Notatnik techniczny

Narzędzia #6 (Sysinternals)

Dziś omawiam wybrane narzędzia z zestawu Windows Sysinternals. Wszystkie razem w pakiecie są do pobrania tutaj z Sysinternals Suite.

Desktops v2.0

Aplikacja dodająca wirtualne pulpity w systemie Windows.

Desktops

Desktops

BgInfo

Wyświetla podstawowe informacje o systemie na pulpicie. Przydatne, gdy często łączymy się zdalnie z różnymi maszynami.

BgInfo

Autoruns for Windows

Narzędzie pozwala zobaczyć oraz usunąć aplikacje uruchamiane podczas startu systemu.

Autoruns for Windows

TCPView

Wyświetla informacje o zarejestrowanych w systemie endpointach TCP oraz UDP.

TCPView

Process Monitor

W pierwszym kroku definiujemy, które procesy chcemy obserwować. Gdy to zrobimy, możemy zapoznać się ze szczegółami aktywności procesu, m.in.:

 • jakie pliki proces czyta lub zapisuje,
 • które klucze rejestru otwiera,
 • z jakimi hostami proces się komunikuje,
 • wątki, jakie proces tworzy i zabija.

Process Monitor

Process Explorer

Manager zadań – tylko lepszy niż ten domyślny w Windows. Można go nawet zintegrować z systemem, aby stał się domyślną aplikacją.

Process Explorer

ListDLLs

Narzędzie linii poleceń, które wyświetla informacje o bibliotekach DLL załadowanych do pamięci procesu.

Pozwala uzyskać następujące informacje:

 • jakie biblioteki DLL są załadowane do pamięci danego procesu,
 • jakie biblioteki DLL są załadowane do pamięci wszystkich procesów w systemie,
 • do jakich procesów załadowana jest dana biblioteka.
F:\Programy\SysinternalsSuite>Listdlls.exe -r 153524
 
Listdlls v3.2 - Listdlls
Copyright (C) 1997-2016 Mark Russinovich
Sysinternals
 
------------------------------------------------------------------------------
googledrivesync.exe pid: 153524
Command line: "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
 
Base        Size   Path
0x0000000000400000 0xbe000  C:\Program Files (x86)\Google\Drive\googledrivesync.exe
0x00000000c6790000 0x1d1000 C:\Windows\SYSTEM32\ntdll.dll
0x0000000075dd0000 0x52000  C:\Windows\System32\wow64.dll
0x0000000075e40000 0x77000  C:\Windows\System32\wow64win.dll
0x0000000075e30000 0xa000  C:\Windows\System32\wow64cpu.dll
0x0000000000400000 0xbe000  C:\Program Files (x86)\Google\Drive\googledrivesync.exe
0x0000000077e70000 0x182000 C:\Windows\SysWOW64\ntdll.dll
0x0000000076460000 0xe0000  C:\Windows\SysWOW64\KERNEL32.DLL
0x0000000076070000 0x1a1000 C:\Windows\SysWOW64\KERNELBASE.dll
0x0000000076300000 0x15f000 C:\Windows\SysWOW64\USER32.dll
0x0000000076050000 0x15000  C:\Windows\SysWOW64\win32u.dll
0x0000000075f50000 0x2b000  C:\Windows\SysWOW64\GDI32.dll
0x0000000077720000 0x15b000 C:\Windows\SysWOW64\gdi32full.dll
0x0000000077aa0000 0x63000  C:\Windows\SysWOW64\WS2_32.dll
0x0000000076750000 0x41000  C:\Windows\SysWOW64\sechost.dll
0x0000000076ab0000 0xc1000  C:\Windows\SysWOW64\RPCRT4.dll
0x0000000075ef0000 0x1e000  C:\Windows\SysWOW64\SspiCli.dll
0x0000000075ee0000 0xa000  C:\Windows\SysWOW64\CRYPTBASE.dll
0x0000000075fe0000 0x5a000  C:\Windows\SysWOW64\bcryptPrimitives.dll
0x0000000074470000 0x94000  C:\Windows\WinSxS\[...]\COMCTL32.dll
0x0000000076280000 0x77000  C:\Windows\SysWOW64\ADVAPI32.dll
0x0000000077d40000 0xbe000  C:\Windows\SysWOW64\msvcrt.dll
0x0000000077080000 0x25000  C:\Windows\SysWOW64\IMM32.DLL