Super narzędzia dla profesjonalistów Windows – SysInternals

Historia powstania pakietu Sysinternals sięga jeszcze lat 90-tych i systemu MS-DOS, wtedy jeszcze pod nazwa NTInternals. Przez ten czas cały czas pakiet był rozwijany i dostosowywany do nowych systemów Windows. Aż w końcu zauważono jego przydatność przez wielką korporację i w roku 2006 Sysinternals został wykupiony przez firmę Microsoft i stały się częścią jego TechNetu.

Pakiet jest darmowy a same narzędzia występują w wersjach dla 32- i 64-bitowych systemów (dopisek 64 w nazwie).

Jak zainstalować SysInternals?

Wszystkie narzędzia to samodzielne pliki exe więc nie wymaga instalacji. Wystarczy, że pobierzesz paczkę Sysinternals Suite ze strony i wypakujesz w dowolne miejsce na dysku twardym. PenDrive też jest dobrym miejscem jeśli planujesz używać narzędzi na wielu komputerach.

Ciekawym sposobem jest zamapowanie strony https://live.sysinternals.com jako dysku sieciowego z narzędziami. W tym celu przejdź do okna eksploratora plików Windows, z menu Komputer wybierz Mapuj dysk sieciowy, dalej wybierz dowolną wolną literkę dla nowego dysku sieciowe a w polu adresu wpisz tylko https://live.sysinternals.com i gotowe. Zaletą takie rozwiązania jest to, że masz zawsze aktualne wersje wszystkich narzędzi. Minusem natomiast, że połączenie sieciowe jest wymagane aby mieć do nich dostęp.

sysinternals jako dysk sieciowy

Wskazówka. Jeśli chcesz aby narzędzia były dostępne z każdego miejsca w lini poleceń (CMD) to wystarczy, że dodasz ścieżkę do miejsca instalacji w zmienne systemowe Path.

zmienne srodowiskowe sysinternals
Sysinterals wypakowane do katalogu Sysinternals na dysku R: i dodana ścieżka w zmiennej systemowej Path:
sysinterlnals z cmd
Narzędzia Sysinternals dostępne z każdego miejsca w linii poleceń

Jeśli chcesz lepiej poznać Sysinternals, to mam dla Ciebie dobrą wiadomość. Jeden z autorów pakietu  Russinovich Mark i Margosis Aaron napisali książkę Windows Sysinternals – wykrywanie i rozwiązywanie problemów gdzie dokładnie opisują wszystkie elementu z pakietu, przytaczając konkretne sytuacje z ich użycia.
Polecam też blog gdzie znajdziemy aktualne informacje o rozwoju.

Co zawiera pakiet Sysinternals?

    • Pakiet zawiera szereg narzędzi w kilku kategoriach:
  • narzędzia do monitorowania procesów i rejestrów
  • narzędzia do obsługi dysków i pamięci
  • narzędzia do sytemu plików
  • narzędzia do bezpieczeństwa i AD
  • narzędzia dotyczące uruchamiania systemu
  • narzędzia systemowe
  • narzędzia do debugowania
  • i inne narzędzia

W opisie elementów Sysinternals Suite przyjąłem pewne uproszczenie:
polecenie to program wywoływany z linii poleceń CMD z odpowiednimi parametrami, jeśli zwraca wynik to też w linii poleceń
narzędzie to program który posiada własny interfejs graficzny (GUI)

AccessChk – polecenie zwraca informacje o tym kto ma dostęp do wskazanego obiektu

AccessEnum – narzędzie wyświetla informacje o tym kto ma dostęp do wskazanego obiektu

ADExplorer – rozbudowane narzędzie do wyświetlania i edycji obiektów domeny Active Directory

ADInsight – rozbudowane narzędzie do monitorowania na żywo komunikacji LDAP

ADRestore – polecenie umożliwia przywracanie skasowanych obiektów AD pod Windows Server 2003

Autologon – małe narzędzie służące do automatycznego logowania konkretnego konta

Autoruns – rozbudowane narzędzie ukazujące szczegółowo jakie składki są uruchamiane podczas ładowania systemu operacyjnego.

BgInfo – narzędzie do generowania tapety pulpitu z podstawowymi informacjami o maszynie

BlueScreen – wygaszacz ekranu symulujący błąd systemu Windows – Blue Screen of Death (BSOD)

CacheSet – narzędzie umożliwia zmianę rozmiaru bufora systemu plików

ClockRes – polecenie zwraca interwał zegara systemowego

Contig – polecenie umożliwia defragmentacje pliku/-ów

CoreInfo – polecenie zwraca informacje procesorze

Ctrl2cap – sterownik podstawiający klawisz Control w miejsce przycisku Caps-lock

DebugView – kolejne narzędzie do debugowania

Desktops – ciekawe narzędzie które umożliwia utworzenie do czterech wirtualnych pulpitów w Windows

Disk2vhd – narzędzie umożliwia tworzenie wirtualnego dysku VHD z fizycznego dysku

DiskExt – polecenie zwraca informacje o jaki wolumen znajduje się na jakim dysku

DiskMon – narzędzie monitorujące na żywo aktywność dysku

DiskUsage – polecenie zwraca informacje o wykorzystaniu dysku przez wskazany katalog

DiskView – narzędzie przedstawia graficzną mapę dysku

EFSDump – polecenie zwraca informacje jakie konto ma dostęp do zaszyfrowanych plików

FindLinks – polecenie zwraca informacje o dowiązanych twardych (hardlinki) plików

Handle – polecenie zwraca informacje z jakich plików korzystają aktualne procesy

Hex2dec – polecenie konweruje wartości pomiędzy systemem szesnastkowym a dziesiętnym i odwrotnie

Junction – polecenie do tworzenia i wyświetlania dowiązań symbolicznych (symbolic links)

LDMDump – polecenie zwraca informacje o logicznych dyskach

ListDLLs – polecenie zwraca listę bibliotek (DLL) załadowanych przez aktualne procesy

LiveKd – narzędzie do debugowania

LoadOrder – pokazuje w jakiej kolejności system wczytał urządzenia

LogonSessions – polecenie zwraca informacje o zalogowanych użytkownikach

MoveFile – polecenie umożliwia przeniesienie lub usuniecie pliku przy następnych uruchomieniu systemu

NotMyFault – ciekawe narzędzie (i polecenie) służące do zawszenia w różny sposób systemu Windows

NTFSInfo – polecenie zwraca informacje o wolumenach NTFS

PageDefrag – narzędzie defragmentuje plik wymiany (pagefile.sys), logi (eventlog) i rejestry Windows

PendMoves – polecenie zwraca listę plików do przeniesienia podczas następnego uruchomienia systemu

PendMoves – polecenie zwraca listę plików do usunięcia lub zmiany nazwy przy następnych uruchomieniu systemu

PipeList – polecenie zwraca listę potoków (pipes) obecnie aktywnych w systemie operacyjnym

Portmon – monitor aktywności portu szeregowego (COM) i równoległego (LPT1)

ProcDump – polecenie zwraca dupy (zrzuty pamięci) wybranego procesu.

Process Explorer – jedno z ciekawszych narzędzi w pakiecie sysinternals. Podaje wiele szczegółowych informacji na temat aktualnie uruchomionych procesów. Dobrze zastępuje systemowego Task Managera.

Process Monitor – monitoruje w czasie rzeczywistym system plików, rejestr, procesy, aktywność wątków i bibliotek (dll)

ProcFeatures – polecenie zwraca informacje o procesorze. Zastąpione przez Coreinfo.

PsExec – polecenie umożliwia uruchamianie zdalne poleceń

PsFile – polecenie zwraca listę plików otwartych na zdalnym system

PSGetSid – polecenie zwraca SID komputera, konta

PSInfo – polecenie zwraca podstawowe informacje o systemie

PsKill – polecenie ubija proces na maszynie lokalnej lub zdalnej

PsList – polecenie zwraca listę procesów

PsLoggedOn – polecenie zwraca informacje o zalogowanych użytkownikach do systemu i zasobów

PSLogList – polecenie do zrzutu zawartości EventLoga (zdalnie i lokalnie)

PsPing – polecenie implementuje funkcjonalność żądania PING

PsService – polecenie zwraca listę usług

PsSuspend – polecenie wstrzymuje i wznawia działanie procesu lokalnie lub zdalnie

PsTools – pakiet narzędzi z serii Ps głownie do zarzadzania zdalnego serwerami

RAMMap – narzędzie wyświetla szczegółowe informacje o wykorzystaniu pamięci

RegDelNull – polecenie służące do naprawy rejestrów systemu

Registry Usage – polecenie zwraca informacje o przestrzeni w rejestrze użytej przez określony klucz

RegJump – polecenie otwiera edytor rejestru we wskazanym miejscu

Rootkit Revealer – zaawansowane narzędzie do wykrywania zagrożeń typu rootkit

SDelete – polecenie bezpiecznie usuwa pliki

ShareEnum – narzędzie wyświetla udostępnione zasoby z ich uprawnieniami

ShellRunAs – polecenie umożliwi uruchomienie programu/polecenia z CMD jako inny użytkownik

Sigcheck – polecenie zwraca informacje plik lub katalogu o jego wersji, czasie utworzenia i podpisie cyfrowym

Streams – polecenie wyświetla strumienie NTFS

Strings – polecenie wspomaga w wyszukiwaniu ciągu znaków

Sync – polecenie umożliwia zapis buforowanych danych na dysk

SysMon – rozbudowane narzędzie do monitorowania systemu

TCPView – narzędzie wyświetla listę aktywnych połączeń TCP i UDP

VMMap – narzędzie obrazuje wykorzystanie pamięci przez procesy

VolumeID – polecenie umożliwia zmianę id wolumenu

Whois – polecenie zwraca informacje z rekordu rejestracji dla wskazanego IP lub adresu

WinObj – narzędzie wyświetla obiekty zasobów systemu

Zoomit – narzędzie Lupa

Do wielu poleceń i narzędzi niezbędne są wyższe uprawnienia – Administrator lub Domain Admin

Wskazówka: jeśli uruchamiasz polecenie z linii poleceń a nie chcesz by pojawiło się okno z treścią licencji to wystarczy ze dodasz parametr /accepteula

Pakiet SysInternals znajdzie zastosowanie u każdego profesjonalisty Windows.

Polecane materiały