Pstools

Installation and Use

After it starts it presents the system file cache’s current size
(updated twice a second), it’s peak size (the largest it’s been since
the last reboot), and lets you set new minimum and maximum working set
sizes.

Setting New Sizes
Simply enter the new minimum and maximum sizes and hit the Apply button.
If you get an error, then one of the following conditions holds: you’ve
entered a maximum that is smaller than the minimum, the minimum you’ve
entered is smaller than the minimum system working-set size, or the
maximum you’ve entered is larger than the maximum system working-set
sizes. Adjust the values you’ve entered and try again.

You may notice that the Cache’s size changes immediately and then
proceeds to shrink or grow quickly. This is because the system
automatically trims working sets once a second. The Cache pages that are
released are still in memory, but can be relinquished quickly for use by
other programs that need more memory. Similarly, the Cache can eaily
regain pages as applications access file system data.

Resetting Previous Values
At any time you can restore the Cache’s working set values that were
active when you last started CacheSet by hitting the Reset button.

Clearing the Cache’s Working Set
You can force the Cache to release all of it’s pages by pressing the
Clear button. Note that the Cache can grow again as necessary, and that
this is not the same as flushing the Cache — pages that were assigned to
it are simply made available to other programs and can be reclaimed by
the Cache.

Using the Command-Line Interface
You can enter the minimum and maximum working set sizes on CacheSet’s
command line. CacheSet will apply these new values silently. Thus, you
can add CacheSet to your Start program group to automatically set the
Cache’s sizes every time you boot.

Usage: CacheSet

Серия уроков по пакету утилит SysInternals

1. Что такое инструменты SysInternals и как их использовать?

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

В этой серии практических рекомендаций вы научитесь использовать инструменты SysInternals как профессионал, благодаря чему вы сможете лучше понимать и контролировать происходящее в вашей операционной системе.

В Windows есть множество других инструментов администрирования, доступных бесплатно в Интернете или даже из коммерческих источников, но ни один из них не является столь же незаменимым, как набор инструментов SysInternals. Это полный набор бесплатных инструментов для выполнения практически любых задач администратора, от мониторинга или запуска процессов до просмотра секретов, к каким файлам и ключам реестра действительно обращаются ваши приложения.

Эти инструменты использует каждый уважаемый компьютерщик — если вы хотите отделить зерна от плевел, просто спросите своего местного мастера по ремонту компьютеров, для чего используется Process Explorer. Если он ничего не понимает, вероятно, он не так хорош, как говорит. (Не волнуйтесь, если вы этого тоже не знаете, вы познакомитесь с этой утилитой в следующей части).

Помните тот раз, когда Sony пыталась встроить руткиты в свои музыкальные компакт-диски? Да, это была утилита SysInternals, которая первой обнаружила проблему, и именно ребята из SysInternals рассказали об этом. В 2006 году Microsoft наконец купила компанию, стоящую за SysInternals, и они продолжают бесплатно предоставлять эти утилиты на своём веб-сайте.

В этой серии статей вы познакомитесь с каждым из важных инструментов в комплекте, познакомитесь с ними и их многочисленными функциями, а затем эти инструкции помогут понять, как использовать их в реальных условиях. Интересного материала очень много, но поездка будет увлекательной, так что следите за обновлениями.

Introduction

CacheSet is an applet that allows you to manipulate the working-set
parameters of the system file cache. Unlike CacheMan, CacheSet runs on
all versions of NT and will work without modifications on new Service
Pack releases. In addition to providing you the ability to control the
minimum and maximum working set sizes, it also allows you to reset the
Cache’s working set, forcing it to grow as necessary from a minimal
starting point. Also unlike CacheMan, changes made with CacheSet have
an immediate effect on the size of the Cache.

Use CacheSet to performance tune the system Cache size in a way not
possible without tweaking internal variables the way CacheMan does.

Note: To use CacheSet on NT 4.0 Service Pack 4 and later you must have
the «Increase Quota» privilege (administrator accounts have this
privilege by default). CacheSet has been updated to enable this
privilege so that it works on SP4.

What’s New

What’s New (August 18, 2021)

• Обновление bios gigabyte с флешки g-flash всего за 2 минуты

  Candid talk from the man behind your favorite Windows tools
  Mark talks with Larry Seltzer about the history and future of Sysinternals.

• Autoruns v14.0
  Autoruns, a utility for monitoring startup items, is the latest Sysinternals tool to receive a UI overhaul including a dark theme.

What’s New (July 27, 2021)

ProcDump v10.1
This update to ProcDump, a command-line utility for generating memory dumps from running processes, adds a new option (-dc) for specifying a dumpfile comment and supports «triage» dumps (-mt).

What’s New (June 22, 2021)

RDCMan v2.8
RDCMan, a utility for managing multiple remote desktop connections, is now part of the Sysinternals family of tools! This release fixes CVE-2020-0765, an XML parsing vulnerability.

What’s New (May 25, 2021)

• Process Monitor v3.80
  Process Monitor is the latest tool to integrate with the new Sysinternals theme engine, giving it dark mode support.

• Sysmon v13.20
  This update to Sysmon, an advanced system security monitor, adds «» and «» filter conditions and fixes a regression for rule include/exclude logic.

• TCPView v4.10
  This update to TCPView, a TCP/UDP endpoint query tool, adds the ability to filter connections by state.

• Process Explorer v16.40
  This update to Process Explorer, an advanced process, DLL and handle viewing utility, adds process filtering support to the main display and reports process CET (shadow stack) support.

What’s New (April 21, 2021)

• Process Monitor v3.70
  This update to Process Monitor allows constraining the number of events based on a requested number minutes and/or size of the events data, so that older events are dropped if necessary. It also fixes a bug where the Drop Filtered Events option wasn’t always respected and contains other minor bug fixes and improvements.

• Sysmon v13.10
  This update to Sysmon adds a FileDeleteDetected rule that logs when files are deleted but doesn’t archive, deletes clipboard archive if event is excluded and fixes an ImageLoad event bug.

• Theme Engine
  This update to the theme engine uses a custom title bar in dark mode, similar to MS Office black theme. WinObj and TCPView have been updated. Expect more tools using the theme engine in the near future!

What’s New (March 23, 2021)

TCPView v4.0
This major update to TCPView adds flexible filtering, support for searching, and now shows the Windows service that owns an endpoint. It is also the second Sysinternals tool to feature the new theme engine with dark mode.

What’s New (February 22, 2021)

• WinObj v3.0
  This major update to WinObj adds dynamic updates, quick search, full search, properties for more object types, as well as performance improvements. It’s also the first Sysinternals tool to feature a dark theme.

• Coreinfo v3.52
  This update to CoreInfo adds reporting for CET (shadow stack) support.

Что такое инструменты SysInternals?

Набор инструментов SysInternals — это просто набор приложений Windows, которые можно бесплатно загрузить из соответствующего раздела веб-сайта Microsoft. Все они портативны, а это значит, что вам не только не нужно их устанавливать, вы можете скопировать их на флешку и использовать с любого ПК. Фактически, вы можете запускать их без установки через SysInternals Live (что мы немного проиллюстрируем).

Инструменты включают в себя такие утилиты, как Process Explorer, который очень похож на диспетчер задач с множеством дополнительных функций, или Process Monitor, который контролирует ваш компьютер на предмет изменений файловой системы, реестра или даже сетевой активности практически любого процесса в вашей операционной системе.

Autoruns помогает контролировать автоматическую запуску всех процессов, TCPView показывает, что подключается к ресурсам в Интернете, и есть целый набор инструментов, которые запускаются из командной строки, чтобы помочь вам взять под контроль процессы, службы и т. д.

Большинству этих инструментов потребуется права администратора на вашем компьютере, поэтому было бы разумно протестировать их на виртуальной машине или на тестовом компьютере, если вы не уверены, что делаете — это очень мощные инструменты.

Например, предположим, что вы хотите устранить причину, по которой компьютер стал работать слишком медленно. И вы хотите проверить все потоки для конкретного приложения, а затем вы хотите увидеть весь стек для одного из этих потоков, чтобы точно узнать, какие библиотеки DLL и функции вызываются. В Process Explorer это делается тривиально — вы можете просто дважды щёлкнуть процесс, перейти на вкладку Threads и затем нажать кнопку Stack.

Что всё это значит? Подождите до уроков 2 и 3, где мы сделаем все возможное, чтобы объяснить вам концепции и, что более важно, объяснить, почему вы вас могут заинтересовать такие дебри процессов

Introduction

The Windows NT and Windows 2000 Resource Kits come with a number of
command-line tools that help you administer your Windows NT/2K systems.
Over time, I’ve grown a collection of similar tools, including some not
included in the Resource Kits. What sets these tools apart is that they
all allow you to manage remote systems as well as the local one. The
first tool in the suite was PsList, a tool that lets you view detailed
information about processes, and the suite is continually growing. The
«Ps» prefix in PsList relates to the fact that the standard UNIX process
listing command-line tool is named «ps», so I’ve adopted this prefix for
all the tools in order to tie them together into a suite of tools named
PsTools.

Note

Some anti-virus scanners report that one or more of the tools are infected with a «remote admin» virus. None of the PsTools contain viruses, but they have been used by viruses, which is why they trigger virus notifications.

The tools included in the PsTools suite, which are downloadable as a
package, are:

• PsExec —
  execute processes remotely
• PsFile —
  shows files opened remotely
• PsGetSid —
  display the SID of a computer or a user
• PsInfo —
  list information about a system
• PsPing —
  measure network performance
• PsKill —
  kill processes by name or process ID
• PsList —
  list detailed information about processes
• PsLoggedOn —
  see who’s logged on locally and via resource sharing (full source is
  included)
• PsLogList —
  dump event log records
• PsPasswd —
  changes account passwords
• PsService —
  view and control services
• PsShutdown —
  shuts down and optionally reboots a computer
• PsSuspend —
  suspends processes
• PsUptime — shows you how long a system has been running since its
  last reboot (PsUptime’s functionality has been incorporated into
  PsInfo

The PsTools download package includes an HTML help file with complete
usage information for all the tools.

Download PsTools Suite (3.5 MB)

Runs on:

• Client: Windows Vista and higher
• Server: Windows Server 2008 and higher
• Nano Server: 2016 and higher

Installation

None of the tools requires any special installation. You don’t even need to install any client software on the remote computers at which you target them. Run them by typing their name and any command-line options you want. To show complete usage information, specify the «-? » command-line option.
If you have questions or problems, please visit the Sysinternals PsTools Forum.

Related Links

Introduction to the PsTools: Wes Miller gives a high-level overview of the Sysinternals PsTools in the March column of his TechNet Magazine column.

Process Explorer

Process Explorer is one of the best and most used Sysinternals utility. As the name implies, the simple yet advanced tool lets you know everything about every processor and DLL opened and active in your system. You can think of Process Explorer as the Task Manager on steroids.

Some of the things Process Explorer could do include but not limited to see all the processes and DLLs, see which process has a lock on which file or folder, kill or suspend processes, set process priority, check processes using Virustotal, accurate graphical statistics about CPU, memory and I/O usage, a tree view to show processes and their dependencies, etc.

After using the tool for some time, you can actually replace the Windows Task Manager with Process Explorer (Options > Replace Task Manager) in a click or two if you like. Of course, the more you use the application, the better it gets.

How to use: Just download the file, extract and execute the “procexp.exe.” Being a portable application, there is no need for any installation. To kill a process, simply select the process and press the “Delete” key. To scan a process, select the process, navigate to “Options > Virustotal.com” and then select “Check Virustotal.com”.

Настройка Sysinternals Suite для запуска из любого места

Рассмотрим пару советов. Если вы загрузили весь Sysinternals Suite, вы, вероятно, хотели бы запускать свои команды из любого места: диалогового окна «выполнить», в окне командной строки, окне поиска. Если вы добавите папку Sysinternals в переменную среды «Path», вы cможете это делать. Что даст вам возможность увидеть значительно улучшенную версию интерфейса Windows 10 для редактирования этого и других переменных окружения.

Чтобы приступить к работе, введите в поле поиска «environmen/окружающая среда», затем в списке результатов, нажмите кнопку «Редактировать переменные системного окружения». В диалоговом окне «Переменные окружающей среды», нажмите на переменные среды, выберите путь и нажмите кнопку «Редактировать». Отобразится следующее диалоговое окно. Если вы когда-нибудь пытались редактировать переменную Path в предыдущей версии Windows, вы оцените, насколько проще это диалоговое окно по сравнению с его предшественниками.

Если вы извлекли файлы в папку с именем SysinternalsSuite в корневой каталог диска «C», все, что вам нужно сделать, это нажать кнопку «Новый», найти эту папку, и кликнуть на ней, для указания её полного пути. Сделайте то же самое, чтобы указать полный путь туда, где вы сохранили файлы. Затем дважды нажмите кнопку «ОК», чтобы сохранить изменения. Теперь вы можете ввести любую команду Sysinternals, например, «Autoruns», для запуска этого инструмента без указания его полного расположения.

Не все опции в Sysinternals Suite равноценны. Некоторые из них, были явно написаны для другой эпохи и имеют мало отношения к последней десктопной версии Windows или современным версиям серверов. Кроме того, некоторые инструменты, хотя по-прежнему полезны, были заменены встроенными функциями. Например, с приложением «Desktops», можно создать до четырёх виртуальных рабочих столов и назначить для каждого из них горячие клавиши. Добавление виртуальных рабочих столов как встроенная функция в Windows 10 делает альтернативу Sysinternals гораздо менее необходимой.

Лучшая подсказка для понимания, какие программы заслуживают более пристального внимания — поле «Дата создания». Переключитесь в проводнике на вид списка, добавьте поле «Дата создания» и затем сортируйте по этим данным. В этом списке вы найдёте маркировку даты и времени, начиная с 1999 года и многое другое. Наиболее полезные программы Sysinternals регулярно обновляются и отображаются в верхней части списка.

Videos and Webcasts

Defrag Tools Shows
Episodes 1 – 12 of the Defrag Tools shows focus on Sysinternals tools. Each episode covers a specific tool used on the tech support show Defrag, covering when and why to use the tools, and providing tips on how to get the most out of them:

• Defrag Tools: #1 — Building your USB thumbdrive
• Defrag Tools: #2 — Process Explorer
• Defrag Tools: #3 — Process Monitor
• Defrag Tools: #4 — Process Monitor — Examples
• Defrag Tools: #5 — Autoruns and MSConfig
• Defrag Tools: #6 — RAMMap
• Defrag Tools: #7 — VMMap
• Defrag Tools: #8 — Mark Russinovich
• Defrag Tools: #9 — ProcDump
• Defrag Tools: #10 — ProcDump — Triggers
• Defrag Tools: #11 — ProcDump — Windows 8 & Process Monitor
• Defrag Tools: #12 — TaskMgr and ResMon

Mark’s Webcasts
Two dozen of Mark’s top-rated presentations on Sysinternals, Windows internals, and Windows Azure are available for on-demand viewing. Get tips and techniques on using the Sysinternals tools to troubleshoot directly from their author.

The latest edition of the popular Sysinternals Primer series with Aaron Margosis, Mark Russinovich’s co-author of The Windows Sysinternals Administrator’s Reference. The Sysinternals utilities are vital tools for any computer professional on the Windows platform. Mark Russinovich’s popular “Case Of The Unexplained” demonstrates some of their capabilities in advanced troubleshooting scenarios. This complementary tutorial series focuses primarily on the utilities themselves, deep-diving into as many features as time allows. Expect to see some advanced analysis, such as manipulating Procmon results with Windows PowerShell, and interesting/useful new features.

Sysinternals Primer: Autoruns, Disk2Vhd, ProcDump, BgInfo and AccessChk
The Sysinternals utilities are vital tools for any computer professional on the Windows platform. Mark Russinovich’s popular «Case Of The Unexplained» demonstrates some of their capabilities in advanced troubleshooting scenarios. This complementary tutorial session focuses primarily on the utilities themselves, giving you tips and techniques for using their full functionality for troubleshooting and systems management. This session follows the same format as last year’s highly-rated delivery, and covers a different set of the most useful Sysinternals tools.

Unintended Consequences of Security Lockdowns (uses Sysinternals utilities a lot)
Security-conscious organizations often lock down their systems based on prescriptive guidance from Microsoft, US Federal government agencies or other security organizations. Sometimes these settings can lead to unpleasant surprises and unexpected side effects. This session describes and demonstrates some of the common issues that can arise, and whether and how those settings actually help or hurt. Is there benefit to not granting Administrators the “Debug” privilege? Does “Hide mechanisms to remove zone information” break anything? Is the “Require trusted path for credential entry” setting worth the inconvenience? Come see!

Windows Sysinternals Primer: Process Explorer, Process Monitor and More
The Sysinternals utilities are vital tools for any computer professional on the Windows platform. Mark Russinovich’s popular «Case Of The Unexplained» demonstrates some of their capabilities in advanced troubleshooting scenarios. This complementary tutorial session by Aaron Margosis and Tim Reckmeyer focuses primarily on the utilities, deep-diving into as many features as time will allow. Learn tips and tricks that will make you more effective with the Sysinternals utilities.

Autoruns

More often than not, every program you install on your system will add itself to the system startup. This helps the application to be ready for use as soon as the system starts. However, the most applications are in the startup queue, the slower system startup will be. Not only programs but there will several things that start with Windows like scheduled tasks, services, drivers, codecs, Explorer shell extensions, browser helper objects, toolbars, etc.

To deal with this, you can simply use the Autoruns application. It provides all the necessary options to manage the startup items. Moreover, it also plays well with Process Explorer. The application’s user interface may look pretty dated but it is neatly divided into categories. Being a powerful application, only disable an entry if you are sure.

How to run: Just like Process Explorer, Autoruns is also portable. So, download, extract and execute the application “autoruns.exe”. Once opened, you can disable any autorun entry by deselecting the checkbox. The “autorunsc.exe” file you see in the zip file is the command line version.

How it Works: WinNT

The Portmon GUI is responsible for identifying serial and parallel
ports. It does so by enumerating the serial ports that are configured
under HKEY_LOCAL_MACHINE\Hardware\DeviceMap\SerialComm and the
parallel ports defined under
HKEY_LOCAL_MACHINE\Hardware\DeviceMap\Parallel Ports. These keys
contain the mappings between serial and parallel port device names and
the Win32-accessible names.

When you select a port to monitor, Portmon sends a request to its
device driver that includes the NT name (e.g. \device\serial0) that
you are interested in. The driver uses standard filtering APIs to attach
its own filter device object to the target device object. First, it uses
ZwCreateFile to open the target device. Then it translates the
handle it receives back from ZwCreateFile to a device object
pointer. After creating its own filter device object that matches the
characteristics of the target, the driver calls
IoAttachDeviceByPointer to establish the filter. From that point on
the Portmon driver will see all requests aimed at the target device.

Portmon has built-in knowledge of all standard serial and parallel
port IOCTLs, which are the primary way that applications and drivers
configure and read status information from ports. The IOCTLs are defined
in the DDK file \ddk\src\comm\inc\ntddser.h and
\ddk\src\comm\inc\ntddpar.h, and some are documented in the DDK.

Seventh Edition Changes

Since this series’ last update, Windows has gone through several releases, coming up to Windows 10 and Windows Server 2016. Windows 10 itself, being the current going-forward name for Windows, has had several releases since its initial Release-to-Manufacturing, or RTM, each labeled with a 4-digit version number indicating year and month of release, such as Windows 10, version 1703 that was completed in March 2017. The above implies that Windows has gone through at least 6 versions since Windows 7.
Starting with Windows 8, Microsoft began a process of OS convergence, which is beneficial from a development perspective as well as for the Windows engineering team itself. Windows 8 and Windows Phone 8 had converged kernels, with modern app convergence arriving in Windows 8.1 and Windows Phone 8.1. The convergence story was complete with Windows 10, which runs on desktops/laptops, servers, XBOX One, phones (Windows Mobile 10), HoloLens, and various Internet of Things (IoT) devices.
With this grand unification completed, the time was right for a new edition of the series, which could now finally catch up with almost half a decade of changes, in what will now be a more stabilized kernel architecture going forward. As such, this latest book covers aspects of Windows from Windows 8 to Windows 10, version 1703. Additionally, this edition welcomes Pavel Yosifovich as its new co-author.

Description of the Book

IT pros and power users consider the free Windows Sysinternals tools
indispensable for diagnosing, troubleshooting, and deeply understanding
the Windows platform. In this extensively updated guide, Sysinternals
creator Mark Russinovich and expert Windows consultant Aaron Margosis
help you use these powerful tools to optimize any Windows system’s
reliability, efficiency, performance, and security. The authors first
explain Sysinternals’ capabilities and help you get started fast. Next,
they offer in-depth coverage of each major tool, from Process Explorer
and Process Monitor to Sysinternals’ security and file utilities. Then,
building on this knowledge, they show the tools being used to solve
real-world cases involving error messages, hangs, sluggishness, malware
infections, and much more.

Windows Sysinternals creator Mark Russinovich and Aaron Margosis show
you how to:

• Use Process Explorer to display detailed process and system information
• Use Process Monitor to capture low-level system events, and quickly
  filter the output to narrow down root causes
• List, categorize, and manage software that runs when you start or
  sign in to your computer, or when you run Microsoft Office or
  Internet Explorer
• Verify digital signatures of files, of running programs, and of the
  modules loaded in those programs
• Use Autoruns, Process Explorer, Sigcheck, and Process Monitor
  features that can identify and clean malware infestations
• Inspect permissions on files, keys, services, shares, and other
  objects
• Use Sysmon to monitor security-relevant events across your network
• Generate memory dumps when a process meets specified criteria
• Execute processes remotely, and close files that were opened
  remotely
• Manage Active Directory objects and trace LDAP API calls
• Capture detailed data about processors, memory, and clocks
• Troubleshoot unbootable devices, file-in-use errors, unexplained
  communication, and many other problems
• Understand Windows core concepts that aren’t well-documented
  elsewhere

Обзор служебных утилит Sysinternals

Конечно можно посетить страницу Windows Sysinternals, на https://technet.microsoft.com/sysinternals и использовав алфавитный указатель утилит, выбрать только нужные инструменты. Для чуть более точного подхода, попробуйте шесть отдельных категорий: файл и диск, сеть, процесс, безопасность, системная информация и прочие.

Но гораздо проще скачать весь набор Sysinternals (https://technet.microsoft.com/sysinternals/bb842062) и разархивировать его в собственную папку.

Как удобная альтернатива, для экономии места на диске и уточнения того, что вы планируете использовать самые последние версии утилит, воспользуйтесь службой Sysinternals Live. На https://live.sysinternals.com, вы найдёте полный перечень всех инструментов и файлы поддержки. Если вы знаете название нужного вам инструмента, можно ввести этот путь в проводнике Windows или в командной строке, например, https://live.sysinternals.com/ или \\live.sysinternals.com\tools\. (Подсказка: сохраните избранное для быстрого доступа как web-ярлыки.)

Служба Sysinternals Live позволяет запускать последние в коллекции версии каждого инструмента с помощью одного клика.

Некоторые инструменты Sysinternals полностью конкретизированы и имеют характерный графический интерфейс. Другие, предназначены для интерактивного запуска в командной строке или с помощью скриптов.

Take control over every aspect of your system using the impressive monitoring tools, debuggers and other testing utilities included in this package

What’s new in Sysinternals Suite Build 01.09.2021:

• Autoruns v14.01:
• This update for Autoruns fixes a regression with VirusTotal submissions introduced in v14.0.

Read the full changelog

Since Windows is one of the most commonly used operating system, most applications need to be compatible with its features to prevent errors. Before a program reaches the end user it must be tested and analyzed, and there are apps that come in handy for developers. Sysinternals Suite is a collection of system utilities designed to assist users in diagnosing and troubleshooting Windows applications and services.

Providing all necessary diagnosing tools in one package

The products inside the suite were originally co-developed and are currently maintained by Mark Russinovich, who is a well-known technical fellow of Microsoft. The developer was the co-founder of a company named Winternals, which was the original brand that most of the Sysinternals utilities carried.

However, Winternals was acquired by Microsoft in 2006 and as a result, most of the applications issued by the former team are now owned by the Redmond company. All of them are available as separate downloads, as well as under the form of an all-in-one package, which is a more reliable approach for professionals, such as system administrators.

The suite includes over seventy utilities aimed to troubleshoot matters related to files and disk management, networking and security issues, as well as process and system information. Since the set is incredibly rich, analyzing each of them would take a considerable amount of time and as a consequence, we decided to concentrate on the most popular ones.

Keep an eye on running processes and manage startup items

One of the top downloaded utilities is Process Explorer, which retrieves detailed information about all running processes and produces memory statistics, allowing you to track down services to their original resources.

With the aid of AutoRuns, you can manage startup items, while Process Monitor provides real-time file system and registry activity monitoring. Administrators of Windows NT / 2K local and remote systems can use the command line options of PsTools to achieve fast process execution and to retrieve information regarding processes.

Other tools worth mentioning are RootkitRevealer (detects kernel-mode rootkits), TCPView (shows TCP and UDP endpoints), Desktops (manages your applications on a multi-desktop system), SDelete (overwrites sensitive data, then cleans the system in order to gain space), Sigcheck (identifies if images are digitally signed), to name just a few.

A few last words

All of the above considered, Sysinternals Suite is a reliable software collection that can help system administrators to diagnose and repair issues related to almost everything, from file system to network and security.

Обзор утилиты Sysinternals Tools

Как определить, каким приложением занят файл

Я просматривал рабочий календарь, когда почтовая программа Outlook 2010 внезапно сообщила об ошибке и закрылась. После перезапуска она не смогла открыть OST-файл, и сегодня я расскажу, как решил эту проблему за три минуты.

При запуске программа выдавала такую ошибку:

Process Explorer. Обзор некоторых возможностей

Process Explorer – альтернатива стандартному Task Manager-у. Эта утилита, как и многие другие утилиты Sysinternals, здорово расширяет возможности контроля и управления системой. Главное новшество только что вышедшей 14-ой версии — возможность мониторить сетевую активность процессов. Далее небольшой обзор возможностей этой утилиты, которые считаю наиболее полезными для себя.

Для справки. С 2006 года Sysinternals была приобретена Microsoft, а ключевая фигура этой компании – Марк Руссинович с тех пор работает в Microsoft. Марк известен своими утилитами, книгой Windows Internals, блогом и является признанным специалистом по архитектуре Windows.

• Колонки в главном окне
• Сервисы внутри svchost
• Суммарные графики активности, процесс с максимальной активностью
• Суммарные графики активности в трее, процесс с максимальной активностью
• Сетевые соединения процесса
• Потоки процесса, их активность, стек потока с загрузкой символов
• Информация по использованию памяти в системе
• Handles и DLL процесса
• Поиск handles и DLL

Обзор утилиты Process Explorer от Sysinternals.com

Обзоры утилит от Sysinternals.com:

Этот обзор — продолжение цикла статей о свободно распространяемых на Sysinternals.com утилитах. В этом обзоре будет рассмотрен интерфейс и основные возможности утилиты Process Explorer, которая окажет неоценимую помощь в просмотре и управлении процессами. Скачать утилиту можно на странице загрузки Process Explorer. Размер архива 268 килобайт.
Утилита не требует установки. Достаточно распаковать архив и запустить файл procexp.exe. Откроется главное окно утилиты, которое показано на рисунке ниже.

Охота на вредоносное ПО с помощью Sysinternals Tools. Часть 1

Вступление

В последние несколько лет Марк Руссинович представляет свои презентации на ежегодном саммите MVP в Редмонде. В прошлом марте его выступление было связано с довольно интересной темой — Использование некоторых популярных системных утилит для обнаружения вредоносного ПО в системе. Утилиты можно бесплатно скачать с сайта Microsoft TechNet.
В первой части я изложу, что я извлекла из этих выступлений и покажу, как использовать некоторые из этих программ.