ยูทิลิตี้ทำเครื่องหมายว่ารัสซิโนวิช เครื่องมือ Sysinternals Suite รายการยูทิลิตี้ทั้งหมดที่รวมอยู่ใน Sysinternals Suite

Sysinternals Suite เป็นคลังเครื่องมือที่มีประสิทธิภาพฟรีสำหรับการปรับแต่งระบบปฏิบัติการ Windows อย่างละเอียด

สองทศวรรษที่ผ่านมา Mark Russinovich และ Bryce Cogswell ได้ก่อตั้ง บริษัท ชื่อ Winternals Software ในช่วงหลายปีที่ผ่านมาพวกเขาได้พัฒนาไลบรารีของเครื่องมือที่มีประสิทธิภาพสำหรับการปรับแต่งระบบปฏิบัติการทางธุรกิจที่เป็นเรือธงของ Microsoft อย่าง Windows NT

ในปี 2549 Microsoft ได้เข้าซื้อกิจการ บริษัท (และจ้างผู้ก่อตั้งทั้งสองอย่างชาญฉลาด) น่าแปลกที่เครื่องมือใน Sysinternals Suite ยังคงได้รับการอัปเดตอย่างสม่ำเสมอในวันนี้สิบปีต่อมา ไม่น่าแปลกใจเลย - พวกเขายังคงเป็นอิสระอย่างสมบูรณ์

คอลเลกชัน Sysinternals Utilities ที่สมบูรณ์ประกอบด้วยแอปพลิเคชันและเครื่องมือบรรทัดคำสั่งกว่า 70 รายการรวมถึงไฟล์วิธีใช้ที่เกี่ยวข้อง ในหมู่พวกเขากลุ่มเล็ก ๆ ของเครื่องมือขั้นสูงที่จำเป็นสำหรับผู้เชี่ยวชาญด้านไอทีและผู้ใช้ Windows ที่มีประสิทธิภาพ แต่คุณน่าจะมีรายการโปรดของคุณ

มาเน้นที่เครื่องมือ Sysinternals ที่ทรงพลังที่สุดสามตัว ได้แก่ การทำงานอัตโนมัติ, Process Explorer และการตรวจสอบกระบวนการ เครื่องมือเหล่านี้แต่ละอย่างเป็นการปรับปรุงที่คุ้มค่าสำหรับแอปพลิเคชัน Windows ในตัวที่เกี่ยวข้อง ต่อมาเราจะดูบางส่วนที่น่าสนใจที่สุดรวมถึง PsTools และ TCPVIEW พร้อมคำแนะนำเพิ่มเติมเกี่ยวกับสิ่งอื่นที่อาจเป็นประโยชน์

แน่นอนคุณสามารถเยี่ยมชมหน้า Windows Sysinternals ได้ที่ https://technet.microsoft.com/sysinternals และใช้ดัชนีตามตัวอักษรของยูทิลิตี้เลือกเฉพาะเครื่องมือที่คุณต้องการ สำหรับแนวทางที่แม่นยำกว่าเล็กน้อยให้ลองใช้หกหมวดหมู่แยกกัน ได้แก่ ไฟล์และดิสก์เครือข่ายกระบวนการความปลอดภัยข้อมูลระบบและอื่น ๆ

แต่การดาวน์โหลดชุด Sysinternals ทั้งหมดนั้นง่ายกว่ามาก ( https://technet.microsoft.com/sysinternals/bb842062) และแตกไฟล์ลงในโฟลเดอร์ของตัวเอง

เพื่อเป็นทางเลือกที่สะดวกในการประหยัดเนื้อที่ดิสก์และตรวจสอบให้แน่ใจว่าคุณวางแผนที่จะใช้ยูทิลิตี้ล่าสุดให้ใช้ Sysinternals Live บน https://live.sysinternals.comคุณจะพบรายการเครื่องมือและไฟล์สนับสนุนทั้งหมด หากคุณทราบชื่อของเครื่องมือที่คุณต้องการคุณสามารถป้อนเส้นทางนี้ได้ที่หรือในบรรทัดคำสั่งเช่น https://live.sysinternals.com/ หรือ \\\\ live.sysinternals.com \\ tools \\ ... (คำแนะนำ: บันทึกรายการโปรดของคุณเพื่อการเข้าถึงอย่างรวดเร็วเป็นทางลัดของเว็บ)

Sysinternals Live ช่วยให้คุณสามารถเปิดใช้งานเครื่องมือแต่ละเวอร์ชันล่าสุดในคอลเลคชันได้ด้วยคลิกเดียว

เครื่องมือของ Sysinternals บางตัวมีสภาพสมบูรณ์และมีอินเทอร์เฟซแบบกราฟิกที่โดดเด่น อื่น ๆ ได้รับการออกแบบมาให้เรียกใช้แบบโต้ตอบจากบรรทัดคำสั่งหรือผ่านสคริปต์

การกำหนดค่า Sysinternals Suite เพื่อเรียกใช้จากทุกที่

ลองดูเคล็ดลับสองสามข้อ หากคุณดาวน์โหลด Sysinternals Suite ทั้งหมดคุณอาจต้องการเรียกใช้คำสั่งของคุณจากทุกที่: เรียกใช้กล่องโต้ตอบหน้าต่างพรอมต์คำสั่งหน้าต่างค้นหา หากคุณเพิ่มโฟลเดอร์ Sysinternals ลงในตัวแปรสภาพแวดล้อม "Path" คุณสามารถทำได้ ซึ่งจะทำให้คุณมีโอกาสได้เห็นอินเทอร์เฟซ Windows 10 เวอร์ชันปรับปรุงอย่างมีนัยสำคัญสำหรับการแก้ไขตัวแปรสภาพแวดล้อมนี้และอื่น ๆ

ในการเริ่มต้นให้ป้อน“ สิ่งแวดล้อม / สิ่งแวดล้อม” ในช่องค้นหาจากนั้นในรายการผลลัพธ์ให้คลิกปุ่ม“ แก้ไขตัวแปรสภาพแวดล้อมระบบ” ในกล่องโต้ตอบ Environment Variables คลิกที่ Environment Variables เลือกเส้นทางและคลิกปุ่ม Edit กล่องโต้ตอบต่อไปนี้จะปรากฏขึ้น หากคุณเคยพยายามแก้ไขตัวแปร Path ใน Windows เวอร์ชันก่อนหน้าคุณจะประทับใจว่ากล่องโต้ตอบนี้ง่ายกว่าเมื่อเทียบกับรุ่นก่อน ๆ

หากคุณแตกไฟล์ลงในโฟลเดอร์ชื่อ SysinternalsSuite ในไดเร็กทอรีรากของไดรฟ์ C สิ่งที่คุณต้องทำคือคลิกปุ่มใหม่ค้นหาโฟลเดอร์นี้แล้วคลิกเพื่อระบุเส้นทางแบบเต็ม ทำเช่นเดียวกันเพื่อระบุเส้นทางแบบเต็มไปยังตำแหน่งที่คุณบันทึกไฟล์ จากนั้นคลิกตกลงสองครั้งเพื่อบันทึกการเปลี่ยนแปลงของคุณ ตอนนี้คุณสามารถป้อนคำสั่ง Sysinternals เช่น "Autoruns" เพื่อเรียกใช้เครื่องมือนี้โดยไม่ต้องระบุตำแหน่งเต็ม

ตัวเลือกบางอย่างใน Sysinternals Suite ไม่ได้ถูกสร้างขึ้นเท่ากัน บางส่วนถูกเขียนขึ้นอย่างชัดเจนสำหรับยุคที่แตกต่างกันและมีส่วนเกี่ยวข้องกับ Windows เวอร์ชันเดสก์ท็อปล่าสุดหรือเวอร์ชันเซิร์ฟเวอร์สมัยใหม่เพียงเล็กน้อย นอกจากนี้เครื่องมือบางอย่างที่ยังมีประโยชน์ยังถูกแทนที่ด้วยฟังก์ชันในตัว ตัวอย่างเช่นด้วยแอปพลิเคชัน "เดสก์ท็อป" คุณสามารถสร้างไฟล์เสมือนได้ถึงสี่ตัวและกำหนดปุ่มลัดให้กับแต่ละปุ่ม การเพิ่มเดสก์ท็อปเสมือนเป็นคุณสมบัติในตัวใน Windows 10 ทำให้ทางเลือก Sysinternals มีความจำเป็นน้อยลงมาก

เบาะแสที่ดีที่สุดในการทำความเข้าใจว่าโปรแกรมใดสมควรได้รับความสนใจอย่างใกล้ชิดคือฟิลด์ Created Date เปลี่ยนเป็นมุมมองรายการใน Explorer เพิ่มฟิลด์วันที่สร้างจากนั้นจัดเรียงตามข้อมูลนั้น ในรายการนี้คุณจะพบเครื่องหมายวันที่และเวลาตั้งแต่ปี 2542 เป็นต้นไป โปรแกรม Sysinternals ที่มีประโยชน์ที่สุดจะได้รับการอัปเดตเป็นประจำและแสดงที่ด้านบนสุดของรายการ

ในช่วงหลายปีที่ผ่านมาการจัดการโปรแกรมที่เริ่มทำงานโดยอัตโนมัติเมื่อคุณเปิดระบบ Windows ของคุณค่อยๆดีขึ้น การเพิ่มล่าสุดในกล่องเครื่องมือ Windows แท็บเริ่มต้นใน

แต่เครื่องมือในตัวไม่สามารถจับคู่การทำงานอัตโนมัติได้ซึ่งถือว่าเป็น "เครื่องมือที่สมบูรณ์ที่สุดสำหรับการดูและจัดการการเริ่มอัตโนมัติบน Windows"

ซึ่งแตกต่างจากตัวจัดการงานซึ่ง จำกัด เฉพาะรายการตำแหน่งที่พบบ่อยที่สุดการทำงานอัตโนมัติจะแสดงรายการตำแหน่งทั้งหมดในรีจิสทรีในงานที่กำหนดเวลาไว้ ฯลฯ นั่นคือที่ใดก็ตามที่แอปพลิเคชันสามารถกำหนดค่าให้เปิดโดยอัตโนมัติได้ เมื่อใช้ตัวจัดการงานคุณสามารถปิดใช้งานรายการใด ๆ ที่อยู่ในแท็บเริ่มต้นชั่วคราว และการทำงานอัตโนมัติยังทำให้สามารถลบรายการนี้ได้โดยไม่ทำให้รีจิสทรีเสียหาย

บางครั้งอาจเป็นเกือบตลอดเวลารายการเหล่านี้มีประโยชน์รวมถึงงานต่างๆเช่นการตรวจสอบการอัปเดตความปลอดภัยและการดำเนินการซิงโครไนซ์ขั้นพื้นฐาน แต่บางระเบียนใช้ทรัพยากรที่ใช้ในการเริ่มต้นระบบ

แท็บทุกอย่างจะแสดงไฟล์ไดรเวอร์บริการงานตามกำหนดเวลาและรายการอื่น ๆ ที่ทำงานโดยอัตโนมัติเมื่อเปิดเครื่องหรือเข้าสู่ระบบ

แต่ละบรรทัดประกอบด้วยชื่อของรายการเริ่มต้นผู้เผยแพร่และคำอธิบายของไฟล์ปฏิบัติการและ DLL เส้นทางไปยังไฟล์ที่ดำเนินการเมื่อเปิดใช้องค์ประกอบและไอคอน ยกเลิกการเลือกช่องทางด้านซ้ายของรายการและปิดใช้งานชั่วคราว แผงด้านล่างจะแสดงข้อมูลเกี่ยวกับการเลือกปัจจุบันรวมถึงบรรทัดคำสั่งแบบเต็ม

การทำงานอัตโนมัติรหัสสีหมายถึงอะไร

การเข้ารหัสสีของรายการในการทำงานอัตโนมัติอาจทำให้หงุดหงิดในตอนแรกโดยเฉพาะอย่างยิ่งเนื่องจากไม่มีการบันทึกไว้ที่ใดก็ได้ แต่ละหัวเรื่องที่ระบุตำแหน่งของข้อมูลที่จัดเก็บในการทำงานอัตโนมัติจะถูกแรเงาด้วยสีม่วงอ่อน แถวที่เลือกในปัจจุบันจะเน้นด้วยสีน้ำเงินเข้ม บรรทัดที่เน้นด้วยสีแดงจะเชื่อมโยงกับไฟล์ที่มีฟิลด์คำอธิบายและผู้เผยแพร่ว่างเปล่า การเติมด้วยสีเหลืองหมายความว่าไม่พบจุดเริ่มต้นอัตโนมัติในไฟล์นี้

หากคุณแน่ใจว่ามีเพียงเส้นสีเหลืองปรากฏขึ้นเนื่องจากหลังจากถอนการติดตั้งโปรแกรมแล้วข้อมูลยังไม่ถูกล้างอย่างเหมาะสมคุณสามารถลบได้โดยใช้ Autoruns สำหรับเส้นสีแดง: เลือกเส้นที่ต้องการคลิกขวาแล้วตรวจสอบภาพในเมนูบริบท หากใบรับรองการเซ็นชื่อรหัสของไฟล์เชื่อถือได้ข้อความในคอลัมน์ "ผู้เผยแพร่" จะเปลี่ยนเป็น (ยืนยันแล้ว) ตามด้วยชื่อของผู้ออกใบรับรองการเซ็นชื่อรหัส หากไฟล์ไม่ได้ลงนามหรือการตรวจสอบล้มเหลวด้วยเหตุผลอื่นข้อความจะเปลี่ยนเป็น (ไม่ได้รับการยืนยัน)

ดังที่ได้กล่าวไว้ก่อนหน้านี้รายการ Autoruns สามารถครอบงำได้ วิธีหนึ่งในการลดระดับเสียงรบกวนคือคลิกที่เมนูตัวเลือกและเลือกซ่อนการบันทึกของ Microsoft ตัวเลือกนี้จะช่วยให้ตรวจจับซอฟต์แวร์ของบุคคลที่สามที่อาจมีปัญหารวมถึงมัลแวร์ได้ง่ายขึ้น

ใช้การตั้งค่านี้เพื่อซ่อนระเบียนของ Microsoft และลดจำนวนระเบียนที่สแกนเมื่อค้นหาซอฟต์แวร์ของ บริษัท อื่นที่อาจเป็นปัญหา

คลิกขวาที่รายการใดก็ได้บนแท็บใดก็ได้ใน Autoruns และดูรายการตัวเลือกสำหรับรายการนั้น ตัวอย่างเช่นตัวเลือก "ไปที่รายการ" จะย้ายไปยังโฟลเดอร์หรือคีย์รีจิสทรีที่มีรายการนี้อยู่ ตัวเลือกไปที่รูปภาพจะเปิด File Explorer และแสดงไฟล์ที่กำหนดให้ทำงานโดยอัตโนมัติ

หากคุณเห็นรายการที่ไม่คุ้นเคยในรายการการทำงานอัตโนมัติให้คลิกขวาที่รายการเพื่อดูพารามิเตอร์และสำรวจเพิ่มเติม

โปรดทราบว่าตัวเลือกต่างๆในรายการนี้ต้องการสิทธิ์ระดับผู้ดูแลระบบรวมถึงความสามารถในการลบรายการออกจากรีจิสทรี หากคุณเรียกใช้ Autoruns โดยไม่มีระดับความสูงคุณจะเห็นกล่องโต้ตอบปฏิเสธการเข้าถึงดังที่แสดงในภาพต่อไปนี้ ในการรีสตาร์ทการทำงานอัตโนมัติและลองอีกครั้งให้ใช้ Run as Administrator

ความสนใจ... วิธีที่ชาญฉลาดที่สุดในการปิดใช้งานรายการในการทำงานอัตโนมัติคือยกเลิกการเลือกช่องทางด้านซ้ายของรายการนั้น เมื่อคุณแน่ใจแล้วว่าการเปลี่ยนแปลงที่คุณทำไม่มีผลข้างเคียงเชิงลบในระยะยาวคุณสามารถลบออกได้

& nbsp & nbsp Sysinternals Tools เป็นชุดโปรแกรมฟรีสำหรับการจัดการและตรวจสอบคอมพิวเตอร์ภายใต้ระบบปฏิบัติการ Windows โปรแกรม Sysinternals (Winternals) ได้รับการพัฒนาโดย Winternals Software LP นำโดยนักพัฒนาสองคน - Mark Russinovich และ Bryce Cogswell ในเดือนกรกฎาคม 2549 Microsoft ได้เข้าซื้อ Winternals Software LP และผลิตภัณฑ์ทั้งหมด ขณะนี้เว็บไซต์ Sysinternals ได้ย้ายไปที่ Microsoft Web Portal และกลายเป็นส่วนหนึ่งของ Microsoft TechNet ตอนนี้ Microsoft Technet มีส่วน Windows Sysinternals ที่คุณสามารถดาวน์โหลดยูทิลิตี้ครบชุดได้ สูท Sysinternals ในรูปแบบของไฟล์เก็บถาวรหรือแยกยูทิลิตี้ออกจากองค์ประกอบ

ปัจจุบันชุดเครื่องมือ Windows Sysinternals สามารถใช้งานได้โดยไม่ต้องดาวน์โหลดลงในเครื่องคอมพิวเตอร์ด้วยความสามารถในการแบ่งปันทรัพยากร Sysinternals Live ซึ่งสามารถแมปเป็นไดรฟ์เครือข่ายซึ่งกำหนดไว้เช่นตัวอักษร R:

ใช้สุทธิ R: \\\\ live.sysinternals.com \\ tools

แน่นอนว่าด้วยไดรฟ์เครือข่ายอัตราแลกเปลี่ยนข้อมูลจะต่ำกว่าโลคัลมาก แต่คุณสามารถใช้งานได้โดยไม่มีปัญหาใด ๆ เช่นเดียวกับไดรฟ์ในระบบทั่วไปรวมถึงในบรรทัดคำสั่ง ตัวอย่างเช่นคำสั่ง

เริ่ม R: \\ autoruns.exe

ยูทิลิตี้ autoruns.exe สามารถเปิดได้ในหน้าต่างแยกต่างหาก ดังนั้นจากทุกที่ที่มีการเข้าถึงอินเทอร์เน็ตคุณสามารถใช้ประโยชน์จากชุดเครื่องมือที่ใช้งานได้และมีประสิทธิภาพสูงสุดสำหรับ Windows - Sysinternals Suite

& nbsp & nbsp ยูทิลิตี้ Sysinternals Suite ส่วนใหญ่ต้องการสิทธิ์ระดับผู้ดูแลระบบเพื่อให้สามารถใช้งานได้อย่างสมบูรณ์ สำหรับระบบปฏิบัติการของตระกูล Windows 2000 / XP นั้นเพียงพอแล้วที่ผู้ใช้จะทำงานภายใต้บัญชีของสมาชิกของกลุ่มผู้ดูแลระบบ ในสภาพแวดล้อมระบบปฏิบัติการ Widows Vista / Windows 7 ยูทิลิตี้ต้องเปิดใช้โดยใช้รายการเมนูบริบท "Run as administrator" ไฟล์แบตช์ที่ใช้ยูทิลิตี้บรรทัดคำสั่งต้องทำงานภายใต้บริบทของบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ

แพ็คเกจ Sysinternals Suite รวมถึงยูทิลิตี้ขนาดเล็กจำนวนมากทั้งคอนโซลและอินเทอร์เฟซแบบกราฟิกซึ่งส่วนใหญ่เป็นที่รู้จักกันอย่างแพร่หลายในหมู่ผู้ดูแลระบบและผู้ใช้ขั้นสูง - แพ็คเกจซอฟต์แวร์ PSTools, ยูทิลิตี้การตรวจสอบกระบวนการตรวจสอบ, การทำงานอัตโนมัติ, Process Explorer, RootkitRevealer anti-rootkit เป็นต้น หลายคนได้รับการพิจารณาในบทความแยกต่างหากลิงก์ที่สามารถพบได้ในหน้าหลักของไซต์ในส่วน Windows ... Sysinternals Suite ได้รับการอัปเดตปีละหลายครั้งองค์ประกอบอาจเปลี่ยนแปลง - เวอร์ชันของโปรแกรมมีการเปลี่ยนแปลงโปรแกรมอรรถประโยชน์บางอย่างถูกลบออกบางส่วนถูกเพิ่มเข้ามา แต่ชุดหลักมีมานานกว่าสิบปีซึ่งบ่งบอกถึงความเกี่ยวข้องระหว่างผู้ดูแลระบบ และผู้ใช้ระบบปฏิบัติการ Windows อย่างรู้หนังสือ พารามิเตอร์บรรทัดคำสั่งของยูทิลิตี้คอนโซลและอินเทอร์เฟซผู้ใช้แบบกราฟิกสำหรับโปรแกรมส่วนใหญ่มีความคล้ายคลึงกันมากซึ่งช่วยอำนวยความสะดวกในการใช้งานจริง

AccessChk

Accesschk - ยูทิลิตี้คอนโซลสำหรับดูสิทธิ์การเข้าถึงไฟล์ไดเรกทอรีคีย์และรีจิสตรีคีย์กระบวนการและเธรดของผู้ใช้

accesschk -u user1 -c MpsSvc -v - แสดงสิทธิ์ของผู้ใช้ ผู้ใช้ 1 ที่เกี่ยวข้องกับการบริการ MpsSvc (ไฟร์วอลล์ Windows 7 ขอเตือนว่าใน Windows Vista / Windows 7 ยูทิลิตี้ Accesschk จะต้องทำงานในฐานะผู้ดูแลระบบ) สำคัญ -v หมายถึงผลลัพธ์ที่ละเอียดของผลลัพธ์ หากไม่ได้ระบุคีย์นี้สิทธิ์ของผู้ใช้จะถูกระบุด้วยสัญลักษณ์ ร (อ่านและ ว (เขียน). แสดง ร หมายถึงสิทธิ์ในการดูสถานะ (Query_Status) การกำหนดค่า (Query_Config) และเริ่ม (Service_Start) ของบริการ ว หมายความว่าคุณมีสิทธิ์ที่จะเปลี่ยนแปลงการกำหนดค่าและสถานะของบริการ การรวมกัน RW หมายความว่าคุณสามารถเข้าถึงการดำเนินการที่ถูกต้องกับบริการได้ (Service_All_Access) หากได้รับคีย์ -v จากนั้นแทนสัญลักษณ์ ร และ วR แสดงคำอธิบายของสิทธิ์การเข้าถึงเช่น Service_All_Access - อนุญาตการเข้าถึงแบบเต็ม

accesschk -c MpsSvc -w -v - แสดงรายการบัญชีที่มีสิทธิ์การเข้าถึงแบบเต็ม (-w เปลี่ยน) ไปยังบริการ MpsSvc.

accesschk -u user1 -c * -w -v - แสดงรายการบริการที่ผู้ใช้ 1 สามารถเข้าถึงได้โดยสมบูรณ์

accesschk -u user1 -k hklm \\ security - แสดงสิทธิ์การเข้าถึงของ user1 ไปยังส่วนย่อยของส่วน HKLM \\ SECURITY รีจิสทรี

accesschk -u user1 -k hklm \\ security -d - สวิตช์ -d หมายถึงการประมวลผลเฉพาะระดับบนสุด (ไดเร็กทอรีระบบไฟล์หรือคีย์รีจิสทรี)

accesschk -u user1 C: \\ Users -d - แสดงสิทธิ์ของผู้ใช้ user1 ที่สัมพันธ์กับไดเร็กทอรี C: \\ Users

accesschk -u user1 C: \\ Users - แสดงสิทธิ์ของผู้ใช้ user1 ที่สัมพันธ์กับไดเร็กทอรีย่อยของไดเร็กทอรี C: \\ Users

accesschk C: \\ Users -w - แสดงรายการบัญชีที่สามารถเข้าถึงไดเร็กทอรี C: \\ Users

accesschk -u user1 -p wininit -v - แสดงสิทธิ์ของผู้ใช้ user1 ที่เกี่ยวข้องกับกระบวนการ วินิจ

น่าเสียดายที่ยูทิลิตี accesschk ไม่ทราบว่า (อย่างน้อยในขณะที่เขียนนี้ก็ไม่รู้ว่าจะทำงานอย่างไร) กับชื่อบัญชีบริการและไดเรกทอรีที่มีอักขระภาษารัสเซีย

AccessEnum

AccessEnum - ยูทิลิตี้สำหรับดูสิทธิ์ของบัญชีที่เกี่ยวข้องกับองค์ประกอบของระบบไฟล์และรีจิสทรีของ Windows

CacheSet

ยูทิลิตี้ CacheSet เป็นแอปพลิเคชันที่ให้คุณจัดการพารามิเตอร์ Working Set ของแคชไฟล์ระบบ ใช้เพื่อเลือกพารามิเตอร์ที่เหมาะสมและเพิ่มความเร็วและความเสถียรของพีซี ด้วยการเปลี่ยนค่าต่ำสุดและสูงสุดสำหรับขนาดของแคชที่ใช้งานได้คุณสามารถเพิ่มประสิทธิภาพของระบบได้บางส่วน

การตั้งค่าใหม่ต่ำสุดและสูงสุดเกิดขึ้นโดยการกดปุ่ม สมัคร... ปุ่ม รีเซ็ต อนุญาตให้คุณส่งคืนค่าของขนาดแคชต่ำสุดและสูงสุดที่กำหนดไว้ในขณะที่ยูทิลิตีเริ่มทำงาน

Contig

Contig - ยูทิลิตี้บรรทัดคำสั่งเพื่อเพิ่มประสิทธิภาพของระบบโดยการจัดเรียงไฟล์แต่ละไฟล์ที่ใช้บ่อย สะดวกในการใช้สำหรับการจัดเรียงข้อมูลไฟล์เครื่องเสมือนภาพ ISO บนแฟลชไดรฟ์ที่สามารถบู๊ตได้โดยใช้โปรแกรมโหลดบูต ด้วงซึ่งอาจต้องใช้ไฟล์ภาพที่ไม่แยกส่วนเพื่อจัดเรียงข้อมูลบางไฟล์ที่มักอ่านจากดิสก์

Contig.exe /? - ออกความช่วยเหลือในการใช้ยูทิลิตี้

Contig.exe -a E: \\ SonyaLiveCD.iso - เพื่อวิเคราะห์การแยกส่วนของไฟล์ E: \\ SonyaLiveCD_15.10.2010.iso

Contig.exe E: \\ SonyaLiveCD_15.10.2010.iso - จัดเรียงไฟล์ที่ระบุ

Contig.exe -a -s C: \\ windows \\ *. exe - วิเคราะห์ไฟล์ทั้งหมดที่มีนามสกุล exe ในไดเร็กทอรี C: \\ Windows และไดเร็กทอรีย่อย (คีย์ - ส)

Contig.exe C: \\ windows \\ system32 \\ *. exe - จัดเรียงไฟล์ทั้งหมดที่มีนามสกุล exe ในไดเร็กทอรีระบบ C: \\ Windows \\ System32

การปรับปรุงประสิทธิภาพของระบบด้วยการใช้งานตามเป้าหมาย Contig.exe โดยทั่วไปสูงกว่าสิ่งที่สามารถหาได้โดยใช้เครื่องมือจัดเรียงข้อมูลมาตรฐานของ Windows

Disk2vhd

ยูทิลิตี้ Disk2vhd ใช้เพื่อสร้างฮาร์ดดิสก์เสมือนในรูปแบบ VHD ของเครื่องเสมือนของ Microsoft (Virtual Hard Disk - รูปแบบดิสก์ Virtual Machine ของ Microsoft) โดยอาศัยข้อมูลจากฟิสิคัลดิสก์ของเครื่องจริงการดำเนินการเพื่อสร้างดิสก์เครื่องเสมือน สามารถดำเนินการได้โดยตรงในสภาพแวดล้อมของระบบปฏิบัติการที่รันอยู่ Disk2vhd ช่วยให้คุณสามารถเลือกโลจิคัลไดรฟ์ของคอมพิวเตอร์จริงเพื่อแปลงและแปลงเป็นดิสก์เสมือนที่สามารถใช้เพื่อทำงานในสภาพแวดล้อมเครื่องเสมือน Microsoft Virtual PC

DiskMon

DiskMon - ช่วยให้คุณตรวจสอบการทำงานของ I / O สำหรับฮาร์ดไดรฟ์ในสภาพแวดล้อมระบบปฏิบัติการของตระกูล Windows โปรแกรมนี้ยังสามารถใช้เป็นตัวบ่งชี้ซอฟต์แวร์ในการเข้าถึงฮาร์ดดิสก์ - ในสถานะย่อเล็กสุดไอคอนบนแถบงานจะแสดงเป็นสีเขียวเมื่ออ่านจากดิสก์และเป็นสีแดงเมื่อเขียน

หน้าต่างหลักของโปรแกรมจะแสดงหมายเลขดิสก์ในระบบ (คอลัมน์ดิสก์) ประเภทของการดำเนินการ (คอลัมน์ Requst) จำนวนเซกเตอร์บนดิสก์ที่ถูกเข้าถึง (คอลัมน์ Sector) และขนาดของฟิลด์ข้อมูล (คอลัมน์ Lenth). หากคุณต้องการกำหนดว่าไฟล์ที่เป็นเซ็กเตอร์ที่มีหมายเลขใดเกี่ยวข้องคุณสามารถใช้ยูทิลิตี้คอนโซล NFI.EXE (NTFS File Sector Information Utility) จากแพ็คเกจ Support Tools ของ Microsoft
รูปแบบบรรทัดคำสั่ง
หมายเลข nfi.exe Disk Sector
nfi.exe C: 655234 - แสดงชื่อของไฟล์ที่เป็นเจ้าของเซ็กเตอร์ 655234
nfi.exe C: 0xBF5E34 - เหมือนกัน แต่หมายเลขเซกเตอร์ถูกระบุไว้ในสัญกรณ์ฐานสิบหก
อันเป็นผลมาจากการดำเนินการคำสั่งข้อความจะปรากฏขึ้น

*** ภาคลอจิก 12541492 (0xbf5e34) บนไดรฟ์ C อยู่ในไฟล์หมายเลข 49502
\\ WINDOWS \\ system32 \\ D3DCompiler_38.dll

เหล่านั้น. ภาคที่เราสนใจเป็นของไฟล์ D3DCompiler_38.dll ในไดเร็กทอรี Windows \\ system32

DiskView

โปรแกรม DiskView ช่วยให้คุณได้รับแผนที่กราฟิกของการใช้พื้นที่ดิสก์:

การเลือกดิสก์สำหรับการดูจะดำเนินการในฟิลด์ ปริมาณ ด้านล่างของหน้าต่างโปรแกรม หลังจากเลือกแผ่นดิสก์แล้วกดปุ่ม รีเฟรช โปรแกรมจะสแกนและแสดงแผนที่ตำแหน่งของไฟล์และไดเร็กทอรี หน้าต่างด้านล่างจะแสดงประเภทของตำแหน่งข้อมูลที่สัมพันธ์กับจุดเริ่มต้นของดิสก์ สีของพื้นที่สอดคล้องกับคุณลักษณะเฉพาะของกลุ่มคลัสเตอร์ที่แสดง หากต้องการความช่วยเหลือเกี่ยวกับการเข้ารหัสสีให้ใช้เมนู ช่วย - ตำนาน ... ...:

คลัสเตอร์แรกของแฟรกเมนต์ - สีของคลัสเตอร์เริ่มต้นในโซ่
คลัสเตอร์ไฟล์ที่ต่อเนื่องกัน - คลัสเตอร์เป็นของไฟล์ที่อยู่ติดกัน (ไม่แยกส่วน)
คลัสเตอร์ไฟล์ Ftagmented - คลัสเตอร์เป็นของไฟล์ที่แยกส่วน
คลัสเตอร์ไฟล์ระบบ - คลัสเตอร์เป็นของไฟล์ระบบ
คลัสเตอร์ที่ไม่ได้ใช้ - คลัสเตอร์เป็นของพื้นที่ว่าง
คลัสเตอร์ที่ไม่ได้ใช้ในโซน MFT - คลัสเตอร์ฟรีในพื้นที่ MFT ของสารบัญดิสก์
คลัสเตอร์ไฟล์ที่เน้นผู้ใช้ - คลัสเตอร์เป็นของไฟล์ที่ผู้ใช้เลือก

หน้าต่างด้านบนจะแสดงแผนที่รายละเอียดเพิ่มเติมของตำแหน่งข้อมูล แถบเลื่อนช่วยให้คุณสามารถเลือกพื้นที่แสดงผล การเลือกจุดใด ๆ ของพื้นที่ดิสก์โดยตัวชี้ในหน้าต่างด้านล่างจะทำให้การแสดงแผนที่คลัสเตอร์สำหรับส่วนที่เลือกของระบบไฟล์ในหน้าต่างด้านบน หากต้องการเปลี่ยนระดับรายละเอียดของแผนที่ให้ใช้ปุ่ม ซูม ที่ด้านล่างของหน้าต่างโปรแกรมหลัก การคลิกที่แผนที่คลัสเตอร์ในหน้าต่างด้านบนจะแสดงชื่อไฟล์ในช่อง ไฮไลท์ และเน้นกลุ่มของคลัสเตอร์ที่เกี่ยวข้อง ดับเบิลคลิกที่ฟิลด์คลัสเตอร์ที่แสดงในหน้าต่างด้านบนจะแสดงหน้าต่างคุณสมบัติ:

หากต้องการแสดงระดับการใช้งานดิสก์และข้อมูลเกี่ยวกับจำนวนไฟล์และชิ้นส่วนให้ใช้เมนู "ไฟล์" - "สถิติ"

DU

du.exe - ยูทิลิตี้บรรทัดคำสั่งสำหรับกำหนดสถิติการใช้พื้นที่ดิสก์ในไดเร็กทอรีของระบบไฟล์ Windows หากต้องการรับรายการคีย์คุณสามารถเรียกใช้ du.exe โดยไม่มีพารามิเตอร์หรือด้วยพารามิเตอร์ /? ... ตัวอย่างการใช้ยูทิลิตี้:

du.exe C: \\ - แสดงข้อมูลเกี่ยวกับการใช้ไดเร็กทอรีรากของไดรฟ์ C: - จำนวนไฟล์ไดเร็กทอรีย่อยและขนาดของพื้นที่ดิสก์ที่ถูกครอบครอง

FileMon

FileMon (File Monitor) เป็นยูทิลิตี้สำหรับการตรวจสอบกิจกรรมระบบไฟล์ทั้งหมดแบบเรียลไทม์ ช่วยให้คุณกำหนดกระบวนการเข้าถึงไฟล์และไดเร็กทอรีการดำเนินการใดและอ็อบเจ็กต์ใดที่ดำเนินการโดยระบบไฟล์ ยูทิลิตี้ FileMon ถูกแทนที่ด้วยยูทิลิตี้นี้ การตรวจสอบกระบวนการ (ProcMon)... คำอธิบายโดยละเอียดและขั้นตอนการใช้ทั้งสองโปรแกรมมีให้ในบทความแยกกัน:

เมื่อใช้ยูทิลิตี้เหล่านี้คุณสามารถกำหนดรายการทรัพยากรไฟล์ที่แอปพลิเคชันใช้ค้นหาไฟล์การกำหนดค่ากำหนดสาเหตุของข้อขัดข้องหรือปัญหาอื่น ๆ ที่เกี่ยวข้องกับการใช้ไฟล์และไดเรกทอรีของ Windows ได้อย่างง่ายดาย

MoveFile

MoveFile ช่วยให้คุณสามารถลบหรือย้ายไฟล์ได้ในครั้งถัดไปที่คุณรีสตาร์ท Windows ใช้ในกรณีที่ไฟล์ถูกจับโดยแอปพลิเคชันหรือบริการใด ๆ โดยเฉพาะและไม่สามารถลบหรือถ่ายโอนได้ด้วยวิธีการทั่วไป ตัวอย่างการใช้งาน:

Movefile.exe "C: \\ Documents And Settings \\ user \\ Local Settings \\ TEMP \\ svchost.exe" C: \\ virus \\ svchost.ex_

การดำเนินการถ่ายโอนไฟล์นั้นดำเนินการโดย Windows Session Manager (Session Manager SMSS.EXE) ซึ่งในระหว่างกระบวนการบูตระบบจะอ่านคำสั่งการเปลี่ยนชื่อและการลบที่ลงทะเบียนโดยยูทิลิตี้ MoveFile จากคีย์รีจิสทรี
HKLM \\ System \\ CurrentControlSet \\ Control \\ Session Manager \\ PendingFileRenameOperations .
หลังจากการโอนเสร็จสิ้นคีย์รีจิสทรีนี้จะถูกลบ หากต้องการดูการโอนย้ายที่วางแผนโดยยูทิลิตี้ MoveFile คุณสามารถใช้ยูทิลิตี้ PendMoves จาก Sysinternals Suite

PageDefrag (pagedfrg.exe) ได้รับความนิยมเป็นเวลาหลายปีโดยอยู่ในอันดับที่ 4-5 ในบรรดาสาธารณูปโภคจาก Sysinternals ช่วยให้คุณสามารถปรับปรุงประสิทธิภาพของระบบโดยการจัดเรียงไฟล์รีจิสทรี (SYSTEM, SOFTWARE, SAM, SECURITY, ไฟล์ DEFAULT ในไดเร็กทอรี \\ windows \\ system32 \\ config) บันทึกระบบ (ในไดเร็กทอรีเดียวกัน) และไฟล์เพจ (pagefile.sys ).

หลังจากเริ่มต้นยูทิลิตี้จะแสดงรายการไฟล์ที่สามารถประมวลผลได้และระดับของการแตกแฟรกเมนต์

บริการระบบที่สร้างโดยยูทิลิตี้ใช้สำหรับการจัดเรียงข้อมูล pgdfgsvc.exe และเช่นเดียวกับกรณีของยูทิลิตี้ MoveFile, - ตัวจัดการเซสชันของ Windows ( SMSS.EXE (คำย่อของ Session Manager Subsystem Service) - ระบบย่อยสำหรับจัดการเซสชันใน Windows) ตัวจัดการเซสชันประมวลผลคีย์รีจิสทรีระหว่างการบูตระบบ
HKLM \\ SYSTEM \\ CurrentControlSet \\ Control \\ Session Manager \\ BootExecute
คีย์นี้มีข้อมูลเกี่ยวกับโปรแกรมเหล่านั้นที่ต้องดำเนินการโดยตัวจัดการ SMSS.EXE ในระหว่างกระบวนการเริ่มต้นระบบ Windows โดยค่าเริ่มต้นสิ่งเหล่านี้คือตัวตรวจสอบระบบไฟล์ ยูทิลิตี้จะเพิ่มคำสั่งให้กับคีย์นี้เพื่อเริ่มบริการ pgdfgsvc และด้วยเหตุนี้การจัดเรียงข้อมูลของไฟล์ระบบจะดำเนินการก่อนที่จะจำเป็นสำหรับการปรับใช้ระบบ หากจำเป็นคุณสามารถยกเลิกการจัดเรียงข้อมูลเรียกใช้ครั้งเดียวหรือตั้งค่าให้ทำงานทุกครั้งที่บูต Windows

PageDefrag สามารถรันในโหมดคอนโซลได้โดยปรับการตั้งค่าโดยใช้พารามิเตอร์บรรทัดคำสั่ง

pagedefrag [-e | -o | -n] [-t]

-e - การจัดเรียงข้อมูลในทุกการบูต
-o - การจัดเรียงข้อมูลเพียงครั้งเดียว
- น - การยกเลิกการจัดเรียงข้อมูล
-t - นับถอยหลังเป็นวินาทีก่อนเริ่มการจัดเรียงข้อมูล

ตัวอย่าง:

pagedefrag -e -t 10 - ทำการจัดเรียงข้อมูลในทุกการบูตและตั้งค่าโหมดว่างเป็น 10 วินาทีเพื่อยกเลิกการดำเนินการเมื่อผู้ใช้กดปุ่มใด ๆ

ทำการจัดเรียงข้อมูลเพียงครั้งเดียวในการรีบูตระบบครั้งถัดไป

ยกเลิกการจัดเรียงข้อมูลที่กำหนดไว้ก่อนหน้านี้

ยูทิลิตี้ระบบเครือข่าย Sysinternals Suite

ADRestore

ADRestore ช่วยให้คุณสามารถดูรายการวัตถุ Active Directory (AD) ที่ถูกลบและหากจำเป็นให้กู้คืนวัตถุที่เลือก คีย์ใช้เพื่อขอความช่วยเหลือ /? ... เมื่อเรียกใช้โดยไม่มีพารามิเตอร์ยูทิลิตี้จะแสดงรายการวัตถุ AD ที่ถูกทำเครื่องหมายว่าถูกลบ

ตัวอย่าง:

ที่อยู่\u003e C: \\ adodel.txt - แสดงรายการวัตถุโฆษณาทั้งหมดที่ทำเครื่องหมายว่าถูกลบไปยังไฟล์ C: \\ adodel.txt
adrestore.exe laserjet - แสดงรายการของวัตถุโฆษณาที่ถูกลบชื่อซึ่งมีสตริง "laserjet"
adrestore -r
adrestore -r - แสดงรายการวัตถุ AD พร้อมคำขอกู้คืน

ยูทิลิตี้สำหรับตรวจสอบการแลกเปลี่ยนข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์โดยใช้โปรโตคอล LDAP... มีประโยชน์มากในการค้นหาสาเหตุของการทำงานที่ผิดปกติของบริการและแอปพลิเคชันในสภาพแวดล้อม Active Directory การติดตามสิทธิ์การค้นหาสาเหตุของประสิทธิภาพที่ไม่ดีและเพียงแค่สำรวจวิธีการสื่อสารของออบเจ็กต์ AD

มีตัวช่วยภาษาอังกฤษในตัว การคลิกขวาที่บรรทัดเหตุการณ์ช่วยให้คุณสามารถเรียกเมนูบริบทที่ช่วยให้คุณได้รับคำอธิบายสั้น ๆ เกี่ยวกับคุณสมบัติของเหตุการณ์ชื่อและเส้นทางของกระบวนการที่เกี่ยวข้องและไปที่เหตุการณ์ก่อนหน้าหรือถัดไปที่สิ้นสุดลง มีข้อผิดพลาด ข้อมูลจะแสดงในรูปแบบของคอลัมน์ซึ่งสามารถเปลี่ยนแปลงองค์ประกอบได้

ตัวกรองสำหรับการค้นหาและไฮไลต์เหตุการณ์ถูกใช้ในลักษณะเดียวกับในยูทิลิตี้เชลล์กราฟิกของ Sysinternals ส่วนใหญ่ ในการตั้งค่าเริ่มต้นเส้นที่เน้นด้วยสีแดงหมายถึงเหตุการณ์ที่ลงท้ายด้วยข้อผิดพลาด เมนูบริบทยังช่วยให้คุณสามารถเรียกโปรแกรมอื่นจาก Sysinternals Suite ได้โดยตรงจาก ADInsight - Active Directory Explorer ADExplorer ใช้เพื่อดูโครงสร้างข้อมูล AD และมีความคล้ายคลึงกันในด้านความสามารถและส่วนต่อประสานผู้ใช้กับยูทิลิตี้ โฆษณาแก้ไข จาก Microsoft

TCPView

TCPView - เป็นหนึ่งในสิบยูทิลิตี้ยอดนิยมของ Sysinternals Suite ใช้เพื่อแสดงรายการการเชื่อมต่อ TCP และ UDP ทั้งหมดที่สร้างขึ้นในระบบพร้อมข้อมูลโดยละเอียดรวมถึงการบ่งชี้ที่อยู่ภายในและระยะไกลและสถานะของการเชื่อมต่อ TCP บนระบบปฏิบัติการ Windows XP และใหม่กว่า TCPView ยังแสดงชื่อของกระบวนการที่เป็นเจ้าของการเชื่อมต่อนี้ ในแง่หนึ่ง TCPView เป็นส่วนเสริมของยูทิลิตี้มาตรฐานของระบบปฏิบัติการ Windows Netstat.exeแต่นอกเหนือจากการนำเสนอข้อมูลการเชื่อมต่อในรูปแบบที่สะดวกแล้วยังช่วยให้คุณสามารถดำเนินการเพิ่มเติมได้ - เพื่อทำลายการเชื่อมต่อเฉพาะยุติกระบวนการที่สร้างการเชื่อมต่อและกำหนดชื่อของโฮสต์ที่เข้าร่วมในการเชื่อมต่อ

เมนูบริบทที่เรียกใช้โดยปุ่มเมาส์ขวาช่วยให้คุณสามารถดำเนินการบางอย่างกับการเชื่อมต่อที่เลือก:

คุณสมบัติ Procees - แสดงคุณสมบัติของกระบวนการที่เกี่ยวข้องกับการเชื่อมต่อนี้ ชื่อกระบวนการเวอร์ชันชื่อและพา ธ ของไฟล์ปฏิบัติการจะปรากฏขึ้น

สิ้นสุดกระบวนการ - สิ้นสุดกระบวนการที่เกี่ยวข้องกับการเชื่อมต่อนี้

ปิดการเชื่อมต่อ - บังคับยุติการเชื่อมต่อที่เลือก

ไคร - ดำเนินการตามคำขอเพื่อรับข้อมูลเกี่ยวกับโหนดที่เข้าร่วมในการเชื่อมต่อนี้

สำเนา - คัดลอกข้อมูลของบรรทัดนี้ไปยังคลิปบอร์ด

เมื่อใช้เมนูหลักของโปรแกรมคุณสามารถบันทึกข้อมูลในการเชื่อมต่อปัจจุบันทั้งหมดไปยังไฟล์ข้อความ (เมนู ไฟล์ - บันทึก). ในฐานะที่เป็นส่วนหนึ่งของ Sysinternals Suite นอกจากโปรแกรม TCPView แล้วยังมีเวอร์ชันคอนโซล Tcpvcon ด้วยฟังก์ชันการทำงานเดียวกัน

ยูทิลิตี้ Sysinternals Suite สำหรับการวิเคราะห์ข้อมูลกระบวนการ

ยูทิลิตี้สำหรับติดตามจุดที่เปิดโปรแกรมอัตโนมัติ บทความเกี่ยวกับการทำงานอัตโนมัติจะโพสต์ในส่วน "ความปลอดภัย"
- ยูทิลิตี้สำหรับติดตามกิจกรรมของกระบวนการใน Windows (หน่วยความจำตัวประมวลผลการเข้าถึงไฟล์และรีจิสทรีกิจกรรมเครือข่าย ฯลฯ )
- ยูทิลิตี้สำหรับตรวจสอบการใช้ทรัพยากรระบบตามแต่ละกระบวนการ
PSTools เป็นชุดของยูทิลิตี้บรรทัดคำสั่งสำหรับการเรียกใช้แอปพลิเคชันจากระยะไกล (PSExec) การรับรายการกระบวนการบนคอมพิวเตอร์ภายในหรือระยะไกล (PSList) การบังคับให้ทำงานให้เสร็จสิ้น (Pskill) และบริการจัดการ (PSService) นอกจากนี้ PsTools ยังมียูทิลิตี้สำหรับการรีสตาร์ทหรือปิดคอมพิวเตอร์การแสดงเนื้อหาของบันทึกเหตุการณ์การค้นหาผู้ใช้ที่เข้าสู่ระบบเครือข่ายและอื่น ๆ อีกมากมาย

รายการ DLL

รายการ DLL - ยูทิลิตี้บรรทัดคำสั่งสำหรับรับรายการ DLL ที่ใช้โดยแต่ละกระบวนการ เมื่อเรียกใช้โดยไม่มีพารามิเตอร์หน้าจอจะแสดงรายการของกระบวนการทั้งหมดและไลบรารีที่โหลดทั้งหมด คำแนะนำในการใช้ยูทิลิตี้สามารถรับได้โดยใช้คีย์ /? ... รูปแบบบรรทัดคำสั่ง:

listdlls [-r] [-v | -ยู]
หรือ
listdlls [-r] [-v] [-d dllname]

ชื่อกระบวนการ - ชื่อ (หรือส่วนหนึ่งของชื่อ) ของกระบวนการที่คุณต้องการแสดงรายการ DLL ที่โหลด
pid - ตัวระบุกระบวนการที่คุณต้องการแสดงรายการ DLL ที่โหลด
-d dllname คือชื่อของ DLL
- ร แสดง DLL ที่ถูกย้ายเนื่องจากไม่ได้โหลดที่อยู่ฐาน
-ยู - แสดงเฉพาะโมดูลที่ไม่ได้ลงนามแบบดิจิทัล
-v - แสดงเวอร์ชันของ DLL

ตัวอย่างการใช้:

listdlls - แสดงรายการของกระบวนการทั้งหมดและ DLL ที่โหลดทั้งหมด

listdlls ชนะ - แสดงรายการ DLL สำหรับกระบวนการทั้งหมดที่มีชื่อขึ้นต้นด้วยสตริง "win"

listdlls winlogon - แสดงรายการ DLL ที่ใช้โดยกระบวนการ winlogon

listdlls 495 - แสดงรายการ DLL ที่ใช้โดยกระบวนการด้วยหมายเลข PID \u003d 495

listdlls -d ntdll.dll - แสดงรายการกระบวนการโดยใช้ไลบรารี ntdll.dll

ด้ามจับ

ด้ามจับ - ยูทิลิตี้บรรทัดคำสั่งสำหรับแสดงข้อมูลเกี่ยวกับ open descriptors (แฮนเดิล) สำหรับกระบวนการใด ๆ ในระบบ ช่วยให้คุณสามารถดูว่าโปรแกรมใดเปิดไฟล์พร้อมด้วยสิทธิ์การเข้าถึงประเภทอ็อบเจ็กต์และชื่อของตัวอธิบายโปรแกรมรวมทั้งหากจำเป็นให้บังคับปิดไฟล์ด้วยหมายเลขตัวอธิบาย เมื่อเรียกใช้โดยไม่มีพารามิเตอร์รายการตัวอธิบายทั้งหมดของไฟล์ที่เปิดอยู่ทั้งหมดจะแสดงขึ้น คำแนะนำในการใช้โปรแกรมสามารถรับได้โดยการป้อนคีย์ /? ... รูปแบบบรรทัดคำสั่ง:

จัดการ [[-a [-l]] [-u] | [-c [-y]] | [-s]] [-p | ]
- ก - แสดงข้อมูลเกี่ยวกับตัวอธิบายทั้งหมด
-ค - ปิดไฟล์ด้วยหมายเลขตัวอธิบายที่ระบุ โปรดทราบว่าการบังคับปิดไฟล์อาจทำให้กระบวนการยุติโดยผิดปกติหรือข้อมูลสูญหาย
- ย - ไม่ต้องการการยืนยันเมื่อปิดตัวอธิบายไฟล์
- ส - แสดงตัวนับสำหรับตัวบ่งชี้ที่เปิดแต่ละประเภท
-ยู - แสดงชื่อของผู้ใช้ในบริบทของบัญชีที่เปิดไฟล์
-p - ตัวบ่งชี้การแสดงผลที่เปิดโดยกระบวนการที่มีชื่อที่ระบุ (ส่วนหนึ่งของชื่อ) หรือโดย PID

ตัวอย่างการใช้:

ที่จับ | มากกว่า - แสดงรายการของตัวบ่งชี้ที่เปิดอยู่ทั้งหมดของกระบวนการทั้งหมดในโหมดการเพจ
จัดการ -p winlogon - แสดงรายการตัวอธิบายไฟล์ที่เปิดโดยกระบวนการที่ชื่อ winlogon
จัดการ -p winlogon\u003e C: \\ winlogonh.txt - เช่นเดียวกับในกรณีก่อนหน้า แต่มีการเปลี่ยนเส้นทางเอาต์พุตไปยังไฟล์ C: \\ winlogonh.txt
ที่จับ -u - แสดงรายชื่อไฟล์ทั้งหมดของกระบวนการทั้งหมดโดยแสดงบัญชีที่เกี่ยวข้องกับกระบวนการ
จัดการ -u user1 - แสดงรายการตัวอธิบายไฟล์ที่เปิดในบริบทของบัญชีผู้ใช้ชื่อ "user1"
ที่จับ -s - แสดงตัวนับสำหรับแต่ละประเภทและจำนวนตัวอธิบายที่เปิดอยู่ทั้งหมด

ยูทิลิตี้ความปลอดภัยของ Sysinternals Suite

โปรแกรมอรรถประโยชน์ด้านความปลอดภัยรวมถึงโปรแกรมสำหรับกำหนดจุดเปิดใช้งานอัตโนมัติ (การทำงานอัตโนมัติ) กระบวนการตรวจสอบ (ProcMon) การตรวจสอบสิทธิ์การเข้าถึงทรัพยากรระบบเป็นต้น แต่นอกจากนี้ Sysinternals Suite ยังมียูทิลิตี้ที่มีจุดประสงค์หลักในการตรวจจับรูทคิท (รูทคิท) เมื่อระบบติดไวรัสที่ใช้กลไกพิเศษเพื่อซ่อนการมีอยู่ในระบบ

คำว่า "rootkit" ที่เกี่ยวข้องกับสปายแวร์โทรจันและซอฟต์แวร์ที่เป็นอันตรายอื่น ๆ หมายความว่าเพื่อซ่อนการมีอยู่จากโปรแกรมป้องกันไวรัสฟังก์ชันของระบบจะถูกดักจับและผลของการดำเนินการจะได้รับการแก้ไขเพื่อให้ไม่สามารถตรวจพบไฟล์บางไฟล์ได้ ไดเรกทอรีและการเชื่อมต่อเครือข่ายที่สร้างโดยมัลแวร์ ตัวอย่างเช่นเมื่อขอรายชื่อไฟล์ในไดเร็กทอรีข้อมูลเกี่ยวกับไฟล์ของไวรัสจะถูกลบออกจากผลลัพธ์ ในความเป็นจริงไฟล์ดังกล่าวมีอยู่ในระบบไฟล์ แต่จะมองไม่เห็นซอฟต์แวร์ที่ใช้ฟังก์ชัน API ที่ถูกดักจับโดยไวรัส โปรแกรม Rootkit แบ่งออกเป็นหลายคลาสขึ้นอยู่กับความสามารถในการทำงานหลังจากรีสตาร์ทคอมพิวเตอร์และประเภทของการเริ่มต้นระบบ (โหมดผู้ใช้หรือโหมดเคอร์เนล) แต่คุณสมบัติหลักของรูทคิทคือการสกัดกั้นและแก้ไขผลลัพธ์ของการเรียกระบบ

หลักการของการดำเนินการขึ้นอยู่กับการใช้งานนอกเหนือจากฟังก์ชันมาตรฐานอินเตอร์เฟส API สำหรับระบบไฟล์และรีจิสตรีรูทีนย่อยของตัวเองที่ใช้ฟังก์ชันเดียวกัน ความไม่สอดคล้องกันในผลลัพธ์ที่ได้อาจบ่งชี้ว่ามีโปรแกรมรูทคิตอยู่ RootkitRevealer ทำการสแกนรีจิสทรีและระบบไฟล์ด้วยการคลิกปุ่ม สแกน และแสดงผลการทำงานในหน้าต่างหลัก

& nbsp & nbsp เส้นทาง - เส้นทางของไฟล์หรือคีย์รีจิสทรี
การประทับเวลา - เวลาปรับเปลี่ยน
ขนาด - ขนาด
คำอธิบาย - คำอธิบายเหตุการณ์ - สัญญาณของการมีรูทคิตที่เป็นไปได้ในระบบ

โปรแกรมไม่ได้ดำเนินการใด ๆ เพื่อลบไวรัสและไม่ชี้ไปที่ไฟล์เฉพาะของมัลแวร์ ข้อสรุปเกี่ยวกับการมีอยู่ของพวกเขาจะต้องทำโดยผู้ใช้เองโดยการวิเคราะห์ผลการสแกน

ก่อนอื่นไฟล์และรีจิสตรีคีย์ที่อยู่ในฟิลด์ คำอธิบาย) มีคำอธิบายของเหตุการณ์ "ซ่อนจาก Windows API" - ซ่อนจาก Windows API ในกรณีส่วนใหญ่ที่ท่วมท้นบรรทัดผลการสแกนจะระบุถึงการมีอยู่ของรูทคิตเนื่องจากโดยปกติจะมีเพียงไฟล์บริการที่เกี่ยวข้องกับระบบไฟล์ NTFS เท่านั้นที่ซ่อนจาก Windows API (ซึ่งชื่อขึ้นต้นด้วย $ - $ BitMap, $ BadClus, $ MFT ฯลฯ ) ในระหว่างการสแกนคุณสามารถปิดการแสดงเหตุการณ์ที่เกี่ยวข้องกับไฟล์บริการที่ซ่อนมาตรฐานโดยใช้เมนู ตัวเลือก - ทำเครื่องหมายในช่อง ซ่อนไฟล์ข้อมูลเมตามาตรฐาน NTFS ... นอกจากนี้โปรดทราบว่าโปรแกรมป้องกันไวรัสบางตัวจะซ่อนไฟล์ของตนจาก Windows API ในลักษณะเดียวกับมัลแวร์และผลการสแกนแต่ละบรรทัดจะมีเครื่องหมาย ซ่อนจาก Windows API ต้องการการวิเคราะห์เพิ่มเติม - ในไดเร็กทอรีที่มีไฟล์ที่ซ่อนอยู่ชื่อนามสกุลขนาดเวลาแก้ไข ในตัวอย่างการสแกนด้านบนซ่อนจาก Windows API คือไฟล์ที่มีนามสกุล. sy ที่อยู่ในไดเร็กทอรีไดรเวอร์ (C: \\ Windows \\ system32 \\ drivers) และวัดได้หลายสิบกิโลไบต์ซึ่งเป็นไดรเวอร์รูทคิต

คำอธิบายอื่น ๆ ที่เป็นไปได้ของเหตุการณ์ในสนาม คำอธิบาย อาจเป็นการเตือนที่ผิดพลาดและบ่งชี้ว่าการทำงานของฟังก์ชัน API จบลงด้วยผลลัพธ์ที่น่าสงสัย ซึ่งมักเกิดจากข้อเท็จจริงที่ว่าในระหว่างการสแกนในสภาพแวดล้อม Windows แบบมัลติทาสก์บางโปรแกรมแก้ไขข้อมูลที่กำลังสแกนหรือซอฟต์แวร์ทางกฎหมายใช้วิธีการพิเศษที่คล้ายคลึงกับที่ผู้สร้างไวรัสใช้

ชื่อคีย์มี null ที่ฝังอยู่ - ชื่อของคีย์รีจิสทรีมีช่องว่างซึ่งอาจทำให้คีย์ดังกล่าวมองไม่เห็นในตัวแก้ไขรีจิสทรีมาตรฐาน

ข้อมูลไม่ตรงกันระหว่าง Windows API และข้อมูลดิบกลุ่ม - ความไม่สอดคล้องกันระหว่างข้อมูลคีย์รีจิสทรีที่ได้รับโดยใช้ Windows API และข้อมูลจริงของกลุ่มรีจิสทรี อาจเกิดจากการเปลี่ยนแปลงข้อมูลรีจิสทรีที่เกิดขึ้นระหว่างการสแกน

ปฏิเสธการเข้าใช้ - การเข้าถึงถูกปฏิเสธ. ในทางปฏิบัติคำอธิบายดังกล่าวพบได้ในเครื่องมือจำลองไดรฟ์ซีดี / ดีวีดี (Alcohol 120, Daemon Tools) ที่ติดตั้งในระบบผลิตภัณฑ์ป้องกันไวรัสบางอย่างที่ใช้ไดรเวอร์ SPTD.SYS

โปรดทราบว่า RootkitRevealer จะสแกนจากสำเนาของตัวเองโดยมีชื่อไฟล์แบบสุ่มที่เรียกใช้เป็นบริการ Windows การเริ่มต้นประเภทนี้ทำให้ไวรัสตรวจพบได้ยากและบังคับให้การสแกนเสร็จสมบูรณ์ ดังนั้นจึงเป็นเรื่องปกติที่จะมีกระบวนการที่มีชื่อที่ไม่สามารถเข้าใจได้ในขณะที่เรียกใช้ RootkitRevealer แต่มีบางครั้งที่ไวรัสจะบล็อกการเรียกใช้โปรแกรมเช่นชื่อ "RootkitRevealer" ในกรณีนี้โปรแกรมไม่เริ่มทำงานซึ่งโดยปกติแล้วเป็นสัญญาณที่สำคัญมากของไวรัสในระบบ ในกรณีนี้คุณสามารถเปลี่ยนชื่อไฟล์ปฏิบัติการหรือคัดลอกลงในไดเร็กทอรีปัจจุบันได้ดีกว่าโดยใช้ชื่อสุ่มอื่น

เป็นไปได้ที่จะเรียกใช้ RootkitRevealer ด้วยพารามิเตอร์บนบรรทัดคำสั่ง:

rootkitrevealer [-a] [-c] [-m] [-r]

- ก - สแกนและออกโดยอัตโนมัติ
-ค - สร้างผลการสแกนในรูปแบบ CSV
- ม - สแกนข้อมูลเมตาของ NTFS
- ร - อย่าสแกนรีจิสทรีของ Windows
ไฟล์บันทึก - ชื่อและเส้นทางของไฟล์สำหรับบันทึกผลการสแกน

ตัวอย่างการเปิดตัว:

rootkitrevealer -a C: \\ RootkitRevealer.log - ทำการสแกนและเขียนลงในไฟล์ C: \\ RootkitRevealer.log แล้วออก

ชุดยูทิลิตี้ฟรีที่ขาดไม่ได้สำหรับการบำรุงรักษาและจัดการ Windows คอลเลกชัน SysInternals Suite มีเครื่องมือและแอพพลิเคชั่นฟรีมากกว่า 120 รายการ โดยทั่วไปโปรแกรมอรรถประโยชน์ได้รับการออกแบบมาเพื่อการปรับแต่งเพิ่มประสิทธิภาพและทดสอบระบบปฏิบัติการ Windows รวมถึงการทำงานกับแอปพลิเคชันของบุคคลที่สาม นอกจากนี้ยังมียูทิลิตี้ที่มีประโยชน์สำหรับการวินิจฉัยฮาร์ดแวร์คอมพิวเตอร์พื้นฐาน

SysInternals Suite มีเครื่องมือที่มีประโยชน์ทั้งหมดสำหรับการดูแลรักษาและแก้ไขปัญหาระบบปฏิบัติการ Windows ระบบสาธารณูปโภคส่วนใหญ่ได้รับการพัฒนาและดูแลโดยเจ้าหน้าที่ด้านเทคนิคที่มีชื่อเสียงที่สุดคนหนึ่งของไมโครซอฟต์มาร์ครัสซิโนวิช

ยูทิลิตี้ที่รวมอยู่ในชุดประกอบส่วนใหญ่มีไว้สำหรับผู้ใช้พีซีที่มีประสบการณ์เนื่องจากหลายคนสามารถเข้าถึงการตั้งค่าระบบที่ซ่อนอยู่และสามารถขัดขวางการทำงานของ Windows ได้หากใช้งานไม่ถูกต้อง

ยูทิลิตี้ระบบยอดนิยมบางส่วน:

Process Explorer

ช่วยให้คุณสามารถควบคุมกระบวนการที่ใช้งานอยู่ในระบบได้ทุกวิถีทาง ให้ความสามารถในการจัดการลำดับความสำคัญของทรัพยากรสำหรับกระบวนการที่แสดง สามารถปิดกระบวนการได้อย่างสมบูรณ์หรือเริ่มต้นใหม่อีกครั้ง

ทำงานอัตโนมัติ

แอปพลิเคชั่นจัดการการเริ่มอัตโนมัติที่มีประสิทธิภาพมาก กำหนดและอนุญาตให้คุณควบคุมการเชื่อมต่อของไดรเวอร์โมดูลบริการและส่วนประกอบอื่น ๆ ในสถานที่ด้วยการเปิดใช้งานระบบ โปรแกรมมีชุดเครื่องมือขนาดใหญ่สำหรับตรวจสอบและกำหนดค่าพารามิเตอร์ต่างๆของระบบปฏิบัติการ Windows

เดสก์ท็อป

โปรแกรมขนาดเล็กและมีประโยชน์สำหรับการสร้างและจัดการเดสก์ท็อปเสมือนจริง รองรับการสร้างเดสก์ท็อปได้สูงสุด 4 เดสก์ท็อปที่จะช่วยให้คุณแจกจ่ายไอคอนและวัตถุอื่น ๆ เพื่อการทำงานที่สะดวกสบายยิ่งขึ้น

รายการยูทิลิตี้ทั้งหมดที่รวมอยู่ใน Sysinternals Suite:

accesschk, accesschk64, AccessEnum, ADExplorer, ADInsight, adrestore, Autologon, Autoruns, Autoruns64, autorunsc, autorunsc64, Bginfo, Cacheset, Clockres, Clockres64, Contig, Contig64, Coreinfo, ctrl2cap, Dbgview, disxtdtops, duxtdtops , FindLinks, FindLinks64, จัดการ, handle64, hex2dec, hex2dec64, ทางแยก, Junction64, ldmdump, Listdlls, Listdlls64, livekd, livekd64, LoadOrd, LoadOrd64, LoadOrdC, LoadOrdC64, logonsessions64, logonsessionsmycntmyfault, notmyfaultfo64 pagedfrg, pendmoves, pendmoves64, pipelist, pipelist64, portmon, procdump, procdump64, procexp, procexp64, Procmon, PsExcsec, PsExfid pskill, pskill64, pslist, pslist64, PsLoggedon, PsLoggedon64, psloglist, pspasswvice, pspasswvice, pspasswvice , psshutdown, pssuspend, pssuspend64, RAMMap, RegDelNull64 ump, RootkitRevealer, ru, ru64, sdelete, sdelete64, ShareEnum, ShellRunas, sigcheck, sigcheck64, สตรีม, stream64, สตริง, strings64, ซิงค์, sync64, Sysmon, Sysmon64, Tcpvcon, Tcpview, Testlimit, Testlimit64, Volume, whois64 vmm , Winobj, ZoomIt.

ฉันจะดาวน์โหลดไฟล์

ที่อยู่สำหรับการดาวน์โหลดยูทิลิตี้ของ SysInternals Suite:
http://www.sysinternals.com
https://technet.microsoft.com/ru-ru/sysinternals
https://technet.microsoft.com/en-us/sysinternals

รวมอยู่ในชุด

ชุดโปรแกรมอรรถประโยชน์มีขนาดค่อนข้างใหญ่ - มากกว่า 70 โปรแกรมสำหรับวัตถุประสงค์ต่างๆ ฉันจะให้เฉพาะรายการยูทิลิตี้ทั่วไปพร้อมคำอธิบายสั้น ๆ ในเว็บไซต์คุณจะได้รับข้อมูลโดยละเอียดเกี่ยวกับยูทิลิตี้แต่ละรายการ และศักยภาพของระบบสาธารณูปโภคเหล่านี้มีมากมายมหาศาล ยูทิลิตี้ที่มีประโยชน์ที่สุด (ในความคิดส่วนตัวของฉัน) ถูกเน้นด้วยตัวหนา ยูทิลิตี้ที่ไม่มีคำอธิบายภาษารัสเซีย (ยัง) เป็นตัวเอียง

คีย์ที่เป็นประโยชน์สำหรับยูทิลิตี้ SysInternals Suite ทั้งหมด

ๆ(รวมถึงคอนโซลใด ๆ ) ยูทิลิตี้จาก SysInternals ที่ตั้งค่าด้วย อันดับแรก การทำงานบนคอมพิวเตอร์ต้องมีการยอมรับข้อตกลงสิทธิ์การใช้งาน เมื่อสร้างไฟล์แบตช์ที่จะทำงานบนคอมพิวเตอร์หลายเครื่อง (เช่นคอมพิวเตอร์ทุกเครื่องในโดเมน) สิ่งนี้อาจไม่สะดวกอย่างยิ่ง ดังนั้นเมื่อเรียกใช้จากไฟล์แบตช์คุณสามารถเพิ่มสวิตช์ไปยังบรรทัดคำสั่งที่ทำให้การยอมรับข้อตกลงใบอนุญาตโดยอัตโนมัติ: / AcceptEULA เป็นต้น

เริ่มต้นด้วยประวัติเล็กน้อย: ผลิตภัณฑ์นี้เช่นเดียวกับเว็บไซต์ได้รับการพัฒนาในปี 2539 เป้าหมายนั้นง่ายมาก - เพื่อรวมโปรแกรมบริการทั้งหมดที่มีอยู่ในที่เดียวนั่นคือคุณไม่จำเป็นต้องดาวน์โหลดการพัฒนาทั้งหมดแยกต่างหาก จาก Mark Russinovich ในเดือนกรกฎาคม 2549 บริษัท ที่ทุกคนรู้จักในชื่อ Microsoft ตัดสินใจซื้อกิจการ Sysinternals ดังนั้นหากคุณตัดสินใจ ดาวน์โหลด Sysinternals Suite จากโครงการของเราคุณจะได้รับโปรแกรมบริการจำนวนมากที่มุ่งเป้าไปที่การจัดการแก้ไขปัญหาตลอดจนการวินิจฉัยอย่างง่ายของทั้งแอปพลิเคชันและระบบปฏิบัติการของตระกูล Windows

โดยทั่วไปยูทิลิตี้ขาเข้าทั้งหมดสามารถแบ่งออกเป็นหมวดหมู่เช่นเครื่องมือสำหรับเครือข่าย - ที่นี่คุณสามารถใช้ไม่เพียง แต่จอภาพการเชื่อมต่อเท่านั้น แต่ยังวิเคราะห์ความปลอดภัยของทรัพยากรต่างๆรวมถึงดูซ็อกเก็ตที่ใช้งานอยู่โดยทั่วไปรายการ สามารถแจกแจงได้เป็นเวลานานฉันคิดว่าคุณจะคิดออกเอง ถัดไปคือหมวดข้อมูลระบบซึ่งเป็นยูทิลิตี้ขนาดเล็กที่ช่วยให้คุณดูและปรับแต่งการใช้ทรัพยากรระบบ โดยเฉพาะอย่างยิ่งคุณสามารถดูโปรแกรมที่เริ่มทำงานโดยอัตโนมัติเมื่อ Windows เริ่มทำงานคุณสามารถดูกิจกรรมของระบบไฟล์แบบเรียลไทม์สามารถกำหนดลำดับการโหลดไดรเวอร์และอื่น ๆ

Sysinternals Suite ยังมีโปรแกรมรักษาความปลอดภัยให้เราอีกด้วย คุณจะสามารถกำหนดค่าและจัดการระบบรักษาความปลอดภัยของคุณคุณจะสามารถเข้าถึงยูทิลิตี้สำหรับค้นหาและลบรูทคิทมีนักล่าสปายแวร์ คุณจะสามารถดูรายชื่อผู้ใช้ที่เข้าสู่ระบบคุณสามารถดูบันทึกเหตุการณ์และอื่น ๆ ถัดมาคือหมวดหมู่ "กระบวนการและเธรด" ซึ่งจะช่วยให้คุณสามารถใช้โปรแกรมที่ออกแบบมาเพื่อกำหนดงานที่สามารถดำเนินการได้โดยกระบวนการบางอย่างรวมถึงทรัพยากรที่ใช้ แน่นอนว่า Sysinternals Suite จะให้ยูทิลิตี้ที่ดีสำหรับการทำงานกับฮาร์ดไดรฟ์และไฟล์

ข้อมูลถูกนำมาจากเว็บไซต์อย่างเป็นทางการโดยทั่วไปหลังจากคลายไฟล์ที่เก็บถาวรคุณจะเห็นเพียงชุดยูทิลิตี้คุณจะไม่ได้รับอินเทอร์เฟซผู้ใช้ที่ถูกใจพร้อมหมวดหมู่ดังนั้นคุณต้องเข้าใจสิ่งที่คุณต้องการ ก่อนหน้านั้นฉันขอแนะนำให้คุณไปที่เว็บไซต์อย่างเป็นทางการและดูหมวดหมู่ทั้งหมดที่ฉันเขียนเกี่ยวกับที่นั่นและตัดสินใจว่าคุณสนใจอะไร โดยทั่วไปฉันหวังว่าแพ็คเกจยูทิลิตี้จาก Sysinternals Suite จะเป็นประโยชน์สำหรับคุณอันที่จริงมันค่อนข้างกว้างขวางคุณสามารถค้นหาได้มากมาย

นักพัฒนา: Microsoft
ใบอนุญาต: FreeWare
ภาษา: ภาษาอังกฤษ
ขนาด: 29 ลบ
ระบบปฏิบัติการ: Windows
ดาวน์โหลด.