14 Представени инструменти на Windows Sysinternals

Този път ще проучим задълбочено полезността Sysinternals пакет от Microsoft което е инструмент, който ни осигурява голямо количество поддръжка по отношение на софтуерни проблеми, което ни позволява да поддържаме правилно управление и актуализиране на него.

Този инструмент може да бъде изтеглен (В комплект от 20 MB инструменти) безплатно от следната връзка:

Можем също да въведем следната връзка, за да изтеглим и стартираме конкретното приложение, от което се нуждаем, без да се налага да изтегляме целия пакет:

Преди да започнете да анализирате някои от приложенията, включени в Sysinternals пакет нека да видим малко от историята му. Sysinternals е създаден през 1996 г. и постоянно се актуализира от Марк Русинович и този пакет се състои от повече от 70 приложения, които несъмнено ще бъдат от голяма полза за всички нас.

Пакетът Sysinternals работи на следните операционни системи:

• Windows 7
• Windows 8, 8.1
• Windows 10
• Windows сървър 2008 нататък

Ако искаме да изпълним командите от пакета Sysinternals, използвайки командата Бягай, от cmd или използвайки полето за търсене трябва да добавим пакета към променливите на системната среда.

Можем да изпълним следното:

В диалоговия прозорец въвеждаме термина Променлива и в показаните опции избираме „Редактиране на променливите на системната среда.“

Ще се покаже следното:

Там избираме опцията Променливи на околната среда, разположена в долната част.

В показания прозорец избираме Пътна линия и по -късно опцията Редактирайте полето Системни променливи. Там ще въведем пътя, където сме изтеглили пакета Sysinternals.

Кликваме върху Да приеме в следните прозорци, за да приложите промените. По този начин можем да изпълняваме командите Sysinternals от командния ред.

Ще започнем анализ на някои от най -интересните инструменти, които Sysinternals представя и как ни помагат в нашата техническа поддръжка.

1. Автоматично стартиране

Първият инструмент, който ще анализираме, е Autoruns. Autoruns ни позволява да имаме общ и много подробен подход относно услугите, приложенията и библиотеките, които се изпълняват веднага след стартирането на Windows 10.

При изпълнение на Autoruns ще видим следната среда:

Увеличете

Както виждаме, имаме конкретна информация за всяка програма или услуга, която се стартира автоматично и е разделена на различни раздели:

• Запис за автоматично стартиране: Включва името на услугата или приложението, което се стартира.
• Описание: Включва кратко резюме за приложението.
• Издател: Той ни показва производителя или собственика на услугата или приложението.
• Път на изображението: Той ни показва маршрута, където се намира услугата или програмата.
• Времева отметка: Показва датата и часа на инсталиране на програмата или услугата.
• Общ вирус: Инструментът Autoruns включва скенер за вируси и ако има такъв, ще го видим тук.

Както можем да видим в горните раздели, можем да видим услугите или програмите по категории, например, можем да видим, че се стартира автоматично от Office, Printers, Winlogon и т.н., просто изберете раздела, който искаме, например ще изберем Winlogon.

Нещо прословуто в Autorun е, че можем да видим, че има редове с жълт цвят, това означава, че записът принадлежи на програма, която вече не съществува в системата. Ако някой ред е в червено, това означава, че колоната Publisher е празна, това може да бъде от голяма полза.

2. Bginfo

Следващият инструмент, който ще анализираме, е Bginfo, който показва информация на работния плот за параметрите, дефинирани в него.

The Инструмент BGinfo изглежда така:

Там можем да изберем кои полета да видим от дясната страна, като използваме опцията Персонализиран, след като определим кои полета искаме да добавим, кликваме върху Приложи и по -късно в добре. Ще видим, че средата на нашия работен плот е променена с подробна информация за избраните полета:

Увеличете

[color = # a9a9a9] Щракнете върху изображението, за да го увеличите [/ color]

Можем да редактираме позицията на информацията, в центъра, вдясно или вляво и всяко поле е много лесно за разбиране, както и е много полезно.

3. Cacheset

Следващият инструмент ще бъде Cacheset, който ни позволява да установим параметри, свързани с кеш паметта на системата.

Интерфейсът на Cacheset е следният:

Там можем да видим текущата памет и максималния пик, в опцията за настройки можем да установим както минималната, така и максималната памет за разпределяне, след като дефинираме тези аспекти, щракваме върху Приложи, за да се направят промените.

4. Coreinfo

Интересен инструмент е Coreinfo които ние показва информация между логически процесори и физически процесор.

Това е прозорецът, показан с Coreinfo:

Можем да използваме някои параметри с Coreinfo като:

• -° С: Прехвърлете информацията за ядрата
• -g: Изхвърлете информация за групи
• -л: Изхвърлете информацията за кеша
• -с: Изхвърлете информацията за гнездата

5. Dbgview

С Dbgview ние можем направете екранни снимки на наличните настолни компютри и извършете отстраняване на грешки.

Увеличете

6. Дискмон

Използвайки Дискмон ние можем наблюдавайте в реално време секторите на нашите твърди дискове, които са активни, средата на Diskmon е следната:

Тук можем да наблюдаваме различни аспекти на секторите като:

• #: се отнася до номера на реда на инструмента.
• Време: Показва броя секунди между началото на кадъра и заявката.
• Продължителност: Общо време на заявката.
• Диск: Той се отнася до номера на анализирания диск.
• Искане: В тази колона можем да видим вида на изискването, четене или писане.
• Сектор: Той се отнася до броя на сектора, който се анализира.
• Дължина: Показва дължината на заявката.

7. Преглед на диска

The Инструментът Diskview ни показва графично (на NTFS-форматирани томове) кои сектори се използват и можем да видим кои файлове заемат определено пространство.

След като инструментът бъде изпълнен, можем да изберем силата на звука за сканиране, да определим увеличението и можем да видим, че процесът на сканиране започва:

След като процесът приключи, можем да видим следното:

Горната част представлява анализирания обем. Можем да видим подробности като номера на клъстера, пътя, където се намира, и фрагментите на клъстера. Този инструмент е полезно, ако трябва да извършим подробен анализ на клъстерите на диска и какви файлове има във всеки сектор.

8. Listdlls

С инструмента Listdlls можем вижте пълен списък с инсталирани DLL библиотеки в нашата система. Средата Listdlls е следната:

Както виждаме, размерът, основата и пътят, където се намира DLL, са посочени в случай, че трябва да предприемем някакви действия по него.

9. LoadOrd

Приложението Loadord ни позволява да визуализираме реда, в който Windows зарежда драйверите на устройствата и услугите за стартиране. След като стартираме това приложение, ще видим следното:

Увеличете

Можем да видим пълно обобщение на услугите и драйверите, като тяхното име, пътя, където се намират, групата, към която принадлежат и т.н.

10. Портмон

Приложението Портмон ни позволява да носим a контрол върху дейността в серийните и паралелните портове на нашия екипС Portmon можем да създаваме филтри и да извършваме разширени търсения за това как се използват тези портове.

Средата на Портмон изглежда така:

11. Procexp

Един от инструментите, който без съмнение е най -често срещаният и ще бъде един от най -използваните, е изследователят на процеси, той е Procexp, кое е подобно на диспечера на задачите в Windows 10, но с тази разлика, че procexp е много по -завършен.

След като се изпълни procexp, това ще бъде прозорецът, който ще наблюдаваме:

Можем да видим пълно обобщение на процесите, които се изпълняват в момента в системата, предоставяща информация за името на процеса, обема на паметта, която консумира, неговия идентификатор (PID), производителя и т.н.

Както виждаме, всеки процес е категоризиран. В менюто Настроики можем да предприемем действия по процесите като „убиваме“ процеса, да го спрем, да установим приоритет, да ги анализираме и т.н.

От същото приложение procexp можем да видим:

• Държавата
• В реално време
• Памет
• Процесор
• I / O устройства
• и т.н.

Виждаме как инструментът разбива всеки компонент и процента на използване, ако искаме да имаме по -подробен изглед, отиваме в съответния раздел, например отиваме в раздела CPU:

Виждаме пълно и подробно обобщение за състоянието на процесора; броя на процесите, заплахите, броя на ядрата и т.н.

Един от предимствата, които имаме с procexp, е персонализиранетоАко желаем, можем да дефинираме цветове за различните процеси по следния начин:

• [color = # 008000]Зелено:[/ color] се отнася за нови обекти.
• [color = # 40e0d0]Светло синьо:[/ color] идентифицира собствени процеси.
• [color = # ee82ee] Розово: [/ color] показва процеси, които съдържат услуги на Windows.
• [color = # 4b0082]Лилаво:[/ color] се отнася до компресиран (опакован).
• [color = # daa520]Тюркоаз:[/ color] се отнася до процеси, свързани с приложенията на Windows Store.
• [color = # 808080]Тъмно сиво:[/ color] са спрени процеси.

Просто, ако искаме цветовете, които идентифицират процесите, да бъдат различни, просто щракнете върху Промяна да ги редактирате. Ако желанието ни е да видим колко ресурс изразходва процес в Windows 10, можем да щракнем двукратно върху процеса или да щракнем с десния бутон и да изберем свойства и там да отидем в раздела GPU Graph.

12. Прокмон

Друго от приложенията, които ще бъдат много полезни, е Procmon (монитор на процеса). Този инструмент ще ни предостави подробна информация за процесите както на системните файлове, регистрите, мрежата, процесите, заплахите, всичко в реално време, което е най -важното за нас.

Увеличете

Както виждаме прокмон ни предлага достатъчно информация за процесите като:

• име на процеса
• Време за активност
• Маршрут, където се намира
• Резултат от процеса
• Подробности
• И т.н.

В рамките на procmon имаме интересни инструменти, които могат да ни помогнат да запазим контрола върху нашите ресурси, например в рамките на Меню инструменти можем да изберем опцията Обобщение на дейността на процеса За да видите подробно обобщение на дейността на всеки процес, резултатът ще бъде следният.

Procmon е в състояние да събира голямо количество информация в наша полза. След като стартираме procmon, ще видим следното:

Виждаме много пълен резултат, където се посочват потреблението на ресурси, началото и края на процеса и т.н. В рамките на Инструменти ако решим Резюме на системния регистър можем да намерим броя на записите, достъпни по време на кадъра:

По същия начин можем да намерим обобщение на мрежовите връзки, системата и т.н. Можем да приложим филтри, за да имаме a по -централизирано управление на процеситеПросто изберете елемента и щракнете с десния бутон, в този случай ще изберем PID 968.

Увеличете

Избираме опцията „Включване на 968“ и ще видим, че процесът на филтриране започва.

Виждаме, че има само резултатите от PID 968. Ако по всяко време искаме да видим процес в детайли, просто щракнете с десния бутон върху процеса и изберете Свойства (редактиране), в този случай избираме Процес на Explorer.exe и можем да видим следното:

13. RamMap

Друг инструмент, който можем да използваме, е RamMap което ни позволява управлява всичко свързано с RAM разполагащи с различни помощни програми.

При изпълнение RamMap ще видим следното:

Както виждаме, имаме под ръка цялата информация, свързана с паметта и категоризирана по цветове и вид употреба. Използвайки някой от разделите в горната част, можем да видим подробно кои процеси заемат памет. Например можем да натиснем раздела Процеси, и ще получим следния изглед:

По този начин можем да контролираме кои процеси консумират повече ресурси памет в системата и можем да решим дали да прекратим тези процеси или не.

14. ShareEnum

Използване на приложението ShareEnum можем да видим както файловете, така и обектите, които се споделят в рамките на домейна или работната група. След като стартираме ShareEnum, ще видим следното:

Можем да видим пътя, където имаме споделени файлове, домейна и друга информация.

15. TCPView

Друго от приложенията, включени в пакета Sysinternals, е TCPView, с този инструмент можем ясно вижда всички връзки през TCP и UDP направени от нашата система Windows 10 между локални портове и отдалечени адреси.

Когато изпълним TCPView, това ще бъде средата, която ще видим:

Увеличете

Както виждаме, имаме информация за портовете, използвани от всеки процес, както и за изпратените и получените пакети и цялата тази информация е много важна за правилното управление на ниво мрежа, в случай че трябва да проверим или анализираме аспект. Ако щракнем с десния бутон върху някой от процесите, можем да видим неговите свойства или, ако е така, да го прекратим.

16. VMMap

Един от последните инструменти, които ще анализираме, е VMMap които ние позволява да се провери използването на виртуални процеси и физическа памет чрез графична среда.

Когато изпълним VMMap, ще имаме следното:

Инструментът ще покаже наличните процеси, трябва да изберем процеса, за който искаме да получим подробна информация, след като бъде избран, щракнете върху OK и след това ще видите следното:

В нашия случай избираме процеса explorer.exe и, както виждаме, VMMap ни показва пълна информация за този учител, неговата консумация на памет и как използва всяка част от тази памет.

Този инструмент е важен в случай, че има някакви проблеми с производителността на x или y процеса и не сме наясно кои от тях могат да повлияят на производителността и стабилността на Windows 10.

В рамките на Sysinternals имаме група инструменти, които изпълняват основни функции, но понякога са много полезни. Имаме следното:

• PsExec: Позволява изпълнение на процеси в стила на CTRL + R (Изпълнение)
• PsFile: Избройте файловете, които са отворени от разстояние
• PsGetSid: Той ни дава SID на компютър или потребител
• PsInfo: Тази команда ни показва информация за системата
• PsKill: Това ни дава възможност да прекратим процесите
• PsList: Показва информация за активните процеси
• PsLoggedOn: Можем да видим потребителите, които са влезли в системата
• PsPasswd: Тя ни позволява да променяме паролите на акаунтите, регистрирани в системата
• PsPing: Той изпълнява функцията на командата Ping, което ви позволява да видите, че има комуникация между устройствата.
• PsService: Тя ни дава възможност да разглеждаме и контролираме услугите.
• PsShutdown: Използвайки тази опция можем да изключим, рестартираме, излезем от другите опции.
• PsSuspend: Можем да спрем и рестартираме услугите

По същия начин можем да намерим повече от 30 други приложения, които могат да бъдат от голяма помощ, не само локално, но и на ниво домейн, някои от тези други приложения по бърз начин са:

ДръжкаТя ни позволява да наблюдаваме процесите, които имат активност в реално време в системата.

ПотоциС потоци можем да анализираме всички файлове и директории както локално, така и на ниво домейн, за да видим тяхната информация като размер, свойства и т.н.

SdeleteТова е помощна програма за командния ред, която ни позволява безопасно да изтриваме файлове и директории в системата.

ContigТова е помощна програма, която ни позволява да дефрагментираме един или повече файлове по този начин, който ни позволява да подобрим производителността на тези файлове.

Преместване на файлТова е приложение, което ни позволява да програмираме движения и да изтриваме команди след следващото стартиране на системата.

SigcheckС този инструмент можем да видим версията, датата на създаване и цифровия подпис на определени файлове.

Както видяхме, имаме много интересен пакет за управление, контрол и надзор на нашия Windows 10. Поканата е да прегледаме различните приложения, включени в Sysinternals, и да определим кои са най -подходящите за нашата работа и не забравяйте, че тези инструменти са безплатни по всяко време.