Sysinternals Windows-prosessien hallintaan ammattilaisen tavoin

Informatec Digital » Resurssit » Sysinternals Windows-prosessien hallintaan ammattilaisen tavoin

Jos olet käyttänyt Windowsia jonkin aikaa ja huomaat, että Tehtäväpäällikkö Se jää vajaaksi. Jotta ymmärtäisit, mitä järjestelmässäsi todella tapahtuu, Sysinternals on juuri sitä, mitä olet etsinyt. Tämä edistyneiden Microsoft-apuohjelmien paketti antaa sinun nähdä yksityiskohtaisesti, mitkä prosessit ovat käynnissä, mitä tiedostoja ne käyttävät, mitä rekisteriavaimia ne muokkaavat ja jopa mitä verkkoyhteyksiä ne avaavat.

Nämä työkalut luotiin kauan ennen kuin Microsoft otti ne käyttöön, ja vaikka monet jäävät huomaamatta, ne ovat todellinen linkkuveitsi Analysoi Windowsin prosesseja, havaitse virheitä ja etsi haittaohjelmiaTarkastelemme yksityiskohtaisesti, miten voit hyödyntää Process Exploreria, Process Monitoria ja muita prosessikeskeisiä Sysinternals-apuohjelmia selkeästi ja käytännön esimerkein selitettynä.

Mikä on Sysinternals ja miksi se on niin hyödyllinen prosessien analysoinnissa?

Sysinternals on vuonna 1996 perustettu projekti, jonka Mark Russinovich ja Bryce Cogswell isännöi pieniä, edistyneitä diagnostiikkatyökaluja, jotka tuolloin keskittyivät Windows NT:hen, Windows 2000:een ja Windows XP:hen. Alkuperäisen sivuston nimi oli NTinternals, ja sen tarkoituksena oli näyttää käyttöjärjestelmän sisäinen toiminta, jotta järjestelmänvalvojat ja kehittäjät ymmärtäisivät, mitä "konepellin alla" tapahtui.

Kymmenen vuotta myöhemmin, vuonna 2006, Microsoft osti projektin ja integroi sen omaan verkkosivustoonsa: siitä lähtien sysinternals.com ohjaa Microsoftin viralliselle osiolleSilti henki on säilynyt: pienet, kevyet ja enimmäkseen kannettavat apuohjelmat (kopioit ne, suoritat ne ja olet valmis), joita päivitetään, laajennetaan ja hiotaan jatkuvasti.

Nämä työkalut on suunniteltu ensisijaisesti järjestelmänvalvojat, IT-ammattilaiset ja kehittäjätKokenut käyttäjä voi kuitenkin saada niistä paljon irti. Niiden avulla voit ymmärtää, määrittää ja hallita Windowsin hyvin erityisiä osa-alueita: mitä käynnistyksen yhteydessä suoritetaan, mitkä prosessit kuluttavat suoritinta, mitä DLL-tiedostoja ladataan tai mitä verkkoportteja ne käyttävät.

Täydellinen sviitti sisältää yli 70 apuohjelmaa ja on saatavilla myös Microsoft Store Sysinternals Suite -paketinaKun asennat sen kaupasta, et saa yhtä "sovellus"-kuvaketta; sen sijaan saat kokoelman suoritettavia tiedostoja ja dokumentaatiota, jotka voit käynnistää etsimällä kutakin työkalua nimen perusteella tai avaamalla sen polun.

Sysinternals Live: Suorita työkaluja asentamatta niitä

Yksi tämän apuohjelmaperheen tärkeimmistä eduista on Sysinternals Live, palvelu, jonka avulla voit suorittaa työkaluja suoraan verkosta ilman, että sinun tarvitsee ladata ja purkaa mitään manuaalisesti levylle.

Voit käyttää sitä Resurssienhallinnassa kirjoittamalla työkalun polun Sysinternals Live -toimialueen avulla, esimerkiksi: live.sysinternals.com/<toolname> tai UNC-reitti \\live.sysinternals.com\tools\<toolname>Tällä tavoin Windows avaa suoritettavan tiedoston suoraan Microsoftin jakamasta tiedostosta.

Jos haluat käyttää konsolia, voit käynnistää minkä tahansa apuohjelman, jolla on samanlainen polku: \\live.sysinternals.com\tools\<toolname>Tämä säästää sinut paikallisten versioiden hallinnasta ja varmistaa, että käytät aina kunkin työkalun uusinta versiota.

Voit tutkia kaikkea saatavilla olevaa avaamalla seuraavan osoitteen selaimessasi tai Windowsin Resurssienhallinnassa: https://live.sysinternals.com/, missä näet Sysinternals Live -työkalujen täydellinen hakemisto valmis käytettäväksi.

Prosessiselaimessa: "Ylikuormitettu tehtävienhallinta"

Process Explorer on luultavasti Sysinternalsin tunnetuin työkalu, kun on kyse prosessit WindowsissaSen tavoitteena on näyttää paljon yksityiskohtaisemmin kuin Tehtävienhallinta, mitä järjestelmä suorittaa, miten prosessit liittyvät toisiinsa ja mitä resursseja ne käyttävät milläkin hetkellä. optimoi suorituskyky.

Prosessiselaimen käyttöliittymä on jaettu kahteen pääalikentään. Yläosassa näkyy aina ikkuna. luettelo kaikista aktiivisista prosesseistaSe on yleensä järjestetty puurakenteeseen, joka näyttää pää- ja lapsiprosessit sekä tietoja, kuten ohjelman kuvauksen, yrityksen, prosessitunnisteen (PID), suorittimen käytön, muistin käytön jne. Myös kunkin prosessin omistavien käyttäjätilien nimet näytetään.

Alempi ikkuna voi toimia kahdessa tilassa: kahvatilassa ja DLL-tilassa. Kahvatilassa näet tunnisteet, jotka valitulla prosessilla on auki (tiedostot, rekisteriavaimet, järjestelmäobjektit jne.). DLL-tilassa näytetään seuraavat: dynaamiset kirjastot ja muistikartoitetut tiedostot kyseinen prosessi on latautunut. Tämä on ratkaisevan tärkeää sen selvittämiseksi, mitä tiedostoa sovellus lukitsee tai mikä epäilyttävä moduuli on lisätty lailliseen prosessiin.

Process Explorerissa on myös erittäin tehokas hakutoiminto, jonka avulla voit paikantaa mikä prosessi pitää tietyn tiedoston tai DLL:n aukiSyötät nimen tai osan nimestä ja saat heti luettelon mukana olevista prosesseista, mikä on erittäin hyödyllistä, kun Windows ei anna sinun poistaa tiedostoa "koska se on käytössä" ja haluat tietää, kuka sitä pitää hallussaan.

Toinen vahvuus on digitaalisten allekirjoitusten varmentaminen"Tarkista"-vaihtoehdolla voit tarkistaa, onko muistiin ladatuilla suoritettavilla tiedostoilla ja DLL-tiedostoilla valmistajan myöntämä kelvollinen allekirjoitus. Tämä auttaa erottamaan lailliset prosessit mahdollisesti manipuloiduista tai allekirjoittamattomista binääritiedostoista, jotka ovat hyvin yleisiä haittaohjelmissa tai vanhemmissa, ylläpitämättömissä ohjelmissa.

Työkalu käyttää myös värit prosessien visuaaliseen kuvaamiseenJärjestelmäpalvelut, Resurssienhallinnan prosessit, pakatut sovellukset jne. Nopea vilkaisu nimien ja värien sarakkeeseen antaa sinun nähdä, miltä kukin elementti näyttää, ilman että sinun tarvitsee mennä aluksi liian yksityiskohtiin.

Lisäksi Process Explorer tarjoaa aikajananäkymän, jonka avulla voit tarkastella graafisesti Missä vaiheessa kukin prosessi alkoi?Tietoturvapoikkeamien tai poikkeavan käyttäytymisen analysoinnissa tämä toiminto auttaa paikantamaan epäilyttävän toiminnan alkamisajankohdan ja sen yhteyden muihin samalla aikavälillä aloitettuihin prosesseihin.

Apuohjelma on ihanteellinen seurantaan DLL-versiointiongelmat, ajurivuodot (kahvat, joita ei koskaan julkaista) ja yleisesti ottaen ymmärtää paremmin, miten Windows toimii sisäisesti ja mitä sovelluksesi todellisuudessa tekevät.

Prosessien valvonta: tiedostojen, lokien ja prosessien reaaliaikainen röntgenkuvaus

Process Monitor (Procmon) on toinen Sysinternals-ekosysteemin keskeinen osa. Se on edistynyt valvontatyökalu, joka näyttää reaaliaikaista dataa. kaikki tiedostojärjestelmän toiminta, Windowsin rekisteri ja prosessit tai säikeet jotka toimivat järjestelmässä.

Se yhdistää ja ylittää vanhojen Filemon- ja Regmon-apuohjelmien ominaisuudet lisäämällä pitkän listan parannuksia, jotka on suunniteltu... kattava jäljitettävyys ilman tiedon menetystä matkan varrellaSen merkittävimpiä ominaisuuksia on erittäin joustava ja rikkomaton suodatusjärjestelmä: voit käyttää, säätää ja poistaa suodattimia lennossa menettämättä jo tallennettuja tapahtumia.

Jokainen tallennettu tapahtuma näyttää täydelliset ominaisuudet, mukaan lukien istuntotunnisteet, käyttäjätunnukset, prosessikuvan polkuKomentorivi, josta se käynnistettiin, prosessien ja säikeiden tunnisteet ja paljon muuta. Jokaiselle toiminnolle on mahdollista tallentaa säikeiden pinoja sisäänrakennetun symbolituen avulla, mikä auttaa paikantamaan tietyn kutsun perimmäisen syyn.

Sisäinen rekisteriarkkitehtuuri on suunniteltu skaalautumaan erittäin hyvin myös raskaiden kuormien alla: se pystyy käsittelee kymmeniä miljoonia tapahtumia ja gigatavuja lokitietoja ilman minkäänlaisia ​​ongelmia, mikä on olennaista, kun haluat jatkaa tiedon keräämistä järjestelmän käynnistyksen aikana tai ajoittaisen, vaikeasti toistettavan vian sattuessa.

Prosessinvalvonnan avulla voit tallentaa toiminnan suoraan tiedostoon, jossa on natiivi lokimuoto joka säilyttää kaikki tiedot ladattavaksi myöhemmin työkalun toisessa esiintymässä. Tämä on erittäin hyödyllistä rikostutkinnassa tai teknisessä tukiympäristöissä: tallennat ongelman käyttäjän koneella ja analysoit tuloksen myöhemmin omalla tietokoneellasi.

Käyttöliittymä sisältää konfiguroitavia ja vieritettäviä sarakkeita käytännössä mille tahansa tapahtuman ominaisuudelle. Suodattimia voidaan myös luoda minkä tahansa kentän perusteella, jopa niiden, joita ei ole määritetty näkyviksi sarakkeiksi, mikä tarjoaa valtavan mukautustason, jolla voit rajata juuri sitä, mitä haluat nähdä.

Apuvälineistä erottuvat seuraavat: prosessipuu, joka osoittaa kaikkien jäljessä olevien prosessien välisen suhteen; uudet tiedot Prosessien työkaluvihjeet ja yksityiskohtaiset tiedot, joiden avulla voit tarkastella laajoja kenttiä ponnahdusikkunoissa ilman, että päänäkymä täyttyy; ja peruutettavissa oleva lokihaku tiettyjen merkkijonojen löytämiseksi ilman, että käyttöliittymä tukkii.

Procmon sisältää myös moodin käynnistysajan ennätystoimintojen tallentaminen Windowsin käynnistyksen alkuvaiheista lähtien. Niille, jotka vianmäärittävät käynnistysongelmia, sovellusvirheiden diagnostiikka tai haittaohjelmien haussa, Process Monitorista tulee usein korvaamaton työkalu.

Prosessien hallinta ja prosessien valvonta rikosteknisessä analyysissä ja haittaohjelmien metsästyksessä

Sysinternalsin työkalut loistavat erityisesti silloin, kun epäilemme, että järjestelmää on vaarannettu, ja haluamme selvittää asian. Mitä prosesseja haittaohjelma käyttää ja miten ne ovat vuorovaikutuksessa järjestelmän kanssa?Kyse ei ole aina todisteiden keräämisestä oikeudenkäyntiä varten; usein haluamme vain ymmärtää välittömästi, mitä koneessa tapahtuu, jotta voimme toimia nopeasti.

Ensimmäinen vaihe on yleensä varmistaa, että Sysinternals-ohjelmistopaketti on asennettu tai saatavilla joko paikallisesti ladattavana tiedostona tai Sysinternals Liven kautta. Kun se on saatavilla, löydät suoritettavat tiedostot, kuten Process Explorer (procexp.exe) ja Process Monitor (procmon.exe), asianmukaisesta kansiosta, valmiina käynnistettäviksi ilman monimutkaisia ​​asennuksia.

Prosessienhallinnan avulla voit nähdä Kaikki aktiiviset prosessit ja säikeet, niiden suorittimen ja muistin käyttö, PID, kuvaus ja yritysJos epäilet tartuntaa, näet usein selkeitä merkkejä: prosesseja, joilla on outoja nimiä, epätavallisia sijainteja, allekirjoittamattomia suoritettavia tiedostoja tai suoritettavia tiedostoja, jotka ovat riippuvaisia ​​epäilyttävistä vanhemmista.

Oikeuslääketieteellisessä kontekstissa Process Explorerista tulee yksi Sysinternalsin arvokkaimmista työkaluista. Voit esimerkiksi analysoida tietyn prosessin, kuten selainlaajennuksen (Flash oli aikoinaan tyypillinen hyökkäysten kohde), jonka epäilet vaarantuneen. Avaamalla sen ominaisuudet näet paneelin, jossa on lukuisia tietoosioita: suoritettavan tiedoston polku, käynnistyskomennot, resurssien kulutus, ladatut moduulit, käyttöoikeudet jne.

Käyttöoikeudet-välilehdeltä voit tarkistaa kenellä on pääsy kyseiseen prosessiinJos odotettujen tilien (järjestelmä, paikallinen käyttäjä, vakiopalvelut) lisäksi näet tuntemattomia tai outoja tilejä, se voi olla merkki manipuloinnista tai ilkivaltaisesta jatkuvuudesta.

Toinen tärkeä ominaisuus on Merkkijonot-välilehti, jonka avulla poimi kaikki prosessiin upotetut ASCII-merkkijonotNäitä voivat olla kehittäjien jättämät kommentit, tiedostopolut, verkko-osoitteet, komennot, virheilmoitukset ja muut tiedot, jotka ovat erittäin hyödyllisiä analysoidun binääritiedoston käyttäytymisen profiloinnissa.

Process Monitor täydentää tätä analyysia antamalla sinun nähdä yksityiskohtaisesti jokainen toiminto, jonka prosessi suorittaa tiedostoille, rekisterille ja verkolleVoit suodattaa jäljityksen keskittyäksesi epäilyttävään prosessiin ja tarkkaillaksesi, mitä näppäimiä se koskee, mitä tiedostoja se lukee tai kirjoittaa ja mitä virheitä se palauttaa. Usein molempien työkalujen yhdistäminen antaa riittävän selkeän kuvan haittaohjelman hyökkäysvektorin tai pysyvyysmenetelmän tunnistamiseksi.

Prosessien hallinta yksityiskohtaisesti: asennus, käyttö ja symbolit

Process Explorerin asentaminen on helppoa: yksinkertaisesti suorita procexp.exe-tiedostoKoska se on kannettava apuohjelma, se ei vaadi asennustoimintoa eikä muokkaa järjestelmää aggressiivisesti. Sisäänrakennettu ohjetiedosto selittää vaihtoehdot ja käyttötilat huomattavan yksityiskohtaisesti.

Jos kohtaat kysymyksiä tai ongelmia Process Explorerin kanssa, Microsoft ylläpitää erityistä osiota alustallaan. Kysymyksiä ja vastauksia (Microsoftin kysymykset ja vastaukset) omistettu tälle työkalulle, jossa muut käyttäjät ja asiantuntijat jakavat ratkaisuja, vinkkejä ja todellisia kokemuksia erilaisista käyttötilanteista.

Saadaksesi kaiken irti virheenkorjaustiedoista, Process Explorer voi hyödyntää virheenkorjaussymbolitKun määrität DBGHELP.DLL-tiedoston ja symbolipalvelimen polun (esimerkiksi Microsoftin julkisen palvelimen), on tärkeää, että DBGHELP.DLL-tiedoston sijaintikansio sisältää myös SYMSRV.DLL-tiedoston, joka on näiden palvelimien käytön mahdollistava kirjasto.

SymSrv-dokumentaatio selittää tarkemmin, miten nämä symbolipolut konfiguroidaan ja miten symbolipalvelimien kanssa työskennellään. Oikein konfiguroidut symbolit parantavat huomattavasti kutsupinojen laatua sekä prosesseista ja DLL-tiedostoista näytettäviä sisäisiä tietoja.

Prosessiselaimen päivitys on suhteellisen tiheää. Uudemmissa versioissa, kuten versiossa 16.43, se on edelleen yhteensopiva seuraavien kanssa: Windows 8.1 ja uudemmat asiakasversiot ja Windows Server 2012 ja uudemmat versiot palvelimella. Tämä tekee siitä monipuolisen työkalun, joka sopii sekaympäristöihin, joissa on eri Windows-versioita.

Prosessinvalvonta yksityiskohtaisesti: suodatus, sarakkeet ja käyttöskenaariot

Process Monitor jaetaan myös erillisenä suoritettavana tiedostona. Käynnistyksen jälkeen se alkaa tallentaa tapahtumia lähes välittömästi, joten se on hankkimisen arvoinen. määritä suodattimet ajoissa välttääkseen vaikeasti navigoitavan datameren syntymisen.

Jokainen päänäkymän rivi edustaa tapahtumaa: mikä prosessi sen käynnisti, mihin aikaan, minkä toiminnon se suoritti (tiedoston lukeminen, rekisterin kirjoittaminen, prosessin luonti jne.), millä polulla, minkä tuloksen se palautti ja lisätietoja, kuten kyseisen kutsun erityisparametrit.

Työkalu näyttää suuren määrän tietoa tapahtumaa kohden: prosessin nimi, tarkka aika, koko resurssipolku, tulos ja tarkat tiedotTämä runsas tietomäärä mahdollistaa kaiken diagnosoinnin käyttöoikeusvirheistä väärin määritettyihin polkuihin tai DLL-tiedostoihin, jotka eivät sijaitse oikeilla paikoillaan.

Procmon integroi sarjan edistyneitä suodattimia, joita voit määrittää käytännössä minkä tahansa kentän perusteella yhdistämällä ehtoja loogisiin operaattoreihin. Tämä mahdollistaa esimerkiksi keskittymisen pelkästään käyttöoikeus evätty -virheet, yhden prosessin kirjoitustoiminnoissa tai tietyn rekisteriavaimen lukemisessa.

Haittaohjelmatilanteissa Process Monitor auttaa sinua näkemään Mitä epäilyttävä ohjelma oikein tekee?Tämä loki tallentaa, mihin ohjelma yrittää kirjoittaa, mitä rekisteriavaimia se käyttää tilan ylläpitämiseen käynnistyksen yhteydessä, mitä tiedostoja se lataa tai muokkaa ja mitä virheitä se aiheuttaa järjestelmässä. Kaikki nämä tiedot voidaan tallentaa myöhempää analyysia tai tietoturvahäiriön dokumentointia varten.

Lisäbonuksena symbolipohjaiset säikeiden pinot tarjoavat kontekstia siitä, mikä moduulin tietty funktio aiheutti kunkin tapahtuman, jolloin pääset erittäin tarkkaan yksityiskohtien tasolle tutkiessasi sovelluksen tai järjestelmäkomponentin sisäistä toimintaa.

Muut prosesseihin ja järjestelmiin liittyvät Sysinternals-työkalut

Vaikka Process Explorer ja Process Monitor ovat Windowsin prosessien analysoinnin tähtiä, Sysinternals-ohjelmistopaketti sisältää monia muita apuohjelmia, jotka täydentävät tätä näkymää ja auttavat... diagnostiikka, turvallisuus ja suorituskyky.

Kahva Se on komentoriviltä toimiva kahvojen katseluohjelma, jonka avulla voit listata, mitä järjestelmätiedostoja ja objekteja kukin prosessi käyttää. Se on Process Explorerissa näkyvien kahvojen tietojen konsoliversio, joka on erittäin hyödyllinen komentosarjojen ja automatisoinnin kannalta.

ListDLL -tiedostot Se näyttää myös komentoriviltä, ​​mitkä DLL-tiedostot kukin prosessi on ladannut, mikä on hyödyllistä havaitsemisessa odottamattomia injektoituja moduuleja tai kirjastoja laillisen suoritettavan tiedoston sisällä.

PsList y PsKill, osa PsTools-pakettia, sallii listaa prosessit ja suorita ne loppuun sekä paikallisessa tiimissä että etänä. komentorivityökalut Nämä ovat perusasioita konsolista työskenteleville järjestelmänvalvojille.

Sysmon (Järjestelmänvalvonta) on järjestelmäpalvelu, joka asennuksen jälkeen pysyy aktiivisena uudelleenkäynnistyksen jälkeen ja on tarkoitettu seurata ja tallentaa järjestelmän toimintaa perusteellisestiSe kirjaa prosessien luonnit, verkkoyhteydet, tiedostojen muutokset, prosessien välisen muistin käytön, etäsäikeiden luonnin ja paljon muuta, kaikki samalla integroituen Windowsin tapahtumalokeihin.

Jos haluat tarkastella kaikkia verkkoporttien tapahtumia, TcpView reaaliaikainen luettelo avoimista TCP- ja UDP-yhteyksistä, joka osoittaa paikalliset ja etäosoitteet, yhteyden tilan ja nykyaikaisissa Windows-versioissa omistavan prosessin nimiSe on kuin parannettu Netstat graafisessa muodossa, erinomainen haittaohjelmien tai luvattomien ohjelmistojen aiheuttaman epäilyttävän verkkotoiminnan havaitsemiseen.

Autoruns ja muut Sysinternals-paketin tärkeimmät apuohjelmat

Vaikka tässä keskitytään prosesseihin, Sysinternalsista ei voida puhua mainitsematta työkaluja, jotka, vaikka eivät olekaan puhtaasti prosessikeskeisiä, ovat olennaisia ​​hallinnan kannalta. mikä toimii Windowsissa ja miten.

Autoruns Se on ehdoton viitekehys kaiken tarkasteluun ja hallintaan Se käynnistyy automaattisesti. järjestelmän tai käyttäjäistunnon kanssa. Se on paljon MSConfigia laajempi: se näyttää ohjelmat Käynnistys-kansioissa, Suorita- ja RunOnce-rekisteriavaimissa, automaattisissa käynnistyspalveluissa, Resurssienhallinnan liittymälaajennuksissa, työkaluriveissä, selaimen ohjeobjekteissa, Winlogon-ilmoituksissa ja paljon muuta.

Tiedot on järjestetty temaattisiin välilehtiin (Toimisto, tulostimet, Winlogon jne.), joiden avulla voit tarkastella mistä kukin automaattisen käynnistyksen merkintä tuleeJokainen rivi sisältää kenttiä, kuten merkinnän nimen (Autorun Entry), lyhyen kuvauksen, julkaisijan (Publisher), kuvan polun (Image Path), asennuspäivämäärän ja -kellonajan (Timestamp) sekä VirusTotal-analyysin ilmaisimen.

Käyttöliittymässä merkinnät kohdassa Vaaleanpunainen vastaa yleensä tiedostoja, joissa ei ole digitaalista allekirjoitusta. tai allekirjoituksella, jota ei voitu vahvistaa: tämä voi johtua vanhentuneista varmenteista, erittäin vanhoista ohjelmista, vioittuneista tiedostoista tai epäilyttävistä muutoksista. Merkinnät kohdassa Keltainen osoittaa tiedostoja, joita ei enää ole tai joihin työkalu ei pääse käsiksi.Vaikka järjestelmä yrittäisikin ladata niitä käynnistyksen yhteydessä, on näissä tapauksissa suositeltavaa tarkistaa asetukset huolellisesti ennen minkään poistamista, ja varotoimenpiteenä on yleensä viisainta poistaa merkintä sen poistamisen sijaan.

Autoruns mahdollistaa myös vertaa kaappauksia otetaan eri aikoina nähdäkseen, mikä on muuttunut analyysien välillä, mikä on erittäin hyödyllistä ohjelman tai haittaohjelman lisäämien uusien käynnistysmerkintöjen havaitsemiseksi.

Muita suosittuja Sysinternals-työkaluja ovat mm. AccessEnum (listaa tiedosto-, kansio- ja rekisteriavainoikeudet, jotka poikkeavat pääkansiosta) BGIinfo (joka näyttää tekniset järjestelmätiedot suoraan työpöydän taustakuvassa), contig (eheyttääksesi tiettyjä tiedostoja vaikuttamatta koko levyyn) Pöytäkoneet (virtuaalityöpöytiä myös vanhemmissa Windows-versioissa), Levy2vhd (fyysisten levyjen muuntamiseksi VHD-tiedostoiksi virtuaalikoneita varten) ja Lähennä, jota käytetään laajalti teknisissä esityksissä zoomaamiseen ja näytölle piirtämiseen pikanäppäimillä.

Edistyneen hallinnon alalla PsTools Se tarjoaa joukon komentorivityökaluja paikalliseen ja etähallintaan: salasanan vaihto, kirjautuneiden käyttäjien tarkistus, prosessien ja palveluiden hallinta, komentojen etäsuoritus (PsExec) ja järjestelmän sammutus. Monet näistä työkaluista ovat välttämättömiä yritysympäristöissä, joissa useita tietokoneita hallitaan komentoriviltä.

Sysinternals-ekosysteemin viimeaikainen kehitys

Microsoft jatkaa Sysinternalsin ylläpitoa ja laajentamista säännöllisillä päivityksillä. Viime aikoina on tehty merkittäviä parannuksia useisiin työkaluihin, jotka vaikuttavat suoraan tai epäsuorasti prosessi- ja järjestelmäanalyysiin.

Esimerkiksi ZoomIt on saavuttanut version 10.0Se sisältää myös videoleike-editorin tallenteiden leikkaamiseen ennen tallennusta ja tuen järjestelmän äänen tallentamiseen. ZoomIt on myös integroitu Microsoft PowerToys -ohjelmaan, mutta se on edelleen itsenäinen apuohjelma Sysinternalsissa ja siitä tulee avoimen lähdekoodin ohjelma.

Seurannan alalla Sysmon Linuxille Se on jatkuvasti kehittynyt ja sisällyttänyt tapahtumia, kuten EbpfEventin, eBPF-ohjelmien kuormituksen valvontaan, laajentaen Sysinternalsin keskittymistä Windowsin ulkopuolelle Linux-ympäristöihin, mikä on erityisen mielenkiintoista sekaryhmille.

Muita merkittäviä päivityksiä ovat mm. Coreinfo graafisella käyttöliittymällä suorittimen topologioiden, NUMA-muistin ja suorittimen ominaisuuksien visualisointiin; RDCMan parannetulla tietoturvalla ja modernilla etätyöpöytätuella; tai Ctrl2CapTämä työkalu auttaa muuttamaan Caps Lock -näppäimen Ctrl-näppäimeksi Windows 10:ssä ja 11:ssä ilman lisäohjaimia.

Siellä on jopa a Azure DevOps -laajennus joka integroi Sysinternals-työkalut koonti- ja käyttöönottoputkiin helpottaen koonti- ja versio-ongelmien ratkaisemista suoraan CI/CD-ympäristöissä, sekä Linux-sovitettuja ProcDump- ja Sysmon-versioita, jotka tukevat arkkitehtuureja, kuten ARM64.

Yhdessä tämä koko ekosysteemi tarkoittaa, että kun totut työskentelemään Sysinternalsien kanssa, niistä tulee Task Managerin ja PowerToysin erottamattomat kumppanitvarsinkin jos olet kokenut käyttäjä tai hallinnoit useita tietokoneita.

Prosessiselaimen ja prosessien valvonnan yhdistelmä sekä työkalut, kuten Autoruns, Sysmon tai TcpView, mahdollistavat siirtymisen tilanteesta, jossa "jotain on vialla enkä tiedä mikä", tilanteeseen, jossa on erittäin tarkka kuva siitä, mitkä prosessit ovat käynnissä, miten ne ovat vuorovaikutuksessa Windowsin kanssa, mitä resursseja ne käyttävät ja mitä jälkiä ne jättävät.Näiden työkalujen ymmärtäminen ja hallitseminen ei ainoastaan ​​auta ratkaisemaan tiettyjä ongelmia, vaan myös parantaa kykyäsi optimoida palveluita ja suorituskykyä ja pidä järjestelmäsi hallinnassa päivittäin.