Sysinternals Suite 10.27.2015 Portable – สำหรับการกำหนดค่า การเพิ่มประสิทธิภาพ และการทดสอบ

– แพ็คเกจยูทิลิตี้ทางเทคนิคขนาดใหญ่สำหรับการกำหนดค่า การเพิ่มประสิทธิภาพ การทดสอบ การระบุ และการแก้ไขข้อผิดพลาดในระบบปฏิบัติการตระกูล Windows

แอพพลิเคชั่นของแพ็คเกจนี้ค่อนข้างกว้างเนื่องจากยูทิลิตี้จากแพ็คเกจนี้ครอบคลุมหลายพื้นที่ของระบบปฏิบัติการ ตัวอย่างเช่น ยูทิลิตี้ Autoruns จะตรวจสอบการเริ่มต้น, Process Monitor จะตรวจสอบการกระทำทั้งหมดที่เกิดขึ้นในระบบไฟล์ของคอมพิวเตอร์ และยูทิลิตี้ PageDefrag จะปรับให้เหมาะสมและจัดเรียงข้อมูลรีจิสทรีของระบบ

รายการสาธารณูปโภคที่รวมอยู่ในแพ็คเกจ:
AccessChk, AccessEnum, AdExplorer, AdRestore, Autologon, การทำงานอัตโนมัติ, BgInfo, CacheSet, ClockRes, Contig, Coreinfo, Ctrl2Cap, DebugView, เดสก์ท็อป, DiskExt, DiskMon, DiskView, การใช้งานดิสก์ (DU), EFSDump, FileMon, จัดการ, Hex2dec, Junction, LDMDump, ListDLLs, LiveKd, LoadOrder, LogonSessions, NewSid, NTFSInfo, PageDefrag, PendMoves, PortMon, ProcessExplorer, การตรวจสอบกระบวนการ, ProcFeatures, PsExec, PsFile, PsGetSid, PsInfo, PsKill, PsList, PsLoggedOn, PsLogList, PsPasswd, , PsShutdown, PsSuspend , RegDelNull, RegJump, RegMon, RootkitRevealer, SDelete, ShareEnum, ShellRunas, SigCheck, สตรีม, สตริง, ซิงค์, TCPView, VolumeID, WhoIs, WinObj, VMMap, ZoomIt

รวมถึง:

• AccessChk เป็นเครื่องมือบรรทัดคำสั่งสำหรับการดูสิทธิ์ที่มีประสิทธิภาพสำหรับไฟล์ รีจิสตรีคีย์ บริการ กระบวนการ วัตถุเคอร์เนล และอื่นๆ
• AccessEnum เป็นเครื่องมือรักษาความปลอดภัยที่เรียบง่ายแต่ทรงพลัง ซึ่งจะแสดงให้คุณเห็นว่าใครมีสิทธิ์เข้าถึงไดเร็กทอรี ไฟล์ และรีจิสตรีคีย์ในระบบของคุณ ด้วยความช่วยเหลือคุณสามารถค้นหาช่องโหว่ในสิทธิ์ของคุณได้
• AdExplorer Active Directory Explorer เป็นผู้ดูและแก้ไข Active Directory (AD) ขั้นสูง
• AdInsight เป็นเครื่องมือตรวจสอบ LDAP (Light-weight Directory Access Protocol) แบบเรียลไทม์ที่มุ่งแก้ไขปัญหาแอปพลิเคชันไคลเอนต์ Active Directory
• AdRestore คืนค่าออบเจ็กต์ Active Directory ของ Server 2003
• ข้ามรหัสผ่านอัตโนมัติเมื่อเข้าสู่ระบบ
• การทำงานอัตโนมัติจะแสดงว่าโปรแกรมใดเริ่มทำงานโดยอัตโนมัติเมื่อระบบบู๊ตหรือเมื่อคุณเข้าสู่ระบบ การทำงานอัตโนมัติก็แสดงเช่นกัน รายการทั้งหมดเส้นทางรีจิสทรีและตำแหน่งไฟล์แอปพลิเคชันที่สามารถกำหนดค่าให้เริ่มทำงานโดยอัตโนมัติ
• BgInfo เป็นโปรแกรมที่ปรับแต่งได้อย่างสมบูรณ์ซึ่งสร้างวอลเปเปอร์เดสก์ท็อปโดยอัตโนมัติซึ่งมีข้อมูลระบบที่สำคัญ รวมถึงที่อยู่ IP ชื่อคอมพิวเตอร์ อะแดปเตอร์เครือข่าย และอื่นๆ
• CacheSet เป็นโปรแกรมที่ให้คุณควบคุมขนาดของชุดการทำงานของ Cache Manager โดยใช้ฟังก์ชันที่ NT มอบให้ มันเข้ากันได้กับ NT ทุกรุ่น
• ClockRes ดูความละเอียดของนาฬิการะบบ ซึ่งเป็นความละเอียดสูงสุดของตัวจับเวลาด้วย
• Contig คุณต้องการจัดเรียงไฟล์ที่ใช้บ่อยอย่างรวดเร็วหรือไม่? ใช้ Contig เพื่อเพิ่มประสิทธิภาพแต่ละไฟล์ หรือสร้างไฟล์ใหม่ที่ต่อเนื่องกัน
• Coreinfo เป็นโปรแกรมอรรถประโยชน์บรรทัดคำสั่งที่แสดงการแมประหว่างตัวประมวลผลแบบลอจิคัลและฟิสิคัล โหนด NUMA และซ็อกเก็ตที่พวกมันอยู่ และแคชที่กำหนดให้กับตัวประมวลผลแบบลอจิคัลแต่ละตัว
• Ctrl2Cap เป็นไดรเวอร์โหมดเคอร์เนลที่สาธิตการกรองอินพุตของแป้นพิมพ์ก่อนไดรเวอร์คลาสแป้นพิมพ์เพื่อเปลี่ยน Caps-Lock ให้เป็นปุ่ม CTRL การกรองในระดับนี้ทำให้คุณสามารถแปลงและซ่อนคีย์ก่อนที่ NT จะ "เห็น" Ctrl2cap ยังแสดงวิธีใช้ NtDisplayString() เพื่อพิมพ์ข้อความเริ่มต้นหน้าจอสีน้ำเงิน
• DebugView โปรแกรมนี้สกัดกั้นการเรียกที่ทำกับ DbgPrint โดยไดรเวอร์อุปกรณ์และ OutputDebugString ที่ทำโดยโปรแกรม Win32 ซึ่งจะทำให้คุณสามารถดูและบันทึกผลลัพธ์ของเซสชันการดีบักบนเครื่องของคุณหรือทางอินเทอร์เน็ตโดยไม่ต้องมีดีบักเกอร์ที่ทำงานอยู่
• เดสก์ท็อปช่วยให้คุณจัดระเบียบแอปพลิเคชันของคุณบนเดสก์ท็อปเสมือนสี่เครื่อง
• Disk2vhd เป็นยูทิลิตี้ที่สร้างฟิสิคัลดิสก์เวอร์ชัน VHD (รูปแบบ Virtual Hard Disk ของ Microsoft) เพื่อใช้ใน Microsoft Virtual PC หรือเครื่องเสมือน Microsoft Hyper-V
• DiskExt แสดงปริมาณการแมปดิสก์
• DiskMon - ยูทิลิตี้นี้จะดักจับกิจกรรมฮาร์ดไดรฟ์ทั้งหมดหรือทำหน้าที่เป็นซอฟต์แวร์ "หลอดไฟ" ของกิจกรรมดิสก์ในถาดระบบ
• DiskView เป็นโปรแกรมอรรถประโยชน์สำหรับการแสดงเซกเตอร์ของดิสก์แบบกราฟิก
• การใช้งานดิสก์ (DU) ดูการใช้พื้นที่ดิสก์ในไดเร็กทอรี
• EFSDump ดูข้อมูลเกี่ยวกับไฟล์ที่เข้ารหัส
• FindLinks รายงานดัชนีไฟล์และฮาร์ดลิงก์ใดๆ ที่มีอยู่สำหรับไฟล์ที่ระบุ
• Handle เป็นโปรแกรมอรรถประโยชน์บรรทัดคำสั่งที่มีประโยชน์ซึ่งจะแสดงให้คุณเห็นว่ากระบวนการใดมีไฟล์ใดบ้างที่เปิดอยู่ และอื่นๆ อีกมากมาย
• Hex2dec แปลงเลขฐานสิบหกเป็นทศนิยมและในทางกลับกัน
• ทางแยกสร้างลิงก์สัญลักษณ์ Win2K NTFS
• LDMDump ถ่ายโอนข้อมูลเนื้อหาของฐานข้อมูล Logical Disk Manager บนดิสก์ที่อธิบายการแบ่งพาร์ติชันของดิสก์ไดนามิก Windows 2000
• ListDLLs รายการ DLL ทั้งหมดที่โหลดอยู่ในปัจจุบัน รวมถึงตำแหน่งที่โหลดและหมายเลขเวอร์ชัน เวอร์ชัน 2.0 แสดงเส้นทางแบบเต็มของโมดูลที่โหลด
• LiveKd ใช้ตัวดีบักเกอร์เคอร์เนลของ Microsoft เพื่อตรวจสอบระบบที่ใช้งานจริง
• LoadOrder ดูลำดับการโหลดอุปกรณ์บนระบบ WinNT/2K ของคุณ
• รายการ LogonSessions ของเซสชันการเข้าสู่ระบบที่ใช้งานอยู่
• MoveFile ช่วยให้คุณสามารถกำหนดเวลาการย้ายและลบคำสั่งสำหรับการรีบูตครั้งถัดไป
• NTFSInfo ใช้ NTFSInfo เพื่อดูข้อมูลโดยละเอียดเกี่ยวกับไดรฟ์ข้อมูล NTFS รวมถึงขนาดและตำแหน่งของ Master File Table (MFT) และโซน MFT และขนาดของไฟล์ข้อมูลเมตา NTFS
• PageDefrag จัดเรียงไฟล์สลับและสาขารีจิสทรีของคุณ
• PendMoves แสดงรายการคำสั่งเปลี่ยนชื่อไฟล์และการลบคำสั่งที่จะดำเนินการในการบูตครั้งถัดไป
• PipeList รับรายการไดเร็กทอรีไปป์ที่มีชื่อซึ่งกำหนดบนระบบ
• PortMon เป็นเครื่องมือขั้นสูงสำหรับการตรวจสอบกิจกรรมของพอร์ตอนุกรมและพอร์ตขนาน โดยรู้เกี่ยวกับ IOCTL แบบอนุกรมและแบบขนานมาตรฐานทั้งหมด และยังแสดงข้อมูลที่ส่งและรับบางส่วนอีกด้วย เวอร์ชัน 3.x มีอินเทอร์เฟซที่ทรงพลังและได้รับการปรับปรุงและความสามารถในการกรองขั้นสูง
• ProcDump เป็นโปรแกรมอรรถประโยชน์บรรทัดคำสั่งที่ออกแบบมาเพื่อตรวจสอบแอปพลิเคชันสำหรับการใช้งาน CPU ที่เพิ่มขึ้นอย่างรวดเร็ว และสร้างการดัมพ์ข้อขัดข้องในระหว่างที่มีการขัดขวาง ผู้ดูแลระบบหรือนักพัฒนาสามารถใช้เพื่อระบุสาเหตุของการขัดขวางได้
• ยูทิลิตี้ ProcessExplorer ช่วยให้คุณค้นหาไฟล์, รีจิสตรีคีย์และกระบวนการอื่น ๆ, วัตถุที่เปิดอยู่, ไลบรารีใดที่โหลดโดยพวกเขาและอีกมากมาย ยูทิลิตี้ที่ทรงพลังและมีเอกลักษณ์นี้จะแสดงให้คุณเห็นว่าใครเป็นเจ้าของแต่ละกระบวนการด้วยซ้ำ
• ProcessMonitor ตรวจสอบระบบไฟล์ รีจิสทรี กระบวนการ เธรด และกิจกรรม DLL แบบเรียลไทม์
• PsExec รันกระบวนการโดยมีสิทธิ์ผู้ใช้แบบจำกัด
• PsFile จะแสดงไฟล์ที่ถูกเปิดจากระยะไกล
• PsGetSid แสดงตัวระบุคอมพิวเตอร์ (SID) หรือผู้ใช้
• PsInfo แสดงข้อมูลระบบ
• PsKill ฆ่ากระบวนการภายในหรือระยะไกล
• PsList แสดงข้อมูลเกี่ยวกับกระบวนการและเธรด
• PsLoggedOn แสดงผู้ใช้ที่เข้าสู่ระบบ
• PsLogList ทิ้งรายการบันทึกเหตุการณ์
• การเปลี่ยนรหัสผ่าน PsPasswd บัญชี.
• PsService ดูและจัดการบริการ
• ปิดระบบ PsShutdown และรีสตาร์ทคอมพิวเตอร์หรือไม่ก็ได้
• PsSuspend ระงับและดำเนินกระบวนการต่อ
• ยูทิลิตี้ RAMMap สำหรับการวิเคราะห์การใช้งานหน่วยความจำกายภาพสำหรับ Windows Vista และสูงกว่า
• RegDelNull ตรวจสอบและลบคีย์รีจิสทรีที่มีอักขระ null ที่ไม่สามารถลบออกได้โดยใช้เครื่องมือแก้ไขรีจิสทรีมาตรฐาน
• RegJump ข้ามไปยังเส้นทางรีจิสทรีที่ระบุใน Regedit
• RootkitRevealer จะสแกนระบบของคุณเพื่อหาภัยคุกคามรูทคิท
• SDelete ด้วยโปรแกรมลบที่ปลอดภัยตามมาตรฐาน DoD คุณจะเขียนทับไฟล์สำคัญได้อย่างปลอดภัย และล้างพื้นที่ว่างของไฟล์ที่ถูกลบไปก่อนหน้านี้
• ShareEnum สแกนไฟล์ที่แชร์บนเครือข่ายและตรวจสอบการตั้งค่าความปลอดภัยเพื่อปิดช่องโหว่ด้านความปลอดภัย
• ShellRunas เปิดตัวโปรแกรมในนามของผู้ใช้รายอื่นผ่านทางรายการที่สะดวกของเมนูบริบทของเชลล์
• ข้อมูลเวอร์ชันไฟล์ดัมพ์ SigCheck และตรวจสอบลายเซ็นดิจิทัล
• สตรีมตรวจพบสตรีม NTFS ทางเลือก
• สตริงค้นหาสตริง ANSI และ UNICODE ในรูปไบนารี
• การซิงค์จะล้างข้อมูลแคชบนดิสก์
• TCPView เป็นตัวแสดงสำหรับซ็อกเก็ตบรรทัดคำสั่งที่ใช้งานอยู่
• ยูทิลิตี้ VMMap สำหรับการวิเคราะห์กระบวนการหน่วยความจำเสมือนและกายภาพ
• VolumeID ตั้งค่า Volume ID บนไดรฟ์ FAT หรือ NTFS
• WhoIs แสดงว่าใครเป็นเจ้าของที่อยู่อินเทอร์เน็ต
• โปรแกรมดูชื่อ WinObj Object Manager
• ZoomIt เป็นยูทิลิตี้การนำเสนอสำหรับการซูมและการวาดภาพบนหน้าจอ

ฉันจะดาวน์โหลดได้ที่ไหน

ที่อยู่สำหรับการดาวน์โหลดยูทิลิตี้ SysInternals Suite:
http://www.sysinternals.com
https://technet.microsoft.com/ru-ru/sysinternals
https://technet.microsoft.com/en-us/sysinternals

สิ่งที่รวมอยู่ในชุด

ชุดยูทิลิตี้มีขนาดค่อนข้างใหญ่ - มากกว่า 70 โปรแกรมมากที่สุด เพื่อวัตถุประสงค์ต่างๆ- ฉันจะให้เฉพาะรายการยูทิลิตี้ทั่วไปพร้อมคำอธิบายสั้น ๆ บนเว็บไซต์คุณสามารถรับข้อมูลโดยละเอียดเกี่ยวกับยูทิลิตี้แต่ละอย่างได้ และศักยภาพของสาธารณูปโภคเหล่านี้ก็มีมหาศาลอย่างแท้จริง ยูทิลิตี้ที่มีประโยชน์ที่สุด (ในความเห็นส่วนตัวของฉัน) จะถูกเน้นด้วยตัวหนา ยูทิลิตี้ที่ (ยังไม่มี) คำอธิบายภาษารัสเซียอยู่ในตัวเอียง

รหัสที่มีประโยชน์สำหรับยูทิลิตี้ SysInternals Suite ทั้งหมด

ใดๆ(รวมถึงคอนโซลใด ๆ ) ยูทิลิตี้จาก SysInternals ตั้งค่าเมื่อใด อันดับแรกการใช้งานบนคอมพิวเตอร์จำเป็นต้องยอมรับข้อตกลงใบอนุญาต เมื่อสร้างไฟล์แบตช์ที่จะดำเนินการบนคอมพิวเตอร์หลายเครื่อง (เช่น บนคอมพิวเตอร์ทุกเครื่องในโดเมน) สิ่งนี้อาจไม่สะดวกอย่างยิ่ง ดังนั้น เมื่อรันจากไฟล์แบตช์ คุณสามารถเพิ่มคีย์ลงในบรรทัดคำสั่งที่ทำให้การยอมรับข้อตกลงใบอนุญาตเป็นแบบอัตโนมัติ: /AcceptEULA เป็นต้น

    เครื่องมือ Sysinternals เป็นชุด โปรแกรมฟรีสำหรับการจัดการและตรวจสอบคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ในขั้นต้น โปรแกรม Sysinternals (Winternals) ได้รับการพัฒนาโดยบริษัท ห้างหุ้นส่วนจำกัด วินเทอร์นัลส์ ซอฟต์แวร์ภายใต้การนำของนักพัฒนาสองคน - Mark Russinovich และ Bryce Cogswell ในเดือนกรกฎาคม พ.ศ. 2549 Microsoft ได้ซื้อ Winternals Software LP และผลิตภัณฑ์ทั้งหมดของบริษัท ขณะนี้เว็บไซต์ Sysinternals ได้ย้ายไปยังเว็บพอร์ทัลของ Microsoft และกลายเป็นส่วนหนึ่งของ Microsoft TechNet ขณะนี้ Microsoft Technet มีส่วน Windows Sysinternals ซึ่งคุณสามารถดาวน์โหลดชุดยูทิลิตี้ครบชุดได้ ชุดสูท Sysinternalsในรูปแบบของไฟล์เก็บถาวรหรือยูทิลิตี้ส่วนบุคคลจากองค์ประกอบ

ปัจจุบัน ชุดเครื่องมือ Windows Sysinternals สามารถใช้งานได้โดยไม่ต้องดาวน์โหลดลงในเครื่องคอมพิวเตอร์ เนื่องจากมีความสามารถในการแชร์ทรัพยากร Sysinternals Live ซึ่งสามารถแมปเป็นไดรฟ์เครือข่ายที่กำหนดได้ เช่น ตัวอักษร R:

การใช้งานเน็ต R:\\live.sysinternals.com\tools

แน่นอนว่าด้วยไดรฟ์เครือข่ายความเร็วในการแลกเปลี่ยนข้อมูลจะต่ำกว่าความเร็วในเครื่องมาก แต่คุณสามารถใช้งานได้โดยไม่มีปัญหาใด ๆ เช่นเดียวกับไดรฟ์ในเครื่องทั่วไปรวมถึงบนบรรทัดคำสั่งด้วย ยกตัวอย่างทีมงาน

เริ่ม R:\autoruns.exe

คุณประโยชน์ การทำงานอัตโนมัติ.exeสามารถเปิดได้ในหน้าต่างแยกต่างหาก ดังนั้นเมื่ออยู่ในสถานที่ใดก็ตามที่มีการเข้าถึงอินเทอร์เน็ต คุณสามารถใช้ชุดเครื่องมือที่ใช้งานได้และมีประสิทธิภาพที่สุดสำหรับ Windows - Sysinternals Suite

    ยูทิลิตี Sysinternals Suite ส่วนใหญ่ต้องการสิทธิ์ผู้ดูแลระบบเพื่อรับฟังก์ชันการทำงานเต็มรูปแบบ สำหรับระบบปฏิบัติการตระกูล Windows 2000/XP ผู้ใช้จะทำงานภายใต้บัญชีในฐานะสมาชิกของกลุ่มผู้ดูแลระบบก็เพียงพอแล้ว ในสภาพแวดล้อมระบบปฏิบัติการของ Windows Vista/Windows 7 จำเป็นต้องเปิดยูทิลิตี้โดยใช้รายการเมนูบริบท "Run as administrator" ไฟล์แบตช์ที่ใช้ยูทิลิตี้บรรทัดคำสั่งจะต้องรันในบริบทของบัญชีที่มีสิทธิ์ผู้ดูแลระบบ

ถุงพลาสติก ซิสอินเทอร์นัล สวีทรวมถึงยูทิลิตี้ขนาดเล็กหลายสิบตัวทั้งคอนโซลและ GUI ซึ่งส่วนใหญ่เป็นที่รู้จักอย่างกว้างขวางในหมู่ผู้ดูแลระบบและผู้ใช้ขั้นสูง - ชุดซอฟต์แวร์ PSTools, ยูทิลิตี้ตรวจสอบยูทิลิตี้ Process Monitor, การทำงานอัตโนมัติ, Process Explorer, Anti-rootkit RootkitRevealer เป็นต้น . หลายๆ บทความมีการพูดคุยกันในบทความแยกกัน ซึ่งมีลิงก์อยู่ที่ หน้าแรกเว็บไซต์ในส่วน หน้าต่าง- แพ็คเกจ Sysinternals Suite ได้รับการอัพเดตปีละหลายครั้งองค์ประกอบอาจมีการเปลี่ยนแปลง - เวอร์ชันของโปรแกรมเปลี่ยนไปยูทิลิตี้บางตัวถูกลบออกบางส่วนถูกเพิ่มเข้ามา แต่ชุดหลักมีมานานกว่าสิบปีซึ่งบ่งบอกถึงความต้องการของผู้ดูแลระบบและผู้ใช้ที่มีความสามารถ ของระบบปฏิบัติการตระกูล Windows พารามิเตอร์บรรทัดคำสั่งของยูทิลิตี้คอนโซลและส่วนต่อประสานกราฟิกกับผู้ใช้สำหรับโปรแกรมส่วนใหญ่มีความคล้ายคลึงกันมากซึ่งอำนวยความสะดวกในการใช้งานจริงอย่างมาก

การเข้าถึง Chk

แอคเซสช์- ยูทิลิตี้คอนโซลสำหรับการดูสิทธิ์การเข้าถึงของผู้ใช้ในไฟล์, ไดเร็กทอรี, รีจิสตรีคีย์และคีย์, กระบวนการและเธรด

accesschk -u user1 -c MpsSvc -v- แสดงสิทธิ์ของผู้ใช้ ผู้ใช้1ที่เกี่ยวข้องกับการบริการ MpsSvc(ไฟร์วอลล์ Windows 7 ฉันขอเตือนคุณว่าใน Windows Vista/Windows 7 จะต้องเรียกใช้ยูทิลิตี้ Accesschk ในฐานะผู้ดูแลระบบ) สำคัญ -vหมายถึงผลลัพธ์โดยละเอียด หากไม่ได้ระบุคีย์นี้ สิทธิ์ผู้ใช้จะถูกระบุด้วยสัญลักษณ์ ร(อ่าน) และ ว(เขียน). แสดง รหมายถึงสิทธิ์ในการดูสถานะ (Query_Status) การกำหนดค่า (Query_Config) และการเริ่มต้น (Service_Start) ของบริการ วหมายความว่าคุณมีสิทธิ์ในการเปลี่ยนแปลงการกำหนดค่าและสถานะของบริการ การผสมผสาน รวหมายความว่ามีการดำเนินการที่ถูกต้องกับบริการ (บริการ_All_Access) หากได้รับกุญแจ -vแล้วแทนสัญลักษณ์ รและ ว R แสดงคำอธิบายของสิทธิ์การเข้าถึง เช่น บริการ_All_Access- อนุญาตให้เข้าถึงได้เต็มรูปแบบ

accesschk -c MpsSvc -w -v- แสดงรายการบัญชีที่มีสิทธิ์การเข้าถึงแบบเต็ม (ปุ่ม -w) ในบริการ MpsSvc.

accesschk -u user1 -c * -w -v- แสดงรายการบริการที่ผู้ใช้ 1 มีสิทธิ์เข้าถึงแบบเต็ม

accesschk -u user1 -k hklm\security- แสดงสิทธิ์การเข้าถึงของผู้ใช้ 1 ไปยังส่วนย่อยของส่วน HKLM\ความปลอดภัยรีจิสทรี

accesschk -u user1 -k hklm\security -d- สวิตช์ -d หมายถึงการประมวลผลเฉพาะระดับบนสุด (ไดเร็กทอรีระบบไฟล์หรือรีจิสตรีคีย์)

accesschk -u user1 C:\Users -d- แสดงสิทธิ์ของผู้ใช้1 สัมพันธ์กับไดเร็กทอรี C:\Users

accesschk -u user1 C:\Users- แสดงสิทธิ์ของผู้ใช้1 สัมพันธ์กับไดเร็กทอรีย่อยของไดเร็กทอรี C:\Users

accesschk C:\Users -w- แสดงรายการบัญชีที่สามารถเข้าถึงไดเร็กทอรี C:\Users ได้อย่างสมบูรณ์

accesschk -u user1 -p wininit -v- แสดงสิทธิ์ของผู้ใช้ 1 ที่เกี่ยวข้องกับกระบวนการ วินิจ

น่าเสียดายที่ยูทิลิตี้ accesschk ไม่ทราบวิธี (อย่างน้อยในขณะที่เขียนก็ไม่รู้วิธี) ทำงานกับชื่อบัญชีบริการและไดเรกทอรีที่มีอักขระของตัวอักษรรัสเซีย

AccessEnum

AccessEnum- ยูทิลิตี้สำหรับการดูสิทธิ์ของบัญชีที่เกี่ยวข้องกับองค์ประกอบของระบบไฟล์และรีจิสทรีของ Windows

ชุดแคช

คุณประโยชน์ ชุดแคชเป็นแอพพลิเคชั่นที่ให้คุณจัดการพารามิเตอร์ Working Set ของแคชไฟล์ระบบ ใช้สำหรับการเลือก พารามิเตอร์ที่เหมาะสมที่สุดและเพิ่มความเร็วและความเสถียรให้กับพีซีของคุณ ด้วยการเปลี่ยนค่าต่ำสุดและสูงสุดสำหรับขนาดแคชการทำงานคุณสามารถปรับปรุงประสิทธิภาพของระบบได้

การตั้งค่าต่ำสุดและสูงสุดใหม่จะเกิดขึ้นเมื่อคุณกดปุ่ม นำมาใช้- ปุ่ม รีเซ็ตช่วยให้คุณส่งคืนค่าขนาดแคชขั้นต่ำและสูงสุดที่ตั้งไว้ ณ เวลาที่เรียกใช้ยูทิลิตี้

ต่อเนื่อง

ต่อเนื่อง- ยูทิลิตี้บรรทัดคำสั่งสำหรับการเพิ่มประสิทธิภาพของระบบโดยการจัดเรียงไฟล์แต่ละไฟล์ที่ใช้บ่อย สะดวกในการใช้งานสำหรับการจัดเรียงข้อมูลไฟล์เครื่องเสมือน อิมเมจ ISO บนแฟลชไดรฟ์ที่สามารถบู๊ตได้โดยใช้โปรแกรมโหลดบูต ด้วงซึ่งอาจต้องใช้ไฟล์รูปภาพที่ไม่แยกส่วนเพื่อจัดเรียงไฟล์บางไฟล์ที่อ่านจากดิสก์บ่อยครั้ง

Contig.exe /?- ปัญหาความช่วยเหลือในการใช้ยูทิลิตี้

Contig.exe -e:\SonyaLiveCD.iso- วิเคราะห์การกระจายตัวของไฟล์ E:\SonyaLiveCD_15.10.2010.iso

Contig.exe E:\SonyaLiveCD_15.10.2010.iso- จัดเรียงข้อมูลไฟล์ที่ระบุ

Contig.exe -a -s C:\windows\*.exe- วิเคราะห์ไฟล์ทั้งหมดที่มีนามสกุล อดีตในไดเร็กทอรี C:\Windows และไดเร็กทอรีย่อย (key -ส)

Contig.exe C:\windows\system32\*.exe- จัดเรียงไฟล์ทั้งหมดที่มีนามสกุล อดีตในไดเรกทอรีระบบ C:\Windows\System32

เพิ่มประสิทธิภาพของระบบด้วยการใช้งานตามเป้าหมาย Contig.exeโดยทั่วไปแล้วจะสูงกว่าสิ่งที่สามารถรับได้โดยใช้เครื่องมือจัดเรียงข้อมูล Windows มาตรฐาน

Disk2vhd

คุณประโยชน์ Disk2vhdใช้เพื่อสร้างฮาร์ดดิสก์เสมือนในรูปแบบ VHD ของเครื่องเสมือน Microsoft (Virtual Hard Disk - รูปแบบดิสก์ Virtual Machine ของ Microsoft) ตามข้อมูลฟิสิคัลดิสก์ของเครื่องจริง การดำเนินการสร้างดิสก์เครื่องเสมือนสามารถทำได้โดยตรง ในสภาพแวดล้อมระบบปฏิบัติการที่ทำงานอยู่ ส่วนต่อประสานกราฟิกกับผู้ใช้ของโปรแกรม Disk2vhd ให้คุณเลือกที่จะแปลงไดรฟ์แบบลอจิคัลใด ๆ ของคอมพิวเตอร์จริงและแปลงเป็นดิสก์เสมือนที่สามารถใช้เพื่อทำงานในสภาพแวดล้อมเครื่องเสมือน ไมโครซอฟต์ พีซีเสมือน

ดิสก์มอน

ดิสก์มอน- ช่วยให้คุณสามารถตรวจสอบการทำงานของ I/O สำหรับฮาร์ดไดรฟ์ในระบบปฏิบัติการ Windows โปรแกรมนี้ยังสามารถใช้เป็นตัวบ่งชี้ซอฟต์แวร์ในการเข้าถึงฮาร์ดไดรฟ์ - เมื่อย่อเล็กสุดไอคอนจะแสดงบนทาสก์บาร์ สีเขียวระหว่างการดำเนินการอ่านดิสก์ และเป็นสีแดงระหว่างการดำเนินการเขียน

หน้าต่างโปรแกรมหลักจะแสดงจำนวนของดิสก์ในระบบ (คอลัมน์ดิสก์), ประเภทการดำเนินการ (คอลัมน์ Requst), จำนวนเซกเตอร์บนดิสก์ที่ถูกเข้าถึง (คอลัมน์เซกเตอร์) และขนาดของฟิลด์ข้อมูล (คอลัมน์ที่สิบ). หากคุณต้องการทราบว่าไฟล์ใดที่เกี่ยวข้องกับเซกเตอร์จำนวนหนึ่ง คุณสามารถใช้ยูทิลิตี้คอนโซล NFI.EXE (ยูทิลิตี้ข้อมูลเซกเตอร์ไฟล์ NTFS) จากแพ็คเกจเครื่องมือสนับสนุนจาก Microsoft
รูปแบบบรรทัดคำสั่ง
หมายเลขเซกเตอร์ดิสก์ nfi.exe
nfi.exe C: 655234- แสดงชื่อไฟล์ที่เป็นเจ้าของเซกเตอร์ 655234
nfi.exe C: 0xBF5E34- เหมือนกัน แต่เลขเซกเตอร์ระบุอยู่ในระบบเลขฐานสิบหก
จากการรันคำสั่งจะมีข้อความปรากฏขึ้น

***เซกเตอร์ลอจิคัล 12541492 (0xbf5e34) บนไดรฟ์ C อยู่ในหมายเลขไฟล์ 49502
\WINDOWS\system32\D3DCompiler_38.dll

เหล่านั้น. เซกเตอร์ที่เราสนใจเป็นของไฟล์ D3DCompiler_38.dll ในไดเร็กทอรี Windows\system32

DiskView

โปรแกรม DiskViewช่วยให้คุณได้รับแผนที่กราฟิกของการใช้พื้นที่ดิสก์:

การเลือกแผ่นดิสก์เพื่อดูเสร็จสิ้นในสนาม ปริมาณด้านล่างของหน้าต่างโปรแกรม หลังจากเลือกไดรฟ์แล้วกดปุ่ม รีเฟรชโปรแกรมจะสแกนและแสดงแผนที่ตำแหน่งของไฟล์และไดเร็กทอรี หน้าต่างด้านล่างจะแสดงขนาดของตำแหน่งข้อมูลที่สัมพันธ์กับจุดเริ่มต้นของดิสก์ สีของพื้นที่ตรงกัน คุณสมบัติลักษณะกลุ่มคลัสเตอร์ที่แสดง หากต้องการความช่วยเหลือเกี่ยวกับการเขียนโค้ดสี คุณสามารถใช้เมนูได้ ช่วยเหลือ - ตำนาน - -:

คลัสเตอร์แรกของแฟรกเมนต์- สีของคลัสเตอร์เริ่มต้นในห่วงโซ่
คลัสเตอร์ไฟล์ที่อยู่ติดกัน- คลัสเตอร์เป็นของไฟล์ต่อเนื่อง (ไม่แยกส่วน)
คลัสเตอร์ไฟล์ Ftagmented- คลัสเตอร์เป็นของไฟล์ที่กระจัดกระจาย
คลัสเตอร์ไฟล์ระบบ- คลัสเตอร์เป็นของไฟล์ระบบ
คลัสเตอร์ที่ไม่ได้ใช้- คลัสเตอร์เป็นของพื้นที่ว่าง
คลัสเตอร์ที่ไม่ได้ใช้ในโซน MFT- คลัสเตอร์ว่างในโซน MFT ของสารบัญดิสก์
คลัสเตอร์ไฟล์ที่ผู้ใช้เน้น- คลัสเตอร์เป็นของไฟล์ที่ผู้ใช้เลือก

หน้าต่างด้านบนจะแสดงแผนที่ตำแหน่งข้อมูลโดยละเอียดมากขึ้น แถบเลื่อนให้คุณเลือกพื้นที่แสดงผล การเลือกจุดพื้นที่ดิสก์ด้วยตัวชี้ในหน้าต่างด้านล่างจะทำให้แผนที่คลัสเตอร์สำหรับส่วนที่เลือกของระบบไฟล์แสดงในหน้าต่างด้านบน หากต้องการเปลี่ยนระดับรายละเอียดแผนที่ ให้ใช้ปุ่ม ซูมที่ด้านล่างของหน้าต่างโปรแกรมหลัก การคลิกแผนที่คลัสเตอร์ในหน้าต่างด้านบนจะแสดงชื่อไฟล์ในฟิลด์ ไฮไลท์และเน้นกลุ่มของกลุ่มที่สอดคล้องกับกลุ่มด้วยสี การดับเบิลคลิกที่ฟิลด์คลัสเตอร์ที่แสดงในหน้าต่างด้านบนจะเปิดหน้าต่างคุณสมบัติ:

หากต้องการแสดงระดับการใช้งานดิสก์และข้อมูลเกี่ยวกับจำนวนไฟล์และแฟรกเมนต์ให้ใช้เมนู "ไฟล์" - "สถิติ"

ดี.ยู.

du.exe- ยูทิลิตี้บรรทัดคำสั่งสำหรับกำหนดสถิติเกี่ยวกับการใช้พื้นที่ดิสก์ในไดเร็กทอรีระบบไฟล์ Windows หากต้องการรับรายการคีย์ คุณสามารถเรียกใช้ du.exe โดยไม่มีพารามิเตอร์ หรือใช้พารามิเตอร์ก็ได้ /? - ตัวอย่างการใช้ยูทิลิตี้:

du.exe C:\- แสดงข้อมูลเกี่ยวกับการใช้ไดเร็กทอรีรากของไดรฟ์ C: - จำนวนไฟล์, ไดเร็กทอรีย่อย และขนาดของพื้นที่ดิสก์ที่ถูกครอบครอง

ไฟล์จันทร์

ไฟล์จันทร์(File Monitor) เป็นยูทิลิตี้สำหรับตรวจสอบกิจกรรมระบบไฟล์ทั้งหมดแบบเรียลไทม์ ช่วยให้คุณสามารถกำหนดกระบวนการที่เข้าถึงไฟล์และไดเร็กทอรี การดำเนินการใดที่ดำเนินการกับอ็อบเจ็กต์ใดในระบบไฟล์ ขณะนี้ยูทิลิตี้ FileMon ถูกแทนที่ด้วย การตรวจสอบกระบวนการ (ProcMon). คำอธิบายโดยละเอียดและขั้นตอนการใช้งานทั้งสองโปรแกรมมีอยู่ในบทความแยกกัน:

การใช้ยูทิลิตี้เหล่านี้ทำให้คุณสามารถระบุรายการทรัพยากรไฟล์ที่แอปพลิเคชันใช้ ค้นหาไฟล์การกำหนดค่า และระบุสาเหตุของการหยุดทำงานหรือปัญหาอื่น ๆ ที่เกี่ยวข้องกับการใช้ไฟล์และไดเร็กทอรีของ Windows

MoveFile

MoveFileช่วยให้คุณสามารถลบหรือย้ายไฟล์ในครั้งถัดไปที่คุณรีสตาร์ท Windows ใช้ในกรณีที่ไฟล์ถูกจับโดยแอปพลิเคชันหรือบริการบางอย่างโดยเฉพาะ และไม่สามารถลบหรือโอนไฟล์ด้วยวิธีปกติได้ ตัวอย่างการใช้งาน:

Movefile.exe "C:\Documents และการตั้งค่า\ผู้ใช้\Local การตั้งค่า\TEMP\svchost.exe" C:\virus\svchost.ex_

การดำเนินการถ่ายโอนไฟล์ดำเนินการโดยตัวจัดการเซสชันของ Windows (Session Manager SMSS.EXE) ซึ่งในระหว่างกระบวนการบูตระบบจะอ่านคำสั่งการเปลี่ยนชื่อและการลบที่ลงทะเบียนโดยยูทิลิตี้ MoveFile จากคีย์รีจิสทรี
HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations .
หลังจากการถ่ายโอนเสร็จสิ้น คีย์รีจิสทรีนี้จะถูกลบ หากต้องการดูการถ่ายโอนที่กำหนดโดยยูทิลิตี้ MoveFile คุณสามารถใช้ยูทิลิตี้นี้ได้ เพนด์มูฟส์จากชุด Sysinternals

PageDefrag (pagedfrg.exe)ได้รับความนิยมมานานหลายปีโดยอยู่ในอันดับที่ 4-5 ในบรรดาสาธารณูปโภคจาก Sysinternals ช่วยให้คุณเพิ่มประสิทธิภาพของระบบโดยการจัดเรียงข้อมูลไฟล์รีจิสทรี (ไฟล์ระบบ, ซอฟต์แวร์, SAM, ความปลอดภัย, ไฟล์เริ่มต้นในไดเร็กทอรี \windows\system32\config), บันทึกของระบบ (ในไดเร็กทอรีเดียวกัน) และไฟล์เพจ (pagefile.sys)

หลังจากเปิดตัว ยูทิลิตี้นี้จะแสดงรายการไฟล์ที่สามารถประมวลผลได้และระดับการกระจายตัวของไฟล์

สำหรับการจัดเรียงข้อมูลจะใช้บริการระบบที่สร้างโดยยูทิลิตี้ pgdfgsvc.exeและเช่นเดียวกับในกรณีของยูทิลิตี้ MoveFile, - ตัวจัดการเซสชัน Windows ( SMSS.EXE(ตัวย่อสำหรับบริการระบบย่อยตัวจัดการเซสชัน) - ระบบย่อยการจัดการเซสชันใน Windows) ตัวจัดการเซสชันจะประมวลผลคีย์รีจิสทรีระหว่างการบูตระบบ
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
คีย์นี้มีข้อมูลเกี่ยวกับโปรแกรมที่ต้องดำเนินการโดยผู้จัดการ SMSS.EXE ในระหว่างกระบวนการบูต Windows มาตรฐานคือตัวตรวจสอบระบบไฟล์ ยูทิลิตี้นี้จะเพิ่มคำสั่งให้กับคีย์นี้เพื่อเริ่มบริการ pgdfgsvcและการจัดเรียงข้อมูลไฟล์ระบบจึงดำเนินการก่อนที่จะจำเป็นสำหรับการปรับใช้ระบบ หากจำเป็น คุณสามารถยกเลิกการจัดเรียงข้อมูล ดำเนินการครั้งเดียว หรือตั้งค่าโหมดให้ทำงานทุกครั้งที่ Windows บู๊ต

PageDefrag สามารถทำงานในโหมดคอนโซล โดยปรับการตั้งค่าโดยใช้พารามิเตอร์บรรทัดคำสั่ง

pagedefrag [-e | -o | -n] [-t ]

-e- การจัดเรียงข้อมูลในการบูตทุกครั้ง
-o- การจัดเรียงข้อมูลเพียงครั้งเดียว
-n- ยกเลิกการจัดเรียงข้อมูล
-ที- นับถอยหลังเป็นวินาทีก่อนที่จะเริ่มการจัดเรียงข้อมูล

ตัวอย่าง:

pagedefrag -e -t 10- ทำการจัดเรียงข้อมูลในทุกการบู๊ตและตั้งค่าโหมดรอเป็น 10 วินาทีเพื่อยกเลิกการดำเนินการเมื่อผู้ใช้กดปุ่มใด ๆ

ทำการจัดเรียงข้อมูลครั้งเดียวในครั้งถัดไปที่ระบบรีบูต

ยกเลิกการจัดเรียงข้อมูลตามกำหนดเวลาก่อนหน้า

ยูทิลิตี้ Sysinternals Suite สำหรับการทำงานกับเครือข่าย

ADRestore

ADRestoreช่วยให้คุณดูรายการวัตถุ Active Directory (AD) ที่ถูกลบและหากจำเป็นให้กู้คืนวัตถุที่เลือก หากต้องการความช่วยเหลือ ให้ใช้กุญแจ /? - เมื่อเปิดใช้งานโดยไม่มีพารามิเตอร์ ยูทิลิตี้นี้จะแสดงรายการออบเจ็กต์ AD ที่ทำเครื่องหมายว่าถูกลบแล้ว

ตัวอย่าง:

ที่อยู่ > C:\adodel.txt- แสดงรายการวัตถุ AD ทั้งหมดที่ทำเครื่องหมายว่าถูกลบในไฟล์ C:\adodel.txt
adrestore.exe เลเซอร์เจ็ท- แสดงรายการวัตถุ AD ที่ถูกลบซึ่งมีชื่อประกอบด้วยสตริง "laserjet"
adrestore-r
adrestore-r- แสดงรายการวัตถุ AD พร้อมคำขอกู้คืน

ยูทิลิตี้สำหรับตรวจสอบการแลกเปลี่ยนข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์ผ่านโปรโตคอล แอลดีเอพี- มีประโยชน์มากสำหรับการค้นหาสาเหตุของการทำงานที่ผิดปกติของบริการและแอปพลิเคชันในสภาพแวดล้อม Active Directory การติดตามสิทธิ์ การค้นหาสาเหตุของประสิทธิภาพที่ไม่ดี และเพียงเพื่อศึกษากลไกการโต้ตอบของออบเจ็กต์ AD

มีความช่วยเหลือในตัวเป็นภาษาอังกฤษ การคลิกขวาที่บรรทัดเหตุการณ์จะแสดงเมนูบริบทที่ช่วยให้คุณได้รับคำอธิบายโดยย่อเกี่ยวกับคุณสมบัติของเหตุการณ์ ชื่อและเส้นทางของกระบวนการที่เกี่ยวข้อง และย้ายไปยังเหตุการณ์ก่อนหน้าหรือถัดไปที่จบลงด้วยข้อผิดพลาด ข้อมูลจะแสดงในรูปแบบของคอลัมน์ซึ่งสามารถเปลี่ยนแปลงองค์ประกอบได้

ตัวกรองสำหรับการค้นหาและการเน้นเหตุการณ์จะใช้ในลักษณะเดียวกับในยูทิลิตี้ Sysinternals ส่วนใหญ่ที่มีเชลล์แบบกราฟิก ด้วยการตั้งค่าเริ่มต้น เส้นที่ไฮไลต์ด้วยสีแดงหมายถึงเหตุการณ์ที่เสร็จสมบูรณ์โดยมีข้อผิดพลาด เมนูบริบทยังช่วยให้คุณสามารถเรียกใช้โปรแกรมอื่นจาก Sysinternals Suite ได้โดยตรงจากสภาพแวดล้อม ADInsight - Active Directory Explorer ADExplorerใช้เพื่อดูโครงสร้างข้อมูล AD และมีความสามารถและอินเทอร์เฟซผู้ใช้คล้ายกับยูทิลิตี้ ADSIแก้ไขจากไมโครซอฟต์

TCPView

TCPView- ติดอันดับหนึ่งในสิบยูทิลิตี้ยอดนิยมที่สุดใน Sysinternals Suite อย่างต่อเนื่อง ใช้เพื่อแสดงรายการการเชื่อมต่อ TCP และ UDP ทั้งหมดที่สร้างในระบบพร้อมข้อมูลโดยละเอียด รวมถึงที่อยู่ในเครื่องและที่อยู่ระยะไกล และสถานะของการเชื่อมต่อ TCP บน Windows XP และระบบปฏิบัติการรุ่นเก่า TCPView ยังแสดงชื่อของกระบวนการที่เป็นเจ้าของ การเชื่อมต่อนี้- ในแง่หนึ่ง TCPView เป็นส่วนเสริมของยูทิลิตี้ระบบปฏิบัติการ Windows มาตรฐาน Netstat.exeแต่นอกเหนือจากการนำเสนอข้อมูลการเชื่อมต่อในรูปแบบที่สะดวกแล้ว ยังช่วยให้คุณดำเนินการเพิ่มเติมได้ - ทำลายการเชื่อมต่อเฉพาะ ยุติกระบวนการที่สร้างการเชื่อมต่อ และกำหนดชื่อของโฮสต์ที่เข้าร่วมในการเชื่อมต่อ

เมนูบริบทคลิกขวาช่วยให้คุณดำเนินการบางอย่างกับการเชื่อมต่อที่เลือก:

คุณสมบัติการดำเนินคดี- แสดงคุณสมบัติของกระบวนการที่เกี่ยวข้องกับการเชื่อมต่อนี้ ชื่อกระบวนการ เวอร์ชัน ชื่อ และพาธของไฟล์ปฏิบัติการจะปรากฏขึ้น

สิ้นสุดกระบวนการ- ยุติกระบวนการที่เกี่ยวข้องกับการเชื่อมต่อนี้

ปิดการเชื่อมต่อ- ยุติการเชื่อมต่อที่เลือกอย่างเข้มแข็ง

ใคร- ดำเนินการร้องขอเพื่อรับข้อมูลเกี่ยวกับโหนดที่เข้าร่วมในการเชื่อมต่อนี้

สำเนา- คัดลอกข้อมูลของบรรทัดนี้ไปยังคลิปบอร์ด

เมื่อใช้เมนูหลักของโปรแกรม คุณสามารถบันทึกข้อมูลเกี่ยวกับการเชื่อมต่อปัจจุบันทั้งหมดไปยังไฟล์ข้อความได้ (เมนู ไฟล์ - บันทึก- ในฐานะส่วนหนึ่งของ Sysinternals Suite นอกเหนือจากโปรแกรม TCPView แล้ว ยังมีเวอร์ชันคอนโซลอีกด้วย ทีซีพีวีคอนด้วยฟังก์ชั่นเดียวกัน

ยูทิลิตี้ Sysinternals Suite สำหรับการวิเคราะห์ข้อมูลกระบวนการ

ยูทิลิตี้สำหรับติดตามจุดเริ่มต้นโปรแกรมอัตโนมัติ บทความเกี่ยวกับการทำงานอัตโนมัติถูกโพสต์ไว้ในส่วน "ความปลอดภัย"
- ยูทิลิตี้สำหรับตรวจสอบกิจกรรมกระบวนการใน Windows (การใช้หน่วยความจำ การใช้โปรเซสเซอร์ การเข้าถึงไฟล์และรีจิสทรี กิจกรรมเครือข่าย ฯลฯ )
- ยูทิลิตี้สำหรับตรวจสอบการใช้ทรัพยากรระบบโดยแต่ละกระบวนการ
PSTools - ชุดยูทิลิตี้บรรทัดคำสั่งสำหรับการเรียกใช้แอปพลิเคชันจากระยะไกล (PSExec) รับรายการกระบวนการบนคอมพิวเตอร์ท้องถิ่นหรือระยะไกล (PSList) บังคับให้งานเสร็จสิ้น (Pskill) การจัดการบริการ (PSService) นอกจากนี้ PsTools ยังมียูทิลิตี้สำหรับการรีบูตหรือปิดเครื่องคอมพิวเตอร์ การแสดงบันทึกเหตุการณ์ ค้นหาผู้ใช้ที่เข้าสู่ระบบเครือข่าย และอื่นๆ อีกมากมาย

รายการ DLLs

รายการ DLLs- ยูทิลิตี้บรรทัดคำสั่งสำหรับรับรายการ DLL ที่ใช้โดยแต่ละกระบวนการ เมื่อเปิดใช้งานโดยไม่มีพารามิเตอร์ รายการกระบวนการทั้งหมดและไลบรารีที่โหลดทั้งหมดจะแสดงบนหน้าจอ คำแนะนำเกี่ยวกับวิธีการใช้งานยูทิลิตี้สามารถรับได้โดยใช้กุญแจ /? - รูปแบบบรรทัดคำสั่ง:

listdlls [-r] [-v | -คุณ]
หรือ
listdlls [-r] [-v] [-d dllname]

ชื่อกระบวนการ- ชื่อ (หรือส่วนหนึ่งของชื่อ) ของกระบวนการที่คุณต้องการแสดงรายการ DLL ที่โหลด
ปิ๊ด- ตัวระบุกระบวนการที่คุณต้องการแสดงรายการ DLLs ที่โหลด
-d ชื่อ dll- ชื่อของ DLL
-รแสดง DLL ที่ถูกย้ายเนื่องจากไม่ได้โหลดที่ที่อยู่พื้นฐาน
-คุณ- แสดงเฉพาะโมดูลที่ไม่มีลายเซ็นดิจิทัล
-v- แสดงเวอร์ชัน DLL

ตัวอย่างการใช้งาน:

listdlls.dll- แสดงรายการกระบวนการทั้งหมดและ DLLs ที่โหลดทั้งหมด

listdlls ชนะ- แสดงรายการ DLLs สำหรับกระบวนการทั้งหมดที่มีชื่อขึ้นต้นด้วยสตริง "win"

listdlls winlogon.dll- แสดงรายการ DLL ที่ใช้โดยกระบวนการ วินโลกอน

listdlls 495- แสดงรายการ DLL ที่ใช้โดยกระบวนการด้วยหมายเลขตัวระบุ PID=495

listdlls -d ntdll.dll- แสดงรายการกระบวนการโดยใช้ไลบรารี ntdll.dll

รับมือ

รับมือ- ยูทิลิตี้บรรทัดคำสั่งสำหรับการแสดงข้อมูลเกี่ยวกับตัวอธิบายแบบเปิด (ตัวจัดการ) สำหรับกระบวนการใด ๆ ในระบบ ช่วยให้คุณเห็นว่าโปรแกรมใดเปิดไฟล์ พร้อมสิทธิ์การเข้าถึง ประเภทอ็อบเจ็กต์ และชื่อตัวอธิบายโปรแกรม และหากจำเป็น บังคับปิดไฟล์ด้วยหมายเลขตัวอธิบาย เมื่อเปิดใช้งานโดยไม่มีพารามิเตอร์ หน้าจอจะแสดงขึ้นมา รายการทั้งหมดจัดการกับไฟล์ที่เปิดอยู่ทั้งหมด คำแนะนำในการใช้งานโปรแกรมสามารถรับได้โดยการป้อนรหัส /? - รูปแบบบรรทัดคำสั่ง:

จัดการ [[-a [-l]] [-u] | [-ค [-y]] | [-s]] [-p | -
-ก- แสดงข้อมูลเกี่ยวกับคำอธิบายทั้งหมด
-ค- ปิดไฟล์ด้วยหมายเลขคำอธิบายที่ระบุ โปรดทราบว่าการบังคับปิดไฟล์อาจทำให้กระบวนการขัดข้องหรือข้อมูลสูญหาย
-y- ไม่ต้องการการยืนยันเมื่อปิด file descriptor
-ส- แสดงตัวนับสำหรับที่จับเปิดแต่ละประเภท
-คุณ- แสดงชื่อผู้ใช้ในบริบทของบัญชีที่เปิดไฟล์
-พี- แสดงหมายเลขอ้างอิงที่เปิดโดยกระบวนการที่มีชื่อที่ระบุ (ส่วนหนึ่งของชื่อ) หรือพีไอดี

ตัวอย่างการใช้งาน:

จัดการ | มากกว่า- แสดงรายการที่จับที่เปิดอยู่ทั้งหมดของกระบวนการทั้งหมดในโหมดการแสดงผลแบบหน้าต่อหน้า
จัดการ -p winlogon- แสดงรายการตัวจัดการไฟล์ที่เปิดโดยกระบวนการที่ตั้งชื่อ วินโลกอน
หมายเลขอ้างอิง -p winlogon > C:\winlogon.txt- เช่นเดียวกับในกรณีก่อนหน้า แต่มีเอาต์พุตเปลี่ยนเส้นทางไปยังไฟล์ C:\winlogoh.txt
จัดการ -u- แสดงรายการไฟล์อธิบายทั้งหมดของกระบวนการทั้งหมด โดยแสดงบัญชีที่เกี่ยวข้องกับกระบวนการ
จัดการ -u user1- แสดงรายการตัวจัดการไฟล์ที่เปิดในบริบทของบัญชีผู้ใช้ชื่อ "user1"
จัดการ -s- แสดงตัวนับสำหรับแต่ละประเภทและจำนวนคำอธิบายที่เปิดอยู่ทั้งหมด

ยูทิลิตี้ความปลอดภัย Sysinternals Suite

ยูทิลิตี้ความปลอดภัยยังรวมถึงโปรแกรมสำหรับกำหนดจุดเริ่มต้นอัตโนมัติ (การทำงานอัตโนมัติ) กระบวนการตรวจสอบ (ProcMon) การตรวจสอบสิทธิ์การเข้าถึงทรัพยากรระบบ ฯลฯ แต่นอกจากนี้แพ็คเกจ Sysinternals Suite ยังมียูทิลิตี้ที่มีวัตถุประสงค์หลักในการตรวจจับรูทคิทเมื่อระบบติดไวรัสซึ่งใช้กลไกพิเศษในการซ่อนการมีอยู่ในระบบ

คำว่า "รูทคิท" ที่เกี่ยวข้องกับสปายแวร์ โทรจัน และซอฟต์แวร์ที่เป็นอันตรายอื่นๆ หมายความว่าเพื่อซ่อนการแสดงตนจากโปรแกรมป้องกันไวรัส จะใช้การสกัดกั้นฟังก์ชันของระบบและแก้ไขผลลัพธ์ของการดำเนินการในลักษณะที่เป็นไปไม่ได้ ตรวจจับไฟล์และไดเร็กทอรีและการเชื่อมต่อเครือข่ายที่สร้างโดยมัลแวร์ ตัวอย่างเช่น เมื่อขอรายการไฟล์ในไดเร็กทอรี ข้อมูลเกี่ยวกับไฟล์ของไวรัสนั้นอาจถูกลบออกจากผลลัพธ์ ในความเป็นจริง ไฟล์ดังกล่าวมีอยู่ในระบบไฟล์ แต่ซอฟต์แวร์ที่ใช้ฟังก์ชัน API ที่ถูกดักจับโดยไวรัสไม่สามารถมองเห็นได้ โปรแกรมรูทคิทแบ่งออกเป็นหลายคลาสขึ้นอยู่กับความสามารถในการทำงานหลังจากการรีบูตคอมพิวเตอร์และประเภทของการเริ่มต้น (ในโหมดผู้ใช้หรือโหมดเคอร์เนล) แต่คุณสมบัติหลักของรูทคิทคือการสกัดกั้นและแก้ไขผลลัพธ์ของการเรียกของระบบ

หลักการดำเนินการขึ้นอยู่กับการใช้งาน นอกเหนือจากฟังก์ชัน API มาตรฐานสำหรับระบบไฟล์และรีจิสตรี ของรูทีนย่อยของตัวเองที่ใช้ฟังก์ชันเดียวกันเหล่านี้ ผลลัพธ์ที่ได้ไม่สอดคล้องกันอาจบ่งชี้ว่ามีโปรแกรมรูทคิทอยู่ RootkitRevealer จะสแกนรีจิสทรีและระบบไฟล์เมื่อมีการกดปุ่ม สแกนและแสดงผลการทำงานในหน้าต่างหลัก

    เส้นทาง- เส้นทางของไฟล์หรือรีจิสตรีคีย์
การประทับเวลา- เวลาในการแก้ไข
ขนาด- ขนาด
คำอธิบาย- คำอธิบายของเหตุการณ์ - สัญญาณของการมีอยู่ของรูทคิทในระบบที่เป็นไปได้

โปรแกรมไม่ได้ดำเนินการกำจัดไวรัสใดๆ หรือแม้แต่ชี้ไปที่ไฟล์มัลแวร์เฉพาะ ผู้ใช้จะต้องสรุปเกี่ยวกับสถานะของตนโดยการวิเคราะห์ผลการสแกน

ก่อนอื่นคุณควรระวังไฟล์และรีจิสตรีคีย์ที่อยู่ในฟิลด์ คำอธิบาย) มีคำอธิบายเหตุการณ์ "ซ่อนจาก Windows API"- ซ่อนจาก Windows API ในกรณีส่วนใหญ่ บรรทัดผลการสแกนบ่งชี้ว่ามีรูทคิท เนื่องจากโดยปกติแล้วจะมีเฉพาะไฟล์บริการที่เกี่ยวข้องกับระบบไฟล์ NTFS (ซึ่งชื่อขึ้นต้นด้วยเครื่องหมาย) เท่านั้นที่ถูกซ่อนจาก Windows API $ - $BitMap, $BadClus, $MFT ฯลฯ) เมื่อทำการสแกน คุณสามารถปิดการแสดงเหตุการณ์ที่เกี่ยวข้องกับไฟล์บริการมาตรฐานที่ซ่อนอยู่ได้โดยใช้เมนู ตัวเลือก- ทำเครื่องหมายในช่อง ซ่อนไฟล์ข้อมูลเมตา NTFS มาตรฐาน- นอกจากนี้ คุณต้องพิจารณาว่าโปรแกรมป้องกันไวรัสบางตัวซ่อนไฟล์ของตนจาก Windows API ในลักษณะเดียวกับมัลแวร์ และการสแกนแต่ละบรรทัดจะมีเครื่องหมายแสดงผลลัพธ์ ซ่อนจาก Windows APIต้องมีการวิเคราะห์เพิ่มเติม - ไดเรกทอรีใดที่มีไฟล์ที่ซ่อนอยู่, ชื่อ, นามสกุล, ขนาด, เวลาในการแก้ไข ในตัวอย่างการสแกนด้านบน ไฟล์ที่ซ่อนจาก Windows API คือไฟล์ที่มีนามสกุล .sys ซึ่งอยู่ในไดเร็กทอรีไดรเวอร์ (C:\Windows\system32\drivers) และมีขนาดหลายสิบกิโลไบต์ ซึ่งเป็นไดรเวอร์รูทคิท

คำอธิบายเหตุการณ์ที่เป็นไปได้อื่นๆ ในฟิลด์ คำอธิบายอาจเป็นสัญญาณเตือนที่ผิดพลาดและบ่งชี้ว่าการทำงานของฟังก์ชัน API บางอย่างจบลงด้วยผลลัพธ์ที่น่าสงสัย ซึ่งมักเกิดจากข้อเท็จจริงที่ว่าในระหว่างกระบวนการสแกนในสภาพแวดล้อม Windows ที่ทำงานหลายอย่างพร้อมกัน หนึ่งในโปรแกรมได้แก้ไขข้อมูลที่กำลังสแกน หรือซอฟต์แวร์ที่ถูกต้องตามกฎหมายใช้วิธีการพิเศษที่คล้ายกับที่ใช้โดยผู้สร้างไวรัส

ชื่อคีย์มีค่าว่างฝังอยู่- ชื่อของคีย์รีจิสทรีมีช่องว่าง ซึ่งทำให้ตัวแก้ไขรีจิสทรีมาตรฐานมองไม่เห็นคีย์ดังกล่าว

ข้อมูลไม่ตรงกันระหว่าง Windows API และข้อมูลกลุ่มดิบ- ความแตกต่างระหว่างข้อมูลคีย์รีจิสทรีที่ได้รับโดยใช้ Windows API และข้อมูลกลุ่มรีจิสทรีจริง อาจเกิดจากการเปลี่ยนแปลงข้อมูลรีจิสทรีที่เกิดขึ้นระหว่างกระบวนการสแกน

การเข้าถึงถูกปฏิเสธ- การเข้าถึงถูกปฏิเสธ ในทางปฏิบัติ คำอธิบายดังกล่าวเกิดขึ้นเมื่อมีเครื่องมือจำลองไดรฟ์ซีดี/ดีวีดีติดตั้งอยู่ในระบบ (แอลกอฮอล์ 120, เครื่องมือเดมอน) ผลิตภัณฑ์ป้องกันไวรัสบางตัวที่ใช้ไดรเวอร์ SPTD.SYS

โปรดทราบว่า RootkitRevealer จะสแกนจากสำเนาของตัวเองด้วยชื่อไฟล์แบบสุ่มที่ทำงานเป็นบริการของ Windows การเริ่มต้นประเภทนี้ทำให้ไวรัสตรวจพบได้ยากและบังคับให้ขั้นตอนการสแกนสิ้นสุดลง ดังนั้นการมีอยู่ของกระบวนการที่มีชื่อที่ไม่ชัดเจนเมื่อ RootkitRevealer กำลังทำงานจึงเป็นเรื่องปกติ แต่มีบางกรณีที่ไวรัสบล็อกการเปิดตัวโปรแกรม เช่น โดยใช้ชื่อ "RootkitRevealer" ในกรณีนี้โปรแกรมไม่เริ่มทำงานซึ่งเป็นสัญญาณที่สำคัญมากของการมีไวรัสในระบบอยู่แล้ว ในกรณีนี้ คุณสามารถเปลี่ยนชื่อไฟล์ปฏิบัติการได้ หรือดีกว่านั้น คัดลอกไฟล์ดังกล่าวในไดเร็กทอรีปัจจุบันโดยใช้ชื่อสุ่มอื่น

เป็นไปได้ที่จะรัน RootkitRevealer ด้วยพารามิเตอร์บนบรรทัดคำสั่ง:

rootkitrevealer [-a] [-c] [-m] [-r]

-ก- สแกนและดำเนินการให้เสร็จสิ้นโดยอัตโนมัติ
-ค- สร้างผลลัพธ์การสแกนในรูปแบบ CSV
-ม- สแกนข้อมูลเมตา NTFS
-ร- ไม่ต้องสแกนรีจิสทรีของ Windows
ไฟล์บันทึก- ชื่อและพาธของไฟล์เพื่อบันทึกผลการสแกน

ตัวอย่างการเปิดตัว:

rootkitrevealer -a C:\RootkitRevealer.log- ทำการสแกนและเขียนลงในไฟล์ C:\RootkitRevealer.log และเสร็จสิ้น

ชุดยูทิลิตี้ฟรีที่ขาดไม่ได้สำหรับการดูแลและจัดการ Windows ของสะสม ชุด SysInternalsมีเครื่องมือและแอปพลิเคชันฟรีมากกว่า 120 รายการ ยูทิลิตี้นี้ออกแบบมาเพื่อการกำหนดค่าเพิ่มประสิทธิภาพและทดสอบระบบปฏิบัติการ Windows เป็นหลักรวมถึงการทำงานกับแอปพลิเคชันบุคคลที่สาม นอกจากนี้ ยังมียูทิลิตี้ที่เป็นประโยชน์สำหรับการวินิจฉัยฮาร์ดแวร์คอมพิวเตอร์ขั้นพื้นฐานอีกด้วย

SysInternals Suite มีเครื่องมือที่มีประโยชน์ทั้งหมดสำหรับการบำรุงรักษาและแก้ไขปัญหา Windows OS ยูทิลิตี้ส่วนใหญ่ได้รับการพัฒนาและบำรุงรักษาโดย Mark Russinovich หนึ่งในพนักงานด้านเทคนิคที่มีชื่อเสียงที่สุดของ Microsoft

ยูทิลิตี้ที่รวมอยู่ในแอสเซมบลีนั้นมีไว้สำหรับผู้ใช้พีซีที่มีประสบการณ์เป็นหลักเนื่องจากส่วนใหญ่สามารถเข้าถึงการตั้งค่าระบบที่ซ่อนอยู่และหากจัดการไม่ถูกต้องอาจขัดขวางการทำงานของ Windows

ยูทิลิตี้ระบบยอดนิยมบางส่วน:

กระบวนการสำรวจ

ช่วยให้คุณควบคุมกระบวนการที่ทำงานอยู่ในระบบได้ทุกวิถีทาง ช่วยให้คุณจัดการลำดับความสำคัญของทรัพยากรสำหรับกระบวนการที่แสดง สามารถปิดกระบวนการโดยสมบูรณ์หรือเริ่มต้นใหม่อีกครั้งได้

การทำงานอัตโนมัติ

แอปพลิเคชั่นที่ทรงพลังมากสำหรับจัดการการทำงานอัตโนมัติ กำหนดและอนุญาตให้คุณควบคุมการเชื่อมต่อของไดรเวอร์ โมดูล บริการ และส่วนประกอบอื่นๆ ณ จุดที่ระบบเริ่มทำงาน โปรแกรมมีชุดเครื่องมือขนาดใหญ่สำหรับตรวจสอบและกำหนดค่าพารามิเตอร์ต่าง ๆ ของระบบปฏิบัติการ Windows

เดสก์ท็อป

โปรแกรมขนาดเล็กและมีประโยชน์สำหรับการสร้างและจัดการเดสก์ท็อปเสมือน รองรับการสร้างเดสก์ท็อปได้สูงสุด 4 เครื่องซึ่งจะช่วยกระจายไอคอนและวัตถุอื่น ๆ ของคุณเพื่อการทำงานที่สะดวกและใช้งานได้มากขึ้น

รายการยูทิลิตี้ทั้งหมดที่รวมอยู่ใน Sysinternals Suite:

Accesschk, Accesschk64, Accessenum, Adexplorer, Adinsight, Adrestore, Autologon, Autoruns, Autoruns64, AutorUnsc, AutorunSc64, BGINFO, CACHESET, นาฬิกา, CLOC Kres64, Contig, Contig64, Coreinfo, CTRL2CAP, DBGVIEW, เดสก์ท็อป, Disk2VHD, Diskext, Diskext64, Diskmon , DiskView, du, du64, efsdump, FindLinks, FindLinks64, จัดการ, handle64, hex2dec, hex2dec64, ทางแยก, Junction64, ldmdump, Listdlls, Listdlls64, livekd, livekd64, LoadOrd, LoadOrd64, LoadOrdC, LoadOrdC64, logonsessions, logonsessions64, movefile, movefile64 , notmyfault, notmyfault64, notmyfaultc, notmyfaultc64, ntfsinfo, ntfsinfo64, pagedfrg, pendmoves, pendmoves64, รายการไปป์ไลน์, pipelist64, portmon, procdump, procdump64, procexp, procexp64, Procmon, PsExec, PsExec64, psfile, psGetsid, sid64, PsInfo, PsInfo64, pskill, pskill64, pslist, pslist64, PsLoggedon, PsLoggedon64, psloglist, pspasswd, pspasswd64, psping, psping64, PsService, PsService64, psshutdown, pssuspend, pssuspend64, RAMMap, RegDelNull, RegDelNull64, RootkitRevealer, ru, ru64, sdelete, sdelete64, ShareEnum, ShellRunas, sigcheck, sigcheck64, สตรีม, สตรีม 64, สตริง, strings64, ซิงค์, sync64, Sysmon, Sysmon64, Tcpvcon, Tcpview, Testlimit, Testlimit64, vmmap, Volumeid, Volumeid64, whois, whois64, Winobj, ZoomIt

เครื่องมือ Windows Sysinternals(Sysinternals Suite) คือชุดยูทิลิตี้ระบบที่ออกแบบมาเพื่อช่วยผู้ใช้วินิจฉัยและแก้ไขปัญหาเกี่ยวกับแอปพลิเคชันและบริการของ Windows

เนื่องจาก Windows เป็นเรื่องธรรมดาที่สุด ระบบปฏิบัติการหลายโปรแกรมต้องเข้ากันได้กับฟังก์ชันเพื่อหลีกเลี่ยงข้อผิดพลาด ก่อนที่จะเผยแพร่โปรแกรมให้กับผู้ใช้ปลายทาง จะต้องได้รับการทดสอบและวิเคราะห์ก่อน แอปพลิเคชั่นบางตัวได้รับการออกแบบมาโดยเฉพาะเพื่อจุดประสงค์นี้และเป็นเครื่องมือที่มีประโยชน์สำหรับนักพัฒนา

ภาพรวมคุณสมบัติเครื่องมือ Windows Sysinternals

เครื่องมือวินิจฉัยที่จำเป็นในผลิตภัณฑ์เดียว

เครื่องมือบางอย่างที่รวมอยู่ในโซลูชันนี้ได้รับการพัฒนาโดย Mark Russinovich ซึ่งเป็นพนักงานด้านเทคนิคของ Microsoft นักพัฒนาร่วมก่อตั้ง Winternals ซึ่งเป็นแบรนด์แรกของยูทิลิตี้ Sysinternals Suite ส่วนใหญ่

อย่างไรก็ตาม Microsoft เข้าซื้อ Winternals ในปี 2549 ส่งผลให้ระบบสาธารณูปโภคส่วนใหญ่กลายเป็นทรัพย์สินของ Redmond หลายๆ รายการมีให้ดาวน์โหลดแยกต่างหากหรือเป็นส่วนหนึ่งของชุดเครื่องมือที่น่าสนใจสำหรับผู้เชี่ยวชาญด้านไอที โดยเฉพาะผู้ดูแลระบบ

โซลูชันนี้ประกอบด้วยยูทิลิตี้มากกว่า 70 รายการที่ได้รับการออกแบบมาเพื่อตรวจจับและแก้ไขข้อผิดพลาดที่เกี่ยวข้องกับระบบย่อยของดิสก์ เครือข่าย และปัญหาด้านความปลอดภัย พร้อมทั้งให้ข้อมูลเกี่ยวกับกระบวนการและระบบ ผลิตภัณฑ์นี้มีชุดยูทิลิตี้ที่หลากหลายมาก ดังนั้นเราจะดูโปรแกรมยอดนิยมในแพ็คเกจ

ตรวจสอบกระบวนการทำงานและจัดการโปรแกรมเริ่มต้น

รวมอยู่ในแพ็คเกจ กระบวนการสำรวจให้ข้อมูลโดยละเอียดเกี่ยวกับกระบวนการทำงานและการใช้หน่วยความจำ และช่วยให้คุณสามารถติดตามบริการใดที่ใช้ทรัพยากรคอมพิวเตอร์มากกว่า

โดยการใช้ การทำงานอัตโนมัติผู้ใช้สามารถจัดการออบเจ็กต์เริ่มต้นได้ และ Process Monitor จะตรวจสอบกิจกรรมของไฟล์และการดำเนินการของรีจิสทรีแบบเรียลไทม์ ผู้ดูแลระบบของระบบ Windows NT/2K ภายในและระยะไกลสามารถใช้ตัวเลือกบรรทัดคำสั่ง PsTools เพื่อดำเนินการกระบวนการต่างๆ ได้อย่างรวดเร็วและรับข้อมูลเกี่ยวกับการดำเนินงาน

ในบรรดาเครื่องมืออื่นๆ เราสังเกตว่า RootkitRevealer - ตรวจจับรูทคิทโหมดเคอร์เนล, TCPView - แสดงการตั้งค่า TCP และ UDP, เดสก์ท็อป - ช่วยให้คุณจัดการแอปพลิเคชันบนระบบที่มีเดสก์ท็อปหลายเครื่อง, SDelete - เขียนทับข้อมูลที่ละเอียดอ่อนเมื่อทำความสะอาดระบบเพื่อเพิ่มพื้นที่ว่าง, Sigcheck - ตรวจจับลายเซ็นดิจิทัลของภาพ

SWindows Sysinternals Tools คือชุดเครื่องมือที่มีประโยชน์ซึ่งจะช่วยให้ผู้ดูแลระบบวินิจฉัยและแก้ไขปัญหาได้ พื้นที่ต่างๆ- เริ่มต้นจากระบบไฟล์ลงท้ายด้วยการตั้งค่าเครือข่ายและความปลอดภัย

เครื่องมือ Windows Sysinternals

AccessChk, AccessEnum, AdExplorer, AdInsight, AdRestore, การเข้าสู่ระบบอัตโนมัติ, การทำงานอัตโนมัติ, BgInfo, CacheSet, ClockRes, Contig, Coreinfo, Ctrl2Cap, DebugView, เดสก์ท็อป, Disk2vhd, DiskExt, DiskMon, DiskView, การใช้งานดิสก์ (DU), EFSDump, FindLinks, จัดการ, Hex2Dec, Junction, LDMDUMP, LISTDLLLS, LIVEKD, LOADORDER, LOGONSISSIONS, MOVEFILE, NTFSINFO, PENDMOVES, Pipelist, PORTMON, ProcDump, ProCess Explorer, ProCESS Psexec, PSFile, PSGESID, PSINFO, PSPING, PSKILL, PSLIST, PSLOGGEDON, PSLOGLIST, PsPasswd , PsService, PsShutdown, PsSuspend, RAMMap, RegDelNull, การใช้งานรีจิสทรี (RU), RegJump, SDelete, ShareEnum, ShellRunas, Sigcheck, สตรีม, สตริง, ซิงค์, Sysmon, TCPView, VMMap, VolumeID, WhoIs, WinObj, ZoomIt