Notatnik techniczny

Narzędzia #6 (Sysinternals)

Dziś omawiam wybrane narzędzia z zestawu Windows Sysinternals. Wszystkie razem w pakiecie są do pobrania tutaj z Sysinternals Suite.

Desktops v2.0

Aplikacja dodająca wirtualne pulpity w systemie Windows.

Desktops

Desktops

BgInfo

Wyświetla podstawowe informacje o systemie na pulpicie. Przydatne, gdy często łączymy się zdalnie z różnymi maszynami.

BgInfo

Autoruns for Windows

Narzędzie pozwala zobaczyć oraz usunąć aplikacje uruchamiane podczas startu systemu.

Autoruns for Windows

TCPView

Wyświetla informacje o zarejestrowanych w systemie endpointach TCP oraz UDP.

TCPView

Process Monitor

W pierwszym kroku definiujemy, które procesy chcemy obserwować. Gdy to zrobimy, możemy zapoznać się ze szczegółami aktywności procesu, m.in.:

  • jakie pliki proces czyta lub zapisuje,
  • które klucze rejestru otwiera,
  • z jakimi hostami proces się komunikuje,
  • wątki, jakie proces tworzy i zabija.

Process Monitor

Process Explorer

Manager zadań – tylko lepszy niż ten domyślny w Windows. Można go nawet zintegrować z systemem, aby stał się domyślną aplikacją.

Process Explorer

ListDLLs

Narzędzie linii poleceń, które wyświetla informacje o bibliotekach DLL załadowanych do pamięci procesu.

Pozwala uzyskać następujące informacje:

  • jakie biblioteki DLL są załadowane do pamięci danego procesu,
  • jakie biblioteki DLL są załadowane do pamięci wszystkich procesów w systemie,
  • do jakich procesów załadowana jest dana biblioteka.
F:\Programy\SysinternalsSuite>Listdlls.exe -r 153524
 
Listdlls v3.2 - Listdlls
Copyright (C) 1997-2016 Mark Russinovich
Sysinternals
 
------------------------------------------------------------------------------
googledrivesync.exe pid: 153524
Command line: "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
 
Base                Size      Path
0x0000000000400000  0xbe000   C:\Program Files (x86)\Google\Drive\googledrivesync.exe
0x00000000c6790000  0x1d1000  C:\Windows\SYSTEM32\ntdll.dll
0x0000000075dd0000  0x52000   C:\Windows\System32\wow64.dll
0x0000000075e40000  0x77000   C:\Windows\System32\wow64win.dll
0x0000000075e30000  0xa000    C:\Windows\System32\wow64cpu.dll
0x0000000000400000  0xbe000   C:\Program Files (x86)\Google\Drive\googledrivesync.exe
0x0000000077e70000  0x182000  C:\Windows\SysWOW64\ntdll.dll
0x0000000076460000  0xe0000   C:\Windows\SysWOW64\KERNEL32.DLL
0x0000000076070000  0x1a1000  C:\Windows\SysWOW64\KERNELBASE.dll
0x0000000076300000  0x15f000  C:\Windows\SysWOW64\USER32.dll
0x0000000076050000  0x15000   C:\Windows\SysWOW64\win32u.dll
0x0000000075f50000  0x2b000   C:\Windows\SysWOW64\GDI32.dll
0x0000000077720000  0x15b000  C:\Windows\SysWOW64\gdi32full.dll
0x0000000077aa0000  0x63000   C:\Windows\SysWOW64\WS2_32.dll
0x0000000076750000  0x41000   C:\Windows\SysWOW64\sechost.dll
0x0000000076ab0000  0xc1000   C:\Windows\SysWOW64\RPCRT4.dll
0x0000000075ef0000  0x1e000   C:\Windows\SysWOW64\SspiCli.dll
0x0000000075ee0000  0xa000    C:\Windows\SysWOW64\CRYPTBASE.dll
0x0000000075fe0000  0x5a000   C:\Windows\SysWOW64\bcryptPrimitives.dll
0x0000000074470000  0x94000   C:\Windows\WinSxS\[...]\COMCTL32.dll
0x0000000076280000  0x77000   C:\Windows\SysWOW64\ADVAPI32.dll
0x0000000077d40000  0xbe000   C:\Windows\SysWOW64\msvcrt.dll
0x0000000077080000  0x25000   C:\Windows\SysWOW64\IMM32.DLL