Fport, Sysinternals y PStools herramientas imprescindibles II-III
Sigamos con la segunda parte si quieres ver la primera parte visita aqui
Fport, Sysinternals y PStools herramientas imprescindibles I-III
PendMoves and Moves Files
Que es y para que sirve?
Hay varias aplicaciones, como paquetes de servicio y las revisiones, que debe reemplazar un archivo que está en uso y no puede. Windows por lo tanto proporciona la API de MoveFileEx para renombrar o borrar un archivo y permite que la persona que llama para especificar que desea que la operación tenga lugar la próxima vez que arranque el sistema, antes de que se hace referencia a los archivos. Session Manager realiza esta tarea mediante la lectura del registro renombrar y borrar los comandos de la clave HKLM \ System \ CurrentControlSet \ Control Manager \ Session \ PendingFileRenameOperations valor.
En esta aplicación se vuelca el contenido de la espera de borrar el nombre o el valor y también informa de un error cuando el archivo de código fuente no es accesible. Esta es resultado de un ejemplo que muestra un archivo de instalación temporal calendario para su eliminación en el próximo reinicio del sistema:
Veamos un ejemplo.
C: \> pendmovesPendMove v1.02
Copyright (C) 2004 Mark Russinovich
Sysinternals – wwww.sysinternals.comFuente: C: \ Config.Msi \ 3ec7bbbf.rbf
Objetivo: DELETE
PipeList
Que es y para que sirve?
¿Sabía usted que el controlador de dispositivo que implementa las canalizaciones con nombre en realidad es un controlador de sistema de archivo “De hecho, el nombre del conductor es NPFS.SYS, por” canalización del sistema de archivos “. Lo que puede que encuentre sorprendente es que su posible obtener una lista de directorios de las canalizaciones con nombre definido en un sistema. Este hecho no está documentado, ni es posible hacer esto utilizando la API Win32. utilizando directamente NtQueryDirectoryFile, la función nativa que la API de Win32 FindFile confiar, permite a la lista de tuberías. NPH El listado de directorio devuelve también indica el número máximo de instancias de canalización establecido para cada tubo y el número de casos activos.
Para demostrar la lista de las canalizaciones con nombre que he escrito un programa llamado PipeList. PipeList muestra las canalizaciones con nombre en su sistema, incluyendo el número de casos máximo y los casos activos para cada tubo.
Veamos un ejemplo:
Sigamos
Portmon
Que es y para que sirve?
Portmon es una utilidad que monitoriza y muestra toda la actividad del puerto serie y paralelo en un sistema. Se ha avanzado de filtrado y capacidades de búsqueda que la hacen una herramienta de gran alcance de Windows para explorar la forma en que funciona, ver cómo las aplicaciones utilizan los puertos, o localizar problemas en el sistema o configuraciones de aplicación.
Veamos un ejemplo:
Adelante con el siguiente:
ProcDump
ProcDump es una utilidad de línea de comandos cuya principal finalidad es el seguimiento de una solicitud de los picos de CPU y la generación de vertederos de accidente durante una espiga que un administrador o desarrollador puede utilizar para determinar la causa de la punta. ProcDump también incluye la supervisión de la ventana colgaba (utilizando la misma definición de una ventana de Windows que se bloquea y utilizar el Administrador de tareas) y la supervisión de excepción no controlada. También puede servir como un proceso general de volcado de utilidad que se puede integrar en otros scripts.
Modo de Uso:
Uso ProcDump
de uso: procdump [-64] [-c uso de la CPU [-u] [-s segundos] [-n superior]] [-h] [E] [MA] [-r] [-o] [[< nombre de proceso o PID> [archivo de volcado]] | [-x <image file> <dump file> [argumentos]]
-64 Por procdump defecto capturar un volcado de 32-bit de un proceso de 32 bits cuando se ejecuta en Windows 64-bit. Esta opción reemplaza la creación de un vertedero de 64 bits. –c De umbral de la CPU en la que crear un volcado del proceso. –E Escribir una descarga cuando el proceso se encuentra con una excepción no controlada. –h Escribir volcado si el proceso se ha colgado de una ventana. –ma Escribir un archivo de volcado de memoria con todos los procesos. El formato incluye defaultdump hilo y manejar la información. -n Número de vertederos a escribir antes de salir. -O Sobrescribir un archivo de volcado existente. -r Reflexionar (clon) el proceso de volcado para minimizar el tiempo el proceso se ha suspendido (Windows 7 y superiores). -s Consecutivos segundo umbral de la CPU debe ser golpeado por escrito antes de que se descarga (por defecto es 10). -U Tratar el uso de CPU con respecto a un único núcleo. -x Lanzamiento de la imagen especificada con argumentos opcionales.
Veamos un ejemplo:
Escribir hasta 3 vertederos de un proceso llamado “consumen” cuando se supera el 20% de uso de CPU durante tres segundos para el directoryc: \ Dump \ consumir con el consume.dmp nombre:
C: \> procdump C-20-N 3-o consumir c: \ Dump \ consumen
Escribir una descarga de un proceso llamado ‘hang.exe “cuando una de sus ventanas no responde por más de 5 segundos:
C: \>-procdump hungwindow.dmp hang.exe h
Iniciar un proceso y su seguimiento por el uso excesivo de CPU:
C: \> procdump C-30-s 10-X consume.dmp consume.exe
Escribir una descarga de un proceso llamado “iexplore” para descargar un archivo que tiene el iexplore.dmp nombre por defecto:
C: \> iexplore procdump
Siguiente herramienta
ProcesExplorer
Que es y para que Sirve?
Alguna vez se preguntó qué programa tiene un archivo o directorio abierto? Ahora puede averiguarlo. Process Explorer se muestra información acerca de que se ocupa de los procesos y DLLs han abierto o cargado.
El Process Explorer pantalla se compone de dos sub-ventanas. La ventana superior muestra siempre una lista de los procesos actualmente activos, incluyendo los nombres de las cuentas que poseen, mientras que la información que aparece en la ventana inferior depende del modo que Process Explorer está en: si está en el modo de manejar verá los identificadores que el proceso seleccionado en la ventana superior se ha abierto, y si Process Explorer está en modo de DLL verá los archivos DLL y los archivos asignados en memoria que el proceso se ha cargado. Process Explorer también tiene una potente capacidad de búsqueda que rápidamente le mostrará en qué procesos se han abierto o se ocupa en particular DLL cargado.
Las capacidades únicas de Process Explorer hacerlo útil para la localización de los problemas de la versión de DLL o pérdidas de identificadores, y proporcionar información sobre la manera de Windows y las aplicaciones de trabajo.
Veamos un ejemplo:
Sigamos con otra herramienta:
ProcesMonitor
Process Monitor es una herramienta de monitorización avanzada para Windows que muestra real del sistema de archivos de tiempo, el registro y proceso / actividad hilo. Combina las características de dos utilidades de Sysinternals legado, Filemón y Regmon, Y añade una amplia lista de mejoras que incluyen rico y no destructivo de filtrado, propiedades integral de eventos como los identificadores de sesión y nombres de usuario, procesar la información fiable, completa pilas de subprocesos con el apoyo símbolo integrado para cada operación, registro simultáneo en un archivo, y mucho más . Sus características, única y poderosa hará Process Monitor una utilidad fundamental en su sistema de solución de problemas y kit de herramientas de caza de malware.
Veamos un ejemplo:
Sigamos con otra herramienta
ProcFeatures
ProcessorFeatures es un no-applet de lujos que utiliza el IsProcessorFeaturePresent API de Windows para determinar si el procesador de Windows y soporta varias características como n º de páginas de ejecución, Extensiones de dirección física (PAE), y una real lucha contra el ciclo de tiempo. Su objetivo principal es identificar el sistema está ejecutando la versión del kernel de PAE y que el apoyo de no ejecutar la protección de desbordamiento de búfer.
Veamos un ejemplo:
Sigamos con otra herramienta
PsExec
Que es y para que sirve?
Las utilidades como Telnet y programas de control remoto, como PC Anywhere de Symantec permiten ejecutar programas en sistemas remotos, pero puede ser un dolor de establecer y exigir que instalar software cliente en el sistema remoto que desea acceder. PsExec es una luz-telnet peso de reemplazo que le permite ejecutar procesos en otros sistemas, con la interactividad completa para aplicaciones de consola, sin tener que instalar manualmente el software de cliente. Usos más poderosos PsExec incluyen el lanzamiento de comandos interactivos de indicaciones que aparecen en sistemas remotos y distantes-como herramientas que permiten a IpConfig que de otro modo no tienen la capacidad de mostrar información sobre los sistemas remotos.
Nota: algunos exploradores antivirus informan de que uno o más de las herramientas están infectadas con el admin un “remoto” de virus. Ninguna de las PsTools contiene virus, pero que han sido utilizados por los virus, que es por eso que activar las notificaciones de virus.
Como funciona?
Uso: psexec [\ \ equipo [, computer2 [,...] | @ archivo] [-u usuario [-p Alta Recordatorio]] [-ns] [-l] [-s |-e] [-x] [ -i [reunión]] [-c [-f |-v]] [-w directorio] [-d] [- <priority>] [-an, n, ... ] Cmd [argumentos]
ordenador Directo PsExec para ejecutar la aplicación en el equipo o equipos especificados. Si se omite el nombre del equipo PsExec ejecuta la aplicación en el sistema local y si escribe un nombre de equipo de “\ \ *” PsExec ejecuta las aplicaciones en todos los equipos del dominio actual. @ archivo Dirige PsExec para ejecutar el comando en cada equipo incluido en el archivo de texto especificado. -a Procesadores separados en los que la aplicación se puede ejecutar con comas donde 1 es el número más bajo de la CPU. Por ejemplo, para ejecutar la aplicación en la CPU 2 y la CPU 4, escriba: “-a 2,4″ -c Copia el programa especificado en el sistema remoto para su ejecución. Si se omite esta opción, entonces la aplicación debe estar en la ruta del sistema en el sistema remoto. -d No espere a que la aplicación termine. Sólo utilice esta opción para aplicaciones no interactivas. -E No se carga el perfil de la cuenta especificada. -f Copia el programa especificado en el sistema remoto, incluso si el archivo ya existe en el sistema remoto. -i Ejecute el programa para que interactúe con el escritorio de la sesión especificada en el sistema remoto. Si no se especifica el período de sesiones proceso se ejecuta en la sesión de consola. -l Proceso de ejecución como usuario limitado (las bandas del grupo Administradores y sólo permite que los privilegios asignados al grupo de usuarios). En Windows Vista, el proceso se ejecuta con baja Integridad. -n Especifica el tiempo de espera en segundos de conexión a ordenadores remotos. -p Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta. -s Proceso de ejecución remoto en la cuenta del sistema. -U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto. -v Copia el archivo especificado sólo si tiene un número de versión mayor, o es más reciente en que el uno en el sistema remoto. -w Establezca el directorio de trabajo del proceso (en relación con el equipo remoto). -x Mostrar la interfaz de usuario en el escritorio de Winlogon (sistema local solamente). prioridad Especifica-baja,-Debajo de lo normal,-Arriba de lo normal, alta o-en tiempo real para ejecutar el proceso en una prioridad distinta. Utilice fondo para ejecutar en poca memoria y E / S de prioridad en Vista. programa Nombre del programa a ejecutar. argumentos Argumentos para transmitir (nota que las rutas de archivo debe ser la ruta absoluta en el sistema de destino)
Veamos un ejemplo.
psexec-i-d-s c: \ windows \ regedit.exe
Sigamos con otra herramienta
PsFile
Que es y para que sirve?
El “archivo de red” comando muestra una lista de los archivos que otros equipos han abierto en el sistema sobre el cual se ejecuta el comando, sin embargo, trunca los nombres de ruta largos y no le permiten ver que la información de sistemas remotos. PsFile es una utilidad de línea de comando que muestra una lista de archivos en un sistema que se abren de forma remota, y también le permite cerrar los archivos abiertos por nombre o por un identificador de archivo.
Modo de uso
Uso: psfile [\ \ RemoteComputer [-u usuario [-p Contraseña]]] [[| Id. de ruta] [-c]]
-U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto. -p Especifica la contraseña para el nombre de usuario. Si se omite esto, se le pedirá que introduzca la contraseña sin que se hizo eco de la pantalla. Id Identificador (que le asigne el PsFile) del archivo para el que se mostrará la información o para cerrar. Ruta Ruta de acceso completa o parcial de los archivos a la altura de mostrar la información o cerrar. -c Cierra los archivos de identificarse con DNI o ruta de acceso.
Veamos un ejemplo:
Ahora sigamos con otra herramienta
PsGetSid
Que es y para que sirve?
¿Ha realizado un despliegue, sólo para descubrir que la red podría sufrir el problema de la duplicación SID? Con el fin de saber qué sistemas tienen que ser asignado un nuevo SID (con un actualizador SID como el nuestro NewSID), Usted tiene que saber qué máquina de un ordenador SID. Hasta ahora, no ha habido una manera de decirle a la máquina sin saber trucos SID Regedit y exactamente dónde buscar en el Registro. PsGetSid hace que la lectura de un ordenador SID fácil, y funciona a través de la red para que pueda DIM consulta a distancia. PsGetSid También te permite ver el SID de las cuentas de usuario y traducir un SID en el nombre que lo representa.
Modo de uso
Uso: PsGetSid [\ \ equipo [, equipo [,...] | @ archivo] [-U usuario [-p contraseña]]] [Cuenta | SID]
Veamos un ejemplo
Sigamos con otra herramienta
PsInfo
PsInfo es una herramienta de línea de comandos que obtiene información clave sobre el sistema Windows NT/2000 local o remoto, incluyendo el tipo de instalación, la construcción del kernel, la organización social y el propietario, el número de procesadores y su tipo, la cantidad de memoria física, la fecha de instalación del sistema, y si es una versión de prueba, la fecha de vencimiento.
Modo de Uso
Uso: psinfo [[\ \ equipo [, equipo [,..] | @ file [-u usuario
[Alta Recordatorio-p]]] [-h] [-s] [-d] [-c [-t delimiter]] [filtro]
\ \ equipo Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual. @ archivo Ejecute el comando en cada equipo incluido en el archivo de texto especificado. -U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto. -p Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta. -h Muestra la lista de las revisiones instaladas. -s Mostrar la lista de aplicaciones instaladas. -d Mostrar volumen de información en disco. -c Imprimir en formato CSV. -t El delimitador por defecto para la opción-c es una coma, pero puede ser anulado con el carácter especificado. Filtro Psinfo sólo mostrará los datos para el campo coincidan con el filtro. por ejemplo, “El servicio psinfo” listas sólo el campo de Service Pack.
Veamos un ejemplo:
Obtenemos Informacion
Información Obtenida
Obteniendo informacion en remoto
Informacion remota obtenida
PSKill
Que es y para que sirve?
Windows NT/2000 no viene con una línea de comandos de utilidad de matar “. Usted puede obtener una en el de Windows NT o Win2K Kit de recursos, pero la utilidad del kit sólo puede poner fin a los procesos en el equipo local. PsKill es una utilidad de matar que no sólo la versión del Kit de recursos en sí, pero también puede matar procesos en sistemas remotos. Ni siquiera tiene que instalar un cliente en el equipo de destino para el uso PsKill a poner fin a un proceso remoto
Modo de uso
Uso: pskill [-] [-t] [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] nombre <process | proceso id>
– Muestra las opciones de apoyo. -t Matar el proceso y sus descendientes. \ \ equipo Especifica el equipo en el que el proceso que desea terminar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT. -u nombre de usuario Si desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsKill le pedirá la contraseña sin eco de sus aportaciones a la pantalla. -p contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p-PsList le solicita una contraseña de forma interactiva. identificador de proceso Especifica el ID del proceso del proceso que se quieren matar. Nombre del proceso Especifica
Veamos un ejemplo:
Matamos proceso en local
Matamos proceso en remoto
Sigamos
PsList
Que es y para que sirve?
Al igual que Windows NT/2K ‘s integrado en la herramienta de seguimiento PerfMon, PsList utiliza los contadores de rendimiento de Windows NT/2K para obtener la información que muestra. Usted puede encontrar documentación de los contadores de rendimiento de Windows NT/2K, incluyendo el código fuente de Windows NT incorporado en el monitor de rendimiento, PerfMon, en MSDN.
Modo de uso
exp PsList se muestran las estadísticas de todos los procesos que comienzan con “CAD”, que incluiría Explorer. -d Mostrar detalles hilo. -m Mostrar los detalles de memoria. -x Mostrar los procesos, información de la memoria y subprocesos. -t Mostrar árbol de procesos. -s [n] Ejecutar en modo de administrador de tareas, por segundo opcional especificado. Pulse Escape para cancelar. -r n Tarea modo de Administrador de actualización en el segundo (por defecto es 1). \ \ equipo En lugar de mostrar información de proceso para el sistema local, PsList mostrará la información para el sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto. -U Si el usuario desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsList le pedirá la contraseña sin eco de sus aportaciones a la pantalla. -p la contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsList le pide una contraseña de forma interactiva. nombre Muestra información sobre los procesos que comienzan con el nombre especificado. -E Exacta coincide con el nombre del proceso. pid En lugar de una lista de todos los procesos que se ejecutan en el sistema, este parámetro se estrecha PsList’s escanear a lLa proceso que tiene el PID especificado. Así:
PsList 53
habría volcado de estadísticas para el proceso con el PID 53.
Veamos un ejemplo
En local
En remoto
Sigamos
PsLoggedOn
Que es y para que sirve?
Se puede determinar quién está utilizando los recursos en el equipo local con el comando “net” ( “net session”), sin embargo, no hay forma integrada para determinar quién está utilizando los recursos de un equipo remoto. Además, NT viene con ninguna herramienta para ver quién está conectado a un ordenador, ya sea local o remota. PsLoggedOn es un applet que muestra tanto la sesión iniciada localmente en los usuarios y usuarios conectados a través de los recursos para el equipo local, o un mando a distancia. Si se especifica un nombre de usuario en lugar de un ordenador, PsLoggedOn búsquedas de los ordenadores en el entorno de red y le indica si el usuario no está conectado.
PsLoggedOn‘s definición de un usuario con sesión iniciada localmente es uno que tiene su perfil cargado en el Registro, por lo que PsLoggedOn determina quién está conectado mediante el escaneo de las claves en la clave HKEY_USERS. Para cada clave que tiene un nombre que es un SID de usuario (identificador de seguridad), PsLoggedOn busca el nombre de usuario correspondiente y lo muestra. Para determinar quién está conectado a un ordenador a través de acciones de los recursos, PsLoggedOn utiliza la NetSessionEnum API. Tenga en cuenta que PsLoggedOn te mostrará como conectado a través de compartir recursos a los equipos remotos que se consulta, porque un inicio de sesión es necesaria para PsLoggedOn para acceder al Registro de un sistema remoto.
Como funciona
Uso: PsLoggedOn [-] [-l] [-x] [\ \ | nombreDeEquipo nombre de usuario]
– Muestra las opciones de apoyo y las unidades de medida utilizada para los valores de salida. -l Muestra sólo los inicios de sesión local en lugar de los inicios de sesión tanto de los recursos locales y de red. -x No mostrar los tiempos de inicio de sesión. \ \ nombre de equipo Especifica el nombre del equipo para el que a la lista de información de inicio de sesión. nombre de usuario Si se especifica un nombre de usuario PsLoggedOn busca en la red de computadoras para que dicho usuario inicia sesión. Esto es útil si desea asegurarse de que un usuario particular no está conectado cuando está a punto de cambiar su configuración de perfil de usuario.
Veamos un ejemplo
Bueno continuaremos en la tercera entrega 
