Файл: Руссинович М., Маргозис А. Утилиты Sysinternals. Справочник администратора 2012.pdf
Добавлен: 29.10.2018
Просмотров: 22709
Скачиваний: 610
Глава 1
Введение в утилиты Sysinternals
Утилиты Sysinternals — это бесплатные усовершенствованные программы
для управления, диагностики и устранения неполадок компьютеров на плат-
форме Microsoft Windows. Их написали основатели компании Sysinternals:
я — Марк Руссинович, и Брюс Когсвелл
1
. После выкупа фирмы Sysinternals
корпорацией Microsoft в июле 2006 года эти утилиты доступны для скачива-
ния с веб-сайта TechNet.
Утилиты Sysinternals:
• предоставляют ИТ-специалистам и разработчикам многие функции, дав-
но ожидаемые ими;
• интуитивно-понятны и просты в использовании;
• созданы в виде автономных исполняемых образов, не требующих уста-
новки. Их можно запускать откуда угодно, в том числе из сетевой папки
или со съемного носителя;
• после завершения не оставляют в системе «мусорных» данных и прочих
следов.
Поскольку в Sysinternals нет большой команды разработчиков, я опера-
тивно выпускаю новые компоненты, утилиты и вношу исправления. В не-
которых случаях я могу менее чем за неделю создать полезный и простой в
использовании компонент.
С другой стороны, по той же самой причине — из-за отсутствия большого
штата тестировщиков и полноценной процедуры тестирования — утилиты
предлагаются «как есть», без официальной поддержки продукции Microsoft.
Тем не менее, команда Sysinternals старается оказывать пользователям под-
держку через специализированный форум на сайте компании (о нем см.
ниже), и я стараюсь, по возможности, быстрее исправлять обнаруженные
ошибки.
1
Брюс ушел из Microsoft в конце 2010 года и больше не принимает участие в разработке утилит
Sysinternals.
SIN_ch_01.indd 2
27.12.2011 14:51:09
Введение в утилиты Sysinternals
Глава 1 3
Обзор утилит
Утилиты Sysinternals охватывают многие аспекты ОС Windows. Одни ути-
литы обладают весьма широким функционалом, например Process Explorer
и Process Monitor, попадающим в разные категории, а другие довольно спе-
циализированы, их можно отнести к категории анализаторов процессов или
файловых утилит. Многие утилиты оснащены графическим интерфейсом
пользователя (GUI), другие являются консольными программами с интер-
фейсом командной строки и предназначены для использования в сценариях
или ручного запуска в командной строке.
Эта книга начинается с описания трех основных утилит (Process Explorer,
Process Monitor и Autoruns), каждой из них посвящена отдельная глава.
В следующих главах рассматриваются категории, каждая из которых вклю-
чает несколько логически связанных утилит.
В табл. 1-1 приводится перечень глав с кратким обзором рассматривае-
мых в них утилит.
Табл. 1-1. Темы глав книги
Утилита
Описание
Глава 3. Process Explorer
Process Explorer
Заменяет Диспетчер задач, отображая более подробную инфор-
мацию о процессах и потоках, включая их родство, загруженные
DLL и открытые описатели объектов, таких как файлы
Глава 4. Process Monitor
Process Monitor
Регистрирует активность файловой системы, реестра, сети,
процессов, потоков, а также загрузку образов в реальном времени
Глава 5. Autoruns
Autoruns
Перечисляет и определяет программное обеспечение, настроен-
ное на автоматический запуск при загрузке системы, входе
в нее пользователя и запуске Internet Explorer, а также позволя-
ет отключать и удалять эти элементы
Глава 6. PsTools
PsExec
Запускает процессы удаленно и (или) в локальной системе,
перенаправляя их вывод
PsFile
Перечисляет и закрывает удаленно открытые файлы
PsGetSid
Отображает идентификатор защиты (SID) участника системы
безопасности (компьютера, пользователя, группы или службы)
Pslnfo
Выводит информацию о системе
PsKill
Завершает процессы, заданные по имени или идентификатору
(PID)
PsList
Выводит подробную информацию о процессах и потоках
PsLoggedOn
Перечисляет учетные записи пользователей, выполнивших вход
в систему по локальной сети и через удаленные подключения
SIN_ch_01.indd 3
27.12.2011 14:51:09
4 Часть
I
Приступая к работе
Табл. 1-1. (продолжение)
Утилита
Описание
PsLogList
Выводит записи журнала событий
PsPasswd
Изменяет пароли учетных записей пользователей
PsService
Перечисляет службы Windows и позволяет управлять ими
PsShutdown
Завершает работу, выполняет выход и изменяет режим энерго-
потребления локальных и удаленных систем
PsSuspend
Приостанавливает и возобновляет процессы
Глава 7. Утилиты для работы с процессами и диагностики
VMMap
Отображает сведения об использовании виртуальной и физи-
ческой памяти процессом
ProcDump
Создает дамп памяти процесса в заданной ситуации, например
при пиковой загруженности ЦП или «зависании» окон
DebugView
Отслеживает вывод отладчика режимов пользователя и ядра
на локальном или удаленном компьютере
LiveKd
Запускает стандартный отладчик ядра на «снимке» работающей
локальной системы или образа в Hyper-V без перезагрузки
в режиме отладки и записывает дамп памяти функционирующей
системы
ListDLLs
Отображает в окне консоли информацию о DLL, загруженных
системой
Handle
Отображает в консольном окне информацию об описателях
объектов, открытых процессами
Глава 8. Утилиты системы безопасности
SigCheck
Проверяет цифровые подписи и отображает информацию
о версии
AccessChk
Ищет объекты, предоставляющие разрешения отдельным
пользователям или группам, а также отображает подробную
информацию о предоставленных разрешениях
AccessEnum
Ищет файлы и разделы реестра, выявляет места возможного
изменения разрешений
ShareEnum
Перечисляет общие файлы и принтеры, используемые
совместно в сети, а также пользователей, имеющих к ним доступ
ShellRunAs
Восстанавливает возможность запуска программы под другой
учетной записью пользователя в Windows Vista
Autologon
Настраивает учетную запись пользователя для автоматического
входа при загрузке системы
LogonSessions
Перечисляет активные сеансы LSA на компьютере
SDelete
Надежно удаляет файлы и папки, стирает данные в нераспреде-
ленных областях жесткого диска
SIN_ch_01.indd 4
27.12.2011 14:51:09
Введение в утилиты Sysinternals
Глава 1 5
Табл. 1-1. (продолжение)
Утилита
Описание
Глава 9. Утилиты для работы с Active Directory
AdExplorer
Отображает и включает редактирование объектов Active
Directory
Adlnsight
Отслеживает вызовы LDAP API службы каталогов Active
Directory
AdRestore
Перечисляет и восстанавливает удаленные объекты Active
Directory
Глава 10. Утилиты рабочего стола
Bglnfo
Отображает информацию о конфигурации компьютера на обоях
рабочего стола
Desktops
Запускает приложения на отдельных виртуальных рабочих
столах
Zoomit
Увеличивает размер экрана и включает аннотацию экрана
Глава 11. Утилиты для работы с файлами
Strings
Ищет в файлах текст ASCII или Unicode
Streams
Находит объекты файловой системы, имеющие альтернативные
потоки данных, и удаляет эти потоки
junctions
Перечисляет и удаляет символические ссылки
FindLinks
Перечисляет жесткие ссылки NTFS
DU
Перечисляет логические размеры и размеры на диске папок
с содержимым
PendMoves
Сообщает об операциях с файлами, запланированных
для выполнения во время следующей загрузки системы
Movefile
Планирует операции с файлами для выполнения во время
следующей загрузки системы
Глава 12. Утилиты для работы с диском
Disk2Vhd
Захватывает VHD-образ физического диска
Diskmon
Регистрирует активность жесткого диска на уровне секторов
Sync
Сбрасывает дисковый кеш на физический диск
DiskView
Отображает графическую карту кластеров тома с указанием
принадлежности кластеров файлам
Contig
Дефрагментирует заданные файлы или показывает фрагмента-
цию того или иного файла
PageDefrag
Дефрагментирует во время загрузки системы те системные
файлы, которые невозможно дефрагментировать во время
работы Windows
DiskExt
Отображает информацию об экстентах диска
SIN_ch_01.indd 5
27.12.2011 14:51:09
6 Часть
I
Приступая к работе
Табл. 1-1. (окончание)
Утилита
Описание
LDMDump
Отображает подробную информацию о динамических дисках
из базы данных Диспетчера логических дисков (LDM)
VolumelD
Изменяет идентификатор (серийный номер) тома
Глава 13. Сетевые и коммуникационные утилиты
TCPView
Перечисляет активные конечные точки TCP- и UDP-соединений
Whois
Сообщает информацию о регистрации доменов Интернета
или выполняет обратный просмотр DNS
Portmon
Отслеживает ввод-вывод через последовательные и параллель-
ные порты в реальном времени
Глава 14. Утилиты для получения информации
RAMMap
Предоставляет подробную схему использования физической
памяти
Corelnfo
Перечисляет сопоставления логических процессов с ядрами,
сокетами, узлами доступа к неоднородной памяти (NUMA)
и группами процессоров
ProcFeatures
Выводит список функций процессора, например, защиту памяти
No-Execute
WinObj
Отображает пространство имен Диспетчера объектов Windows
LoadOrder
Показывает примерный порядок загрузки драйверов устройств
и запуска служб Windows
PipeList
Перечисляет именованные каналы, прослушиваемые системой
ClockRes
Показывает текущее, максимальное и минимальное разрешения
часов системы
Глава 15. Другие утилиты
RegJump
Запускает RegEdit и открывает указанный путь реестра
Hex2Dec
Преобразует шестнадцатеричные числа в десятеричные
и обратно
RegDelNull
Выполняет поиск и удаление разделов реестра с NULL-именами
Bluescreen
Screen Saver
Экранная заставка, убедительно имитирующая «синий экран
смерти»
Ctrl2Cap
Преобразует нажатия Caps Lock в нажатия Ctrl
Сайт Windows Sysinternals
Проще всего попасть на сайт Sysinternals (рис. 1-1) — набрать адрес http://
www.sysinternals.com, откуда вы будете перенаправлены на домашнюю стра-
ницу сообщества Sysinternals на Microsoft TechNet, находящуюся в данный
момент по адресу http://technet.microsoft.com/sysinternals. Помимо полного
набора утилит Sysinternals, на сайте есть ссылки на множество тематических
SIN_ch_01.indd 6
27.12.2011 14:51:09