Cały pakiet Sysinternals jest dostępny do pobrania tutaj.
Desktops v2.0
Dodaje wirtualne pulpity w systemie Windows.
BgInfo
Wyświetla podstawowe informacje o systemie na pulpicie. Użyteczne, gdy często łączymy się z różnymi urządzeniami.
Autoruns for Windows
Narzędzie umożliwiające zobaczenie oraz usunięcie aplikacji, które uruchamiane są podczas startu systemu.
TCPView
Wyświetla informacje o zarejestrowanych w systemie endpointach TCP oraz UDP.
Process Monitor
Narzędzie służące do obserwacji procesów systemowych. Jego użycie wymaga wcześniejszego wskazania procesów przeznaczonych do monitorowania. Po wykonaniu tej czynności możliwe jest przeglądanie szczegółowych informacji dotyczących wybranych procesów, takich jak:
- Plikach, które są czytane lub zapisywane przez proces.
- Otwieranych kluczach rejestru.
- Hostach, z którymi proces się komunikuje.
- Wątkach, które proces tworzy.
Process Explorer
Narzędzie to jest jedynie menedżerem zadań, który jest powszechnie znany każdemu użytkownikowi systemu Windows. Mimo to jest ono znacznie bardziej funkcjonalne niż to, z którym wszyscy jesteśmy zaznajomieni. Co interesujące, istnieje możliwość, aby ta odmiana menedżera zadań stała się domyślnie zainstalowaną aplikacją w systemie.
ListDLLs
Narzędzie wiersza poleceń, które ukazuje szczegóły dotyczące bibliotek DLL załadowanych do przestrzeni pamięci procesu. Umożliwia pozyskanie następujących danych:
- nazwy bibliotek DLL, które są załadowane do pamięci danego procesu,
- nazwy bibliotek DLL, które są załadowane do pamięci wszystkich procesów w systemie,
- procesy, do których załadowana jest dana biblioteka.
F:\Programy\SysinternalsSuite>Listdlls.exe -r 153524
Listdlls v3.2 - Listdlls
Copyright (C) 1997-2016 Mark Russinovich
Sysinternals
------------------------------------------------------------------------------
googledrivesync.exe pid: 153524
Command line: "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
Base Size Path
0x0000000000400000 0xbe000 C:\Program Files (x86)\Google\Drive\googledrivesync.exe
0x00000000c6790000 0x1d1000 C:\Windows\SYSTEM32\ntdll.dll
0x0000000075dd0000 0x52000 C:\Windows\System32\wow64.dll
0x0000000075e40000 0x77000 C:\Windows\System32\wow64win.dll
0x0000000075e30000 0xa000 C:\Windows\System32\wow64cpu.dll
0x0000000000400000 0xbe000 C:\Program Files (x86)\Google\Drive\googledrivesync.exe
0x0000000077e70000 0x182000 C:\Windows\SysWOW64\ntdll.dll
0x0000000076460000 0xe0000 C:\Windows\SysWOW64\KERNEL32.DLL
0x0000000076070000 0x1a1000 C:\Windows\SysWOW64\KERNELBASE.dll
0x0000000076300000 0x15f000 C:\Windows\SysWOW64\USER32.dll
0x0000000076050000 0x15000 C:\Windows\SysWOW64\win32u.dll
0x0000000075f50000 0x2b000 C:\Windows\SysWOW64\GDI32.dll
0x0000000077720000 0x15b000 C:\Windows\SysWOW64\gdi32full.dll
0x0000000077aa0000 0x63000 C:\Windows\SysWOW64\WS2_32.dll
0x0000000076750000 0x41000 C:\Windows\SysWOW64\sechost.dll
0x0000000076ab0000 0xc1000 C:\Windows\SysWOW64\RPCRT4.dll
0x0000000075ef0000 0x1e000 C:\Windows\SysWOW64\SspiCli.dll
0x0000000075ee0000 0xa000 C:\Windows\SysWOW64\CRYPTBASE.dll
0x0000000075fe0000 0x5a000 C:\Windows\SysWOW64\bcryptPrimitives.dll
0x0000000074470000 0x94000 C:\Windows\WinSxS\[...]\COMCTL32.dll
0x0000000076280000 0x77000 C:\Windows\SysWOW64\ADVAPI32.dll
0x0000000077d40000 0xbe000 C:\Windows\SysWOW64\msvcrt.dll
0x0000000077080000 0x25000 C:\Windows\SysWOW64\IMM32.DLL
Strings
Wyszukiwanie sekwencji znaków w danych binarnych. Możliwe jest wyszukiwanie sekwencji tekstowych zarówno w standardzie ASCII, jak i UNICODE. Poniżej znajduje się fragment rezultatu uzyskanego po wyszukaniu w programie Notepad++. Interesują nas wyłącznie sekwencje tekstowe o długości przekraczającej 50 znaków i w kodowaniu UNICODE.
F:\Programy\SysinternalsSuite>strings.exe -o -n 50 -u "notepad++.exe"
Strings v2.53 - Search for ANSI and Unicode strings in binary images.
Copyright (C) 1999-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
1260736:This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version.
1261222:This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.
1261698:You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
1263624:Select a folder to add in Folder as Workspace panel
1263728:A sub-folder of the folder you want to open exists.
1263832:Please remove it from the panel before you add this one.
1264576:WaitForSingleObject problem in backupCurrentBuffer()!
1264856:WaitForSingleObject problem in deleteCurrentBufferBackup()!
1312232:Find: Found the 1st occurrence from the top. The end of the document has been reached.
1312408:Find: Found the 1st occurrence from the bottom. The beginning of the document has been reached.
1312600:Are you sure you want to replace all occurrences in :
1312776:Replace: Cannot replace text. The current document is read only.
1313192:Count: The regular expression to search is malformed.
1313376:Mark: The regular expression to search is malformed.
Handle
Jest to aplikacja konsolowa umożliwiająca sprawdzenie, jakie deskryptory Handle posiada dany proces. Poniżej znajduje się przykładowe wywołanie aplikacji typu "hello world". Warto zauważyć, jak wiele uchwytów wymaga aplikacja, która jedynie wyświetla jedną linię tekstu w konsoli. Otrzymamy listę wszystkich obiektów, w tym:
- uchwyty do konsoli,
- uchwyty do plików,
- uchwyty rejestrów,
- uchwyty do obiektów synchronizacji “synchronization primitives“,
- uchwyty wątków i procesów.
F:\Programy\SysinternalsSuite>handle.exe -a -p 427784
Nthandle v4.1 - Handle viewer
Copyright (C) 1997-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
4: Event
8: WaitCompletionPacket
C: IoCompletion
10: TpWorkerFactory
14: IRTimer
18: WaitCompletionPacket
1C: IRTimer
20: WaitCompletionPacket
24: <Unknown type>
28: Directory \KnownDlls
2C: Directory \KnownDlls32
30: Event
34: Event
38: File C:\Windows
3C: Event
40: WaitCompletionPacket
44: IoCompletion
48: TpWorkerFactory
4C: IRTimer
50: WaitCompletionPacket
54: IRTimer
58: WaitCompletionPacket
5C: <Unknown type>
60: Directory \KnownDlls32
64: Event
68: Event
6C: File F:\W_Trakcie\RE\TestoweApp\OUT\Hello1
70: File \Device\ConDrv
74: File \Device\ConDrv
78: ALPC Port
7C: File
80: File \Device\ConDrv
84: File \Device\ConDrv
88: <Unknown type>
8C: <Unknown type>
90: <Unknown type>
94: <Unknown type>
98: <Unknown type>
9C: <Unknown type>
A0: <Unknown type>
A4: Key HKLM\SYSTEM\ControlSet001\Control\Nls\CustomLocale
A8: <Unknown type>
AC: IoCompletion
B0: Directory \Sessions\2\BaseNamedObjects
B4: TpWorkerFactory
B8: IRTimer
BC: WaitCompletionPacket
C0: IRTimer
C4: WaitCompletionPacket
C8: Key HKLM\SYSTEM\ControlSet001\Control\Nls\Sorting\Versions
CC: Key HKLM\SYSTEM\ControlSet001\Control\Session Manager
PipeList
Wyświetla wszystkie Named pipes, jakie istnieją w systemie.
F:\Programy\SysinternalsSuite>pipelist.exe
PipeList v1.02 - Lists open named pipes
Copyright (C) 2005-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
Pipe Name Instances Max Instances
--------- --------- -------------
InitShutdown 3 -1
lsass 4 -1
ntsvcs 3 -1
scerpc 3 -1
Winsock2\CatalogChangeListener-64-0 1 1
epmapper 3 -1
Winsock2\CatalogChangeListener-2cc-0 1 1
LSM_API_service 3 -1
atsvc 3 -1
TermSrv_API_service 3 -1
Ctx_WinStation_API_service 3 -1
Winsock2\CatalogChangeListener-458-0 1 1
eventlog 3 -1
Winsock2\CatalogChangeListener-444-0 1 1
wkssvc 4 -1
SessEnvPublicRpc 3 -1
spoolss 3 -1
Winsock2\CatalogChangeListener-89c-0 1 1
WiFiNetworkManagerTask 1 -1
trkwks 3 -1
srvsvc 4 -1
vmware-usbarbpipe 1 -1
vmware-authdpipe 1 -1
Winsock2\CatalogChangeListener-354-0 1 1
MsFteWds 3 -1
Winsock2\CatalogChangeListener-35c-0 1 1
ROUTER 3 -1
PIPE_EVENTROOT\CIMV2SCM EVENT PROVIDER 1 -1
W32TIME_ALT 3 -1
TDLN-133260-41 1 2
TGitCache-0000000002a03e72 19 -1
TGitCacheCommand-0000000002a03e72 4 -1
gecko-crash-server-pipe.221396 1 1
ProtectedPrefix\LocalService\FTHPIPE 1 1
TDLN-356524-41 1 2
TDLN-398516-41 1 2