Два десятилетия назад, Марк Руссинович и Брайс Когсвелл основали компанию под названием Winternals Software. На протяжении многих лет, они разрабатывали библиотеку мощных инструментов для глубокой настройки тогда флагманской операционной бизнес системы Microsoft - Windows NT.
В 2006 году Microsoft приобрела эту компанию (и мудро нанял обоих её основателей). Удивительно, но инструменты в Sysinternals Suite продолжают регулярно обновляться и сегодня, спустя десять лет. Не менее удивительно - они до сих пор совершенно бесплатны.
В полной коллекции Sysinternals Utilities вы найдёте более 70 приложений и инструментов для командной строки, а также связанные с ними файлы справки. Среди них, небольшая группа суперинструментов первой необходимости для всех ИТ-профессионалов и опытных пользователей Windows, но, вероятно, у вас будут свои фавориты.
Сосредоточим своё внимание на трёх мощнейших инструментах Sysinternals: Autoruns, Process Explorer и Process Monitor. Каждый из этих инструментов достойное усовершенствование соответствующего встроенного приложения Windows. Позже, рассмотрим несколько, возможно, самых интересных, в том числе PsTools и TCPVIEW, с дополнительными указаниями о том, что ещё может оказаться полезным.
Содержание:
Обзор служебных утилит Sysinternals
Конечно можно посетить страницу Windows Sysinternals, на https://technet.microsoft.com/sysinternals и использовав алфавитный указатель утилит, выбрать только нужные инструменты. Для чуть более точного подхода, попробуйте шесть отдельных категорий: файл и диск, сеть, процесс, безопасность, системная информация и прочие.
Но гораздо проще скачать весь набор Sysinternals (https://technet.microsoft.com/sysinternals/bb842062) и разархивировать его в собственную папку.
Как удобная альтернатива, для экономии места на диске и уточнения того, что вы планируете использовать самые последние версии утилит, воспользуйтесь службой Sysinternals Live. На https://live.sysinternals.com, вы найдёте полный перечень всех инструментов и файлы поддержки. Если вы знаете название нужного вам инструмента, можно ввести этот путь в проводнике Windows или в командной строке, например, https://live.sysinternals.com/<toolname> или \\live.sysinternals.com\tools\<toolname>. (Подсказка: сохраните избранное для быстрого доступа как web-ярлыки.)
Служба Sysinternals Live позволяет запускать последние в коллекции версии каждого инструмента с помощью одного клика.
Некоторые инструменты Sysinternals полностью конкретизированы и имеют характерный графический интерфейс. Другие, предназначены для интерактивного запуска в командной строке или с помощью скриптов.
Настройка Sysinternals Suite для запуска из любого места
Рассмотрим пару советов. Если вы загрузили весь Sysinternals Suite, вы, вероятно, хотели бы запускать свои команды из любого места: диалогового окна «выполнить», в окне командной строки, окне поиска. Если вы добавите папку Sysinternals в переменную среды «Path», вы cможете это делать. Что даст вам возможность увидеть значительно улучшенную версию интерфейса Windows 10 для редактирования этого и других переменных окружения.
Чтобы приступить к работе, введите в поле поиска «environmen/окружающая среда», затем в списке результатов, нажмите кнопку "Редактировать переменные системного окружения". В диалоговом окне "Переменные окружающей среды", нажмите на переменные среды, выберите путь и нажмите кнопку "Редактировать". Отобразится следующее диалоговое окно. Если вы когда-нибудь пытались редактировать переменную Path в предыдущей версии Windows, вы оцените, насколько проще это диалоговое окно по сравнению с его предшественниками.
Если вы извлекли файлы в папку с именем SysinternalsSuite в корневой каталог диска «C», все, что вам нужно сделать, это нажать кнопку "Новый", найти эту папку, и кликнуть на ней, для указания её полного пути. Сделайте то же самое, чтобы указать полный путь туда, где вы сохранили файлы. Затем дважды нажмите кнопку «ОК», чтобы сохранить изменения. Теперь вы можете ввести любую команду Sysinternals, например, «Autoruns», для запуска этого инструмента без указания его полного расположения.
Не все опции в Sysinternals Suite равноценны. Некоторые из них, были явно написаны для другой эпохи и имеют мало отношения к последней десктопной версии Windows или современным версиям серверов. Кроме того, некоторые инструменты, хотя по-прежнему полезны, были заменены встроенными функциями. Например, с приложением "Desktops", можно создать до четырёх виртуальных рабочих столов и назначить для каждого из них горячие клавиши. Добавление виртуальных рабочих столов как встроенная функция в Windows 10 делает альтернативу Sysinternals гораздо менее необходимой.
Лучшая подсказка для понимания, какие программы заслуживают более пристального внимания - поле "Дата создания". Переключитесь в проводнике на вид списка, добавьте поле "Дата создания" и затем сортируйте по этим данным. В этом списке вы найдёте маркировку даты и времени, начиная с 1999 года и многое другое. Наиболее полезные программы Sysinternals регулярно обновляются и отображаются в верхней части списка.
Autoruns
На протяжении многих лет управление автоматически запускающимися при включении вашей системы Windows программами постепенно улучшалось. Последнее дополнение к набору инструментов Windows, вкладка "Автозагрузка" в диспетчере задач.
Но встроенный инструмент не может сравниться с Autoruns, который законно считается «наиболее полным инструментом для просмотра и управления autostart в Windows.»
В отличие от диспетчера задач, который ограничивается списком наиболее распространённых локаций, Autoruns показывает полный список расположений в реестре, в запланированных задач и т.д., то есть везде, где приложение может настроить себя на автоматический запуск. С помощью диспетчера задач, можно временно отключить любые, перечисленные на вкладке «Автозагрузка» записи. А также Autoruns даёт возможность удалить эту запись, без ущерба для реестра.
Иногда — возможно, даже большую часть времени — эти элементы полезны, включая такие задачи, как проверка обновлений безопасности и выполнение основных задач синхронизации. Но некоторые записи просто пожирают используемые при запуске системы ресурсы.
Вкладка "Everything" показывает, каждый файл, драйвер, службу, запланированные задачи и другие элементы, которые запускаются автоматически при включении устройства или входе в систему.
Каждая строка содержит имя записи в автозапуске, издателя и описание исполняемых файлов и библиотек DLL. Путь к выполняющемуся при запуске элемента файлу и его иконку. Снимите флажок, слева от любого элемента, и временно отключите этот пункт. Панели в нижней части отображают сведения о текущем выборе, включая её полную командную строку.
Что означают цветовые коды Autoruns
Цветовое кодирование списков в Autoruns, сначала может вас расстроить, особенно потому, что нигде документально не описывается. Каждая рубрика, идентифицирующая местоположение хранящихся в автозапуске данных, заштрихована светло-фиолетовым цветом. Выбранная в настоящее время строка, выделяется тёмно-синим цветом. Строки, выделенные красным связаны с файлами, у которых поля описание и издатель пусты. Заливка жёлтого цвета означает, что точки входа autostart в этот файл не найдены.
Если вы уверены, что жёлтая строка появилась только потому, что после удаления программы её данные должным образом не очищены, вы можете удалить их с помощью Autoruns. Для красных строк: выберите нужную строку, щёлкните по ней правой кнопкой мыши и в контекстном меню - проверить изображение. Если сертификат цифровой подписи кода файла доверенный, в колонке «издатель» текст изменится на (проверено) и последует имя издателя сертификата подписи кода. Если файл не подписан или проверка по любой другой причине терпит неудачу, текст изменится на (не проверено).
Как уже упоминалось ранее, список Autoruns может быть огромен. Один из способов уменьшить уровень помех - нажать в меню «Options» и выбрать пункт "Скрыть записи Microsoft". Эта опция облегчит обнаружение потенциально проблемных программ от сторонних производителей, в том числе вредоносных.
Используйте этот параметр, чтобы при поиске потенциально проблемных программ сторонних производителей, скрыть записи Microsoft и уменьшить количество сканируемых записей.
Щёлкните правой кнопкой мыши по любой записи, на любой вкладке в Autoruns и просмотрите список опций для этого элемента. Например, опция "Перейти к элементу" перенесёт к папке или ключу реестра, где находится этот элемент. Опция "Перейти к изображению" откроет проводник и покажет установленный для автоматического запуска файл.
Если в списке Autoruns вы увидели незнакомую запись, чтобы увидеть её параметры и исследовать дальше, щёлкните на ней правой кнопкой мыши .
Обратите внимание, что несколько вариантов из этого списка требуют административных привилегий, в том числе возможность удаления записи из реестра. Если вы запустили Autoruns без повышения прав, вы увидите диалоговое окно отказа в доступе, как показано на следующем изображении. Чтобы перезапустить Autoruns и повторите попытку, используйте запуск от имени администратора.
Внимание. Самый благоразумный способ отключения элемента в Autoruns - снять флажок слева от него. После того, как вы убедитесь, что сделанное изменение не имеет долгосрочных негативных побочных эффектов, вы можете его удалить.