Jakie usługi oferuje Windows Sysinternals?

Process Monitor

Process Monitor to zaawansowane narzędzie monitorujące dla systemu Windows, które pokazuje w czasie rzeczywistym system plików, rejestr i aktywność procesów. Łączy w sobie cechy dwóch starszych narzędzi Sysinternals, Filemon i Regmon oraz dodaje obszerną listę ulepszeń, w tym bogate filtrowanie, kompleksowe właściwości zdarzeń, takie jak identyfikatory sesji i nazwy użytkowników, wiarygodne informacje o procesach, pełne stosy wątków, jednoczesne logowanie do pliku i wiele więcej. Jego imponująca funkcjonalność sprawiła, że Process Monitor stał się podstawowym narzędziem do rozwiązywania problemów z systemem i do polowania na złośliwe oprogramowanie. Poniżej kilka z funkcjonalności:

• Bezpieczne monitorowanie pozwala ustawić filtry bez utraty danych
• Przechwytywanie stosów wątków dla każdej operacji umożliwia w wielu przypadkach zidentyfikowanie podstawowej przyczyny operacji
• Niezawodne przechwytywanie szczegółów procesu, w tym ścieżki obrazu, wiersza poleceń, identyfikatora użytkownika i sesji
• Konfigurowalne i ruchome kolumny dla dowolnej właściwości zdarzenia
• Zaawansowana architektura rejestrowania skaluje się do dziesiątek milionów przechwyconych zdarzeń i gigabajtów danych dziennika
• Narzędzie drzewa procesów pokazuje relacje wszystkich procesów, do których odwołuje się ślad
• Rejestrowanie czasu rozruchu wszystkich operacji

Process Explorer

Process Explorer pokazuje informacje o tym, które uchwyty i procesy DLL zostały otwarte lub załadowane do pamięci. Interfejs Process Explorer składa się z dwóch podokien. W górnym oknie zawsze wyświetlana jest lista aktualnie aktywnych procesów, w tym nazwy kont będących ich właścicielami, natomiast informacje wyświetlane w dolnym oknie zależą od trybu, w jakim znajduje się aplikacja. Jeśli jest w trybie obsługi, zobaczymy wszystkie uchwyty wybranego na górze procesu. Jeśli jest w trybie DLL, zobaczymy biblioteki DLL i pliki mapowane w pamięci, które załadował proces. Process Explorer ma również potężną funkcję wyszukiwania, która szybko pokaże, które procesy mają otwarte konkretne uchwyty lub załadowane biblioteki DLL. Unikalne możliwości Process Explorer sprawiają, że jest on przydatny do śledzenia problemów z wersjami DLL lub obsługi wycieków pamięci, a także zapewnia wgląd w sposób działania systemu Windows i aplikacji.

TCPView

Jest to program dla systemu, który wyświetla szczegółowe listy wszystkich punktów końcowych TCP i UDP w systemie, w tym adresy lokalne i zdalne oraz stan połączeń TCP. W systemach Windows Server 2008, Vista i XP TCPView raportuje również nazwę procesu będącego właścicielem punktu końcowego. TCPView zapewnia bardziej wartościowy i wygodniej prezentowany podzbiór programu Netstat, który jest dostarczany z systemem Windows.

LogonSessions

Bardzo przydatna rzecz, jeśli jesteśmy administratorem serwera lub szukamy artefaktów jako analitycy bezpieczeństwa. Narzędzie pozwala za pomocą jednego polecenia wyświetlić listę aktualnie aktywnych sesji logowania oraz, jeśli określisz opcję -p, procesy uruchomione w każdej sesji.

Co nowego?

Całkiem niedawno, bo 25 maja, Microsoft wypuścił sporą aktualizację do narzędzi Sysinternals. Główne zmiany to:

• Process Monitor v3.80 – Dodano integracje z nowym silnikiem motywów Sysinternals, zapewniające obsługę trybu ciemnego.
• Sysmon v13.20 – Dodano warunki filtrowania „not begin with” i „not end with” oraz korekcję regresji logiki „include/exclude”.
• TCPView v4.10 – Dodano możliwość filtrowania połączeń według ich stanu.
• Process Explorer v16.40 – Dodano obsługę filtrowania procesów do głównego ekranu i obsługę procesu CET (stos cieni).