Notatnik techniczny

Narzędzia #6 (Sysinternals)

W dzisiejszym wpisie postanowiłem omówić wybrane narzędzia z zestawu Windows Sysinternals. Cały pakiet jest dostępny do pobrania tutaj.

Desktops v2.0

Aplikacja pozwalająca na dodawanie wirtualnych pulpitów w systemie Windows.

Desktops

Desktops

BgInfo

Pozwala wyświetlić podstawowe informacje o systemie na pulpicie. Jest to użyteczne, gdy często łączymy się z różnymi urządzeniami.

BgInfo

Autoruns for Windows

Narzędzie umożliwiające zobaczenie oraz usunięcie aplikacji, które uruchamiane są podczas startu systemu.

Autoruns for Windows

TCPView

Wyświetla informacje o zarejestrowanych w systemie endpointach TCP oraz UDP.

TCPView

Process Monitor

Przydatne narzędzie pozwalające monitorować procesy w systemie. By z niego skorzystać, musimy na samym początku zdefiniować, które z nich chcemy obserwować. Po dokonaniu tego kroku jesteśmy w stanie zapoznać się ze szczegółami poszczególnych procesów, m.in. o:

  • plikach, które są czytane lub zapisywane przez proces,
  • otwieranych kluczach rejestru,
  • hostach, z którymi proces się komunikuje,
  • wątkach, które proces tworzy.

Process Monitor

Process Explorer

Narzędzie, które jest niczym innym jak managerem zadań znanym każdemu użytkownikowi systemu windows. Jest jednak dużo bardziej użyteczne niż to, które wszyscy znamy. Co ciekawe, istnieje szansa, by ta wersja menagera zadań była domyślną aplikacją systemu.

Process Explorer

ListDLLs

Narzędzie linii poleceń, które wyświetla informacje o bibliotekach DLL załadowanych do pamięci procesu.

Pozwala na uzyskanie następujących informacji:

  • nazwy bibliotek DLL, które są załadowane do pamięci danego procesu,
  • nazwy bibliotek DLL, które są załadowane do pamięci wszystkich procesów w systemie,
  • procesy, do których załadowana jest dana biblioteka.
F:\Programy\SysinternalsSuite>Listdlls.exe -r 153524
 
Listdlls v3.2 - Listdlls
Copyright (C) 1997-2016 Mark Russinovich
Sysinternals
 
------------------------------------------------------------------------------
googledrivesync.exe pid: 153524
Command line: "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
 
Base                Size      Path
0x0000000000400000  0xbe000   C:\Program Files (x86)\Google\Drive\googledrivesync.exe
0x00000000c6790000  0x1d1000  C:\Windows\SYSTEM32\ntdll.dll
0x0000000075dd0000  0x52000   C:\Windows\System32\wow64.dll
0x0000000075e40000  0x77000   C:\Windows\System32\wow64win.dll
0x0000000075e30000  0xa000    C:\Windows\System32\wow64cpu.dll
0x0000000000400000  0xbe000   C:\Program Files (x86)\Google\Drive\googledrivesync.exe
0x0000000077e70000  0x182000  C:\Windows\SysWOW64\ntdll.dll
0x0000000076460000  0xe0000   C:\Windows\SysWOW64\KERNEL32.DLL
0x0000000076070000  0x1a1000  C:\Windows\SysWOW64\KERNELBASE.dll
0x0000000076300000  0x15f000  C:\Windows\SysWOW64\USER32.dll
0x0000000076050000  0x15000   C:\Windows\SysWOW64\win32u.dll
0x0000000075f50000  0x2b000   C:\Windows\SysWOW64\GDI32.dll
0x0000000077720000  0x15b000  C:\Windows\SysWOW64\gdi32full.dll
0x0000000077aa0000  0x63000   C:\Windows\SysWOW64\WS2_32.dll
0x0000000076750000  0x41000   C:\Windows\SysWOW64\sechost.dll
0x0000000076ab0000  0xc1000   C:\Windows\SysWOW64\RPCRT4.dll
0x0000000075ef0000  0x1e000   C:\Windows\SysWOW64\SspiCli.dll
0x0000000075ee0000  0xa000    C:\Windows\SysWOW64\CRYPTBASE.dll
0x0000000075fe0000  0x5a000   C:\Windows\SysWOW64\bcryptPrimitives.dll
0x0000000074470000  0x94000   C:\Windows\WinSxS\[...]\COMCTL32.dll
0x0000000076280000  0x77000   C:\Windows\SysWOW64\ADVAPI32.dll
0x0000000077d40000  0xbe000   C:\Windows\SysWOW64\msvcrt.dll
0x0000000077080000  0x25000   C:\Windows\SysWOW64\IMM32.DLL