Марк Руссинович, Аарон Маргозис - Утилиты Sysinternals. Справочник администратора [Справочник, 2012, PDF]

Предисловие.................................................................................................... XV Введение......................................................................................................... XVI Благодарности .............................................................................................. XXII Список ошибок и поддержка книги ........................................................... XXIII ЧАСТЬ I Приступая к работе ...........................................................................1 Глава 1 Введение в утилиты Sysinternals .....................................................2 Обзор утилит ........................................................................................................................ 3 Сайт Windows Sysinternals .............................................................................................. 6 Скачивание утилит ...................................................................................................... 7 «Разблокировка» ZIP-архивов перед извлечением файлов .......................... 8 Запуск утилит напрямую из Интернета ............................................................... 9 Автономные образы ...................................................................................................10 Форумы Windows Sysinternals ...............................................................................11 Блог сайта Windows Sysinternals ...........................................................................12 Блог автора ...................................................................................................................12 Веб-трансляции автора .............................................................................................12 Лицензирование утилит Sysinternals .........................................................................12 Лицензионное соглашение с конечным пользователем и переключатель /accepteula ...................................................................................13 Часто задаваемые вопросы по лицензированию Sysinternals .....................13 Глава 2 Основные понятия Windows .......................................................... 15 Права администратора ....................................................................................................16 Запуск программы с правами администратора в Windows XP и Windows Server 2003 ..............................................................................................17 Запуск программы с правами администратора в Windows Vista или более поздних версиях .....................................................................................18 Процессы, потоки и задания .........................................................................................21 Пользовательский режим и режим ядра...................................................................23 Описатели ............................................................................................................................24 Стеки вызовов и символы ..............................................................................................25 Что такое стек вызовов? ...........................................................................................25 VI Оглавление Что такое символы? ...................................................................................................26 Настройка символов ..................................................................................................29 Сеансы, оконные станции, рабочие столы и оконные сообщения ...................30 Сеансы служб терминалов ......................................................................................31 Оконные станции .......................................................................................................33 Рабочие столы ..............................................................................................................34 Оконные сообщения ..................................................................................................35 ЧАСТЬ II Работа с утилитами ....................................................................... 37 Глава 3 Process Explorer .............................................................................. 38 Обзор Procexp ....................................................................................................................39 Мониторинг загруженности ЦП ...........................................................................40 Права администратора ..............................................................................................42 Главное окно .......................................................................................................................43 Список процессов .......................................................................................................43 Настройка выбора столбцов ...................................................................................53 Сохранение отображаемых данных......................................................................65 Панель инструментов ................................................................................................65 Поиск процесса — владельца окна ........................................................................67 Строка состояния .......................................................................................................67 Динамически подключаемые библиотеки и описатели ......................................67 Поиск DLL и описателей .........................................................................................68 Режим просмотра DLL .............................................................................................69 Режим просмотра описателей ................................................................................73 Сведения о процессе ........................................................................................................77 Вкладка Image ..............................................................................................................77 Вкладка Performance .................................................................................................79 Вкладка Performance Graph ....................................................................................80 Вкладка Threads ..........................................................................................................81 Вкладка TCP/IP .........................................................................................................81 Вкладка Security .........................................................................................................82 Вкладка Environment ................................................................................................83 Вкладка Strings ............................................................................................................84 Вкладка Services ..........................................................................................................84 Вкладки .NET ...............................................................................................................85 Вкладка Job ...................................................................................................................87 Сведения о потоках ..........................................................................................................87 Проверка подписей образов ..........................................................................................89 Окно System Information ................................................................................................90 Параметры отображения ................................................................................................94 Procexp как замена Диспетчера задач ........................................................................95 Создание процессов в Procexp ...............................................................................95 Оглавление VII Сеансы других пользователей ................................................................................96 Разные функции ................................................................................................................96 Выключение ПК ..........................................................................................................96 Переключатели командной строки ......................................................................96 Восстановление настроек Procexp по умолчанию ..........................................97 Клавиатурные комбинации ...........................................................................................97 Глава 4 Process Monitor ............................................................................... 99 Начало работы с Procmon ............................................................................................101 События .............................................................................................................................102 Параметры отображения умолчанию ................................................................103 Настройка отображения полей ............................................................................106 Диалог Event Properties ..........................................................................................107 Отображение событий трассировки ..................................................................112 Поиск события ...........................................................................................................113 Копирование данных события .............................................................................113 Переход к параметру реестра или файлу .........................................................114 Поиск в Интернете ...................................................................................................114 Фильтрация и подсветка ..............................................................................................114 Настройка фильтров ................................................................................................115 Настройка подсветки ..............................................................................................118 Расширенный вывод ................................................................................................118 Сохранение фильтров .............................................................................................119 Дерево процессов ............................................................................................................120 Запись и загрузка трассировки Procmon ................................................................122 Сохранение трассировок Procmon .....................................................................122 Загрузка трассировок Procmon ............................................................................124 Мониторинг до входа и после выхода из системы ..............................................125 Ведение журнала загрузки ....................................................................................125 Продолжение работы Procmon после выхода из системы .........................126 Длительная трассировка и управление размером журналов ..........................127 Удаление отфильтрованных событий ................................................................127 Длина трассировки ..................................................................................................128 Файлы для записи данных ....................................................................................128 Импорт и экспорт параметров конфигурации .....................................................129 Автоматизация Procmon: параметры командной строки ..................................130 Инструменты для анализа ...........................................................................................132 Сводка активности процесса ................................................................................133 Сводка по файлам .....................................................................................................134 Сводка по реестру .....................................................................................................136 Сводка по стеку .........................................................................................................136 Сводка по сети ...........................................................................................................137 VIII Оглавление Сводка по перекрестным ссылкам ......................................................................138 Счетчик событий ......................................................................................................138 Включение вывода отладчика в трассировки Procmon .....................................139 Панель инструментов ....................................................................................................140 Глава 5 Autoruns ......................................................................................... 142 Введение в Autoruns ......................................................................................................143 Отключение и удаление элементов автозапуска ...........................................145 Autoruns и администраторские разрешения ...................................................145 Проверка подписей кода ........................................................................................146 Как скрыть системные ASEP Microsoft ............................................................147 Получение дополнительной информации об ASEP.....................................148 Просмотр элементов автозапуска для других пользователей ..................148 Просмотр точек ASEP отключенной системы ...............................................149 Перечисление неиспользуемых точек ASEP ..................................................150 Изменение шрифта ..................................................................................................150 Категории автозапуска ..................................................................................................150 Категория Logon ......................................................................................................150 Категория Explorer ...................................................................................................152 Категория Internet Explorer ..................................................................................155 Категория Scheduled Tasks ....................................................................................155 Категория Services ....................................................................................................156 Категория Drivers .....................................................................................................157 Категория Codecs ......................................................................................................157 Категория Boot Execute ..........................................................................................158 Категория Image Hijacks .......................................................................................158 Категория AppInit ....................................................................................................160 Категория KnownDLLs ...........................................................................................160 Категория Winlogon .................................................................................................161 Категория Winsock ...................................................................................................162 Категория Print Monitors ......................................................................................162 Категория LSA Providers .......................................................................................162 Категория Network Providers ...............................................................................163 Категория Sidebar Gadgets ....................................................................................163 Сохранение и сравнение результатов проверки ..................................................164 Сохранение в виде текста с разделителями ....................................................164 Сохранение в двоичном формате (.arn) ............................................................164 Просмотр и сравнение результатов ....................................................................165 AutorunsC ..........................................................................................................................165 Autoruns и вредоносное ПО ........................................................................................167 Оглавление IX Глава 6 PsTools............................................................................................ 169 Общие функции ..............................................................................................................170 Удаленные операции ...............................................................................................170 Удаленные операции на нескольких компьютерах .......................................171 Альтернативные учетные данные .......................................................................172 Решение проблем с удаленными подключениями PsTools ........................172 Базовое подключение ..............................................................................................173 Учетные записи пользователей ............................................................................173 PsExec .................................................................................................................................174 Завершение удаленного процесса .......................................................................175 Перенаправление вывода консоли .....................................................................176 Альтернативные учетные данные PsExec ........................................................177 Параметры командной строки PsExec ..............................................................178 Параметры производительности процесса ......................................................179 Параметры удаленного подключения ...............................................................180 Параметры исполняющей среды .........................................................................180 PsGetSid .............................................................................................................................184 PsInfo ...................................................................................................................................186 PsKill ...................................................................................................................................187 PsList ...................................................................................................................................188 PsLoggedOn .......................................................................................................................190 PsLogList ............................................................................................................................191 PsPasswd .............................................................................................................................196 PsService .............................................................................................................................197 Query .............................................................................................................................198 Config ..................................................................................................................................200 Depend ..........................................................................................................................201 Security .........................................................................................................................201 Find ................................................................................................................................202 SetConfig ......................................................................................................................202 Start, Stop, Restart, Pause, Continue ....................................................................202 PsShutdown .......................................................................................................................203 PsSuspend ...........................................................................................................................207 Синтаксис командной строки PsTools .....................................................................207 PsExec ...........................................................................................................................207 PsFile .............................................................................................................................208 PsGetSid .......................................................................................................................208 PsInfo .............................................................................................................................208 PsKill .............................................................................................................................208 PsList .............................................................................................................................208 PsLoggedOn ................................................................................................................208 PsLogList ......................................................................................................................208 X Оглавление PsPasswd .......................................................................................................................208 PsService .......................................................................................................................209 PsShutdown .................................................................................................................209 PsSuspend ....................................................................................................................209 Системные требования PsTools .................................................................................209 Глава 7 Утилиты для работы с процессами и диагностики ................... 211 VMMap ...............................................................................................................................211 Запуск VMMap и выбор процесса ............................................................................213 Просмотр запущенного процесса ........................................................................213 Запуск и мониторинг нового процесса .............................................................214 Окно VMMap .............................................................................................................215 Типы памяти ...............................................................................................................216 Информация о памяти ............................................................................................218 Хронология моментальных снимков .................................................................219 Просмотр текста из областей памяти ................................................................221 Поиск и копирование текста .................................................................................221 Просмотр распределения памяти в процессе с подгруженной DLL VMMap ...............................................................................................................222 Фрагментация адресного пространства............................................................225 Сохранение и загрузка моментальных снимков ............................................225 Параметры командной строки VMMap ............................................................226 Восстановление параметров VMMap по умолчанию ..................................227 Синтаксис командной строки ..............................................................................228 Выбор процесса для мониторинга ......................................................................229 Указание пути к файлу дампа ..............................................................................230 Указание условий для создания дампа .............................................................230 Параметры файла дампа ........................................................................................233 Дампы miniplus ..........................................................................................................234 Неинтерактивный запуск ProcDump ................................................................235 Захват всех сбоев приложений с помощью ProcDump ...............................236 Просмотр дампа в отладчике ................................................................................237 DebugView .........................................................................................................................238 Отладочный вывод ...................................................................................................238 Экран DebugView .....................................................................................................238 Получение отладочного вывода пользовательского режима ....................241 Получение отладочного вывода режима ядра ................................................241 Поиск, фильтрация и выделение выходных данных ....................................243 Сохранение, запись в журнал и печать .............................................................246 Удаленный мониторинг ..........................................................................................247 LiveKd .................................................................................................................................250 Требования LiveKd ...................................................................................................251 Оглавление XI Запуск LiveKd ............................................................................................................251 Примеры использования LiveKD .......................................................................253 ListDLLs .............................................................................................................................254 Handle .................................................................................................................................257 Поиск и получение списка описателей .............................................................257 Счетчики описателей ..............................................................................................260 Закрытие описателей ..............................................................................................261 Глава 8 Утилиты системы безопасности ................................................. 262 SigCheck .............................................................................................................................262 Проверка подлинности подписи .........................................................................264 Проверяемые файлы................................................................................................266 Дополнительная информация о файле .............................................................266 Формат вывода данных ..........................................................................................268 AccessChk ...........................................................................................................................268 Что такое «действующие разрешения»? ..........................................................269 Использование AccessChk .....................................................................................270 Тип объекта .................................................................................................................271 Поиск прав доступа ..................................................................................................274 Параметры вывода данных ....................................................................................275 AccessEnum .......................................................................................................................277 ShareEnum .........................................................................................................................279 ShellRunAs .........................................................................................................................281 Autologon ...........................................................................................................................282 LogonSessions ....................................................................................................................283 SDelete ................................................................................................................................286 Использование SDelete ..........................................................................................287 Принцип работы SDelete .......................................................................................288 Глава 9 Утилиты для работы с Active Directory ....................................... 290 AD Explorer .......................................................................................................................290 Подключение к домену ...........................................................................................290 Отображение данных AdExplorer .......................................................................292 Объекты .......................................................................................................................293 Атрибуты .....................................................................................................................294 Поиск ............................................................................................................................296 Снимки .........................................................................................................................297 Конфигурация AdExplorer ....................................................................................299 Ad Insight ...........................................................................................................................299 Захват данных AdInsight ........................................................................................300 Параметры отображения данных ........................................................................303 Поиск информации ..................................................................................................304 Фильтрация результатов ........................................................................................306 XII Оглавление Сохранение и экспорт данных AdInsight .........................................................308 Параметры командной строки .............................................................................309 Ad Restore ..........................................................................................................................309 Глава 10 Утилиты рабочего стола ............................................................ 311 BgInfo ..................................................................................................................................311 Настройка данных для отображения .................................................................312 Сохранение конфигурации BgInfo .....................................................................318 Другие параметра вывода данных ......................................................................318 Обновление других рабочих столов ...................................................................320 Desktops ..............................................................................................................................321 ZoomIt .................................................................................................................................323 Работа с ZoomIt .........................................................................................................323 Режим масштабирования .......................................................................................324 Режим рисования .....................................................................................................324 Режим печати .............................................................................................................325 Таймер ...........................................................................................................................326 Режим LiveZoom .......................................................................................................326 Глава 11 Утилиты для работы с файлами ................................................ 327 Strings ..................................................................................................................................327 Streams ................................................................................................................................328 Утилиты для работы со ссылками NTFS ................................................................330 Junction .........................................................................................................................331 FindLinks......................................................................................................................332 DU ........................................................................................................................................333 Утилиты для операций с файлами после загрузки .............................................335 PendMoves ...................................................................................................................335 MoveFile .......................................................................................................................336 Глава 12 Утилиты для работы с диском ................................................... 337 Disk2Vhd ............................................................................................................................337 Diskmon ..............................................................................................................................340 Sync ......................................................................................................................................341 DiskView ............................................................................................................................343 Contig ..................................................................................................................................346 PageDefrag .........................................................................................................................347 DiskExt ...............................................................................................................................348 LDMDump .........................................................................................................................349 VolumeID ............................................................................................................................352 Глава 13 Сетевые и коммуникационные утилиты.................................. 353 TCPView ............................................................................................................................353 Whois ...................................................................................................................................355 Оглавление XIII Portmon ..............................................................................................................................355 Поиск, фильтрация и выделение .........................................................................357 Сохранение, запись в журнал и печать .............................................................359 Глава 14 Утилиты для получения информации о системе ..................... 361 RAMMap ............................................................................................................................361 Счетчики памяти ......................................................................................................363 Процессы .....................................................................................................................365 Сводка по приоритетам ..........................................................................................366 Физические страницы ............................................................................................366 Физические диапазоны ..........................................................................................367 Сводка по файлам .....................................................................................................368 Сведения о файле .....................................................................................................368 Очистка физической памяти ................................................................................369 Сохранение и загрузка моментальных снимков ............................................370 CoreInfo ..............................................................................................................................370 ProcFeatures ......................................................................................................................372 WinObj ................................................................................................................................372 LoadOrder ..........................................................................................................................375 PipeList ...............................................................................................................................377 ClockRes .............................................................................................................................377 Глава 15 Другие утилиты ........................................................................... 378 RegJump ..............................................................................................................................378 Hex2Dec .............................................................................................................................379 RegDelNull .........................................................................................................................379 Экранная заставка Bluescreen ....................................................................................380 Ctrl2Cap .............................................................................................................................381 ЧАСТЬ III Поиск и устранение сбоев: загадочные случаи ..................... 383 Глава 16 Сообщения об ошибках ............................................................. 384 Заблокированная папка ................................................................................................384 Невозможность обновления антивируса ................................................................386 Сбой при резервном копировании Lotus Notes..............................................387 Сбой воспроизведения в медиаплеере ....................................................................390 Крах утилиты Proksi ......................................................................................................391 Сбой при установке ........................................................................................................392 Поиск и устранение сбоя .......................................................................................392 Анализ проблемы ......................................................................................................395 Отсутствие сопоставлений с папкой ........................................................................397 Проблема с временными профилями реестра ......................................................400 XIV Оглавление Глава 17 Зависание и плохая производительность .............................. 406 Случай с IExplore, перегружавшим процессор ....................................................406 Дело о проблеме с ReadyBoost ...................................................................................409 Случай с медленной демонстрацией ........................................................................411 Случай с медленным открытием файлов Project ................................................416 Сложный случай с зависанием Outlook .................................................................420 Глава 18 Вредоносные программы ......................................................... 427 Вирус, блокирующий утилиты Sysinternals ..........................................................427 Вирус, завершающий процессы .................................................................................430 Дело о поддельном компоненте системы ...............................................................431 Случай с таинственной точкой ASEP......................................................................433 Предметный указатель ................................................................................ 438 Об авторах ..................................................................................................... 454