Sysinternals Manutencao

Dê a sua opinião sobre a experiência de download do PDF.
Sysinternals
Artigo • 24/10/2023
O site do Sysinternals foi criado em 1996 por Mark Russinovich para hospedar seus
utilitários avançados do sistema e informações técnicas. Quer você seja um profissional
de TI ou um desenvolvedor, encontrará utilitários do Sysinternals para ajudá-lo a
gerenciar, solucionar problemas e diagnosticar seus sistemas e aplicativos do Windows
e Linux.
Leia o guia oficial para as ferramentas do Sysinternals, Solução de problemas com

as Ferramentas do Windows Sysinternals
Leia o Blog do Sysinternals para obter um feed detalhado de alterações de
atualizações de ferramentas
Assista aos vídeos de Atualização do Sysinternals de Mark no YouTube
Assista às apresentações de solução de problemas Case-of-the-Unexplained de
Mark e outros webcasts
Leia o Blog do Mark que realça o uso das ferramentas para resolver problemas
reais
Confira a página Recursos de Aprendizagem do Sysinternals
Postar suas perguntas no Fórum do Sysinternals
Sysinternals Live
O Sysinternals Live é um serviço que permite executar ferramentas do Sysinternals
diretamente da Web sem baixá-las manualmente.
Insira o caminho do Sysinternals Live de uma ferramenta no Windows Explorer como

live.sysinternals.com/<toolname> ou \\live.sysinternals.com\tools\<toolname> . No
prompt de comando, use \\live.sysinternals.com\tools\<toolname> .
É possível exibir todo o diretório de ferramentas do Sysinternals Live em um navegador

ou no Windows Explorer em https://live.sysinternals.com/ .
Novidades
Novidades (18 de outubro de 2023)
VMMap v3.4
Essa atualização do VMMap, um utilitário de análise de memória física e virtual,
adiciona suporte para .NET 6 e superior, incluindo a versão prévia do .NET 8.
Novidades (29 de setembro de 2023)

ProcDump 2.2 para Linux
Essa atualização para o ProcDump para Linux adiciona suporte ao Linux do Azure e
corrige alguns vazamentos de memória.
Sysmon 1.3 para Linux Esta atualização para o Sysmon para Linux corrige um
bug com correspondência de maiúsculas de minúsculas.
Novidades (26 de julho de 2023)

ZoomIt v7.1
Essa atualização para ZoomIt adiciona captura de áudio à gravação de tela.
ProcDump 2.0 para Linux

O ProcDump para Linux, uma ferramenta flexível para geração de despejo de
processo manual e baseado em gatilho, recebe dois novos gatilhos .NET GC (-gcm
e -gcgen) e atualiza o gatilho de memória existente para permitir vários limites.
Novidades (27 de junho de 2023)

Sysmon v15.0
Essa atualização para o Sysmon, uma ferramenta avançada de monitoramento de
segurança de host, define o serviço para ser executado como um processo
protegido, protegendo-o contra adulteração, adiciona um novo evento,
FileExecutableDetected , para quando novas imagens executáveis são salvas em
arquivos, e corrige um travamento do sistema que ocorre em determinadas

situações devido a uma interação entre eventos de rede e sistema de arquivos.
Novidades (24 de maio de 2023)

ZoomIt v7.0
Essa atualização para ZoomIt, uma ferramenta de ampliação e anotação de tela,
adiciona a capacidade de registrar na tela regiões cortadas ou uma janela
específica e permite que você capture regiões da tela ou exibições ampliadas para
a área de transferência ou para um arquivo em um único gesto.
Índice de Utilitários da Sysinternals
Artigo • 18/10/2023
Pacote da Sysinternals
Todo o conjunto de utilitários da Sysinternals reunido em um único download.
Pacote Sysinternals para o Nano Server

Utilitários da Sysinternals para o Nano Server em um único download.
Pacote Sysinternals para ARM64

Os utilitários da Sysinternals para ARM64 em um único download.
Pacote Sysinternals da Microsoft Store

Instalação e atualizações dos utilitários da Sysinternals via Microsoft Store.
AccessChk
v6.15 (11 de maio de 2022)
O AccessChk é uma ferramenta de linha de comando para exibição das permissões
efetivas em arquivos, chaves de registro, serviços, processos, objetos do kernel e muito
mais.
AccessEnum
v1.35 (29 de setembro de 2022)
Esta ferramenta de segurança simples, mas poderosa, mostra quem tem acesso a
diretórios, arquivos e chaves de registro em seus sistemas. Use-o para encontrar falhas
em suas permissões.
AdExplorer
v1.52 (28 de novembro de 2022)
O Active Directory Explorer é um visualizador e editor avançado do Active Directory
(AD).
AdInsight
v1.2 (26 de outubro de 2015)
Uma ferramenta de monitoramento em tempo real do LDAP (Light-weight Directory
Access Protocol) destinada a solucionar problemas de aplicativos clientes do Active
Directory.
AdRestore
Cancela a exclusão de objetos do Active Directory Server 2003.
Automático
v3.10 (29 de agosto de 2016)
Ignorar a tela de senha durante o logon.
Autoruns
v14.1 (27 de junho de 2023)
Veja quais programas são configurados para inicializar automaticamente quando o
sistema é inicializado e você faz login. O Autoruns também mostra a lista completa de
registros e locais de arquivos onde os aplicativos podem definir as configurações de
inicialização automática.
BgInfo
Esse programa totalmente configurável gera automaticamente planos de fundo da área
de trabalho que incluem informações importantes sobre o sistema, incluindo endereços
IP, nome do computador, adaptadores de rede e muito mais.
BlueScreen
v3.2 (1º de novembro de 2006)
Esse protetor de tela não apenas simula com precisão as telas azuis, mas também
reinicializações simuladas (completas com CHKDSK), e funciona no Windows NT 4,
Windows 2000, Windows XP, Server 2003 e Windows 95 e 98.
CacheSet
v1.02 (16 de dezembro de 2021)
O CacheSet é um programa que permite controlar o tamanho do conjunto de trabalho
do Gerenciador de Cache utilizando funções fornecidas pelo NT. Ele é compatível com
todas as versões do NT.
ClockRes
v2.1 (4 de julho de 2016)
Exiba a resolução do relógio do sistema, que também é a resolução máxima do
temporizador.
Contig
v1.83 (9 de março de 2023)
Gostaria de poder desfragmentar rapidamente seus arquivos utilizados com frequência?
Use o Contig para otimizar arquivos individuais ou para criar novos arquivos contíguos.
Coreinfo
O Coreinfo é um novo utilitário de linha de comando que mostra o mapeamento entre
os processadores lógicos e o processador físico, o nó NUMA e o soquete em que
residem, bem como o cache atribuído a cada processador lógico.
Ctrl2cap
Esse é um driver de modo kernel que demonstra a filtragem de entrada do teclado logo
acima do driver de classe de teclado para transformar o Caps Lock em teclas de
controle. A filtragem nesse nível permite a conversão e a ocultação de chaves antes
mesmo do NT "vê-las". Ctrl2cap também mostra como usar NtDisplayString() para
imprimir mensagens na tela azul de inicialização.
DebugView
v4.90 (23 de abril de 2019)
Outra novidade da Sysinternals: esse programa intercepta chamadas feitas ao DbgPrint
por drivers de dispositivo e ao OutputDebugString feitas por programas Win32. Permite
a visualização e a gravação da saída da sessão de depuração em seu computador local
ou na Internet sem um depurador ativo.
Desktops
Esse novo utilitário permite que você crie até quatro áreas de trabalho virtuais e use
uma interface de bandeja ou teclas de atalho para visualizar o que está em cada área de
trabalho e alternar facilmente entre elas.
Disk2vhd
O Disk2vhd simplifica a migração de sistemas físicos para máquinas virtuais (p2v.md).
DiskExt
Exibir os mapeamentos de disco de volume.
Diskmon
Esse utilitário captura toda a atividade do disco rígido ou atua como uma luz de
atividade do disco de software na bandeja do sistema.
DiskView
Utilitário gráfico do setor de disco.
Uso do Disco (DU)

Exibir o uso do disco por diretório.
EFSDump
Exibir informações sobre os arquivos criptografados.
FindLinks
O FindLinks informa o índice do arquivo e todos os links físicos (caminhos de arquivo
alternativos no mesmo volume.md) existentes para o arquivo especificado. Os dados de
um arquivo permanecem alocados, desde que tenha pelo menos um nome de arquivo
fazendo referência a ele.
Handle
Esse prático utilitário de linha de comando mostrará quais arquivos estão abertos por
quais processos e muito mais.
Hex2dec
Converta números hexadecimais em decimais e vice-versa.
Junção
v1.07 (4 de julho de 2016)
Crie links simbólicos do Win2K NTFS.
LDMDump
Despejo do conteúdo do banco de dados em disco do Gerenciador de Disco Lógico,
que descreve o particionamento de discos dinâmicos do Windows 2000.
ListDLLs
Liste todas as DLLs carregadas no momento, incluindo onde elas são carregadas e seus
números de versão.
LiveKd
v5.62 (16 de maio de 2017)
Utilize os depuradores de kernel da Microsoft para examinar um sistema ativo.
LoadOrder
Consulte a ordem na qual os dispositivos são carregados no seu sistema WinNT/2K.
LogonSessions
Listar as sessões de login ativas em um sistema.
MoveFile
Permite agendar comandos de movimentação e exclusão para a próxima reinicialização.
NotMyFault
O Notmyfault é uma ferramenta que você pode usar para falhar, travar e causar
vazamentos de memória do kernel no seu sistema Windows.
NTFSInfo
Utilize o NTFSInfo para conferir informações detalhadas sobre volumes NTFS, incluindo
o tamanho e a localização da Tabela de Arquivos Mestre (MFT) e da zona MFT, bem
como os tamanhos dos arquivos de metadados NTFS.
PendMoves
Enumere a lista de comandos de renomeação e exclusão de arquivos que serão
executados na próxima inicialização.
PipeList
v1.02 (4 de julho de 2016)
Exibe os pipes nomeados em seu sistema, incluindo o número máximo de instâncias e
instâncias ativas para cada pipe.
PortMon
v3.03 (12 de janeiro de 2012)
Monitore a atividade das portas serial e paralela com essa ferramenta de
monitoramento avançada. Ele conhece todas as IOCTLs seriais e paralelas padrão e até
mostra uma parte dos dados que estão sendo enviados e recebidos. A versão 3.x tem
novos e poderosos aprimoramentos de interface do usuário e recursos avançados de
filtragem.
ProcDump
Esse utilitário de linha de comando destina-se a capturar despejos de processo de
outros modos difíceis de isolar e reproduzir picos de CPU. Ele também serve como um
utilitário geral de criação de despejo de processo e também pode monitorar e gerar
despejos de processo quando um processo tem uma janela suspensa ou exceção sem
tratamento.
Gerenciador de Processos
v17.05 (26 de julho de 2023)
Descubra quais arquivos, chaves de registro e outros objetos os processos abriram,
quais DLLs eles carregaram e muito mais. Este utilitário excepcionalmente poderoso
mostrará a você quem é o proprietário de cada processo.
Monitor de Processos
Monitore o sistema de arquivos, o Registro, o processo, o thread e a atividade da DLL
em tempo real.
PsExec
v2.43 (11 de abril de 2023)
Executar processos em sistemas remotos.
PsFile
v1.04 (30 de março de 2023)
Veja quais arquivos estão abertos remotamente.
PsGetSid
v1.46 (30 de março de 2023)
Exibe a SID de um computador ou de um usuário.
PsInfo
v1.79 (30 de março de 2023)
Obtenha informações sobre um sistema.
PsKill
v1.17 (30 de março de 2023)
Encerrar processos locais ou remotos.
PsPing
v2.12 (30 de março de 2023)
Mede o desempenho da rede.
PsList
v1.41 (30 de março de 2023)
Mostrar informações sobre processos e threads.
PsLoggedOn
v1.35 (29 de junho de 2016)
Mostrar usuários conectados a um sistema.
PsLogList
v2.82 (30 de março de 2023)
Despejar registros de log de eventos.
PsPasswd
v1.25 (30 de março de 2023)
Altera as senhas da conta.
PsService
v2.26 (30 de março de 2023)
Exibir e controlar serviços.
PsShutdown
v2.6 (30 de março de 2023)
Desliga e, opcionalmente, reinicia um computador.
PsSuspend
v1.08 (30 de março de 2023)
Suspender e retomar processos.
PsTools
v2.51 (11 de abril de 2023)
O pacote PsTools inclui utilitários de linha de comando para listar os processos em
execução em computadores locais ou remotos, executar processos remotamente,
reinicializar computadores, despejar logs de eventos e muito mais.
RAMMap
v1.61 (11 de maio de 2022)
Um utilitário avançado de análise do uso da memória física que apresenta informações
de uso de diferentes maneiras nas suas várias guias diferentes.
RDCMan
v2.93 (26 de julho de 2023)
Gerenciar várias conexões de área de trabalho remota.
RegDelNull
v1.11 (4 de julho de 2016)
Verifique e exclua chaves do Registro que contenham caracteres nulos inseridos que, de
outra forma, não podem ser acessados pelas ferramentas padrão de edição do Registro.
Uso do Registro (RU)

Exiba o uso do espaço do registro da chave do registro especificada.
RegJump
Vá para o caminho do registro especificado no Regedit.
SDelete
Substitua com segurança seus arquivos confidenciais e limpe seu espaço livre de
arquivos excluídos anteriormente usando esse programa de exclusão segura em
conformidade com o DoD.
ShareEnum
Verifique os compartilhamentos de arquivos na sua rede e veja as configurações de
segurança para eliminar as falhas de segurança.
ShellRunas
Inicie programas como um usuário diferente por meio de uma conveniente entrada do
menu de contexto do shell.
Sigcheck
v2.90 (19 de julho de 2022)
Despeje as informações da versão do arquivo e verifique se as imagens em seu sistema
estão assinadas digitalmente.
Fluxos
Revelar fluxos alternativos do NTFS.
Cadeias de caracteres
v2.54 (22 de junho de 2021)
Pesquisar cadeias de caracteres ANSI e UNICODE em imagens binárias.
Sincronizar
Liberar dados armazenados em cache no disco.
Sysmon
v15.0 (27 de junho de 2023)
Monitora e relata as principais atividades do sistema por meio do log de eventos do
Windows.
TCPView
v4.19 (11 de abril de 2023)
Visualizador do soquete ativo.
VMMap
O VMMap é um utilitário de análise de memória física e virtual de processos.
VolumeId
Defina a ID do volume de unidades FAT ou NTFS.
Whois
v1.20 (11 de dezembro de 2019)
Veja quem possui um endereço na Internet.
WinObj
v3.14 (27 de janeiro de 2022)
O melhor visualizador de namespace do Gerenciador de Objetos está aqui.
ZoomIt
v7.1 (26 de julho de 2023)
Utilitário de apresentação para aplicar zoom e desenhar na tela.
Utilitários de arquivo e disco do
Sysinternals
Artigo • 09/08/2023
AccessChk
Esta ferramenta mostra os acessos que o usuário ou grupo que você especificar tem aos
arquivos, chaves do Registro ou serviços do Windows.
AccessEnum
CacheSet
CacheSet é um programa que permite controlar o tamanho do conjunto de trabalho do
Gerenciador de Cache usando funções fornecidas pelo NT. Ele é compatível com todas
as versões do NT.
Contig
Gostaria de poder desfragmentar rapidamente os arquivos usados com frequência? Use
o Contig para otimizar arquivos individuais ou para criar novos arquivos contíguos.
Disk2vhd
O Disk2vhd simplifica a migração de sistemas físicos para máquinas virtuais (p2v).
DiskExt
Exibir os mapeamentos de disco de volume.
DiskMon
Esse utilitário captura todas as atividades do disco rígido ou age como uma luz de
atividade do disco de software na bandeja do sistema.
DiskView
Utilitário gráfico do setor de disco.
Uso do disco (DU)

Exibir o uso do disco por diretório.
EFSDump
Exibir informações sobre os arquivos criptografados.
FindLinks
FindLinks informa o índice de arquivo e todos os links físicos (caminhos de arquivo
alternativos no mesmo volume) que existem para o arquivo especificado. Os dados de
um arquivo permanecem alocados, desde que tenha pelo menos um nome de arquivo
fazendo referência a ele.
Junção
Crie links simbólicos do Win2K NTFS.
LDMDump
Despejo do conteúdo do banco de dados em disco do Gerenciador de Disco Lógico,
que descreve o particionamento de discos dinâmicos do Windows 2000.
MoveFile
Agende comandos de renomeação e exclusão de arquivos para a próxima
reinicialização. Isso pode ser útil para limpar arquivos de malware teimosos ou em uso.
NTFSInfo
Use NTFSInfo para ver informações detalhadas sobre volumes NTFS, incluindo o
tamanho e o local da MFT (Tabela de Arquivos Mestre) e da zona MFT, bem como os
tamanhos dos arquivos de metadados NTFS.
PendMoves
Veja quais arquivos estão agendados para excluir ou renomear na próxima vez que o
sistema for inicializado.
Process Monitor
em tempo real.
PsFile
PsTools
SDelete
ShareEnum
Sigcheck
Fluxos
Revelar fluxos alternativos do NTFS.
Sincronizar
Liberar dados armazenados em cache no disco.
VolumeID
Defina a ID do volume de unidades FAT ou NTFS.
AccessChk v6.15
Artigo • 11/08/2023
Por Mark Russinovich
Publicação: 11 de maio de 2022
Baixar o AccessChk (1 MB)

Executar agora a partir do Sysinternals Live .
Introdução
Como uma parte para garantir que criaram um ambiente seguro, os administradores do
Windows geralmente precisam saber que tipos de acessos os usuários ou grupos
específicos têm para recursos, incluindo arquivos, diretórios, chaves do Registro, objetos
globais e serviços do Windows. O AccessChk responde rapidamente a essas perguntas
com uma interface e uma saída intuitivas.
Instalação
O AccessChk é um programa de console. Copie o AccessChk no caminho executável. Ao
digitar "accesschk", a sintaxe de uso é exibida.
Como usar o AccessChk

Uso:
Prompt de comando do Windows
accesschk [-s][-e][-u][-r][-w][-n][-v]-[f <account>,...][[-a]|[-k]|[-p [-f]

[-t]]|[-h][-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <file,
directory, registry key, process, service, object>
Parâmetro Descrição
-a O nome é um direito de conta do Windows. Especifique "*" como o nome para

mostrar todos os direitos atribuídos a um usuário. Observe que, ao indicar um
direito específico, serão exibidos apenas grupos e contas diretamente atribuídos ao
direito.
-c O nome é um Serviço Windows, por exemplo, ssdpsrv . Especifique "*" como o

nome para mostrar todos os serviços e scmanager para verificar a segurança do
Gerenciador do Controle de Serviço.
-d Processe apenas diretórios ou chaves de nível superior
-e Mostre apenas níveis de integridade definidos explicitamente (somente Windows

Vista e acima)
-f Se seguir um -p , mostrará informações completas do token de processo, incluindo

grupos e privilégios. Caso contrário, trata-se de uma lista de contas separadas por
vírgulas a serem filtradas da saída.
-h O nome é um compartilhamento de arquivo ou de impressora. Especifique "*"

como o nome para mostrar todos os compartilhamentos.
-i Ignore objetos com apenas ACEs herdadas ao despejar listas de controle de acesso
completo.
-k O nome é uma chave do Registro, por exemplo, hklm\software
-l Mostre o descritor de segurança completo. Adicione -i para ignorar ACEs

herdadas.
-n Mostre somente objetos que não têm acesso
-o O nome é um objeto no namespace do Gerenciador de Objetos (o padrão é raiz).

Para exibir o conteúdo de um diretório, especifique o nome com uma barra
invertida à direita ou adicione -s . Adicione -t e um tipo de objeto (por exemplo,
seção) para ver apenas objetos de um tipo específico.
-p O nome é um nome de processo ou PID, por exemplo cmd.exe , (especifique "*"

como o nome para mostrar todos os processos). Adicione -f para mostrar
informações completas do token de processo, incluindo grupos e privilégios.
Adicione -t para mostrar threads.
-q Omita a faixa
-r Mostre somente objetos com acesso de leitura
-s Recurse
-t Filtro de tipo de objeto, por exemplo, "section"
-u Suprima erros
-v Detalhado (inclui o Nível de Integridade do Windows Vista)
-w Mostre somente objetos com acesso de gravação

Se você especificar um nome de usuário ou grupo e um caminho, o AccessChk relatará
as permissões efetivas para essa conta; caso contrário, ele mostrará o acesso efetivo
para contas referenciadas no descritor de segurança.
Por padrão, o nome do caminho é interpretado como um caminho do sistema de

arquivos (use o prefixo "\pipe\" para especificar um caminho de pipe nomeado). Para
cada objeto, o AccessChk imprimirá R se a conta tiver acesso de leitura, W se tiver
acesso de gravação e nada se não tiver nenhum dos dois acessos. A opção -v faz com
que o AccessChk despeje os acessos específicos concedidos a uma conta.
Exemplos
O comando a seguir relata os acessos que a conta do Power Users tem aos arquivos e
diretórios em \Windows\System32 :
accesschk "power users" c:\windows\system32
Este comando mostra a quais serviços Windows os membros do grupo Usuários têm
acesso de gravação:
accesschk users -cw *
Para ver a quais chaves do Registro em HKLM\CurrentUser uma conta específica não tem
acesso:
accesschk -kns austin\mruss hklm\software
Para ver a segurança na chave HKLM\Software:
accesschk -k hklm\software
Para ver todos os arquivos em \Users\Mark no Vista que têm um nível de integridade
explícito:
accesschk -e -s c:\users\mark
Para ver todos os objetos globais que todos podem modificar:
accesschk -wuo everyone \basednamedobjects
Baixar o AccessChk (1 MB)

AccessEnum v1.34
Artigo • 07/10/2023
Publicado em: 16 de agosto de 2022
Baixar o AccessEnum (135 KB)

Execute agora do Sysinternals Live .
Introdução
Embora o modelo de segurança flexível empregado pelos sistemas baseados no
Windows NT permita controle total sobre a segurança e permissões de arquivo, pode
ser difícil gerenciar as permissões para que os usuários tenham acesso apropriado a
arquivos, diretórios e chaves do Registro. Não há nenhuma maneira interna de exibir
rapidamente os acessos de usuários a uma árvore de diretórios ou chaves. O
AccessEnum fornece uma visão completa das configurações de segurança do sistema de
arquivos e do Registro em segundos, fazendo com que seja a ferramenta ideal para
ajudá-lo a encontrar falhas de segurança e bloquear permissões quando necessário.
Como funciona
O AccessEnum usa APIs de segurança padrão do Windows para preencher sua visão de
lista com informações de acesso de leitura, gravação e negação.
Baixar o AccessEnum (135 KB)

CacheSet v1.02
Artigo • 13/08/2023
Publicado em: 16 de dezembro de 2021
Baixar o CacheSet (417 KB)

Introdução
CacheSet é um applet que permite que você manipule os parâmetros do conjunto de
trabalho do cache de arquivos do sistema. Ao contrário do CacheMan, o CacheSet é
executado em todas as versões do NT e funcionará sem modificações em novas versões
do Service Pack. Além de lhe fornecer a capacidade de controlar os tamanhos mínimo e
máximo do conjunto de trabalho, o applet também permite que você redefina o
conjunto de trabalho do Cache, forçando-o a aumentar conforme necessário a partir de
um ponto de partida mínimo. Ainda ao contrário do CacheMan, as alterações feitas com
o CacheSet exercem um efeito imediato sobre o tamanho do Cache.
Use o CacheSet para ajustar o desempenho do tamanho do Cache do sistema de uma

forma que não seria possível sem o ajuste de variáveis internas, como o realizado pelo
CacheMan.
Observação: para usar o CacheSet no Service Pack 4 do NT 4.0 e posterior, você precisa
ter o privilégio "Aumentar Cota" (as contas de administrador têm esse privilégio por
padrão). O CacheSet foi atualizado para habilitar esse privilégio de forma que ele
funcione no SP4.
Instalação e Uso
Após iniciar, o applet apresenta o tamanho atual do cache de arquivos do sistema
(atualizado duas vezes por segundo) e seu tamanho de pico (o maior desde a última
reinicialização), além de permitir que você defina novos tamanhos mínimos e máximos
do conjunto de trabalho.
Como definir novos tamanhos Basta inserir os novos tamanhos mínimo e máximo e
pressionar o botão Aplicar. Se você receber um erro, isso ocorre porque uma das
seguintes condições está presente: você inseriu um máximo inferior ao mínimo, o
mínimo que você inseriu é inferior ao tamanho mínimo do conjunto de trabalho do
sistema ou o máximo que você inseriu é superior aos tamanhos máximos do conjunto
de trabalho do sistema. Ajuste os valores que você inseriu e tente novamente.
Talvez você observe que o tamanho do Cache muda imediatamente e, em seguida,

prossegue para reduzir ou aumentar rapidamente. Isso ocorre porque o sistema apara
automaticamente os conjuntos de trabalho uma vez por segundo. As páginas do Cache
liberadas ainda estão na memória, mas podem ser disponibilizadas rapidamente para
uso por outros programas que precisam de mais memória. Da mesma forma, o Cache
pode recuperar páginas com facilidade à medida que os aplicativos acessam os dados
do sistema de arquivos.
Como redefinir valores anteriores A qualquer momento, você pode restaurar os valores
do conjunto de trabalho do Cache, que estavam ativos quando você iniciou o CacheSet
da última vez, pressionando o botão Redefinir.
Como limpar o conjunto de trabalho do Cache Você pode forçar o Cache a liberar
todas as páginas pressionando o botão Limpar. Observe que o Cache pode aumentar
novamente conforme necessário e que isso não é o mesmo que esvaziar o Cache: as
páginas que foram atribuídas a ele são simplesmente disponibilizadas para outros
programas e podem ser recuperadas pelo Cache.
Como usar a interface de linha de comando Você pode inserir os tamanhos mínimo e
máximo do conjunto de trabalho na linha de comando do CacheSet. O CacheSet aplicará
esses novos valores silenciosamente. Portanto, você pode adicionar o CacheSet ao seu
grupo de programas Iniciar para definir automaticamente os tamanhos do Cache
sempre que você inicializar o computador.
Uso: [conjunto de trabalho mínimo] [conjunto de trabalho máximo] do CacheSet
Como funciona
O CacheSet usa uma chamada NtQuerySystemInformation para obter informações
sobre as configurações do Cache e NtSetSystemInformation para definir novas
informações de dimensionamento. As informações do conjunto de trabalho para um
processo servem como diretrizes para o Gerenciador de Memória do NT no que se
refere a quantas páginas de memória física devem ser atribuídas ao aplicativo. Como
são diretrizes, as condições podem ter como resultado uma situação em que o
Gerenciador de Memória aumente um conjunto de trabalho para um tamanho maior
que o máximo ou reduza-o para menor que o mínimo. No entanto, as configurações
são fatores que irão afetar a alocação total e, portanto, a capacidade de resposta de um
aplicativo. No caso do CacheSet, o aplicativo é o Cache do sistema de arquivos.
Internamente, o NtSetSystemInformation chama o MmAdjustWorkingSetSize, que

aumenta ou apara o conjunto de trabalho de um aplicativo. Se o terceiro parâmetro
transmitido para o MmAdjustWorkingSetSize for 1, o conjunto de trabalho do Cache
do sistema será ajustado; caso contrário, o ajuste ocorrerá no processo atual (as
chamadas de informações do sistema afetam apenas o cache do sistema). Transmitir um
mínimo e um máximo de -1 faz com que o MmAjustWorkingSetSize execute uma
operação de limpeza do conjunto de trabalho, liberando todas as páginas do conjunto
de trabalho do aplicativo.
Baixar o CacheSet (417 KB)
Executado em:
Cliente: Windows Vista e superior.

Servidor: Windows Server 2008 e superior.
Contig v1.83
Artigo • 05/08/2023
Publicação: 9 de março de 2023
Baixar Contig (366 KB)
Introdução
Existem vários desfragmentadores de disco NT no mercado, incluindo Winternals Defrag
Manager. Essas ferramentas são úteis para realizar uma desfragmentação geral de
discos, mas enquanto a maioria dos arquivos é desfragmentada em unidades
processadas por esses utilitários, alguns arquivos podem não ser. Além disso, é difícil
garantir que determinados arquivos usados com frequência sejam desfragmentados -
eles podem permanecer fragmentados por motivos específicos dos algoritmos de
desfragmentação usados pelo produto de desfragmentação aplicado. Finalmente,
mesmo que todos os arquivos tenham sido desfragmentados, alterações subsequentes
em arquivos críticos podem fazer com que eles se tornem fragmentados. Somente
executando uma operação de desfragmentação inteira, pode-se esperar que eles
possam ser desfragmentados novamente.
Contig é um desfragmentador de arquivo único que tenta tornar os arquivos contíguos

no disco. É perfeito para otimizar rapidamente arquivos que estão continuamente se
tornando fragmentados ou que você deseja garantir que estejam no menor número
possível de fragmentos.
Usando Contíguo
Contig é um utilitário que desfragmenta um arquivo ou arquivos especificados. Use-o
para otimizar a execução de seus arquivos usados com frequência.
Uso:
Contig.exe [-a] [-s] [-q] [-v] [existing file]

Contig.exe [-f] [-q] [-v] [drive:]
Contig.exe [-v] [-l] -n [new file] [new file length]
-a Analisar a fragmentação
-f Analisar a fragmentação de espaço livre
-l Definir comprimento de dados válido para criação rápida de arquivo (requer direitos
de administrador)
-q Modo silencioso
-s Recursar subdiretórios
-v Detalhado
Contig também pode analisar e desfragmentar os seguintes arquivos de metadados

NTFS:
$Mft
$LogFile
$Volume
$AttrDef
$BitMap
$Boot
$BadClus
$Secure
$UpCase
$Extend
Como funciona
Contig usa o suporte de desfragmentação nativo do Windows NT que foi introduzido
com o NT 4.0 (consulte minha documentação das APIs de desfragmentação para obter
mais informações). Ele primeiro varre o disco coletando os locais e tamanhos de áreas
livres. Em seguida, ele determina onde o arquivo em questão está localizado. Em
seguida, o Contig decide se o arquivo pode ser otimizado, com base nas áreas livres e
no número de fragmentos que o arquivo contém atualmente. Se o arquivo puder ser
otimizado, ele será movido para os espaços livres do disco.
Mais informações
O Inside Windows NTde Helen Custer oferece uma boa visão geral do namespace do
Gerenciador de objetos, e a coluna da Windows NT Magazine de outubro de 1997 de
Mark,"Inside the Object Manager", é (obviamente) uma excelente visão geral.
Baixar Contig (366 KB)
Executado em:
Cliente: Windows 8.1 e superior.

Nano Server: 2016 e superior.
Disk2vhd v2.02
Artigo • 05/08/2023
Publicado: 12 de outubro de 2021
Baixar o Disk2vhd (564 KB)

Executar agora do Sysinternals Live .
Introdução
O Disk2vhd é um utilitário que cria versões VHD (Virtual Hard Disk - formato de disco da
máquina virtual da Microsoft) de discos físicos para uso em máquinas virtuais (VMs)
Microsoft Virtual PC ou Microsoft Hyper-V. A diferença entre o Disk2vhd e outras
ferramentas de conversão de disco físico para virtual é que você pode executar o
Disk2vhd em um sistema online. O Disk2vhd usa a funcionalidade instantâneo de
volume do Windows, introduzida no Windows XP, para criar instantâneos pontuais
consistentes dos volumes que você deseja incluir em uma conversão. Você pode até
mesmo fazer com que o Disk2vhd crie os VHDs em volumes locais, mesmo os que estão
sendo convertidos (embora o desempenho seja melhor quando o VHD está em um
disco diferente dos que estão sendo convertidos).
A interface do usuário Disk2vhd lista os volumes presentes no sistema:
Ele criará um VHD para cada disco no qual os volumes selecionados residem. Ele
preserva as informações de particionamento do disco, mas copia apenas o conteúdo de
dados para volumes no disco selecionados. Isso permite capturar apenas volumes do
sistema e excluir volumes de dados, por exemplo.
O Virtual PC dá suporte a um tamanho máximo de disco virtual de 127 GB. Se você

criar um VHD de um disco maior, ele não poderá ser acessado por meio de uma VM
Virtual PC.
Para usar VHDs produzidos pelo Disk2vhd, crie uma VM com as características desejadas
e adicione os VHDs à configuração da VM como discos IDE. Na primeira inicialização,
uma VM que inicializa uma cópia capturada do Windows detectará o hardware da VM e
instalará automaticamente os drivers, se estiverem presentes na imagem. Se os drivers
necessários não estiverem presentes, instale-os por meio dos componentes de
integração do Virtual PC ou Hyper-V. Você também pode anexar a VHDs usando os
utilitários Disk Management ou Diskpart do Windows 7 ou Windows Server 2008 R2.
Não anexe a VHDs no mesmo sistema no qual você os criou se planeja inicializar a
partir deles. Se você fizer isso, o Windows atribuirá ao VHD uma nova assinatura de
disco para evitar uma colisão com a assinatura do disco de origem do VHD. O
Windows faz referência a discos no banco de dados de configuração de inicialização
(BCD) por assinatura de disco; portanto, quando isso acontece, o Windows
inicializado em uma VM não consegue localizar o disco de inicialização.
O Disk2vhd não dá suporte à conversão de volumes com o Bitlocker habilitado. Se

você quiser criar um VHD para esse volume, desative o Bitlocker e aguarde até que
o volume seja totalmente descriptografado primeiro.
O Disk2vhd é executado no Windows Vista, Windows Server 2008 e superior, incluindo

sistemas x64.
Aqui está uma captura de tela da cópia de um sistema Hyper-V do Windows Server
2008 R2 em execução em uma máquina virtual sobre o sistema do qual ele foi feito:
(clique na imagem para aplicar zoom)
Uso de linha de comando

O Disk2vhd inclui opções de linha de comando que permitem criar scripts de VHDs.
Especifique os volumes que deseja incluir em um instantâneo por letra da unidade (por
exemplo, c:) ou use "*" para incluir todos os volumes.
Uso: disk2vhd <[unidade: [unidade:]...]|[*]><vhdfile>

Exemplo: disk2vhd * c:\vhd\snapshot.vhd
A migração de disco rígido físico para virtual de uma instalação do Windows é uma
função válida para clientes com o Software Assurance e cópias de varejo completas
do Windows XP, Windows Vista e Windows 7. O Software Assurance oferece aos
usuários benefícios valiosos. Entre em contato com a Microsoft Corporation para
obter mais informações. O Windows XP, Windows Vista e Windows 7 instalados
pelos Fabricantes Original de Equipamento (OEM) usando versões OEM desses
produtos podem não ser transferidos para um disco rígido virtual de acordo com os
termos de licenciamento da Microsoft.
Baixar o Disk2vhd (564 KB)

DiskExt v1.2
Artigo • 04/08/2023
Publicado em: 4 de julho de 2016
Baixar o DiskExt (498 KB)
Introdução
O DiskExt demonstra o uso do comando IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS
que retorna informações sobre quais discos as partições de um volume estão
localizadas (discos de várias partes podem residir em vários discos) e onde no disco as
partições estão localizadas.
Baixar o DiskExt (498 KB)

DiskMon para Windows v2.02
Artigo • 11/08/2023
Baixar o DiskMon (488 KB)

Introdução
O DiskMon é um aplicativo que registra e exibe todas as atividades do disco rígido em
um sistema Windows. Também é possível minimizar o DiskMon para a bandeja do
sistema em que ele atua como uma luz de disco, mostrando um ícone verde quando
houver atividade de leitura de disco e um ícone vermelho quando houver atividade de
gravação em disco.
Instalação e Uso
Instalar o DiskMon é tão fácil quanto descompactá-lo e digitar "diskmon". Os menus e
os botões da barra de ferramentas podem ser usados para desabilitar a captura de
eventos, controlar a rolagem da ListView e salvar o conteúdo da ListView em um arquivo
ASCII.
Para que o DiskMon funcione como uma luz de disco na bandeja do sistema, selecione
Opções |Minimizar para o item de menu Bandeja ou abra o DiskMon com uma opção de
linha de comando "/l" (letra L minúscula), por exemplo, diskmon /l. Para reativar a janela
do DiskMon, clique duas vezes no ícone DiskMon da bandeja. Para criar um atalho para
o Diskmon na bandeja, crie um atalho na pasta Arquivos de Programas\Inicialização,
edite as propriedades do atalho e configure o Destino para apontar para o executável
com o caminho entre aspas e a opção fora das aspas:
"C:\Sysinternals Tools\Diskmon.exe" /l
Os deslocamentos de leitura e gravação são apresentados em termos de setores (512

bytes). A definição de tempo dos eventos pode ser indicada conforme a duração (em
microssegundos) ou com um carimbo com a hora absoluta em que foram iniciados. A
caixa de diálogo Profundidade do Histórico pode ser usada para especificar o número
máximo de registros que serão mantidos na GUI (0 indica que não há limite).
Implementação
O DiskMon usa o rastreamento de eventos de kernel. O rastreamento de eventos está
documentado no SDK da Plataforma Microsoft, que contém o código-fonte para
TraceDmp no qual o DiskMon se baseia.
Baixar o DiskMon (488 KB)

Uso do disco v1.62
Artigo • 04/08/2023
Publicado em: 04 de novembro de 2020
] Baixar o Du (1.62 MB)
Introdução
O Du (uso de disco) relata o uso de espaço em disco no diretório especificado. Por
padrão, ele recursa os diretórios para mostrar o tamanho total de um diretório e dos
seus subdiretórios.
Usando o Uso do Disco (DU)

Uso: du [-c[t]] [-l <níveis> | -n | -v] [-u] [-q] <diretório>
-c Imprimir saída como CSV. Use -ct como delimitação de tabulação.
-l Especifique a profundidade das informações do subdiretório (o padrão é 0 níveis).
-n Não recurse.
-v Mostrar o tamanho (em KB) dos diretórios intermediários.
-u Conte cada instância de um arquivo vinculado.
-q Silencioso.
-nobanner Não exiba a faixa de inicialização e a mensagem de direitos autorais.
A saída CSV formatada como:
Path, CurrentFileCount, CurrentFileSize, FileCount, DirectoryCount, DirectorySize,

DirectorySizeOnDisk
Baixar o Du (1.62 MB)

DiskView v2.41
Artigo • 07/10/2023
Publicado em: 15 de outubro de 2020
Baixar DiskView (800 KB)

Introdução
O DiskView mostra um mapa gráfico do disco, permitindo que você determine onde um
arquivo está localizado ou, clicando em um cluster, veja qual arquivo o ocupa. Clique
duas vezes para obter mais informações sobre um arquivo ao qual um cluster está
alocado.
Baixar DiskView (800 KB)

EFSDump v1.03
Artigo • 07/10/2023
Baixar o EFSDump (161 KB)
Introdução
O Windows 2000 apresenta o EFS (Encrypting File System) para que os usuários possam
proteger seus dados confidenciais. Várias APIs novas fazem sua estreia para suportar
esse recurso, incluindo a one-QueryUsersOnEncryptedFile-that permite que você confira
quem tem acesso a arquivos criptografados. Este miniaplicativo usa a API para mostrar
quais contas estão autorizadas a acessar os arquivos criptografados.
Uso do EFSDump
-s Recursar subdiretórios.
O EFSDump usa curingas, por exemplo, 'efsdump *.txt'.
É executado em:

LDMDump v1.02
Artigo • 04/08/2023
Introdução
O Windows 2000 introduz um novo tipo de esquema de particionamento de disco
gerenciado por um componente chamado Gerenciador de Disco Lógico (LDM). Os
discos básicos implementam tabelas de partição padrão no estilo DOS, enquanto os
discos dinâmicos usam o particionamento LDM. O particionamento LDM oferece várias
vantagens em relação ao particionamento dos DOS, incluindo replicação entre discos,
armazenamento em disco de configuração de volume avançado (volume estendido,
volumes espelhados, volumes distribuídos e volumes RAID-5). Minha série de duas
partes de março/abril no gerenciamento de armazenamento do Windows NT/2000 na
Windows 2000 Magazine descreve os detalhes de cada esquema de particionamento.
Além do MMC-snapin do Gerenciamento de Disco e de uma ferramenta chamada

dmdiag no Kit de Recursos do Windows 2000, não há ferramentas para investigar os
internos do banco de dados em disco LDM que descreve o layout de particionamento
de um sistema. O LDMDump é um utilitário que permite examinar exatamente o que é
armazenado na cópia de um disco do banco de dados LDM do sistema. O LDMDump
mostra o conteúdo do cabeçalho privado do banco de dados LDM, do sumário e do
banco de dados de objeto (onde as definições de partição, componente e volume são
armazenadas) e resume sua localização com listagens de tabela de partição e volume.
Como instalar e usar o LDMDump

Para usar o LDMDump, basta passar o identificador de um disco.
Uso: ldmdump [- ] [-d#]
- Exibe as opções com suporte e as unidades de medida usadas para valores de saída.
-d# Especifica o número do disco para LDMDump examinar. Por exemplo, "ldmdump
/d0" tem LDMDump para mostrar as informações do banco de dados LDM
armazenadas no disco 0.
Como funciona
Não há APIs publicadas disponíveis para obter informações detalhadas sobre o
particionamento LDM de um disco e o formato de banco de dados LDM está
completamente sem documentação. O LDMDump foi desenvolvido com base no estudo
do conteúdo do banco de dados LDM em uma variedade de sistemas diferentes e em
condições de alteração.
Mais informações
Para obter mais informações sobre a estrutura LDM em disco, consulte:
Inside Storage Management, Parte 2, por Mark Russinovich, Windows 2000

Magazine, Abril de 2000.
É executado em:

PendMoves v1.3 e MoveFile v1.02
Artigo • 04/08/2023
Por Mark Russinovich Publicado: 17 de setembro de 2020
Baixar o PendMoves e MoveFile (988 KB)
Introdução
Existem vários aplicativos, como service packs e hotfixes, que precisam substituir um
arquivo que está em uso e não conseguem. Portanto, o Windows fornece a API
MoveFileEx para renomear ou excluir um arquivo e permitir que o chamador especifique
que deseja que a operação seja realizada na próxima vez que o sistema for inicializado,
antes que os arquivos sejam referenciados. O Gerenciador de Sessão executa essa tarefa
fazendo a leitura dos comandos de renomeação e exclusão registrados no valor
HKLM\System\CurrentControlSet\Control\Session
Manager\PendingFileRenameOperations.
Uso do PendMoves
Esse applet despeja o conteúdo do valor de renomeação/exclusão pendente e também
informa um erro quando o arquivo de origem não está acessível.
Uso: pendmoves
Aqui está um exemplo de saída que mostra que um arquivo de instalação temporária
está agendado para ser excluído na próxima reinicialização:
Shell
C:\\>pendmoves
PendMove v1.2
Copyright (C) 2013 Mark Russinovich
Sysinternals - www.sysinternals.com
Source: C:\\Config.Msi\\3ec7bbbf.rbf
Target: DELETE
Uso do MoveFile
O utilitário MoveFile incluído permite que você agende comandos de movimentação e
exclusão para a próxima reinicialização: usage: movefile [source] [dest]
Especificando um destino vazio (""), você exclui a origem na inicialização. Um exemplo
que exclui o test.exe é:
Shell
movefile test.exe ""

NTFSInfo v1.2
Artigo • 07/10/2023
Baixar o NTFSInfo (143 KB)
Introdução
O NTFSInfo é um miniaplicativo que mostra informações sobre volumes NTFS. Seu
despejo inclui o tamanho das unidades de alocação de uma unidade, em que os
principais arquivos NTFS estão localizados e os tamanhos dos arquivos de metadados
NTFS no volume. Normalmente, essas informações são pouco mais do que um valor de
curiosidade, mas o NTFSInfo mostra algumas coisas interessantes. Por exemplo, você
provavelmente já ouviu falar sobre o equivalente NTFS da Tabela de Alocação de
Arquivos do sistema de arquivos FAT. Ele é chamado de Tabela de Arquivos Mestre
(MFT) e é composto por registros de tamanho constante que descrevem o local de
todos os arquivos e diretórios na unidade. O que é surpreendente no MFT é que ele é
gerenciado como um arquivo, assim como qualquer outro. O NTFSInfo mostrará onde
no disco (em termos de clusters) o MFT está localizado e quão grande ele é, além de
especificar o tamanho dos clusters do volume e dos registros MFT. Para proteger o MFT
contra fragmentação, o NTFS reserva uma parte do disco em torno do MFT que ele não
alocará a outros arquivos, a menos que o espaço em disco seja baixo. Essa área é
conhecida como MFT-Zone e o NTFSInfo informará onde no disco o MFT-Zone está
localizado e qual porcentagem da unidade está reservada para ela.
Você também pode se surpreender ao saber que, como o MFT, todos os metadados
NTFS são gerenciados em arquivos. Por exemplo, há um arquivo chamado $Boot
mapeado para cobrir o setor de inicialização da unidade. O mapa do cluster do volume
é mantido em outro arquivo chamado $Bitmap. Esses arquivos residem diretamente no
diretório raiz do NTFS, mas você não pode vê-los, a menos que você saiba que eles
estão lá. Tente digitar "dir /ah $boot" no diretório raiz de um volume NTFS e você verá o
arquivo $boot. O NTFSInfo executa o equivalente ao "dir /ah" para mostrar os nomes e
tamanhos de todos os arquivos de metadados NTFS (3.51 e 4.0).
O NTFSInfo destina-se a acompanhar minha coluna "NT Internals" da Windows NT

Magazinede janeiro de 1998, que descreve as estruturas de dados internas do NTFS.
Instalação e uso
O NTFSInfo funciona em todas as versões do NTFS, mas o NTFS para Windows NT 5.0
tem arquivos de metadados diferentes que o NTFSInfo ainda não foi programado. Para
que o NTFSInfo funcione, você deve ter privilégio administrativo.
Uso: NTFSInfo x
x A letra da unidade do volume NTFS que você deseja examinar.
Como funciona
O NTFSInfo usa uma chamada de Controle do Sistema de Arquivos (FSCTL) não
documentada para obter informações do NTFS sobre um volume. Ele imprime essas
informações junto com um despejo de diretório de arquivos de metadados NTFS.
Baixar o NTFSInfo (143 KB)
É executado em:
Cliente: Windows Vista e superior

Servidor: Windows Server 2008 e superior
Nano Server: 2016 e superior
PendMoves v1.3 e MoveFile v1.02
Artigo • 04/08/2023
Por Mark Russinovich Publicado: 17 de setembro de 2020
Introdução
Existem vários aplicativos, como service packs e hotfixes, que precisam substituir um
arquivo que está em uso e não conseguem. Portanto, o Windows fornece a API
MoveFileEx para renomear ou excluir um arquivo e permitir que o chamador especifique
que deseja que a operação seja realizada na próxima vez que o sistema for inicializado,
antes que os arquivos sejam referenciados. O Gerenciador de Sessão executa essa tarefa
fazendo a leitura dos comandos de renomeação e exclusão registrados no valor
HKLM\System\CurrentControlSet\Control\Session
Manager\PendingFileRenameOperations.
Uso do PendMoves
Esse applet despeja o conteúdo do valor de renomeação/exclusão pendente e também
informa um erro quando o arquivo de origem não está acessível.
Uso: pendmoves
Aqui está um exemplo de saída que mostra que um arquivo de instalação temporária
está agendado para ser excluído na próxima reinicialização:
Shell
C:\\>pendmoves
PendMove v1.2
Copyright (C) 2013 Mark Russinovich
Source: C:\\Config.Msi\\3ec7bbbf.rbf
Target: DELETE
Uso do MoveFile
O utilitário MoveFile incluído permite que você agende comandos de movimentação e
exclusão para a próxima reinicialização: usage: movefile [source] [dest]
Especificando um destino vazio (""), você exclui a origem na inicialização. Um exemplo
que exclui o test.exe é:
Shell
movefile test.exe ""

RegMon para Windows v7.04
Artigo • 04/08/2023
Publicado em: 01º de novembro de 2006
FileMon e Regmon não estão mais disponíveis para download. Eles foram substituídos
pelo Process Monitor em versões do Windows a partir do Windows 2000 SP4, Windows
XP SP2, Windows Server 2003 SP1 e Windows Vista.
Utilitários Relacionados
Eis outras ferramentas de monitoramento disponíveis no Sysinternals:
PortMon – um monitor de porta serial e paralelo

Monitor de Processo – um processo e um monitor de thread
DiskMon – um monitor de disco rígido
DebugView – um monitor de saída de depuração
SDelete v2.05
Artigo • 07/10/2023
Publicado: 29 de setembro de 2023
Baixar SDelete (304 KB)
Introdução
Um recurso da conformidade C2 do Windows NT/2000 (Win2K) é que ele implementa a
proteção contra a reutilização de objetos. Isso significa que, quando um aplicativo aloca
espaço de arquivo ou memória virtual, ele não pode exibir os dados que foram
armazenados anteriormente nos recursos que o Windows NT/2K alocou para ele. O
Windows NT zera a memória e zera os setores do disco nos quais um arquivo é
colocado antes de apresentar qualquer tipo de recurso a um aplicativo. Entretanto, a
reutilização de objetos não exige que o espaço que um arquivo ocupa antes de ser
excluído seja zerado. Isso ocorre porque o Windows NT/2K foi projetado pressupondo
que o sistema operacional controla o acesso aos recursos do sistema. No entanto,
quando o sistema operacional não está ativo, é possível usar editores de disco bruto e
ferramentas de recuperação para exibir e recuperar dados que o sistema operacional
desalocou. Mesmo quando você criptografa arquivos com o EFS (Encrypting File System)
do Win2K, os dados originais não criptografados de um arquivo são deixados no disco
depois que uma nova versão criptografada do arquivo é criada.
A única maneira de garantir que os arquivos excluídos, bem como os arquivos

criptografados com o EFS, estejam protegidos contra recuperação é usar um aplicativo
de exclusão segura. Os aplicativos de exclusão segura sobrescrevem os dados de um
arquivo excluído no disco usando técnicas que mostraram tornar os dados do disco
irrecuperáveis, mesmo usando tecnologia de recuperação que pode fazer a leitura de
padrões em mídia magnética que revelam arquivos fracamente excluídos. O SDelete
(Secure Delete) é um desses aplicativos. Você pode usar o SDelete tanto para excluir
com segurança os arquivos existentes quanto para apagar com segurança qualquer
dado de arquivo existente nas partes não alocadas de um disco (inclusive arquivos que
já tenham sido excluídos ou criptografados). O SDelete implementa o padrão de limpeza
e sanitização DOD 5220.22-M do Departamento de Defesa, para lhe dar a certeza de
que, uma vez excluídos com o SDelete, os dados do arquivo desaparecerão para sempre.
Observe que o SDelete exclui com segurança os dados do arquivo, mas não os nomes
de arquivos localizados no espaço livre do disco.
Como usar o SDelete
O SDelete é um utilitário de linha de comando que aceita várias opções. Em um
determinado uso, ele permite excluir um ou mais arquivos e/ou diretórios ou limpar o
espaço livre em um disco lógico. O SDelete aceita caracteres curinga como parte do
especificador de diretório ou arquivo.
Uso:
sdelete [-p passes] [-r] [-s] [-q] [-f] <file or directory [...]>
sdelete [-p passes] [-q] [-z|-c] <drive letter [...]>
sdelete [-p passes] [-q] [-z|-c] <physical disk number [...]>
-c Limpar o espaço livre.
-f Forçar os argumentos contendo apenas letras a serem tratados como um

arquivo/diretório em vez de um disco.
Não é necessário se o argumento contiver outros caracteres (separadores de
caminho ou extensões de arquivo, por exemplo).
-p Especifica o número de aprovações de substituição (o padrão é 1).
-q Modo silencioso.
-r Remover o atributo somente leitura.
-s Recursar os subdiretórios.
-z Espaço livre zero (bom para otimização do disco virtual).
Os discos não devem ter nenhum volume para serem limpos.

Para letras de unidade, inclua : , por exemplo D: .
Como o SDelete funciona

A exclusão segura de um arquivo que não tem atributos especiais é relativamente
simples: o programa de exclusão segura simplesmente substitui o arquivo pelo padrão
de exclusão segura. O que é mais complicado é a exclusão segura de arquivos
compactados, criptografados e esparsos do Windows NT/2K e a limpeza segura dos
espaços livres do disco.
Os arquivos compactados, criptografados e esparsos são gerenciados pelo NTFS em
blocos de 16 clusters. Se um programa gravar em uma parte existente de um arquivo
desse tipo, o NTFS alocará um novo espaço no disco para armazenar os novos dados e,
após a gravação dos novos dados, desalocará os clusters anteriormente ocupados pelo
arquivo. O NTFS adota essa abordagem conservadora por motivos relacionados à
integridade dos dados e, no caso de arquivos compactados e esparsos, no caso de uma
nova alocação ser maior do que a existente (os novos dados compactados são maiores
do que os dados compactados antigos). Portanto, a substituição desse tipo de arquivo
não conseguirá excluir o conteúdo do arquivo do disco.
Para lidar com esses tipos de arquivos, SDelete conta com a API de desfragmentação.
Usando a API de desfragmentação, o SDelete pode determinar com precisão quais
clusters em um disco estão ocupados por dados pertencentes a arquivos compactados,
esparsos e criptografados. Quando SDelete souber quais clusters contêm os dados do
arquivo, ele poderá abrir o disco para acesso bruto e sobrescrever esses clusters.
A limpeza do espaço livre apresenta outro desafio. Como o FAT e o NTFS não fornecem
meios para que um aplicativo aborde diretamente o espaço livre, o SDelete tem duas
opções. A primeira é que ele pode, como faz para arquivos compactados, esparsos e
criptografados, abrir o disco para o acesso bruto e sobrescrever o espaço livre. Essa
abordagem tem um grande problema: mesmo que o SDelete fosse codificado para ser
totalmente capaz de calcular as porções de espaço livre das unidades NTFS e FAT (algo
que não é trivial), ele correria o risco de colidir com as operações de arquivo ativas que
estão ocorrendo no sistema. Por exemplo, digamos que o SDelete determine que um
cluster está livre e, nesse exato momento, o driver do sistema de arquivos (FAT, NTFS)
decida alocar o cluster para um arquivo que outro aplicativo esteja modificando. O
driver do sistema de arquivos grava os novos dados no cluster e, em seguida, SDelete
aparece e sobrescreve os dados recém-gravados: os novos dados do arquivo
desaparecem. O problema é ainda pior se o cluster for alocado para os metadados do
sistema de arquivos, uma vez que SDelete corromperá as estruturas do sistema de
arquivos no disco.
A segunda abordagem, e a que o SDelete adota, é sobrescrever indiretamente o espaço

livre. Primeiro, o SDelete aloca o maior arquivo possível. O SDelete faz isso usando a E/S
de arquivos sem cache para que o conteúdo do cache do sistema de arquivos do NT
não seja descartado e substituído por dados inúteis associados ao arquivo do SDelete
que ocupa muito espaço. Como a E/S de arquivos sem cache deve estar alinhada ao
setor (512 bytes), pode existir algum espaço restante que não esteja alocado para o
arquivo do SDelete, mesmo quando o SDelete não puder aumentar ainda mais o
arquivo. Para obter qualquer espaço restante, o SDelete aloca o maior arquivo em cache
possível. Para ambos os arquivos, o SDelete executa uma substituição segura,
garantindo que todo o espaço em disco que estava livre anteriormente seja limpo com
segurança.
Em unidades NTFS, a tarefa do SDelete não é necessariamente concluída após a

alocação e a substituição dos dois arquivos. O SDelete também deve preencher todas as
partes livres existentes da MFT (Tabela de Arquivos Mestre) do NTFS com arquivos que
se encaixem em um registro da MFT. Um registro da MFT normalmente tem 1 KB de
tamanho e cada arquivo ou diretório em um disco exige pelo menos um registro da
MFT. Os arquivos pequenos são armazenados inteiramente dentro do registro da MFT,
enquanto os arquivos que não se encaixam em um registro são alocados em clusters
fora da MFT. Tudo o que SDelete precisa fazer para cuidar do espaço livre da MFT é
alocar o maior arquivo que puder; quando o arquivo ocupar todo o espaço disponível
em um Registro da MFT, o NTFS impedirá que o arquivo fique maior, pois não existem
clusters livres no disco (eles estão sendo mantidos pelos dois arquivos do SDelete
alocados anteriormente). Em seguida, o SDelete repete o processo. Quando o SDelete
não consegue mais criar um novo arquivo, ele sabe que todos os registros
anteriormente livres na MFT foram completamente preenchidos com arquivos
sobrescritos com segurança.
Para sobrescrever os nomes de um arquivo excluído, o SDelete renomeia o arquivo 26

vezes, substituindo cada caractere do nome do arquivo por um caractere alfabético
sucessivo. Por exemplo, a primeira renomeação de "foo.txt" seria "AAA.AAA".
O motivo pelo qual o SDelete não exclui com segurança os nomes de arquivos ao limpar
o espaço livre em disco é que a exclusão deles exigiria a manipulação direta das
estruturas do diretório. As estruturas do diretório podem ter espaço livre contendo
nomes de arquivos excluídos, mas o espaço livre do diretório não está disponível para
alocação em outros arquivos. Portanto, o SDelete não tem como alocar esse espaço livre
para que possa sobrescrevê-lo com segurança.
Baixar SDelete (304 KB)
É executado em:
Cliente: Windows 10 e superior.

Nano Server: 2016 e superior.
Sigcheck v2.90
Artigo • 07/10/2023
Baixar o Sigcheck (664 KB)
Introdução
O Sigcheck é um utilitário de linha de comando que mostra o número da versão do
arquivo, informações de carimbo de data/hora e detalhes da assinatura digital, incluindo
cadeias de certificados. Esse utilitário também inclui uma opção para verificar o status
de um arquivo no VirusTotal , um site que executa a varredura automatizada de
arquivos em mais de 40 mecanismos antivírus, e uma opção para carregar um arquivo
para verificação.
uso:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r]
[s]][-f catalog file] <file or directory>
sigcheck -d [-c|-ct] <file or directory>
usage: sigcheck -t[u][v] [-i] [-c|-ct] <certificate store name|*>
-a Mostrar informações de versão estendida. A medida de entropia relatada é o

número de bits por byte de informações do conteúdo do arquivo.
- Aceitar silenciosamente o EULA Sigcheck (sem prompt interativo)

accepteula
-c Saída CSV com delimitador de vírgula
-ct Saída CSV com delimitador de guia
-d Despejar conteúdo de um arquivo de catálogo
-e Verificar somente imagens executáveis (independentemente da extensão)

-f Procurar assinatura no arquivo de catálogo especificado
-h Mostrar hashes de arquivo
-i Mostrar o nome do catálogo e a cadeia de assinatura
-l Percorrer links simbólicos e junções de diretório
-m Despejar manifesto
-n Mostrar apenas o número de versão do arquivo
-o Executa pesquisas no Virus Total de hashes capturados em um arquivo CSV

previamente capturado pelo Sigcheck ao usar a opção -h. Esse uso destina-se a
verificações de sistemas offline.
-r Desativar a verificação de revogação de certificado
-p Verificar as assinaturas em relação à política especificada, representadas pelo GUID.
-t[u][v] Despeja o conteúdo do armazenamento de certificados especificado ("*" para todos

os armazenamentos).
Especifique -tu para consultar o repositório de usuários (o repositório de
computadores é o padrão).
Acrescente '-v' para que o Sigcheck baixe a lista de certificados raiz confiáveis da
Microsoft e apenas gere certificados válidos que não estejam enraizados em um
certificado dessa lista. Se o site não estiver acessível, será usado o authrootstl.cab
ou o authroot.stl no diretório atual, se houver.
-u Se a verificação VirusTotal estiver habilitado, mostre arquivos desconhecidos por

VirusTotal ou que têm detecção diferente de zero; caso contrário, mostre apenas
arquivos não assinados.
-v[rs] Consulte o VirusTotal (www.virustotal.com ) para deteção de malware baseado no

hash de ficheiro.
Adicione ''r'' para abrir relatórios de arquivos com detecção diferente de zero.
Os arquivos relatados como não verificados anteriormente serão carregados no
VirusTotal se a opção ''s'' for especificada. Observe que os resultados da verificação
podem não estar disponíveis por cinco ou mais minutos.
-vt Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço do
VirusTotal. Confira: https://www.virustotal.com/en/about/terms-of-service/ Se
você não aceitou os termos e omitir essa opção, será solicitado interativamente.
Uma maneira de usar a ferramenta é verificar se há arquivos não assinados em seus
diretórios \Windows\System32 com este comando:
sigcheck -u -e c:\windows\system32
Você deve investigar a finalidade de todos os arquivos que não estão assinados.
Baixar o Sigcheck (664 KB)
Executado em:
Cliente: Windows 8.1 e superior

Saiba mais
Busca de malwares com as ferramentas do Sysinternals
Nesta apresentação, Mark mostra como usar as ferramentas do Sysinternals para
identificar, analisar e limpar malwares.
Streams v1.6
Artigo • 07/08/2023
Baixar o Streams (499 KB)
Introdução
O sistema de arquivos NTFS fornece aos aplicativos a capacidade de criar fluxos de
dados alternativos de informações. Por padrão, todos os dados são armazenados no
fluxo de dados sem nome principal de um arquivo, mas usando a sintaxe "file:stream",
você pode ler e gravar em fluxos alternativos. Nem todos os aplicativos são escritos para
acessar fluxos alternativos, mas você pode demonstrar os fluxos de forma muito
simples. Primeiro, migre para um diretório em uma unidade do NTFS de dentro de um
prompt de comando. Em seguida, digite "echo hello > test:stream". Você acabou de
criar um fluxo chamado "stream" associado ao arquivo "test". Observe que, quando
você examina o tamanho do teste, ele é notificado como 0 e o arquivo parece vazio
quando é aberto em qualquer editor de texto. Para ver seu fluxo, digite "more <
test:stream" (o comando de tipo não aceita a sintaxe de fluxo e, portanto, você precisa
usar "more").
O NT não vem com nenhuma ferramenta que permita que você veja quais arquivos do
NTFS têm fluxos associados a eles, então eu mesmo escrevi um. O Streams vai examinar
os arquivos e diretórios (observe que os diretórios também podem ter fluxos de dados
alternativos) que você especificar e informar o nome e os tamanhos de todos os fluxos
nomeados encontrados nesses arquivos. O Streams faz uso de uma função nativa não
documentada para recuperar informações de fluxo de arquivos.
Usando fluxos
Uso: streams [-s] [-d] <file or directory>
-s Recursar os subdiretórios.
-d Excluir fluxos.
O Streams aceita caracteres curinga, por exemplo, "streams *.txt".
Baixar o Streams (499 KB)
É executado em:

Servidor Nano: 2016 e superior
Sync v2.2
Artigo • 07/10/2023
Download do Sync (500 KB)
Introdução
O UNIX fornece um utilitário padrão chamado Sync, que pode ser usado para direcionar
o sistema operacional a liberar todos os dados do sistema de arquivos para o disco, a
fim de garantir que ele esteja estável e não será perdido em caso de falha do sistema.
Caso contrário, todos os dados modificados presentes no cache serão perdidos. Aqui
está um equivalente que eu criei, chamado Sync, que funciona em todas as versões do
Windows. Use-o sempre que quiser saber se os dados de arquivo modificados estão
armazenados com segurança em seus discos rígidos. Infelizmente, o Sync requer
privilégios administrativos para execução. Essa versão também permite liberar unidades
removíveis, como unidades ZIP.
Usando o Sync
Uso: sync [-r] [-e] [drive letter list]
-r Liberar unidades removíveis.
-e Ejeta unidades removíveis.
Indicar unidades específicas (por exemplo, "c e") fará com que o Sync libere apenas
essas unidades.
Download do Sync (500 KB)
É executado em:

VolumeID v2.1
Artigo • 07/10/2023
Download VolumeID (194 KB)
Introdução
Embora o utilitário Rótulo interno do Windows NT/2000 e do Windows 95 e 98 permita
alterar os rótulos dos volumes de disco, ele não fornece nenhum meio para alterar as
IDs de volume. Esse utilitário, VolumeID, permite alterar as IDs dos discos FAT e NTFS
(disquetes ou discos rígidos).
Uso: volumeid <driveletter:> xxxx-xxxx
Este é um programa de linha de comando que você deve executar em uma janela de
prompt de comando.
Observe que as alterações em volumes NTFS não ficarão visíveis até a próxima
reinicialização. Além disso, você deve desligar todos os aplicativos em execução antes
de alterar uma ID de volume. O NT pode ficar confuso e pensar que a mídia (disco) foi
alterada depois que uma ID de volume FAT foi alterada e as mensagens pop-up indicam
que você deve reinserir o disco original (!). Em seguida, ele pode falhar nas solicitações
de disco de aplicativos usando essas unidades.
Download VolumeID (194 KB)
É executado em:

Utilitários de rede do Sysinternals
Artigo • 03/08/2023
AD Explorer
(AD).
AD Insight
O AD Insight é uma ferramenta de monitoramento em tempo real LDAP (Light-weight
Directory Access Protocol) destinada a solucionar problemas de aplicativos cliente do
Active Directory.
AdRestore
Cancela a exclusão de objetos do Active Directory Server 2003.
PipeList
Exibe os pipes nomeados em seu sistema, incluindo o número máximo de instâncias e
instâncias ativas para cada pipe.
PsFile
PsPing
Mede o desempenho da rede.
PsTools
ShareEnum
TCPView
Visualizador de linha de comando de soquete ativo.
Whois
Veja quem possui um endereço na Internet.
Active Directory Explorer v1.52
Artigo • 07/10/2023
Baixar o AdExplorer (1.1 MB)

Introdução
O Active Directory Explorer (AD Explorer) é um visualizador e editor avançado do Active
Directory (AD). Você pode usar o AD Explorer para navegar facilmente em um banco de
dados do AD, definir locais favoritos, exibir propriedades e atributos do objeto sem
precisar abrir as caixas de diálogo, editar permissões, exibir o esquema de um objeto e
executar pesquisas sofisticadas que você pode salvar e executar novamente.
O AD Explorer também inclui a capacidade de salvar instantâneos de um banco de

dados do AD para exibição e comparações offline. Ao carregar um instantâneo salvo,
você pode navegar e explorá-lo como faria com um banco de dados ativo. Se você tiver
dois instantâneos de um banco de dados do AD, poderá usar a funcionalidade de
comparação do AD Explorer para ver quais objetos, atributos e permissões de segurança
foram alterados entre eles.
Baixar o AdExplorer (1.1 MB)

Insight do Active Directory v1.2
Artigo • 07/10/2023
Baixar o AdInsight (3.3 MB)

Introdução
O ADInsight é uma ferramenta de monitoramento em tempo real do LDAP (Light-
weight Directory Access Protocol) destinada a solucionar problemas de aplicativos
clientes do Active Directory. Use o rastreamento detalhado das comunicações cliente-
servidor do Active Directory para resolver a autenticação do Windows, Exchange, DNS e
outros problemas.
O ADInsight usa técnicas de injeção de DLL para interceptar chamadas que os

aplicativos fazem na biblioteca Wldap32.dll, que é a biblioteca padrão subjacente às
APIs do Active Directory, como ldap e ADSI. Ao contrário das ferramentas de
monitoramento de rede, o ADInsight intercepta e interpreta todas as APIs do lado do
cliente, incluindo aquelas que não resultam em transmissão para um servidor. O
ADInsight monitora qualquer processo no qual ele pode carregar sua DLL de
rastreamento, o que significa que ela não requer permissões administrativas, porém, se
for executado com direitos administrativos, ele também monitorará os processos do
sistema, incluindo os serviços do Windows.
Baixar o AdInsight (3.3 MB)
É executado em:

Links Relacionados
O utilitário Sysinternals AdRestore permite que você restaure objetos excluídos nos
domínios do Windows Server 2003.
O AD Explorer é um visualizador e editor avançado do Active Directory (AD).

AdRestore v1.2
Artigo • 04/08/2023
Baixar o AdRestore (512 KB)
Introdução
O Windows Server 2003 apresenta a capacidade de restaurar objetos excluídos
("tombstoned"). Esse utilitário de linha de comando simples enumera os objetos
excluídos em um domínio e lhe oferece a opção de restaurar todos eles. O código-fonte
é baseado em código de exemplo no SDK da Plataforma Microsoft. Este artigo do MS
KB descreve o uso do AdRestore:
840001: como restaurar contas de usuário excluídas e suas associações de grupo no

Active Directory
Baixar o AdRestore (512 KB)

PipeList v1.02
Artigo • 07/10/2023
Baixar o PipeList (496 KB)
Introdução
Você sabia que o driver de dispositivo que implementa pipes nomeados é, na verdade,
um driver do sistema de arquivos? Na verdade, o nome do driver é NPFS.SYS, que
significa "Sistema de Arquivos de Pipe Nomeado". O que você também pode achar
interessante é que é possível obter uma listagem de diretórios dos pipes nomeados
definidos em um sistema. Esse fato não está documentado, nem é possível fazer isso
usando a API do Win32. O uso direto da NtQueryDirectoryFile, a função nativa na qual
as APIs FindFile do Win32 dependem, possibilita listar os pipes. A listagem de diretórios
que o NPFS retorna também indica o número máximo de instâncias de pipe definidas
para cada pipe e o número de instâncias ativas.
Baixar o PipeList (496 KB)
É executado em:

PsFile v1.04
Artigo • 07/10/2023
Publicado em: 30 de março de 2023
Baixar o PsTools (5 MB)
Introdução
O comando "net file" mostra uma lista dos arquivos que outros computadores abriram
no sistema no qual você executa o comando; no entanto, ele trunca nomes de caminho
longos e não permite que você veja essas informações para sistemas remotos. O PsFile é
um utilitário de linha de comando que mostra uma lista de arquivos em um sistema que
estão abertos remotamente e também permite que você feche arquivos abertos por
nome ou por um identificador de arquivo.
Instalação
Basta copiar PsFile no caminho executável e digitar "psfile".
Usando o PsFile
O comportamento padrão do PsFile é listar os arquivos no sistema local abertos por
sistemas remotos. Digitar um comando seguido de "-" exibe informações sobre a
sintaxe do comando.
Uso: psfile [\\RemoteComputer [-u Username [-p Password]]] [[Id | path] [-c]]
-u Especifica o nome de usuário opcional para logon no computador remoto.
-p Especifica a senha do nome do usuário. Se isso for omitido, você deverá inserir a
senha sem que ela seja ecoada na tela.
Id Identificador (conforme atribuído pelo PsFile) do arquivo para o qual exibir

informações ou fechar.
Caminho Caminho completo ou parcial dos arquivos a serem correspondidos para exibição
de informações ou fechamento.
-c Fecha os arquivos identificados por ID ou caminho.
Como funciona
O PsFile usa a API NET, que está documentada no SDK da Plataforma.
Download do PsTools (5 MB)
PsTools
O PsFile faz parte de um kit crescente de ferramentas de linha de comando do

Sysinternals que auxiliam na administração de sistemas locais e remotos chamados de
PsTools.
É executado em:

PsPing v2.12
Artigo • 09/08/2023
Introdução
O PsPing implementa a funcionalidade de medição de ping, ping TCP, latência e largura
de banda. Use as seguintes opções de linha de comando para mostrar o uso de cada
tipo de teste:
Instalação
Copie PsPing no caminho executável. Digitar "psping" exibe sua sintaxe de uso.
Usando PsPing
O PsPing implementa a funcionalidade de medição de ping, ping TCP, latência e largura
de banda. Use as seguintes opções de linha de comando para mostrar o uso de cada
tipo de teste:
Uso:
psping -? [i|t|l|b\]
-? I Uso para ping ICMP.
-? T Uso para ping TCP.
-? L Uso para teste de latência.
-? B Uso para teste de largura de banda.

Uso do ping ICMP:
psping [[-6]|[-4]] [-h [buckets | <val1>,<val2>,...]] [-i <interval>] [-l

<requestsize>[k|m] [-q] [-t|-n <count>] [-w <count>] <destination>
-h Histograma de impressão (a contagem de buckets padrão é 20).
Se você especificar um único argumento, ele será interpretado como uma contagem
de compartimentos e o histograma conterá esse número de compartimentos,
abrangendo todo o intervalo de valores. Especifique uma lista de tempos separada
por vírgulas para criar um histograma personalizado (por exemplo,
"0,01,0,05,1,5,10").
-i Intervalo em segundos. Especifique 0 para ping rápido.
-l Tamanho da solicitação. Acrescente "k" para kilobytes e "m" para megabytes.
-n Número de pings ou acrescente "s" para especificar segundos, por exemplo, "10s".
-q Não gere saídas durante os pings.
-t Execute o ping até parar com Ctrl+C e digite Ctrl+Espaço para obter estatísticas.
-w Aquecimento com o número especificado de iterações (o padrão é 1).
-4 Forçar o uso de IPv4.
Para testes de ping de alta velocidade, use -q e -i 0.
Uso de ping TCP:
psping [[-6]|[-4]] [-h [buckets | <val1>,<val2>,...]] [-i <interval>] [-l

<requestsize>[k|m] [-q] [-t|-n <count>] [-w <count>] <destination:destport>

"0,01,0,05,1,5,10").
-i Intervalo em segundos. Especifique 0 para ping rápido.
-n Número de pings ou acrescente "s" para especificar segundos, por exemplo, "10s".
-q Não gere saídas durante os pings.
-t Execute o ping até parar com Ctrl+C e digite Ctrl+Espaço para obter estatísticas.
Para testes de ping de alta velocidade, use -q e -i 0.
Uso de latência TCP e UDP:
server:
psping [[-6]|[-4]] [-f] <-s source:sourceport>
client:
psping [[-6]|[-4]] [-f] [-u] [-h [buckets | <val1>,<val2>,...]] [-r] <-l

requestsize>[k|m]] <-n count> [-w <count>] <destination:destport>
-f Abra a porta do firewall de origem durante a execução.
-u UDP (o padrão é TCP).

"0,01,0,05,1,5,10").
-n Número de envios/recebimentos. Acrescentar "s"' para especificar segundos, por

exemplo, "10s"
-r Receber do servidor em vez de enviar.
-s Endereço e porta de escuta do servidor.
O servidor pode servir tanto para testes de latência quanto de largura de banda e
permanece ativo até que você o encerre com Control-C.
Uso de largura de banda TCP e UDP:
server:
psping [[-6]|[-4]] [-f] <-s source:sourceport>
client:
psping [-b] [[-6]|[-4]] [-f] [-u] [-h [buckets | <val1>,<val2>,...]] [-r] <-
l requestsize>[k|m]] <-n count> [-i <outstanding>] [-w <count>]
<destination:destport>
-f Abra a porta do firewall de origem durante a execução.
-u UDP (o padrão é TCP).
-b Teste de largura de banda.

"0,01,0,05,1,5,10").
-i Número de E/Ss pendentes (o padrão é mínimo de 16 e núcleos de CPU 2x).
-n Número de envios/recebimentos. Acrescentar "s"' para especificar segundos, por

exemplo, "10s"
-r Receber do servidor em vez de enviar.
-w Aquecimento para as iterações especificadas (o padrão é núcleos de CPU 2x).
-s Endereço e porta de escuta do servidor.
O servidor pode servir tanto para testes de latência quanto de largura de banda e
permanece ativo até que você o encerre com Control-C.
Exemplos
Esse comando executa um teste de ping ICMP para 10 iterações com 3 iterações de
aquecimento:
psping -n 10 -w 3 marklap
Para executar um teste de conexão TCP, especifique o número da porta. O comando a

seguir executa tentativas de conexão no destino o mais rápido possível, imprimindo
apenas um resumo quando terminar com as 100 iterações e 1 iteração de aquecimento:
psping -n 100 -i 0 -q marklap:80

Para configurar um servidor para testes de latência e largura de banda, basta especificar
a opção -s e o endereço de origem e a porta aos quais o servidor será associado:
psping -s 192.168.2.2:5000
É necessário um tamanho de buffer para realizar um teste de latência TCP. Este exemplo
mede a latência de ida e volta do envio de um pacote de 8 KB para o servidor de
destino, imprimindo um histograma com 100 buckets quando terminar:
psping -l 8k -n 10000 -h 100 192.168.2.2:5000
Esse comando testa a largura de banda para um servidor PsPing escutando o endereço
IP de destino por 10 segundos e produz um histograma com 100 buckets. Observe que
o teste deve ser executado por pelo menos um segundo após o aquecimento para gerar
um histograma. Basta adicionar -u para que o PsPing execute um teste de largura de
banda UDP.
psping -b -l 8k -n 10000 -h 100 192.168.2.2:5000
PsTools
O PsPing faz parte de um kit crescente de ferramentas de linha de comando do

Sysinternals que auxiliam na administração de sistemas locais e remotos chamadas
PsTools.
Executado em:

ShareEnum v1.61
Artigo • 07/10/2023
Baixar o ShareEnum (483 KB)

Introdução
Um aspecto da segurança de rede do Windows NT/2000/XP que geralmente é ignorado
são os compartilhamentos de arquivos. Uma falha de segurança comum ocorre quando
os usuários definem compartilhamentos de arquivos com segurança reduzida,
permitindo que usuários não autorizados vejam arquivos confidenciais. Não há
ferramentas internas para listar compartilhamentos que podem ser visualizados em uma
rede e suas configurações de segurança, mas o ShareEnum preenche o vazio e permite
que você bloqueie os compartilhamentos de arquivos na sua rede.
Quando você executa o ShareEnum, ele usa a enumeração NetBIOS para verificar todos
os computadores nos domínios acessíveis a ele, mostrando compartilhamentos de
arquivo e impressão e suas configurações de segurança. Como apenas um
administrador de domínio tem a capacidade de exibir todos os recursos de rede, o
ShareEnum é mais eficaz quando você o executa em uma conta de administrador de
domínio.
Como funciona
O ShareEnum usa o WNetEnumResource para enumerar os domínios e os
computadores dentro deles, e o NetShareEnum para enumerar compartilhamentos nos
computadores.
Baixar o ShareEnum (483 KB)
É executado em:

TCPView v4.19
Artigo • 07/10/2023
Publicado em: 11 de abril de 2023
Baixar TCPView (1.5 MB)

Introdução
TCPView é um programa do Windows que mostrará listas detalhadas de todos os
terminais TCP e UDP em seu sistema, incluindo os endereços locais e remotos e o
estado das conexões TCP. No Windows Server 2008, Vista e XP, o TCPView também
informa o nome do processo que possui o ponto de extremidade. O TCPView fornece
um subconjunto mais informativo e convenientemente apresentado do programa
Netstat fornecido com o Windows. O download do TCPView inclui Tcpvcon, uma versão
de linha de comando com a mesma funcionalidade.
Usando TCPView
Quando você iniciar o TCPView, ele enumerará todos os terminais TCP e UDP ativos,
resolvendo todos os endereços IP para suas versões de nome de domínio. Você pode
usar um botão da barra de ferramentas ou item de menu para alternar a exibição de
nomes resolvidos. TCPView mostra o nome do processo que possui cada ponto de
extremidade, incluindo o nome do serviço (se houver).
Por padrão, o TCPView é atualizado a cada segundo, mas você pode usar o item de
menu Opções|Taxa de atualização para alterar a taxa. Ponto de extremidade que
mudam de estado de uma atualização para a próxima são destacados em amarelo;
aqueles que são excluídos são mostrados em vermelho e os novos terminais são
mostrados em verde.
Você pode fechar conexões TCP/IP estabelecidas (aquelas marcadas com um estado
ESTABELECIDO) selecionando Arquivo|Fechar Conexões, ou clicando com o botão
direito do mouse em uma conexão e escolhendo Fechar Conexões no menu de
contexto resultante.
Você pode salvar a janela de saída do TCPView em um arquivo usando o item de menu
Salvar.
Usando Tcpvcon
O uso do Tcpvcon é semelhante ao do utilitário netstat interno do Windows:
Uso:
Shell
tcpvcon [-a] [-c] [-n] [process name or PID]
-a Mostrar todos os terminais (o padrão é mostrar as conexões TCP estabelecidas).
-c Imprimir saída como CSV.
-n Não resolve endereços.
Baixar TCPView (1.5 MB)
Executado em:
Whois v1.21
Artigo • 07/10/2023
Publicado em: 11 de dezembro de 2019
Baixar Whois (585 KB)
Introdução
O Whois executa o registro do nome de domínio ou do endereço IP que você
especificar.
Uso
Usage: whois [-v] domainname [whois.server]
-v Imprimir informações do whois para referências
Domainname pode ser um nome DNS (por exemplo , www.sysinternals.com ) ou um

endereço IP (por exemplo, 66.193.254.46).
Baixar Whois (585 KB)
É executado em:

Utilitários de processo do Sysinternals
Artigo • 07/08/2023
Autoruns
Handle
ListDLLs
Liste todas as DLLs carregadas no momento, incluindo onde elas são carregadas e seus
números de versão. A versão 2.0 imprime os nomes de caminho completos dos
módulos carregados.
PortMon
Monitore a atividade das portas serial e paralela com essa ferramenta de
monitoramento avançada. Ele conhece todas as IOCTLs seriais e paralelas padrão e até
mostra uma parte dos dados que estão sendo enviados e recebidos. A versão 3.x tem
novos e poderosos aprimoramentos de interface do usuário e recursos avançados de
filtragem.
ProcDump
Esse novo utilitário de linha de comando destina-se a capturar despejos de processo de
outros modos difíceis de isolar e reproduzir picos de CPU. Ele também serve como um
utilitário geral de criação de despejo de processo e também pode monitorar e gerar
despejos de processo quando um processo tem uma janela suspensa ou exceção sem
tratamento.
Process Monitor
em tempo real.
PsExec
Executa processos remotamente.
PsGetSid
Exibe a SID de um computador ou de um usuário.
PsKill
Encerrar processos locais ou remotos.
PsList
Mostrar informações sobre processos e threads.
PsService
Exibir e controlar serviços.
PsSuspend
Suspender e retomar processos.
PsTools
ShellRunas
VMMap
Confira um detalhamento dos tipos de memória virtual confirmados de um processo,
bem como a quantidade de memória física (conjunto de trabalho) atribuída pelo
sistema operacional a esses tipos. Identifique as fontes de uso de memória do processo
e o custo de memória dos recursos do aplicativo.
Autouns para Windows v14.1
Artigo • 04/08/2023
Publicado em: 27 de junho de 2023
Baixar o Autoruns e Autorunsc (2.8 MB)

https://www.microsoft.com/pt-br/videoplayer/embed/RW14GhU?
autoplay=true&loop=true&controls=false&postJsllMsg=true&autoCaptions=pt-br
Criado com ZoomIt
Introdução
Esse utilitário, que tem o conhecimento mais abrangente dos locais de inicialização
automática de qualquer monitor de inicialização, mostra quais programas estão
configurados para serem executados durante a inicialização ou logon do sistema e
quando você inicia vários aplicativos internos do Windows, como o Internet Explorer,
Explorer e players de mídia. Esses programas e drivers incluem aqueles em sua pasta de
inicialização, Run, RunOnce e outras Chaves do registro. O Autoruns relata extensões de
shell do Explorer, barras de ferramentas, objetos de ajuda do navegador, notificações de
Winlogon, serviços de inicialização automática e muito mais. O Autoruns vei muito além
de outros utilitários de início automático.
A opção Ocultar Entradas Assinadas da Microsoft do Autoruns ajuda você a ampliar as

imagens de início automático de terceiros que foram adicionadas ao seu sistema e tem
suporte para examinar as imagens de início automático configuradas para outras contas
configuradas em um sistema. Também está incluído no pacote de download um
equivalente de linha de comando que pode ser gerado no formato CSV, Autorunsc.
Você provavelmente ficará surpreso com quantos executáveis são iniciados

automaticamente!
Uso
Basta executar o Autoruns e ele mostra os aplicativos de início automático configurados
no momento, bem como a lista completa de locais do Registro e do sistema de arquivos
disponíveis para configuração de início automático. Os locais de inicialização automática
exibidos pelo Autoruns incluem entradas de logon, complementos do Explorer,
complementos do Internet Explorer, incluindo objetos auxiliares do navegador (BHOs),
Appinit DLL, sequestros de imagem, imagens de execução de inicialização, DLLs de
notificação do Winlogon, serviços do Windows e provedores de serviços em camadas
Winsock, mídia codecs e muito mais. Alterne as guias para exibir os inícios automáticos
de diferentes categorias.
Para exibir as propriedades de um executável configurado para ser executado

automaticamente, selecione-o e use o item de menu Propriedades ou o botão da barra
de ferramentas. Se Process Explorer estiver em execução e houver um processo ativo
executando o executável selecionado, o item de menu do Process Explorer no menu
Entrada abrirá a caixa de diálogo propriedades do processo para o processo que
executa a imagem selecionada.
Navegue até o Registro ou o local do sistema de arquivos exibido ou a configuração de

um item de início automático selecionando o item e usando o item de menu Irpara
Entrada ou o botão da barra de ferramentas e navegue até o local de uma imagem de
início automático.
Para desabilitar uma entrada de início automático, desmarque a caixa de seleção. Para
excluir uma entrada de configuração de início automático, use o item de menu Excluir
ou o botão da barra de ferramentas.
O menu Opções inclui várias opções de filtragem de exibição, como mostrar apenas
entradas que não sejam do Windows, bem como acesso a uma caixa de diálogo de
opções de verificação, na qual você pode habilitar a verificação de assinatura e hash
total de vírus e o envio de arquivo.
Selecione entradas no menu Usuário para exibir imagens de início automático de contas
de usuário diferentes.
Mais informações sobre opções de exibição e informações adicionais estão disponíveis

na ajuda online.
Uso do Autounsc
Autorunsc é a versão de linha de comando do Autoruns. Sua sintaxe de uso é:
Uso: autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] |
[usuário]]]
-a Seleção de entrada de início automático:
* Todos.
b Execução de inicialização.
d Appinit DLLs.
e Complementos do Explorer.
g Gadgets da barra lateral (Vista e superior)
h Sequestros de imagem.
i Complementos do Internet Explorer.
k DLLs conhecidas.
l Inicializações de logon (esse é o padrão).
m Entradas WMI.
n Protocolo Winsock e provedores de rede.
o Codecs.
p DLLs de monitor de impressora.
r Provedores de segurança LSA.
s Iniciar serviços automaticamente e drivers não desabilitados.
t Tarefas agendadas
w Entradas Winlogon.
-ct Imprimir saída como valores delimitados por tabulação.
-h Mostrar hashes de arquivo.
-m Ocultar entradas da Microsoft (entradas assinadas se usadas com -v).
-s Verificar as assinaturas digitais.
-t Mostrar carimbos de data/hora em UTC normalizado (AAAAMMDD-hhmmss).
-u Se a verificação VirusTotal estiver habilitado, mostre arquivos desconhecidos por

VirusTotal ou que têm detecção diferente de zero; caso contrário, mostre apenas
arquivos não assinados.
-x Imprimir saída como XML.
-v[rs] Consulte VirusTotal para malware com base no hash de arquivo. Adicione ''r'' para
abrir relatórios de arquivos com detecção diferente de zero. Os arquivos relatados
como não verificados anteriormente serão carregados no VirusTotal se a opção ''s''
for especificada. Observe que os resultados da verificação podem não estar
disponíveis por cinco ou mais minutos.
-vt Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço
do VirusTotal. Se você não aceitou os termos e omiti essa opção, será solicitado
interativamente.
-z Especifica o sistema Windows offline a ser verificado.
user Especifica o nome da conta de usuário para a qual os itens de remoção automática
serão mostrados. Especifique ''*'' para verificar todos os perfis de usuário.
Links Relacionados
Livro sobre os Componentes Internos do Windows As atualizações oficiais e a
página errata do livro definitivo sobre os componentes internos do Windows, por
Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial para os
utilitários do Sysinternals por Mark Russinovich e Aaron Margosis, incluindo
descrições de todas as ferramentas, seus recursos, como usá-los para solução de
problemas e exemplos de casos reais de seu uso.
Baixar
Baixar o Autoruns e Autorunsc (2.8 MB)
Handle v5.0
Artigo • 10/08/2023
Download Handle (729 KB)
Introdução
Já se perguntou qual programa tem um arquivo ou diretório específico aberto? Agora
você pode descobrir. o Handle é um utilitário que exibe informações sobre
identificadores abertos para qualquer processo no sistema. Você pode usá-lo para ver
os programas que têm um arquivo aberto ou para ver os tipos de objeto e nomes de
todos os identificadores de um programa.
Você também pode obter uma versão baseada em GUI deste programa, Process
Explorer, aqui no Sysinternals.
Instalação
Você executa o Handle digitando "identificador". Você deve ter privilégio administrativo
para executar o Handle.
Uso
O Handle é direcionado à pesquisa de referências de arquivo aberto, portanto, se você
não especificar parâmetros de linha de comando, ele listará os valores de todos os
identificadores no sistema que se referem a arquivos abertos e aos nomes dos arquivos.
Ele também usa vários parâmetros que modificam esse comportamento.
uso: handle [[-a [-l]] [-v|-vt] [-u] | [-c <handle> [-y]] | [-s]] [-p <process>|
<pid>] [name]
-a Despejo de informações sobre todos os tipos de identificadores, não apenas

aqueles que se referem a arquivos. Outros tipos incluem portas, chaves do Registro,
primitivos de sincronização, threads e processos.
-l Mostre apenas os identificadores de seção apoiados em arquivo de página.
-c Fecha o identificador especificado (interpretado como um número hexadecimal).

Você deve especificar o processo por seu PID.
AVISO: fechar identificadores pode causar instabilidade do aplicativo ou do sistema.
-g Imprimir acesso concedido.
-y Não solicite confirmação de identificador próximo.
-s Contagem de impressão de cada tipo de identificador aberto.
-u Mostrar o nome de usuário proprietário ao pesquisar identificadores.
-v Saída CSV com delimitador de vírgula.
-vt Saída CSV com delimitador de guia.
-p Em vez de examinar todos os identificadores no sistema, esse parâmetro restringe a

verificação do Handle aos processos que começam com o processo de nome. Assim:
handle -p exp
despejaria os arquivos abertos para todos os processos que começam com "exp", o
que incluiria o Explorer.
name Esse parâmetro está presente para que você possa direcionar o Handle para
pesquisar referências a um objeto com um nome específico.
Por exemplo, se você quisesse saber qual processo (se houver) tem
"c:\windows\system32" aberto, você poderia digitar:
identificar windows\system
A correspondência de nome não diferencia maiúsculas de minúsculas e o fragmento
especificado pode estar em qualquer lugar nos caminhos nos quais você está
interessado.
Saída do Handle
Quando não está no modo de pesquisa (habilitado especificando um fragmento de
nome como um parâmetro), o Handle divide sua saída em seções para cada processo
para o qual está imprimindo informações do identificador. As linhas tracejadas são
usadas como um separador, imediatamente abaixo do qual você verá o nome do
processo e sua ID de processo (PID). Abaixo do nome do processo estão listados valores
de identificador (em hexadecimal), o tipo de objeto ao qual o identificador está
associado e o nome do objeto, se ele tiver um.
Quando no modo de pesquisa, o Handle imprime os nomes de processo e as IDs são

listadas no lado esquerdo. Os nomes dos objetos que tinham uma correspondência
estão à direita.
Mais informações
Você pode encontrar mais informações sobre o Gerenciador de Objetos no Windows
Internals, 4ª Edição ou navegando pelo espaço de nome do Gerenciador de Objetos
com WinObj.
Download Handle (729 KB)

ListDLLs v3.2
Artigo • 07/10/2023
Baixe o ListDLLs (307 KB)
Introdução
O ListDLLs é um utilitário que informa as DLLs carregadas em processos. Você pode usá-
lo para listar todas as DLLs carregadas em todos os processos, em um processo
específico ou para listar os processos que têm uma DLL específica carregada. O ListDLLs
também pode mostrar informações completas de versão das DLLs, incluindo sua
assinatura digital, e pode ser usado para verificar processos e pesquisar DLLs não
assinadas.
Uso
listdlls [-r] [-v | -u] [processname|pid]
listdlls [-r] [-v] [-d dllname]
processname Despeje DLLs carregadas pelo processo (aceita nome parcial).
pid Despeje DLLs associadas à ID de processo especificada.
dllname Mostre somente os processos que carregaram a DLL especificada.
-r Sinalize as DLLs que foram relocadas porque não estavam carregadas no seu
endereço base.
-u Liste apenas DLLs não assinadas.
-v Mostre as informações de versão da DLL.
Exemplos
Listar as DLLs carregadas no Outlook.exe, incluindo as informações de versão:
listdlls -v outlook
Listar todas as DLLs não assinadas carregadas em qualquer processo:
listdlls -u
Mostrar os processos que carregaram MSO.DLL:
listdlls -d mso.dll
Baixe o ListDLLs (307 KB)
É executado em:

Portmon para Windows v3.03
Artigo • 12/08/2023
Publicado em: 12 de janeiro de 2012
Baixar o Portmon (226 KB)

Introdução
O Portmon é um utilitário que monitora e exibe todas as atividades de portas seriais e
paralelas em um sistema. O utilitário tem recursos avançados de filtragem e pesquisa
que o tornam uma ferramenta poderosa para explorar a maneira como o Windows
funciona, ver como os aplicativos usam as portas ou rastrear problemas nas
configurações do sistema ou do aplicativo.
Portmon 3.x
A versão 3.x do Portmon marca a introdução de uma série de recursos avançados.
Monitoramento remoto: capture a saída da depuração do modo kernel e/ou do

Win32 de qualquer computador acessível por TCP/IP — mesmo por meio da
internet. Você pode monitorar vários computadores remotos simultaneamente. O
Portmon irá até mesmo instalar seu próprio software cliente, se você o estiver
executando em um sistema Windows NT/2000 e estiver capturando de um outro
sistema Windows NT/2000 na mesma Vizinhança de Rede.
Listas de filtros mais recentes: o Portmon foi ampliado com recursos de filtragem
avançados e é capaz de lembrar suas seleções de filtro mais recentes, com uma
interface que torna muito fácil selecioná-los novamente.
Cópia para a área de transferência: selecione várias linhas na janela de saída e
copie seu conteúdo para a área de transferência.
Dar destaque: realce a saída de depuração que corresponda ao seu filtro de realce
e até mesmo personalize as cores do destaque.
Registrar em arquivo: grave a saída da depuração em um arquivo à medida que
for capturada.
Imprimir: imprima a saída de depuração capturada, no todo ou em parte, em uma
impressora.
Conteúdo em um arquivo: o Portmon agora é implementado como apenas um
arquivo.
O arquivo de ajuda online descreve todos esses recursos e muito mais, de forma
detalhada.
Instalação e Uso
Basta executar o arquivo de programa do Portmon (portmon.exe) e o Portmon começará
imediatamente a capturar a saída de depuração. Para executar o Portmon no Windows
95, você precisa obter a atualização do WinSock2 junto à Microsoft. Observe que, se
você executar o Portmon no Windows NT/2000, o portmon.exe precisará estar
localizado em uma unidade que não seja de rede e você precisará ter privilégio
administrativo. Os menus, teclas de atalho ou botões da barra de ferramentas podem
ser usados para apagar a janela, salvar os dados monitorados em um arquivo, pesquisar
a saída, alterar a fonte da janela e muito mais. A ajuda online descreve todos os recursos
do Portmon.
O Portmon entende todos os comandos de controle de E/S (IOCTLs) das portas seriais e
paralelas e os mostrará junto com informações interessantes relativas aos parâmetros
associados. Para solicitações de leitura e gravação, o Portmon mostra as primeiras
diversas dezenas de bytes do buffer, usando "." para representar caracteres não
imprimíveis. A opção de menu Mostrar Hex permite que você alterne entre o ASCII e a
saída hexadecimal bruta dos dados do buffer.
Como funciona: WinNT

A GUI do Portmon é responsável por identificar portas seriais e paralelas. O utilitário faz
isso enumerando as portas seriais configuradas em
HKEY_LOCAL_MACHINE\Hardware\DeviceMap\SerialComm e as portas paralelas
definidas em HKEY_LOCAL_MACHINE\Hardware\DeviceMap\Parallel Ports. Essas chaves
contêm os mapeamentos entre os nomes de dispositivos de porta serial e paralela e os
nomes acessíveis pelo Win32.
Quando você seleciona uma porta para monitorar, o Portmon envia uma solicitação para
o driver de dispositivo que inclui o nome do NT (por exemplo, \device\serial0) no qual
você está interessado. O driver usa APIs de filtragem padrão para anexar seu próprio
objeto de dispositivo de filtro ao objeto de dispositivo de destino. Primeiro, usa
ZwCreateFile para abrir o dispositivo de destino. Em seguida, converte o identificador
que recebe de volta do ZwCreateFile em um ponteiro de objeto do dispositivo. Após
criar seu próprio objeto de dispositivo de filtro que corresponde às características do
destino, o driver chama IoAttachDeviceByPointer para estabelecer o filtro. A partir
desse ponto, o driver do Portmon verá todas as solicitações direcionadas ao dispositivo
de destino.
O Portmon tem um conhecimento integrado de todos os IOCTLs das portas seriais e

paralelas padrão — a principal maneira usada pelos aplicativos e drivers para configurar
e ler as informações de status das portas. Os IOCTLs são definidos nos arquivos
\ddk\src\comm\inc\ntddser.h e \ddk\src\comm\inc\ntddpar.h do DDK e alguns estão
documentados no DDK.
Como funciona: Windows 95 e 98

No Windows 95 e 98, a GUI do Portmon depende de um VxD carregado dinamicamente
para capturar as atividades seriais e paralelas. O driver de dispositivo VCOMM
(Comunicações Virtuais) do Windows serve como a interface para dispositivos paralelos
e seriais, de modo que os aplicativos que acessam as portas indiretamente usem seus
serviços. O VxD do Portmon usa o hooking do serviço de VxD padrão para interceptar
todos os acessos às funções do VCOMM. Assim como seu driver de dispositivo do NT, o
VxD do Portmon interpreta as solicitações para mostrá-las em um formato fácil de
entender. No Windows 95 e 98, o Portmon monitora todas as portas, então não existe
uma seleção de portas como no NT.
Baixar o Portmon (226 KB)

ProcDump v11.0
Artigo • 04/08/2023
Por Mark Russinovich e Andrew Richards
Publicado: 03/11/2022
Baixar o ProcDump (714 KB)
Baixar o ProcDump para Linux (GitHub)
https://www.microsoft.com/pt-br/videoplayer/embed/RE591St?
Criado com ZoomIt
Introdução
O ProcDump é um utilitário de linha de comando cuja principal finalidade é monitorar
um aplicativo para picos de CPU e gerar despejos de memória durante um pico que um
administrador ou desenvolvedor pode usar para determinar a causa do pico. O
ProcDump também inclui monitoramento de janela suspensa (usando a mesma
definição de janela suspensa que o Windows e o Gerenciador de Tarefas usam),
monitoramento de exceções não tratadas e pode gerar despejos com base nos valores
dos contadores de desempenho do sistema. Ele também pode servir como um utilitário
de despejo de processo geral que você pode inserir em outros scripts.
Usar o ProcDump
Capturar o Uso:
procdump.exe [-mm] [-ma] [-mt] [-mp] [-mc <Mask>] [-md <Callback_DLL>] [-mk]
[-n <Count>]
[-s <Seconds>]
[-c|-cl <CPU_Usage> [-u]]
[-m|-ml <Commit_Usage>]
[-p|-pl <Counter> <Threshold>]
[-h]
[-e [1] [-g] [-b] [-ld] [-ud] [-ct] [-et]]
[-l]
[-t]
[-f <Include_Filter>, ...]
[-fx <Exclude_Filter>, ...]
[-dc <Comment>]
[-o]
[-r [1..5] [-a]]
[-at <Timeout>]
[-wer]
[-64]
{
{{[-w] <Process_Name> | <Service_Name> | <PID>} [<Dump_File>
| <Dump_Folder>]}
|
{-x <Dump_Folder> <Image_File> [Argument, ...]}
}
Instalar o Uso:
procdump.exe -i [Dump_Folder]
[-mm] [-ma] [-mt] [-mp] [-mc <Mask>] [-md <Callback_DLL>] [-mk]
[-r]
[-at <Timeout>]
[-k]
[-wer]
Desinstalar o Uso:
procdump.exe -u
Tipos de Despejo:
Tipo de Descrição
Despejo
-mm Grave um arquivo de despejo “Mini”. (padrão)

- Inclui memória referenciada direta e indiretamente (pilhas e o que elas
referenciam).
- Inclui todos os metadados (Processo, Thread, Módulo, Identificador, Espaço de
Endereço etc.).
-ma Grave um arquivo de despejo “Full”.

- Inclui toda a memória (Imagem, Mapeada e Privada).
Endereço etc.).
Tipo de Descrição
Despejo
-mt Grave um arquivo de despejo “Triage”.

- Inclui memória referenciada diretamente (pilhas).
- Inclui metadados limitados (Processo, Thread, Módulo e Identificador).
- A remoção de informações confidenciais é tentada, mas não garantida.
-mp Grave um arquivo de despejo “MiniPlus”.

- Inclui toda a memória privada e toda a imagem de leitura/gravação ou memória
mapeada.
Endereço etc.).
- Para minimizar o tamanho, a maior área de memória privada com mais de 512
MB é excluída.
Uma área de memória é definida como a soma de alocações de memória do
mesmo tamanho.
O despejo é tão detalhado quanto um despejo Full, mas 10%-75% do tamanho.
- Observação: os processos CLR são despejados como Full (-ma) devido a
limitações de depuração.
-mc Grave um arquivo de despejo “Custom”.

- Inclui a memória e os metadados definidos pela máscara MINIDUMP_TYPE
especificada (Hex).
-md Grave um arquivo de despejo “Callback”.

- Inclui a memória definida pelo rotina de retorno de chamada MiniDumpWriteDump
denominada MiniDumpCallbackRoutine da DLL especificada.
Endereço etc.).
-mk Também grave um arquivo de despejo “Kernel”.

- Inclui as pilhas de kernel dos threads no processo.
- O sistema operacional não dá suporte a um despejo de kernel ( -mk ) ao usar um
clone ( -r ).
- Ao usar vários tamanhos de despejo, um despejo de kernel é feito para cada
tamanho de despejo.
Condições:
Condição Descrição
-a Evite interrupção. Requer -r . Se o gatilho fizer com que o destino seja suspenso por
um tempo prolongado devido a um limite de despejo simultâneo excedido, o gatilho
será ignorado.
-at Evite interrupção no Tempo Limite. Cancele a coleção do gatilho em N segundos.
-b Trate os pontos de interrupção de depuração como exceções (caso contrário, ignore-

os).
-c Limite de CPU acima do qual criar um despejo do processo.
-cl Limite de CPU abaixo do qual criar um despejo do processo.
-dc Adicione a cadeia de caracteres especificada ao Comentário de Despejo gerado.
-e Grave um despejo quando o processo encontrar uma exceção sem tratamento.

Inclua o 1 para criar despejo em exceções de primeira chance.
Adicione -ld para criar um despejo quando uma DLL (módulo) for carregada (a
filtragem se aplica).
Adicione -ud para criar um despejo quando uma DLL (módulo) for carregada (a
filtragem se aplica).
Adicione -ct para criar um despejo quando um thread for criado.
Adicione -et para criar um despejo quando um thread for encerrado.
-f Filtre (inclua) o conteúdo das exceções, o registro em log de depuração e o nome do

arquivo de carregamento/descarregamento da DLL. Há suporte para caracteres
curinga (*).
-fx Filtre (exclua) o conteúdo das exceções, o registro em log de depuração e o nome do
arquivo de carregamento/descarregamento da DLL. Há suporte para caracteres
curinga (*).
-g Execute como um depurador nativo em um processo gerenciado (sem

interoperabilidade).
-h Grave um despejo se o processo tiver uma janela suspensa (não responde às

mensagens da janela por pelo menos 5 segundos).
-k Encerre o processo após a clonagem ( -r ) ou no final da coleção de despejo.
-l Exiba o registro em log de depuração do processo.
-m Limite de confirmação de memória em MB no qual criar um despejo.
-ml Gatilho para quando a confirmação de memória cair abaixo do valor de MB

especificado.
-n Número de despejos a serem gravados antes de sair.
-o Substitua um arquivo de despejo existente.
-p Gatilho para quando o Contador de Desempenho estiver em ou exceder o limite

especificado. Alguns Contadores e/ou Nomes de Instância podem diferenciar
maiúsculas de minúsculas.
-pl Gatilho para quando o Contador de Desempenho ficar abaixo do limite especificado.
-r Despejo usando um clone. O limite simultâneo é opcional (padrão 1, máx. 5). - O

sistema operacional não dá suporte a um despejo de kernel ( -mk ) ao usar um clone
( -r ). CUIDADO: um valor de alta simultaneidade pode afetar o desempenho do
sistema.
- Windows 7: usa Reflexão. O sistema operacional não dá suporte a -e .
- Windows 8.0: usa Reflexão. O sistema operacional não dá suporte a -e .
- Windows 8.1+: usa PSS. Há suporte para todos os tipos de gatilho.
-s Segundos consecutivos antes de o despejo ser gravado (o padrão é 10).
-t Grave um despejo quando o processo for encerrado.
-u Trate o uso da CPU em relação a um único núcleo (usado com -c ).
-v SOMENTE DEPURAÇÃO: saída detalhada.
-w Aguarde até que o processo especificado seja iniciado se ele não estiver em
execução.
-wer Coloque o despejo (maior) na fila do Relatório de Erros do Windows.
-x Inicie a imagem especificada com argumentos opcionais. Se for um Aplicativo ou

Pacote da Store, o ProcDump será iniciado na próxima ativação (somente).
-y OCULTO: ativação de aplicativo da Store.
-64 Por padrão, o ProcDump capturará um despejo de 32 bits de um processo de 32 bits

ao ser executado no Windows de 64 bits. Essa opção substitui para criar um despejo
de 64 bits. Use somente para depuração do subsistema WOW64.
Contrato de Licença:
Use a opção de linha de comando -accepteula para aceitar automaticamente o

contrato de licença da Sysinternals.
Encerramento Automatizado:
-cancel <Target Process PID>
Usar essa opção ou definir um evento com o nome ProcDump-<PID> é o mesmo que
digitar Ctrl+C para encerrar o ProcDump. O encerramento garante que o processo seja
retomado se uma captura estiver ativa. O cancelamento se aplica a TODAS as instâncias
do ProcDump que monitoram o processo.
Nome do arquivo:
Nome do arquivo de despejo padrão: PROCESSNAME_YYMMDD_HHMMSS.dmp

Há suporte para os seguintes substituições:
Substituição Explicação
PROCESSNAME Nome do Processo
PID ID do Processo
EXCEPTIONCODE Código de Exceção
AAMMDD Ano/Mês/Dia
HHMMSS Hora/Minuto/Segundo
Exemplos
Grave um mini despejo de um processo chamado “notepad” (somente uma
correspondência pode existir):
C:\>procdump notepad
Grave um despejo Full de um processo com PID “4572”:
C:\>procdump -ma 4572
Grave um despejo Mini e, em seguida, um despejo completo de um processo com

PID “4572”:
C:\>procdump -mm -ma 4572
Grave três despejos Mini de cinco segundos de um processo chamado “notepad”:
C:\>procdump -n 3 -s 5 notepad
Grave até três despejos Mini de um processo chamado “consume” quando exceder
20% do uso da CPU por cinco segundos:
C:\>procdump -n 3 -s 5 -c 20 consume
Grave um despejo Mini para um processo chamado “hang.exe” quando uma de

suas janelas não responder por mais de cinco segundos:
C:\>procdump -h hang.exe
Grave um despejo Mini e Kernel para um processo chamado “hang.exe” quando

uma de suas janelas não responder por mais de cinco segundos:
C:\>procdump -ma -mk -h hang.exe
Grave um despejo Mini de um processo chamado “outlook” quando o uso total da

CPU do sistema exceder 20% por dez segundos:
C:\>procdump outlook -s 10 -p "\Processor(_Total)\% Processor Time" 20
Grave um despejo Full de um processo chamado “outlook” quando a contagem de

identificadores do Outlook exceder 10.000:
C:\>procdump -ma outlook -p "\Process(Outlook)\Handle Count" 10000
Grave um despejo Full do PID 1234 de “svchost”, Instância 87, quando a contagem
de identificadores exceder 10.000:
C:\>procdump -ma 1234 -p "\Process(svchost#87)\Handle Count" 10000
Observação: Vários Contadores de Instância

Se houver várias instâncias do contador, você precisará incluir o Nome e/ou o
Número da instância.
txt
\Processor(NNN)\% Processor Time

\Thermal Zone Information(<name>)\Temperature
\Process(<name>[#NNN])\<counter>
Os sistemas operacionais mais antigos exigem que você acrescente o PID para
contadores \Process .
txt
\Process(<name>[_PID])\<counter>
Dica: use o Monitor de Desempenho para exibir os contadores (diferenciação de

maiúsculas e minúsculas).
Dica: para contadores baseados em \Process(*) , use o PowerShell para mapear
um PID para seu #NNN .
pwsh
Get-Counter -Counter "\Process(*)\ID Process"
Grave um despejo Full para uma exceção de segunda chance:
C:\>procdump -ma -e w3wp.exe
Grave um despejo Full para uma exceção de primeira e segunda chance:
C:\>procdump -ma -e 1 w3wp.exe
Grave um despejo Full para uma mensagem de cadeia de caracteres de depuração:
C:\>procdump -ma -l w3wp.exe
Grave até dez despejos Full de cada exceção de primeira ou segunda chance de
w3wp.exe:
C:\>procdump -ma -n 10 -e 1 w3wp.exe
Grave até dez despejos Full se o código/nome/msg de uma exceção contiver

“ NotFound ”:
C:\>procdump -ma -n 10 -e 1 -f NotFound w3wp.exe
Grave até dez despejos Full se uma mensagem de cadeia de caracteres de

depuração contiver “ NotFound ”:
C:\>procdump -ma -n 10 -l -f NotFound w3wp.exe
Aguarde um processo chamado “notepad” (e monitore-o em busca de exceções):
C:\>procdump -e -w notepad
Inicie um processo chamado “notepad” (e monitore-o em busca de exceções):
C:\>procdump -e -x c:\dumps notepad
Registre-se para iniciar e tente ativar um “aplicativo” da Store. Uma nova instância
do ProcDump será iniciada quando for ativada:
C:\>procdump -e -x c:\dumps Microsoft.BingMaps_8wekyb3d8bbwe!AppexMaps
Registre-se para iniciar um “pacote” da Store. Uma nova instância do ProcDump

será iniciada quando for ativada (manualmente):

C:\>procdump -e -x c:\dumps
Microsoft.BingMaps_1.2.0.136_x64__8wekyb3d8bbwe
Grave um despejo MiniPlus do Microsoft Exchange Information Store quando ele

tiver uma exceção sem tratamento:
C:\>procdump -mp -e store.exe
Exibir sem gravar um despejo, os códigos/nomes de exceção de w3wp.exe:
C:\>procdump -e 1 -f "" w3wp.exe
Windows 7/8.0; use a Reflexão para reduzir a interrupção de cinco gatilhos

consecutivos:
C:\>procdump -r -ma -n 5 -s 15 wmplayer.exe
Windows 8.1+; use o PSS para reduzir a interrupção de cinco gatilhos simultâneos:
C:\>procdump -r 5 -ma -n 5 -s 15 wmplayer.exe
Instale o ProcDump como o depurador postmortem (AeDebug):
C:\>procdump -ma -i c:\dumps
..ou..
C:\Dumps>procdump -ma -i
Desinstale o ProcDump como o depurador postmortem (AeDebug):

C:\>procdump -u
Veja uma lista de linhas de comando de exemplo (os exemplos são listados acima):
C:\>procdump -? -e
Links Relacionados
Livro sobre os Componentes Internos do Windows A página oficial de
atualizações e erratas do livro definitivo sobre os componentes internos do
Windows, de Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial dos
utilitários Sysinternals de Mark Russinovich e Aaron Margosis, incluindo descrições
de todas as ferramentas, seus recursos, como usá-los para solucionar problemas e
exemplos de casos reais de uso.
Baixar o ProcDump (714 KB)
Baixar o ProcDump para Linux (GitHub)
É executado em:

Saiba mais
Ferramentas de Desfragmentação: #9 – ProcDump Este episódio de Ferramentas
de Desfragmentação aborda o que a ferramenta captura e as durações de
interrupção esperadas
Ferramentas de Desfragmentação: #10 – ProcDump – Gatilhos Este episódio
aborda as opções de gatilho em particular exceções de primeira e segunda chance
Ferramentas de desfragmentação: #11 – ProcDump – Windows 8 e Monitor de
Processo Este episódio aborda o suporte a aplicativos modernos e o suporte ao
registro em log do Monitor de Processo
Gerenciador de Processos v17.05
Artigo • 09/08/2023
Baixar Gerenciador de Processos (3.4 MB)

https://www.microsoft.com/pt-br/videoplayer/embed/RE5d5Rd?
Criado com ZoomIt
Introdução
Já se perguntou qual programa tem um arquivo ou diretório específico aberto? Agora
você pode descobrir. Gerenciador de Processos mostra informações sobre quais
identificadores e processos de DLLs foram abertos ou carregados.
A exibição Gerenciador de Processos consiste em duas sub-janelas. A janela superior

sempre mostra uma lista dos processos ativos no momento, incluindo os nomes de suas
contas proprietárias, enquanto as informações exibidas na janela inferior dependem do
modo em que o Gerenciador de Processos está: se ele estiver no modo de identificador,
você verá os identificadores que o processo selecionado na janela superior abriu; se o
Gerenciador de Processos está no modo DLL, você verá as DLLs e os arquivos mapeados
em memória que o processo carregou. O Gerenciador de Processos também tem uma
funcionalidade de pesquisa poderosa que mostrará rapidamente quais processos têm
identificadores específicos abertos ou DLLs carregados.
Os recursos exclusivos do Gerenciador de Processos o torna útil para rastrear problemas

de versão de DLL ou lidar com vazamentos e fornecer insights sobre como o Windows e
os aplicativos funcionam.
Links Relacionados
Livro sobre os Componentes Internos do Windows A página oficial de atualizações
e erratas do livro definitivo sobre componentes internos do Windows, por Mark
Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial dos utilitários
Sysinternals, por Mark Russinovich e Aaron Margosis, incluindo descrições de
todas as ferramentas, seus recursos, como usá-las para solucionar problemas e
exemplos de casos de seu uso no mundo real.
Baixar
Baixar Gerenciador de Processos (3.4 MB)
Executado em:

Instalação
Basta executar Gerenciador de Processos (procexp.exe).
O arquivo de ajuda descreve a operação e o uso do Gerenciador de Processos. Se você

tiver problemas ou dúvidas, visite a seção Gerenciador de Processos no Microsoft Q&A.
Observação sobre o uso de símbolos

Quando você configura o caminho para DBGHELP.DLL e o caminho do símbolo usa o
servidor de símbolos, o local do DBGHELP.DLL também precisa conter o SYMSRV.DLL
dar suporte aos caminhos de servidor usados. Consulte a documentação do SymSrv
para mais informações sobre como usar servidores de símbolos.
Saiba mais
Aqui estão algumas outras ferramentas de exibição de identificador e DLL e informações
disponíveis no Sysinternals:
O caso do Inexplicável... Neste vídeo, Mark descreve como ele resolveu

problemas aparentemente insolúveis do sistema e do aplicativo no Windows.
Identificador - um visualizador de identificador de linha de comando
ListDLLs - um visualizador de DLL de linha de comando
PsList - registrador de processo de linha de comando local/remoto
PsKill - eliminador de processo de linha de comando local/remoto
Ferramentas de Desfragmentação: #2 – Gerenciador de Processos Neste episódio
de Ferramentas de Desfragmentação, Andrew Richards e Larry Larsen mostram
como usar o Gerenciador de Processos para exibir os detalhes dos processos,
tanto em um momento quanto historicamente.
Windows Sysinternals Primer: Gerenciador de Processos, Monitor de Processos e
Mais O Gerenciador de Processos recebe muita atenção no primeiro Sysinternals
Primer entregue por Aaron Margosis e Tim Reckmeyer no TechEd 2010.
Monitor de processo v3.96
Artigo • 05/10/2023
Baixar o Process Monitor (3.3 MB)
Baixar o Procmon para Linux (GitHub)
Introdução
O Process Monitor é uma ferramenta de monitoramento avançada para Windows que
mostra em tempo real o sistema de arquivos, o Registro e a atividade do
processo/thread. Ele combina os recursos de dois utilitários herdados da Sysinternals,
Filemon e Regmon, e acrescenta uma extensa lista de aprimoramentos, incluindo
filtragem avançada e não destrutiva, propriedades abrangentes de eventos, como IDs de
sessão e nomes de usuário, informações confiáveis sobre processos, pilhas completas de
threads com suporte integrado a símbolos para cada operação, registro simultâneo em
log em um arquivo e muito mais. Seus recursos excepcionalmente avançados tornarão o
Process Monitor um utilitário essencial em seu kit de ferramentas de solução de
problemas do sistema e de busca de software mal-intencionado.
Visão Geral da Capacidade do Process Monitor

O Process Monitor inclui recursos avançados de monitoramento e filtragem, incluindo:
Mais dados capturados para parâmetros de entrada e saída de operações

Filtros não destrutivos permitem que você defina filtros sem perder dados
A captura de pilhas de threads para cada operação permite, em muitos casos,
identificar a causa raiz de uma operação
Captura confiável de detalhes do processo, incluindo caminho da imagem, linha de
comando, ID do usuário e da sessão
Colunas configuráveis e móveis para qualquer propriedade de evento
Os filtros podem ser definidos para qualquer campo de dados, inclusive campos
não configurados como colunas
A arquitetura avançada de registro em log é escalonada para dezenas de milhões
de eventos capturados e gigabytes de dados de log
A ferramenta de árvore de processos mostra a relação de todos os processos
referenciados em um rastreamento
O formato de log nativo preserva todos os dados para serem carregados em uma
instância diferente do Process Monitor
Dica de ferramenta do processo para facilitar a exibição das informações da
imagem do processo
A dica de ferramenta de detalhes permite acesso conveniente a dados formatados
que não se ajustam à coluna
Pesquisa cancelável
Registro em log do tempo de inicialização de todas as operações
A melhor maneira de se familiarizar com os recursos do Process Monitor é fazer a leitura

do arquivo de ajuda e, em seguida, visitar cada um dos itens de menu e opções em um
sistema ativo.
Capturas de tela
Links Relacionados
Livro de Fundamentos do Windows
A página oficial de atualizações e erratas do livro definitivo sobre a parte interna
do Windows, por Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals
O guia oficial dos utilitários da Sysinternals por Mark Russinovich e Aaron
Margosis, incluindo descrições de todas as ferramentas, seus recursos, como usá-
las para solucionar problemas e exemplos de casos reais de uso.
Download
Baixar o Process Monitor (3.3 MB)
É executado em:

PsExec v2.43
Artigo • 04/08/2023
Introdução
Utilitários como Telnet e programas de controle remoto como o computador da
Symantec em qualquer lugar permitem que você execute programas em sistemas
remotos, mas eles podem ser um problema para configurar e exigir que você instale o
software cliente nos sistemas remotos que deseja acessar. O PsExec é uma substituição
leve para o Telnet, que permite executar processos em outros sistemas, completos com
interatividade total para aplicativos de console, sem precisar instalar manualmente o
software cliente. Os usos mais poderosos do PsExec incluem iniciar prompts de
comando interativos em sistemas remotos e ferramentas de habilitação remota, como
IpConfig, que de outra forma não têm a capacidade de mostrar informações sobre
sistemas remotos.
Observação: alguns verificadores antivírus relatam que uma ou mais das ferramentas
estão infectadas com um vírus de "administrador remoto". Nenhum dos PsTools contém
vírus, mas eles foram usados por vírus, razão pela qual disparam notificações de vírus.
Instalação
Basta copiar PsExec para o caminho executável. Digitar "psexec" exibe sua sintaxe de
uso.
Usando o PsExec
Confira a edição de julho de 2004 da Windows IT Pro Magazine para ver o artigo do
Mark que aborda o uso avançado do PsExec.
Uso:

psexec [\\computer[,computer2[,...] | @file]][-u user [-p psswd][-n s][-r
servicename][-h][-l][-s|-e][-x][-i [session]][-c executable [-f|-v]][-w
directory][-d][-<priority>][-a n,n,...] cmd [arguments]
-a Processadores separados nos quais o aplicativo pode ser executado com vírgulas
em que 1 é a CPU numerada mais baixa. Por exemplo, para executar o aplicativo na
CPU 2 e CPU 4, insira: "-a 2,4"
-c Copie o executável especificado para o sistema remoto para execução. Se você

omitir essa opção, o aplicativo deverá estar no caminho do sistema no sistema
remoto.
-d Não espere que o processo seja encerrado (não interativo).
-e Não carrega o perfil da conta especificada.
-f Copie o programa especificado mesmo que o arquivo já exista no sistema remoto.
-i Execute o programa para que ele interaja com a área de trabalho da sessão
especificada no sistema remoto. Se nenhuma sessão for especificada, o processo
será executado na sessão do console. Esse sinalizador é necessário ao tentar
executar aplicativos de console interativamente (com E/S padrão redirecionada).
-h Se o sistema de destino for Vista ou superior, o processo será executado com o

token elevado da conta, se disponível.
-l Execute o processo como usuário limitado (remove o grupo Administradores e

permite apenas privilégios atribuídos ao grupo Usuários). No Windows Vista, o
processo é executado com baixa integridade.
-n Especifica o tempo limite de conexão a computadores remotos, em segundos.
-p Especifica a senha opcional do nome do usuário. Se você omitir o argumento, será

solicitado que digite sua senha.
-r Especifica o nome do serviço remoto com o qual criar ou interagir.
-s Execute o processo remoto na conta do sistema.
-v Copie o arquivo especificado somente se ele tiver um número de versão mais alto
ou for mais recente do que o do sistema remoto.
-w Defina o diretório de trabalho do processo (em relação ao computador remoto).
-x Exiba a interface do usuário na área de trabalho segura do Winlogon (somente no

sistema local).
-priority Especifica -low, -belownormal, -abovenormal, -high ou -realtime para executar o

processo em uma prioridade diferente. Use -background para executar com baixa
memória e prioridade de E/S no Vista.
computer Direcione o PsExec para executar o aplicativo no computador remoto ou nos

computadores especificados. Se você omitir o nome do computador, o psExec
executará o aplicativo no sistema local e, se você especificar um curinga (\\*), o
psExec executará o comando em todos os computadores no domínio atual.
@file O PsExec executará o comando em cada um dos computadores listados no arquivo.
cmd Nome do aplicativo a ser executado.
arguments Argumentos a serem passados (observe que os caminhos de arquivo devem ser
caminhos absolutos no sistema de destino).
- Esse sinalizador suprime a exibição da caixa de diálogo de licença.

accepteula
Você pode incluir aplicativos que têm espaços em seu nome com aspas, por exemplo
psexec \\marklap "c:\\long name app.exe"
A entrada só é passada para o sistema remoto quando você pressiona a tecla Enter.
Digitar Ctrl-C encerra o processo remoto.
Se você omitir um nome de usuário, o processo será executado no contexto de sua

conta no sistema remoto, mas não terá acesso aos recursos de rede (porque ele está
representando). Especifique um nome de usuário válido na sintaxe Domain\User se o
processo remoto exigir acesso aos recursos de rede ou para ser executado em uma
conta diferente. Observe que a senha e o comando são criptografados em trânsito para
o sistema remoto.
Os códigos de erro retornados pelo PsExec são específicos para os aplicativos que você
executa, não para o PsExec.
Exemplos
Este artigo que escrevi descreve como o PsExec funciona e fornece dicas sobre como
usá-lo:
O comando a seguir inicia um prompt de comando interativo em \\marklap :

psexec -i \\marklap cmd
Esse comando executa IpConfig no sistema remoto com a opção /all e exibe a saída
resultante localmente:
psexec -i \\marklap ipconfig /all
Esse comando copia o programa test.exe para o sistema remoto e o executa

interativamente:
psexec -i \\marklap -c test.exe
Especifique o caminho completo para um programa que já está instalado em um

sistema remoto se não estiver no caminho do sistema:
psexec -i \\marklap c:\bin\test.exe
Execute o Regedit interativamente na conta do sistema para exibir o conteúdo das

chaves SAM e SECURITY::
psexec -i -d -s c:\windows\regedit.exe
Para executar o Internet Explorer com privilégios de usuário limitado, use este comando:
psexec -l -d "c:\program files\internet explorer\iexplore.exe"
PSTools
O PsExec faz parte de um kit crescente de ferramentas de linha de comando do
Sysinternals que auxiliam na administração de sistemas locais e remotos chamados
PsTools.
Executado em:

PsGetSid v1.46
Artigo • 07/10/2023
Introdução
O PsGetsid permite que você traduza SIDs para o respectivo nome de exibição e vice-
versa. O utilitário funciona em contas integradas, contas de domínio e contas locais.
Instalação
Basta copiar PsGetSid para o seu caminho executável e digitar "psgetsid".
Uso
Uso: psgetsid [\\computer[,computer[,...] | @file\] [-u username [-p password]]]
[account|SID]

Conta O PsGetSid irá informar o SID da conta de usuário especificada em vez do SID do
computador.
SID O PsGetSid irá informar a conta do SID especificado.
Computador Instrua o PsGetSid a executar o comando no computador remoto ou nos

computadores especificados. Se você omitir o nome do computador, o PsGetSid
executará o comando no sistema local; se você especificar um curinga (\\*), o
PsGetSid executará o comando em todos os computadores no domínio atual.
@file O PsGetSid executará o comando em cada um dos computadores listados no

arquivo.
Se você quiser ver o SID de um computador, basta fornecer o nome do computador
como um argumento de linha de comando. Se você quiser ver o SID de um usuário, dê
um nome à conta (por exemplo, "administrador") na linha de comando e um nome de
computador opcional.
Especifique um nome de usuário se a conta da qual você estiver executando não tiver
privilégios administrativos no computador que você deseja consultar. Se você não
especificar uma senha como opção, o PsGetSid irá solicitar uma para que você possa
digitá-la sem que seja replicada na sua tela.
PsTools
O PsGetSid faz parte de um kit crescente de ferramentas de linha de comando do

Sysinternals que ajudam na administração de sistemas locais e remotos, chamadas de
PsTools.
Executado em:

PsKill v1.17
Artigo • 04/08/2023
Introdução
O Windows NT/2000 não vem com um utilitário 'kill' de linha de comando. Você pode
obter um no Kit de Recursos do Windows NT ou Win2K, mas o utilitário do kit só pode
encerrar processos no computador local. O PsKill é um utilitário de encerramento que
não apenas faz o que a versão do Kit de Recursos faz, mas também pode encerrar
processos em sistemas remotos. Não é necessário instalar um cliente no computador de
destino para usar o PsKill para encerrar um processo remoto.
Instalação
Basta copiar o PsKill no caminho do executável e digitar pskill com as opções de linha
de comando definidas abaixo.
Usando o PsKill
Confira na edição de setembro de 2004 da revista Windows IT Pro o artigo de Mark
que aborda o uso avançado do PsKill.
A execução de PsKill com uma ID de processo o direciona para encerrar o processo com
essa ID no computador local. Se você especificar um nome de processo, o PsKill
encerrará todos os processos que tenham esse nome.
Usar: pskill [- ] [-t] [\\computer [-u username] [-p password]] <process name | process
id>
- Exibe as opções suportadas.
-t Encerrar o processo e seus descendentes.

\\computador Especifica o computador no qual o processo que você deseja encerrar está
sendo executado. O computador remoto deve ser acessível pela vizinhança da
rede NT.
-u username Se quiser matar um processo em um sistema remoto e a conta em que estiver

executando não tiver privilégios administrativos no sistema remoto, será
necessário fazer logon como administrador usando essa opção de linha de
comando. Se a senha não for incluída com a opção -p, o PsKill solicitará a senha
sem ecoar a entrada no visor.
-p password Essa opção permite especificar a senha de logon na linha de comando para que
você possa usar o PsList a partir de arquivos em lote. Se você especificar um
nome de conta e omitir a opção -p, o PsList solicitará uma senha
interativamente.
process id Especifica a ID do processo que você deseja eliminar.
process name Especifica o nome do processo ou dos processos que você deseja encerrar.
Artigo da base de dados de conhecimento

Microsoft sobre o PsKill
Este artigo da Base de Dados de Conhecimento Microsoft faz referência ao PsKill:
810596: PSVR2002: Mensagem de erro "Não existem informações a serem exibidas

nesta exibição" quando você tenta acessar uma exibição de projeto
(https://support.microsoft.com/kb/810596)
PsTools
O PsKill faz parte de um kit crescente de ferramentas de linha de comando do

Sysinternals que auxiliam na administração de sistemas locais e remotos, denominado
PsTools.
Executa em:

PsList v1.41
Artigo • 08/08/2023
Introdução
pslist exp Mostrar estatísticas para todos os processos que começam com "exp", o que
incluiria Explorer.
-d Mostrar detalhes do thread.
-m Mostrar detalhes da memória.
-x Mostrar processos, informações da memória e threads.
-t Mostrar árvore de processos.
-s [n] Execute no modo gerenciador de tarefas, por segundos opcionais especificados.

Pressione Escape para anular.
-r n Taxa de atualização do modo gerenciador de tarefas em segundos (o padrão é 1).
\\computer Em vez de mostrar informações sobre o processo do sistema local, psList mostrará
informações sobre o sistema NT/Win2K especificado. Inclua a opção -u com um
nome de usuário e senha para fazer logon no sistema remoto se suas credenciais
de segurança não permitirem a obtenção de informações do contador de
desempenho do sistema remoto.
-p Essa opção permite especificar a senha de logon na linha de comando para que
você possa usar o PsList a partir de arquivos em lote. Se você especificar um nome
de conta e omitir a opção -p, o PsList solicitará uma senha interativamente.
name Mostrar informações sobre processos que começam com o nome especificado.
-e Correspondência exata do nome do processo.
pid Em vez de listar todos os processos em execução no sistema, esse parâmetro

restringe a verificação do PsList ao processo que tem o PID especificado. Assim:
pslist 53
despejaria estatísticas para o processo com o PID 53.
Como funciona
Assim como a ferramenta interna de monitoramento PerfMon do Windows NT/2K, o
PsList usa os contadores de desempenho do Windows NT/2K para obter as informações
que exibe. Você pode encontrar a documentação sobre os contadores de desempenho
do Windows NT/2K, incluindo o código-fonte para o monitor de desempenho interno
do Windows NT, o PerfMon, no MSDN.
Chave de Abreviação de Memória

Todos os valores de memória são exibidos em KB.
Pri: Prioridade
Thd: número de threads
Hnd: número de identificadores
VM: memória virtual
WS: conjunto de trabalho
Priv: memória virtual privada
Priv Pk: pico de memória virtual privada
Falhas: falhas de página
NonP: pool não paginado
Page: pool paginado
Cswtch: alternâncias de contexto
PsTools
O PsList faz parte de um kit crescente de ferramentas de linha de comando do

PsTools.
Executado em:

PsService v2.26
Artigo • 07/08/2023
Introdução
PsService é um visualizador e controlador de serviços para Windows. Assim como o
utilitário SC incluído nos Kits de Recursos do Windows NT e do Windows 2000, o
PsService exibe o status, a configuração e as dependências de um serviço e permite
iniciar, parar, pausar, retomar e reiniciar esses serviços. Ao contrário do utilitário SC, o
PsService habilita o logon em um sistema remoto utilizando uma conta diferente, para
os casos em que a conta a partir da qual ele é executado não tem as permissões
exigidas no sistema remoto. O PsService inclui um recurso exclusivo de pesquisa de
serviços, que identifica as instâncias ativas de um serviço em sua rede. Você Utilizaria o
recurso de pesquisa se quisesse localizar sistemas que executam servidores DHCP, por
exemplo.
Por fim, o PsService funciona no NT 4, no Windows 2000 e no Windows Vista, enquanto

a versão do SC do Kit de Recursos do Windows 2000 exige o Windows 2000, e o
PsService não exige que você insira manualmente um "índice de resumo" para obter
uma listagem completa das informações do serviço.>
Instalação
Basta copiar PsService no seu caminho de executável e digitar "psservice".
Utilizando o PsService
O comportamento padrão do PsService é exibir os serviços configurados (em execução e
parados) no sistema local. Inserir um comando na linha de comando invoca um recurso
específico, sendo que alguns comandos aceitam opções. Digitar um comando seguido
de "- " exibe as informações sobre a sintaxe do comando.
Uso: psservice [\\computador [-u nome de usuário] [-p senha]] <comando>
<opções>
consulta Exibe o status de um serviço.
config Exibe a configuração de um serviço.
setconfig Define o tipo de início (desabilitado, automático, demanda) de um serviço.
start Inicia um serviço.
stop Interrompe um serviço.
restart Interrompe e, em seguida, reinicia um serviço.
pause Pausa um serviço
cont Reinicia um serviço pausado.
depend Lista os serviços dependentes do serviço especificado.
segurança Despeja o descritor de segurança do serviço.
find Pesquisa na rede o serviço especificado.
\\computador Tem como alvo o sistema NT/Win2K especificado. Inclua a opção -u com um
nome de usuário e senha para fazer logon no sistema remoto se suas credenciais
de segurança não permitirem a obtenção de informações do contador de
desempenho do sistema remoto. Se você especificar a opção -u, mas não uma
senha com a opção -p, o PsService solicitará que você insira a senha e não a
exibirá na tela.
Como funciona
O PsService utiliza as APIs do Service Control Manager que estão documentadas no SDK
da plataforma.
PsTools
O PsService faz parte de um kit crescente de ferramentas de linha de comando da

Sysinternals que auxiliam na administração de sistemas locais e remotos chamado
PsTools.
Executado em:
PsSuspend v1.08
Artigo • 07/10/2023
Introdução
O PsSuspend permite suspender processos no sistema local ou remoto, o que é
desejável nos casos em que um processo está consumindo um recurso (por exemplo,
rede, CPU ou disco) que você deseja permitir que processos diferentes usem. Em vez de
encerrar o processo que está consumindo o recurso, a suspensão permite que ele
continue a operação em algum momento posterior.
Instalação
Copie o PsSuspend no caminho executável e digite "pssuspend" com opções de linha de
comando definidas abaixo.
Usando PsSuspend
Executar o PsSuspend com uma ID de processo o orienta a suspender ou retomar o
processo dessa ID no computador local. Se você especificar um nome de processo o ,
PsSuspend suspenderá ou retomará todos os processos que têm esse nome. Especifique
a alternância -r para retomar os processos suspensos.
Uso: pssuspend [- ] [-r] [\\computer [-u username] [-p password]] <process name |
process id>
-r Retomará os processos especificados se eles forem suspensos.
\\computer Especifica o computador no qual o processo que você deseja suspender ou

retomar está sendo executado. O computador remoto deve ser acessível pela
vizinhança da rede NT.
-u Se você quiser suspender um processo em um sistema remoto e a conta em que

username estiver executando não tiver privilégios administrativos no sistema remoto, você
deverá fazer logon como administrador usando essa opção de linha de comando.
Se a senha não for incluída com a opção -p, o PsSuspend solicitará a senha sem
ecoar a entrada no visor.
-p Essa opção permite especificar a senha de logon na linha de comando para que
password você possa usar o PsSuspend a partir de arquivos em lote. Se você especificar um
nome de conta e omitir a opção -p, o PsSuspend solicitará uma senha
interativamente.
process id Especifica a ID do processo que você deseja suspender ou retomar.
process Especifica o nome do processo ou dos processos que você deseja suspender ou
name retomar.
O PsSuspend faz parte de um kit crescente de ferramentas de linha de comando do

PsTools.
PsTools
O PsSuspend faz parte de um kit crescente de ferramentas de linha de comando do

PsTools.
Executado em:

PsTools
Artigo • 07/08/2023
Baixar o PsTools Suite (5 MB)
Introdução
Os Kits de Recursos do Windows NT e do Windows 2000 vêm com várias ferramentas de
linha de comando que ajudam a administrar os sistemas Windows NT/2K. Com o tempo,
desenvolvi uma coleção de ferramentas semelhantes, incluindo algumas não incluídas
nos Kits de Recursos. O que diferencia essas ferramentas é que todas permitem que
você gerencie sistemas remotos, bem como o sistema local. A primeira ferramenta da
suíte foi a PsList, uma ferramenta que permite a exibição de informações detalhadas
sobre processos, e o pacote está crescendo continuamente. O prefixo "Ps" em PsList
está relacionado ao fato de que a ferramenta de linha de comando padrão da listagem
de processos do UNIX é chamada de "ps", portanto, adotei esse prefixo para todas as
ferramentas a fim de uni-las em um conjunto de ferramentas chamado PsTools.
７ Observação
Alguns verificadores antivírus informam que uma ou mais das ferramentas estão
infectadas com um vírus de "administração remota". Nenhuma das PsTools contém
vírus, mas elas foram utilizadas por vírus e, por isso, disparam notificações de vírus.
As ferramentas incluídas no pacote PsTools, que podem ser baixadas como um pacote,
são:
PsExec - executa processos remotamente

PsFile - mostra arquivos abertos remotamente
PsGetSid - exibe a SID de um computador ou de um usuário
PsInfo - lista informações sobre um sistema
PsPing - mede o desempenho da rede
PsKill - elimina processos por nome ou ID de processo
PsList - lista informações detalhadas sobre os processos
PsLoggedOn - confere quem está conectado localmente e via compartilhamento
de recursos (fonte completa incluída)
PsLogList - despeja os registros do log de eventos
PsPasswd - altera as senhas das contas
PsService - exibe e controla serviços
PsShutdown - desliga e, opcionalmente, reinicializa um computador
PsSuspend - suspende processos
PsUptime - mostra há quanto tempo um sistema está em execução desde a última
reinicialização (a funcionalidade do PsUptime foi incorporada ao PsInfo
O pacote de download PsTools inclui um arquivo de ajuda HTML com informações

completas sobre o uso de todas as ferramentas.
Baixar o PsTools Suite (5 MB)
Executado em:
Cliente: Windows 8.1 e superior

Instalação
Nenhuma das ferramentas exige qualquer instalação especial. Não é necessário nem
mesmo instalar nenhum software cliente nos computadores remotos para os quais você
os direciona. Execute-as digitando seus nomes e as opções de linha de comando que
desejar. Para mostrar as informações completas de uso, especifique a opção de linha de
comando "-? " na linha de comando. Se tiver dúvidas ou problemas, visite o fórum do
PsTools da Sysinternals.
Links Relacionados
Introdução ao PsTools : Wes Miller apresenta uma visão geral de alto nível do PsTools
da Sysinternals na coluna de março da sua coluna na TechNet Magazine.
ShellRunas v1.02
Artigo • 07/10/2023
Por Mark Russinovich e Jon Schwartz
Baixar ShellRunas (90 KB)
Introdução
O utilitário de linha de comando Runas é útil para iniciar programas em contas
diferentes, mas não é conveniente se você for um usuário frequente do Explorer. O
ShellRunas fornece funcionalidade semelhante à do Runas para iniciar programas como
um usuário diferente por meio de uma entrada conveniente no menu de contexto da
shell.
Captura de tela
Usando o ShellRunas
Uso:
shellrunas /reg [/quiet]

shellrunas /regnetonly [/quiet]
shellrunas /unreg [/quiet]
shellrunas [/netonly] <program> [arguments]
/reg Registra a entrada do menu de contexto da shell do ShellRunas
/regnetonly Registra a entrada do menu de contexto /netonly do Shell

Observação: um prompt de comando piscará quando o programa for iniciado
/unreg Cancela o registro da entrada do menu de contexto da shell do ShellRunas
/quiet Registra ou cancela o registro da entrada do menu de contexto da shell do

ShellRunas sem a caixa de diálogo de resultado
/netonly Use se as credenciais especificadas forem apenas para acesso remoto
<program> Executa o programa com as credenciais e os parâmetros especificados
Baixar ShellRunas (90 KB)
É executado em:

Obtendo ajuda
Se você tiver problemas ou dúvidas, acesse o Fórum do Sysinternals .
VMMap v3.4
Artigo • 24/10/2023
Baixar VMMap (7,6 MB)

Introdução
O VMMap é um utilitário de análise de memória física e virtual de processos. Ele mostra
um detalhamento dos tipos de memória virtual confirmados de um processo, bem
como a quantidade de memória física (conjunto de trabalho) atribuída pelo sistema
operacional a esses tipos. Além das representações gráficas do uso da memória, o
VMMap também mostra informações resumidas e um mapa detalhado da memória do
processo. Poderosos recursos de filtragem e atualização permitem identificar as fontes
de uso da memória do processo e o custo de memória dos recursos do aplicativo.
Além de exibições flexíveis para analisar processos em tempo real, o VMMap suporta a
exportação de dados em várias formas, incluindo um formato nativo que preserva todas
as informações para que você possa carregá-las novamente. Ele também inclui
opções de linha de comando que habilitam cenários de script.
O VMMap é a ferramenta ideal para desenvolvedores que desejam compreender e

otimizar o uso dos recursos de memória dos seus aplicativos.
Captura de tela
Links Relacionados
Livro de Fundamentos do Windows
A página oficial de atualizações e erratas do livro definitivo sobre a parte interna
do Windows, de Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial para os
utilitários do Sysinternals por Mark Russinovich e Aaron Margosis, incluindo
descrições de todas as ferramentas, seus recursos, como usá-los para solução de
problemas e exemplos de casos reais de seu uso.
Baixar VMMap (7,6 MB)
É executado em:

Saiba mais
Ferramentas de desfragmentação: nº 7 – VMMap
Neste episódio das Ferramentas de Desfragmentação, Andrew Richards e Larry
Larsen explicam como usar o VMMap para conferir como a memória virtual está
sendo utilizada e se existe algum vazamento de memória.
Utilitários de segurança da Sysinternals
Artigo • 05/08/2023
AccessChk
Esta ferramenta mostra o nível de acesso que o usuário ou grupo que você especificar
tem aos arquivos, chaves do Registro ou serviços do Windows.
AccessEnum
Automático
Ignorar a tela de senha durante o logon.
Autoruns
Veja quais programas estão configurados para inicializar automaticamente quando o
sistema for inicializado e você fizer login. O Autoruns também mostra a lista completa
de registros e locais de arquivos onde os aplicativos podem definir as configurações de
LogonSessions
Listar sessões de logon ativas
PsExec
Execute processos com direitos de usuário limitados.
PsLoggedOn
Mostrar usuários conectados a um sistema.
PsLogList
PsTools
Revelador de rootkits
RootkitRevealer é um utilitário avançado de detecção de rootkit.
SDelete
ShareEnum
ShellRunas
Sigcheck
Sysmon
Monitora e relata as principais atividades do sistema por meio do log de eventos do
Windows.
Autologon v3.10
Artigo • 07/10/2023
Publicado em: 29 de agosto de 2016
Baixar o Autologon (495 KB)

Introdução
O Autologon permite que você configure facilmente o mecanismo interno de autologon
do Windows. Em vez de esperar que um usuário insira seu nome e senha, o Windows
usa as credenciais inseridas com o Autologon, que são criptografadas no Registro, para
fazer o logon automaticamente no usuário especificado.
[AVISO!] Embora a senha seja criptografada no registro como um segredo LSA, um

usuário com direitos administrativos pode facilmente recuperá-la e descriptografá-la.
(Para obter mais informações, confira Protegendo a senha do logon Automático )
O Autologon é bastante fácil de usar. Basta executar autologon.exe, preencher a caixa de

diálogo e clicar em Habilitar. Na próxima vez que o sistema for iniciado, o Windows
tentará usar as credenciais inseridas para fazer o logon do usuário no console. Observe
que o Autologon não verifica as credenciais enviadas, nem verifica se a conta de usuário
especificada tem permissão para fazer o logon no computador.
Para desativar o logon automático, pressione Desabilitar. Além disso, se a tecla Shift for
mantida pressionada antes de o sistema executar um logon automático, o logon
automático será desabilitado para esse logon. Também é possível passar o nome de
usuário, o domínio e a senha como argumentos de linha de comando:
senha de domínio do usuário do autologon
Observação: Quando as restrições de senha do Exchange Activesync estiverem em

vigor, o Windows não processará a configuração do Autologon.
Baixar o Autologon (495 KB)

LogonSessions v1.41
Artigo • 07/10/2023
Baixar LogonSessions (667 KB)
Introdução
Se você achar que, ao fazer login em um sistema, há apenas uma sessão de login ativa,
esse utilitário vai surpreendê-lo. Ele lista as sessões de login ativas no momento e, se
você especificar a opção -p, os processos em execução em cada sessão.
Uso: logonsessions [-c[t]] [-p]
-ct Imprimir saída como valores delimitados por tabulação.
-p Listar processos em execução na sessão de login.
Saída de exemplo
Shell
C:\>logonsessions -p
[13] Logon session 00000000:6a6d6160:

User name: NTDEV\markruss
Auth package: Kerberos
Logon type: RemoteInteractive
Session: 1
Sid: S-1-5-21-397955417-626881126-188441444-3615555
Logon time: 7/2/2015 6:05:31 PM
Logon server: NTDEV-99
DNS Domain: NTDEV.CORP.MICROSOFT.COM
UPN: markruss@ntdev.microsoft.com
15368: ProcExp.exe
17528: ProcExp64.exe
13116: cmd.exe
17100: conhost.exe
6716: logonsessions.exe
Baixar LogonSessions (667 KB)
É executado em:
Cliente: Windows Vista (32 bits) e superior

NewSID v4.10
Artigo • 13/08/2023
Publicado: 1° de novembro de 2006
Nota: o NewSID foi desativado e não está mais disponível para download. Confira a
postagem no blog de Mark Russinovich: Desativação do NewSID e o mito da duplicação
do SID de computador
IMPORTANTE
Em relação aos SIDs, a Microsoft não dá suporte a imagens preparadas usando o
NewSID, só àquelas preparadas usando o SysPrep. A Microsoft não testou o NewSID
com todas as opções de clonagem de implantação.
Para obter mais informações sobre a política oficial da Microsoft, consulte o seguinte
artigo da Base de Dados de Conhecimento Microsoft:
A política da Microsoft em relação à duplicação de discos de instalações do

Windows XP
Introdução
Muitas organizações usam a clonagem de imagem de disco para realizar distribuições
em massa do Windows. Essa técnica envolve copiar os discos de um computador
Windows totalmente instalado e configurado nas unidades de disco de outros
computadores. Esses outros computadores parecem efetivamente ter passado pelo
mesmo processo de instalação e ficam disponíveis imediatamente para uso.
Embora esse método economize horas de trabalho e problemas em relação a outras

abordagens de distribuição, ele apresenta o grande problema de que cada sistema
clonado tem um SID (Identificador de segurança) de computador idêntico. Isso
compromete a segurança em ambientes de Grupo de trabalho, e a segurança de mídia
removível também pode ser comprometida em redes que tenham vários SIDs de
computador idênticos.
A demanda da comunidade do Windows fez com que várias empresas desenvolvessem

programas capazes de alterar o SID de um computador depois que um sistema fosse
clonado. No entanto, o SID Changer e o Ghost Walker da Symantec só são vendidos
como parte do produto de ponta de cada empresa. Além disso, ambos são executados
em um prompt de comando dos DOS (o alterador da Altiris é semelhante ao NewSID).
O NewSID é um programa desenvolvido por nós que altera o SID de um computador.

Além de ser gratuito, é um programa Win32, o que significa que ele pode ser executado
facilmente em sistemas que foram clonados anteriormente.
Leia este artigo na íntegra antes de usar esse programa.
Informações de versão:
A versão 4.0 tem suporte para Windows XP e .NET Server, uma interface com o
estilo de assistente, além de permitir especificar o SID que você deseja aplicar, a
compactação do Registro e também a opção de renomear um computador (o que
resulta em uma alteração dos nomes NetBIOS e DNS).
A versão 3.02 corrige um bug que fazia com que o NewSid não copiasse
corretamente valores padrão com tipos de valor inválidos ao renomear uma chave
com um SID antigo para um novo SID. Na verdade, o NT usa esses valores
inválidos em determinados momentos no SAM. Esse bug gerava mensagens de
erro relatando acesso negado quando as informações da conta eram atualizadas
por um usuário autorizado.
A versão 3.01 adiciona uma solução alternativa para uma chave inacessível do
Registro criada pelo Microsoft Transaction Server. Sem a solução alternativa, o
NewSID era encerrado prematuramente.
A versão 3.0 apresenta um recurso de sincronização de SID que direciona o
NewSID para obter um SID de um outro computador para ser aplicado.
A versão 2.0 tem uma opção de modo automatizado que permite alterar o nome
do computador também.
A versão 1.2 corrige um bug que foi introduzido na versão 1.1, em que alguns
descritores de segurança do sistema de arquivos não eram atualizados.
A versão 1.1 corrige um bug relativamente pequeno que afetou apenas
determinadas instalações. Ela também foi atualizada para alterar SIDs associados
às configurações de permissão de compartilhamentos de arquivos e impressoras.
Clonagem e métodos de distribuição

alternativos
Uma das formas mais populares de executar distribuições em massa do Windows
(normalmente centenas de computadores) em ambientes corporativos é baseada na
técnica de clonagem de disco. Um administrador do sistema instala o sistema
operacional base e o software de complemento usado na empresa em um computador
modelo. Depois de configurar o computador para operar na rede da empresa,
ferramentas automatizadas de duplicação de disco ou de sistema (como o Ghost da
Symantec , o Image Drive da PowerQuest e o RapiDeploy da Altiris ) são usadas
para copiar as unidades do computador modelo em dezenas ou centenas de
computadores. Esses clones recebem ajustes finais, como a atribuição de nomes
exclusivos, depois são usados por funcionários da empresa.
Outra forma popular de distribuição é por meio do utilitário sysdiff da Microsoft (parte
do Kit de Recursos do Windows). Essa ferramenta exige que o administrador do sistema
faça uma instalação completa (geralmente uma instalação autônoma com script) em
cada computador e, em seguida, o sysdiff automatiza a aplicação de imagens de
instalação de software complementar.
Como a instalação é ignorada, e como a cópia do setor de disco é mais eficiente do que
a cópia de arquivo, uma distribuição baseada em clonagem pode economizar dezenas
de horas em uma instalação sysdiff semelhante. Além disso, o administrador do sistema
não precisa aprender a usar a instalação autônoma ou o sysdiff, nem criar e depurar
scripts de instalação. Só isso já economiza horas de trabalho.
O problema da duplicação de SID

O problema com a clonagem é que o suporte oferecido pela Microsoft se dá em um
sentido muito limitado. A Microsoft afirmou que só há suporte para os sistemas de
clonagem se o processo for feito antes que a parte da GUI da Instalação do Windows
seja atingida. Quando a instalação atinge esse ponto, o computador recebe um nome e
um SID de computador exclusivo. Se um sistema for clonado depois dessa etapa, todos
os computadores clonados terão SIDs de computador idênticos. Observe que
simplesmente alterar o nome do computador ou adicionar o computador a um domínio
diferente não alterará o SID do computador. Alterar o nome ou domínio só alterará o
SID de domínio se o computador já tiver sido associado a um domínio.
Para entender o problema que a clonagem pode causar, primeiro é preciso entender
como os SIDs são atribuídos às contas locais individuais em um computador. Os SIDs de
contas locais são compostos pelo SID de computador e um RID (Identificador relativo)
acrescentado. O RID começa com um valor fixo e é acrescido de um para cada conta
criada. Isso significa que a segunda conta em um computador, por exemplo, receberá o
mesmo RID que a segunda conta em um clone. Como resultado, ambas as contas têm o
mesmo SID.
SIDs duplicados não são um problema em um ambiente baseado em domínio, pois o

SID das contas de domínio é baseado no SID de domínio. Mas, de acordo com o artigo
Q162001 da Base de Dados de Conhecimento Microsoft intitulado "Não faça
duplicações de disco de versões instaladas do Windows NT", a segurança de ambiente
em um Grupo de trabalho é baseada em SIDs de conta local. Portanto, se dois
computadores tiverem usuários com o mesmo SID, o Grupo de trabalho não conseguirá
distinguir entre os usuários. Todos os recursos, incluindo arquivos e chaves do Registro,
aos quais um usuário tem acesso, o outro também terá.
Outra instância em que SIDs duplicados podem causar problemas é onde houver mídia
removível formatada com NTFS e em que atributos de segurança de conta local são
aplicados a arquivos e diretórios. Se essa mídia for movida para um computador
diferente que tenha o mesmo SID, contas locais que não conseguiriam acessar os
arquivos terão essa capacidade se suas IDs de conta corresponderem àquelas dos
atributos de segurança. Isso não será possível se os computadores tiverem SIDs
diferentes.
Um artigo escrito por Mark e intitulado "Opções de distribuição do NT" foi publicado na
edição de junho da Windows NT Magazine. Ele discute mais detalhadamente o
problema de SID duplicado e apresenta a posição oficial da Microsoft sobre a clonagem.
Para ver se há um problema de SID duplicado em sua rede, use o PsGetSid para exibir
SIDs de computador.
NewSID
O NewSID é um programa desenvolvido por nós para alterar o SID de um computador.
Primeiro, ele gera um SID aleatório para o computador e avança para atualizar
instâncias do SID de computador existente que ele encontra no Registro e em
descritores de segurança de arquivo, substituindo as ocorrências pelo novo SID. O
NewSID exige privilégios administrativos para ser executado. Ele tem duas funções:
alterar o SID e alterar o nome do computador.
Para usar a opção de execução automática do NewSID, use "/a" na linha de comando.
Você também pode orientá-lo para alterar automaticamente o nome do computador,
incluindo o novo nome após a opção "/a". Por exemplo:
newsid /a [newname]
Caso o NewSID tenha sido executado sem avisar, mude o nome do computador para
"newname" e faça com que ele reinicializasse o computador se tudo correr bem.
Observação: se o sistema no qual deseje executar o NewSID esteja executando o

IISAdmin, você deverá interromper o serviço IISAdmin antes de executar o NewSID. Use
este comando para interromper o serviço IISAdmin: net stop iisadmin /y
O recurso de sincronização do SID do NewSID que permite especificar que, em vez de
gerar um SID aleatoriamente, o novo SID deve ser obtido de um computador diferente.
Essa funcionalidade possibilita mover um BDC (Controlador de domínio de backup) para
um novo domínio, já que a relação de um BDC com um domínio é identificada por ele
ter o mesmo SID de computador que os outros DCs (Controladores de domínio). Basta
escolher o botão "Sincronizar SID" e inserir o nome do computador de destino. Você
deve ter permissões para alterar as configurações de segurança das chaves do Registro
do computador de destino, e isso normalmente significa que você deve estar conectado
como administrador de domínio para usar esse recurso.
Observe que, ao executar o NewSID, o tamanho do Registro aumentará, portanto,

verifique se o tamanho máximo do Registro comportará o crescimento. Descobrimos
que esse crescimento não tem um impacto perceptível no desempenho do sistema. O
Registro aumenta porque ele é fragmentado à medida que as configurações de
segurança temporárias são aplicadas pelo NewSID. Quando as configurações são
removidas, o Registro não fica compactado.
Importante: observe que, embora tenhamos testado completamente o NewSID, você

deve usá-lo por sua conta e risco. Assim como é feito com qualquer software que altere
as configurações de arquivo e Registro, é altamente recomendável que você faça um
backup completo do computador antes de executar o NewSID.
Como mover um BDC

Estas são as etapas que você deve seguir quando quiser mover um BDC de um domínio
para outro:
1. Inicialize o BDC que você deseja mover e faça logon. Use o NewSID para
sincronizar o SID do BDC com o PDC do domínio para o qual você deseja mover o
BDC.
2. Reinicialize o sistema no qual você alterou o SID (o BDC). Como o domínio ao qual
o BDC está associado agora já tem um PDC ativo, ele será inicializado como um
BDC em seu novo domínio.
3. O BDC aparecerá como uma estação de trabalho no Gerenciador do Servidor,
portanto, use o botão "Adicionar ao Domínio" para adicionar o BDC ao novo
domínio. Lembre-se de especificar o botão de opção do BDC quando o adicionar.
Como funciona
O NewSID começa lendo o SID de computador existente. O SID de um computador é
armazenado no hive SECURITY do Registro em SECURITY\SAM\Domains\Account. Essa
chave tem um valor chamado F e um outro V. O V é valor um binário que tem o SID de
computador inserido nele ao final de seus dados. O NewSID garante que esse SID esteja
em um formato padrão (três subautoridades de 32 bits precedidas por três campos de
autoridade de 32 bits).
Em seguida, o NewSID gera um novo SID aleatório para o computador. A geração do

NewSID traz grandes dificuldades para criar um valor de 96 bits verdadeiramente
aleatório, que substitui os 96 bits dos três valores de subautoridade que compõem um
SID do computador.
Há três fases para a substituição de SID do computador. Na primeira fase, os hives

SECURITY e SAM do Registro são examinados em busca de ocorrências do SID de
computador antigo em valores de chave, bem como dos nomes das chaves. Quando o
SID é encontrado em um valor, ele é substituído pelo novo SID de computador; e
quando é encontrado em um nome, a chave e suas subchaves são copiadas para uma
nova subchave que tenha o mesmo nome, mas com o novo SID substituindo o antigo.
As duas fases finais envolvem a atualização dos descritores de segurança. As chaves do

Registro e os arquivos NTFS têm a segurança associada a elas. Os descritores de
segurança são compostos por uma entrada que identifica qual conta possui o recurso,
qual grupo é o proprietário do grupo primário, uma lista opcional de entradas que
especificam ações permitidas por usuários ou grupos (conhecida como DACL – Lista de
controle de acesso discricionário) e uma lista opcional de entradas que especificam
quais ações executadas por determinados usuários ou grupos gerarão entradas no Log
de Eventos do sistema (SACL – Lista de controle de acesso do sistema). Um usuário ou
um grupo é identificado nesses descritores de segurança com seus SIDs e, como eu
mencionei anteriormente, as contas de usuário locais (diferentes das contas internas,
como Administrador, Convidado e assim por diante) têm seus SIDs compostos pelo SID
de computador mais um RID.
A primeira parte das atualizações do descritor de segurança ocorre em todos os

arquivos do sistema de arquivos NTFS no computador. Cada descritor de segurança é
examinado quanto a ocorrências do SID de computador. Quando o NewSID localiza um
SID, ele o substitui pelo novo SID de computador.
A segunda parte das atualizações do descritor de segurança é executada no Registro.

Primeiro, o NewSID deve garantir que todos os hives sejam examinados, não apenas
aqueles carregados. Cada conta de usuário tem um hive do Registro carregado como
HKEY_CURRENT_USER quando o usuário está conectado, mas que permanece em disco
no diretório de perfil do usuário quando não está conectado. O NewSID identifica todos
os locais de hive do usuário enumerando a chave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList,
que aponta para os diretórios nos quais eles estão armazenados. Em seguida, ele os
carrega no Registro usando RegLoadKey em HKEY_LOCAL_MACHINE e examina todo o
Registro, analisando cada descritor de segurança em busca do SID de computador
antigo. As atualizações são executadas da mesma forma que nos arquivos e, quando
concluídas, o NewSID descarrega os hives do usuário que ele carregou. Na etapa final, o
NewSID examina a chave HKEY_USERS, que contém o hive do usuário conectado no
momento, bem como o hive .Default. Isso é necessário porque um hive não pode ser
carregado duas vezes, portanto, o hive de usuário conectado não será carregado em
HKEY_LOCAL_MACHINE quando o NewSID estiver carregando outros hives de usuário.
Por fim, o NewSID deve atualizar as subchaves ProfileList para se referir aos novos SIDs
da conta. Essa etapa é necessária para que o Windows NT associe corretamente os
perfis às contas de usuário depois que os SIDs da conta forem alterados para refletir o
novo SID de computador.
O NewSID garante que ele possa acessar e modificar cada arquivo e chave do Registro
no sistema ao atribuir a si mesmo os seguintes privilégios: Sistema, Backup, Restauração
e Assumir Propriedade.
PsLoggedOn v1.35
Artigo • 04/08/2023
Publicado em: junho de 29, 2016
Download do PsTools (2.7 MB)
Introdução
Você pode determinar quem está usando recursos em seu computador local com o
comando "net" ("net session"), no entanto, não há uma maneira interna de determinar
quem está usando os recursos de um computador remoto. Além disso, o NT vem sem
ferramentas para ver quem está conectado a um computador, local ou remotamente. O
PsLoggedOn é um miniaplicativo que exibe os usuários conectados localmente e os
usuários conectados por meio de recursos para o computador local ou um remoto. Se
você especificar um nome de usuário em vez de um computador, psLoggedOn pesquisa
os computadores no bairro da rede e informa se o usuário está conectado no momento.
O PsLoggedOn define um usuário conectado localmente como aquele que tem seu perfil
carregado no Registro, portanto, o PsLoggedOn determina quem está conectado
verificando as chaves sob a chave HKEY_USERS. Para cada chave que tem um nome que
é um SID de usuário (identificador de segurança), psLoggedOn pesquisa o nome de
usuário correspondente e o exibe. Para determinar quem está conectado a um
computador por meio de compartilhamentos de recursos, o PsLoggedOn usa a API
NetSessionEnum . Observe que o psLoggedOn mostrará você como conectado por meio
do compartilhamento de recursos para computadores remotos que você consulta
porque um logon é necessário para que o PsLoggedOn acesse o Registro de um sistema
remoto.
Instalação
Basta copiar o PsLoggedOn no caminho executável e digitar "psloggedon".
Como usar o PsLoggedOn

Uso: psloggedon [- ] [-l] [-x] [\\computername | username]
- Exibe as opções com suporte e as unidades de medida usadas para valores de

saída.
-l Mostra apenas logons locais em vez de logons de recursos locais e de rede.
-x Não mostre os horários de logon.
\\computername Especifica o nome do computador para o qual listar informações de logon.
username Se você especificar um nome de usuário, o PsLoggedOn pesquisa na rede

computadores nos quais esse usuário está conectado. Isso é útil se você
quiser garantir que um usuário específico não esteja conectado quando você
estiver prestes a alterar a configuração do perfil do usuário.
Baixar o PsTools (2.7 MB)
PsTools
O PsLoggedOn faz parte de um kit crescente de ferramentas de linha de comando do
PsTools.
É executado em:

PsLogList v2.82
Artigo • 04/08/2023
Introdução
O Kit de Recursos vem com um utilitário, elogdump, que permite despejar o conteúdo
de um Log de Eventos no computador local ou remoto. O PsLogList é um clone do
elogdump, com a exceção de que PsLogList permite que você faça logon em sistemas
remotos em situações em que seu conjunto atual de credenciais de segurança não
permitiria o acesso ao Log de Eventos, e PsLogList recupera cadeias de caracteres de
mensagem do computador no qual reside o log de eventos que você vê.
Instalação
Basta copiar PsLogList para o caminho executável e digitar "psloglist".
Usando PsLogList
O comportamento padrão de PsLogList é mostrar o conteúdo do Log de Eventos do
Sistema no computador local, com formatação visualmente amigável dos registros do
Log de Eventos. As opções de linha de comando permitem exibir logs em computadores
diferentes, usar uma conta diferente para exibir um log ou ter a saída formatada de
maneira amigável à pesquisa de cadeia de caracteres.
usage: psloglist [- ] [\\computer[,computer[,...] | @file [-u username [-p password]]] [-

s [-t delimiter]] [-m #|-n #|-h #|-d #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f
filter] [-i ID[,ID[,...] | -e ID[,ID[,...]]] [-o event source[,event source][,..]]] [-q event
source[,event source][,..]]] [-l event log file] <eventlog>
@file Execute o comando em cada um dos computadores listados no arquivo.
-a Registros de despejo com carimbo de data/hora após a data especificada.

-b Registros de despejo com carimbo de data/hora antes da data especificada.
-c Limpar o log de eventos após a exibição.
-d Exibir apenas registros de n dias anteriores.
-c Limpar o log de eventos após a exibição.
-e Excluir eventos com a ID ou as IDs especificadas (até 10).
-f Filtrar tipos de evento com cadeia de caracteres de filtro (por exemplo, "-f w" para
filtrar avisos).
-h Exibir apenas registros de n horas anteriores.
-i Mostrar somente eventos com a ID ou as IDs especificadas (até 10).
-l Despejar registros do arquivo de log de eventos especificado.
-m Exibir apenas registros de n minutos anteriores.
-n Exibir apenas o número de entradas mais recentes especificadas.
-o Mostrar apenas registros da origem do evento especificado (por exemplo, \"-o

cdrom\").

-q Omitir registros da origem ou origens especificadas do evento (por exemplo, \"-q

cdrom\").
-r Log de SDump do menos recente para o mais recente.
-s Essa opção tem registros de log de eventos de impressão PsLogList um por linha,
com campos delimitados por vírgula. Esse formato é conveniente para pesquisas de
texto – por exemplo, psloglist
-t O delimitador padrão é uma vírgula, mas pode ser substituído pelo caractere
especificado.
-w Aguardar novos eventos, despejando-os à medida que eles são gerados (somente
sistema local).
-x Despejar dados estendidos
eventlog eventlog
Como funciona
Como o Visualizador de Eventos interno do Win NT/2K e o elogdump do Kit de
Recursos, o PsLogList usa a API de Log de Eventos, que está documentada no SDK da
Plataforma Windows. O PsLogList carrega módulos de origem da mensagem no sistema
em que o log de eventos que está sendo exibido reside para que ele exiba corretamente
as mensagens de log de eventos.
PsTools
O PsLogList faz parte de um kit crescente de ferramentas de linha de comando do
PsTools.
Executado em:

RootkitRevealer v1.71
Artigo • 05/08/2023
Baixar o RootkitRevealer (231 KB)

Introdução
RootkitRevealer é um utilitário avançado de detecção de rootkit. Ele é executado no
Windows XP (32 bits) e no Windows Server 2003 (32 bits) e sua saída lista as
discrepâncias da API do sistema de arquivos e do Registro que podem indicar a
presença de um rootkit no modo de usuário ou no modo kernel. O RootkitRevealer
detecta com sucesso muitos rootkits persistentes, incluindo AFX, Vanquish e
HackerDefender (observação: o RootkitRevealer não se destina a detectar rootkits como
o Fu, que não tentam ocultar seus arquivos ou chaves do registro). Se você usá-lo para
identificar a presença de um rootkit, informe-nos!
O motivo pelo qual não há mais uma versão de linha de comando é que os autores de
malware começaram a direcionar a verificação de RootkitRevealer usando seu nome
executável. Portanto, atualizamos o RootkitRevealer para executar sua verificação a
partir de uma cópia nomeada aleatoriamente de si mesma que é executada como um
serviço do Windows. Esse tipo de execução não é adequado para uma interface de linha
de comando. Observe que você pode usar opções de linha de comando para executar
uma verificação automática com resultados registrados em um arquivo, que é o
equivalente ao comportamento da versão de linha de comando.
O que é um Rootkit?
O termo rootkit é usado para descrever os mecanismos e técnicas pelos quais o
malware, incluindo vírus, spyware e trojans, tenta ocultar sua presença de bloqueadores
de spyware, antivírus e utilitários de gerenciamento de sistema. Há várias classificações
de rootkit, dependendo se o malware sobrevive à reinicialização e se é executado no
modo de usuário ou no modo kernel.
Rootkits persistentes
Um rootkit persistente é aquele associado ao malware que é ativado toda vez que o
sistema é inicializado. Como esse malware contém código que deve ser executado
automaticamente a cada inicialização do sistema ou quando um usuário faz logon, ele
deve armazenar o código em um armazenamento persistente, como o Registro ou o
sistema de arquivos, e configurar um método pelo qual o código seja executado sem a
intervenção do usuário.
Rootkits baseados em memória

Os rootkits baseados em memória são malwares que não possuem código persistente e,
portanto, não sobrevivem a uma reinicialização.
Rootkits no modo de usuário

Há muitos métodos pelos quais os rootkits tentam escapar da detecção. Por exemplo,
um rootkit de modo de usuário pode interceptar todas as chamadas para as APIs
FindFirstFile/FindNextFile do Windows, que são usadas pelos utilitários de exploração
do sistema de arquivos, incluindo o Explorer e o prompt de comando, para enumerar o
conteúdo dos diretórios do sistema de arquivos. Quando um aplicativo executa uma
listagem de diretórios que, de outra forma, retornaria resultados que contêm entradas
que identificam os arquivos associados ao rootkit, o rootkit intercepta e modifica a saída
para remover as entradas.
A API nativa do Windows serve como a interface entre clientes do modo de usuário e
serviços do modo kernel e rootkits do modo de usuário mais sofisticados interceptam
sistema de arquivos, Registro e funções de enumeração de processos da API nativa. Isso
impede sua detecção por scanners que comparam os resultados de uma enumeração
da API do Windows com os retornados por uma enumeração da API nativa.
Rootkits no modo kernel

Os rootkits no modo kernel podem ser ainda mais poderosos, pois não apenas podem
interceptar a API nativa no modo kernel, mas também podem manipular diretamente as
estruturas de dados nesse modo. Uma técnica comum para ocultar a presença de um
processo de malware é remover o processo da lista de processos ativos do kernel. Como
as APIs de gerenciamento de processos dependem do conteúdo da lista, o processo de
malware não será exibido em ferramentas de gerenciamento de processos, como o
Gerenciador de Tarefas ou o Process Explorer.
Como funciona o RootkitRevealer

Como os rootkits persistentes funcionam alterando os resultados da API para que uma
exibição do sistema que usa APIs seja diferente da exibição real no armazenamento, o
RootkitRevealer compara os resultados de uma verificação do sistema no nível mais alto
com o nível mais baixo. O nível mais alto é a API do Windows e o nível mais baixo é o
conteúdo bruto de um volume do sistema de arquivos ou o hive do Registro (um
arquivo do hive é o formato de armazenamento em disco de Registro). Assim, os
rootkits, sejam no modo de usuário ou no modo kernel, que manipulam a API do
Windows ou a API nativa para remover sua presença de uma listagem de diretórios, por
exemplo, serão vistos pelo RootkitRevealer como uma discrepância entre as informações
retornadas pela API do Windows e as observadas na verificação bruta das estruturas do
sistema de arquivos de um volume FAT ou NTFS.
Um rootkit pode se ocultar de RootkitRevealer

Teoricamente, é possível que um rootkit se oculte de RootkitRevealer. Isso exigiria a
interceptação das leituras do RootkitRevealer dos dados do hive do Registro ou dos
dados do sistema de arquivos e a alteração do conteúdo dos dados de forma que os
dados ou arquivos do Registro do rootkit não estivessem presentes. No entanto, isso
exigiria um nível de sofisticação nunca visto em rootkits até o momento. As alterações
nos dados exigiriam um conhecimento profundo dos formatos NTFS, FAT e hive do
Registro, além da capacidade de alterar as estruturas de dados de forma que escondam
o rootkit, mas não causem estruturas inconsistentes ou inválidas ou discrepâncias de
efeito colateral que seriam sinalizado por RootkitRevealer.
Há uma maneira infalível de perceber a presença de um rootkit

Em geral, não de dentro de um sistema em execução. Um rootkit no modo kernel pode
controlar qualquer aspecto do comportamento de um sistema, de modo que as
informações retornadas por qualquer API, incluindo as leituras brutas do hive do
Registro e os dados do sistema de arquivos executados pelo RootkitRevealer, possam
ser comprometidas. Ao comparar uma verificação online de um sistema e uma
verificação offline de um ambiente seguro, como uma inicialização em uma instalação
de sistema operacional baseada em CD, seja mais confiável, os rootkits podem
direcionar essas ferramentas para evitar a detecção até mesmo por eles.
O ponto principal é que nunca haverá um scanner de rootkit universal, mas os scanners
mais poderosos serão os scanners de comparação online/offline que se integram ao
antivírus.
Usando o RootkitRevealer
O RootkitRevealer requer que a conta a partir da qual ele é executado tenha atribuídos
os privilégios de Backup de arquivos e diretórios, Carregar drivers e Realizar tarefas de
manutenção de volume (no Windows XP e superior). O grupo Administradores recebe
esses privilégios por padrão. Para minimizar os falsos positivos, execute o
RootkitRevealer em um sistema ocioso.
Para obter melhores resultados, saia de todos os aplicativos e mantenha o sistema

ocioso durante o processo de verificação de RootkitRevealer.
Se você tiver dúvidas ou problemas, visite o Fórum do Sysinternals RootkitRevealer .
Verificação manual
Para examinar um sistema, inicie-o no sistema e pressione o botão Examinar. O
RootkitRevealer verifica o sistema relatando suas ações em uma área de status na parte
inferior de sua janela e observando discrepâncias na lista de saída. As opções que você
pode configurar:
Ocultar Arquivos de Metadados NTFS: essa opção está ativada por padrão e o
RootkitRevealer não mostra arquivos de metadados NTFS padrão, que estão
ocultos na API do Windows.
Verificar Registro: essa opção está ativada por padrão. Desmarcá-la faz com que o
RootkitRevealer não execute uma verificação do Registro.
Iniciando uma Verificação Automática

O RootkitRevealer dá suporte a várias opções para sistemas de verificação automática:
Uso: rootkitrevealer [-a [-c] [-m] [-r] arquivo de saída]
-a Verificar e sair automaticamente quando terminar.
-c Formatar saída como CSV.
-m Mostrar arquivos de metadados do NTFS.
-r Não verificar o Registro.
Observe que o local de saída do arquivo deve estar em um volume local.
Se você especificar a opção -c, ela não relatará o progresso e as discrepâncias serão
impressas no formato CSV para facilitar a importação em um banco de dados. Você
pode realizar verificações de sistemas remotos executando-o com o utilitário do
Sysinternals PsExec usando uma linha de comando como a seguinte:
psexec \\remote -c rootkitrevealer.exe -a c:\windows\system32\rootkit.log
Interpretando a saída
Esta é uma captura de tela de RootkitRevealer que detecta a presença do rootkit
HackerDefender popular. As discrepâncias da chave do Registro mostram que as chaves
do Registro que armazenam o driver de dispositivo e as configurações do serviço do
HackerDefender não são visíveis para a API do Windows, mas estão presentes na
verificação bruta dos dados do hive do Registro. Da mesma forma, os arquivos
associados ao HackerDefender não são visíveis para as verificações de diretório da API
do Windows, mas estão presentes na verificação dos dados brutos do sistema de
arquivos.
Você deve examinar todas as discrepâncias e determinar a probabilidade de indicarem a

presença de um rootkit. Infelizmente, não há uma maneira definitiva de determinar, com
base na saída, se um rootkit está presente, mas você deve examinar todas as
discrepâncias relatadas para garantir que sejam explicáveis. Se você determinar que tem
um rootkit instalado, pesquise na Web as instruções de remoção. Se não tiver certeza de
como remover um rootkit, reformate o disco rígido do sistema e reinstale o Windows.
Além das informações abaixo sobre possíveis discrepâncias do RootkitRevealer, o Fórum

do RootkitRevealer no Sysinternals discute os rootkits detectados e falsos positivos
específicos.
Oculto da API do Windows
Essas discrepâncias são as exibidas pela maioria dos rootkits; no entanto, se você não
verificou os arquivos de metadados do NTFS, deverá ver várias dessas entradas em
qualquer volume NTFS, pois o NTFS oculta seus arquivos de metadados, como $MFT e
$Secure, da API do Windows. Os arquivos de metadados presentes nos volumes NTFS
variam de acordo com a versão do NTFS e os recursos do NTFS habilitados no volume.
Também há produtos antivírus, como o Kaspersky Antivirus, que usam técnicas de
rootkit para ocultar dados armazenados em fluxos de dados alternativos do NTFS. Se
você estiver executando um scanner de vírus, verá uma discrepância Oculto da API do
Windows para um fluxo de dados alternativo em cada arquivo NTFS. O RootkitRevealer
não dá suporte a filtros de saída porque os rootkits podem tirar proveito de qualquer
filtragem. Por fim, se um arquivo for excluído durante uma verificação, você também
poderá ver essa discrepância.
Essa é uma lista de arquivos de metadados do NTFS definidos a partir do Windows

Server 2003:
$AttrDef
$BadClus
$BadClus:$Bad
$BitMap
$Boot
$LogFile
$Mft
$MftMirr
$Secure
$UpCase
$Volume
$Extend
$Extend\$Reparse
$Extend\$ObjId
$Extend\$UsnJrnl
$Extend\$UsnJrnl:$Max
$Extend\$Quota
Acesso negado.
O RootkitRevealer nunca deve relatar essa discrepância, pois usa mecanismos que lhe
permitem acessar qualquer arquivo, diretório ou chave do registro em um sistema.
Visível na API do Windows, índice de diretório, mas não na MFT.

Visível na API do Windows, mas não na MFT ou no índice de diretório.
Visível na API do Windows, MFT, mas não no índice de diretório.
Visível no índice de diretório, mas não na API do Windows ou na MFT.
Uma verificação do sistema de arquivos consiste em três componentes: a API do

Windows, a Tabela de arquivos mestre NTFS (MFT) e as estruturas de índice de diretório
em disco NTFS. Essas discrepâncias indicam que um arquivo aparece em apenas uma ou
duas das verificações. Um motivo comum é que um arquivo é criado ou excluído
durante as verificações. Esse é um exemplo de relatório de discrepância do
RootkitRevealer para um arquivo criado durante a verificação:
C:\newfile.txt
01/03/2005 17:26
8 bytes
Visível na API do Windows, mas não na MFT ou no índice de diretório.
O comprimento da API do Windows não é consistente com os dados brutos do hive.

Os rootkits podem tentar se ocultar deturpando o tamanho de um valor do Registro
para que seu conteúdo não fique visível para a API do Windows. Você deve examinar
qualquer discrepância, embora também possa aparecer como resultado de valores do
Registro que mudam durante uma verificação.
Tipos incompatíveis entre a API do Windows e os dados brutos do hive.

Os valores do Registro têm um tipo, como DWORD e REG_SZ, e essa discrepância indica
que o tipo de valor relatado por meio da API do Windows difere daquele dos dados
brutos do hive. Um rootkit pode mascarar seus dados armazenando-os como um valor
REG_BINARY, por exemplo, e fazendo com que a API do Windows acredite que seja um
valor REG_SZ; se armazenar um 0 no início dos dados, a API do Windows não poderá
acessar os dados subsequentes.
O nome da chave contém nulos incorporados.

A API do Windows trata os nomes das chaves como cadeias de caracteres terminadas
em nulo, enquanto o kernel os trata como cadeias de caracteres contadas. Portanto, é
possível criar chaves do Registro visíveis para o sistema operacional, mas apenas
parcialmente visíveis para ferramentas de registro como o Regedit. O código de
exemplo Reghide no Sysinternals demonstra essa técnica, que é usada por malware e
rootkits para ocultar dados do Registro. Use o utilitário RegDelNull do Sysinternals para
excluir chaves com nulos incorporados.
Incompatibilidade de dados entre a API do Windows e os dados brutos do hive.

Essa discrepância ocorrerá se um valor do Registro for atualizado enquanto a verificação
do Registro estiver em andamento. Os valores que mudam com frequência incluem
carimbos de data/hora, como o valor de tempo de atividade do Microsoft SQL Server,
mostrado abaixo, e os valores da "última verificação" do verificador de vírus. Você deve
investigar qualquer valor relatado para garantir que seja um aplicativo válido ou um
valor do Registro do sistema.
HKLM\SOFTWARE\Microsoft\Microsoft SQL
Server\RECOVERYMANAGER\MSSQLServer\uptime_time_utc
01/03/2005 16:33
8 bytes
Recursos do Rootkit
Os seguintes sites da Web e livros são fontes de mais informações sobre rootkits:
Sony, Rootkits e Gerenciamento de Direitos Digitais Foram Longe Demais
Leia a entrada do blog do Mark sobre sua descoberta e análise de um rootkit da Sony
em um de seus computadores.
Desenterrando rootkits
O artigo de junho da Windows IT Pro Magazine do Mark fornece uma visão geral das
tecnologias de rootkit e como o RootkitRevealer funciona.
Rootkits: Subvertendo o Kernel do Windows

Este livro de Greg Hoglund e Jamie Butler é o tratamento mais abrangente disponível
sobre os rootkits.
www.phrack.org
Esse site armazena o arquivo da Phrack, uma revista voltada para crackers onde os
desenvolvedores discutem falhas em produtos relacionados à segurança, técnicas de
rootkit e outros truques de malware.
A Arte da Pesquisa e Defesa de Vírus do Computador , por Peter Szor
Malware: Combatendo Código Mal-intencionado , por Ed Skoudis e Lenny Zeltser
Windows Internals, 4th Edition, por Mark Russinovich e Dave Solomon (o livro não fala
sobre os rootkits, mas entender a arquitetura do Windows ajuda a entender os rootkits).
Baixar o RootkitRevealer (231 KB)

Sysmon v14.16
Artigo • 12/04/2023
Por Mark Russinovich e Thomas Garnier
Baixar Sysmon (4,6 MB)
Baixar o Sysmon para Linux (GitHub)
Introdução
O System Monitor (Sysmon) é um serviço do sistema Windows e driver de dispositivo
que, uma vez instalado em um sistema, permanece residente entre reinicializações do
sistema para monitorar e registrar a atividade do sistema no log de eventos do
Windows. Ele fornece informações detalhadas sobre criações de processos, conexões de
rede e alterações na hora de criação dos arquivos. Ao coletar os eventos gerados
usando a Coleção de Eventos do Windows ou agentes SIEM e analisá-los
posteriormente, você pode identificar atividades mal-intencionadas ou anômalas e
entender como intrusos e malware operam em sua rede.
Observe que o Sysmon não fornece análise dos eventos gerados, nem tenta se proteger
ou se ocultar de invasores.
Visão geral das funcionalidades do Sysmon

O Sysmon inclui os seguintes recursos:
Os logs processam a criação com linha de comando completa para processos

atuais e pai.
Registra o hash de arquivos de imagem de processo usando SHA1 (o padrão),
MD5, SHA256 ou IMPHASH.
Vários hashes podem ser usados ao mesmo tempo.
Inclui um GUID de processo em eventos de criação de processo para permitir a
correlação de eventos mesmo quando o Windows reutiliza IDs de processo.
Inclui um GUID de sessão em cada evento para permitir a correlação de eventos na
mesma sessão de logon.
Registra o carregamento de drivers ou DLLs com suas assinaturas e hashes.
Os logs são abertos para acesso de leitura bruto de discos e volumes.
Opcionalmente, registra conexões de rede, incluindo o processo de origem de
cada conexão, endereços IP, números de porta, nomes de host e nomes de porta.
Detecta alterações no tempo de criação do arquivo para entender quando um
arquivo foi realmente criado. A modificação de carimbos de data/hora de criação
de arquivo é uma técnica comumente usada por malware para cobrir seus rastros.
Recarregue automaticamente a configuração se for alterada no Registro.
Filtragem de regras para incluir ou excluir determinados eventos dinamicamente.
Gera eventos desde o início do processo de inicialização para capturar atividades
feitas até mesmo por malware sofisticado no modo kernel.
Capturas de tela
Uso
Uso comum com opções simples de linha de comando para instalar e desinstalar o
Sysmon, bem como para marcar e modificar sua configuração:
Instalar: sysmon64 -i [<configfile>]

Atualizar configuração: sysmon64 -c [<configfile>]
Instalar o manifesto do evento: sysmon64 -m
Esquema de impressão: sysmon64 -s
Desinstalar: sysmon64 -u [force]
-i Instalar o serviço e o driver. Opcionalmente, pegue um arquivo de configuração.

-c Atualize a configuração de um driver Sysmon instalado ou descarte a configuração

atual se nenhum outro argumento for fornecido. Opcionalmente, usa um arquivo de
configuração.
-m Instale o manifesto do evento (feito implicitamente na instalação do serviço

também).
-s Definição de esquema de configuração de impressão.
-u Desinstalar o serviço e o driver. Usar -u force faz com que a desinstalação prossiga
mesmo quando alguns componentes não estão instalados.
O serviço registra eventos imediatamente e o driver é instalado como um driver de

inicialização para capturar a atividade desde o início da inicialização que o serviço
gravará no log de eventos quando ele for iniciado.
No Vista e superior, os eventos são armazenados em Applications and Services

Logs/Microsoft/Windows/Sysmon/Operational . Em sistemas mais antigos, os eventos são
gravados no System log de eventos.
Se você precisar de mais informações sobre arquivos de configuração, use o -? config

comando .
Especifique -accepteula para aceitar automaticamente o EULA na instalação, caso

contrário, você será solicitado interativamente a aceitá-lo.
Nem instalar nem desinstalar requer uma reinicialização.
Exemplos
Instalar com configurações padrão (processar imagens com hash com SHA1 e sem
monitoramento de rede)
sysmon -accepteula -i
Instalar o Sysmon com um arquivo de configuração (conforme descrito abaixo)
sysmon -accepteula -i c:\windows\config.xml

Desinstalar
sysmon -u
Despejar a configuração atual
sysmon -c
Reconfigurar um Sysmon ativo com um arquivo de configuração (conforme descrito

abaixo)
sysmon -c c:\windows\config.xml
Alterar a configuração para configurações padrão
sysmon -c --
Mostrar o esquema de configuração
sysmon -s
Eventos
No Vista e superior, os eventos são armazenados em Applications and Services
Logs/Microsoft/Windows/Sysmon/Operational e em eventos de sistemas mais antigos são
gravados no System log de eventos. Os carimbos de data/hora do evento estão no
horário padrão UTC.
Veja a seguir exemplos de cada tipo de evento gerado pelo Sysmon.
ID do evento 1: criação do processo

O evento de criação do processo fornece informações estendidas sobre um processo
recém-criado. A linha de comando completa fornece contexto sobre a execução do
processo. O ProcessGUID campo é um valor exclusivo para esse processo em um
domínio para facilitar a correlação de eventos. O hash é um hash completo do arquivo
com os algoritmos no HashType campo.
ID do evento 2: um processo alterou o tempo de criação

de um arquivo
O evento de tempo de criação do arquivo de alteração é registrado quando uma hora
de criação de arquivo é explicitamente modificada por um processo. Esse evento ajuda a
acompanhar o tempo real de criação de um arquivo. Os invasores podem alterar o
tempo de criação de arquivo de um backdoor para fazer parecer que ele foi instalado
com o sistema operacional. Observe que muitos processos alteram legitimamente o
tempo de criação de um arquivo; ele não indica necessariamente atividade mal-
intencionada.
ID do evento 3: conexão de rede

O evento de conexão de rede registra conexões TCP/UDP no computador. Isso está
desabilitado por padrão. Cada conexão é vinculada a um processo por meio dos
ProcessId campos e ProcessGuid . O evento também contém os endereços IP de nomes
de host de origem e de destino, números de porta e status IPv6.
ID do evento 4: estado do serviço Sysmon alterado

O evento de alteração do estado do serviço relata o estado do serviço Sysmon (iniciado
ou interrompido).
ID do evento 5: Processo encerrado

O processo encerra os relatórios de eventos quando um processo é encerrado. Ele
fornece o UtcTime e ProcessGuid ProcessId do processo.
ID do evento 6: Driver carregado

Os eventos carregados pelo driver fornecem informações sobre um driver que está
sendo carregado no sistema. Os hashes configurados são fornecidos, bem como
informações de assinatura. A assinatura é criada de forma assíncrona por motivos de
desempenho e indica se o arquivo foi removido após o carregamento.
ID do evento 7: Imagem carregada
A imagem carregou logs de eventos quando um módulo é carregado em um processo
específico. Esse evento é desabilitado por padrão e precisa ser configurado com a
opção " –l ". Indica o processo no qual o módulo é carregado, hashes e informações de
assinatura. A assinatura é criada de forma assíncrona por motivos de desempenho e
indica se o arquivo foi removido após o carregamento. Esse evento deve ser
configurado com cuidado, pois o monitoramento de todos os eventos de carregamento
de imagem gerará uma quantidade significativa de log.
ID do evento 8: CreateRemoteThread
O CreateRemoteThread evento detecta quando um processo cria um thread em outro
processo. Essa técnica é usada por malware para injetar código e ocultar em outros
processos. O evento indica o processo de origem e destino. Ele fornece informações
sobre o código que será executado no novo thread: StartAddress e
StartModule StartFunction . Observe que StartModule os campos e StartFunction são
inferidos, eles podem estar vazios se o endereço inicial estiver fora dos módulos
carregados ou das funções exportadas conhecidas.
ID do evento 9: RawAccessRead
O RawAccessRead evento detecta quando um processo realiza operações de leitura da
unidade usando a \\.\ denotação. Essa técnica geralmente é usada por malware para
exfiltração de dados de arquivos bloqueados para leitura, bem como para evitar
ferramentas de auditoria de acesso a arquivos. O evento indica o processo de origem e
o dispositivo de destino.
ID do evento 10: ProcessAccess

O processo acessa relatórios de eventos quando um processo abre outro processo, uma
operação que geralmente é seguida por consultas de informações ou leitura e gravação
do espaço de endereço do processo de destino. Isso permite a detecção de ferramentas
de hackers que leem o conteúdo de memória de processos como a Autoridade de
Segurança Local (Lsass.exe) para roubar credenciais para uso em ataques de Passagem
do Hash. Habilitá-lo pode gerar quantidades significativas de registro em log se houver
utilitários de diagnóstico ativos que abram processos repetidamente para consultar seu
estado, portanto, geralmente só deve ser feito com filtros que removem os acessos
esperados.
ID do evento 11: FileCreate
As operações de criação de arquivo são registradas quando um arquivo é criado ou
substituído. Esse evento é útil para monitorar locais de início automático, como a pasta
Inicialização, bem como diretórios temporários e de download, que são locais comuns
de quedas de malware durante a infecção inicial.
ID do evento 12: RegistryEvent (Criação e exclusão de

objeto)
As operações de criação e exclusão de chave e valor do Registro são mapeadas para
esse tipo de evento, o que pode ser útil para monitoramento de alterações em locais de
início automático do Registro ou modificações específicas do registro de malware.
O Sysmon usa versões abreviadas de nomes de chave raiz do Registro, com os seguintes
mapeamentos:
Nome da chave Abreviação
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR
ID do evento 13: RegistryEvent (conjunto de valores)

Esse tipo de evento do Registro identifica modificações de valor do Registro. O evento
registra o valor gravado para os valores do Registro do tipo DWORD e QWORD .
ID do evento 14: RegistryEvent (Chave e Renomeação de

Valor)
As operações de renomeação de chave e valor do Registro são mapeadas para esse tipo
de evento, registrando o novo nome da chave ou valor que foi renomeado.
ID do evento 15: FileCreateStreamHash

Esse evento registra quando um fluxo de arquivos nomeado é criado e gera eventos que
registram o hash do conteúdo do arquivo ao qual o fluxo é atribuído (o fluxo sem
nome), bem como o conteúdo do fluxo nomeado. Há variantes de malware que
removem seus executáveis ou configurações por meio de downloads do navegador, e
esse evento tem como objetivo capturar isso com base no navegador que anexa um
Zone.Identifier fluxo de "marca da Web".
ID do evento 16: ServiceConfigurationChange

Esse evento registra alterações na configuração do Sysmon, por exemplo, quando as
regras de filtragem são atualizadas.
ID do evento 17: PipeEvent (pipe criado)

Esse evento gera quando um pipe nomeado é criado. O malware geralmente usa pipes
nomeados para comunicação entre processos.
ID do evento 18: PipeEvent (pipe conectado)

Esse evento registra quando uma conexão de pipe nomeada é feita entre um cliente e
um servidor.
ID do evento 19: WmiEvent (atividade WmiEventFilter

detectada)
Quando um filtro de evento WMI é registrado, que é um método usado por malware
para executar, esse evento registra o namespace WMI, o nome do filtro e a expressão de
filtro.
ID do evento 20: WmiEvent (atividade

WmiEventConsumer detectada)
Esse evento registra o registro de consumidores WMI, registrando o nome do
consumidor, o log e o destino.
ID do evento 21: WmiEvent (atividade

WmiEventConsumerToFilter detectada)
Quando um consumidor se associa a um filtro, esse evento registra o nome do
consumidor e o caminho do filtro.
ID do evento 22: DNSEvent (consulta DNS)
Esse evento é gerado quando um processo executa uma consulta DNS, se o resultado é
bem-sucedido ou falha, armazenado em cache ou não. A telemetria para esse evento foi
adicionada para Windows 8.1 para que ele não esteja disponível no Windows 7 e
anterior.
ID do evento 23: FileDelete (Arquivo Excluir arquivado)

Um arquivo foi excluído. Além disso, para registrar o evento em log, o arquivo excluído
também é salvo no ArchiveDirectory (que é C:\Sysmon por padrão). Em condições
operacionais normais, esse diretório pode aumentar para um tamanho irracional –
consulte ID do evento 26: FileDeleteDetected para um comportamento semelhante,
mas sem salvar os arquivos excluídos.
ID do evento 24: ClipboardChange (Novo conteúdo na

área de transferência)
Esse evento é gerado quando o conteúdo da área de transferência do sistema é
alterado.
ID do evento 25: ProcessTampering (Alteração de imagem

do processo)
Esse evento é gerado quando técnicas de ocultação de processos como "oco" ou
"herpaderp" estão sendo detectadas.
ID do evento 26: FileDeleteDetected (Exclusão de Arquivo

registrada)
Um arquivo foi excluído.
ID do evento 27: FileBlockExecutable

Esse evento é gerado quando o Sysmon detecta e bloqueia a criação de arquivos
executáveis.
ID do evento 28: FileBlockShredding

Esse evento é gerado quando o Sysmon detecta e bloqueia a fragmentação de arquivos
de ferramentas como SDelete.
ID do evento 255: Erro

Esse evento é gerado quando ocorreu um erro no Sysmon. Eles podem acontecer se o
sistema estiver sob carga pesada e determinadas tarefas não puderem ser executadas
ou se houver um bug no serviço Sysmon ou mesmo se determinadas condições de
segurança e integridade não forem atendidas. Você pode relatar quaisquer bugs no
fórum do Sysinternals ou no Twitter (@markrussinovich ).
Arquivos de configuração
Os arquivos de configuração podem ser especificados após as opções de configuração -
i (instalação) ou -c (instalação). Eles facilitam a implantação de uma configuração
predefinida e a filtragem de eventos capturados.
Um arquivo xml de configuração simples tem esta aparência:
XML
<Sysmon schemaversion="4.82">

<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>


<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>

<ProcessTerminate onmatch="include" />


<NetworkConnect onmatch="include">
<DestinationPort>443</DestinationPort>
<DestinationPort>80</DestinationPort>
</NetworkConnect>
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplore.exe</Image>
</NetworkConnect>
</EventFiltering>
</Sysmon>
O arquivo de configuração contém um atributo schemaversion na marca Sysmon. Essa

versão é independente da versão binária do Sysmon e permite a análise de arquivos de
configuração mais antigos. Você pode obter a versão atual do esquema usando a linha
de comando " -? config ". As entradas de configuração estão diretamente sob a marca e
os Sysmon filtros estão sob a EventFiltering marca.
Entradas de configuração
As entradas de configuração são semelhantes aos comutadores de linha de comando e
incluem o seguinte
As entradas de configuração incluem o seguinte:
Entrada Valor Descrição
ArchiveDirectory Cadeia de Nome dos diretórios em raízes de volume para os quais

caracteres os arquivos copy-on-delete são movidos. O diretório é
protegido com uma ACL do sistema (você pode usar
PsExec do Sysinternals para acessar o diretório usando
psexec -sid cmd ). Padrão: Sysmon
CheckRevocation Boolean Controla verificações de revogação de assinatura. Padrão:

True
CopyOnDeletePE Boolean Preserva arquivos de imagem executáveis excluídos.

Padrão: False
CopyOnDeleteSIDs Cadeias Lista separada por vírgulas de SIDs de conta para os

de quais as exclusões de arquivo serão preservadas.
caracteres
CopyOnDeleteExtensions Cadeias Extensões para arquivos preservados na exclusão.

de
caracteres
CopyOnDeleteProcesses Cadeias Nome do processo para o qual as exclusões de arquivo

de serão preservadas.
caracteres
DnsLookup Boolean Controla a pesquisa de DNS reversa. Padrão: True
Drivername Cadeia de Usa o nome especificado para imagens de driver e

caracteres serviço.
HashAlgorithms Cadeias Algoritmos de hash a serem aplicados ao hash. Os

de algoritmos com suporte incluem MD5, SHA1, SHA256,
caracteres IMPHASH e * (todos). Padrão: None
Os comutadores de linha de comando têm sua entrada de configuração descrita na

saída de uso do Sysmon. Os parâmetros são opcionais com base na marca. Se um
comutador de linha de comando também habilitar um evento, ele precisará ser
configurado por meio de sua marca de filtro. Você pode especificar a opção -s para
que o Sysmon imprima o esquema de configuração completo, incluindo marcas de
evento, bem como os nomes e tipos de campo para cada evento. Por exemplo, aqui
está o esquema para o RawAccessRead tipo de evento:
XML
<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational

"template="RawAccessRead detected" rulename="RawAccessRead" version="2">
<data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>
<data name="ProcessGuid" inType="win:GUID"/>
<data name="ProcessId" inType="win:UInt32" outType="win:PID"/>
<data name="Image" inType="win:UnicodeString" outType="xs:string"/>
<data name="Device" inType="win:UnicodeString" outType="xs:string"/>
</event>
Entradas de filtragem de eventos

A filtragem de eventos permite filtrar eventos gerados. Em muitos casos, os eventos
podem ser barulhentos e reunir tudo não é possível. Por exemplo, você pode estar
interessado em conexões de rede apenas para um determinado processo, mas não em
todos eles. Você pode filtrar a saída no host reduzindo os dados a serem coletados.
Cada evento tem sua própria marca de filtro no nó EventFiltering em um arquivo de

configuração:
ID Marca Evento
1 ProcessCreate Criar processo
2 FileCreateTime Hora de criação do arquivo
3 NetworkConnect Conexão de rede detectada
4 N/D Alteração do estado do serviço Sysmon (não pode ser filtrado)
5 ProcessTerminate Processo encerrado
6 DriverLoad Driver Carregado
7 ImageLoad Imagem carregada
8 CreateRemoteThread CreateRemoteThread detectado
9 RawAccessRead RawAccessRead detectado

ID Marca Evento
10 ProcessAccess Processo acessado
11 FileCreate Arquivo criado
12 RegistryEvent Objeto do Registro adicionado ou excluído
13 RegistryEvent Conjunto de valores do Registro
14 RegistryEvent Objeto do Registro renomeado
15 FileCreateStreamHash Fluxo de arquivos criado
16 N/D Alteração de configuração do Sysmon (não pode ser filtrada)
17 PipeEvent Pipe nomeado criado
18 PipeEvent Pipe nomeado conectado
19 Wmievent Filtro WMI
20 Wmievent Consumidor WMI
21 Wmievent Filtro de consumidor WMI
22 DNSQuery Consultas DNS
23 FileDelete Exclusão de arquivo arquivado
24 ClipboardChange Novo conteúdo na área de transferência
25 ProcessTampering Processar alteração de imagem
26 FileDeleteDetected Exclusão de arquivo registrada em log
27 FileBlockExecutable Executável de Bloco de Arquivos
28 FileBlockShredding Fragmentação de bloco de arquivo
Você também pode encontrar essas marcas no visualizador de eventos no nome da

tarefa.
O onmatch filtro será aplicado se os eventos forem correspondidos. Ele pode ser
alterado com o onmatch atributo da marca de filtro. Se o valor for "include" , isso
significa que apenas os eventos correspondentes serão incluídos. Se estiver definido
como "exclude" , o evento será incluído, exceto se uma regra corresponder. Você pode
especificar um conjunto de filtros de inclusão e um conjunto de filtros de exclusão para
cada ID de evento, em que as correspondências de exclusão têm precedência.
Cada filtro pode incluir zero ou mais regras. Cada marca sob a marca de filtro é um
nome de campo do evento. Regras que especificam uma condição para o mesmo nome
de campo se comportam como condições OR e as que especificam nome de campo
diferente se comportam como condições AND. As regras de campo também podem
usar condições para corresponder a um valor. As condições são as seguintes (todas não
diferenciam maiúsculas de minúsculas):
is Padrão, os valores são iguais
é O campo é um dos ; valores delimitados

qualquer
não é Os valores são diferentes
contains O campo contém esse valor
contém O campo contém qualquer um dos ; valores delimitados

qualquer
contém O campo contém todos os ; valores delimitados

todos os
Exclui O campo não contém esse valor
exclui O campo não contém um ou mais dos ; valores delimitados

qualquer
exclui O campo não contém nenhum dos ; valores delimitados

todos
começar O campo começa com esse valor

com
terminar O campo termina com esse valor

com
não O campo não começa com esse valor

começar
com
não O campo não termina com esse valor

terminar
com
menor A comparação lexicográfica é menor que zero

que
mais do A comparação lexicográfica é superior a zero

que
imagem Corresponder a um caminho de imagem (caminho completo ou apenas nome de

imagem). Por exemplo: lsass.exe corresponderá c:\windows\system32\lsass.exe
Você pode usar uma condição diferente especificando-a como um atributo. Isso exclui a
atividade de rede de processos com iexplore.exe em seu caminho:
XML
<Image condition="contains">iexplore.exe</Image>
</NetworkConnect>
Para que o Sysmon relate qual correspondência de regra resultou no registro de um

evento, adicione nomes às regras:
XML
<Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>
Você pode usar regras de inclusão e exclusão para a mesma marca, em que a
substituição de regras de exclusão inclui regras. Dentro de uma regra, as condições de
filtro têm comportamento OR.
Na configuração de exemplo mostrada anteriormente, o filtro de rede usa uma regra de

inclusão e exclusão para capturar a atividade para as portas 80 e 443 por todos os
processos, exceto aqueles que têm iexplore.exe em seu nome.
Também é possível substituir a maneira como as regras são combinadas usando um

grupo de regras que permite que a regra combine o tipo para que um ou mais eventos
sejam definidos explicitamente como AND ou OR.
O exemplo a seguir demonstra esse uso. No primeiro grupo de regras, um evento de

criação de processo será gerado quando timeout.exe for executado apenas com um
argumento de linha de comando de 100 , mas um evento de encerramento de processo
será gerado para o encerramento de ping.exe e timeout.exe .
XML
<EventFiltering>
<RuleGroup name="group 1" groupRelation="and">
<ProcessCreate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<CommandLine condition="contains">100</CommandLine>
</ProcessCreate>
</RuleGroup>
<RuleGroup groupRelation="or">
<ProcessTerminate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<Image condition="contains">ping.exe</Image>
</ProcessTerminate>
</RuleGroup>
<ImageLoad onmatch="include"/>
</EventFiltering>
Baixar Sysmon (4,6 MB)
Executa em:

Utilitários de informações do sistema
Sysinternals
Artigo • 09/08/2023
Autoruns
ClockRes
Exiba a resolução do relógio do sistema, que também é a resolução máxima do
temporizador.
Coreinfo
O Coreinfo é um utilitário de linha de comando que mostra o mapeamento entre os
processadores lógicos e o processador físico, o nó NUMA e o soquete em que residem,
bem como o cache atribuído a cada processador lógico.
Handle
LiveKd
Utilize os depuradores de kernel da Microsoft para examinar um sistema ativo.
LoadOrder
Consulte a ordem na qual os dispositivos são carregados no seu sistema WinNT/2K.
LogonSessions
Listar as sessões de login ativas em um sistema.
PendMoves
Enumere a lista de comandos de renomeação e exclusão de arquivos que serão
executados na próxima inicialização.
Process Monitor
em tempo real.
ProcFeatures
Esse applet informa o suporte do processador e do Windows para extensões de
endereço físico e proteção contra estouro de buffer sem execução.
PsInfo
Obtenha informações sobre um sistema.
PsLoggedOn
Mostrar usuários conectados a um sistema
PsTools
RAMMap
Um utilitário avançado de análise de uso de memória física que apresenta informações
de uso de diferentes maneiras em suas várias guias.
WinObj
O melhor visualizador de namespace do Gerenciador de Objetos está aqui.
ClockRes v2.1
Artigo • 07/10/2023
Baixar ClockRes (494 KB)
Introdução
Já se perguntou qual era a resolução do relógio do sistema, ou talvez a resolução
máxima do temporizador que seu aplicativo poderia obter? A resposta está em uma
função simples chamada GetSystemTimeAdjustment, e o miniaplicativo ClockRes executa
a função e mostra o resultado.
Baixar ClockRes (494 KB)
É executado em:

Coreinfo v3.6
Artigo • 07/08/2023
Publicado em: 29 de setembro de 2022
Baixar o Coreinfo (531 KB)
Introdução
O Coreinfo é um utilitário de linha de comando que mostra o mapeamento entre os
processadores lógicos e o processador físico, o nó NUMA e o soquete em que residem,
bem como o cache atribuído a cada processador lógico. Ele utiliza a função
GetLogicalProcessorInformation do Windows para obter essas informações e as
imprime na tela, representando um mapeamento para um processador lógico com um
asterisco, por exemplo, '*'. O Coreinfo é útil para obter informações sobre a topologia
do processador e do cache de seu sistema.
Instalação
Extraia o arquivo para um diretório e, em seguida, execute o Coreinfo digitando
Coreinfo no console a partir desse diretório em uma versão de 32 bits do Windows ou
Coreinfo64 em uma versão de 64 bits.
Utilizando o CoreInfo
Para cada recurso, ele mostra um mapa dos processadores visíveis no sistema
operacional que correspondem aos recursos especificados, com '*' representando os
processadores aplicáveis. Por exemplo, em um sistema de 4 núcleos, uma linha na saída
do cache com um mapa compartilhado pelos núcleos 3 e 4.
Uso: coreinfo [-c][-f][-g][-l][-n][-s][-m][-v]
-c Despejar informações sobre núcleos.
-f Despejar informações do recurso principal.

-g Despejar informações sobre grupos.
-l Despejar informações sobre caches.
-n Despejar informações sobre nós NUMA.
-s Despejar informações sobre soquetes.
-m Despejar o custo de acesso NUMA.
-v Despeje apenas os recursos relacionados à virtualização,

incluindo o suporte à tradução de endereços de segundo nível.
(exige direitos administrativos

em sistemas Intel).
Todas as opções, exceto -v, são selecionadas por padrão.
Saída do Coreinfo:
shell
Coreinfo v3.03 - Dump information on system CPU and memory topology

Copyright (C) 2008-2011 Mark Russinovich
Intel(R) Xeon(R) CPU W3520 @ 2.67GHz

Intel64 Family 6 Model 26 Stepping 5, GenuineIntel
EM64T * Supports 64-bit mode
VMX - Supports Intel hardware-assisted virtualization
SVM - Supports AMD hardware-assisted virtualization
HYPERVISOR * Hypervisor is present
HTT * Supports hyper-threading
SMX - Supports Intel trusted execution

SKINIT - Supports AMD SKINIT
EIST * Supports Enhanced Intel Speedstep
NX * Supports no-execute page protection

PAGE1GB - Supports 1GB large pages
PAE * Supports > 32-bit physical addresses
PAT * Supports Page Attribute Table
PSE * Supports 4-MB pages
PSE36 * Supports > 32-bit address 4-MB pages
PGE * Supports global bit in page tables
SS * Supports bus snooping for cache operations
VME * Supports Virtual-8086 mode
FPU * Implements i387 FP instructions

MMX * Supports MMX instruction set
MMXEXT - Implements AMD MMX extensions
3DNOW - Supports 3DNow! instructions
3DNOWEXT - Supports 3DNow! extension instructions
SSE * Supports Streaming SIMD Extensions
SSE2 * Supports Streaming SIMD Extensions 2
SSE3 * Supports Streaming SIMD Extensions 3
SSSE3 * Supports Supplemental SIMD Extensions 3
SSE4.1 * Supports Streaming SIMD Extensions 4.1
SSE4.2 * Supports Streaming SIMD Extensions 4.2
AES - Supports AES extensions

AVX - Supports AVX instruction extensions
FMA - Supports FMA extensions using YMM state
MSR * Implements RDMSR/WRMSR instructions
MTTR * Supports Mmeory Type Range Registers
XSAVE - Supports XSAVE/XRSTOR instructions
OSXSAVE - Supports XSETBV/XGETBV instructions
CMOV * Supports CMOVcc instruction

CLFSH * Supports CLFLUSH instruction
CX8 * Supports compare and exchange 8-byte instructions
CX16 * Supports CMPXCHG16B instruction
DCA - Supports prefetch from memory-mapped device
F16C - Supports half-precision instruction
FXSR * Supports FXSAVE/FXSTOR instructions
FFXSR - Supports optimized FXSAVE/FSRSTOR instruction
MONITOR - Supports MONITOR and MWAIT instructions
MOVBE - Supports MOVBE instruction
PCLULDQ - Supports PCLMULDQ instruction
POPCNT * Supports POPCNT instruction
SEP * Supports fast system call instructions
DE * Supports I/O breakpoints including CR4.DE

DTES64 - Can write history of 64-bit branch addresses
DS - Implements memory-resident debug buffer
DS-CPL - Supports Debug Store feature with CPL
PCID - Supports PCIDs and settable CR4.PCIDE
PDCM - Supports Performance Capabilities MSR
RDTSCP * Supports RDTSCP instruction
TSC * Supports RDTSC instruction
TSC-DEADLINE - Local APIC supports one-shot deadline timer
xTPR * Supports disabling task priority messages
ACPI * Implements MSR for power management

TM * Implements thermal monitor circuitry
TM2 * Implements Thermal Monitor 2 control
APIC * Implements software-accessible local APIC
x2APIC - Supports x2APIC
CNXT-ID - L1 data cache mode adaptive or BIOS
MCE * Supports Machine Check, INT18 and CR4.MCE

MCA * Implements Machine Check Architecture
PBE * Supports use of FERR#/PBE# pin
PSN - Implements 96-bit processor serial number

Logical to Physical Processor Map:
*--- Physical Processor 0
-*-- Physical Processor 1
--*- Physical Processor 2
---* Physical Processor 3
Logical Processor to Socket Map:

**** Socket 0
Logical Processor to NUMA Node Map:

**** NUMA Node 0
Logical Processor to Cache Map:

*--- Data Cache 0, Level 1, 32 KB, Assoc 8, LineSize 64
*--- Instruction Cache 0, Level 1, 32 KB, Assoc 4, LineSize 64
*--- Unified Cache 0, Level 2, 256 KB, Assoc 8, LineSize 64
-*-- Data Cache 1, Level 1, 32 KB, Assoc 8, LineSize 64
-*-- Instruction Cache 1, Level 1, 32 KB, Assoc 4, LineSize 64
-*-- Unified Cache 1, Level 2, 256 KB, Assoc 8, LineSize 64
--*- Data Cache 2, Level 1, 32 KB, Assoc 8, LineSize 64
--*- Instruction Cache 2, Level 1, 32 KB, Assoc 4, LineSize 64
--*- Unified Cache 2, Level 2, 256 KB, Assoc 8, LineSize 64
---* Data Cache 3, Level 1, 32 KB, Assoc 8, LineSize 64
---* Instruction Cache 3, Level 1, 32 KB, Assoc 4, LineSize 64
---* Unified Cache 3, Level 2, 256 KB, Assoc 8, LineSize 64
**** Unified Cache 4, Level 3, 8 MB, Assoc 16, LineSize 64
Logical Processor to Group Map:

**** Group 0
Baixar o Coreinfo (531 KB)

LiveKd v5.63
Artigo • 07/08/2023
Por Mark Russinovich e Ken Johnson
Baixar o LiveKd (700 KB)
Introdução
O LiveKD, um utilitário que escrevi para o CD incluído no Inside Windows 2000, 3ª
Edição, agora está disponível gratuitamente. O LiveKD permite executar os depuradores
do kernel da Microsoft Kd e Windbg, que fazem parte do pacote Ferramentas de
Depuração para Windows , localmente em um sistema ativo. Execute todos os
comandos do depurador que funcionam em arquivos de despejo de falhas para
examinar profundamente o sistema. Confira a documentação das Ferramentas de
Depuração para Windows e nosso livro para obter informações sobre como explorar um
sistema com os depuradores do kernel.
Embora as versões mais recentes do Windbg e do Kd tenham um recurso semelhante

no Windows Vista e no Server 2008, o LiveKD habilita mais funcionalidades, como a
exibição de pilhas de threads com o comando !thread, do que o próprio recurso de
depuração ao vivo do kernel do Windbg e do Kd.
Instalação
Primeiro, faça o download e instale o pacote Ferramentas de Depuração para Windows
no site da Microsoft:
https://msdn.microsoft.com/library/windows/hardware/ff551063(v=vs.85).aspx
Se você instalar as ferramentas no diretório padrão de \Arquivos de

Programas\Microsoft\Ferramentas de Depuração para Windows, poderá executar o
LiveKD em qualquer diretório; caso contrário, deverá copiar o LiveKD para o diretório no
qual as ferramentas estão instaladas.
Se você não tiver instalado símbolos para o sistema no qual está executando o LiveKD, o
LiveKD perguntará se deseja configurar automaticamente o sistema para utilizar o
servidor de símbolos da Microsoft (confira a documentação das Ferramentas de
Depuração para Windows para obter informações sobre arquivos de símbolos e o
servidor de símbolos da Microsoft).
OBSERVAÇÃO: o depurador da Microsoft reclamará que não consegue encontrar

símbolos para o LIVEKDD.SYS. Isso é esperado, já que não disponibilizei símbolos para o
LIVEKDD.SYS e não afeta o comportamento do depurador.
Utilizando o LiveKd
uso:
liveKd [[-w]|[-k <debugger>]|[-o nome do arquivo]] [-vsym] [-m[flags] [[-mp process]|

[pid]]][opções do depurador]
liveKd [[-w]|[-k <debugger>]|[-o nome do arquivo]] -ml [opções do depurador]
liveKd [[-w]|[-k <debugger>]|[-o nome do arquivo]] [[-hl]|[-hv <nome da VM> [[-p]|[-
hvd]]]] [opções do depurador]
-hv Especifica o nome ou o GUID da VM do Hyper-V que será depurada.
-hvd Inclui as páginas do hipervisor (somente Windows 8.1 e superior).
-hvl Lista os nomes e GUIDs das VMs Hyper-V em execução.
-k Especifica o caminho completo e o nome do arquivo da imagem do depurador que

será executada
-m Cria um despejo espelhado, que é uma exibição consistente da memória do kernel.

Somente a memória do modo kernel estará disponível, e essa opção pode precisar
de quantidades significativas de memória física disponível. Opcionalmente, pode
ser fornecida uma máscara de sinalizadores que especifica quais regiões devem ser
incluídas (extraída da tabela a seguir, padrão 0x18F8):
0001 - processo privado, 0002 - arquivo mapeado,
0004 - seção compartilhada, 0008 - páginas da tabela de páginas,
0010 - pool paginado, 0020 - pool não paginado,
0040 - PTEs do sistema, 0080 - páginas de sessão,
0100 - arquivos de metadados, 0200 - páginas de usuário AWE,
0400 - páginas de driver, 0800 - pilhas do kernel,
1000 - metadados WS, 2000 - páginas grandes
O padrão captura a maior parte do conteúdo da memória do kernel e é
recomendado.
Essa opção pode ser utilizada com -o para salvar despejos mais rápidos e
consistentes.
Os despejos espelhados exigem o Windows Vista ou o Windows Server 2008 ou
superior.
O Sysinternals RamMap fornece um resumo gráfico da distribuição das regiões de

memória disponíveis que podem ser selecionadas para inclusão.
-ml Gerar um despejo em tempo real utilizando suporte nativo (somente Windows 8.1 e
superior).
-mp Especifica um único processo cujo conteúdo da memória do modo de usuário deve
ser incluído em um despejo espelhado. Só funciona com a opção -m.
-o Salva um memory.dmp no disco em vez de iniciar o depurador.
-p Pausa a VM Hyper-V de destino enquanto o LiveKd está ativo (recomendado para

uso com -o). Especifica o nome ou o GUID da VM do Hyper-V que será depurada.
-hvl Lista os nomes e GUIDs das VMs Hyper-V em execução.
-vsym Exibe informações detalhadas de depuração sobre as operações de carregamento

dos símbolos.
-w Executa o windbg em vez do kd
Todas as outras opções são passadas para o depurador.
Observação: utilize Ctrl-Pausa para encerrar e reiniciar o depurador se ele travar.
Por padrão, o LiveKd executa o kd.exe.
Baixar o LiveKd (700 KB)
Executado em:

LoadOrder v1.02
Artigo • 07/10/2023
Baixar o LoadOrder (1.1 MB)

Introdução
Este miniaplicativo mostra a ordem em que um sistema Windows NT ou Windows 2000
carrega drivers do dispositivo. Observe que no Windows 2000, os drivers plug-and-play
podem ser carregados em uma ordem diferente da calculada, pois os drivers plug-and-
play são carregados sob demanda durante a detecção e a enumeração dos dispositivos.
Baixar o LoadOrder (1.1 MB)
É executado em:

ProcFeatures v1.1
Artigo • 07/08/2023

Desativado em: 1° de setembro de 2011
） Importante
O ProcFeatures foi desativado, pois as adições mais recentes a Coreinfo tornam

esse utilitário obsoleto. O Coreinfo v3 agora mostra os recursos de processador
compatíveis com os processadores do sistema.
PsInfo v1.79
Artigo • 09/08/2023
Introdução
O PsInfo é uma ferramenta de linha de comando que coleta informações importantes
sobre o sistema local ou remoto do Windows NT/2000, incluindo o tipo de instalação, o
build do kernel, a organização e o proprietário registrados, o número de processadores
e seu tipo, a quantidade de memória física, a data de instalação do sistema e, se for uma
versão de avaliação, a data de validade.
Instalação
Basta copiar PsInfo no caminho executável e digitar "psinfo".
Usando o PsInfo
Por padrão, o PsInfo mostra informações do sistema local. Especifique um nome de
computador remoto para obter informações de um sistema remoto. Como o PsInfo
depende do acesso remoto ao Registro para obter os dados, o sistema remoto deve
estar executando o serviço Registro Remoto e a conta a partir da qual você executa o
PsInfo deve ter acesso à parte HKLM\System do Registro remoto.
Para ajudar nas atualizações automatizadas do Service Pack, o PsInfo retorna o número
do sistema do Service Pack como um valor (por exemplo, 0 para nenhum service pack, 1
para SP 1 etc).
Uso: psinfo [[\\computer[,computer[,..] | @file [-u user

[-p psswd]]] [-h] [-s] [-d] [-c [-t delimiter]] [filter]
\\computer Execute o comando no computador remoto ou nos computadores especificados.

Se você omitir o nome do computador, o comando será executado no sistema local
e, se você especificar um coringa (\\*), o comando será executado em todos os

computadores no domínio atual.
@file Execute o comando em cada computador listado no arquivo de texto especificado.

-h Mostrar lista de hotfixes instalados.
-s Mostrar lista de aplicativos instalados.
-d Mostrar informações de volume de disco.
-c Imprimir no formato CSV.
-t O delimitador padrão para a opção -c é uma vírgula, mas pode ser substituído pelo
caractere especificado.
filter O Psinfo mostrará apenas os dados do campo que corresponde ao filtro. Por
exemplo, "psinfo service" lista apenas o campo do service pack.
Saída de exemplo
Shell
C:\> psinfo \\development -h -d
PsInfo v1.6 - local and remote system information viewer

System information for \\DEVELOPMENT:

Uptime: 28 days, 0 hours, 15 minutes, 12 seconds
Kernel version: Microsoft Windows XP, Multiprocessor Free
Product type Professional
Product version: 5.1
Service pack: 0
Kernel build number: 2600
Registered organization: Sysinternals
Registered owner: Mark Russinovich
Install date: 1/2/2002, 5:29:21 PM
Activation status: Activated
IE version: 6.0000
System root: C:\WINDOWS
Processors: 2
Processor speed: 1.0 GHz
Processor type: Intel Pentium III
Physical memory: 1024 MB
Volume Type Format Label Size Free Free
A: Removable 0%
C: Fixed NTFS WINXP 7.8 GB 1.3 GB 16%
D: Fixed NTFS DEV 10.7 GB 809.7 MB 7%
E: Fixed NTFS SRC 4.5 GB 1.8 GB 41%
F: Fixed NTFS MSDN 2.4 GB 587.5 MB 24%
G: Fixed NTFS GAMES 8.0 GB 1.0 GB 13%
H: CD-ROM CDFS JEDIOUTCAST 633.6 MB 0%
I: CD-ROM 0%
Q: Remote 0%
T: Fixed NTFS Test 502.0 MB 496.7 MB 99%
OS Hot Fix Installed
Q147222 1/2/2002
Q309521 1/4/2002
Q311889 1/4/2002
Q313484 1/4/2002
Q314147 3/6/2002
Q314862 3/13/2002
Q315000 1/8/2002
Q315403 3/13/2002
Q317277 3/20/2002
Como funciona
O PsInfo usa a API do Registro Remoto para ler informações do sistema do Registro do
sistema e o WMI para determinar se as instalações do Windows XP foram ativadas.
PsTools
O PsInfo faz parte de um kit crescente de ferramentas de linha de comando do

PsTools.
Executado em:

RAMMap v1.61
Artigo • 11/08/2023
Publicação: 11 de maio de 2022
Baixar o RAMMap (671 KB)

Você já se perguntou como exatamente o Windows está atribuindo memória física,

quantos dados de arquivo são armazenados em cache na RAM ou o quanto de RAM é
usado pelos drivers de kernel e de dispositivo? O RAMMap facilita a resposta a essas
perguntas. O RAMMap é um utilitário avançado de análise de uso de memória física
para Windows Vista e versões superiores. Ele apresenta informações de uso de maneiras
diferentes em suas diversas guias:
Contagens de Uso: resumo de uso por tipo e lista de paginação

Processos: processos dos tamanhos do conjunto de trabalho
Resumo de Prioridade: tamanhos de lista de espera priorizados
Páginas Físicas: uso por página de toda a memória física
Intervalos Físicos: endereços de memória física
Resumo do Arquivo: dados de arquivo na RAM por arquivo
Detalhes do Arquivo: páginas físicas individuais por arquivo
Use o RAMMap para entender como o Windows gerencia a memória, para analisar o
uso da memória do aplicativo ou para responder a perguntas específicas sobre como a
RAM está sendo alocada. O recurso de atualização do RAMMap permite que você
atualize a exibição, além de ter suporte para salvar e carregar instantâneos de memória.
Para obter as definições dos rótulos que o RAMMap usa e para saber mais sobre os
algoritmos de alocação de memória física usados pelo gerenciador de memória do
Windows, consulte o Windows Internals, 5ª edição.
Links Relacionados
Livro Windows Internals A página oficial de atualizações e erratas do livro
definitivo sobre os componentes internos do Windows, por Mark Russinovich e
David Solomon.
Windows Sysinternals Administrator's Reference O guia oficial dos utilitários do
Sysinternals, escrito por Mark Russinovich e Aaron Margosis, incluindo descrições
de todas as ferramentas, seus recursos, como usá-las para solucionar problemas e
exemplos de casos de seu uso no mundo real.
Baixar o RAMMap (671 KB)
É executado em:

Saiba mais
Ferramentas de Desfragmentação: nº 6 – RAMMap
Neste episódio de Ferramentas de Desfragmentação, Andrew Richards e Larry
Larsen abordam o uso do RAMMap para ver como a RAM está sendo usada e
analisam se houve alguma pressão de memória.
WinObj v3.14
Artigo • 09/08/2023
Baixar WinObj (1.8 MB)

Introdução
O WinObj é uma ferramenta indispensável se você é um administrador do sistema
preocupado com a segurança, um desenvolvedor que rastreia problemas relacionados a
objetos ou apenas curioso sobre o namespace do Gerenciador de Objetos.
O WinObj é um programa que usa a API nativa do Windows (fornecida por NTDLL.DLL)
para acessar e exibir informações no namespace do Gerenciador de Objetos NT. O
Winobj pode parecer semelhante ao programa do SDK da Microsoft de mesmo nome,
mas a versão do SDK sofre de vários bugs significativos que o impedem de exibir
informações precisas (por exemplo, seu identificador e as informações de contagem de
referência estão totalmente desfeitos). Além disso, nosso WinObj entende muito mais
tipos de objeto. Por fim, a versão 3.0 do nosso WinObj tem aprimoramentos de
interface do usuário (incluindo um tema escuro), sabe como abrir objetos de dispositivo,
fornece atualizações dinâmicas quando objetos são criados/destruídos e permite
pesquisa e filtragem.
Instalação e Uso
Não há nenhum componente de driver de dispositivo no WinObj, portanto, você pode
executá-lo como qualquer programa Win32.
Como funciona
O Gerenciador de Objetos é responsável pelo gerenciamento de objetos NT. Como
parte dessa responsabilidade, ele mantém um namespace interno em que vários
componentes do sistema operacional, drivers de dispositivo e programas Win32 podem
armazenar e pesquisar objetos. A API NT nativa fornece rotinas que permitem que os
programas de modo de usuário procurem o namespace e consultem o status de objetos
localizados lá, mas as interfaces não estão documentadas.
Mais informações
Helen Custer, autora de Dentro do Windows NT, fornece uma boa visão geral do
namespace do Gerenciador de Objetos e a coluna de outubro de 1997 da Revista
WindowsITPro de Mark, "Dentro do Gerenciador de Objetos", é (é claro) uma
excelente visão geral.
Baixar WinObj (1.8 MB)

Executado em:

Utilitários Diversos do Sysinternals
Artigo • 07/08/2023
AD Explorer
(AD).
AdRestore
Restaurar objetos do Active Directory marcados para exclusão em domínios do Server
2003.
Autologon
Ignorar a tela de senha durante o login.
BgInfo
Esse programa totalmente configurável gera automaticamente planos de fundo da área
de trabalho que incluem informações importantes sobre o sistema, incluindo endereços
IP, nome do computador, adaptadores de rede e muito mais.
BlueScreen
Essa proteção de tela além de simular com precisão as telas azuis, também simula
reinicializações (completas com CHKDSK) e funciona no Windows Vista, Server 2008 e
superior.
Ctrl2cap
Esse é um driver de modo kernel que demonstra a filtragem de entrada do teclado logo
acima do driver de classe de teclado para transformar o Caps Lock em teclas de
controle. A filtragem nesse nível permite a conversão e a ocultação de chaves antes
mesmo do NT "vê-las". Ctrl2cap também mostra como usar NtDisplayString() para
imprimir mensagens na tela azul de inicialização.
DebugView
Outra novidade da Sysinternals: esse programa intercepta chamadas feitas ao DbgPrint
por drivers de dispositivo e ao OutputDebugString feitas por programas Win32. Permite
a visualização e a gravação da saída da sessão de depuração em seu computador local
ou na Internet sem um depurador ativo.
Desktops
Esse novo utilitário permite que você crie até quatro áreas de trabalho virtuais e use
uma interface de bandeja ou teclas de atalho para visualizar o que está em cada área de
trabalho e alternar facilmente entre elas.
Hex2dec
Converta números hexadecimais em decimais e vice-versa.
NotMyFault
vazamentos de memória do kernel no seu sistema Windows.
PsLogList
PsTools
RegDelNull
Verifique e exclua chaves do Registro que contenham caracteres nulos inseridos que, de
outra forma, não podem ser acessados pelas ferramentas padrão de edição do Registro.
Uso do Registro (RU)

Exiba o uso do espaço do registro da chave do registro especificada.
RegJump
Vá para o caminho do registro especificado no Regedit.
Cadeias de caracteres
Pesquisar cadeias de caracteres ANSI e UNICODE em imagens binárias.
ZoomIt
Utilitário de apresentação para aplicar zoom e desenhar na tela.
BgInfo v4.32
Artigo • 05/08/2023
Baixar BgInfo (2.2 MB)

Introdução
Quantas vezes você percorreu um sistema em seu escritório e precisou clicar em várias
janelas de diagnóstico para se lembrar de aspectos importantes de sua configuração,
como seu nome, endereço IP ou versão do sistema operacional? Se você gerencia vários
computadores, provavelmente precisará de BGInfo. Ele exibe automaticamente
informações relevantes sobre um computador Windows em segundo plano da área de
trabalho, como o nome do computador, o endereço IP, a versão do service pack e muito
mais. Você pode editar qualquer campo, bem como as cores da fonte e da tela de
fundo, e pode colocá-lo em sua pasta de inicialização para que ele execute cada
inicialização ou até mesmo configurá-lo para exibição como a tela de fundo da tela de
logon.
Como o BGInfo simplesmente grava um novo bitmap da área de trabalho e é encerrado,

você não precisa se preocupar com ele consumindo recursos do sistema ou interferindo
em outros aplicativos.
Sysinternals BgInfo
Instalação e Uso
Consulte o artigo do Windows IT Pro MagazinePower Tools de Mark para obter uma
cartilha sobre como usar o BgInfo. Se você tiver dúvidas ou problemas, visite o Fórum
BgInfo do Sysinternals.
Ao colocar o BGInfo na pasta Inicialização, você pode garantir que as informações do

sistema que estão sendo exibidas fiquem atualizadas sempre que você inicializar. Depois
de resolver as informações a serem exibidas, use a opção de linha de comando /timer:0
para atualizar a exibição sem mostrar a caixa de diálogo.
Você também pode usar o Agendador do Windows para executar o BGInfo

regularmente para garantir que os sistemas de longa execução sejam mantidos
atualizados.
Se você criar um arquivo de configuração BGInfo (usando o item de menu

Configurações Arquivo|Salvar) você pode importar e usar automaticamente essas
configurações em outros sistemas adicionando a opção de linha de comando /I<path>
ou /iq<path>.
Usando BgInfo
Quando você executa o BGInfo, ele mostra a aparência e o conteúdo de sua tela de
fundo da área de trabalho padrão. Se deixado intocado, ele aplicará automaticamente
essas configurações e sairá depois que o temporizador de contagem regressiva de 10
segundos expirar.
Selecionar qualquer botão ou item de menu desabilitará o temporizador, permitindo

que você personalize o layout e o conteúdo das informações em segundo plano.
Se você quiser que o BGInfo edite ou use uma configuração armazenada em um arquivo
(em vez da configuração padrão armazenada no registro), especifique o nome do
arquivo na linha de comando:
BGInfo MyConfig.bgi
Botões de Aparência
Campos: Seleciona quais informações aparecem na área de trabalho e a ordem em que
elas são exibidas. Para campos de rede (NIC, IP, MAC etc.), uma entrada separada é
criada para cada rede cartão no sistema. Use o botão Personalizado para adicionar
informações especiais que você mesmo define.
Tela de Fundo: Seleciona a cor e/ou papel de parede a ser usado para a tela de fundo.
Se você selecionar a opção Copiar configurações existentes, o BGInfo usará todas as
informações selecionadas no momento pelo usuário conectado. Essa opção permite que
os usuários finais personalizem sua área de trabalho enquanto ainda exibem as
informações do BGInfo.
Posição: Seleciona o local na tela na qual colocar o texto. Se alguns itens forem muito
longos (por exemplo, alguns nomes de cartão de rede), você poderá usar o item Limitar
Linhas para encapsule-os. A caixa de seleção Compensar pela posição da Barra de
tarefas ajusta a posição do texto para garantir que ele não seja coberto pela Barra de
Tarefas. O botão Configuração de Vários Monitores permite que você especifique como
vários monitores anexados a um único console devem ser tratados.
Desktops: Seleciona quais áreas de trabalho são atualizadas quando a configuração é

aplicada. Por padrão, somente o papel de parede da Área de Trabalho do Usuário é
alterado. Habilitar a opção Área de Trabalho de Logon para usuários do Console
especifica que o papel de parede deve ser exibido na área de trabalho de logon
apresentada antes que qualquer pessoa tenha feito logon no sistema. Em sistemas
Windows 95/98/ME, a mesma área de trabalho é usada para usuários e a tela de logon,
portanto, essa opção não tem efeito. Habilitar a opção Área de Trabalho de Logon para
usuários dos Serviços de Terminal especifica que o papel de parede deve ser exibido na
tela de logon dos Serviços de Terminal. Essa opção é útil somente em servidores que
executam os Serviços de Terminal.
Visualizar: Exibe a tela de fundo como ela aparecerá quando aplicada ao sistema.
Itens de menu de configuração

Essas são opções que controlam como o bitmap é produzido, onde ele está localizado e
como importar/exportar configurações.
Arquivo | Abrir: Abre um arquivo de configuração do BGInfo.
Arquivo | Salvar como: Salva uma cópia da configuração do BGInfo atual em um novo
arquivo. Depois de criado, você pode fazer com que o BGInfo use o arquivo mais tarde
simplesmente especificando-o na linha de comando ou usando a opção de menu
Arquivo|Abrir.
Arquivo|Redefinir Configurações Padrão: Remove todas as informações de

configuração e redefine BGInfo para seu estado padrão (tempo de instalação). Use isso
se você não puder determinar como desfazer uma alteração ou se BGInfo ficar confuso
sobre o estado atual do bitmap.
Arquivo|Banco de dados: Especifica um arquivo .XLS, . MDB ou .TXT ou uma cadeia de

conexão para um banco de dados SQL que BGInfo deve usar para armazenar as
informações geradas. Use isso para coletar um histórico de um ou mais sistemas em sua
rede. Você deve garantir que todos os sistemas que acessam o arquivo tenham a
mesma versão do MDAC e do suporte ao banco de dados JET instalados. É
recomendável que você use pelo menos o MDAC 2.5 e o JET 4.0. Se estiver
especificando um arquivo XLS, o arquivo já deverá existir.
Se preferir que o BGInfo atualize o banco de dados sem modificar o papel de parede do
usuário, desmarque todas as áreas de trabalho na caixa de diálogo Áreas de Trabalho;
BGInfo ainda atualizará o banco de dados.
Bitmap|256 Cores: Limita o bitmap a 256 cores. Essa opção produz um bitmap menor.
Bitmap|Cor Alta/Cor Verdadeira: Cria um bitmap de cor de 16 ou 24 bits.
Bitmap|Corresponder à Tela: Cria um bitmap com profundidade de cor correspondente

à tela. Como o bitmap gerado pelo BGInfo não é atualizado quando um usuário altera a
profundidade de cor da tela, você pode ver resultados inesperados (especialmente
pontilhamento do texto e da tela de fundo) com algumas combinações de bitmap e
profundidade de tela.
Bitmap|Local: Especifica o local para colocar o arquivo de bitmap de saída. Em

servidores de Serviços de Terminal, o bitmap deve ser colocado em um local exclusivo
para cada usuário.
Editar|Inserir Imagem: Permite inserir uma imagem de bitmap na saída. Como as

informações de configuração do BGInfo são armazenadas no registro e o Windows
limita o tamanho dos valores do registro, você pode encontrar erros ao inserir imagens
maiores. Em sistemas Windows 9x/Me, o limite é de 16K, enquanto em sistemas
NT/2000/XP o limite é de 64K.
Opções de linha de comando

<caminho> Especifica o nome de um arquivo de configuração a ser usado para a sessão

atual. As alterações na configuração são salvas automaticamente no arquivo
quando OK ou Apply é pressionado. Se esse parâmetro não estiver presente, o
BGInfo usará as informações de configuração padrão armazenadas no registro
no usuário atual ("HKEY_CURRENT_USER\Software\Winternals\BGInfo").
/timer Especifica o valor de tempo limite para o temporizador de contagem

regressiva, em segundos. Especificar zero atualizará a exibição sem exibir a
caixa de diálogo de configuração. Especificar 300 segundos ou mais desabilita
completamente o temporizador.
/popup Faz com que BGInfo crie uma janela pop-up contendo as informações
configuradas sem atualizar a área de trabalho. As informações são formatadas
exatamente como se fossem exibidas na área de trabalho, mas residem em
uma janela ajustada. Ao usar essa opção, o banco de dados de histórico não é
atualizado.
/silent Suprime mensagens de erro.
/taskbar Faz com que BGInfo coloque um ícone na área de status da barra de tarefas
sem atualizar a área de trabalho. Clicar no ícone faz com que as informações
configuradas apareçam em uma janela pop-up. Ao usar essa opção, o banco
de dados de histórico não é atualizado.
/all Especifica que BGInfo deve alterar o papel de parede para todos os usuários
atualmente conectados ao sistema. Essa opção é útil em um ambiente de
Serviços de Terminal ou quando BGInfo está agendado para ser executado
periodicamente em um sistema usado por mais de uma pessoa (consulte
Usando um agendamento abaixo).
/log Faz com que BGInfo escreva erros no arquivo de log especificado em vez de
gerar uma caixa de diálogo de aviso. Isso é útil para rastrear erros que ocorrem
quando BGInfo é executado no agendador.
/rtf Faz com que BGInfo escreva seu texto de saída em um arquivo RTF. Todas as
informações e cores de formatação estão incluídas.
Baixar BgInfo ] (2.2 MB)
Funciona no:

Protetor de tela BlueScreen v3.2
Artigo • 04/08/2023
Baixar o BlueScreen (64 KB)
Introdução
Uma das cores mais temidas do mundo NT é o azul. A infame Tela Azul da Morte
(BSOD) aparecerá em um sistema NT sempre que algo der terrivelmente errado. O
Bluescreen é um protetor de tela que não apenas imita autenticamente um BSOD, mas
simulará telas de inicialização vistas durante uma inicialização do sistema.
Em instalações do NT 4.0, ele simula o chkdsk de unidades de disco com erros!

No Windows 2000, Windows 95 e Windows 98, ele apresenta a tela inicial de
inicialização do Windows 2000, completa com atualizações de controle de
progresso e faixa de progresso rotativas!
No Windows XP e no Windows Server 2003, ele apresenta a tela inicial de
inicialização do XP/Server 2003 com a barra de progresso!
O Bluescreen circula entre telas azuis diferentes e botas simuladas a cada 15 segundos
ou mais. Praticamente todas as informações mostradas no BSOD da Bluescreen e na tela
inicial do sistema são obtidas da configuração do sistema. Sua precisão enganará até
mesmo desenvolvedores NT avançados. Por exemplo, o número de build NT, a revisão
do processador, os drivers e endereços carregados, as características da unidade de
disco e o tamanho da memória são todos obtidos do sistema em que o Bluescreen está
sendo executado.
Use o Bluescreen para surpreender seus amigos e assustar seus inimigos!
Instalação e Uso
Observação: antes de executar o Bluescreen no Windows 95 ou 98, você deve copiar
\winnt\system32\ntoskrnl.exe de um sistema Windows 2000 para o diretório \Windows.
Basta copiar Sysinternals BLUESCRN. SCR para o diretório \system32 se estiver no
Windows NT/2K ou no diretório \Windows\System se estiver no Windows 95 ou 98.
Clique com o botão direito do mouse na área de trabalho para abrir a caixa de diálogo
Exibir configurações e selecione a guia "Protetor de Tela". Use a lista de pull down para
localizar "Sysinternals Bluescreen" e aplicá-la como seu novo protetor de tela. Selecione
o botão "Configurações" para habilitar a atividade de disco falsa, o que adiciona um
toque extra de realismo!
Mais informações
Você pode descobrir como telas azuis reais são geradas e o que as informações na Tela
Azul significam na minha coluna NT Internals da Windows ITPro Magazine de
dezembro de 1997, "Inside the Blue Screen."
Observação: alguns antivírus sinalizam o protetor de tela Bluescreen como um vírus.

Se esse for o caso do seu antivírus, talvez você não consiga usar esse protetor de tela.
Baixar o BlueScreen (64 KB)
É executado em:

CpuStres v2.0
Artigo • 21/10/2023
Por Pavel Yosifovich
Baixar o CpuStres (2.2 MB)
Introdução
CpuStres
O CpuStres é um utilitário que pode ser usado para simular a atividade da CPU
executando até 64 threads em um loop curto.
Cada thread pode ser iniciado, pausado ou interrompido de forma independente e

pode ser configurado com os seguintes parâmetros:
Nível de atividade Pode ser Baixo, Médio, Ocupado ou Máximo, que controla por
quanto tempo o thread permanece em repouso entre ciclos. Definir esse valor
como Máximo faz com que o thread seja executado continuamente.
Prioridade: controla a prioridade do thread. Confira o Windows Internals por Mark
Russinovich para mais detalhes sobre as prioridades de thread
Executado em:

Links Relacionados
Download
Baixar o CpuStres (2.2 MB)
Ctrl2cap v2.0
Artigo • 08/08/2023
Publicado em: 1° de novembro de 2006
Baixar o Ctrl2Cap (48 KB)
Introdução
O Ctrl2cap é um driver de dispositivo no modo kernel que filtra o driver de classe do
teclado do sistema para converter caracteres Caps Lock em caracteres Control. Pessoas
como eu, que migraram para o NT do UNIX, estão acostumadas a ter a tecla Control
localizada onde a tecla Caps Lock está no teclado padrão do computador e, portanto,
um utilitário como esse é essencial para o nosso bem-estar de edição.
Instalação e Uso
Instale o Ctrl2cap executando o comando "ctrl2cap /install" a partir do diretório no qual
você descompactou os arquivos do Ctrl2cap. Para desinstalar, digite "ctrl2cap /uninstall".
Como o Ctrl2cap funciona

No NT 4, o Ctrlcap é na verdade bastante trivial. O utilitário simplesmente anexa a si
mesmo ao driver de classe do teclado de forma a conseguir pegar as solicitações de
leitura do teclado. Para cada solicitação, o Ctrlcap posta um retorno de chamada de
conclusão de E/S e, nesse ponto, dá uma espiada no código de verificação que está
sendo retornado. Se acontecer de ser um Caps Lock, o Ctrl2cap o altera para um Control
do lado esquerdo.
No Win2K, o Ctrl2cap é um driver de filtro do WDM que forma uma camada na pilha do
dispositivo de classe do teclado acima do dispositivo de classe do teclado. Trata-se de
um contraste com o exemplo do kbfiltr do DDK do Win2K, que aplica a si mesmo como
uma camada entre o dispositivo de porta i8042 e o dispositivo de classe do teclado.
Optei por colocar a camada em cima do dispositivo de classe do teclado por várias
razões:
Isso significa que o código de interceptação e manipulação do Ctrl2cap
IRP_MJ_READ é compartilhado entre as versões NT 4 e Win2K.
Não preciso fornecer um arquivo INF e fazer com que o usuário passe pelo
Gerenciador de Dispositivos para instalar o Ctrl2cap: simplesmente modifiquei o
valor apropriado do Registro (o valor
HKLM\System\CurrentControlSet\Control\Class UpperFilters dos dispositivos de
classe do teclado).
A desvantagem da minha abordagem é a seguinte (e pode ser uma vantagem ou

desvantagem, dependendo do seu ponto de vista):
Como não o instalo com um arquivo INF por meio do Gerenciador de Dispositivos,
o usuário não é avisado de que o arquivo de driver do Ctrl2cap não é assinado
digitalmente pela Microsoft.
Nesse caso específico, achei que as vantagens superavam as desvantagens. No entanto,

antes de modelar um filtro de teclado Win2K no Ctrl2cap, sugiro fortemente que você
estude o exemplo do kbfiltr do DDK do Win2K. O ponto de interceptação do Kbfiltr na
sequência de entrada de teclas torna muito fácil para o kbfiltr injetar pressionamentos
de tecla no fluxo de entrada.
Mais informações
Para obter mais informações sobre como escrever drivers de filtro (drivers que se
anexam a outros drivers para que possam ver suas entradas e/ou saídas), aqui estão as
fontes que você deve conferir:
Amostra do DDK do Windows NT e do Windows 2000 \src\storage\filter\diskperf

Amostra do DDK do Windows 2000 \src\input\kbfiltr
"Examinando o Sistema de Arquivos do Windows NT", Por Mark Russinovich, Dr.
Dobb's Journal, fevereiro de 1997
O driver de filtro do sistema de arquivos que o acompanha, Filemon
Baixar o Ctrl2Cap (48 KB)
É executado em:

DebugView v4.90
Artigo • 07/08/2023
Baixar o DebugView (1.3 MB)

Introdução
O DebugView é um aplicativo que permite monitorar a saída da depuração no seu
sistema local ou em qualquer computador da rede que possa ser acessado via TCP/IP.
Ele é capaz de exibir a saída da depuração no modo kernel e Win32, de modo que não é
necessário um depurador para capturar a saída da depuração gerada por seus
aplicativos ou drivers de dispositivo, nem modificar seus aplicativos ou drivers para usar
APIs de saída de depuração não padrão.
Captura do DebugView
No Windows 2000, XP, Server 2003 e Vista, o DebugView capturará:
Win32 OutputDebugString
Modo kernel DbgPrint
Todas as variantes do modo kernel do DbgPrint implementadas no Windows XP e
Server 2003
O DebugView também extrai a saída da depuração do modo kernel gerada antes de

uma falha dos arquivos de despejo de memória do Windows 2000/XP se o DebugView
estiver capturando no momento da falha.
Recursos do DebugView
O DebugView tem uma poderosa gama de recursos para controlar e gerenciar a saída
de depuração.
Novos recursos na versão 4.6:
Suporte para Windows Vista de 32 e 64 bits

Novos recursos da versão 4.5:
Suporte para rolagem de arquivos de registro: para suportar melhor as capturas

de longa duração, o DebugView agora pode criar um novo arquivo de log a cada
dia, opcionalmente limpando a tela ao fazer isso.
Suporte para Windows Server 2003 64-bit Edition e Windows XP 64-bit Edition
para x64:O DebugView agora captura a saída da depuração do modo kernel em
versões de 64 bits do Windows.
Alternância de tempo do relógio: agora é possível alternar entre os modos de
tempo do relógio e de tempo decorrido.
Suporte ao Windows XP SP2:o DebugView agora captura a saída da depuração do

modo kernel no Windows XP SP2.
Mais filtros de destaque: muitas pessoas solicitaram mais filtros de destaque.
Encapsulamento do arquivo de log: uma nova opção de arquivo de log faz com
que o DebugView encapsule o início do arquivo de log quando o limite de
tamanho especificado for atingido.
Buffers maiores: os buffers maiores do Win32 e do modo kernel diminuem a
chance de perda de saída de depuração.
Cadeia de caracteres de limpeza da saída: quando DebugView confere a cadeia de
caracteres de saída da depuração especial "DBGVIEWCLEAR", ele limpa a saída.
Cliente minimizado na bandeja: agora é possível executar o cliente minimizado na
bandeja.
Correção do bug do gancho do kernel:O DebugView às vezes informava

erroneamente que não conseguia fazer o gancho da saída da depuração no modo
kernel no Windows XP e Server 2003.
Opção de captura global do cliente: Uma nova opção permite que o cliente
capture a saída da depuração Win32 do console em sistemas Terminal Server
quando executado a partir de uma sessão não console.
Filtragem aprimorada: os filtros podem ser muito mais longos e agora se aplicam
às IDs de processos Win32 quando as IDs de processos são incluídas na saída.
Suporte ao despejo de memória aprimorado: vários erros relacionados à extração
da saída do modo kernel de despejos de memória foram corrigidos e o DebugView
agora carrega os arquivos de logs resultantes.
Mais filtros de destaque:o DebugView agora tem 10 filtros de destaque, em vez de
5.
Inserir comentários: um novo item de menu permite que você insira comentários
na saída.
Novas alternâncias: novas alternâncias de linha de comando permitem especificar
a profundidade do histórico e carregar arquivos de log.
Melhores dicas de balão: se uma linha de saída for mais larga do que a tela, a
palavra da ponta do balão ao passar o mouse será encapsulada.
Salvar e carregar filtros: você pode salvar e carregar filtros, inclusive as cores de
realce.
Carregamento de registros salvos: agora é possível carregar um arquivo de log
novamente na janela de saída do DebugView.
Captura da saída da depuração do modo kernel no momento da inicialização: no
Windows 2000, você pode utilizar o DebugView para capturar a saída da
depuração gerada pelos drivers desde o primeiro momento do processo de
inicialização.
Aqui está uma lista que destaca alguns dos outros recursos do DebugView:
Monitoramento remoto: captura a saída da depuração do modo kernel e/ou

Win32 de qualquer computador acessível via TCP/IP, mesmo através da Internet.
Você pode monitorar vários computadores remotos simultaneamente. O
DebugView instalará até mesmo o software cliente se você o estiver executando
em um sistema Windows 2000 e estiver capturando de outro sistema Windows
2000 na mesma vizinhança de rede.
Listas de filtros mais recentes:O DebugView lembra suas seleções de filtros mais
recentes, com uma interface que facilita a nova seleção.
Opção de ID do processo: alterna a exibição de IDs de processos para a saída de
depuração do Win32.
Cópia do quadro de recortes: selecione várias linhas na janela de saída e copie seu
conteúdo para a área de transferência.
Log para o arquivo: grava a saída de depuração em um arquivo à medida que é
capturada.
Impressão: imprime toda ou parte da saída de depuração capturada em uma
impressora.
Payload de um arquivo: o DebugView é implementado como um arquivo.
Suporte ao Despejo de Memória:o DebugView pode recuperar seus buffers a
partir de um despejo de memória e salvar a saída em um arquivo dos logs para
que os usuários possam enviar a você a saída gerada pelo driver do Windows até o
momento de uma falha.
O arquivo de ajuda online descreve detalhadamente todos esses recursos e outros.
Instalação e Uso
Basta executar o arquivo do programa DebugView (dbgview.exe) e o DebugView
começará imediatamente a capturar a saída da depuração. Observe que, se você
executar o DebugView no Windows 2000/XP, deverá ter privilégios administrativos para
exibir a saída da depuração no modo kernel. Menus, teclas de atalho ou botões da barra
de ferramentas podem ser utilizados para limpar a janela, salvar os dados monitorados
em um arquivo, pesquisar a saída, alterar a fonte da janela e muito mais. A ajuda online
descreve todos os recursos do DebugView.
Esta é uma captura de tela do DebugView capturando a saída da depuração do Win32

de um sistema remoto. Observe que há um filtro de destaque.
Baixar o DebugView (1.3 MB)

Desktops v2.01
Artigo • 07/08/2023
Baixar Desktops (199 KB)

Introdução
O utilitário Desktops permite organizar seus aplicativos em até quatro áreas de trabalho
virtuais. Leia emails em um, navegue pela Web no segundo e trabalhe em seu software
de produtividade no terceiro, sem a confusão das janelas que você não está usando.
Depois de configurar as teclas de acesso para alternar áreas de trabalho, você pode criar
e alternar áreas de trabalho clicando no ícone da bandeja para abrir uma janela de
visualização e alternância de áreas de trabalho ou usando as teclas de acesso.
Usando o Desktops
Ao contrário de outros utilitários de área de trabalho virtual que implementam suas
áreas de trabalho mostrando as janelas que estão ativas em uma área de trabalho e
ocultando o restante, o Sysinternals Desktops usa um objeto de área de trabalho do
Windows para cada área de trabalho. As janelas do aplicativo são associadas a um
objeto de área de trabalho quando são criadas, portanto, o Windows mantém a
conexão entre janelas e áreas de trabalho e sabe quais serão mostradas quando você
alternar uma área de trabalho. Isso torna o Sysinternals Desktops muito leve e livre dos
bugs aos quais a outra abordagem é propensa, onde a exibição de janelas ativas se
torna inconsistente com as janelas visíveis.
No entanto, a dependência de áreas de trabalho em objetos da área de trabalho do

Windows significa que ele não pode fornecer algumas das funcionalidades de outros
utilitários de área de trabalho virtual. Por exemplo, o Windows não fornece uma maneira
de mover uma janela de um objeto da área de trabalho para outro e, como um processo
de Explorer separado deve ser executado em cada área de trabalho para fornecer uma
barra de tarefas e um menu Iniciar, a maioria dos aplicativos da bandeja só são visíveis
na primeira área de trabalho. Além disso, não há como excluir um objeto de área de
trabalho, portanto, o Desktops não fornece uma maneira de fechar uma área de
trabalho, pois isso resultaria em janelas e processos órfãos. A maneira recomendada de
sair do Desktops é, portanto, fazer logoff.
Captura de tela
Caixa de Diálogo de Configuração
Janela de Alternância de Área de Trabalho da Bandeja
Baixar Desktops (199 KB)
Executado em:
Cliente: Windows 7, Windows 8, Windows 8.1 & Windows 10.

Servidor: Windows Server 2008 - Windows Server 2022.
Hex2dec v1.1
Artigo • 24/10/2023
Baixar Hex2dec (578 KB)
Introdução
Cansado de executar Calc para converter hexadecimal em decimal? Agora você pode
usar esse simples utilitário de linha de comando.
Iso: hex2dec [hex|decimal]
Inclua x ou 0x como o prefixo do número para especificar um valor hexadecimal.

Por exemplo, para traduzir 1233 decimal para hexadecimal: hex2dec 1233
Por exemplo, para traduzir 0x1233 hexadecimal para decimal: hex2dec 0x1233
Baixar Hex2dec (578 KB)
É executado em:

NotMyFault v4.21
Artigo • 04/08/2023
Baixar o NotMyFault (1.4 MB)
Introdução
vazamentos de memória do kernel no seu sistema Windows. É útil para aprender a
identificar e diagnosticar problemas de driver e hardware de dispositivo, e você também
pode usá-lo para gerar arquivos de despejo de tela azul nos sistemas com
comportamento inadequado. O arquivo de download inclui versões de 32 bits e de 64
bits, bem como uma versão de linha de comando que funciona no Nano Server. O
Capítulo 7 no Windows Internals usa o Notmyfault para demonstrar a solução de
problemas de vazamento de pool e o Capítulo 14 o usa como exemplos de análise de
falhas.
Capturas de tela
Uso
Você pode usar as versões da GUI ou a versão da linha de comando. o Notmyfault
requer privilégios administrativos.
Uso:
notmyfaultc.exe crash crash_type_num
Shell
crash type:
0x01: High IRQL fault (Kernel-mode)
0x02: Buffer overflow
0x03: Code overwrite
0x04: Stack trash
0x05: High IRQL fault (User-mode)
0x06: Stack overflow
0x07: Hardcoded breakpoint
0x08: Double Free
Ou notmyfaultc.exe trava hang_type_num
Shell
hang type:
0x01: Hang with IRP
0x02: Hang with DPC
Baixar o NotMyFault (1.4 MB)

PsPasswd v1.25
Artigo • 04/08/2023
Introdução
Os administradores de sistemas que gerenciam contas administrativas locais em vários
computadores regularmente precisam alterar a senha da conta como parte das práticas
de segurança padrão. O PsPasswd é uma ferramenta que permite que você altere uma
senha de conta nos sistemas locais ou remotos, permitindo que os administradores
criem arquivos nos lotes que executam o PsPasswd nos computadores que gerenciam
para executar uma alteração em massa da senha do administrador.
O PsPasswd usa APIs de redefinição de senha do Windows, portanto, não envia senhas
pela rede de forma clara.
Instalação
Basta copiar o PsPasswd no caminho executável e digitar "pspasswd" com a sintaxe de
linha de comando mostrada abaixo.
Usando o PsPasswd
Você pode usar o PsPasswd para alterar a senha de uma conta local ou de domínio no
computador local ou remoto.
uso: pspasswd [[\\computer[,computer[,..] | @file [-u usuário [-p psswd]]] Nome de

usuário [NewPassword]
computer Execute o comando no computador remoto ou nos computadores

especificados. Se você omitir o nome do computador, o comando será
executado no sistema local e, se você especificar um coringa (\\*), o comando
será executado em todos os computadores no domínio atual.
@file Execute o comando em cada computador listado no arquivo de texto

especificado.
-p Especifica a senha opcional do nome do usuário. Se você omitir o argumento,

será solicitado que digite sua senha.
Nome de Especifica o nome da conta para alteração de senha.

usuário
NewPassword Nova senha. Se uma senha NULL for omitida, será aplicada.
PsTools
O PsFile faz parte de um kit crescente de ferramentas de linha de comando do
Sysinternals que auxiliam na administração de sistemas locais e remotos chamados de
PsTools.
É executado em:

PsShutdown v2.6
Artigo • 09/08/2023
Introdução
O PsShutdown é um utilitário de linha de comando semelhante ao utilitário de
desligamento do Kit de Recursos do Windows 2000, mas com a capacidade de fazer
muito mais. Além de dar suporte às mesmas opções de desligamento ou reinicialização
do computador local ou remoto, o PsShutdown pode fazer logoff do usuário do console
ou bloquear o console (o bloqueio requer o Windows 2000 ou superior). O PsShutdown
não requer nenhuma instalação manual do software cliente.
Instalação
Basta copiar o PsShutdown no caminho do executável e digitar psshutdown com as
opções de linha de comando definidas abaixo.
Usando o PsShutdown
Confira na edição de fevereiro de 2005 da revista Windows IT Pro o artigo do Mark
(https://www.windowsitpro.com/article/articleid/44973/44973.html) que aborda o uso
avançado do PsKill).
Você pode usar o PsShutdown para iniciar um desligamento do computador local ou

remoto, fazer logoff de um usuário, bloquear um sistema ou anular um desligamento
iminente.
Uso: psshutdown [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] -s|-r|-h|-d|-

k|-a|-l|-o|-x [-f] [-c] [-t nn|h:m] [-n s] [-v nn] [-e [u|p]:xx:yy] [-m "message"]

computer Execute o comando no computador remoto ou nos computadores especificados. Se

você omitir o nome do computador, o comando será executado no sistema local e,
se você especificar um coringa (\\*), o comando será executado em todos os
computadores no domínio atual.
@file Execute o comando em cada computador listado no arquivo de texto especificado.

-a Anula um desligamento (só é possível enquanto a contagem regressiva estiver em

andamento).
-c Permite que o desligamento seja anulado pelo usuário interativo.
-d Suspender o computador.
-e Código do motivo do desligamento.
Especifique "u" para códigos de motivo do usuário e "p" para códigos de motivo de
desligamento planejado.
xx é o código de motivo principal (deve ser menor que 256).
yy é o código de motivo secundário (deve ser menor que 65536).
-f Força todos os aplicativos em execução a sair durante o desligamento, em vez de

dar a eles a chance de salvar seus dados normalmente.
-h Hibernar o computador.
-k Desativar o computador (reiniciar se não houver suporte para desligamento).
-l Bloquear o computador.
-m Essa opção permite que você especifique uma mensagem a ser exibida para
usuários conectados quando uma contagem regressiva de desligamento for
iniciada.
-n Especifica o tempo limite de conexão a computadores remotos, em segundos.
-o Faça logoff do usuário do console.
-r Reiniciar após o desligamento.
-s Desligamento sem desligar.
-t Especifica a contagem regressiva em segundos até o desligamento (padrão: 20

segundos) ou o tempo de desligamento (em notação de 24 horas).
-x Desativar o monitor (o sistema iniciará o Modo de Espera Moderno, se houver

suporte)
-v Exibir mensagem para o número especificado de segundos antes do desligamento.

Se você omitir esse parâmetro, a caixa de diálogo de notificação de desligamento
será exibida e a especificação de um valor de 0 resultará em nenhuma caixa de
diálogo.
PsTools
O PsShutdown faz parte de um kit crescente de ferramentas de linha de comando do

PsTools.
Executado em:

Área de Trabalho Remota Gerenciador
de Conexões v2.92
Artigo • 08/06/2023
Por Julian Burger
Baixar Gerenciador de Conexões de Área de Trabalho Remota (530 KB)

Execute agora no Sysinternals Live .
Introdução
O RDCMan gerencia várias conexões de área de trabalho remota. É útil para gerenciar
laboratórios de servidor em que você precisa de acesso regular a cada computador,
como sistemas de check-in automatizados e data centers.
Os servidores são organizados em grupos nomeados. Você pode se conectar ou

desconectar a todos os servidores em um grupo com um único comando. Você pode
exibir todos os servidores em um grupo como um conjunto de miniaturas, mostrando a
ação ao vivo em cada sessão. Os servidores podem herdar suas configurações de logon
de um grupo pai ou de um repositório de credenciais. Portanto, quando você altera a
senha da sua conta de laboratório, só precisa alterar a senha armazenada pelo RDCMan
em um só lugar. As senhas são armazenadas com segurança criptografando com
CryptProtectData usando a autoridade do usuário (localmente) conectada ou um
certificado X509.
O usuário com versões do sistema operacional anteriores ao Win7/Vista precisará obter

a versão 6 do Cliente de Serviços de Terminal. Você pode obter isso no Centro de
Download da Microsoft: XP; Win2003
Observação de atualização: os arquivos RDG com esta versão do RDCMan não são
compatíveis com versões mais antigas do programa. Qualquer arquivo RDG herdado
aberto e salvo com esta versão será copiado em backup como filename.old
A tela
A tela Gerenciador de Conexões da Área de Trabalho Remota consiste no menu, uma
árvore com grupos de servidores, uma barra de divisor e uma área de cliente.
O Menu
Há vários menus de nível superior no RDCMan:
Arquivo – carregar, salvar e fechar grupos de arquivos RDCMan

Editar – adicionar, remover e editar as propriedades de servidores e grupos.
Sessão – conectar, desconectar e fazer logoff das sessões
Exibição – opções para controlar a visibilidade da árvore do servidor, dos grupos
virtuais e do tamanho da área do cliente
Áreas de Trabalho Remotas – permite o acesso aos grupos e servidores de forma
hierárquica, semelhante à árvore do servidor; principalmente útil quando a árvore
do servidor está oculta
Ferramentas – alterar propriedades do aplicativo
Ajuda – saiba mais sobre o RDCMan (você provavelmente já encontrou isso)
A Árvore
A maioria dos trabalhos, como adicionar, remover e editar servidores e grupos, pode ser
realizada por meio do clique com o botão direito do mouse em um nó de árvore.
Servidores e grupos podem ser movidos usando arrastar e soltar.
Atalhos de teclado:
Insira: Conectar-se ao servidor selecionado.

Shift+Enter: conecte-se ao servidor selecionado usando o recurso Conectar como.
Excluir: remova o servidor ou grupo selecionado.
Shift+Excluir: remova o servidor ou grupo selecionado sem dúvida.
Alt+Enter: caixa de diálogo Abrir propriedades para o servidor ou grupo
selecionado.
Guia: se um servidor conectado estiver selecionado, dê a ele o foco.
Use a opção de menu [Exibir.Local da árvore do servidor] para localizar a árvore na

borda esquerda ou direita da janela.
A árvore do servidor pode ser encaixada, oculta automaticamente ou sempre ocultada

por meio da opção de menu [Visibilidade da árvore View.Server] . Quando a árvore do
servidor não é exibida, os servidores ainda podem ser acessados por meio do menu
Áreas de Trabalho Remotas. Quando a árvore é ocultada automaticamente, a barra de
divisor permanece visível no lado esquerdo da janela. Passar o mouse sobre ele colocará
a árvore do servidor de volta à exibição.
A área do cliente
A exibição da área do cliente depende do nó selecionado na árvore. Se um servidor for
selecionado, a área de cliente mostrará o cliente de área de trabalho remota para esse
servidor. Se um grupo for selecionado, a área do cliente mostrará uma miniatura dos
servidores dentro desse grupo. O tamanho da área do cliente pode ser especificado por
meio do menu Exibir, bem como redimensionar a janela RDCMan. Use [Tamanho da
janela View.Lock] para impedir que a janela seja redimensionada arrastando o quadro.
Cuidado: os servidores conectados podem receber o foco da navegação por teclado

da exibição em miniatura. Nem sempre é óbvio qual servidor tem foco, portanto,
tenha cuidado. Há uma configuração para controlar isso: [Configurações de
Exibição.Permitir interação de sessão em miniatura].
Modo de Tela Inteira

Para trabalhar com um servidor no modo de tela inteira, selecione o servidor para dar
foco a ele e pressione Ctrl+Alt+Break (essa tecla é configurável, consulte Teclas de
Atalho.) Para sair do modo de tela inteira, pressione Ctrl+Alt+Break novamente ou use
os botões minimizar/restaurar na barra de título da conexão. Vários monitores podem
ser estendidos se habilitados pela opção de abrangência do monitor.
Teclas de Atalho
Você pode encontrar a lista completa de teclas de atalho dos Serviços de Terminal aqui.
Alguns deles podem ser configurados na guia Teclas de Acesso.
Arquivos
A unidade de nível superior da organização no RDCMan é um grupo de arquivos da
área de trabalho remota. Grupos de arquivos são coleções de grupos e/ou servidores
armazenados em um único arquivo físico. Os servidores não podem viver fora de um
grupo e os grupos não podem viver fora de um arquivo.
Um arquivo tem todas as características de um grupo de servidores além de poder

alterar seu pai.
Grupos
Um grupo contém uma lista de servidores e informações de configuração, como
credenciais de logon. As definições de configuração podem ser herdadas de outro
grupo ou os padrões do aplicativo. Os grupos podem ser aninhados, mas são
homogêneos: um grupo pode conter grupos ou servidores, mas não ambos. Todos os
servidores em um grupo podem ser conectados ou desconectados de uma só vez.
Quando um grupo é selecionado no modo de exibição de árvore, os servidores abaixo

dele são exibidos em uma exibição em miniatura. As miniaturas podem mostrar as
janelas reais do servidor ou simplesmente a status de conexão. As propriedades de
exibição de miniatura global podem ser ajustadas por meio da guia
[Tools.Options.Client Area] , enquanto as configurações específicas do grupo/servidor
estão em Configurações de Exibição.
Grupos Inteligentes
Os grupos inteligentes são preenchidos dinamicamente com base em um conjunto de
regras. Todos os ancestrais dos grupos irmãos do grupo inteligente são elegíveis para
inclusão.
O Grupo Virtual Conectado

Quando um servidor está no estado conectado, ele é adicionado automaticamente ao
grupo virtual Conectado. Os servidores não podem ser adicionados ou removidos
explicitamente do grupo Conectado.
O grupo Conectado pode ser ativado/desativado por meio do menu Exibir.
O grupo virtual Reconectar

Às vezes, há situações em que um servidor se desconecta e ficará intencionalmente
offline por um período de tempo não especificado, por exemplo, ao reinicializar após
uma atualização do sistema operacional. Quando esse for o caso, arraste o servidor em
questão para o grupo Reconectar. O RDCMan tentará se conectar continuamente ao
servidor até que ele seja bem-sucedido.
O grupo Reconectar pode ser ativado/desativado por meio do menu Exibir.
O grupo virtual Favoritos

O grupo virtual Favoritos é um arquivo simples de seus servidores favoritos. Você pode
adicionar qualquer servidor da árvore de servidores. Isso é útil quando você tem muitos
servidores na árvore e geralmente trabalha com um punhado de servidores de grupos
diferentes.
O grupo Favoritos pode ser ativado/desativado por meio do menu Exibir.

O grupo conectar-se ao grupo virtual
O Grupo Conectar-se ao Virtual contém os servidores que não são membros de grupos
criados pelo usuário. Consulte Conexões Ad Hoc para obter detalhes.
O grupo Conectar-se a fica visível enquanto as conexões ad hoc existem e desaparece

quando não há nenhuma.
O grupo virtual recente

O Grupo Virtual Recente contém os servidores que foram acessados recentemente.
O grupo Recentes pode ser ativado/desativado por meio do menu Exibir.
Servidores
Um servidor tem um nome de servidor (nome de rede ou endereço IP do computador),
um nome de exibição opcional e informações de logon. As informações de logon
podem ser herdadas de outro grupo.
Adicionando servidores manualmente

Os nomes de servidores que seguem um padrão podem ser adicionados em massa a
um grupo. Há duas classes de padrão:
Iteração – {a,b,c} itera sobre o conteúdo delimitado por vírgulas.

Intervalo – [1-5] itera o intervalo numérico. Prefixe o limite inferior com 0 's para
especificar a largura mínima.
Exemplos:
server1{a,b,c} : adiciona server1a , server1b , server1c
server[001-15] : adiciona server001 , server002 , ..., server015

{dca,dcb}rack[1-5]sql[1-2] : adiciona dcarack1sql1 , dcarack1sql2 , ,
dcarack2sql1 ..., dcarack5sql2 , dcbrack1sql1 , ... dcbrack5sql2
Importando servidores de um arquivo de texto

Os servidores podem ser importados para um grupo de um arquivo de texto. O formato
de arquivo é simplesmente um nome de servidor por linha:
txt
Server1
SecondServer
YANS
Os nomes de servidor também podem ser especificados explicitamente na caixa de

diálogo.
Todos os servidores são importados para o mesmo grupo com as mesmas preferências.
Se um servidor for importado com o mesmo nome de um servidor existente, as
preferências do servidor existente serão atualizadas para os novos.
Conexões Ad Hoc
As conexões de servidor ad hoc podem ser criadas por meio do recurso
[Session.Connect to]. Esses servidores serão adicionados ao Grupo Virtual Conectar-se a.
A partir daí, eles podem ser convertidos em servidores reais movendo-os para um
grupo criado pelo usuário. Os servidores restantes no grupo Conectar-se a não são
persistidos quando o RDCMan é encerrado.
Microsoft Azure
Na guia [Configurações de Conexão], insira o nome da função e o nome da instância
de função na configuração De balanceamento de carga, conforme descrito aqui, por
exemplo, Cookie:
mstshash=MyServiceWebRole#MyServiceWebRole_IN_0#Microsoft.WindowsAzure.Plugins.Remo
teAccess.Rdp
Ações de sessão
Durante uma sessão, o foco pode ser liberado para outra sessão ou a árvore do
servidor.
Versão de foco à esquerda (o valor padrão é Ctrl+Alt+Left) : seleciona a sessão

selecionada anteriormente.
Foco à direita (o valor padrão é Ctrl+Alt+Right): isso abre uma caixa de diálogo
para escolher onde se concentrar. Haverá botões para até o da sessão usada mais
recentemente, bem como um botão para a árvore do servidor e um para minimizar
o RDCMan.
Determinadas combinações de teclas e ações do Windows podem ser complicadas de

executar na sessão remota, especialmente quando o rdcman em si é iniciado em uma
sessão remota, por exemplo, Ctrl+Alt+Del. Eles estão disponíveis nos itens de menu
[Session.Send keys] e [Session.Remote actions] .
Opções globais
O item de menu [Tool.Options] abre a caixa de diálogo Opções. As configurações
globais, por exemplo, o tamanho da área do cliente, são modificáveis a partir daqui. A
maioria das opções relacionadas ao servidor, por exemplo, teclas de acesso e aquelas na
página de experiência, não entrará em vigor até a próxima vez que o servidor estiver
conectado.
Geral
Ocultar main menu até alt pressionado
O menu main pode ficar oculto até que a tecla ALT seja pressionada ou a janela legenda
área seja clicada com o botão esquerdo do mouse.
Intervalo de salvamento automático

Você pode fazer com que o RDCMan salve periodicamente os arquivos abertos
automaticamente. Marque a caixa de marcar de salvamento automático e especifique o
intervalo (em minutos) para salvar. Um intervalo de 0 não será salvo periodicamente,
mas suprimirá o prompt de salvamento ao sair do RDCMan.
Prompt para reconectar servidores conectados na inicialização

O RDCMan lembra quais servidores estão conectados quando o programa foi
encerrado. Na próxima execução, você será solicitado a escolher quais servidores se
reconectarão. Desabilitar essa opção reconecta automaticamente todos os servidores
conectados anteriormente. Consulte Linha de Comando para opções de linha de
comando que afetam esse comportamento.
Configurações de grupo padrão

Clicar nesse botão abre uma caixa de diálogo para definir as configurações para o nível
base da hierarquia de herança. Por exemplo, se um grupo de arquivos estiver definido
para herdar de seu pai, é da qual as configurações vêm.
Árvore
Clicar para selecionar dá foco ao cliente remoto
Ao selecionar um nó no controle de árvore do servidor com um clique do mouse, o
comportamento padrão é manter o foco no controle de árvore. Há uma opção para
alterar isso para se concentrar no servidor selecionado.
Diminuir nós quando o controle de árvore estiver inativo
O RDCMan pode esmaecer o controle de árvore quando ele estiver inativo. Isso
apresenta uma distinção visual mais óbvia do foco do teclado.
Área do Cliente
Tamanho da área do cliente
Essa opção redimensiona a área de cliente da janela RDCMan. As opções também estão
disponíveis no menu [Exibir.Tamanho do cliente] .
Tamanho da unidade de miniatura

O tamanho da unidade de miniatura pode ser especificado como um tamanho absoluto
de pixel ou uma porcentagem relativa da largura do painel do cliente.
Teclas de Atalho
Muitas das teclas de acesso da área de trabalho remota são configuráveis. No entanto,
há um mapeamento limitado. Por exemplo, se a chave padrão for ALT-something, a
substituição também deverá ser ALT-something. Para alterar uma tecla de acesso,
navegue até a caixa de texto da tecla de acesso e pressione a nova tecla "algo".
Experiência
Dependendo da largura de banda disponível em seu computador, você desejará limitar
os recursos da interface do usuário do Windows para melhorar o desempenho. A lista
suspensa de velocidade de conexão pode ser usada para definir todas as opções juntas
ou podem ser personalizadas individualmente. Os recursos são: telas de fundo da área
de trabalho, mostrando o conteúdo completo da janela ao arrastar, animação de menu
e janela e temas do Windows.
Tela inteira
Mostrar barra de conexão em tela inteira
Ocultar automaticamente a barra de conexão
Quando um servidor é exibido no modo de tela inteira, o controle activeX da área de
trabalho remota fornece uma barra de conexão de interface do usuário na parte
superior da janela. Essa barra pode ser ativada e desativada. Quando estiver ativado,
você poderá optar por fixá-lo ou ocultar automaticamente.
A janela de tela inteira está sempre na parte superior

Quando o RDCMan está exibindo um servidor no modo de tela inteira, você pode optar
por ter a janela sempre exibida como a janela mais alta.
Usar vários monitores quando necessário

Por padrão, uma sessão de tela inteira é restrita ao monitor que contém a janela do
servidor. Você pode habilitar vários monitores abrangendo as opções de tela inteira. Se
a área de trabalho remota for maior que o monitor da janela, ela abrangerá quantos
monitores forem necessários para se ajustar à sessão remota. Observe que apenas áreas
retangulares são usadas, portanto, se você tiver dois monitores com resoluções verticais
diferentes, o menor dos dois será usado. Além disso, há um limite rígido de 4096x2048
para o controle de área de trabalho remota.
Opções locais
Grupos e servidores têm várias páginas de propriedades com guias com várias opções
de personalização. Muitas dessas páginas são comuns a grupos e servidores. Quando a
caixa de marcar "Herdar do pai" é marcada, as configurações a seguir são herdadas do
contêiner pai. A maioria das alterações relacionadas ao servidor, por exemplo, o
tamanho da área de trabalho remota, não entrará em vigor até a próxima vez que o
servidor estiver conectado.
Configurações de Arquivo
Esta página aparece apenas para as propriedades de um arquivo. Ele contém opções
para o nome do grupo do arquivo, mostra o caminho completo para o arquivo (que não
pode ser editado) e tem um campo de comentário.
Configurações de Grupo
Esta página aparece apenas para as propriedades de um grupo. Ele contém opções para
o nome do grupo, o aninhamento pai e um comentário.
Configurações do Servidor
Esta página aparece apenas para as propriedades de um servidor. Ele contém opções
para o nome do servidor, seu nome de exibição, aninhamento pai e um comentário. As
máquinas virtuais do SCVMM podem ser conectadas via RDP no host usando a opção
de conexão do console da VM. Use o comando do PowerShell:
PowerShell
get-vm | ft ElementName,Name,Id
para determinar a ID correspondente à VM.
Credenciais de logon
A página de propriedades Credenciais de Logon contém opções relativas ao logon
remoto. O nome de usuário, a senha e o domínio são definidos nesta página. O domínio
e o nome de usuário podem ser especificados juntos usando o formato domain\user.
Ao fazer logon em um computador "domínio" em vez de um domínio do Windows,
você pode especificar [servidor] ou [exibição]. Este primeiro será substituído pelo nome
do servidor, este último pelo nome de exibição, no momento do logon. É útil quando
você tem um grupo de computadores que exigem logon como administrador. As
Configurações de Logon inseridas nas páginas de propriedades são usadas por padrão
para novas conexões. Se você quiser personalizar temporariamente essas configurações
para uma nova conexão, conecte-se usando o item de menu Conectar como.
Configurações do gateway
A página de propriedades Configurações do Gateway tem opções para usar um Servidor
de Gateway do TS. As opções nome do gateway, método de autenticação e bypass de
endereço local estão nesta página. Os usuários de sistemas operacionais a partir do
Vista SP1 e do servidor Longhorn terão opções adicionais sobre credenciais de logon:
Entrada explícita do nome de usuário e senha do Gateway Capacidade de compartilhar

as credenciais do Gateway com o servidor remoto
Configurações de conexão
A guia Configurações de Conexão inclui configurações para personalizar como uma
sessão está conectada e o que acontece no logon.
Você pode especificar se a sessão do console deve ser conectada, bem como a porta de
conexão da área de trabalho remota.
Também há configurações que permitem que você execute um programa após a

conexão. Insira o nome do programa e, opcionalmente, o diretório de trabalho desse
programa. Observe que eles só terão um efeito se você estiver se conectando à sessão
do console pela primeira vez. Ou seja, reconectar-se a uma sessão ou conectar-se a uma
sessão diferente da sessão do console não executará o programa. (Pelo menos, é assim
que os Serviços de Terminal parecem funcionar com base na observação empírica.)
Configurações da Área de Trabalho Remota
O tamanho da área de trabalho remota é especificado nesta página. Esse é o tamanho
lógico da área de trabalho, não a exibição física do cliente dele. Por exemplo, se o
tamanho da área de trabalho remota for 1280 x 1024 e o tamanho do cliente for 1024 x
768, você verá uma exibição 1024 x 768 da área de trabalho remota com barras de
rolagem. Se o tamanho do cliente fosse 1600 x 1200, toda a área de trabalho remota
estaria visível, deslocada por uma borda cinza.
Especificar "Igual à área de cliente" tornará a área de trabalho remota do mesmo

tamanho que o painel de cliente RDCMan, ou seja, a área do cliente da janela RDCMan,
excluindo a árvore do servidor. Especificar "Tela inteira" tornará a área de trabalho
remota do mesmo tamanho da tela em que o servidor é exibido. Observe que o
tamanho da área de trabalho remota é determinado ao se conectar a um servidor.
Alterar essa configuração para um servidor conectado não terá efeito.
O tamanho máximo da área de trabalho remota é determinado pela versão do controle

activeX da área de trabalho remota. A versão 5 (pré-Vista) tinha no máximo 1600 x 1200;
A versão 6 (Vista) tem no máximo 4096 x 2048. Esse limite é imposto no momento da
conexão, não durante a entrada de dados. Isso ocorre caso o mesmo arquivo RDCMan
seja compartilhado por vários computadores.
Recursos locais
Vários recursos do servidor remoto podem ser entregues ao cliente. O som do
computador remoto pode ser reproduzido localmente, reproduzido remotamente ou
totalmente desabilitado. As combinações de teclas do Windows (por exemplo, aquelas
que envolvem a chave real do Windows, bem como outros especiais como Alt+Tab)
podem ser aplicadas sempre ao computador cliente, sempre ao computador remoto ou
ao cliente quando janelas e ao computador remoto quando estiver no modo de tela
inteira. Os recursos de unidade, porta, impressora, smart cartão e área de transferência
do cliente podem ser compartilhados automaticamente com o computador remoto.
Configurações de segurança
Você pode especificar se a autenticação do computador remoto é necessária antes que
uma conexão seja estabelecida.
Configurações de Exibição
As configurações de exibição em miniatura são personalizáveis nesta página.
A primeira opção é: escala em miniatura. Isso especifica quantas unidades em miniatura
alocar para a exibição de um determinado servidor. Todos os servidores padrão para
uma escala de 1. Você pode alterar isso para aumentar a exibição de servidores
importantes. Por exemplo, um servidor pode ser dimensionado em 3 ou 5 tornando a
sessão remota bastante utilizável na tela em miniatura, permitindo ainda uma exibição
de muitos outros servidores. Essa é a única opção para servidores.
Há três opções adicionais para grupos: sessão de visualização em miniatura, permitir

interação de sessão em miniatura e mostrar miniaturas desconectadas. O primeiro,
independentemente de a exibição em miniatura mostrar ou não a conexão real ao vivo,
continuamente atualizada. O segundo, dependente do primeiro, especifica se a sessão
em miniatura é utilizável. A opção final controla se os servidores desconectados
aparecem na exibição em miniatura.
Configurações de Criptografia
O RDCMan pode criptografar as senhas armazenadas em arquivos com as credenciais
do usuário local por meio de CryptProtectData ou de um certificado X509. A guia
Configurações de Criptografia está disponível nas caixas de diálogo Configurações de
Grupo Padrão e Configurações de Arquivo.
Certificados pessoais do usuário atual que têm uma chave privada estão disponíveis
para criptografia. Você pode criar esse certificado da seguinte maneira:
PowerShell
New-SelfSignedCertificate -KeySpec KeyExchange -KeyExportPolicy Exportable -

HashAlgorithm SHA1 -KeyLength 2048 -CertStoreLocation "cert:\CurrentUser\My"
-Subject "CN=MyRDCManCert"
Isso criará um certificado chamado " MyRDCManCert " no repositório certificados pessoais
do usuário atual. Para instalar esse certificado em outro computador, você deve
exportá-lo com a chave privada.
Gerenciamento de Perfil
Os perfis de credencial podem ser adicionados, editados e removidos dessa guia.
Listar sessões remotas

O RDCMan tem suporte limitado para gerenciar sessões remotas diferentes daquelas
conectadas a partir dele. O item de menu [Session.List Sessions] invoca o recurso.
Observe que a conta que executa o RDCMan deve ter permissões de Informações de
Consulta no servidor remoto para listar as sessões. Além disso, a sessão remota deve ser
diretamente acessível em vez de por meio de um servidor de gateway. As permissões
Desconectar e Logoff devem ser concedidas para executar essas operações. Consulte
msdn para obter mais informações sobre permissões de área de trabalho remota.
Linha de Comando
Por padrão, o RDCMan abrirá os arquivos que foram carregados no momento do último
desligamento do programa. Você pode substituir isso especificando um arquivo (ou
arquivos) explicitamente na linha de comando RDCMan. Além disso, as seguintes
opções são aceitas:
/reset – redefina as preferências de aplicativo persistentes, como o local e o

tamanho da janela.
/noopen – não abra os arquivos carregados anteriormente, começando com um
ambiente vazio.
/c server1[,server2...] – conectar servidores especificados
/reconnect – conectar todos os servidores que estavam conectados no

desligamento sem solicitar
/noconnect – não solicite a conexão de servidores conectados no desligamento
Localizar servidores
Há uma caixa de diálogo para localizar servidores acessados por meio de Ctrl+F ou do
comando Edit.Find (servidores). Todos os servidores que correspondem a um padrão de
expressão regular são exibidos na caixa de diálogo e podem ser ativados por meio de
um menu de contexto. O padrão é correspondido com o nome completo
( group\server ).
Perfis de credencial
Os perfis de credencial armazenam credenciais de logon globalmente para RDCMan ou
em um arquivo. Isso permite usar as mesmas credenciais armazenadas entre grupos que
não têm um ancestral comum. Um cenário de uso é armazenar credenciais usadas para
fazer logon em servidores e gateways em um único local. Quando uma senha é alterada,
ela pode ser editada uma vez. Outro cenário é ao compartilhar arquivos RDG em um
grupo. Em vez de armazenar senhas no arquivo (o que teria problemas devido à
natureza específica do usuário usada pelo RDCMan de criptografia), um perfil é criado,
como "Eu", que cada usuário define em seu repositório Global.
Você pode atualizar as configurações de um perfil de credencial de duas maneiras. A

primeira é editar de uma caixa de diálogo de credenciais e, em seguida, salvar
exatamente o mesmo nome/domínio de perfil no mesmo repositório (arquivo ou
global). Isso perguntará se você deseja atualizar. A outra maneira é acessar as
propriedades do grupo para o repositório de credenciais (novamente, arquivo ou
global) e usar a guia Gerenciamento de Perfil.
As senhas do perfil de credencial do escopo do arquivo são criptografadas de acordo

com as Configurações de Criptografia do arquivo que contém. Os perfis de credenciais
globais usam as Configurações de Grupo Padrão.
Políticas
RDCMan recupera informações de política da chave do
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\RDCMan Registro.
DisableLogOff – Crie esse DWORD valor como diferente de zero para desabilitar o
comando de logoff em todo o RDCMan.
Perguntas frequentes
Como fazer usar credenciais de cartão inteligente para fazer logon?
Habilite "Redirecionar cartões inteligentes" na guia Recursos Locais.
Recebo um erro ao me conectar por meio de um gateway, como Erro 50331656. Por
quê?
Os gateways devem ser especificados como FQDN.
Como fazer fazer o logon automático funcionar?
Você deve habilitar o Política de Grupo controlá-lo. Use o snap-in "Política de

Grupo" do MMC e navegue até "Política do Computador Local/Configuração do
Computador/Modelos Administrativos/Componentes do Windows/Serviços de
Terminal/Criptografia e Segurança". Clique duas vezes em "Sempre solicitar senha
ao cliente na conexão" e clique na caixa "Desabilitado".
Como fazer redimensionar a área de trabalho remota enquanto um servidor está
conectado?
Não é possível. Para redimensionar, você deve desconectar e reconectar (use o

recurso Reconectar para fazer isso em uma etapa). Os servidores RDCMan têm a
opção, em Configurações de Exibição, de se reconectar automaticamente com a
nova resolução para servidores encaixados e desencaixados.
Baixar
Baixar Gerenciador de Conexões de Área de Trabalho Remota (530 KB)
Execute agora no Sysinternals Live .
Executa em:

RegDelNull v1.11
Artigo • 09/08/2023
Baixar RegDelNull (511 KB)
Introdução
Esse utilitário de linha de comando procura e permite excluir chaves do Registro que
contenham caracteres nulos inseridos e que, de outra forma, não podem ser excluídos
pelas ferramentas padrão de edição do Registro. Observação: a exclusão de chaves do
Registro pode causar falha nos aplicativos aos quais elas estão associadas.
Usando o RegDelNull
Uso: regdelnull <path> [-s]
-s Recursar em subchaves.
Aqui está um exemplo do RegDelNull quando usado em um sistema no qual o

programa de exemplo RegHide criou uma chave com caracteres nulos inseridos:
Shell
C:\>regdelnull hklm -sRegDelNull v1.10 - Delete Registry keys with embedded

Nulls

Null-embedded key (Nulls are replaced by '*'):
HKLM\SOFTWARE\Systems Internals\Can't touch me!*
Delete (y/n) y
Scan complete.
Baixar RegDelNull (511 KB)
Funciona no:
Cliente: Windows Vista (32 bits) e superior
Servidor: Windows Server 2008 (32 bits) e superior
Uso do Registro (RU) v1.2
Artigo • 04/08/2023
Baixar o RU (507 KB)
Introdução
O Ru (uso do registro) informa o uso do espaço do registro na chave de registro que
você especificou. Por padrão, ele recursa subchaves para mostrar o tamanho total de
uma chave e de suas subchaves.
Usando o Uso do Registro (RU)

uso: ru [-c[t]] [-l <níveis> | -n | -v] [-q] <caminho absoluto>
uso: ru [-c[t]] [-l <níveis> | -n | -v] [-q] -h <arquivo de colmeia> [caminho relativo]
-c Imprimir saída como CSV. Especifique -ct como delimitação de tabulação.
-h Carregue o arquivo de colmeia especificado, execute o cálculo de tamanho e

descarregue-o e compacte-o.
-l Especifique a profundidade de informações da subchave (o padrão é um nível).
-n Não recurse.
-q Silencioso (sem faixa).
-v Mostrar o tamanho de todas as subchaves.
A saída CSV formatada como:
Path,CurrentValueCount,CurrentValueSize,ValueCount,KeyCount,KeySize,WriteTime
Baixar o RU (507 KB)

Reghide
Artigo • 07/10/2023
Baixar o RegHide (38 KB)Executar agora do Sysinternals Live .
Introdução
Uma diferença sutil, mas significativa entre a API Win32 e a API Nativa (consulte Dentro
da API Nativa para obter mais informações dessa interface em grande parte não
documentada) é a maneira como os nomes são descritos. Nas cadeias de caracteres da
API Win32, são interpretadas como cadeias de caracteres ANSI (8 bits) ou caractere
largo (16 bits). Nos nomes da API Nativa, são contadas as cadeias de caracteres Unicode
(16 bits). Embora essa distinção geralmente não seja importante, ela deixa em aberto
uma situação interessante: há uma classe de nomes que pode ser referenciada usando a
API Nativa, mas que não pode ser descrita usando a API Win32.
Baixar o RegHide (38 KB)
É executado em:

RegJump v1.11
Artigo • 03/08/2023
Baixar RegJump (164 KB)
Introdução
Esse pequeno miniaplicativo de linha de comando usa um caminho de registro e torna o
Regedit aberto para esse caminho. Ele aceita chaves raiz no padrão (por exemplo,
HKEY_LOCAL_MACHINE) e a forma abreviada (por exemplo, HKLM).
usage: regjump <<path>|-c>
-c Copiar caminho da área de transferência.
por exemplo: regjump HKLM\Software\Microsoft\Windows
Baixar RegJump (164 KB)

Strings v2.54
Artigo • 04/08/2023
Publicado: 22 de junho de 2021
Baixar o Strings (534 KB)
Introdução
Trabalhar no NT e no Win2K significa que os arquivos executáveis e de objeto muitas
vezes têm cadeias de caracteres UNICODE incorporadas que você não consegue conferir
facilmente com um programa padrão de cadeias de caracteres ASCII ou grep. Por isso,
decidimos criar o nosso próprio programa. O Strings apenas verifica se há cadeias de
caracteres UNICODE (ou ASCII) no arquivo que você passar para ele, com um
comprimento padrão de 3 ou mais caracteres UNICODE (ou ASCII). Observe que ele
também funciona no Windows 95.
Uso do Strings
Uso:
strings [-a] [-f offset] [-b bytes] [-n length] [-o] [-q] [-s] [-u] <file or
directory>
O Strings usa expressões curinga para nomes de arquivos, e os parâmetros adicionais da

linha de comando são definidos da seguinte maneira:
-a Pesquisar somente Ascii (Unicode e Ascii é o padrão)
-b Bytes do arquivo a ser verificado
-f Deslocamento do arquivo no qual a verificação será iniciada.
-o Deslocamento da impressão no arquivo em que a cadeia de caracteres foi localizada
-n Comprimento mínimo da cadeia de caracteres (o padrão é 3)

-u Pesquisar somente Unicode (Unicode e Ascii é o padrão)
-nobanner Não exibir a faixa de inicialização e a mensagem de direitos autorais.
Para pesquisar um ou mais arquivos quanto à presença de uma cadeia de caracteres

específica usando cadeias de caracteres, use um comando como este:
strings * | findstr /i TextToSearchFor
Baixar o Strings (534 KB)
Executado em:

Testlimit v5.24
Artigo • 07/10/2023
Baixar o Testlimit (234 KB)
Introdução
O Testlimit é um utilitário de linha de comando que pode ser usado para testar seu
computador e/ou aplicativos por estresse simulando condições de recursos limitados
para memória, identificadores, processos, threads e outros objetos do sistema.
uso: Testlimit [[-h [-u]] | [-p [-n]] | [-t [-n [KB]]] | [-u [-i]] | [-g [object size]] | [-a|-d|-l|-
m|-r|-s|-v [MB]] | [-w]] [-c [count]] [-e [seconds]]
-a Vazar a memória das Extensões de Janela de Endereço (AWE) nos MBs especificados
(o padrão é 1)
-c Contagem do número de objetos a serem alocados (o padrão é o maior número

possível). Essa deve ser a última opção especificada
-d Vazar e tocar a memória nos MBs especificados (o padrão é 1)
-e Segundos decorridos entre as alocações (o padrão é 0)
-g Crie identificadores de GDI com o tamanho especificado (o padrão é 1 byte).

Especificar um tamanho de 0 para causar o esgotamento do objeto de GDI
-h Crie identificadores. Especificar -u para também alocar objetos de arquivo
-i Esgotar o heap da área de trabalho do USER
-l Alocar a quantidade especificada de páginas grandes (arredondada para o múltiplo

de um tamanho grande)
-m Vazar a memória nos MBs especificados (o padrão é 1)
-p Criar processos: adicione -n para definir o conjunto de trabalho mínimo. Adicionar -

n para definir o conjunto de trabalho de processos mínimo como o menor possível
-r Reservar memória nos MBs especificados (o padrão é 1)

-s Vazar a memória compartilhada nos MBs especificados (o padrão é 1)
-t Criar threads: adicione -n para especificar a reserva de pilha mínima (em KB)
-u Criar identificadores do USER para menus
-v Memória VirtualLock nos MBs especificados (o padrão é 1)
-w Redefinir o mínimo do conjunto de trabalho para o valor mais alto possível
É executado em:

Links Relacionados
Referência do Administrador do Windows Sysinternals O guia oficial dos
utilitários Sysinternals, por Mark Russinovich e Aaron Margosis, incluindo
descrições de todas as ferramentas, seus recursos, como usá-las para solucionar
problemas e exemplos de casos de seu uso no mundo real.
Download
Baixar o Testlimit (234 KB)
ZoomIt v7.1
Artigo • 10/08/2023
Download do ZoomIt (1.1 MB)Executar agora do Sysinternals Live .
https://www.microsoft.com/pt-br/videoplayer/embed/RE55yQm?
Criado com ZoomIt
Introdução
O ZoomIt é uma ferramenta de zoom, anotação e gravação de tela para apresentações
técnicas e demonstrações. Você também pode usar o ZoomIt para capturar capturas de
tela na área de transferência ou em um arquivo. O ZoomIt é executado discretamente
na bandeja e é ativado com teclas de atalho personalizáveis para ampliar uma área da
tela, mover-se enquanto estiver ampliado e desenhar na imagem ampliada. Eu escrevi o
ZoomIt para atender às minhas necessidades específicas e o uso em todas as minhas
apresentações.
O ZoomIt funciona em todas as versões do Windows e você pode usar entrada de toque
e caneta para desenhar com o ZoomIt em tablets.
Usar o ZoomIt
A primeira vez que você executar o ZoomIt, ele apresentará uma caixa de diálogo de
configuração que descreve o comportamento do ZoomIt. Isso permitirá que especifique
teclas de atalho alternativas para zoom e para entrar no modo de desenho sem aplicar
zoom, e personalizar a cor e o tamanho da caneta de desenho. Uso a opção desenhar
sem aplicar zoom para anotar a tela em sua resolução nativa, por exemplo. O ZoomIt
também inclui um recurso de temporizador de interrupção que permanece ativo mesmo
quando você se afasta da janela do temporizador e permite que você retorne à janela
do temporizador clicando no ícone da bandeja ZoomIt.
Atalhos
O ZoomIt oferece vários atalhos que podem estender muito seu uso.
Função Atalho
Modo Zoom Ctrl + 1
Ampliar Rolagem do Mouse para

Cima ou Seta para Cima
Reduzir Rolagem do Mouse para

Baixo ou Seta para Baixo
Iniciar Desenho (Enquanto Estiver no Modo Zoom) Clicar com o Botão

Esquerdo do Mouse
Interromper Desenho (Enquanto Estiver no Modo Zoom) Clicar com o Botão Direito
do Mouse
Iniciar Desenho (Enquanto Estiver no Modo Zoom) Ctrl + 2
Aumentar/Diminuir o Tamanho da Linha e do Cursor (Modo de Ctrl + Rolagem do Mouse

Desenho) para Cima/para Baixo ou
Teclas de Seta
Centralizar o Cursor (Modo de Desenho) Barra de espaço
Whiteboard (Modo de Desenho) W
Blackboard (Modo de Desenho) K
Digitar Texto (Alinhado à Esquerda) T
Digitar Texto (Alinhado à Direita) Shift + T
Aumentar/Diminuir o Tamanho da Fonte (Modo de Digitação) Ctrl + Rolagem do Mouse

para Cima/para Baixo ou
Teclas de Seta
Caneta Vermelha R
Caneta Verde G
Caneta Azul B
Caneta Amarela S
Caneta Laranja O
Caneta Rosa P
Desenhar uma Linha Reta Pressionar e Segurar Shift
Desenhar um retângulo Pressionar e Segurar Ctrl

Função Atalho
Desenhar uma Elipse Pressionar e Segurar Tab
Desenhar uma Seta Pressionar e Segurar Ctrl +

Shift
Apagar Último Desenho CTRL+Z
Apagar Todos os Desenhos E
Copiar Captura de Tela para a Área de Transferência Ctrl + C
Cortar Captura de Tela para a Área de Transferência Ctrl + Shift + C
Salvar Captura de Tela como PNG Ctrl + S
Salvar Captura de Tela Recortada em um Arquivo Ctrl + Shift + S
Copiar uma Região da Tela para a Área de Transferência Ctrl + 6
Salvar uma Região da Tela em um Arquivo Ctrl + Shift + 6
Iniciar/Interromper Gravação em Tela Inteira Salva como MP4 Ctrl + 5

(Atualização de Maio de 2019 para Windows 10 e Superior)
Recortar Gravação em Tela Inteira Salva como MP4 (Atualização de Ctrl + Shift + 5
Maio de 2019 para Windows 10 e Superior)
Gravar Tela Apenas da Janela Sobre a Qual o Cursor do Mouse Ctrl + Alt + 5
está Posicionado e Salvar como MP4 (Atualização de Maio de
2019 para o Windows 10 e superior)
Mostrar Temporizador de Contagem Regressiva Ctrl + 3
Aumentar/Diminuir Tempo Ctrl + Rolagem do Mouse

para Cima/para Baixo ou
Teclas de Seta
Minimizar Temporizador (Sem Pausar) Alt + Tab
Mostrar Temporizador Quando Minimizado Clicar com o Botão

Esquerdo do Mouse no
ícone ZoomIt
Modo Zoom Dinâmico Ctrl + 4
Fechar Esc ou Clicar com o Botão

Direito do Mouse
Download do ZoomIt (1.1 MB)Executar agora do Sysinternals Live .

Pacote Sysinternals
Artigo • 24/10/2023

Atualizado em: 18 de outubro de 2023
Baixar o Pacote do Sysinternals (50,6 MB)

Baixar o Pacote do Sysinternals para Nano Server (9,5 MB)
Baixar o Pacote do Sysinternals para ARM64 (15 MB)
Instalar o Pacote do Sysinternals da Microsoft Store
Introdução
Os utilitários de solução de problemas do Sysinternals foram agrupados em um único
conjunto de ferramentas. Esse arquivo contém as ferramentas individuais de solução de
problemas e arquivos de ajuda. Não contém ferramentas que não sejam de solução de
problemas, como a Proteção de Tela BSOD.
O Pacote é um agrupamento das seguintes Utilidades do Sysinternals selecionadas:

AccessChk, AccessEnum, AdExplorer, AdInsight, AdRestore, Autologon, Autoruns, BgInfo,
BlueScreen, CacheSet, ClockRes, Contig, Coreinfo, Ctrl2Cap, DebugView, Desktops,
Disk2vhd, DiskExt, DiskMon, DiskView, Disk Usage (DU), EFSDump, FindLinks, Handle,
Hex2dec, Junction, LDMDump, ListDLLs, LiveKd, LoadOrder, LogonSessions, MoveFile,
NotMyFault, NTFSInfo, PendMoves, PipeList, PortMon, ProcDump, Process Explorer,
Process Monitor, PsExec, PsFile, PsGetSid, PsInfo, PsKill, PsList, PsLoggedOn, PsLogList,
PsPasswd, PsPing, PsService, PsShutdown, PsSuspend, PsTools, RAMMap, RDCMan,
RegDelNull, RegHide, RegJump, Registry Usage (RU), SDelete, ShareEnum, ShellRunas,
Sigcheck, Streams, Strings, Sync, Sysmon, TCPView, VMMap, VolumeID, WhoIs, WinObj,
ZoomIt
Microsoft Store
Artigo • 24/10/2023
Pacote Sysinternals
Versão 2023.10
18 de outubro de 2023
O Sysinternals Suite é instalado como um pacote MSIX da Microsoft Store.
Uso
Como a maioria dos outros pacotes MSIX, o Sysinternals Suite é instalado por usuário, mas os
binários são armazenados em um local seguro e compartilhados pelos usuários. Ferramentas
gráficas, como o Gerenciador de Processo, são adicionadas ao menu Iniciar do Windows.
Começando com Windows 11, eles são agrupados em uma pasta do Sysinternals Suite
(propriedade do VisualGroup).
７ Observação
O Windows 10 não dá suporte a pastas do menu Iniciar em pacotes MSIX, portanto, as

ferramentas não são agrupadas em uma pasta do Sysinternals Suite.
Todos os executáveis estão disponíveis no caminho por meio de aliases de execução de

aplicativo do Windows:
Microsoft.SysinternalsSuite_8wekyb3d8bbwe "Sysinternals Suite"
accesschk.exe AccessEnum.exe ADExplorer.exe ADInsight.exe

adrestore.exe Autologon.exe Autoruns.exe autorunsc.exe
Bginfo.exe Cacheset.exe Clockres.exe Contig.exe
Coreinfo.exe CPUSTRES.EXE Dbgview.exe Desktops.exe
disk2vhd.exe diskext.exe Diskmon.exe DiskView.exe
du.exe efsdump.exe FindLinks.exe handle.exe
hex2dec.exe junction.exe Listdlls.exe livekd.exe
LoadOrd.exe LoadOrdC.exe logonsessions.exe movefile.exe
notmyfault.exe notmyfaultc.exe ntfsinfo.exe pendmoves.exe
pipelist.exe procdump.exe procexp.exe Procmon.exe
PsExec.exe psfile.exe PsGetsid.exe PsInfo.exe
pskill.exe pslist.exe PsLoggedon.exe psloglist.exe
pspasswd.exe psping.exe PsService.exe psshutdown.exe
pssuspend.exe RAMMap.exe RDCMan.exe RegDelNull.exe
regjump.exe ru.exe sdelete.exe ShareEnum.exe
ShellRunas.exe sigcheck.exe streams.exe strings.exe
sync.exe Sysmon.exe tcpvcon.exe tcpview.exe
Testlimit.exe vmmap.exe Volumeid.exe whois.exe
Winobj.exe ZoomIt.exe
Aliases de Execução de Aplicativos

Para exibir tudo, pesquise "Gerenciar aliases de execução de aplicativo" na Pesquisa ou
nas configurações do Windows.
Eles são um tipo especial de ponto de nova análise gerenciado pelo Windows para
pacotes MSIX.
Eles são armazenados em um diretório no perfil do usuário, que está no caminho:
%LOCALAPPDATA%\Microsoft\WindowsApps
A lista completa do Sysinternals Suite está no seguinte diretório:
%LOCALAPPDATA%\Microsoft\WindowsApps\Microsoft.SysinternalsSuite_8wekyb3d8bbwe
Examinar aqui é uma maneira de listar todos os aliases de execução do aplicativo do
pacote.
Eles são excluídos quando o pacote MSIX é desinstalado.
Arquitetura do processador
O pacote MSIX contém pacotes separados para ARM64, x64 e x86.
Somente o pacote correspondente ao sistema operacional é baixado e instalado.
Os executáveis empacotados não têm um sufixo ('64' para x64, '64a' para ARM64).
Por exemplo, procexp.exe em x64 é o mesmo que o procexp64.exe não empacotado.
Comunidade Sysinternals
Artigo • 04/08/2023
Siga no Twitter
Follow @Sysinternals
Follow @MarkRussinovich
Pesquisar e postar perguntas no P&R da

Microsoft
O Windows Sysinternals em P&R permite que você pesquise um arquivo crescente de
perguntas e respostas técnicas.
Recursos do Sysinternals
Artigo • 05/08/2023
Manuais
Livro Windows Internals
A página oficial de atualizações e erratas do livro definitivo sobre os componentes
internos do Windows, por Mark Russinovich e David Solomon.
Solução de problemas com as Ferramentas do Windows Sysinternals

O guia oficial dos utilitários Sysinternals de Mark Russinovich e Aaron Margosis,
incluindo descrições de todas as ferramentas, seus recursos, como usá-los para
solucionar problemas e exemplos de casos reais de uso.
Artigos
Dentro do Kernel do Windows Vista: Parte 1
Dentro do Controle de Conta de Usuário do Windows Vista
Dentro das Alterações do Kernel do Windows Server 2008
Vídeos e Webcasts
Sysinternals@25
Encontre todos os vídeos deste evento especial:
Fireside Chat com Mark Russinovich

Visão geral do Sysinternals
Aprofundamento do Processo do Explorer
Aprofundamento do Monitor de Processo
Aprofundamento do Sysmon
Aprofundamento do Autoruns
Aprofundamento do ProcDump
Aprofundamento do PsTools
Aprofundamento do Sysinternals para Linux
Conversa franca do homem por trás de suas ferramentas favoritas do Windows

Mark conversa com Larry Seltzer sobre a história e o futuro de Sysinternals.
Mostra ferramentas de desfragmentação
Os episódios 1 a 12 das Ferramentas de Desfragmentação mostram o foco nas
ferramentas do Sysinternals. Cada episódio aborda uma ferramenta específica usada no
programa de suporte técnico Defrag , abordando quando e por que usar as
ferramentas e fornecendo dicas sobre como aproveitar ao máximo:
Ferramentas de desfragmentação: nº 1 – Criar seu pendrive USB

Ferramentas de desfragmentação: nº 2 – Processar Explorer
Ferramentas de desfragmentação: nº 3 – Processar Explorer
Ferramentas de desfragmentação: nº 4 – Monitor de Processo – Exemplos
Ferramentas de desfragmentação: nº 5 – Autoruns e MSConfig
Ferramentas de desfragmentação: nº 6 – RAMMap
Ferramentas de desfragmentação: nº 7 – VMMap
Ferramentas de desfragmentação: nº 8 – Mark Russinovich
Ferramentas de desfragmentação: nº 9 – ProcDump
Ferramentas de desfragmentação: nº 10 – ProcDump – Gatilhos
Ferramentas de desfragmentação: nº 11 – ProcDump – & Monitor de Processo do
Windows 8
Ferramentas de desfragmentação: nº 12 – TaskMgr e ResMon
Webcasts de Mark
Duas dúzias de apresentações mais bem avaliadas de Mark no Sysinternals, nos internos
do Windows e no Windows Azure estão disponíveis para exibição sob demanda.
Obtenha dicas e técnicas sobre como usar as ferramentas do Sysinternals para
solucionar problemas diretamente de seu autor.
TWC: Sysinternals Primer: Edição TechEd 2014

A última edição da popular série Sysinternals Primer com Aaron Margosis, co-autor de
Mark Russinovich de The Windows Sysinternals Administrator's Reference. Os utilitários
Sysinternals são ferramentas vitais para qualquer profissional de computador na
plataforma Windows. O popular "Caso do Inexplicável", de Mark Russinovich, demonstra
algumas de suas funcionalidades em cenários avançados de solução de problemas. Esta
série de tutoriais complementares se concentra principalmente nos próprios utilitários,
aprofundando-se em tantos recursos quanto o tempo permite. Espere ver algumas
análises avançadas, como manipular resultados do Procmon com Windows PowerShell e
novos recursos interessantes/úteis.
Sysinternals Primer: Autoruns, Disk2Vhd, ProcDump, BgInfo e AccessChk

Os utilitários Sysinternals são ferramentas vitais para qualquer profissional de
computador na plataforma Windows. O popular "Caso do Inexplicável", de Mark
Russinovich, demonstra algumas de suas funcionalidades em cenários avançados de
solução de problemas. Esta sessão complementar do tutorial se concentra
principalmente nos próprios utilitários, fornecendo dicas e técnicas para usar a
funcionalidade completa para solução de problemas e gerenciamento de sistemas. Esta
sessão segue o mesmo formato da entrega altamente avaliada do ano passado e
abrange um conjunto diferente das ferramentas Sysinternals mais úteis.
Consequências não intencionais de bloqueios de segurança (usa muito utilitários

Sysinternals)
As organizações conscientes da segurança geralmente bloqueiam seus sistemas com
base em diretrizes prescritivas da Microsoft, agências do governo federal dos EUA ou
outras organizações de segurança. Às vezes, essas configurações podem levar a
surpresas desagradáveis e efeitos colaterais inesperados. Esta sessão descreve e
demonstra alguns dos problemas comuns que podem surgir e se e como essas
configurações realmente ajudam ou prejudicam. Há algum benefício em não conceder
aos administradores o privilégio de "Depurar"? "Ocultar mecanismos para remover
informações de zona" interrompe alguma coisa? A configuração "Exigir caminho
confiável para entrada de credencial" vale o inconveniente? Vem ver!
Windows Sysinternals Primer: Process Explorer, Process Monitor e muito mais

Os utilitários Sysinternals são ferramentas vitais para qualquer profissional de
computador na plataforma Windows. O popular "Caso do Inexplicável", de Mark
Russinovich, demonstra algumas de suas funcionalidades em cenários avançados de
solução de problemas. Esta sessão complementar de tutorial de Aaron Margosis e Tim
Reckmeyer se concentra principalmente nos utilitários, aprofundando-se no máximo de
recursos que o tempo permitir. Aprenda dicas e truques que o tornarão mais eficaz com
os utilitários do Sysinternals.
Boletim informativo
Boletins informativos da Sysinternals
Webcasts de Mark
Artigo • 09/08/2023
Assista às gravações gratuitas sob demanda das apresentações mais bem avaliadas de
Mark na TechEd, BUILD e outras conferências sobre Azure, segurança, solução de
problemas do Windows e busca de malware. Se tiver alguma dúvida sobre um tópico de
qualquer um desses webcasts, visite o Fórum da Sysinternals para obter respostas e
ajuda de outros usuários e de nossos moderadores.
O Caso do Inexplicável
O Caso do Inexplicável 2016
"O Caso do..." de Mark As postagens do blog do Mark ganham vida nestes
webcasts gravados de suas sessões do TechEd com a melhor classificação. Saiba
como solucionar os problemas mais difíceis do Windows e de aplicativos,
assistindo o Mark utilizar a Sysinternals e outras ferramentas avançadas para
resolver exemplos do mundo real. Não deixe de conferir todos os webcasts, pois
eles incluem exemplos de solução de problemas totalmente diferentes e
demonstram técnicas diferentes.
Microsoft Azure
A próxima geração da Plataforma de Computação do Azure Saiba como se
integrar ao Azure Resource Manager (ARM) para habilitar o controle de acesso
baseado em função (RBAC), marcações e implantações baseadas em modelos, e
como os contêineres do Windows com compatibilidade com o Docker fazem com
que seu código seja implantado instantaneamente e funcione de forma
consistente em qualquer ambiente. Saiba também como o Service Fabric, a PaaS
de microsserviços de hiperescala da Microsoft, que alimenta tudo, desde o banco
de dados do Azure até a Cortana, traz aos aplicativos recursos de última geração
de alta densidade, alta disponibilidade e computação com estado.
Por Mark Russinovich e Mark Minasi sobre a computação na nuvem Junte-se a
Mark Russinovich e Mark Minasi em uma animada discussão em que eles
compartilham suas visões sobre a ruptura da computação em nuvem e o que isso
significa para os profissionais de TI e desenvolvedores. Mark Russinovich traz sua
perspectiva de líder da arquitetura do Microsoft Azure e Mark Minasi traz sua
expertise em TI e visão de fora.
Segurança na nuvem pública: Sobrevivendo em um ambiente hostil de vários
locatários O aumento da computação na nuvem pública trouxe consigo um
novo conjunto de considerações de segurança que não são amplamente
compreendidas. Com uma perspectiva única de trabalhar nos sistemas de
segurança de uma nuvem pública, Mark descreve as ameaças ao provedor de
serviços de nuvem pública e ao cliente da nuvem, incluindo pessoas mal-
intencionadas, tecnologia compartilhada, violações de dados e perda de dados.
Para cada uma delas, ele avalia os riscos e explora o valor das mitigações, como
criptografia em repouso, criptografia em trânsito e outras melhores práticas de
segurança, separando o hype da realidade para que você possa tomar decisões
informadas à medida que sua organização migra para a nuvem.
Mark Russinovich e Mark Minasi sobre computação em nuvem
(https://channel9.msdn.com/events/teched/northamerica/2014/dcim-b386)) Junte-
se a Mark Russinovich e Mark Minasi em uma animada discussão enquanto eles
compartilham suas exibições sobre a ruptura da computação em nuvem e o que
isso significa para os profissionais de TI e desenvolvedores. Mark Russinovich traz
sua perspectiva de líder da arquitetura do Microsoft Azure e Mark Minasi traz sua
expertise em TI e visão de fora. A economia da nuvem pública, o futuro da PaaS e
da IaaS, como as empresas farão a ponte entre seus ambientes locais e a nuvem,
como você deve considerar a segurança na nuvem pública e quais habilidades são
importantes para os profissionais de TI e desenvolvedores são apenas algumas das
áreas que eles exploram juntos.
Serviços de infraestrutura no Microsoft Azure: máquinas virtuais e redes virtuais
(https://channel9.msdn.com/events/teched/northamerica/2013/mdc-b212)) Essa
sessão apresenta uma visão geral dos novos serviços de infraestrutura do
Windows Azure (IaaS), incluindo suporte para máquinas virtuais persistentes do
Windows Server e do Linux, novos recursos de rede para aplicativos híbridos e
conectividade local/nuvem e suporte para aplicativos que consistem em funções
de PaaS e IaaS. Mark explica como a IaaS se encaixa no Windows Azure para
estender os aplicativos de servidor existentes para a nuvem e mostra
demonstrações de implantações de VMs de IaaS e aplicativos complexos com
várias VMs.
Aspectos internos do Microsoft Azure Mark Russinovich analisa os bastidores do
sistema operacional do datacenter da Microsoft. Destinada a desenvolvedores que
já colocaram a mão na massa com o Windows Azure e entendem seus conceitos
básicos, essa sessão oferece uma visão interna do projeto arquitetônico da
plataforma de computação do Windows Azure. Saiba como é a arquitetura do data
center da Microsoft, o que acontece nos bastidores quando você implanta e
atualiza um aplicativo do Windows Azure e como ele monitora e responde à
integridade dos computadores, de seus próprios componentes e dos aplicativos
que hospeda.
Introdução ao Microsoft Azure: o sistema operacional em nuvem Junte-se a Mark
Russinovich para uma visão geral do novo sistema operacional em nuvem da
Microsoft. Partindo do princípio de que não há conhecimento prévio do Windows
Azure, esta sessão começará explicando a filosofia de aplicativos da plataforma
como serviço (PaaS) do Windows Azure e como ela difere da dos aplicativos de
servidor tradicionais. Em seguida, demonstrando os principais conceitos com um
serviço real do Windows Azure interno e implantado na nuvem, descreveremos o
modelo de serviço do Windows Azure, incluindo conceitos como atualização e
domínios de falha. A sessão será concluída com uma discussão sobre as diferentes
opções de atualização de serviços e detalhará as etapas de recuperação que o
Windows Azure segue quando detecta a falha de um serviço ou de um dispositivo
de hardware.
Por dentro do Microsoft Azure: o sistema operacional em nuvem Mark Russinovich
analisa o novo sistema operacional em nuvem da Microsoft. Destinada a
desenvolvedores que já colocaram a mão na massa com o Windows Azure e
entendem seus conceitos básicos, essa sessão oferece uma visão interna do
projeto arquitetônico da plataforma de computação do Windows Azure. Você
saberá como funciona a arquitetura do data center da Microsoft, o que acontece
nos bastidores quando você implanta e atualiza um aplicativo do Windows Azure e
como ele monitora e responde à integridade das máquinas, de seus próprios
componentes e dos aplicativos que hospeda.
Channel9: MarkRussinovich: Microsoft Azure, sistemas operacionais em nuvem e
plataformas como serviço Mark fala sobre o que ele está fazendo na equipe do
Windows Azure, por que o mundo está migrando para a nuvem,o que significa
Plataforma como Serviço (PaaS) e como o Windows Azure oferece a PaaS.
Informações internas do Windows

Tech-Ed América do Norte 2011: os mistérios do gerenciamento de memória do
Windows revelados, Parte 1
(https://channel9.msdn.com/events/teched/northamerica/2011/wcl405)) [Tech-Ed
América do Norte 2011: Os mistérios do gerenciamento de memória do Windows
revelados, Parte 2
(https://channel9.msdn.com/events/teched/northamerica/2011/wcl406)) Se quiser
saber a diferença entre memória confirmada pelo sistema e memória confirmada
pelo processo, se quiser saber o que todos os números de memória mostrados
pelo Gerenciador de Tarefas realmente significam ou se quiser obter informações
sobre o impacto de um processo relacionado à memória, essa palestra é para você.
Assista ao Mark neste webcast sob demanda da América do Norte 2011.
Enviando os limites do Windows
(https://channel9.msdn.com/events/teched/europe/2009/cli402)) Veja como Mark
explica os limites do Windows relacionados a manipuladores de objetos, memória
virtual e memória física. Ao longo do caminho, ele explica de onde vêm os limites
e como monitorar seus aplicativos para que você seja avisado quando eles se
aproximarem dos limites e para que possa dimensionar seus sistemas para
acomodar os recursos exigidos.
Por dentro da Virtualização do Windows Server 2008R2 e Melhorias no VHD
(https://channel9.msdn.com/events/teched/northamerica/2009/vir401)) Mark leva
você para dentro das novas funcionalidades de virtualização e VHD do Windows,
incluindo migração ao vivo de VM, estacionamento de núcleo e coalescência de
temporizador, suporte ao gerenciamento de energia do hipervisor e novo
gerenciamento de memória de convidado assistido por hardware. Ele faz toda a
apresentação a partir de uma instalação do Windows que foi inicializada a partir
do VHD para mostrar como o Windows deverá implementar uma pilha de VHD
nativa e como a arquitetura de inicialização foi alterada para acomodar a
inicialização a partir de imagens do VHD.
Channel9: Mark Russinovich por dentro do Windows 7 Mark fala sobre as
alterações do kernel no Windows 7 e no Windows Server 2008R2, incluindo a
remoção do bloqueio do agendador, suporte para até 256 CPUs, inicialização a
partir de VHD, MinWin, estacionamento de núcleo para economia de energia e
muito mais.
Channel9: Mark Russinovich: Por dentro do Windows 7 Redux Em uma
continuação da discussão anterior sobre o Inside do Windows 7, Mark explora o
interior do Windows 7, profundamente no sistema (os efeitos cumulativos dos
quais ajudam a tornar o Windows 7 o sistema operacional de uso geral mais
confiável, escalável e eficiente da Microsoft até o momento).
Channel9: Mark fala sobre o trabalho na Microsoft, o kernel do Windows Server
2008, MinWin vs ServerCore e Hyper-V O Channel 9 conversa com o membro
técnico e fundador da Sysinternals, Mark Russinovich, para saber um pouco mais
sobre as novidades do kernel do Windows Server 2008. É claro que falamos sobre
muitas coisas, incluindo o HyperV, virtualização de aplicativos, arquitetura do
kernel e muito mais....
Segurança
TWC: Pass-the-Hash: como os atacantes se espalham e como detê-los O Pass-
the-hash transforma a violação de um computador em um comprometimento
total da infraestrutura. A publicação de ataques e a falta de ferramentas para
responder a eles forçaram as empresas a confiar em técnicas onerosas e ineficazes.
Nesta sessão, desconstruiremos a ameaça PtH, mostraremos como o ataque é
realizado e como é possível utilizar os novos recursos e funcionalidades
introduzidos recentemente no Windows.
TWC: A Busca por Malwares por Mark Russinovich e as Ferramentas da
Sysinternals Mark apresenta uma visão geral de várias ferramentas da
Sysinternals, incluindo o Monitor de Processos, o Explorador de Processos e o
Autoruns, com foco nos recursos utilizados para análise e remoção de malware.
Esses utilitários habilitam a inspeção e o controle profundos de processos,
atividades do sistema de arquivos e do registro e pontos de execução de
inicialização automática. Ele demonstra seus recursos de busca de malware
apresentando várias amostras atuais de malware do mundo real e utilizando as
ferramentas para identificar e limpar o malware.
Licença para Matar: a Busca por Malwares com as ferramentas da Sysinternals
Essa sessão apresenta uma visão geral de várias ferramentas da Sysinternals,
incluindo o Monitor de Processos, o Explorador de Processos e o Autoruns, com
foco nos recursos utilizados para análise e remoção de malware. Esses utilitários
habilitam a inspeção e o controle profundos de processos, atividades do sistema
de arquivos e do registro e pontos de execução de inicialização automática. Você
vai conferir demonstrações de seus recursos de busca por malwares por meio de
vários casos reais que utilizaram as ferramentas para identificar e limpar malwares,
e concluirá realizando uma análise ao vivo do impacto de uma infecção por
Stuxnet no sistema.
ZeroDay: Uma Exibição Não Fictícia Mark argumenta como seu filme de
suspense cibernético de sucesso, ZeroDay, provavelmente será realizado em forma
de não fictícia nesta versão curta de 20 minutos da sua popular sessão na
Conferência RSA.
Limpeza de Malwares no Dia Zero com as ferramentas da Sysinternals Slides da
apresentação altamente conceituada de Mark na Blackhat US 2011 sobre como
utilizar as ferramentas da Sysinternals para buscar e eliminar malwares.
Channel9: Mark fala sobre a segurança do Windows e a arquitetura principal
Confira a entrevista de Mark no Channel 9, na qual ele fala sobre sua introdução à
arquitetura interna do Windows, novos recursos de segurança no Windows Vista,
Controle de Conta de Usuário e o que ele está fazendo na Microsoft.
Ferramentas de desfragmentação
Mostras de Ferramentas de Desfragmentação Os episódios 1 a 12 das mostras
das Ferramentas de Desfragmentação se concentram nas ferramentas da
Sysinternals. Cada episódio aborda uma ferramenta específica usada no programa
de suporte técnico Defrag , abordando quando e por que usar as ferramentas e
fornecendo dicas sobre como aproveitar ao máximo:
Ferramentas de Desfragmentação: #1- Criando seu thumbdrive USB
Ferramentas de Desfragmentação: #2- Explorador de Processos
Ferramentas de Desfragmentação: #3- Monitor de Processos
Ferramentas de Desfragmentação: #4- Monitor de Processos - Exemplos
Ferramentas de Desfragmentação: #5- Autoruns e MSConfig
Ferramentas de Desfragmentação: #6- RAMMap
Ferramentas de Desfragmentação: #7- VMMap
Ferramentas de Desfragmentação: #8- Mark Russinovich
Ferramentas de Desfragmentação: #9- ProcDump
Ferramentas de Desfragmentação: #10- ProcDump- Gatilhos
Ferramentas de Desfragmentação: #11- ProcDump- Windows 8 & Monitor de
Processos
Ferramentas de Desfragmentação: #12- TaskMgr e ResMon
Livro Windows Internals
Artigo • 04/08/2023
A 7ª Edição do Windows Internals (Parte 1) abrange a arquitetura e os principais

componentes internos do Windows 10 e Windows Server 2016. Este livro ajuda você a:
Entender a arquitetura do sistema Windows e seus componentes gerais

Explorar estruturas de dados internas usando ferramentas como o depurador de
kernel
Entender como o Windows usa processos para gerenciamento e isolamento
Entender e exibir o agendamento de threads e como os recursos da CPU são
gerenciados
Investigar o modelo de segurança do Windows, incluindo os avanços recentes nas
mitigações de segurança
Entender como o Windows gerencia a memória virtual e física
Entender como o sistema de E/S gerencia dispositivos físicos e drivers de
dispositivo
A 7ª edição foi escrita por Pavel Yosifovich, Alex Ionescu, Mark Russinovich e David
Solomon. Novo material foi adicionado desde a 6ª edição (que abrange o Windows 7 e
o Windows Server 2008 R2).
A parte 2 da 7ª Edição (escrita por Andrea Allievi, Mark E. Russinovich, Alex Ionescu e
David A. Solomon) agora está disponível, e fornece um recurso inestimável sobre
tópicos ausentes da primeira parte da 7ª Edição. Isso inclui o processo de inicialização,
novas tecnologias de armazenamento e mecanismos de gerenciamento e sistema do
Windows.
Sumário da 7ª edição, parte 1:

Capítulo 1: Conceitos e ferramentas
Capítulo 2: Arquitetura do sistema
Capítulo 3: Processos e trabalhos
Capítulo 4: Threads
Capítulo 5: Gerenciamento de memória
Capítulo 6: Sistema de E/S
Capítulo 7: Segurança
O livro está disponível para compra no site da Microsoft Press (7ª Edição, Parte 1 ; 7ª
Edição, Parte 2 ).
História do livro
Esta é a sétima edição de um livro originalmente chamado Inside Windows NT
(Microsoft Press, 1992), escrito por Helen Custer (antes do lançamento inicial do
Microsoft Windows NT 3.1). Inside Windows NT foi o primeiro livro publicado sobre o
Windows NT e forneceu insights importantes sobre a arquitetura e o design do sistema.
Inside Windows NT, 2ª Edição (Microsoft Press, 1998) foi escrito por David Solomon. A
edição atualizou o livro original para abranger o Windows NT 4.0 e teve um nível muito
maior de profundidade técnica. Inside Windows 2000, 3ª Edição (Microsoft Press, 2000)
foi criado por David Solomon e Mark Russinovich. A edição adicionou muitos novos
tópicos, como inicialização e desligamento, componentes internos do serviço,
componentes internos do registro, drivers do sistema de arquivos e rede. Ela também
abordou alterações de kernel no Windows 2000, como o Windows Driver Model (WDM),
plug and play, gerenciamento de energia, Instrumentação de Gerenciamento do
Windows (WMI), criptografia, o objeto de trabalho e os Serviços de Terminal. Windows
Internals, 4ª Edição, foi a atualização para o Windows XP e Windows Server 2003 e
adicionou mais conteúdo focado em ajudar os profissionais de TI a usar seus
conhecimentos sobre os componentes internos do Windows, oferecendo orientação
para usar as principais ferramentas do Windows Sysinternals e analisar despejos de
falhas.
Windows Internals, 5ª Edição foi a atualização para Windows Vista e Windows Server
2008. Ela passou pela transição de Mark Russinovich para um trabalho em tempo
integral na Microsoft (onde ele agora é o CTO do Azure) e pela adição de um novo co-
autor, Alex Ionescu. O novo conteúdo incluía o carregador de imagens, a instalação de
depuração no modo de usuário, a ALPC (Chamada de Procedimento Local Avançado) e
o Hyper-V. A próxima versão, Windows Internals, 6ª Edição, foi totalmente atualizada
para resolver as muitas alterações de kernel no Windows 7 e no Windows Server 2008
R2, com muitos novos experimentos práticos para refletir as alterações nas ferramentas
também.
Alterações na 7ª Edição
Desde a última atualização desta série, o Windows passou por várias versões, chegando
ao Windows 10 e Windows Server 2016. O Windows 10 em si, sendo o nome atual do
Windows, teve várias versões desde sua versão inicial para fabricação, ou RTM, cada
uma rotulada com um número de versão de 4 dígitos indicando ano e mês de
lançamento, como Windows 10, versão 1703, que foi concluída em março de 2017. O
acima mencionado implica que o Windows passou por pelo menos 6 versões desde o
Windows 7. A partir do Windows 8, a Microsoft iniciou um processo de convergência do
sistema operacional, o que é benéfico sob uma perspectiva de desenvolvimento, bem
como para a própria equipe de engenharia do Windows. O Windows 8 e o Windows
Phone 8 tinham kernels convergidos, com a convergência de aplicativo moderna
chegando ao Windows 8.1 e Windows Phone 8.1. A história de convergência foi
concluída com o Windows 10, que é executado em desktops/laptops, servidores, XBOX
One, telefones (Windows Mobile 10), HoloLens e vários dispositivos da Internet das
Coisas (IoT). Com essa grande unificação concluída, era o momento certo para uma
nova edição da série, que agora poderia finalmente alcançar quase meia década de
mudanças, no que agora será uma arquitetura de kernel mais estabilizada daqui para
frente. Como tal, este livro mais recente aborda aspectos do Windows do Windows 8 ao
Windows 10, versão 1703. Além disso, esta edição recebe Pavel Yosifovich como seu
novo co-autor.
Ferramentas de livro
Várias ferramentas foram escritas especificamente para o livro e estão disponíveis com
código-fonte completo no WindowsInternals repositório GitHub .
Troubleshooting with the Windows
Sysinternals Tools
Artigo • 11/08/2023
Uma atualização do Windows Sysinternals Administrator’s Reference

Por Mark Russinovich e Aaron Margosis
O Troubleshooting with the Windows Sysinternals Tools é o livro oficial sobre as
ferramentas do Sysinternals, escrito por Mark Russinovich, autor da ferramenta e
cofundador do Sysinternals, e por Aaron Margosis, especialista do Windows. O livro
aborda detalhadamente todas as mais de 65 ferramentas, com capítulos completos
sobre as principais ferramentas, como Process Explorer, Process Monitor e Autoruns.
Além de dicas e truques nos capítulos das ferramentas, há ainda 45 exemplos de "O
Caso do Inexplicável..." das ferramentas usadas pelos usuários para resolver problemas
do mundo real. Compre o livro hoje mesmo e aprimore seu nível de habilidades de
solução de problemas e gerenciamento de sistemas do Windows.
Como comprar o livro

É possível comprar o livro nas seguintes lojas online:
Microsoft Press Store

Amazon
Barnes & Noble
Livrarias independentes – Compre localmente
Você também pode ler o livro online na O'REILLY Media .
Descrição do livro
Profissionais de TI e usuários avançados consideram as ferramentas gratuitas do
Windows Sysinternals indispensáveis para diagnosticar, solucionar problemas e
compreender profundamente a plataforma Windows. Nesse guia amplamente
atualizado, o criador do Sysinternals, Mark Russinovich, e o consultor especialista do
Windows, Aaron Margosis, ajudam você a usar essas poderosas ferramentas para
otimizar a confiabilidade, eficiência, desempenho e segurança de qualquer sistema
Windows. Primeiro, os autores explicam os recursos do Sysinternals e ajudam você a dar
os primeiros passos. Em seguida, eles apresentam detalhadamente cada ferramenta
principal, desde o Process Explorer e o Process Monitor até os utilitários de arquivos e
segurança do Sysinternals. Por fim, seguindo nessa linha, eles mostram as ferramentas
que estão sendo usadas para resolver casos reais envolvendo mensagens de erro,
travamentos, lentidão, infecções por malware e muito mais.
Mark Russinovich (criador do Windows Sysinternals) e Aaron Margosis mostram como:
Usar o Process Explorer para exibir informações detalhadas do processo e do

sistema
Usar o Process Monitor para capturar eventos do sistema de baixo nível e filtrar
rapidamente a saída para restringir as causas raiz
Listar, categorizar e gerenciar softwares que são executados ao iniciar ou entrar no
computador ou ao executar o Microsoft Office ou o Internet Explorer
Verificar as assinaturas digitais de arquivos, de programas em execução e dos
módulos carregados nesses programas
Usar os recursos Autoruns, Process Explorer, Sigcheck e Process Monitor que
podem identificar e limpar infestações de malware
Inspecionar permissões em arquivos, chaves, serviços, compartilhamentos e outros
objetos
Usar o Sysmon para monitorar eventos relevantes à segurança em toda a rede
Gerar despejos de memória quando um processo atender aos critérios
especificados
Executar processos remotamente e fechar arquivos que foram abertos
remotamente
Gerenciar objetos do Active Directory e rastrear chamadas à API LDAP
Obter dados detalhados sobre processadores, memória e relógios
Solucionar problemas de dispositivos não inicializáveis, erros de arquivo em uso,
comunicação inexplicável e muitos outros problemas
Entender os principais conceitos do Windows que não estejam bem
documentados em outro lugar
Capítulo de amostra
Você pode ler amostras do livro neste link da Amazon.com .
Sumário
Parte I: Introdução
Capítulo 1 Introdução aos utilitários do Sysinternals
Capítulo 2 Conceitos principais do Windows
Parte II: Guia de uso
Capítulo 3 Process Explorer
Capítulo 4 Autoruns
Capítulo 5 Process Monitor
Capítulo 6 ProcDump
Capítulo 7 PsTools
Capítulo 8 Utilitários de processo e diagnóstico
Capítulo 9 Utilitários de segurança
Capítulo 10 Utilitários do Active Directory
Capítulo 11 Utilitários da Área de trabalho
Capítulo 12 Utilitários de arquivo
Capítulo 13 Utilitários de disco
Capítulo 14 Utilitários de rede e comunicação
Capítulo 15 Utilitários de informações do sistema
Capítulo 16 Utilitários diversos
Parte III: Solução de problemas — "O Caso do Inexplicável..."
Capítulo 17 Mensagens de erro
Capítulo 18 Falhas
Capítulo 19 Travamento e desempenho lento
Capítulo 20 Malware
Capítulo 21 Noções básicas sobre o comportamento do sistema
Capítulo 22 Solução de problemas do desenvolvedor
Errata
Consulte a guia Errata & Atualizações no site da Microsoft Press
Por dentro dos Aplicativos Nativos
Artigo • 04/08/2023
Mark Russinovich Publicado em: 1 de novembro de 2006
Introdução
Se você tem alguma familiaridade com a arquitetura do NT, provavelmente sabe que a
API que os aplicativos Win32 utilizam não é a API "real" do NT. Os ambientes
operacionais do NT, que incluem POSIX, OS/2 e Win32, conversam com seus aplicativos
clientes através de suas próprias APIs, mas conversam com o NT usando a API "nativa"
do NT. A API nativa é, em sua maior parte, não documentada, com apenas cerca de 25
das suas 250 funções descritas no Kit de Drivers de Dispositivos do Windows NT.
O que a maioria das pessoas não sabe, entretanto, é que existem aplicativos "nativos"
no NT que não são clientes de nenhum dos ambientes operacionais. Esses programas
falam a API nativa do NT e não podem usar APIs de ambientes operacionais como o
Win32. Por que esses programas seriam necessários?" Qualquer programa que precise
ser executado antes de o subsistema Win32 ser iniciado (por volta do tempo em que a
caixa de logon aparece) deve ser um aplicativo nativo. O exemplo mais visível de um
aplicativo nativo é o programa "autochk" que executa o chkdsk durante a tela azul de
inicialização (é o programa que imprime o "." na tela). Naturalmente, o servidor do
ambiente operacional Win32, CSRSS.EXE (Subsistema de Runtime do Cliente-Servidor),
também deve ser um aplicativo nativo.
Neste artigo, descreverei como os aplicativos nativos são criados e como funcionam.
Como o Autochk é executado

O Autochk é executado entre o tempo em que os drivers de inicialização do NT e de
início do sistema são carregados e quando a paginação é ativada. Nesse ponto da
sequência de inicialização, o Gerenciador de Sessão (smss.exe) está preparando o
ambiente de modo de usuário do NT e nenhum outro programa está ativo. O valor
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute, um
MULTI_SZ, contém os nomes e os argumentos dos programas que são executados pelo
Gerenciador de Sessão e é onde o Autochk é especificado. Aqui está o que você
normalmente encontrará se examinar esse valor, em que "Autochk" é passado "*" como
argumento:
Shell
Autocheck Autochk *
O Gerenciador de Sessão procura no diretório <winnt>\system32 os executáveis listados

nesse valor. Quando o Autochk é executado, não existem arquivos abertos, de modo
que o Autochk pode abrir qualquer volume em modo bruto, inclusive a unidade de
inicialização, e manipular suas estruturas de dados no disco. Isso não seria possível
em nenhum momento posterior.
Criando Aplicativos Nativos

A Microsoft não documenta isso, mas o utilitário NT DDK Build sabe como criar
aplicativos nativos (e provavelmente é usado para compilar o Autochk). Você especifica
informações em um arquivo FONTES que define o aplicativo, da mesma forma que seria
feito com os drivers de dispositivo. No entanto, em vez de indicar ao Build que você
deseja um driver, você informa que deseja um aplicativo nativo no arquivo FONTES, da
seguinte forma:
Shell
TARGETTYPE=PROGRAM
O utilitário Build usa um makefile padrão para orientá-lo, \ddk\inc\makefile.def, que

procura uma biblioteca de tempo de execução chamada nt.lib ao compilar aplicativos
nativos. Infelizmente, a Microsoft não envia esse arquivo com o DDK (ele está incluído
no DDK do Server 2003, mas suspeito que, se você criar um link com essa versão, seu
aplicativo nativo não será executado no XP ou no Windows 2000). No entanto, você
pode contornar esse problema incluindo uma linha no makefile.def que substitui a
seleção do nt.lib especificando a biblioteca de runtime do Visual C++, msvcrt.lib
Se você executar o Build no ambiente "Checked Build" do DDK, ele produzirá um

aplicativo nativo com informações completas de depuração em
%BASEDIR%\lib%CPU%\Checked (por exemplo, c:\ddk\lib\i386\checked\native.exe) e, se
você o invocar no ambiente "Free Build", uma versão de lançamento do programa será
colocada em %BASEDIR%\lib%CPU%\Free. Esses são os mesmos locais nos quais as
imagens do driver de dispositivo são colocadas pelo Build.
Os aplicativos nativos têm extensões de arquivo ".exe", mas não é possível executá-los
como os .exe do Win32. Se você tentar, receberá a mensagem:
O aplicativo não pode ser executado no modo Windows NT.

Dentro de um Aplicativo Nativo
Em vez de winmain ou main, o ponto de entrada para aplicativos nativos é
NtProcessStartup. Também diferentemente dos outros pontos de entrada do Win32, os
aplicativos nativos precisam acessar uma estrutura de dados passada como seu único
parâmetro para localizar os argumentos da linha de comando.
A maior parte do ambiente de runtime de um aplicativo nativo é fornecida pela

NTDLL.DLL, a biblioteca de exportação da API nativa do NT. Os aplicativos nativos
devem criar seu próprio heap para alocar o armazenamento usando RtlCreateHeap,
uma função da NTDLL. A memória é alocada de um heap com RtlAllocateHeap e
liberada com RtlFreeHeap. Se um aplicativo nativo desejar imprimir algo na tela, ele
deverá usar a função NtDisplayString, que produzirá a Tela Azul de inicialização.
Os aplicativos nativos não retornam simplesmente da função de inicialização como os

programas Win32, pois não existe um código de runtime para o qual retornar. Em vez
disso, eles precisam ser encerrados chamando NtProcessTerminate.
O runtime da NTDLL consiste em centenas de funções que permitem que os aplicativos

nativos executem a E/S de arquivos, interajam com drivers de dispositivos e realizem
comunicações entre processos. Infelizmente, como afirmei anteriormente, a grande
maioria dessas funções não está documentada.
Arquivo do Boletim Informativo do
Sysinternals
Artigo • 07/08/2023
Volume 1
Número 1 - 14 de abril de 1999
Número 2 – 15 de maio de 1999
Número 3 - 19 de junho de 1999
Número 4 – 5 de agosto de 1999
Número 5 – 12 de outubro de 1999
Volume 2
Número 1 - 6 de janeiro de 2000
Número 2 - 27 de março de 2000
Número 5 – 30 de novembro de 2000
Volume 3
Volume 4
Número 3 – 16 de outubro de 2002
Volume 5
Número 1 – 19 de fevereiro de 2003
Volume 6
Número 2 – 30 de julho de 2004
Volume 7
Comunicação especial - 11 de abril de 2005
Volume 8
Número 1 - 2 de março de 2006
Número 2, Migração de Site do Sysinternals – 30 de outubro de 2006
Número 3, Sysinternals TechCenter – 06 de novembro de 2006
Número 4, Atualizações de Site da Web – 08 de novembro de 2006
Termos de licença de software da
Sysinternals
Artigo • 05/08/2023
Estes termos de licença são um contrato entre a Sysinternals (uma subsidiária integral
da Microsoft Corporation) e você. É importante lê-los. Eles se aplicam ao software que
você está baixando de technet.microsoft.com/sysinternals, que inclui a mídia na qual
você o recebeu, se houver. Os termos também se aplicam a qualquer Sysinternals
atualizações,
suplementos,
serviços baseados na Internet,
e serviços de apoio
da Microsoft referentes a este software, salvo quando outros termos acompanharem

esses itens. Nesse caso, estes últimos serão aplicados.
AO USAR O SOFTWARE, VOCÊ ACEITA ESTES TERMOS. SE VOCÊ NÃO OS ACEITAR,

NÃO USE O SOFTWARE.
Se concordar com estes termos de licença, você terá os direitos indicados abaixo.
Instalação e direitos do usuário

Você poderá instalar e usar um número indeterminado de cópias do software em seus
dispositivos.
Escopo da licença
O software é licenciado, não vendido. Este contrato concede a você apenas alguns
direitos de uso do software. A Sysinternals reserva-se todos os outros direitos. Salvo se a
legislação aplicável lhe conceder mais direitos apesar dessa limitação, você poderá usar
o software apenas da forma expressamente permitida neste contrato. Dessa forma, você
deve concordar com as limitações técnicas no software que somente permitirão o seu
uso de algumas formas. É vedado:
contornar as limitações técnicas do software;

aplicar engenharia reversa, descompilar ou desmontar o software, salvo e somente
na medida em que essa atividade seja expressamente permitida pela legislação
aplicável, não obstante a presente limitação;
fazer mais cópias do software do que o número especificado neste contrato ou
permitido pela legislação aplicável, apesar dessa limitação;
publicar o software para que outras pessoas o copiem;
alugar, arrendar ou emprestar o software;
transferir o software ou este contrato a terceiros; ou
usar o software para serviços de hospedagem de software comerciais.
Informação sensível
Esteja ciente de que, semelhante a outras ferramentas de depuração que capturam
informações do “estado do processo”, os arquivos salvos pelas ferramentas Sysinternals
podem incluir informações de identificação pessoal ou outras informações confidenciais
(como nomes de usuário, senhas, caminhos para arquivos acessados e caminhos para
registros acessados). Ao usar este software, você reconhece que está ciente disso e
assume total responsabilidade por qualquer informação de identificação pessoal ou
outras informações confidenciais fornecidas à Microsoft ou a qualquer outra parte por
meio do uso do software.
Coleta de dados
As ferramentas da Sysinternals não coletam nenhum dado. Consulte a Declaração de
privacidade da Microsoft .
Documentação
Qualquer pessoa que tenha acesso válido ao seu computador ou à sua rede interna
poderá copiar e usar a documentação para fins de referência interna.
Restrições à exportação
O software está sujeito às leis e normas de exportação dos Estados Unidos. Você deve
concordar com todas as leis e normas de exportação internacionais e domésticas que se
aplicam ao software. Essas leis incluem restrições a destinos, usuários finais e usos finais.
Para informações adicionais, veja www.microsoft.com/exporting .
Serviços de Suporte
Como este software é fornecido “no estado em que se encontra”, a Microsoft poderá
não prestar serviços de suporte para ele.
Contrato completo
Este contrato e os termos dos suplementos, das atualizações, dos serviços baseados na
Internet e dos serviços de suporte por você usados constituem o acordo integral para o
software e os serviços de suporte.
Lei aplicável
Estados Unidos . Se você adquiriu o software nos Estados Unidos , a lei do estado de
Washington rege a interpretação deste contrato e se aplica a reclamações por violação
do mesmo, independentemente do conflito de princípios legais. As leis do estado no
qual você reside regerão todos os requerimentos judiciais ou extrajudiciais, incluindo
leis de defesa do consumidor, concorrência desleal e atos ilícitos extracontratuais.
Fora dos Estados Unidos. Se você tiver adquirido o software em qualquer outro país,
serão aplicadas as leis desse país.
Efeito legal
Este contrato descreve determinados direitos legais. Você pode ter outros direitos de
acordo com as leis do seu país. Você também pode ter direitos em relação à parte de
quem o software foi adquirido. Este contrato não altera seus direitos previstos nas leis
do seu país, caso essas leis não o permitam.
Isenção de garantia
O software é licenciado "como está". Você assume o risco de usá-lo. A Sysinternals não
oferece garantias, garantias ou condições expressas. A legislação local poderá conferir a
você outros direitos de consumidor, os quais não serão afetados por este contrato. Na
medida permitida pelas leis locais, a sysinternals exclui as garantias implícitas de
comercialização, adequação a uma finalidade específica e não violação.
Limitação e exclusão de recursos e danos

Você pode recuperar da sysinternals e de seus fornecedores apenas danos diretos de
até US$ 5.00. Não será possível recuperar quaisquer outros danos, inclusive por lucros
cessantes, danos consequenciais, especiais, indiretos ou incidentais.
Essa limitação se aplica a

tudo o que estiver relacionado a softwares, serviços, conteúdo (incluindo o código)
em sites da Internet de terceiros ou a programas de terceiros; e
requerimentos judiciais ou extrajudiciais por violação de garantia ou condição,
responsabilidade objetiva, negligência ou outro ato ilícito extracontratual na
extensão permitida pela legislação aplicável.
Também se aplica mesmo que a Sysinternals soubesse ou devesse saber da

possibilidade dos danos. A limitação ou exclusão acima poderá não ser aplicar a você,
pois seu país pode não permitir a exclusão ou limitação por danos incidentais,
consequencias ou outros.
Nota: como este software é distribuído em Quebec, Canadá, algumas das cláusulas
deste contrato são fornecidas abaixo em francês.
Remarque: Ce logiciel étant distribué au Québec, Canada, certaines des clauses dans
ce contrat sont fournies ci-dessous en français.
EXONÉRATION DE GARANTIE. Le logiciel visé par une licence est offert « tel quel ».
Toute utilisation de ce logiciel est à votre seule risque et péril. A Sysinternals não oferece
nenhuma outra garantia expressa. Vous pouvez bénéficier de droits additionnels en
vertu du droit local sur la protection dues consommateurs, que ce contrat ne peut
modifier. La ou elles sont permises par le droit locale, les garanties implicites de qualité
marchande, d'adéquation à un usage particulier et d'absence de contrefaçon sont
exclues.
LIMITATION DES DOMMAGES-INTÉRÊTS ET EXCLUSION DE RESPONSABILITÉ POUR

LES DOMMAGES. Você pode recuperar da Sysinternals e de seus fornecedores uma
compensação por danos diretos de até US$ 5.00. Vous ne pouvez prétendre à aucune
indemnisation pour les autres dommages, y compris les dommages spéciaux, indirects
ou accessoires et pertes de bénéfices.
Cette limitation concerne :
tout ce qui est relié au logiciel, aux services ou au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers ; et
les réclamations au titre de violation de contrat ou de garantie, ou au titre de
responsabilité stricte, de négligence ou d'une autre faute dans la limite autorisée
par la loi en vigueur.
Também se aplica mesmo que a Sysinternals saiba ou deva saber da possibilidade de

tais danos. Si votre pays n'autorise pas l'exclusion ou la limitation de responsabilité pour
les dommages indirects, accessoires ou de quelque nature que ce soit, il se peut que la
limitation ou l'exclusion ci-dessus ne s'appliquera pas à votre égard.
EFFET JURIDIQUE. Le présent contrat décrit certains droits juridiques. Vous pourriez
avoir d'autres droits prévus par les lois de votre pays. Le présent contrat ne modifie pas
les droits que vous confèrent les lois de votre pays si celles-ci ne le permettent pas.
Perguntas frequentes sobre o
licenciamento do Sysinternals
Perguntas frequentes
Quantas cópias dos utilitários do

Sysinternals posso carregar ou usar
livremente nos computadores de
propriedade da minha empresa?
Não existe limite para o número de vezes que você pode instalar e usar o software nos
seus dispositivos ou naqueles suportados por você.
Posso distribuir os utilitários do

Sysinternals no meu software, no meu
site ou na minha revista?
Não. Não estamos disponibilizando licenças de distribuição, mesmo que terceiros as
estejam distribuindo gratuitamente. Incentivamos que as pessoas façam o download
dos utilitários em nosso centro de downloads, no qual elas podem ter certeza de que
receberão a versão mais recente do utilitário.
Posso licenciar ou reutilizar qualquer

código-fonte do Sysinternals?
Não. Não ofereceremos mais o código-fonte do Sysinternals para download ou licença.
As ferramentas do Sysinternals
continuarão disponíveis gratuitamente?
Sim, a Microsoft não tem planos de remover ou cobrar por essas ferramentas.
Existe suporte técnico disponível para as
ferramentas do Sysinternals?
Não. Todas as ferramentas do Sysinternals são oferecidas "como estão", sem o suporte
oficial da Microsoft. Mantemos um fórum de suporte da comunidade dedicado ao
Sysinternals : https://forum.sysinternals.com/ .

Sysinternals Manutencao

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Sysinternals Manutencao

Enviado por

Direitos autorais:

Formatos disponíveis

Dê a sua opinião sobre a experiência de download do PDF.

Leia o guia oficial para as ferramentas do Sysinternals, Solução de problemas com

Insira o caminho do Sysinternals Live de uma ferramenta no Windows Explorer como

prompt de comando, use \\live.sysinternals.com\tools\<toolname> .

É possível exibir todo o diretório de ferramentas do Sysinternals Live em um navegador

Novidades (29 de setembro de 2023)

Novidades (26 de julho de 2023)

ProcDump 2.0 para Linux

Novidades (27 de junho de 2023)

arquivos, e corrige um travamento do sistema que ocorre em determinadas

Novidades (24 de maio de 2023)

Pacote Sysinternals para o Nano Server

Pacote Sysinternals para ARM64

Pacote Sysinternals da Microsoft Store

Uso do Disco (DU)

Uso do Registro (RU)

Uso do disco (DU)

Por Mark Russinovich

Publicação: 11 de maio de 2022

Baixar o AccessChk (1 MB)

Como usar o AccessChk

Prompt de comando do Windows

accesschk [-s][-e][-u][-r][-w][-n][-v]-[f <account>,...][[-a]|[-k]|[-p [-f]

-a O nome é um direito de conta do Windows. Especifique "*" como o nome para

-c O nome é um Serviço Windows, por exemplo, ssdpsrv . Especifique "*" como o

-d Processe apenas diretórios ou chaves de nível superior

-e Mostre apenas níveis de integridade definidos explicitamente (somente Windows

-f Se seguir um -p , mostrará informações completas do token de processo, incluindo

-h O nome é um compartilhamento de arquivo ou de impressora. Especifique "*"

-k O nome é uma chave do Registro, por exemplo, hklm\software

-l Mostre o descritor de segurança completo. Adicione -i para ignorar ACEs

-n Mostre somente objetos que não têm acesso

-o O nome é um objeto no namespace do Gerenciador de Objetos (o padrão é raiz).

-p O nome é um nome de processo ou PID, por exemplo cmd.exe , (especifique "*"

-r Mostre somente objetos com acesso de leitura

-t Filtro de tipo de objeto, por exemplo, "section"

-v Detalhado (inclui o Nível de Integridade do Windows Vista)

-w Mostre somente objetos com acesso de gravação

Por padrão, o nome do caminho é interpretado como um caminho do sistema de

Prompt de comando do Windows

accesschk "power users" c:\windows\system32

Prompt de comando do Windows

accesschk users -cw *

Prompt de comando do Windows

accesschk -kns austin\mruss hklm\software

Para ver a segurança na chave HKLM\Software:

Prompt de comando do Windows

Para ver todos os objetos globais que todos podem modificar:

Prompt de comando do Windows

accesschk -wuo everyone \basednamedobjects

Baixar o AccessChk (1 MB)

Por Mark Russinovich

Publicado em: 16 de agosto de 2022

Baixar o AccessEnum (135 KB)

Baixar o AccessEnum (135 KB)

Executar agora a partir do Sysinternals Live .

Por Mark Russinovich

Publicado em: 16 de dezembro de 2021

Baixar o CacheSet (417 KB)

Use o CacheSet para ajustar o desempenho do tamanho do Cache do sistema de uma

Talvez você observe que o tamanho do Cache muda imediatamente e, em seguida,

Uso: [conjunto de trabalho mínimo] [conjunto de trabalho máximo] do CacheSet

Internamente, o NtSetSystemInformation chama o MmAdjustWorkingSetSize, que