Czy kiedykolwiek chciałeś mieć pełną kontrolę nad swoim komputerem z systemem Windows? Możliwość nie tylko zajrzenia pod maskę prawie każdego procesu lub aplikacji systemu Windows, ale także możliwość zobaczenia, do jakich plików i kluczy rejestru uzyskują dostęp aplikacje w czasie rzeczywistym niesamowity.
Być może jesteś technikiem komputerowym, który chce dodać trochę poważnej wiedzy do paska narzędzi Windows. Jeśli wzbudziliśmy Twoje zainteresowanie, nie szukaj dalej, ponieważ rozkładamy Sysinternals, jeden z najbardziej rodowodowych i potężnych zestawów narzędzi systemowych i administracyjnych dla systemu Windows.
Krótka historia Sysinternals
Sysinternals to zbiór bezpłatnych narzędzi systemowych, administracyjnych i do rozwiązywania problemów dla systemu Windows.
Sysinternals sięgają prawie tak daleko, jak sam Windows, a pierwsza iteracja sięga 1996 roku. Od tego czasu pakiet Sysinternals ewoluował z każdą kolejną wersją systemu Windows, a arsenał rozszerzał się do ponad 70 różnych narzędzi. Firma Microsoft bezpośrednio kupiła i nabyła oprogramowanie w 2006 r., udostępniając je bezpłatnie i do pobrania jako kompletny pakiet lub pojedynczo.
Sysinternals otrzymuje również regularne aktualizacje, w których z czasem dodawane są nowe narzędzia. Co najlepsze, oprogramowanie jest przenośne i nie wymaga instalacji. Większość narzędzi to proste pliki EXE, które można umieścić na dysku flash USB i dodać do swojego Zestaw narzędzi przenośnych aplikacji Windows do administrowania systemem.
Jak zdobyć Sysinternals
Najpierw musisz załadować Sysinternals na swój komputer. Na szczęście nie jest to trudne.
Pobierz bezpośrednio z Microsoft
Aby rozpocząć, odwiedź stronę Indeks narzędzi Sysinternals, gdzie można również przeczytać krótki opis funkcji każdego narzędzia.
Jeśli zdecydujesz się pobrać pełny pakiet Sysinternals, Twoja przeglądarka pobierze plik ZIP o wielkości około 45 MB.
Po prostu w folderze pobierania kliknij prawym przyciskiem myszy NA SysinternalsSuite.zip i wybierz Wypakuj wszystko.Następnie skonfiguruj wybrany folder docelowy i kliknij Wyciąg przycisk.
Teraz możesz swobodnie eksplorować i używać narzędzi według własnego uznania. Warto pamiętać, że większość narzędzi wymaga dostępu administratora, więc pamiętaj, aby to zrobić kliknij prawym przyciskiem myszy na każdym narzędziu i wybierz Uruchom jako administrator przed użyciem.
Sysinternals Live to usługa świadczona przez firmę Microsoft, która umożliwia uruchamianie narzędzi Sysinternals bezpośrednio z sieci.
Pojedyncze narzędzie można uruchomić bezpośrednio, wprowadzając ścieżkę narzędzia Sysinternals Live do Eksploratora Windows lub okna dialogowego Uruchom. Użyj następującej składni: \\live.sysinternals.com\narzędzia\
Naciskać Wygrać + R aby wyświetlić okno dialogowe Uruchom. Podaj nazwę narzędzia na końcu ścieżki i naciśnij Wchodzić lub naciśnij OK.
Po chwili lub dwóch spotkasz się z Ostrzeżenie bezpieczeństwa gdzie możesz po prostu wybrać Uruchomić kontynuować. Pamiętaj, że możesz zobaczyć całość Katalog narzędzi Microsoft Sysinternals Live w Twojej przeglądarce.
Co możesz zrobić z Sysinternals?
Chociaż jest mało prawdopodobne, aby jedna osoba kiedykolwiek wykorzystała wszystkie narzędzia dostępne w pakiecie, masz do dyspozycji mnóstwo narzędzi.
Istnieją narzędzia, takie jak Process Monitor, który monitoruje system plików, rejestr, proces, wątek i aktywność DLL w czasie rzeczywistym. Z drugiej strony Process Explorer jest podobny do Menedżera zadań systemu Windows, ale z mnóstwem dodatkowych funkcji.
Autoruns pomaga zarządzać procesami uruchamiania systemu Windows, a także wykrywać szczególnie irytujące wbudowane złośliwe oprogramowanie. Widzieć jak zarządzać programami startowymi systemu Windows za pomocą Autoruns po więcej informacji.
SDelete, który jest zgodnym z DoD programem do bezpiecznego usuwania, również czyści wolne miejsce i nie pozostawia śladów po wcześniej usuniętych plikach.
Istnieje również wiele zaawansowanych narzędzi wiersza poleceń, które pomagają we wszystkim, od bezpieczeństwa sieci i udostępniania plików po zaawansowane instalacje usługi Active Directory i wiele innych.
Następnie przyjrzyjmy się niektórym z bardziej popularnych narzędzi i sposobom ich wykorzystania.
Eksplorator procesów: starszy brat Menedżera zadań
Kiedy otwierasz Process Explorer po raz pierwszy, możesz być nieco przytłoczony samą ilością opcji i danych, które są prezentowane.
W lewym okienku znajduje się hierarchiczny widok drzewa, który zawiera listę wszystkich procesów i podprocesów uruchomionych na komputerze. Obok tego znajdziesz użycie procesora i pamięci RAM, PID (identyfikator procesu), Opis, I Nazwa firmy wszystko prezentowane w kolumnach, które można sortować i dostosowywać.
Na pasku narzędzi znajdują się mini wykresy aktywności dla procesor, Pamięć fizyczna, I Wejście wyjście które po kliknięciu otworzyło się w osobnym oknie. Pod Opcje > Ikony tacy możesz także wybrać aktywność, która ma być wyświetlana na pasku zadań systemu Windows po zminimalizowaniu aplikacji.
Jedną z głównych różnic między Eksploratorem procesów a Menedżerem zadań systemu Windows jest oznaczony kolorem klucz służący do identyfikacji różnych typów procesów. Możesz przynieść ten klucz, przechodząc do Opcje > Wybór koloru. Uważaj na procesy zaznaczone na fioletowo, ponieważ zawierają one skompresowany kod i mogą być oznaką ukrytego złośliwego oprogramowania.
Kliknięcie prawym przyciskiem myszy dowolnego procesu spowoduje wyświetlenie zestawu opcji, które pozwolą ci to zrobić Ustaw priorytet, Zabić, Zabij drzewo procesów, Wstrzymać proces i więcej.
Monitor procesów: najlepszy dziennik systemu Windows
Process Monitor różni się znacznie od Process Explorer.
Process Monitor umożliwia przechwytywanie dziennika każdego pojedynczego zdarzenia, które ma miejsce na komputerze z systemem Windows. Dzięki Process Monitor możesz zobaczyć, które klucze rejestru są aktualizowane przez dowolną aplikację. Nawet jeśli usługa lub aplikacja uruchamia nowy proces, w jakiś sposób zmienia system plików lub łączy się z siecią, możesz to śledzić za pomocą Process Monitor.
Kiedy po raz pierwszy otworzysz Process Monitor, zostaniesz powitany ogromną ilością wierszy i danych. W tle Process Monitor będzie kontynuować rejestrowanie wszelkich zdarzeń rejestru, systemu plików, sieci, procesów i profilowania, które mogą wystąpić. Oznacza to, że lista danych będzie szybko rosła, nawet jeśli komputer nie pracuje, ponieważ usługi wchodzą w interakcję z systemem.
Kluczem do efektywnego korzystania z Process Monitor jest odfiltrowanie i skupienie się tylko na zdarzeniach, które Cię interesują. Na przykład: aby szybko odfiltrować procesy Microsoft, do których możesz przejść Opcje > Wybierz kolumny i zawierać Nazwa firmy. Następnie po prostu klikając kolumnę prawym przyciskiem myszy, możesz użyć funkcji Uwzględnij / Wyklucz w menu kontekstowym, aby szybko odfiltrować te zdarzenia.
Dwukrotne kliknięcie lub kliknięcie prawym przyciskiem myszy zdarzenia i wybranie Nieruchomości otworzy dodatkowe okno dialogowe z mnóstwem informacji. W tym oknie dialogowym będziesz mógł określić klasę zdarzenia (tj. System plików lub RegistryQueryKey), ścieżkę do operacji fizycznej i wynik.
Stąd możesz kopać jeszcze głębiej, przechodząc do Stos zakładkę, na której możesz zobaczyć poszczególne pliki DLL powiązane ze zdarzeniem.
Domyślnie Process Monitor używa pamięci wirtualnej komputera do przechowywania zdarzeń, które są tymczasowe. Jeśli pójdziesz do Plik > Pliki zapasowe możesz określić plik, w którym dane mają być zapisywane i zapisywane.
Autoruns: konfigurowanie procesów uruchamiania i aplikacji
System Windows oferuje kilka opcji radzenia sobie z procesami uruchamiania i aplikacjami po wyjęciu z pudełka. Na przykład Menedżer zadań ma dedykowany Aplikacje startowe sekcji w swoim okienku nawigacyjnym. Te same informacje można znaleźć również w Ustawienia aplikacja pod Aplikacje > Uruchomienie.
Chociaż jest to prawdopodobnie wystarczające dla większości ludzi, tak naprawdę nie daje pełnego obrazu tego, co jest ładowane przy każdym uruchomieniu komputera. W rzeczywistości istnieje wiele bardziej wyrafinowanych sposobów konfigurowania oprogramowania do automatycznego uruchamiania w systemie Windows. Istnieją obiekty pomocnicze przeglądarki, zaplanowane zadania, usługi, sterowniki, a nawet niektóre prawie niewykrywalne metody, takie jak przejmowanie kontroli nad obrazami i biblioteki AppInit_dll.
Jeśli szukasz obszernej listy elementów startowych, odpowiedzią jest Autoruns.
Domyślnie, kiedy po raz pierwszy otworzysz Autoruns, wylądujesz na Wszystko patka. Spowoduje to wyświetlenie każdego elementu startowego z każdej karty. Oczywiście możesz przechodzić między zakładkami, aby uzyskać dalsze informacje.
Każda karta daje wyobrażenie o mechanizmie używanym przez element startowy. Na przykład Zalogować się wyświetla wszystkie elementy ładowane, gdy użytkownik loguje się do systemu Windows. The poszukiwacz Z drugiej strony karta zawiera listę wszystkich elementów startowych, które dołączają się do procesu Eksploratora plików podczas jego uruchamiania.
Aby zatrzymać działanie dowolnego elementu startowego, po prostu odznacz pole wyboru obok programu po lewej stronie. To wszystko. Po prostu bądź ostrożny, usuwając zaznaczenie czegokolwiek w pliku Kierowcy I Usługi kart, ponieważ większość z nich jest niezbędna dla aplikacji i składników systemu Windows.
Sysinternals oferuje znacznie więcej
Mamy nadzieję, że to, co omówiliśmy do tej pory, przekonało Cię do idei Sysinternals. Niezależnie od tego, czy chcesz uzyskać pełną migawkę wszystkiego, co dzieje się na komputerze, za pomocą Process Explorer, szczegółowych szczegółów ujawnionych przez Process Monitor lub najwyższy autorytet w zakresie tego, jakie programy uruchamiają się podczas uruchamiania z Autoruns, Sysinternals ma narzędzie do prawie wszystko.
Omówiliśmy tylko podstawowe możliwości korzystania z narzędzi z pakietu Sysinternals. Nie krępuj się odkrywać ich na własną rękę, ale pamiętaj tylko, że z wielką mocą wiąże się wielka odpowiedzialność.