14 Strumenti di Windows Sysinternals in primo piano

Questa volta esploreremo a fondo l'utilità Suite Sysinternals di Microsoft che è uno strumento che ci fornisce un grande supporto in termini di problematiche software, permettendoci di mantenerne una corretta gestione e aggiornamento.

Questo strumento può essere scaricato gratuitamente (in un KIT di strumenti da 20 MB) dal seguente link:

Possiamo anche inserire il seguente link per scaricare ed eseguire l'applicazione specifica di cui abbiamo bisogno senza dover scaricare l'intera suite:

Prima di iniziare ad analizzare alcune delle applicazioni incluse all'interno del Suite Sysinternals vediamo un po' della sua storia. Sysinternals è stato creato nel 1996 ed è stato costantemente aggiornato da Mark Russinovich e questa suite è composta da più di 70 applicazioni che saranno senza dubbio di grande aiuto per tutti noi.

La suite Sysinternals funziona sui seguenti sistemi operativi:

• Windows 7
• Windows 8, 8.1
• Windows 10
• Windows server dal 2008 in poi

Se vogliamo eseguire i comandi della suite Sysinternals usando il comando Correre, dal cmd o utilizzando la casella di ricerca dobbiamo aggiungere la suite alle variabili dell'ambiente di sistema.

Possiamo eseguire quanto segue:

Nella finestra di dialogo inseriamo il termine Variabile e nelle opzioni visualizzate scegliamo "Modifica le variabili di ambiente di sistema."

Verrà visualizzato quanto segue:

Lì selezioniamo l'opzione Variabili d'ambiente situata in basso.

Nella finestra visualizzata selezioniamo il Linea del percorso e poi l'opzione Modifica il campo Variabili di sistema. Lì entreremo nel percorso in cui abbiamo scaricato la suite Sysinternals.

Clicchiamo su Accettare nelle finestre successive per applicare le modifiche. In questo modo possiamo eseguire i comandi Sysinternals dalla riga di comando.

Stiamo per iniziare il analisi di alcuni degli strumenti più interessanti che Sysinternals presenta e come ci aiutano nel nostro supporto tecnico.

1. Autoruns

Il primo strumento che analizzeremo è Autoruns. Autoruns ci consente di avere un approccio generale e molto dettagliato, sui servizi, le applicazioni e le librerie che vengono eseguite all'avvio di Windows 10.

Durante l'esecuzione di Autoruns vedremo il seguente ambiente:

INGRANDIRE

Come possiamo vedere, abbiamo informazioni specifiche su ogni programma o servizio che si avvia automaticamente ed è diviso in diverse sezioni:

• Voce di esecuzione automatica: Include il nome del servizio o dell'applicazione che si sta avviando.
• Descrizione: Include un breve riassunto sull'applicazione.
• Editore: Ci mostra il produttore o il proprietario del servizio o dell'applicazione.
• Percorso immagine: Ci mostra il percorso in cui si trova il servizio o il programma.
• Data e ora: Indica la data e l'ora in cui è stato installato il programma o il servizio.
• Virus totale: Lo strumento Autoruns include uno scanner antivirus e, se ce n'è uno, lo vedremo qui.

Come possiamo vedere nelle schede superiori possiamo vedere i servizi o programmi per categoria, ad esempio, possiamo vedere che si avvia automaticamente da Office, Stampanti, Winlogon, ecc., Basta selezionare la scheda che vogliamo, ad esempio selezioneremo Winlogon.

Qualcosa di noto in Autorun è che possiamo vedere che ci sono righe con il colore giallo, questo significa che la voce appartiene a un programma che non esiste più nel sistema. Se una riga è in rosso significa che la colonna Publisher è vuota, questo può essere di grande aiuto.

2. Bginfo

Il prossimo strumento che analizzeremo è Bginfo, che visualizza sul desktop le informazioni sui parametri in esso definiti.

Il Strumento BGinfo Somiglia a questo:

Lì possiamo selezionare quali campi vedere dal lato destro usando l'opzione Costume, una volta definiti quali campi vogliamo aggiungere facciamo clic su Applicare e poi in va bene. Vedremo che l'ambiente del nostro desktop è stato modificato con informazioni dettagliate dei campi che sono stati selezionati:

INGRANDIRE

[color = # a9a9a9] Clicca sull'immagine per ingrandire [/ color]

Possiamo modificare la posizione delle informazioni, centro, destra o sinistra e ogni campo è molto facile da capire, oltre ad essere molto utile.

3. cacheset

Il prossimo strumento sarà Cacheset che ci permette di stabilire parametri relativi alla memoria cache del sistema.

L'interfaccia di Cacheset è la seguente:

Lì possiamo vedere la memoria corrente e il picco massimo, nell'opzione delle impostazioni possiamo stabilire sia la memoria minima che quella massima da allocare, una volta definiti questi aspetti facciamo clic su Applica in modo che vengano apportate le modifiche.

4. Informazioni principali

Uno strumento interessante è Informazioni principali che noi visualizza le informazioni tra processori logici e processore fisico.

Questa è la finestra visualizzata con Coreinfo:

Possiamo usare alcuni parametri con Coreinfo come:

• -C: Vola le informazioni sui core
• -G: Scarica le informazioni sui gruppi
• -l: Scarica le informazioni sulla cache
• -S: Scarica le informazioni sulle prese

5. Dbgview

Insieme a Dbgview noi possiamo prendere screenshot dei desktop che abbiamo a disposizione ed eseguire un debug.

INGRANDIRE

6. Diskmon

Usando Diskmon noi possiamo monitorare in tempo reale i settori dei nostri hard disk attivi, l'ambiente Diskmon è il seguente:

Qui possiamo osservare diversi aspetti dei settori come:

• #: si riferisce al numero di riga dell'utensile.
• Volta: Indica il numero di secondi tra l'inizio del frame e la richiesta.
• Durata: Tempo totale della richiesta.
• Disco: Si riferisce al numero del disco analizzato.
• Richiesta: In questa colonna possiamo vedere il tipo di requisito, lettura o scrittura.
• Settore: Si riferisce al numero del settore che si sta analizzando.
• Lunghezza: Indica la lunghezza della richiesta.

7. Vista disco

Il Lo strumento Diskview ci mostra graficamente (su volumi formattati NTFS) quali settori vengono utilizzati e possiamo vedere quali file occupano uno spazio particolare.

Una volta eseguito lo strumento, possiamo selezionare il volume da scansionare, definire lo zoom e possiamo vedere che inizia il processo di scansione:

Una volta terminato il processo, possiamo vedere quanto segue:

La parte superiore rappresenta il volume analizzato. Possiamo vedere dettagli come il numero del cluster, il percorso in cui si trova e i frammenti del cluster. Questo strumento è utile se dobbiamo eseguire un'analisi dettagliata dei cluster sul disco e quali file ci sono in ogni settore.

8. Listdll

Con lo strumento Listdlls possiamo vedere un elenco completo delle librerie DLL installate nel nostro sistema. L'ambiente Listdlls è il seguente:

Come possiamo vedere, la dimensione, la base e il percorso in cui si trova la DLL sono indicati nel caso in cui sia necessario intraprendere qualsiasi azione su di essa.

9. LoadOrd

L'applicazione Loadord ci consente di visualizzare l'ordine in cui Windows carica i driver di dispositivo e i servizi di avvio. Una volta eseguita questa applicazione, vedremo quanto segue:

INGRANDIRE

Possiamo vedere un riepilogo completo dei servizi e dei driver come il loro nome, il percorso in cui si trovano, il gruppo a cui appartengono, ecc.

10. Portmon

L'applicazione Portmon ci permette di portare a controllo sull'attività nelle porte seriali e parallele del nostro teamCon Portmon possiamo creare filtri ed eseguire ricerche avanzate su come vengono utilizzate queste porte.

L'ambiente di Portmon si presenta così:

11. Procep

Uno degli strumenti che è senza dubbio il più comune e sarà uno dei più utilizzati è l'esploratore di processi, è Procep, che è simile al task manager di Windows 10 ma con la differenza che procexp è molto più completo.

Una volta eseguito procexp, questa sarà la finestra che osserveremo:

Possiamo vedere un riepilogo completo dei processi in esecuzione in questo momento nel sistema fornendo informazioni sul nome del processo, la quantità di memoria che consuma, il suo ID (PID), il produttore, ecc.

Come possiamo vedere, ogni processo è classificato. Sul menu Opzioni possiamo intraprendere azioni sui processi come "uccidere" il processo, sospenderlo, stabilire priorità, analizzarli e così via.

Da questa stessa applicazione procex possiamo vedere:

• Lo stato
• In tempo reale
• Memoria
• Processore
• Dispositivi I/O
• eccetera.

Vediamo come lo strumento scompone ogni componente e la percentuale di utilizzo, se vogliamo avere una visione più dettagliata, andiamo alla scheda corrispondente, ad esempio, andiamo alla scheda CPU:

Vediamo un riepilogo completo e dettagliato sullo stato della CPU; il numero di processi, minacce, numero di core, ecc.

Uno di vantaggi che abbiamo con procex è la personalizzazioneSe lo desideriamo, possiamo definire i colori per i diversi processi in questo modo:

• [colore = # 008000]Verde:[/ color] si riferisce a nuovi oggetti.
• [colore = # 40e0d0]Azzurro:[/ color] identifica i propri processi.
• [color = # ee82ee] Rosa: [/ color] indica i processi che contengono servizi Windows.
• [colore = # 4b0082]Viola:[/ color] si riferisce a un compresso (imballato).
• [colore = # daa520]Turchese:[/ color] si riferisce ai processi associati alle applicazioni di Windows Store.
• [colore = # 808080]Grigio scuro:[/ color] sono processi sospesi.

Semplicemente se vogliamo che i colori che identificano le lavorazioni siano diversi, basta cliccare su Modificare per modificarli. Se il nostro desiderio è vedere quante risorse consuma un processo in Windows 10, possiamo fare doppio clic sul processo o fare clic con il pulsante destro del mouse e selezionare le proprietà e andare alla scheda Grafico GPU.

12. Procmon

Un'altra delle applicazioni che sarà molto utile è Procmon (monitor di processo). Questo strumento ci fornirà informazioni dettagliate sui processi di entrambi i file di sistema, registri, rete, processi, minacce, tutto in tempo reale, che è la cosa più importante per noi.

INGRANDIRE

Come vediamo procmon ci offre abbastanza informazioni sui processi ad esempio:

• nome del processo
• Tempo di attività
• Percorso dove si trova
• Risultato del processo
• Dettagli
• Eccetera.

All'interno di procmon abbiamo strumenti interessanti che possono aiutarci a mantenere il controllo sulle nostre risorse, ad esempio, all'interno del Menu Strumenti possiamo selezionare l'opzione Riepilogo attività di processo Per vedere un riepilogo dettagliato dell'attività di ciascun processo, il risultato sarà il seguente.

Procmon è in grado di raccogliere una grande quantità di informazioni a nostro vantaggio. Una volta eseguito procmon, vedremo quanto segue:

Vediamo un risultato molto completo in cui sono indicati il ​​consumo di risorse, l'inizio e la fine del processo, ecc. Entro Strumenti se scegliamo Riepilogo registro possiamo trovare il numero di record a cui si accede durante il frame:

Allo stesso modo, possiamo trovare un riepilogo delle connessioni di rete, del sistema, ecc. Possiamo applicare filtri per avere un gestione più centralizzata dei processiBasta selezionare la voce e fare clic con il tasto destro, in questo caso selezioneremo PID 968.

INGRANDIRE

Selezioniamo l'opzione "Includi 968" e vedremo che inizia il processo di filtraggio.

Vediamo che ci sono solo i risultati del PID 968. Se in qualsiasi momento vogliamo vedere un processo in dettaglio, basta fare clic destro sul processo e selezionare Proprietà (modifica), in questo caso selezioniamo il Processo Explorer.exe e possiamo vedere quanto segue:

13. RamMap

Un altro strumento che possiamo usare è RamMap che ci permette gestire tutto ciò che riguarda la RAM avere diverse utenze a portata di mano.

Durante l'esecuzione RamMap vedremo quanto segue:

Come possiamo vedere, abbiamo a portata di mano tutte le informazioni relative alla memoria e categorizzate per colori e tipologia di utilizzo. Utilizzando una delle schede in alto possiamo vedere in dettaglio quali processi stanno consumando memoria. Ad esempio possiamo premere il tasto tab Processi, e otterremo la seguente visualizzazione:

In questo modo possiamo controllare quali processi consumano più risorse di memoria nel sistema e possiamo decidere se terminare quei processi o meno.

14. CondividiEnum

Utilizzo dell'app ShareEnum possiamo vedere sia i file che gli oggetti che sono condivisi all'interno del dominio o del gruppo di lavoro. Una volta eseguito ShareEnum, vedremo quanto segue:

Possiamo vedere il percorso in cui abbiamo condiviso i file, il dominio e altre informazioni.

15. TCPView

Un'altra delle applicazioni incluse nella suite Sysinternals è TCPView, con questo strumento possiamo vedere chiaramente tutte le connessioni su TCP e UDP realizzato dal nostro sistema Windows 10 tra porte locali e indirizzi remoti.

Quando eseguiremo TCPView questo sarà l'ambiente che vedremo:

INGRANDIRE

Come possiamo vedere, abbiamo informazioni sulle porte utilizzate da ciascun processo, nonché sui pacchetti sia inviati che ricevuti, e tutte queste informazioni sono molto importanti per una corretta gestione a livello di rete, nel caso in cui dovessimo verificare o analizzare eventuali aspetto. Se facciamo clic con il pulsante destro del mouse su uno dei processi, possiamo vederne le proprietà o, in tal caso, terminarlo.

16. VMMap

Uno degli ultimi strumenti che analizzeremo è VMMap che noi permette di verificare i processi virtuali e l'utilizzo della memoria fisica attraverso un ambiente grafico.

Quando avremo eseguito VMMap avremo quanto segue:

Lo strumento visualizzerà i processi che sono disponibili, dobbiamo selezionare il processo di cui vogliamo ottenere informazioni dettagliate, una volta scelto, fare clic su OK e quindi vedrai quanto segue:

Nel nostro caso, selezioniamo il processo explorer.exe e, come possiamo vedere, VMMap ci mostra informazioni complete su questo insegnante, il suo consumo di memoria e come usa ogni parte di quella memoria.

Questo strumento è importante nel caso in cui ci siano problemi di prestazioni con il processo x o y e non siamo chiari su quali possono influenzare le prestazioni e la stabilità di Windows 10.

All'interno di Sysinternals abbiamo un gruppo di strumenti che svolgono funzioni di base ma a volte sono molto utili. Abbiamo quanto segue:

• PsExec: Consente di eseguire processi nello stile di CTRL + R (Esegui)
• PsFile: Elenca i file aperti in remoto
• PsGetSid: Ci fornisce il SID di un computer o di un utente
• PsInfo: Questo comando ci mostra informazioni sul sistema
• PsKill: Ci dà la possibilità di terminare i processi
• Lista Ps: Visualizza le informazioni sui processi attivi
• PsAccesso: Possiamo vedere gli utenti che hanno effettuato l'accesso al sistema
• PsPasswd: Ci permette di modificare le password degli account registrati nel sistema
• PsPing: Svolge la funzione del comando Ping, permettendoti di vedere che c'è comunicazione tra i dispositivi.
• PsService: Ci dà la possibilità di visualizzare e controllare i servizi.
• PsSpegnimento: Usando questa opzione possiamo spegnere, riavviare, disconnettersi tra le altre opzioni.
• PsSospendi: Possiamo sospendere e riavviare i servizi

Allo stesso modo, possiamo trovare più di 30 altre applicazioni che possono essere di grande aiuto, non solo a livello locale, ma anche a livello di dominio, alcune di queste altre applicazioni in modo rapido sono:

ManigliaCi permette di osservare i processi che hanno attività in tempo reale nel sistema.

FlussiCon Streams possiamo analizzare tutti i file e le directory sia localmente che a livello di dominio per vedere le loro informazioni come dimensioni, proprietà, ecc.

EliminaÈ un'utilità della riga di comando che ci consente di eliminare in modo sicuro file e directory sul sistema.

contiguoÈ un'utilità che ci consente di deframmentare uno o più file in questo modo che ci consente di migliorare le prestazioni di questi file.

Sposta fileÈ un'applicazione che ci permette di programmare movimenti e cancellare comandi dopo il prossimo avvio del sistema.

SigcheckCon questo strumento possiamo vedere la versione, la data di creazione e la firma digitale di determinati file.

Come abbiamo visto, abbiamo una suite molto interessante per la gestione, il controllo e la supervisione del nostro Windows 10. L'invito è a rivedere le diverse applicazioni incluse in Sysinternals e determinare quali sono le più appropriate per il nostro lavoro e ricordare che questi strumenti sono sempre gratuiti.