Искали ли сте някога да имате максимален контрол над вашия компютър с Windows? Имате силата не просто да надникнете под капака на почти всеки процес или приложение на Windows, но и възможността да видите какви файлове и ключове в регистъра имат достъп вашите приложения в реално време невероятно.
Може би сте компютърен техник, който иска да добави сериозно ноу-хау към колана си с инструменти на Windows. Ако сме предизвикали интереса ви, не търсете повече, докато разбиваме Sysinternals, един от най-родословните и мощни пакети от системни и административни помощни програми за Windows.
Кратка история на Sysinternals
Sysinternals е колекция от безплатни помощни програми за система, администриране и отстраняване на проблеми за Windows.
Sysinternals датира почти толкова назад, колкото самият Windows, като първата итерация датира от 1996 г. Оттогава пакетът Sysinternals се развива с всяка следваща версия на Windows, като арсеналът се разширява до над 70 различни помощни програми. Microsoft директно закупи и придоби софтуера през 2006 г. и го поддържа безплатен и достъпен за изтегляне като пълен пакет или поотделно.
Sysinternals също получава редовни актуализации с нови помощни програми, които се добавят с течение на времето. Най-хубавото е, че софтуерът е преносим и не изисква да го инсталирате. Повечето от помощните програми са прости EXE файлове, които можете да поставите на USB флаш устройство и да добавите към вашето Windows портативен набор от инструменти за системно администриране.
Как да получите Sysinternals
Първо ще трябва да заредите Sysinternals на вашия компютър. За щастие, това не е трудно.
Изтеглете директно от Microsoft
За да започнете, посетете Индекс на Sysinternals Utilities, където можете да прочетете и кратко описание на функцията на всеки инструмент.
Ако решите да изтеглите пълния пакет Sysinternals, вашият браузър ще изтегли ZIP файл от около 45 MB.
Във вашата папка за изтегляния, просто Кликнете с десния бутон На SysinternalsSuite.zip и изберете Извлечете всички.След това конфигурирайте целева папка по ваш избор и щракнете върху Екстракт бутон.
Сега сте свободни да изследвате и използвате инструментите, както сметнете за добре. Струва си да имате предвид, че повечето от инструментите изискват администраторски достъп, така че не забравяйте да го направите Кликнете с десния бутон на всеки инструмент и изберете Изпълни като администратор преди употреба.
Sysinternals Live е услуга, предоставена от Microsoft, която ви позволява да изпълнявате инструменти на Sysinternals директно от мрежата.
Можете да стартирате отделен инструмент директно, като въведете пътя на Sysinternals Live на инструмента в Windows Explorer или диалоговия прозорец Изпълнение. Използвайте следния синтаксис: \\live.sysinternals.com\tools\
Натиснете Печеля + Р за да изведете диалоговия прозорец Изпълнение. Посочете името на инструмента в края на пътя и натиснете Въведете или натиснете Добре.
След миг-два ще се срещнете с a Предупреждение за сигурност където можете просто да изберете Бягай продължавам. Имайте предвид, че можете да видите целия Директория с инструменти на Microsoft Sysinternals Live във вашия браузър.
Какво можете да правите със Sysinternals?
Въпреки че е малко вероятно някой да използва всички инструменти, налични в пакета, има множество помощни програми на ваше разположение.
Има инструменти като Process Monitor, който следи дейността на файловата система, регистъра, процеса, нишката и DLL в реално време. Process Explorer, от друга страна, е подобен на Windows Task Manager, но с много допълнителни функции.
Autoruns ви помага да управлявате процесите на стартиране на Windows, както и да откривате особено досаден вграден зловреден софтуер. Вижте как да управлявате стартиращи програми на Windows с Autoruns за повече информация.
SDelete, която е програма за защитено изтриване, съвместима с DoD, също почиства свободното ви пространство и не оставя следи от предишни изтрити файлове.
Има и разнообразие от тежки помощни програми за команден ред, които помагат с всичко - от сигурността на мрежата и споделянето на файлове до разширени инсталации на Active Directory и много други.
След това нека разгледаме някои от по-популярните инструменти и как може да искате да ги използвате.
Process Explorer: Big Brother на диспечера на задачите
Когато отворите Process Explorer за първи път, може да бъдете леко затрупани от огромното количество опции и данни, които са ви представени.
В левия панел има йерархичен дървовиден изглед, който изброява всички процеси и подпроцеси, изпълнявани на вашия компютър. До това ще намерите използването на CPU и RAM, PID (идентификатор на процеса), Описание, и Име на фирмата всички представени в колони, които могат да бъдат сортирани и персонализирани.
В лентата с инструменти има мини графики на активността за процесор, Физическа памет, и Вход изход които след щракване се отварят в отделен прозорец. Под Настроики > Икони в областта можете също да изберете коя дейност искате да се показва в лентата на задачите на Windows, когато минимизирате приложението.
Една от основните разлики между Process Explorer и Windows Task Manager е цветно кодираният ключ, използван за идентифициране на различни типове процеси. Можете да изведете този ключ, като отидете на Настроики > Избор на цвят. Внимавайте за процеси, маркирани в лилаво, тъй като те съдържат компресиран код и може да са знак за скрит зловреден софтуер.
Щракването с десния бутон върху който и да е процес ще покаже набор от опции, което ви позволява Задаване на приоритет, Убий, Унищожаване на дървото на процеса, Спиране процесът и др.
Монитор на процесите: Най-добрият дневник на Windows
Process Monitor е доста различен от Process Explorer.
Process Monitor ви позволява да записвате дневник на всяко едно събитие, което се случва на вашия компютър с Windows. С Process Monitor можете да видите кои ключове в системния регистър се актуализират от всяко приложение. Дори ако услуга или приложение ражда нов процес, променя файловата система по някакъв начин или се свързва към мрежа, можете да го проследите с Process Monitor.
Когато за първи път отворите Process Monitor, ще бъдете посрещнати с огромно количество редове и данни. На заден план Process Monitor ще продължи да регистрира всеки регистър, файлова система, мрежа, процес и събитие за профилиране, което може да възникне. Това означава, че списъкът с данни бързо ще нарасне, дори ако вашата машина не работи, тъй като услугите взаимодействат с вашата система.
Ключът към ефективното използване на Process Monitor е да филтрирате и да се фокусирате само върху събитията, които ви интересуват. Например: за бързо филтриране на процеси на Microsoft, към които можете да отидете Настроики > Изберете Колони и включват Име на фирмата. След това просто като щракнете с десния бутон върху колоната, можете да използвате функцията Включване / Изключване в контекстното меню, за да филтрирате бързо тези събития.
Двукратно щракване или щракване с десен бутон върху събитие и избиране Имоти ще отвори допълнителен диалогов прозорец с богата информация. От този диалогов прозорец ще можете да определите класа на събитието (т.е. файлова система или RegistryQueryKey), пътя до физическата операция и резултата.
От тук можете да копаете още по-дълбоко, като отидете на Стек раздел, където можете да видите отделните DLL файлове, свързани със събитието.
По подразбиране Process Monitor използва виртуалната памет на вашия компютър, за да съхранява събития, които са временни. Ако отидете на Файл > Архивиране на файлове можете да посочите файл, в който да се записват и записват данните.
Autoruns: Конфигуриране на стартиращи процеси и приложения
Windows предоставя няколко опции за работа със стартиращи процеси и приложения веднага. Диспечерът на задачите, например, има специален Приложения за стартиране раздел в неговия навигационен панел. Същата информация може да бъде намерена и в Настройки приложение под Приложения > Започвам.
Въпреки че това вероятно е достатъчно добро за повечето хора, всъщност не ви дава пълна картина на това, което се зарежда всеки път, когато стартирате компютъра си. В действителност има много по-сложни начини софтуерът да бъде конфигуриран да се стартира автоматично в Windows. Има помощни обекти на браузъра, планирани задачи, услуги, драйвери и дори някои почти неоткриваеми методи като отвличания на изображения и AppInit_dlls.
Ако търсите изчерпателен списък от стартиращи елементи, тогава Autoruns е вашият отговор.
По подразбиране, когато за първи път отворите Autoruns, ще кацнете на Всичко раздел. Това показва всеки един стартиращ елемент от всеки раздел. Естествено, можете да преминете през разделите, за да дестилирате информацията допълнително.
Всеки раздел ви дава представа за механизма, използван от стартиращия елемент. Например, на Вписвам се показва всички елементи, заредени, когато вашият потребител влезе в Windows. The изследовател разделът от друга страна изброява всички стартиращи елементи, които се прикрепят към процеса на File Explorer, когато се изпълнява.
За да спрете всеки стартиращ елемент от стартиране, просто премахнете отметката квадратчето за отметка до програмата вляво. Това е всичко. Просто внимавайте, когато премахвате избора на нещо в Шофьори и Услуги раздели, тъй като повечето от тях са от съществено значение за вашите приложения и компоненти на Windows.
Sysinternals предлага много повече
Надяваме се, че това, което разгледахме досега, ви е насочило към идеята за Sysinternals. Независимо дали искате пълна моментна снимка на всичко, което се случва на вашия компютър с Process Explorer, подробните детайли, изложени от Process Монитор или върховният орган за това какви програми трябва да се изпълняват при стартиране с Autoruns, Sysinternals разполага с инструмент за почти всичко
Покрихме само основите на това, което е възможно с помощта на инструментите в пакета Sysinternals. Чувствайте се свободни да ги изследвате сами, но не забравяйте, че с голямата сила идва и голяма отговорност.