -d- C:\Users katalogiga nisbatan user1 huquqlarini ko'rsatish

accesschk -u user1 C:\Users- C:\Users katalogining pastki kataloglariga nisbatan user1 huquqlarini ko'rsatish

accesschk C:\Users -w- C:\Users katalogiga to'liq kirish huquqiga ega hisoblar ro'yxatini ko'rsatish

accesschk -u user1 -p wininit -v- jarayonga nisbatan foydalanuvchi1 huquqlarini ko'rsatish g'alaba qozonish

Afsuski, accesschk yordam dasturi rus alifbosi belgilarini o'z ichiga olgan hisoblar, xizmatlar va kataloglar nomlari bilan qanday ishlashni bilmaydi (hech bo'lmaganda yozish paytida u qanday bilmas edi).

AccessEnum

AccessEnum- fayl tizimi va Windows ro'yxatga olish kitobi elementlariga nisbatan hisob huquqlarini ko'rish uchun yordamchi dastur.

Cache Set

Qulaylik Cache Set tizim fayl keshining Ishchi to'plami parametrlarini boshqarish imkonini beruvchi dasturdir. Optimal parametrlarni tanlash va kompyuterning tezligi va barqarorligini oshirish uchun foydalaniladi. Ishlaydigan kesh hajmining minimal va maksimal qiymatlarini o'zgartirish orqali siz tizim ish faoliyatini biroz yaxshilashga erishishingiz mumkin.

Yangi minimal va maksimal qiymatlarni o'rnatish tugmani bosganingizda sodir bo'ladi Murojaat qiling. Tugma Qayta o'rnatish yordam dasturi ishga tushirilganda o'rnatilgan kesh hajmining minimal va maksimal qiymatlarini qaytarishga imkon beradi.

Contig

Contig- individual, tez-tez ishlatiladigan fayllarni defragmentatsiya qilish orqali tizim ish faoliyatini oshirish uchun buyruq qatori yordam dasturi. Bootloader yordamida yuklanadigan flesh-disklarda virtual mashina fayllarini, ISO tasvirlarini defragmentatsiya qilish uchun foydalanish qulay Grub, bu diskdan tez-tez o'qiladigan ba'zi fayllarni defragmentatsiya qilish uchun parchalanmagan tasvir faylini talab qilishi mumkin.

Contig.exe /?- yordam dasturidan foydalanish bo'yicha yordam berish.

Contig.exe -a E:\SonyaLiveCD.iso- E:\SonyaLiveCD_15.10.2010.iso faylining parchalanishini tahlil qiling

Contig.exe E:\SonyaLiveCD_15.10.2010.iso- belgilangan faylni defragmentatsiya qilish.

Contig.exe -a -s C:\windows\*.exe- kengaytmali barcha fayllarni tahlil qilish exe C: \ Windows katalogida va uning pastki kataloglarida (kalit -s)

Contig.exe C:\windows\system32\*.exe- kengaytmali barcha fayllarni defragmentatsiya qilish exe C:\Windows\System32 tizim katalogida

Maqsadli foydalanish bilan tizim samaradorligini oshirish Contig.exe odatda standart Windows defragmentatsiyasi vositalari yordamida olinishi mumkin bo'lganidan yuqori.

Disk2vhd

Qulaylik Disk2vhd haqiqiy mashinaning fizik disk ma'lumotlari asosida Microsoft virtual mashinasining VHD formatida virtual qattiq disk yaratish uchun foydalaniladi (Virtual Hard Disk - Microsoft's Virtual Machine disk formati).Virtual mashina diskini yaratish operatsiyasi bevosita amalga oshirilishi mumkin. ishlayotgan OT muhitida Disk2vhd dasturining grafik foydalanuvchi interfeysi haqiqiy kompyuterning har qanday mantiqiy drayverlarini aylantirish va uni virtual mashina muhitida ishlash uchun ishlatilishi mumkin bo'lgan virtual diskka aylantirishni tanlash imkonini beradi. Microsoft virtual kompyuter.

DiskMon

DiskMon- Windows operatsion tizimlarida qattiq disklar uchun kiritish-chiqarish operatsiyalarini kuzatish imkonini beradi. Dastur qattiq disklarga kirishning dasturiy ko'rsatkichi sifatida ham foydalanish mumkin - minimallashtirilganda, diskni o'qish jarayonida vazifalar panelidagi belgi yashil rangda, yozish jarayonida esa qizil rangda ko'rsatiladi.

Dasturning asosiy oynasida tizimdagi disk raqami (Disk ustuni), operatsiya turi (So'rov ustuni), kirish qilingan diskdagi sektor soni (Sektor ustuni) va ma'lumotlar maydonining o'lchami ko'rsatiladi. (Uzunlik ustuni). Agar ma'lum raqamga ega bo'lgan sektor qaysi fayl bilan bog'liqligini aniqlashingiz kerak bo'lsa, Microsoft-ning Yordam vositalari to'plamidagi NFI.EXE (NTFS File Sector Information Utility) konsol yordam dasturidan foydalanishingiz mumkin.
Buyruqlar qatori formati
nfi.exe Disk sektori raqami
nfi.exe C: 655234- 655234 sektoriga ega bo'lgan fayl nomini ko'rsatish
nfi.exe C: 0xBF5E34- xuddi shunday, lekin sektor raqami o'n oltilik sanoq sistemasida ko'rsatilgan
Buyruqni bajarish natijasida xabar paydo bo'ladi

***C diskidagi mantiqiy sektor 12541492 (0xbf5e34) 49502 fayl raqamida.
\WINDOWS\system32\D3DCompiler_38.dll

Bular. Bizni qiziqtirgan sektor Windows\system32 katalogidagi D3DCompiler_38.dll fayliga tegishli.

DiskView

Dastur DiskView disk maydonidan foydalanishning grafik xaritasini olish imkonini beradi:

Ko'rish uchun diskni tanlash maydonda amalga oshiriladi Ovoz balandligi dastur oynasining pastki qismida. Drayvni tanlab, tugmani bosgandan so'ng Yangilash dastur fayllar va kataloglarning joylashuvi xaritasini skanerlaydi va ko'rsatadi. Pastki oynada diskning boshiga nisbatan ma'lumotlar joylashuvining bir turi ko'rsatiladi. Hududning rangi ko'rsatilgan klaster guruhlarining xarakterli xususiyatlariga mos keladi. Rangni kodlashda yordam olish uchun menyudan foydalanishingiz mumkin Yordam - afsona. . .:

Fragmentning birinchi klasteri- zanjirdagi dastlabki klasterning rangi.
Qo'shni fayllar klasteri- klaster uzluksiz (parchalanmagan) faylga tegishli.
Ftagmentli fayllar klasteri- klaster parchalangan faylga tegishli.
Tizim fayllari klasteri- klaster tizim fayliga tegishli
Ishlatilmagan klaster- klaster bo'sh joyga tegishli
MFT zonasida foydalanilmagan klaster- disk tarkibining MFT zonasida bepul klaster
Foydalanuvchi tomonidan ajratilgan fayllar klasteri- klaster foydalanuvchi tanlagan faylga tegishli.

Yuqori oynada ma'lumotlar joylashuvining batafsil xaritasi ko'rsatiladi. O'tkazish paneli displey maydonini tanlash imkonini beradi. Pastki oynadagi ko'rsatgich yordamida disk maydonining istalgan nuqtasini tanlash yuqori oynada fayl tizimining tanlangan bo'limi uchun klaster xaritasini ko'rsatishga olib keladi. Xarita tafsilotlari darajasini o'zgartirish uchun tugmani ishlating Kattalashtirish asosiy dastur oynasining pastki qismida. Yuqori oynadagi klaster xaritasini bosish maydonda fayl nomini ko'rsatadi Yoritish va unga mos keladigan klasterlar guruhini rang bilan ajratib ko'rsatish. Yuqori oynada ko'rsatilgan klasterlar maydonini ikki marta bosish xususiyatlar oynasini ochadi:

Diskdan foydalanish darajasini va fayllar va fragmentlar soni haqidagi ma'lumotlarni ko'rsatish uchun "Fayl" - "Statistika" menyusidan foydalaning.

D.U.

du.exe- Windows fayl tizimi kataloglarida disk maydonidan foydalanish statistikasini aniqlash uchun buyruq qatori yordam dasturi. Kalitlar ro'yxatini olish uchun siz du.exe ni parametrsiz yoki parametr bilan ishga tushirishingiz mumkin /? . Yordamchi dasturdan foydalanishga misollar:

du.exe C:\- C diskining ildiz katalogidan foydalanish to'g'risidagi ma'lumotlarni ko'rsatish: - fayllar soni, pastki kataloglar va egallagan disk maydoni hajmi.

FileMon

FileMon(Fayl monitori) bu fayl tizimining barcha faoliyatini real vaqtda kuzatish uchun yordamchi dastur. Qaysi jarayonlar fayllar va kataloglarga kirishini, fayl tizimi tomonidan qaysi ob'ektlarda qanday operatsiyalar bajarilishini aniqlash imkonini beradi. FileMon yordam dasturi endi bilan almashtirildi Jarayon monitori (ProcMon). Ikkala dasturdan foydalanishning batafsil tavsifi va tartibi alohida maqolalarda keltirilgan:

Ushbu yordamchi dasturlardan foydalanib, siz dastur tomonidan ishlatiladigan fayl resurslari ro'yxatini osongina aniqlashingiz, konfiguratsiya fayllarini topishingiz va nosozliklar sabablarini yoki Windows fayllari va kataloglaridan foydalanish bilan bog'liq boshqa muammolarni aniqlashingiz mumkin.

MoveFile

MoveFile keyingi safar Windows-ni qayta ishga tushirganingizda faylni o'chirish yoki ko'chirish imkonini beradi. Bu fayl faqat ba'zi dastur yoki xizmat tomonidan yozib olingan va uni oddiy vositalar bilan o'chirish yoki uzatish mumkin bo'lmagan hollarda qo'llaniladi. Foydalanish misoli:

Movefile.exe "C:\Documents and Settings\user\Local Settings\TEMP\svchost.exe" C:\virus\svchost.ex_

Fayllarni uzatish operatsiyasi aslida Windows seans menejeri (Session Manager SMSS.EXE) tomonidan amalga oshiriladi, u tizimni yuklash jarayonida ro'yxatga olish kitobi kalitidan MoveFile yordam dasturi tomonidan ro'yxatga olingan nomni o'zgartirish va o'chirish buyruqlarini o'qiydi.
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations .
O'tkazish tugallangandan so'ng, ushbu ro'yxatga olish kitobi kaliti o'chiriladi. MoveFile yordam dasturi tomonidan rejalashtirilgan transferlarni ko'rish uchun siz yordam dasturidan foydalanishingiz mumkin PendMoves Sysinternals Suite-dan.

PageDefrag (pagedfrg.exe) ko'p yillar davomida mashhurlikda u Sysinternals-dan kommunal xizmatlar orasida 4-5 o'rinni egallab kelmoqda. Ro'yxatga olish kitobi fayllarini (\windows\system32\config katalogidagi SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT fayllari), tizim jurnallarini (xuddi shu katalogda) va sahifa faylini (pagefile.sys) defragmentatsiya qilish orqali tizim ish faoliyatini oshirishga imkon beradi.

Ishga tushgandan so'ng, yordamchi dastur qayta ishlanishi mumkin bo'lgan fayllar ro'yxatini va ularning parchalanish darajasini ko'rsatadi.

Defragmentatsiya uchun yordamchi dastur tomonidan yaratilgan tizim xizmatidan foydalaniladi. pgdfgsvc.exe va, kommunal holatda bo'lgani kabi MoveFile, - Windows sessiya menejeri ( SMSS.EXE(Session Manager Subsystem Service qisqartmasi) - Windows-dagi sessiyalarni boshqarish quyi tizimi). Seans menejeri tizimni yuklash paytida ro'yxatga olish kitobi kalitini qayta ishlaydi
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
Ushbu kalit Windows-ni yuklash jarayonida SMSS.EXE menejeri tomonidan bajarilishi kerak bo'lgan dasturlar haqida ma'lumotni o'z ichiga oladi. Standartlar fayl tizimini tekshirgichlardir. Yordamchi dastur xizmatni ishga tushirish uchun ushbu kalitga buyruqlar qo'shadi pgdfgsvc va shunga mos ravishda tizim fayllarini defragmentatsiya qilish, ular tizimni joylashtirish uchun talab qilinishidan oldin amalga oshiriladi. Agar kerak bo'lsa, defragmentatsiyani bekor qilishingiz, uni bir marta bajarishingiz yoki har safar Windows ishga tushganda rejimni ishga tushirishingiz mumkin.

PageDefrag konsol rejimida ishga tushirilishi mumkin, buyruq qatori parametrlari yordamida sozlamalarni o'zgartiradi.

pagedefrag [-e | -o | -n] [-t]

-e- Har bir yuklashda defragmentatsiya
-o- Bir martalik defragmentatsiya
-n- defragmentatsiyani bekor qilish
-t- Defragmentatsiya boshlanishidan bir necha soniya oldin ortga hisoblash

Misollar:

pagedefrag -e -t 10- har bir yuklashda defragmentatsiyani amalga oshiring va foydalanuvchi istalgan tugmachani bosganida bajarilishini bekor qilish uchun kutish rejimini 10 soniyaga o'rnating.

Keyingi safar tizim qayta ishga tushganda bir martalik defragmentatsiyani bajaring.

Oldindan rejalashtirilgan defragmentatsiyani bekor qiling.

Tarmoq bilan ishlash uchun Sysinternals Suite yordam dasturlari.

ADRestore

ADRestore o'chirilgan Active Directory (AD) ob'ektlari ro'yxatini ko'rish va kerak bo'lganda tanlanganlarini tiklash imkonini beradi. Yordam olish uchun kalitdan foydalaning /? . Parametrlarsiz ishga tushirilganda, yordamchi dastur o'chirilgan deb belgilangan AD ob'ektlari ro'yxatini ko'rsatadi.

Misollar:

manzil > C:\adodel.txt- C:\adodel.txt faylida o'chirilgan deb belgilangan barcha AD ob'ektlari ro'yxatini ko'rsatish
adrestore.exe laserjet- nomi "laserjet" qatorini o'z ichiga olgan o'chirilgan AD ob'ektlari ro'yxatini ko'rsatish
manzil -r
manzil -r- qayta tiklash so'rovi bilan AD ob'ektlari ro'yxatini ko'rsatish.

Protokol orqali mijoz va server o'rtasida ma'lumotlar almashinuvini kuzatish uchun yordamchi dastur LDAP. Active Directory muhitida xizmatlar va ilovalarning g'ayritabiiy ishlashi sabablarini topish, ruxsatlarni kuzatish, yomon ishlash sabablarini topish va oddiygina AD ob'ektlarining o'zaro ta'siri mexanizmini o'rganish uchun juda foydali.

Ingliz tilida o'rnatilgan yordam mavjud. Hodisalar qatoriga sichqonchaning o‘ng tugmasi bosilgan holda kontekst menyusi ochiladi, bu sizga hodisa xususiyatlarining qisqacha tavsifini, u bilan bog‘liq jarayonning nomi va yo‘lini olish hamda xato bilan yakunlangan oldingi yoki keyingi hodisaga o‘tish imkonini beradi. Ma'lumotlar ustunlar shaklida ko'rsatiladi, ularning tarkibi o'zgartirilishi mumkin

Voqealarni qidirish va ajratib ko'rsatish uchun filtrlar ko'pgina Sysinternals utilitlarida bo'lgani kabi, grafik qobiq bilan ham qo'llaniladi. Standart sozlamalar bilan qizil rang bilan belgilangan chiziqlar xato bilan yakunlangan voqealarga ishora qiladi. Kontekst menyusi sizga Sysinternals Suite-dan to'g'ridan-to'g'ri ADInsight muhitidan boshqa dasturga - Active Directory Explorer-ga qo'ng'iroq qilish imkonini beradi. ADExplorer, AD ma'lumotlar strukturasini ko'rish uchun ishlatiladi va utilitaga qobiliyatlari va foydalanuvchi interfeysi bilan o'xshash ADSIEdit Microsoft'dan.

TCPView

TCPView- doimiy ravishda Sysinternals Suite-da eng mashhur o'nta yordamchi dasturlar qatoriga kiradi. Tizimda o'rnatilgan barcha TCP va UDP ulanishlari ro'yxatini batafsil ma'lumotlar, jumladan mahalliy va masofaviy manzillar va TCP ulanishlari holatini ko'rsatish uchun ishlatiladi. Windows XP va undan oldingi operatsion tizimlarda TCPView ulanishga ega bo'lgan jarayon nomini ham ko'rsatadi. Qaysidir ma'noda, TCPView standart Windows operatsion tizimining yordam dasturiga qo'shimcha hisoblanadi. Netstat.exe, lekin ulanish ma'lumotlarini qulay shaklda taqdim etishdan tashqari, u qo'shimcha harakatlarni amalga oshirishga imkon beradi - muayyan ulanishni uzish, ulanishni yaratgan jarayonni tugatish va ulanishda ishtirok etuvchi xost nomini aniqlash.

Sichqonchaning o'ng tugmasi bilan bosilgan kontekst menyusi tanlangan ulanishda muayyan harakatlarni bajarishga imkon beradi:

Protsessual xususiyatlari- ushbu ulanish bilan bog'liq jarayonning xususiyatlarini ko'rsatish. Bajariladigan faylning jarayon nomi, versiyasi, nomi va yo'li ko'rsatiladi.

Jarayonni yakunlash- ushbu ulanish bilan bog'liq jarayonni tugatish.

Ulanishni yoping- tanlangan ulanishni majburan tugatish.

Kim- ushbu ulanishda ishtirok etuvchi tugun haqida ma'lumot olish uchun so'rovni bajarish.

Nusxalash- bu satrning ma'lumotlarini almashish buferiga nusxalash.

Dasturning asosiy menyusidan foydalanib, siz barcha joriy ulanishlar haqidagi ma'lumotlarni matnli faylga saqlashingiz mumkin (menyu Fayl - Saqlash). Sysinternals Suite-ning bir qismi sifatida, TCPView dasturiga qo'shimcha ravishda, konsol versiyasi mavjud Tcpvcon bir xil funksionallik bilan.

Jarayon ma'lumotlarini tahlil qilish uchun Sysinternals Suite yordam dasturlari.

Avtomatik dasturni ishga tushirish nuqtalarini kuzatish uchun yordamchi dastur. Autoruns haqida maqola "Xavfsizlik" bo'limida joylashtirilgan.
- Windows-da jarayon faolligini kuzatish uchun yordamchi dastur (xotiradan foydalanish, protsessordan foydalanish, fayllar va ro'yxatga olish kitobiga kirish, tarmoq faoliyati va boshqalar).
- alohida jarayonlar tomonidan tizim resurslaridan foydalanishni monitoring qilish uchun yordamchi dastur.
PSTools - ilovalarni masofadan ishga tushirish (PSExec), mahalliy yoki masofaviy kompyuterda jarayonlar ro'yxatini olish (PSList), vazifalarni bajarishni majburlash (Pskill), xizmatlarni boshqarish (PSService) uchun buyruq qatori yordam dasturlari to'plami. Bundan tashqari, PsTools kompyuterlarni qayta ishga tushirish yoki o'chirish, voqealar jurnallarini ko'rsatish, tarmoqqa kirgan foydalanuvchilarni qidirish va boshqalar uchun yordamchi dasturlarni o'z ichiga oladi.

ListDLLs

ListDLLs- individual jarayonlar tomonidan ishlatiladigan DLL ro'yxatini olish uchun buyruq qatori yordam dasturi. Parametrlarsiz ishga tushirilganda, ekranda barcha jarayonlar va barcha yuklangan kutubxonalar ro'yxati ko'rsatiladi. Yordamchi dasturdan qanday foydalanish bo'yicha maslahatni kalit yordamida olish mumkin /? . Buyruqlar qatori formati:

listdlls [-r] [-v | -u]
yoki
listdlls [-r] [-v] [-d dllname]

jarayon nomi- yuklangan DLL ro'yxatini ko'rsatmoqchi bo'lgan jarayonning nomi (yoki nomning bir qismi).
pid- yuklangan DLLlar ro'yxatini ko'rsatmoqchi bo'lgan jarayon identifikatori.
-d dll nomi- DLL nomi.
-r ko'chirilgan DLL-larni ko'rsatish, chunki ular asosiy manzilda yuklanmagan
-u- faqat raqamli imzoga ega bo'lmagan modullarni ko'rsatish.
-v- DLL versiyasini ko'rsatish.

Foydalanishga misollar:

listdlls- barcha jarayonlar va barcha yuklangan DLLlar ro'yxatini ko'rsatish

listdlls g'alaba qozonadi- nomi "win" qatori bilan boshlanadigan barcha jarayonlar uchun DLL ro'yxatini ko'rsatish

listdlls winlogon- jarayon tomonidan ishlatiladigan DLLlar ro'yxatini ko'rsatish winlogon

listdlls 495- PID=495 identifikator raqami bilan jarayon tomonidan ishlatiladigan DLLlar ro'yxatini ko'rsatish

listdlls -d ntdll.dll- kutubxona yordamida jarayonlar ro'yxatini ko'rsatish ntdll.dll

Tutqich

Tutqich- tizimdagi har qanday jarayon uchun ochiq deskriptorlar (tutqichlar) haqidagi ma'lumotlarni ko'rsatish uchun buyruq qatori yordam dasturi. Bu faylni qaysi dasturlar ochganligini, qanday kirish huquqlari, ob'ektlarning turlari va dastur identifikatorlari nomlarini ko'rish imkonini beradi, shuningdek, kerak bo'lganda, faylni identifikator raqami bo'yicha majburan yopish imkonini beradi. Parametrlarsiz ishga tushirilganda, ekranda barcha ochiq fayllar tavsiflovchilarining to'liq ro'yxati ko'rsatiladi. Dasturdan qanday foydalanish bo'yicha maslahatni kalitni kiritish orqali olish mumkin /? . Buyruqlar qatori formati:

tutqich [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
-a- barcha deskriptorlar haqidagi ma'lumotlarni ko'rsatish.
-c- belgilangan deskriptor raqami bilan faylni yoping. Esda tutingki, faylni majburan yopish jarayonning ishdan chiqishiga yoki maʼlumotlar yoʻqolishiga olib kelishi mumkin.
-y- fayl deskriptorini yopishda tasdiqlashni talab qilmaslik.
-s- ochiq tutqichning har bir turi uchun hisoblagichlarni ko'rsatish.
-u- fayl kimning hisob qaydnomasi kontekstida ochilgan foydalanuvchi nomini ko'rsatish.
-p- ko'rsatilgan nom (nomning bir qismi) bilan jarayon tomonidan ochilgan displey tutqichlari. yoki PID

Foydalanishga misollar:

tutqich | Ko'proq- sahifama-sahifa ko'rsatish rejimida barcha jarayonlarning barcha ochiq tutqichlari ro'yxatini ko'rsatish.
tutqich -p winlogon- nomli jarayon tomonidan ochilgan fayl tutqichlari ro'yxatini ko'rsatish winlogon
tutqich -p winlogon > C:\winlogonh.txt- oldingi holatda bo'lgani kabi, lekin chiqishni C:\winlogonh.txt fayliga yo'naltirish bilan.
tutqich -u- Jarayon bilan bog'liq hisobni ko'rsatadigan barcha jarayonlarning barcha fayl deskriptorlarini sanab o'ting.
tutqich -u foydalanuvchi1- "user1" nomli foydalanuvchi hisobi kontekstida ochilgan fayllar tutqichlari ro'yxatini ko'rsatish
tutqich -lar- har bir tur uchun hisoblagichlarni va ochiq deskriptorlarning umumiy sonini ko'rsatish.

Sysinternals Suite xavfsizlik yordam dasturlari.

Xavfsizlik yordam dasturlari, shuningdek, avtomatik boshlash nuqtalarini (Autoruns), monitoring jarayonlarini (ProcMon), tizim resurslariga kirish huquqlarini tekshirish va boshqalarni aniqlash dasturlarini o'z ichiga oladi. Ammo, bundan tashqari, Sysinternals Suite to'plami tizimda ularning mavjudligini yashirish uchun maxsus mexanizmlarni amalga oshiradigan viruslar bilan zararlanganda tizimga rootkitlarni (rootkitlarni) aniqlash bo'lgan yordamchi dasturni o'z ichiga oladi.

"Rootkit" atamasi josuslik dasturlari, troyanlar va boshqa zararli dasturlarga nisbatan uning mavjudligini antivirus dasturlaridan yashirish uchun tizim funktsiyalarini ushlab turish va ularni bajarish natijalarini tuzatishdan foydalanishni anglatadi, buning imkoni bo'lmaydi. zararli dastur tomonidan yaratilgan ba'zi fayllar va kataloglarni va tarmoq ulanishlarini aniqlash. Misol uchun, katalogdagi fayllar ro'yxatini so'rashda, virus faylining o'zi haqidagi ma'lumotlar natijalardan olib tashlanishi mumkin. Aslida, bunday fayl fayl tizimida mavjud, ammo u virus tomonidan tutilgan API funktsiyalaridan foydalanadigan dasturlarga ko'rinmaydi. Rootkit dasturlari kompyuterni qayta ishga tushirgandan so'ng ishlay olish qobiliyatiga va ishga tushirish turiga (foydalanuvchi rejimida yoki yadro rejimida) qarab bir necha sinflarga bo'linadi. Ammo rootkitlarning asosiy xususiyati tizim qo'ng'iroqlari natijalarini ushlab turish va tuzatishdir.

Ishlash printsipi fayl tizimi va ro'yxatga olish uchun standart API funktsiyalariga qo'shimcha ravishda, xuddi shu funktsiyalarni bajaradigan o'zining pastki dasturlaridan foydalanishga asoslangan. Olingan natijalarning nomuvofiqligi rootkit dasturi mavjudligini ko'rsatishi mumkin. RootkitRevealer tugma bosilganda ro'yxatga olish kitobi va fayl tizimini skanerlaydi Skanerlash va uning ish natijalarini asosiy oynada aks ettiradi.

    Yo'l- fayl yoki ro'yxatga olish kitobi kalitining yo'li.
Vaqt tamg'asi- O'zgartirish vaqti.
Hajmi- hajmi
Tavsif- voqea tavsifi - tizimda rootkit mavjudligining belgisi.

Dastur hech qanday virusni yo'q qilish operatsiyalarini bajarmaydi yoki hatto ma'lum zararli dasturlarga ishora qilmaydi. Foydalanuvchi skanerlash natijalarini tahlil qilib, ularning mavjudligi haqida xulosa chiqarishi kerak.

Avvalo, siz ushbu sohada bo'lgan fayllar va ro'yxatga olish kitobi kalitlaridan ehtiyot bo'lishingiz kerak Tavsif) hodisaning tavsifi mavjud "Windows API'dan yashirin"- Windows API-dan yashirin. Ko'pgina hollarda, skanerlash natijalari qatori rootkit mavjudligini ko'rsatadi, chunki odatda Windows API-dan faqat NTFS fayl tizimiga tegishli xizmat fayllari (nomlari belgi bilan boshlanadi) yashiringan. $ - $BitMap, $BadClus, $MFT va h.k.) Skanerlashda menyudan foydalanib, standart maxfiy xizmat fayllari bilan bogʻliq hodisalarni koʻrsatishni oʻchirib qoʻyishingiz mumkin. Variantlar- katakchani belgilang Standart NTFS metadata fayllarini yashirish. Bunga qo'shimcha ravishda, ba'zi antiviruslar o'z fayllarini Windows API-dan zararli dasturlarga o'xshab yashirishini va skanerlashning har bir satrini belgi bilan olib borishini hisobga olishingiz kerak. Windows API'dan yashirilgan qo'shimcha tahlilni talab qiladi - yashirin fayl qaysi katalogda joylashganligi, uning nomi, kengaytmasi, hajmi, o'zgartirish vaqti. Yuqoridagi skanerlash misolida, Windows API'dan yashiringan .sys kengaytmali, drayverlar katalogida joylashgan (C:\Windows\system32\drivers) va hajmi o'nlab kilobayt - bular rootkit drayverlari.

Maydondagi boshqa mumkin bo'lgan hodisa tavsiflari Tavsif noto'g'ri signal bo'lishi mumkin va ba'zi API funktsiyasining bajarilishi shubhali natija bilan tugaganligini ko'rsatadi. Bu, odatda, ko'p vazifali Windows muhitida skanerlash jarayonida dasturlardan biri skanerdan o'tkazilayotgan ma'lumotlarni o'zgartirganligi yoki qonuniy dasturiy ta'minot virus yaratuvchilar tomonidan qo'llaniladiganlarga o'xshash maxsus usullardan foydalanganligi sababli yuzaga keladi.

Kalit nomi o'rnatilgan nulllarni o'z ichiga oladi- ro'yxatga olish kitobi kalitining nomi bo'sh joylarni o'z ichiga oladi, bu esa bunday kalitni standart registr muharriri uchun ko'rinmas holga keltirishi mumkin.

Windows API va xom uya ma'lumotlari o'rtasidagi ma'lumotlar mos kelmasligi- Windows API yordamida olingan ro'yxatga olish kitobi kaliti ma'lumotlari va ro'yxatga olish kitobining haqiqiy ma'lumotlari o'rtasidagi tafovut. Skanerlash jarayonida ro'yxatga olish ma'lumotlarining o'zgarishi sabab bo'lishi mumkin.

Ruxsat berilmadi- ruxsat berilmadi. Amalda, bunday tavsif tizimda CD/DVD drayverini emulyatsiya qilish vositalari (Alcohol 120, Daemon Tools), SPTD.SYS drayverini ishlatadigan ba'zi antivirus mahsulotlari o'rnatilganda sodir bo'ladi.

Esda tutingki, RootkitRevealer Windows xizmati sifatida ishlaydigan tasodifiy fayl nomi bilan o'z nusxasini skanerlaydi. Ushbu turdagi ishga tushirish viruslar uni aniqlashni qiyinlashtiradi va skanerlash jarayonini tugatishga majbur qiladi. Shuning uchun, RootkitRevealer ishlayotgan vaqtda noaniq nomli jarayonning mavjudligi odatiy holdir, ammo virus dasturni ishga tushirishni bloklaydigan holatlar mavjud, masalan, "RootkitRevealer" nomi bilan. Bunday holda, dastur shunchaki boshlamaydi, bu, aytmoqchi, tizimda virus mavjudligining juda muhim belgisidir. Bunday holda, siz shunchaki bajariladigan faylning nomini o'zgartirishingiz mumkin, yoki undan ham yaxshiroq, uni joriy katalogga boshqa tasodifiy nom bilan nusxalashingiz mumkin.

RootkitRevealer-ni buyruq satrida parametrlar bilan ishga tushirish mumkin:

rootkitrevealer [-a] [-c] [-m] [-r]

-a- avtomatik skanerlash va yakunlash.
-c- CSV formatida skanerlash natijalarini yaratish
-m- NTFS metama'lumotlarini skanerlash
-r- Windows registrini skanerlamang
logfayl- skanerlash natijalarini yozib olish uchun fayl nomi va yo'li.

Ishga tushirish misoli:

rootkitrevealer -a C:\RootkitRevealer.log- skanerlashni amalga oshiring va C:\RootkitRevealer.log fayliga yozing va yakunlang.

Windows-ni saqlash va boshqarish uchun ajralmas bepul yordamchi dasturlar to'plami. To'plam SysInternals Suite 120 dan ortiq bepul vositalar va ilovalarni o'z ichiga oladi. Utilitalar asosan Windows operatsion tizimini sozlash, optimallashtirish va sinovdan o'tkazish, shuningdek, uchinchi tomon ilovalari bilan ishlash uchun mo'ljallangan. Bundan tashqari, asosiy kompyuter uskunalarini diagnostika qilish uchun foydali yordamchi dasturlar mavjud.

SysInternals Suite Windows operatsion tizimini saqlash va muammolarni bartaraf etish uchun barcha foydali vositalarni o'z ichiga oladi. Utilitlarning aksariyati Microsoft kompaniyasining eng mashhur texnik xodimlaridan biri Mark Russinovich tomonidan ishlab chiqilgan va xizmat ko'rsatgan.

Assambleyaga kiritilgan yordamchi dasturlar asosan tajribali shaxsiy kompyuter foydalanuvchilari uchun mo'ljallangan, chunki ularning ko'pchiligi yashirin tizim sozlamalariga kirish huquqiga ega va agar noto'g'ri ishlatilsa, Windows ishini buzishi mumkin.

Eng mashhur tizim yordam dasturlaridan ba'zilari:

Jarayon Explorer

Tizimdagi faol jarayonlarni har tomonlama boshqarish imkonini beradi. Har qanday ko'rsatilgan jarayonlar uchun resurs ustuvorliklarini boshqarish imkonini beradi. Jarayonni to'liq yopish yoki qayta ishga tushirish mumkin.

Avtomatik ishga tushirish

Autorunni boshqarish uchun juda kuchli dastur. Tizim ishga tushadigan nuqtada drayverlar, modullar, xizmatlar va boshqa komponentlarning ulanishini aniqlaydi va boshqarishga imkon beradi. Dasturda Windows operatsion tizimlarining turli parametrlarini kuzatish va sozlash uchun katta vositalar to'plami mavjud.

Ish stollari

Virtual ish stollarini yaratish va boshqarish uchun kichik va foydali dastur. 4 tagacha ish stolini yaratishni qo'llab-quvvatlaydi, bu sizning piktogrammalaringizni va boshqa ob'ektlarni yanada qulay va funktsional ishlash uchun tarqatishga yordam beradi.

Sysinternals Suite-ga kiritilgan yordamchi dasturlarning to'liq ro'yxati:

accesschk, accesschk64, AccessEnum, ADExplorer, ADInsight, adrestore, Autologon, Autoruns, Autoruns64, autorunsc, autorunsc64, Bginfo, Cacheset, Clockres, Clockres64, Contig, Contig64, Coreinfo, ctrl2cap, disk2cap, Diskext4, Diskext4, Dbxd , DiskView, du, du64, efsdump, FindLinks, FindLinks64, tutqich, handle64, hex2dec, hex2dec64, junction, junction64, ldmdump, Listdlls, Listdlls64, livekd, livekd64, LoadOrd, LoadOrdses, LoadOrdses, LoadOrdses, LoadOrdses64 sessions64, movefile, movefile64, notmyfault, notmyfault64, notmyfaultc, notmyfaultc64, ntfsinfo, ntfsinfo64, pagedfrg, pendmoves, pendmoves64, pipelist, pipelist64, portmon, procdump, procdump64, procexp, procexp64, Execmon, Pps64, Execmon, Pps6, Id, PsGetsid64, PsInfo, PsInfo64 oladi , pskill, pskill64, pslist, pslist64, PsLoggedon, PsLoggedon64, psloglist, pspasswd, pspasswd64, psping, psping64, PsService, PsService64, psshutdown, pssuspend, RAMD6N, Regel64, RegelD6N, Regel regjump , RootkitRevealer, ru, ru64, sdelete, sdelete64 , ShareEnum, ShellRunas, sigcheck, sigcheck64, oqimlar, oqimlar64, strings, strings64, sync, sync64, Sysmon, Sysmon64, Tcpvcon, Tcpview, Testlimit, Testlimit64, vmmap, Volumeid, Volumeid64, whois64, Whois.j

Sysinternals Suite 27.10.2015 Portativ - konfiguratsiya, optimallashtirish, sinov uchun

- Windows oilasining operatsion tizimlarida xatolarni sozlash, optimallashtirish, sinovdan o'tkazish, aniqlash va tuzatish uchun texnik yordam dasturlarining katta to'plami.

Ushbu paketni qo'llash doirasi ancha kengdir, chunki undagi yordamchi dasturlar operatsion tizimning ko'plab sohalarini qamrab oladi. Masalan, Autoruns yordam dasturi ishga tushirishni, Process Monitor kompyuterning fayl tizimida sodir bo'lgan barcha harakatlarni nazorat qiladi va PageDefrag yordam dasturi tizim registrini optimallashtiradi va defragmentatsiya qiladi.

Paketga kiritilgan yordamchi dasturlar ro'yxati:
AccessChk, AccessEnum, AdExplorer, AdRestore, Autologon, Autoruns, BgInfo, CacheSet, ClockRes, Contig, Coreinfo, Ctrl2Cap, DebugView, Desktops, DiskExt, DiskMon, DiskView, Diskdan foydalanish (DU), EFSDump, Handle, FileMoxnde LDMDump, ListDLLs, LiveKd, LoadOrder, LogonSessions, NewSid, NTFSInfo, PageDefrag, PendMoves, PortMon, ProcessExplorer, Process Monitor, ProcFeatures, PsExec, PsFile, PsGetSid, PsInfo, PsGetSid, PsInfo, PsGsLgsOn, PsGsLgsOn, wd, PsServ ice, PsShutdown, PsSuspend , RegDelNull, RegJump, RegMon, RootkitRevealer, SDelete, ShareEnum, ShellRunas, SigCheck, Streams, Strings, Sync, TCPView, VolumeID, WhoIs, WinObj, VMMap, ZoomIt

O'z ichiga oladi:

• AccessChk - bu fayllar, ro'yxatga olish kitobi kalitlari, xizmatlar, jarayonlar, yadro ob'ektlari va boshqalar uchun samarali ruxsatlarni ko'rish uchun buyruq qatori vositasi.
• AccessEnum oddiy, ammo kuchli xavfsizlik vositasi boʻlib, tizimingizda kataloglar, fayllar va roʻyxatga olish kitobi kalitlariga kimlar kirishi mumkinligini koʻrsatadi. Uning yordami bilan siz huquqlaringizdagi teshiklarni topishingiz mumkin.
• AdExplorer Active Directory Explorer ilg'or Active Directory (AD) ko'rish va tahrirlovchisidir.
• AdInsight - bu Active Directory mijoz ilovalari bilan bog'liq muammolarni bartaraf etishga qaratilgan real vaqtda LDAP (Light-weight Directory Access Protocol) monitoringi vositasi.
• AdRestore Server 2003 Active Directory obyektlarini tiklaydi.
• Kirish paytida avtomatik kirishni chetlab o'tish paroli.
• Avtomatik ishga tushirish tizimi yuklanganda yoki tizimga kirganingizda qaysi dasturlar avtomatik ravishda ishga tushishini ko'rsatadi. Autoruns shuningdek, ro'yxatga olish kitobi yo'llarining to'liq ro'yxatini va avtomatik ravishda ishga tushirish uchun sozlanishi mumkin bo'lgan dastur fayllarining joylashuvini ko'rsatadi.
• BgInfo to'liq moslashtirilgan dastur bo'lib, u avtomatik ravishda muhim tizim ma'lumotlarini, jumladan IP manzillari, kompyuter nomi, tarmoq adapterlari va boshqalarni o'z ichiga olgan ish stoli fon rasmlarini yaratadi.
• CacheSet - bu NT tomonidan taqdim etilgan funksiyalar yordamida Kesh menejerining ishchi to'plamining hajmini boshqarish imkonini beruvchi dastur. U NT ning barcha versiyalari bilan mos keladi.
• ClockRes Tizim soatining o'lchamlarini ko'ring, bu ham taymerning maksimal ruxsati hisoblanadi.
• Contig Tez-tez ishlatiladigan fayllarni tez defragmentatsiya qilishni xohlaysizmi? Alohida fayllarni optimallashtirish yoki yangi qo'shni fayllar yaratish uchun Contig-dan foydalaning.
• Coreinfo - bu mantiqiy va jismoniy protsessorlar, ular joylashgan NUMA tugun va soket va har bir mantiqiy protsessorga tayinlangan kesh o'rtasidagi xaritani ko'rsatadigan buyruq qatori yordam dasturi.
• Ctrl2Cap - bu yadro rejimi drayveri bo'lib, u Caps-Lockni CTRL tugmachalariga aylantirish uchun klaviatura sinfi drayverlaridan oldin klaviatura kiritish filtrlashni namoyish etadi. Ushbu darajadagi filtrlash NT ularni "ko'rishi" dan oldin kalitlarni o'zgartirish va yashirish imkonini beradi. Ctrl2cap shuningdek, ko'k ekranni ishga tushirish xabarlarini chop etish uchun NtDisplayString() dan qanday foydalanishni ko'rsatadi.
• DebugView Ushbu dastur DbgPrint-ga qurilma drayverlari va Win32 dasturlari tomonidan qilingan OutputDebugString tomonidan qilingan qo'ng'iroqlarni ushlab turadi. Bu sizga nosozliklarni tuzatish seansining natijasini mahalliy kompyuteringizda yoki Internet orqali faol tuzatuvchisiz ko'rish va yozib olish imkonini beradi.
• Ish stollari ilovalaringizni to'rtta virtual ish stolida tartibga solish imkonini beradi.
• Disk2vhd - bu Microsoft Virtual PC yoki Microsoft Hyper-V virtual mashinasida foydalanish uchun jismoniy disklarning VHD (Microsoft Virtual Hard Disk format) versiyalarini yaratuvchi yordamchi dastur.
• DiskExt diskdagi xaritalash hajmini ko'rsatadi.
• DiskMon Ushbu yordamchi dastur qattiq diskdagi barcha faollikni to'xtatadi yoki tizim tepsisidagi disk faoliyatining dasturiy ta'minot "lampochkasi" sifatida ishlaydi.
• DiskView - bu disk sektorlarini grafik ko'rsatish uchun yordamchi dastur.
• Diskdan foydalanish (DU) katalogdagi disk maydonidan foydalanishni ko'ring.
• EFSDump shifrlangan fayllar haqidagi ma'lumotlarni ko'rish.
• FindLinks fayl indeksi va belgilangan fayl uchun mavjud bo'lgan har qanday qattiq havolalar haqida hisobot beradi.
• Tutqich bu buyruq qatori uchun qulay yordamchi dastur bo'lib, qaysi jarayonlarda qaysi fayllar ochiq ekanligini va boshqa ko'p narsalarni ko'rsatadi.
• Hex2dec o'n oltilik sonlarni o'nlik va aksincha o'zgartiradi.
• Junction Win2K NTFS ramziy havolalarini yaratadi.
• LDMDump Windows 2000 dinamik disklarining bo'linishini tavsiflovchi diskda Logical Disk Manager ma'lumotlar bazasi tarkibini tashlaydi.
• ListDLLs Hozirda yuklangan barcha DLLlar roʻyxati, jumladan ular yuklangan joy va ularning versiya raqamlari. 2.0 versiyasi yuklangan modullarning to'liq yo'lini ko'rsatadi.
• LiveKd jonli tizimni tekshirish uchun Microsoft yadro tuzatuvchilaridan foydalanadi.
• LoadOrder WinNT/2K tizimingizda qurilmalarning yuklanish tartibini ko'ring.
• LogonSessions faol kirish seanslari roʻyxati.
• MoveFile keyingi qayta ishga tushirish uchun ko'chirish va o'chirish buyruqlarini rejalashtirish imkonini beradi.
• NTFSInfo NTFS hajmlari, jumladan, Asosiy fayl jadvali (MFT) va MFT zonalarining oʻlchami va joylashuvi hamda NTFS metamaʼlumotlar fayllari oʻlchamlari haqida batafsil maʼlumotni koʻrish uchun NTFSInfo-dan foydalaning.
• PageDefrag sizning almashtirish fayllaringiz va ro'yxatga olish kitobi filiallarini defragmentatsiya qiladi.
• PendMoves keyingi yuklashda bajariladigan fayl nomini o'zgartirish va o'chirish buyruqlari ro'yxatini ko'rsatadi.
• PipeList tizimda aniqlangan nomli quvur kataloglari ro'yxatini oladi.
• PortMon - ketma-ket va parallel portlar faoliyatini kuzatish uchun ilg'or vosita. U barcha standart ketma-ket va parallel IOCTLlar haqida biladi va hatto yuborilgan va qabul qilingan ma'lumotlarning bir qismini ko'rsatadi. 3.x versiyasi kuchli, takomillashtirilgan interfeys va ilg'or filtrlash imkoniyatlariga ega.
• ProcDump bu buyruq qatori yordam dasturi bo'lib, protsessordan foydalanishning ko'tarilishi uchun ilovalarni kuzatish va ko'tarilish paytida nosozliklarni yaratish uchun mo'ljallangan, ma'mur yoki ishlab chiquvchi undan ko'tarilish sababini aniqlash uchun foydalanishi mumkin.
• ProcessExplorer yordam dasturi sizga qanday fayllar, ro'yxatga olish kitobi kalitlari va boshqa jarayonlar, ob'ektlar ochiqligini, ular tomonidan qanday kutubxonalar yuklanganligini va boshqa ko'p narsalarni bilish imkonini beradi. Ushbu noyob, kuchli yordamchi dastur hatto har bir jarayonning egasi kimligini ko'rsatadi.
• ProcessMonitor real vaqtda fayl tizimini, ro'yxatga olish kitobini, jarayonlarni, mavzularni va DLL faoliyatini nazorat qiladi.
• PsExec cheklangan foydalanuvchi huquqlari bilan jarayonlarni boshqaradi.
• PsFile qaysi fayllar masofadan turib ochilishini ko'rsatadi.
• PsGetSid kompyuter identifikatorini (SID) yoki foydalanuvchini ko'rsatadi.
• PsInfo tizim ma'lumotlarini ko'rsatadi.
• PsKill mahalliy yoki masofaviy jarayonlarni o'ldiradi.
• PsList jarayonlar va mavzular haqidagi ma'lumotlarni ko'rsatadi.
• PsLoggedOn foydalanuvchilarning tizimga kirganligini ko'rsatadi.
• PsLogList voqealar jurnali yozuvini o'chirib tashlaydi.
• PsPasswd hisob parolini o'zgartiring.
• PsService xizmatlarni ko'rish va boshqarish.
• PsShutdown o'chiriladi va ixtiyoriy ravishda kompyuterni qayta yoqing.
• PsSuspend jarayonlarni to'xtatadi va davom ettiradi.
• Windows Vista va undan yuqori versiyalar uchun jismoniy xotiradan foydalanishni tahlil qilish uchun RAMMap yordam dasturi.
• RegDelNull standart ro'yxatga olish kitobini tahrirlash vositalaridan foydalanib olib tashlanmaydigan null belgilarni o'z ichiga olgan ro'yxatga olish kitobi kalitlarini tekshiradi va o'chiradi.
• RegJump Regedit-da ko'rsatilgan ro'yxatga olish yo'liga o'tadi.
• RootkitRevealer tizimingizni rootkit tahdidlari uchun tekshiradi.
• SDelete ushbu DoD-mos keluvchi xavfsiz o'chirish dasturi bilan siz muhim fayllarni xavfsiz tarzda qayta yozasiz va avval o'chirilgan fayllardan bo'sh joyni tozalaysiz.
• ShareEnum tarmoqda ulashilgan fayllarni skanerlaydi va xavfsizlik teshiklarini yopish uchun ularning xavfsizlik sozlamalarini ko'rib chiqadi.
• ShellRunas boshqa foydalanuvchi nomidan dasturlarni qobiq kontekst menyusini qulay kiritish orqali ishga tushiradi.
• SigCheck fayl versiyasi ma'lumotlarini yig'ish va raqamli imzoni tekshirish.
• Streams muqobil NTFS oqimlarini aniqlaydi.
• Satrlar ikkilik tasvirlarda ANSI va UNICODE satrlarini qidiradi.
• Sinxronlash diskda keshlangan ma'lumotlarni tozalaydi.
• TCPView faol buyruq qatori soketi uchun ko'ruvchidir.
• Virtual va jismoniy xotira jarayonlarini tahlil qilish uchun VMMap yordam dasturi.
• VolumeID FAT yoki NTFS disklarida ovoz balandligi identifikatorini o'rnating.
• WhoI internet manzili kimga tegishli ekanligini ko'rsatadi.
• WinObj Object Manager nomini ko'rish dasturi.
• ZoomIt - bu ekranni kattalashtirish va chizish uchun taqdimot yordam dasturi.

Sysinternals Suite - bu Windows operatsion tizimlarini chuqur sozlash uchun kuchli vositalardan iborat bepul kutubxona.

Yigirma yil oldin Mark Russinovich va Bryce Cogswell Winternals Software deb nomlangan kompaniyaga asos solgan. Yillar davomida ular Microsoftning o'sha paytdagi eng yirik biznes operatsion tizimi Windows NT ni chuqur sozlash uchun kuchli vositalar kutubxonasini ishlab chiqdilar.

2006 yilda Microsoft kompaniyani sotib oldi (va uning ikkala asoschisini ham oqilona ishga oldi). Ajablanarlisi shundaki, Sysinternals Suite-dagi vositalar o'n yil o'tgach, bugungi kunda muntazam ravishda yangilanib turadi. Buning ajablanarli joyi yo'q - ular hali ham butunlay bepul.

Sysinternals Utilities-ning to'liq to'plami 70 dan ortiq buyruq qatori ilovalari va vositalarini hamda ular bilan bog'liq yordam fayllarini o'z ichiga oladi. Ular orasida super vositalarning kichik guruhi barcha IT-mutaxassislari va kuchli Windows foydalanuvchilari uchun zarurdir, lekin sizda o'z sevimli narsalaringiz bo'lishi mumkin.

Keling, diqqatimizni uchta eng kuchli Sysinternals vositalariga qaratamiz: Autoruns, Process Explorer va Process Monitor. Ushbu vositalarning har biri tegishli o'rnatilgan Windows ilovasi uchun munosib yaxshilanishdir. Keyinchalik, biz yana nima foydali bo'lishi mumkinligi haqida qo'shimcha ko'rsatmalar bilan PsTools va TCPVIEWni o'z ichiga olgan, ehtimol, eng qiziqarli bo'lgan bir nechtasini ko'rib chiqamiz.

Albatta, Windows Sysinternals sahifasiga tashrif buyurishingiz mumkin https://technet.microsoft.com/sysinternals va yordamchi dasturlarning alifbo indeksidan foydalanib, faqat kerakli vositalarni tanlang. Biroz batafsilroq yondashuv uchun oltita alohida toifani sinab ko'ring: fayl va disk, tarmoq, jarayon, xavfsizlik, tizim ma'lumotlari va boshqalar.

Ammo butun Sysinternals to'plamini yuklab olish ancha oson ( https://technet.microsoft.com/sysinternals/bb842062) va uni o'z papkasiga oching.

Qulay alternativa sifatida diskdagi joyni tejash va utilitalarning eng so'nggi versiyalaridan foydalanishni rejalashtirganingizga ishonch hosil qilish uchun Sysinternals Live xizmatidan foydalaning. Yoniq https://live.sysinternals.com, siz barcha vositalar va qo'llab-quvvatlash fayllarining to'liq ro'yxatini topasiz. Agar sizga kerak bo'lgan vositaning nomini bilsangiz, ushbu yo'lni buyruq satriga yoki buyruq satriga kiritishingiz mumkin, masalan, https://live.sysinternals.com/ yoki \\live.sysinternals.com\tools\ . (Maslahat: Internet yorliqlari sifatida tez kirish uchun sevimlilaringizni saqlang.)

Sysinternals Live xizmati kollektsiyadagi har bir vositaning so'nggi versiyasini bir marta bosish bilan ishga tushirish imkonini beradi.

Ba'zi Sysinternals vositalari to'liq ishlab chiqilgan va o'ziga xos grafik interfeysga ega. Boshqalar buyruq satrida yoki skriptlardan foydalangan holda interaktiv tarzda ishlash uchun mo'ljallangan.

Sysinternals Suite-ni istalgan joydan ishga tushirish uchun sozlash

Keling, bir nechta maslahatlarni ko'rib chiqaylik. Agar siz butun Sysinternals Suite-ni yuklab olgan bo'lsangiz, ehtimol siz buyruqlaringizni istalgan joydan ishga tushirishni xohlaysiz: Run dialog oynasi, buyruq satri oynasi, Qidiruv oynasi. Agar siz Sysinternals jildini "Yo'l" muhit o'zgaruvchisiga qo'shsangiz, buni amalga oshirishingiz mumkin bo'ladi. Bu sizga ushbu va boshqa muhit o'zgaruvchilarini tahrirlash uchun Windows 10 interfeysining ancha takomillashtirilgan versiyasini ko'rish imkoniyatini beradi.

Ishni boshlash uchun qidiruv maydoniga "environmen" ni kiriting, so'ngra natijalar ro'yxatida "Tizim muhiti o'zgaruvchilarini tahrirlash" tugmasini bosing. Atrof-muhit o'zgaruvchilari muloqot oynasida Atrof-muhit o'zgaruvchilari-ni bosing, yo'lni tanlang va Tahrirlash-ni bosing. Quyidagi dialog oynasi ko'rsatiladi. Agar siz Windows-ning oldingi versiyasida Path o'zgaruvchisini tahrirlashga urinib ko'rgan bo'lsangiz, ushbu dialog oynasi avvalgilariga nisbatan qanchalik sodda ekanligini tushunasiz.

Agar siz fayllarni C diskingizning asosiy katalogidagi SysinternalsSuite nomli papkaga chiqargan bo'lsangiz, siz qilishingiz kerak bo'lgan yagona narsa "Yangi" tugmasini bosish, o'sha jildni toping va uning to'liq yo'lini belgilash uchun ustiga bosing. Fayllarni saqlagan joyga to'liq yo'lni ta'minlash uchun xuddi shunday qiling. Keyin o'zgarishlarni saqlash uchun OK tugmasini ikki marta bosing. Endi siz ushbu vositani to'liq joylashuvini ko'rsatmasdan ishga tushirish uchun "Autoruns" kabi har qanday Sysinternals buyrug'ini kiritishingiz mumkin.

Sysinternals Suite-dagi barcha variantlar teng yaratilmagan. Ulardan ba'zilari aniq boshqa davr uchun yozilgan va Windowsning so'nggi ish stoli versiyasiga yoki serverlarning zamonaviy versiyalariga unchalik aloqasi yo'q. Bundan tashqari, ba'zi vositalar foydali bo'lishiga qaramay, o'rnatilgan funktsiyalar bilan almashtirildi. Masalan, Ish stollari ilovasi yordamida siz to'rttagacha virtualni yaratishingiz va ularning har biriga tezkor tugmachalarni belgilashingiz mumkin. Windows 10-da o'rnatilgan xususiyat sifatida virtual ish stollarining qo'shilishi Sysinternals muqobilini kamroq talab qiladi.

Qaysi dasturlar e'tiborga loyiqligini tushunish uchun eng yaxshi ma'lumot "Yaratilgan sana" maydonidir. Explorerda roʻyxat koʻrinishiga oʻting, “Yaratilgan sana” maydonini qoʻshing va keyin shu maʼlumotlar boʻyicha tartiblang. Ushbu ro'yxatda siz 1999 yil va undan ko'p yillarga oid sana va vaqt belgilarini topasiz. Eng foydali Sysinternals dasturlari muntazam ravishda yangilanadi va ro'yxatning yuqori qismida paydo bo'ladi.

Yillar davomida Windows tizimini yoqqaningizda avtomatik ravishda ishga tushadigan dasturlarni boshqarish asta-sekin yaxshilandi. Windows asboblar qutisiga eng so'nggi qo'shilgan, "Ishga tushirish" yorlig'i.

Ammo o'rnatilgan vositani qonuniy ravishda "Windows'da avtomatik ishga tushirishni ko'rish va boshqarish uchun eng keng qamrovli vosita" deb hisoblangan Autoruns bilan taqqoslab bo'lmaydi.

Eng keng tarqalgan joylar ro'yxati bilan cheklangan Vazifa menejeridan farqli o'laroq, Autoruns ro'yxatga olish kitobidagi joylarning to'liq ro'yxatini, rejalashtirilgan vazifalarni va hokazolarni ko'rsatadi, ya'ni dastur o'zini avtomatik ravishda ishga tushirish uchun sozlashi mumkin bo'lgan har qanday joyda. Vazifa menejeridan foydalanib, siz "Ishga tushirish" yorlig'ida ko'rsatilgan har qanday yozuvlarni vaqtincha o'chirib qo'yishingiz mumkin. Autoruns shuningdek, ushbu yozuvni ro'yxatga olish kitobiga zarar bermasdan o'chirish imkonini beradi.

Ba'zan, ehtimol, ko'pincha - bu elementlar foydali bo'ladi, jumladan, xavfsizlik yangilanishlarini tekshirish va asosiy sinxronizatsiya vazifalarini bajarish. Ammo ba'zi yozuvlar tizim ishga tushganda ishlatiladigan resurslarni shunchaki iste'mol qiladi.

"Hammasi" yorlig'i qurilmani yoqganingizda yoki tizimga kirganingizda avtomatik ravishda ishlaydigan har bir fayl, drayver, xizmat, rejalashtirilgan vazifalar va boshqa elementlarni ko'rsatadi.

Har bir satrda ishga tushirish yozuvining nomi, nashriyotchi va bajariladigan fayllar va DLL-larning tavsifi mavjud. Element ishga tushirilganda bajariladigan faylga yo'l va uning belgisi. Har qanday elementning chap tomonidagi katakchani olib tashlang va ushbu elementni vaqtincha o'chirib qo'ying. Pastki panellar joriy tanlov haqidagi ma'lumotlarni, shu jumladan uning to'liq buyruq qatorini ko'rsatadi.

Autoruns rang kodlari nimani anglatadi?

Autoruns-dagi ro'yxatlarning ranglarini kodlash dastlab sizni bezovta qilishi mumkin, ayniqsa u hech qanday joyda hujjatlashtirilmaganligi sababli. Autorunda saqlangan ma'lumotlarning joylashishini aniqlaydigan har bir toifa och binafsha rangda soyalanadi. Hozirgi tanlangan chiziq quyuq ko'k rangda ta'kidlangan. Qizil rang bilan belgilangan qatorlar tavsif va nashriyot maydonlari bo'sh bo'lgan fayllar bilan bog'langan. Sariq to'ldirish bu faylda avtomatik ishga tushirish nuqtalari topilmaganligini anglatadi.

Agar sariq chiziq faqat dasturni olib tashlaganingizdan so'ng uning ma'lumotlari to'g'ri tozalanmaganligi sababli paydo bo'lganiga amin bo'lsangiz, uni Autoruns yordamida o'chirishingiz mumkin. Qizil chiziqlar uchun: kerakli chiziqni tanlang, ustiga o'ng tugmasini bosing va kontekst menyusida - rasmni tekshiring. Agar faylning raqamli kodni imzolash sertifikati ishonchli boʻlsa, “emitent” ustunidagi matn (tasdiqlangan) ga oʻzgaradi va undan keyin kodni imzolash sertifikati beruvchining nomi koʻrsatiladi. Agar fayl imzolanmagan bo'lsa yoki tekshirish boshqa sabablarga ko'ra bajarilmasa, matn (tasdiqlanmagan) ga o'zgaradi.

Yuqorida aytib o'tilganidek, Autoruns ro'yxati juda katta bo'lishi mumkin. Tartibsizlikni kamaytirishning bir usuli - Variantlar menyusini bosish va Microsoft yozuvlarini yashirish-ni tanlash. Ushbu parametr potentsial muammoli uchinchi tomon dasturlarini, shu jumladan zararli dasturlarni aniqlashni osonlashtiradi.

Potensial muammoli uchinchi tomon dasturlarini qidirishda Microsoft yozuvlarini yashirish va skanerlangan yozuvlar sonini kamaytirish uchun ushbu parametrdan foydalaning.

Autoruns-ning istalgan yorlig'idagi istalgan yozuvni o'ng tugmasini bosing va ushbu element uchun variantlar ro'yxatini ko'ring. Misol uchun, "Elementga o'tish" opsiyasi sizni element joylashgan papkaga yoki ro'yxatga olish kitobi kalitiga olib boradi. "Rasmga o'tish" opsiyasi File Explorer-ni ochadi va avtomatik ravishda ishga tushiriladigan faylni ko'rsatadi.

Agar siz Autoruns ro'yxatida notanish yozuvni ko'rsangiz, uning parametrlarini ko'rish va batafsilroq o'rganish uchun ustiga sichqonchaning o'ng tugmachasini bosing.

E'tibor bering, ushbu ro'yxatdagi bir nechta variant ma'muriy imtiyozlarni, jumladan, ro'yxatga olish kitobidan yozuvni o'chirish qobiliyatini talab qiladi. Agar siz Autoruns-ni balandliksiz ishga tushirsangiz, quyidagi rasmda ko'rsatilganidek, kirish taqiqlangan dialog oynasini ko'rasiz. Avtomatik ishga tushirishni qayta ishga tushirish va qaytadan urinib ko'rish uchun Administrator sifatida ishga tushirishdan foydalaning.

Diqqat. Autoruns-da elementni o'chirishning eng oqilona usuli uning chap tomonidagi katakchani olib tashlashdir. Siz kiritgan o'zgarishlarning uzoq muddatli salbiy ta'siri yo'qligiga ishonchingiz komil bo'lsa, uni olib tashlashingiz mumkin.