Sysinternals suite
25
Sysinternals suite Cruz Victoria Olivares Fernández Cristina Lorena Sánchez López . Sysinternals Suite es un conjunto de utilidades o suite de herramientas para sistemas Windows, que han sido reunidas en un único archivo de descarga de 8Mb, totalmente gratuito y cuyas aplicaciones no necesitan instalación para su empleo.
description
Sysinternals suite. Sysinternals Suite es un conjunto de utilidades o suite de herramientas para sistemas Windows, que han sido reunidas en un único archivo de descarga de 8Mb, totalmente gratuito y cuyas aplicaciones no necesitan instalación para su empleo. - PowerPoint PPT Presentation
Transcript of Sysinternals suite
Sysinternals suiteCruz Victoria Olivares Fernández
Cristina Lorena Sánchez López
.
Sysinternals Suite es un conjunto de utilidades o suite de herramientas para sistemas Windows, que han sido reunidas en un único archivo de descarga de 8Mb, totalmente gratuito y cuyas aplicaciones no necesitan instalación para su empleo.
Introducción
El sitio web de Sysinternals fue creado en 1996 por Mark Russinovich y Bryce Cogswell para alojar sus utilidades de sistema avanzadas e información técnica. En 2006 Microsoft adquirió Sysinternals. Tanto profesionales como desarrolladores encontrarán utilidades en Sysinternals para facilitar la administración y el diagnóstico de sistemas y aplicaciones de Windows, así como la solución de problemas que pudieran surgir al respecto.
disk2vhd Es una herramienta que crea un disco VHD
(Virtual Hard Disk - Formato de disco virtual de Microsoft), este tipo de disco es el utilizado por Virtual Server 2005 R2, Virtual PC y HyperV R2.La gran ventaja de disk2vhd es la capacidad de convertir un disco físico en formato VHD en caliente utilizando las ventajas de VSS.
La interface :de disk2vhd es la siguiente
disk2vhd Como hemos dicho, con esta herramienta
se puede convertir un disco físico en un solo archivo VHD, conservando las particiones originales o archivos VHD separados por cada disco según sea necesario, para utilizar como máquina virtual en Virtual PC, en Hyper-V o bien montarlo como otra unidad en Windows 7.
Soporta discos con un tamaño máximo de 127 GB.
Disk2vhdUna vez que se selecciona el volumen y donde se quiere dejar el archivo, hacen click en Create y listo, ya tenemos un VHD completo del disco del equipo.
Process Monitor Es una herramienta gratuita de Windows
Sysinternals. Alternativa al Administrador de Tareas.
Combina dos herramientas más viejas, Filemon y Regmon pero con una amplia lista de mejoras. Se utiliza en la administración del sistema , la informática forense, y la depuración de aplicaciones.
Es una utilidad fundamental en la solución de problemas del sistema y conjunto de instrumentos de caza de malware.
Process Monitor En definitiva, es una herramienta
avanzada de supervisión para Windows que muestra en tiempo real el sistema de archivos, el Registro y la actividad de los procesos y subprocesos.
Process Monitor se ejecuta en Windows XP SP2, Windows Server 2003 SP1 y Windows Vista, así como las versiones x64 de Windows XP, Windows Server 2003 y Windows Vista.
Process Monitor. Capturas
Sync
Funciona en todas las versiones Windows. Es el equivalente al Sync que incluye Unix, utilidad que se puede usar par indicar al S.O. que vacíe todos los datos del sistema de archivos al disco, para garantizar que está estable y no se perderán en caso de un error del sistema. En caso contrario, se perderían los datos modificados que estén en la memoria caché.
Podemos usarlo siempre que queramos estar seguros de que los datos de archivos modificados están almacenados sin riesgo en los discos duros.
También permite vaciar unidades extraíbles, como unidades de disco ZIP.
Puede ser un inconveniente que Sync requiere privilegios administrativos para ejecutarse.
Para eliminar los datos de la unidad de disco extraíble F y luego expulsarlo, hay que ejecutar el siguiente comando: Sync-r-e F:
Sync
DiskMon DiskMon es una aplicación que registra y muestra toda la
actividad del disco duro en un sistema Windows. También puede minimizar DiskMon en su bandeja del sistema, donde actúa como un indicador luminoso de disco, con un icono verde cuando hay actividad de lectura en disco y un icono rojo cuando hay actividad de escritura.
DiskMon funciona en NT 4.0 y posteriores. En Windows NT, la GUI carga dinámicamente el controlador
(basado en código de la muestra instdrv del DDK de Windows NT), que empieza supervisando todas las unidades de disco. En Windows 2000 y posteriores no hay ningún componente de controlador: la GUI depende del seguimiento de eventos del núcleo para obtener la actividad de disco. Los menús y los botones de la barra de herramientas se pueden usar para deshabilitar la captura de eventos, para controlar el desplazamiento del contenido de la vista de listas y para guardar su contenido en un archivo ASCII.
DiskMon Para que DiskMon funcione como un indicador luminoso de
disco en la bandeja del sistema, seleccionamos el elemento de menú Options |Minimize to tray o podemos iniciar DiskMon con un conmutador de línea de comandos: diskmon /l.
Para reactivar la ventana de DiskMon, haremos doble clic en el icono de bandeja de DiskMon. Para crear un acceso directo a Diskmon en la bandeja, creamos un acceso directo en la carpeta Archivos de programa\Inicio, editamos las propiedades del acceso directo y establecemos el Destino para que señale al archivo ejecutable con la ruta de acceso entre comillas y el conmutador fuera de las comillas:
"C:\Sysinternals Tools\Diskmon.exe" /l
DiskMon. Implementación en Windows 2000 y posteriores.
Diskmon usa el seguimiento de eventos de núcleo. El seguimiento de eventos está documentado en el SDK de la plataforma Microsoft, que contiene el código fuente de TraceDmp, en el que se basa Diskmon.
DiskMon
Los desplazamientos de lectura y escritura se presentan como sectores (512 bytes). Es posible asignar un tiempo a los eventos (en microsegundos) o marcarse con la hora absoluta en que se iniciaron. El diálogo History Depth se puede usar para especificar el número máximo de registros que se conservarán en la GUI (0 significa sin límite).
FindLinks FindLinks realiza informes sobre el índice
del archivo y sobre cualquier enlace físico (rutas alternativas de archivo en el mismo volumen) que existen para el archivo especificado.
Los datos de un archivo permanecen asignados durante el período de tiempo que tienen al menos un nombre de archivo que hace referencia a ellos.
Esta utilidad funciona en modo consola. Nos posicionamos en la carpeta donde está el instalador, ponemos el nombre del instalador seguido de la ruta del ejecutable del que queramos buscar sus enlaces físicos.
FindLinks
DesktopsDesktops te permite organizar tus aplicaciones en hasta cuatro escritorios virtuales. Leer correo electrónico en uno, navegar por Internet en el segundo, y hacer el trabajo en su software de productividad en el tercero, sin el desorden de las ventanas que no se está usando. Después de configurar teclas de acceso rápido para computadoras de escritorio de conmutación, se pueden crear y cambiar de escritorio ya sea haciendo clic en el icono de la bandeja para abrir una vista previa de escritorio y para cambiar de ventana, o usando las teclas de acceso rápido.
Esta es la pantalla de opciones. Se puede elegir con qué código de teclas se quiere pasar de un escritorio a otro. En este caso será pulsando Alt+Shift+1-4 (dependiendo del numero de escritorio que se tengan configurados)
Desktops
Tambien se puede alternar entre escritorios pulsando sobre el icono que aparece en la barra de notificación.
Desktops
Process explorerProcess Explorer muestra información acerca de los procesos de identificadores y archivos DLL que se han abierto o cargado. La pantalla de Process Explorer incluye dos subventanas. La ventana superior siempre muestra una lista de los procesos activos, incluidos los nombres de sus cuentas de propiedad; mientras que la información mostrada en la ventana inferior depende del modo en que se encuentre Process Explorer: si está en modo de identificador, verá los identificadores que ha abierto el proceso seleccionado en la ventana superior; si Process Explorer está en modo de DLL, verá los archivos DLL y los asignados en memoria que el proceso ha cargado. Process Explorer también tiene una eficaz capacidad de búsqueda que le mostrará rápidamente los procesos que hayan abierto ciertos identificadores o cargado determinados archivos DLL.
Process explorer
Process explorer
StringsBusca cadenas ASCII y UNICODE en ficheros.
En el ejemplo que se muestra, he puesto: D:\Documents and Settings\Administrador.CARAVACA-ALIP4C\Escritorio\Strings\strings> strings c:\WINDOWS\NOTEPAD.EXE
Por lo que me ha mostrado las cadenas ASCII y UNICODE traducidas.
DisksExtDiskExt demuestra el uso del comando IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS que devuelve información acerca de los discos en los que están situadas las particiones de un volumen (los discos con varias particiones pueden residir en varios discos) y en qué parte del disco se encuentran.
DisksExt
