Инструменты от Microsoft Sysinternals позволяют анализировать систему так Windows, как вряд ли способна какая-либо другая программа. Мы познакомим вас с наиболее важными инструментами и объясним, как они используются и как они работают.
Операционные системы требуют по крайней мере минимального обслуживания, чтобы поддерживать их правильную работу. Некоторые важные инструменты уже входят в комплект поставки Windows, но профессионалы с удовольствием используют и другие полезные инструменты от Microsoft.
Компания бесплатно предоставляет многочисленные инструменты для анализа, обслуживания и устранения неполадок. Некоторые из них предоставляют полезные услуги всем желающим в повседневном использовании, другие только в особых ситуациях.
Может быть несколько причин, по которым инструменты не являются частью стандартного оборудования Windows: операция часто неочевидна из-за количества функций, а иногда необходимо сначала создать предпосылки для использования инструментов.
Наша статья помогает оптимально и разумно использовать почти незаменимые инструменты Microsoft Sysinternals.
Настройте инструменты Microsoft Sysinternals
Если вы хотите разрабатывать системные инструменты для Windows, вам необходимы глубокие знания операционной системы. В 1996 году им уже владели программисты Марк Руссинович и Брайс Когсвелл, которые программировали диагностическое ПО для Windows в своей компании Winternals Software LP. Microsoft приобрела компанию в 2006 году.
Инструменты под названием «Sysinternals» постоянно дорабатываются, адаптируются для более новых версий Windows, таких как Windows 10 и 11, и становятся доступными для бесплатной загрузки. Некоторые из инструментов предлагают графический интерфейс, другие запускаются в PowerShell или командной строке.
В разделе «Скачиваемые файлы» вы найдёте отдельные инструменты, а также пакет Sysinternals, который содержит почти все из них и, следовательно, более 60 инструментов.
Однако, мы рекомендуем Центр управления системой Windows (WSCC) для установки инструментов Sysinternals. Он загружает все или только нужные программы от Microsoft, а также заботится об обновлении. Категории и краткие описания помогают в использовании.
Разархивируйте WSCC в папку с коротким названием, без пробелов и специальных символов, например, «C:\WSCC» или «C:\Tools\WSCC». Это упрощает использование инструментов командной строки.
При первом запуске вы можете установить несколько параметров. Обычно достаточно просто подтвердить нажатием «ОК». В окне «Источники программного обеспечения» выберите пакеты инструментов для установки. В дополнение к «Sysinternals» WSCC также может интегрировать программы, например, от Nirsoft, которые мы не будем рассматривать далее в этой статье. Нажмите «ОК», а затем нажмите «Да». Путь установки можно указать в следующем окне. Примите значение по умолчанию «.\ SysInternals Suite», нажав «ОК». После этого нажмите «Установить», чтобы загрузить все инструменты, или снимите флажки с тех, которые вам не нужны.
В древовидном представлении в левой части окна WSCC показывает категорию «Sysinternals Suite», а под ней группы, такие как «Файл и диск», «Сеть» или «Безопасность». Список связанных инструментов появится в правой части окна. Рядом с каждой программой есть кнопка, запускающая инструмент, а иногда и кнопка «?», которая ведет к файлу справки.
Пакет Sysinternals включает некоторые программы с суффиксом «64» в названиях. Это 64-битные версии. В WSCC вы можете «Запустить 64-битную версию, если она доступна» через «Настройки» в разделе «Общие». Затем, если доступно, запускается 64-битный инструмент.
Конфигурация инструментов командной строки: вы можете запустить каждый инструмент непосредственно из каталога загрузки через проводник Windows или командную строку. В PowerShell или командной строке необходимо поставить каталог перед именем программы. Этого можно избежать, включив папку в переменную среды «Path». Для настройки найдите изменение переменных среды текущего пользователя в «Параметрах» (Win + I) и нажмите «Изменить переменные среды для этой учетной записи» в результатах поиска.
В разделе «Переменные пользователя» нажмите «Path», затем нажмите Изменить. Добавьте каталог, в котором находятся инструменты SysInternals, через «Создать». Затем их можно запустить, просто введя их название.
Process Explorer – что сейчас работает на ПК
На компьютере запущены приложения, которые вы запустили сами, а также многочисленные фоновые процессы и службы. Диспетчер задач Windows, который можно запустить с помощью Ctrl + Shift + Esc, даёт общее представление.
Инструмент Sysinternals Process Explorer (Procexp.exe, Procexp64.exe) предлагает больше функциональных возможностей, чем диспетчер задач Windows. Программа использует цветной фон, чтобы показать вам, что в данный момент происходит на ПК. Только что запущенные процессы отмечены зелёным фоном, а завершённые – красным.
Список можно отсортировать по названию, загрузке процессора («CPU») и загрузке памяти («Private Bytes»), щелкнув заголовки столбцов. Вы найдёте приложения, которые используют много оперативной памяти или предъявляют высокие требования к процессору.
Щёлкнув «Свойства» в контекстном меню, вы получите более подробные сведения. Вкладки «Performance» и «Performance Graph» дадут вам графический обзор активности процессора и памяти за более длительный период времени. На вкладке TCP/IP показано, к каким сетевым ресурсам в данный момент обращается приложение.
Процессы, у которых произошел сбой, можно остановить через пункт контекстного меню «Kill Process» или перезапустить через «Restart». Это cработает, только если у вас есть необходимые права доступа. Если нет, перейдите в «Файл → Запуск от имени администратора», чтобы запустить Process Explorer с более высокими привилегиями.
Опасные процессы? Если какие-то процессы кажутся вам подозрительными, перейдите в «Поиск в Интернете» в контекстном меню. Это запускает интернет-поиск названия процесса в браузере, что даст вам больше информации. Если вы подозреваете что это вредоносное ПО, перейдите в «Проверить на Virustotal.com» в контекстном меню. При первом посещении вы должны подтвердить условия использования www.virustotal.com. Чтобы проверить все работающие программы, перейдите в «Параметры» → «VirusTotal.com» → «Проверить VirusTotal.com».
Результат проверки на вирусы вы можете увидеть в столбце «VirusTotal». Например, если программа говорит «0/75», вы с большой долей вероятности можете классифицировать файл как безвредный. Если появляется «1/75», значит, его маркировал один из 75 антивирусных сканеров. При нажатии на результат Virustotal открывается отчёт о тестировании в браузере. Если только один или два антивирусных сканера сообщили об аномалиях, можно предположить ошибочное обнаружение. Если их больше, это может указывать на вредоносное ПО. Если это так, нажмите «Поведение» или «Сообщество» на веб-сайте Virustotal, чтобы узнать больше об этом файле. Если вы сомневаетесь, вам следует удалить уязвимую программу и тщательно проверить систему с помощью новейшего антивирусного программного обеспечения.
Autoruns: уменьшить количество автоматических запусков
Свежеустановленная винда запускается быстро и отвечает без задержек. Всё меняется через какое-то время. Это вызвано тем, что многие программы добавляют себя в автоматический запуск во время установки. Затем программа может, например, искать обновления или ожидать событий в фоновом режиме. Однако, это задерживает запуск Windows и замедляет работу системы. На самом деле, ни одна из программ не нуждается в автозапуске, он лишь добавляет удобства. В любом случае, вы должны взвесить, важна ли для вас программа автозапуска и хотите ли вы мириться с отложенным запуском системы.
Sysinternals Autoruns (Autoruns.exe, Autoruns64.exe) знает все рампы автозапуска, а также может отображать и управлять расширениями для Windows Explorer и Microsoft Office.
После запуска инструмент показывает несколько вкладок для разных областей. Удобнее видеть все вместе на вкладке Everything. Список довольно длинный, но его можно ограничить продуктами, которые не поставляются Microsoft и поэтому были добавлены позже как программное обеспечение других производителей через «Параметры → Скрыть записи Microsoft».
Снимите галочки со всех записей, которые вам не нужны. Это ничего не удалит. Если позже выяснится, что программа должна запускаться автоматически, поставьте галочку ещё раз.
Используйте «Файл → Запуск от имени администратора», чтобы запустить автозапуск с повышенными правами. Как правило, в этом нет необходимости, за исключением, например, отключения системных служб в разделе «Службы». Однако, здесь рекомендуется соблюдать осторожность. Не отключайте никакие службы Microsoft, так как это может привести к сбоям в работе.
Сохраните и сравните: после нескольких установок программного обеспечения могут появиться новые записи автозапуска. Чтобы не пришлось их утомительно искать, сохраните текущий статус в файл через «Файл → Сохранить». Позже сохраненный статус можно сравнить с текущей конфигурацией через «Файл → Сравнить». Инструмент выделяет новые записи зеленым цветом, удаленные – красным.
Изучите процессы более внимательно: иногда неясно, какая программа стоит за записью автозапуска и какова её функция. Как и в случае с Process Explorer, вы можете щёлкнуть правой кнопкой мыши «Поиск в Интернете» и начать поиск в Интернете по названию процесса в браузере.
Вы можете выполнить проверку безопасности – аналогично Process Explorer – через пункт контекстного меню «Отправить файл в VirusTotal» или «Проверить VirusTotal.com». Программы, для которых Virustotal сообщает о большом количестве обнаруженных вирусов, следует изучить более внимательно и, если есть сомнения, удалить или переименовать.
Монитор процессов: исследуйте поведение программ
Сканер вирусов может обнаруживать вредоносные программы или классифицировать программу как опасную на основе её поведения. Однако, вы также можете самостоятельно проверить, к каким файлам, записям реестра или сетевым ресурсам обращается программа, и, таким образом, обнаружить нежелательное поведение.
Эту информацию можно определить с помощью Process Monitor (Procmon.exe, Procmon64.exe). Однако это непростая задача, ведь практически все программы постоянно обращаются к жесткому диску или к сети, и отфильтровать нужную информацию из массы данных сложно.
Мониторинг начинается сразу после запуска Process Monitor. Остановите запись через короткое время с помощью комбинации клавиш Ctrl + E. Окно программы показывает хронологический список обращений из всех активных программ. В разделе «Имя процесса» указано имя программы, выполнившей действие, в разделе «Операция» – само действие. Например, «RegQueryValue» означает, что программа запросила значение из реестра.
Конкретное программное обеспечение можно проверить с помощью фильтра. Откройте программу, которую хотите проверить, нажмите на значок цели («Включить процесс из окна») в Мониторе процессов, зажмите левую кнопку мыши и перетащите перекрестие в окно программы, которую нужно проверить. Перейдите в «Фильтр → Фильтр». Некоторые записи уже существуют в списке, например, чтобы исключить из сканирования сам Procmon.exe. Строка «PID is [ID] include» является новой в начале, где «[ID]» – это идентификатор процесса выбранной программы. В главном окне Process Monitor активируйте запись комбинацией клавиш Ctrl + E.
Для альтернативной конфигурации перейдите в «Фильтр → Фильтр» и нажмите Reset. В разделе «Отображать записи, соответствующие этим условиям:» выберите запись «Имя процесса». Справа введите «is», а затем имя программы, которую вы хотите проверить, включая расширение имени файла «.exe». В конце строки выберите «Включить».
Например, определите имя программы с помощью Process Explorer. При необходимости определите дополнительные фильтры, например, «Класс события включает в себя сеть», если вас интересует только доступ к сети, или «Класс события включает в себя файловую систему». Нажмите «Добавить» и, наконец, «ОК».
После того, как вы установили выбор фильтра, удалите ранее записанные события с помощью Ctrl + X и снова начните запись с помощью Ctrl + E. Между прочим, область, которую отображает список событий, также может быть ограничена с помощью пяти кнопок в правой части панели инструментов, например, доступом к реестру или сети.
Совет. Инструмент Sysinternals Sysmon можно использовать для регистрации всех или выбранных системных событий, которые могут указывать на вредоносный код или действия хакеров.
PS-Tools: инструменты командной строки для удаленного обслуживания
Инструменты Sysinternals включают несколько инструментов командной строки, имена которых начинаются с «PS». С помощью инструментов PS вы можете отображать запущенные процессы, завершать процессы или выключать ПК. Файл Pstools.chm содержит справку по инструментам.
Эти инструменты особенно интересны тем, что их можно использовать для удаленного управления другими компьютерами в сети. На целевых ПК вам необходимо запустить следующие три командные строки в командной строке от имени администратора, а затем перезагрузить ПК:
sc config RemoteRegistry start=auto
sc start RemoteRegistry
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
Также убедитесь, что вы можете получить доступ к общим сетевым ресурсам через проводник Windows и что общий доступ к файлам и принтерам включен.
Все инструменты работают на локальном ПК, если вы не укажете другие параметры. Для удаленного доступа инструменты ожидают IP-адрес или имя ПК, к которому вы хотите получить доступ.
Общая форма вызова:
tool.exe \[IP] -u [User] -p [Pass] [другие опции]
Handle Viewer: освободить заблокированные папки
Иногда папки или файлы невозможно удалить или переименовать. Сообщение об ошибке гласит: «Действие не может быть выполнено, поскольку папка (или файл в ней) открыта в другой программе». Аналогичное сообщение появляется, когда предполагается правильное извлечение USB-накопителя, но этому препятствует открытый файл.
Windows обычно не указывает, в какой именно программе открыт файл или папка. Инструмент Sysinternals Handle Viewer (handle.exe, handle64.exe) немного «болтливее».
Запустите его в PowerShell или командной строке, которую вы запускаете с правами администратора:
handle C:[Path
где вы вводите полный путь к затронутой папке или файлу. Handle печатает имя программы, идентификатор её процесса и идентификатор дескриптора. Если программа всё еще запущена, закройте её.
Если программа зависла в фоновом режиме, закройте дескриптор, введя команду:
handle -p [Process-ID] -c [Handle-ID]
Закрывается только дескриптор, программа обычно продолжает работать. Однако, несохраненные файлы могут потерять данные.
