Har du noen gang ønsket at du kunne ha ultimat kontroll over Windows-PCen din? Å ha kraften til å ikke bare kikke under panseret på nesten alle Windows-prosesser eller -applikasjoner, men også muligheten til å se hvilke filer og registernøkler applikasjonene dine får tilgang til i sanntid, er fantastisk.
Kanskje du er en datatekniker som ønsker å legge til seriøs kunnskap til Windows-verktøybeltet. Hvis vi har vakt interessen din, trenger vi ikke lete lenger når vi bryter ned Sysinternals, en av de mest stamtavlede og kraftige suitene med system- og administrasjonsverktøy for Windows.
En kort historie om Sysinternals
Sysinternals er en samling gratis system-, administrasjons- og feilsøkingsverktøy for Windows.
Sysinternals går nesten så langt tilbake som selve Windows, med den første iterasjonen som dateres tilbake til 1996. Siden den gang har Sysinternals-pakken utviklet seg med hver påfølgende versjon av Windows, med arsenalet utvidet til over 70 forskjellige verktøy. Microsoft kjøpte og kjøpte programvaren direkte i 2006, og har holdt den gratis og tilgjengelig for nedlasting enten som en komplett pakke eller individuelt.
Sysinternals mottar også jevnlige oppdateringer med nye verktøy som legges til over tid. Det beste av alt er at programvaren er bærbar og krever ikke at du installerer den. De fleste verktøyene er enkle EXE-filer du kan sette på en USB-flash-stasjon og legge til Windows bærbart appverktøysett for systemadministrasjon.
Hvordan få Sysinternals
Først må du laste Sysinternals til PC-en din. Heldigvis er ikke dette vanskelig.
Last ned direkte fra Microsoft
For å komme i gang, besøk Sysinternals Utilities Index, hvor du også kan lese en kort beskrivelse av hvert verktøys funksjon.
Hvis du velger å laste ned hele Sysinternals-pakken, vil nettleseren din laste ned en ZIP-fil på rundt 45 MB.
I nedlastingsmappen din, ganske enkelt Høyreklikk på SysinternalsSuite.zip og velg Trekk ut alt.Konfigurer deretter en destinasjonsmappe etter eget valg og klikk på Ekstrakt knapp.
Nå er du fri til å utforske og bruke verktøyene som du synes passer. Det er verdt å huske på at de fleste verktøyene krever administratortilgang, så sørg for det Høyreklikk på hvert verktøy og velg Kjør som administrator før bruk.
Sysinternals Live er en tjeneste levert av Microsoft som lar deg kjøre Sysinternals-verktøy direkte fra nettet.
Du kan kjøre et individuelt verktøy direkte ved å skrive inn verktøyets Sysinternals Live-bane i enten Windows Utforsker eller Kjør-dialogen. Bruk følgende syntaks: \\live.sysinternals.com\tools\
trykk Vinne + R for å få opp Kjør-dialogen. Angi verktøynavnet på slutten av banen og trykk Tast inn eller trykk OK.
Etter et øyeblikk eller to vil du bli møtt med en Sikkerhetsadvarsel hvor du ganske enkelt kan velge Løpe å fortsette. Merk at du kan se hele Microsoft Sysinternals Live-verktøykatalog i nettleseren din.
Hva kan du gjøre med Sysinternals?
Selv om det er usannsynlig at en person noen gang vil bruke alle verktøyene som er tilgjengelige i suiten, er det en mengde verktøy til disposisjon.
Det finnes verktøy som Process Monitor, som overvåker filsystem, register, prosess, tråd og DLL-aktivitet i sanntid. Process Explorer, på den annen side, ligner på Windows Task Manager, men med massevis av tilleggsfunksjoner.
Autoruns hjelper deg med å administrere Windows-oppstartsprosesser i tillegg til å oppdage spesielt irriterende innebygd skadelig programvare. Se hvordan administrere Windows-oppstartsprogrammer med Autoruns for mer informasjon.
SDelete, som er et DoD-kompatibelt sikkert sletteprogram, renser også ledig plass og etterlater ingen spor av tidligere slettede filer.
Det finnes også en rekke kraftige kommandolinjeverktøy som hjelper med alt fra nettverks- og fildelingssikkerhet til avanserte Active Directory-installasjoner og mange flere.
La oss deretter se på noen av de mer populære verktøyene og hvordan du kanskje vil bruke dem.
Prosessutforsker: Task Managers storebror
Når du åpner Process Explorer for første gang, kan du bli litt overveldet av den store mengden alternativer og data du blir presentert for.
I venstre rute er det den hierarkiske trevisningen som viser alle prosesser og underprosesser som kjører på datamaskinen din. Ved siden av det finner du CPU og RAM-bruk, PID (prosessidentifikator), Beskrivelse, og selskapsnavn alt presentert i kolonner som kan sorteres og tilpasses.
I verktøylinjen er det miniaktivitetsgrafer for prosessor, Fysisk hukommelse, og Input / Output som en gang klikket åpen i et eget vindu. Under Alternativer > Skuff ikoner du kan også velge hvilken aktivitet du vil ha vist i Windows-oppgavelinjen når du minimerer programmet.
En av de største forskjellene mellom Process Explorer og Windows Task Manager er den fargekodede nøkkelen som brukes til å identifisere ulike typer prosesser. Du kan hente denne nøkkelen ved å gå til Alternativer > Fargevalg. Hold øye med prosesser merket med lilla, da disse inneholder komprimert kode og kan være et tegn på skjult skadelig programvare.
Høyreklikk på en prosess vil vise et sett med alternativer, slik at du kan Angi prioritet, Drepe, Drep prosesstreet, Utsette prosessen og mer.
Prosessmonitor: Den ultimate Windows-loggen
Process Monitor er ganske forskjellig fra Process Explorer.
Process Monitor lar deg fange en logg over hver enkelt hendelse som skjer på din Windows-PC. Med Process Monitor kan du se hvilke registernøkler som oppdateres av et hvilket som helst program. Selv om en tjeneste eller applikasjon skaper en ny prosess, endrer filsystemet på en eller annen måte, eller kobler til et nettverk, kan du spore det med Process Monitor.
Når du først åpner Process Monitor, vil du bli møtt med en enorm mengde rader og data. I bakgrunnen vil Process Monitor fortsette å logge alle register-, filsystem-, nettverks-, prosess- og profileringshendelser som kan oppstå. Dette betyr at listen over data vil vokse raskt selv om maskinen din går på tomgang, ettersom tjenester samhandler med systemet ditt.
Nøkkelen til å bruke Process Monitor effektivt er å filtrere ut og kun fokusere på hendelsene som interesserer deg. For eksempel: for raskt å filtrere ut Microsoft-prosesser du kan gå til Alternativer > Velg kolonner og inkludere selskapsnavn. Deretter kan du enkelt ved å høyreklikke på kolonnen bruke Inkluder / Ekskluder-funksjonen i kontekstmenyen for raskt å filtrere ut disse hendelsene.
Dobbeltklikke eller høyreklikke på en hendelse og velge Egenskaper vil åpne en ekstra dialog med et vell av informasjon. Fra denne dialogboksen vil du kunne bestemme klassen for hendelsen (dvs. filsystem eller RegistryQueryKey), banen til den fysiske operasjonen og resultatet.
Herfra kan du grave enda dypere ved å gå til Stable fanen der du kan se de individuelle DLL-filene knyttet til hendelsen.
Som standard bruker Process Monitor datamaskinens virtuelle minne til å lagre hendelser som er midlertidige. Hvis du går til Fil > Sikkerhetskopiering av filer du kan spesifisere en fil for dataene som skal skrives og lagres til.
Autoruns: Konfigurering av oppstartsprosesser og applikasjoner
Windows gir noen få alternativer for å håndtere oppstartsprosesser og programmer ut av esken. Task Manager, for eksempel, har en dedikert Oppstartsapper delen i navigasjonsruten. Den samme informasjonen finnes også i Innstillinger app under Apper > Oppstart.
Selv om dette sannsynligvis er godt nok for de fleste, gir det deg ikke et fullstendig bilde av hva som blir lastet hver gang du starter opp PC-en. I virkeligheten er det mange mer sofistikerte måter programvare kan konfigureres til å starte automatisk på Windows. Det er nettleserhjelpeobjekter, planlagte oppgaver, tjenester, drivere og til og med noen nesten uoppdagelige metoder som bildekapring og AppInit_dlls.
Hvis du leter etter en omfattende liste over oppstartsartikler, er Autoruns svaret ditt.
Som standard, når du først åpner Autoruns vil du lande på Alt fanen. Dette viser hvert enkelt oppstartselement fra hver eneste fane. Naturligvis kan du bla gjennom fanene for å destillere informasjonen videre.
Hver fane gir deg en ide om mekanismen som brukes av oppstartselementet. For eksempel Logg på fanen viser alle elementer som er lastet inn når brukeren logger på Windows. De Utforsker fanen på den annen side viser alle oppstartselementer som knytter seg til File Explorer-prosessen når den kjører.
For å stoppe et oppstartselement fra å kjøre, ganske enkelt fjern merket avkrysningsboksen ved siden av programmet til venstre. Det er alt som skal til. Bare vær forsiktig når du velger bort noe i Drivere og Tjenester faner, da de fleste av disse er avgjørende for Windows-appene og -komponentene dine.
Sysinternals tilbyr så mye mer
Forhåpentligvis har det vi har dekket så langt slått deg på ideen om Sysinternals. Enten du vil ha et fullstendig øyeblikksbilde av alt som skjer på PC-en din med Process Explorer, den granulære detaljen eksponert av Process Overvåk, eller den ultimate autoriteten for hvilke programmer som kommer til å kjøre ved oppstart med Autoruns, Sysinternals har et verktøy for omtrent alt.
Vi har bare dekket det grunnleggende om hva som er mulig ved å bruke verktøyene i Sysinternals-pakken. Utforsk dem gjerne på egen hånd, men husk med stor kraft følger stort ansvar.