Escolar Documentos
Profissional Documentos
Cultura Documentos
Sysinternals
Artigo • 24/10/2023
O site do Sysinternals foi criado em 1996 por Mark Russinovich para hospedar seus
utilitários avançados do sistema e informações técnicas. Quer você seja um profissional
de TI ou um desenvolvedor, encontrará utilitários do Sysinternals para ajudá-lo a
gerenciar, solucionar problemas e diagnosticar seus sistemas e aplicativos do Windows
e Linux.
Sysinternals Live
O Sysinternals Live é um serviço que permite executar ferramentas do Sysinternals
diretamente da Web sem baixá-las manualmente.
Novidades
Novidades (18 de outubro de 2023)
VMMap v3.4
Essa atualização do VMMap, um utilitário de análise de memória física e virtual,
adiciona suporte para .NET 6 e superior, incluindo a versão prévia do .NET 8.
Sysmon 1.3 para Linux Esta atualização para o Sysmon para Linux corrige um
bug com correspondência de maiúsculas de minúsculas.
Pacote da Sysinternals
Todo o conjunto de utilitários da Sysinternals reunido em um único download.
AccessChk
v6.15 (11 de maio de 2022)
O AccessChk é uma ferramenta de linha de comando para exibição das permissões
efetivas em arquivos, chaves de registro, serviços, processos, objetos do kernel e muito
mais.
AccessEnum
v1.35 (29 de setembro de 2022)
Esta ferramenta de segurança simples, mas poderosa, mostra quem tem acesso a
diretórios, arquivos e chaves de registro em seus sistemas. Use-o para encontrar falhas
em suas permissões.
AdExplorer
v1.52 (28 de novembro de 2022)
O Active Directory Explorer é um visualizador e editor avançado do Active Directory
(AD).
AdInsight
v1.2 (26 de outubro de 2015)
Uma ferramenta de monitoramento em tempo real do LDAP (Light-weight Directory
Access Protocol) destinada a solucionar problemas de aplicativos clientes do Active
Directory.
AdRestore
v1.2 (25 de novembro de 2020)
Cancela a exclusão de objetos do Active Directory Server 2003.
Automático
v3.10 (29 de agosto de 2016)
Ignorar a tela de senha durante o logon.
Autoruns
v14.1 (27 de junho de 2023)
Veja quais programas são configurados para inicializar automaticamente quando o
sistema é inicializado e você faz login. O Autoruns também mostra a lista completa de
registros e locais de arquivos onde os aplicativos podem definir as configurações de
inicialização automática.
BgInfo
v4.32 (29 de setembro de 2022)
Esse programa totalmente configurável gera automaticamente planos de fundo da área
de trabalho que incluem informações importantes sobre o sistema, incluindo endereços
IP, nome do computador, adaptadores de rede e muito mais.
BlueScreen
v3.2 (1º de novembro de 2006)
Esse protetor de tela não apenas simula com precisão as telas azuis, mas também
reinicializações simuladas (completas com CHKDSK), e funciona no Windows NT 4,
Windows 2000, Windows XP, Server 2003 e Windows 95 e 98.
CacheSet
v1.02 (16 de dezembro de 2021)
O CacheSet é um programa que permite controlar o tamanho do conjunto de trabalho
do Gerenciador de Cache utilizando funções fornecidas pelo NT. Ele é compatível com
todas as versões do NT.
ClockRes
v2.1 (4 de julho de 2016)
Exiba a resolução do relógio do sistema, que também é a resolução máxima do
temporizador.
Contig
v1.83 (9 de março de 2023)
Gostaria de poder desfragmentar rapidamente seus arquivos utilizados com frequência?
Use o Contig para otimizar arquivos individuais ou para criar novos arquivos contíguos.
Coreinfo
v3.6 (29 de setembro de 2022)
O Coreinfo é um novo utilitário de linha de comando que mostra o mapeamento entre
os processadores lógicos e o processador físico, o nó NUMA e o soquete em que
residem, bem como o cache atribuído a cada processador lógico.
Ctrl2cap
v2.0 (1º de novembro de 2006)
Esse é um driver de modo kernel que demonstra a filtragem de entrada do teclado logo
acima do driver de classe de teclado para transformar o Caps Lock em teclas de
controle. A filtragem nesse nível permite a conversão e a ocultação de chaves antes
mesmo do NT "vê-las". Ctrl2cap também mostra como usar NtDisplayString() para
imprimir mensagens na tela azul de inicialização.
DebugView
v4.90 (23 de abril de 2019)
Outra novidade da Sysinternals: esse programa intercepta chamadas feitas ao DbgPrint
por drivers de dispositivo e ao OutputDebugString feitas por programas Win32. Permite
a visualização e a gravação da saída da sessão de depuração em seu computador local
ou na Internet sem um depurador ativo.
Desktops
v2.01 (12 de outubro de 2021)
Esse novo utilitário permite que você crie até quatro áreas de trabalho virtuais e use
uma interface de bandeja ou teclas de atalho para visualizar o que está em cada área de
trabalho e alternar facilmente entre elas.
Disk2vhd
v2.02 (12 de outubro de 2021)
O Disk2vhd simplifica a migração de sistemas físicos para máquinas virtuais (p2v.md).
DiskExt
v1.2 (4 de julho de 2016)
Exibir os mapeamentos de disco de volume.
Diskmon
v2.02 (12 de outubro de 2021)
Esse utilitário captura toda a atividade do disco rígido ou atua como uma luz de
atividade do disco de software na bandeja do sistema.
DiskView
v2.41 (15 de outubro de 2020)
Utilitário gráfico do setor de disco.
EFSDump
v1.03 (12 de outubro de 2021)
Exibir informações sobre os arquivos criptografados.
FindLinks
v1.1 (4 de julho de 2016)
O FindLinks informa o índice do arquivo e todos os links físicos (caminhos de arquivo
alternativos no mesmo volume.md) existentes para o arquivo especificado. Os dados de
um arquivo permanecem alocados, desde que tenha pelo menos um nome de arquivo
fazendo referência a ele.
Handle
v5.0 (26 de outubro de 2022)
Esse prático utilitário de linha de comando mostrará quais arquivos estão abertos por
quais processos e muito mais.
Hex2dec
v1.1 (4 de julho de 2016)
Converta números hexadecimais em decimais e vice-versa.
Junção
v1.07 (4 de julho de 2016)
Crie links simbólicos do Win2K NTFS.
LDMDump
v1.02 (1º de novembro de 2006)
Despejo do conteúdo do banco de dados em disco do Gerenciador de Disco Lógico,
que descreve o particionamento de discos dinâmicos do Windows 2000.
ListDLLs
v3.2 (4 de julho de 2016)
Liste todas as DLLs carregadas no momento, incluindo onde elas são carregadas e seus
números de versão.
LiveKd
v5.62 (16 de maio de 2017)
Utilize os depuradores de kernel da Microsoft para examinar um sistema ativo.
LoadOrder
v1.02 (12 de outubro de 2021)
Consulte a ordem na qual os dispositivos são carregados no seu sistema WinNT/2K.
LogonSessions
v1.41 (25 de novembro de 2020)
Listar as sessões de login ativas em um sistema.
MoveFile
v1.02 (17 de setembro de 2020)
Permite agendar comandos de movimentação e exclusão para a próxima reinicialização.
NotMyFault
v4.21 (29 de setembro de 2022)
O Notmyfault é uma ferramenta que você pode usar para falhar, travar e causar
vazamentos de memória do kernel no seu sistema Windows.
NTFSInfo
v1.2 (4 de julho de 2016)
Utilize o NTFSInfo para conferir informações detalhadas sobre volumes NTFS, incluindo
o tamanho e a localização da Tabela de Arquivos Mestre (MFT) e da zona MFT, bem
como os tamanhos dos arquivos de metadados NTFS.
PendMoves
v1.3 (17 de setembro de 2020)
Enumere a lista de comandos de renomeação e exclusão de arquivos que serão
executados na próxima inicialização.
PipeList
v1.02 (4 de julho de 2016)
Exibe os pipes nomeados em seu sistema, incluindo o número máximo de instâncias e
instâncias ativas para cada pipe.
PortMon
v3.03 (12 de janeiro de 2012)
Monitore a atividade das portas serial e paralela com essa ferramenta de
monitoramento avançada. Ele conhece todas as IOCTLs seriais e paralelas padrão e até
mostra uma parte dos dados que estão sendo enviados e recebidos. A versão 3.x tem
novos e poderosos aprimoramentos de interface do usuário e recursos avançados de
filtragem.
ProcDump
v11.0 (3 de novembro de 2022)
Esse utilitário de linha de comando destina-se a capturar despejos de processo de
outros modos difíceis de isolar e reproduzir picos de CPU. Ele também serve como um
utilitário geral de criação de despejo de processo e também pode monitorar e gerar
despejos de processo quando um processo tem uma janela suspensa ou exceção sem
tratamento.
Gerenciador de Processos
v17.05 (26 de julho de 2023)
Descubra quais arquivos, chaves de registro e outros objetos os processos abriram,
quais DLLs eles carregaram e muito mais. Este utilitário excepcionalmente poderoso
mostrará a você quem é o proprietário de cada processo.
Monitor de Processos
v3.96 (29 de setembro de 2023)
Monitore o sistema de arquivos, o Registro, o processo, o thread e a atividade da DLL
em tempo real.
PsExec
v2.43 (11 de abril de 2023)
Executar processos em sistemas remotos.
PsFile
v1.04 (30 de março de 2023)
Veja quais arquivos estão abertos remotamente.
PsGetSid
v1.46 (30 de março de 2023)
Exibe a SID de um computador ou de um usuário.
PsInfo
v1.79 (30 de março de 2023)
Obtenha informações sobre um sistema.
PsKill
v1.17 (30 de março de 2023)
Encerrar processos locais ou remotos.
PsPing
v2.12 (30 de março de 2023)
Mede o desempenho da rede.
PsList
v1.41 (30 de março de 2023)
Mostrar informações sobre processos e threads.
PsLoggedOn
v1.35 (29 de junho de 2016)
Mostrar usuários conectados a um sistema.
PsLogList
v2.82 (30 de março de 2023)
Despejar registros de log de eventos.
PsPasswd
v1.25 (30 de março de 2023)
Altera as senhas da conta.
PsService
v2.26 (30 de março de 2023)
Exibir e controlar serviços.
PsShutdown
v2.6 (30 de março de 2023)
Desliga e, opcionalmente, reinicia um computador.
PsSuspend
v1.08 (30 de março de 2023)
Suspender e retomar processos.
PsTools
v2.51 (11 de abril de 2023)
O pacote PsTools inclui utilitários de linha de comando para listar os processos em
execução em computadores locais ou remotos, executar processos remotamente,
reinicializar computadores, despejar logs de eventos e muito mais.
RAMMap
v1.61 (11 de maio de 2022)
Um utilitário avançado de análise do uso da memória física que apresenta informações
de uso de diferentes maneiras nas suas várias guias diferentes.
RDCMan
v2.93 (26 de julho de 2023)
Gerenciar várias conexões de área de trabalho remota.
RegDelNull
v1.11 (4 de julho de 2016)
Verifique e exclua chaves do Registro que contenham caracteres nulos inseridos que, de
outra forma, não podem ser acessados pelas ferramentas padrão de edição do Registro.
RegJump
v1.11 (12 de outubro de 2021)
Vá para o caminho do registro especificado no Regedit.
SDelete
v2.05 (29 de setembro de 2023)
Substitua com segurança seus arquivos confidenciais e limpe seu espaço livre de
arquivos excluídos anteriormente usando esse programa de exclusão segura em
conformidade com o DoD.
ShareEnum
v1.61 (12 de outubro de 2021)
Verifique os compartilhamentos de arquivos na sua rede e veja as configurações de
segurança para eliminar as falhas de segurança.
ShellRunas
v1.02 (12 de outubro de 2021)
Inicie programas como um usuário diferente por meio de uma conveniente entrada do
menu de contexto do shell.
Sigcheck
v2.90 (19 de julho de 2022)
Despeje as informações da versão do arquivo e verifique se as imagens em seu sistema
estão assinadas digitalmente.
Fluxos
v1.6 (4 de julho de 2016)
Revelar fluxos alternativos do NTFS.
Cadeias de caracteres
v2.54 (22 de junho de 2021)
Pesquisar cadeias de caracteres ANSI e UNICODE em imagens binárias.
Sincronizar
v2.2 (4 de julho de 2016)
Liberar dados armazenados em cache no disco.
Sysmon
v15.0 (27 de junho de 2023)
Monitora e relata as principais atividades do sistema por meio do log de eventos do
Windows.
TCPView
v4.19 (11 de abril de 2023)
Visualizador do soquete ativo.
VMMap
v3.4 (18 de outubro de 2023)
O VMMap é um utilitário de análise de memória física e virtual de processos.
VolumeId
v2.1 (4 de julho de 2016)
Defina a ID do volume de unidades FAT ou NTFS.
Whois
v1.20 (11 de dezembro de 2019)
Veja quem possui um endereço na Internet.
WinObj
v3.14 (27 de janeiro de 2022)
O melhor visualizador de namespace do Gerenciador de Objetos está aqui.
ZoomIt
v7.1 (26 de julho de 2023)
Utilitário de apresentação para aplicar zoom e desenhar na tela.
Utilitários de arquivo e disco do
Sysinternals
Artigo • 09/08/2023
AccessChk
Esta ferramenta mostra os acessos que o usuário ou grupo que você especificar tem aos
arquivos, chaves do Registro ou serviços do Windows.
AccessEnum
Esta ferramenta de segurança simples, mas poderosa, mostra quem tem acesso a
diretórios, arquivos e chaves de registro em seus sistemas. Use-o para encontrar falhas
em suas permissões.
CacheSet
CacheSet é um programa que permite controlar o tamanho do conjunto de trabalho do
Gerenciador de Cache usando funções fornecidas pelo NT. Ele é compatível com todas
as versões do NT.
Contig
Gostaria de poder desfragmentar rapidamente os arquivos usados com frequência? Use
o Contig para otimizar arquivos individuais ou para criar novos arquivos contíguos.
Disk2vhd
O Disk2vhd simplifica a migração de sistemas físicos para máquinas virtuais (p2v).
DiskExt
Exibir os mapeamentos de disco de volume.
DiskMon
Esse utilitário captura todas as atividades do disco rígido ou age como uma luz de
atividade do disco de software na bandeja do sistema.
DiskView
Utilitário gráfico do setor de disco.
EFSDump
Exibir informações sobre os arquivos criptografados.
FindLinks
FindLinks informa o índice de arquivo e todos os links físicos (caminhos de arquivo
alternativos no mesmo volume) que existem para o arquivo especificado. Os dados de
um arquivo permanecem alocados, desde que tenha pelo menos um nome de arquivo
fazendo referência a ele.
Junção
Crie links simbólicos do Win2K NTFS.
LDMDump
Despejo do conteúdo do banco de dados em disco do Gerenciador de Disco Lógico,
que descreve o particionamento de discos dinâmicos do Windows 2000.
MoveFile
Agende comandos de renomeação e exclusão de arquivos para a próxima
reinicialização. Isso pode ser útil para limpar arquivos de malware teimosos ou em uso.
NTFSInfo
Use NTFSInfo para ver informações detalhadas sobre volumes NTFS, incluindo o
tamanho e o local da MFT (Tabela de Arquivos Mestre) e da zona MFT, bem como os
tamanhos dos arquivos de metadados NTFS.
PendMoves
Veja quais arquivos estão agendados para excluir ou renomear na próxima vez que o
sistema for inicializado.
Process Monitor
Monitore o sistema de arquivos, o Registro, o processo, o thread e a atividade da DLL
em tempo real.
PsFile
Veja quais arquivos estão abertos remotamente.
PsTools
O pacote PsTools inclui utilitários de linha de comando para listar os processos em
execução em computadores locais ou remotos, executar processos remotamente,
reinicializar computadores, despejar logs de eventos e muito mais.
SDelete
Substitua com segurança seus arquivos confidenciais e limpe seu espaço livre de
arquivos excluídos anteriormente usando esse programa de exclusão segura em
conformidade com o DoD.
ShareEnum
Verifique os compartilhamentos de arquivos na sua rede e veja as configurações de
segurança para eliminar as falhas de segurança.
Sigcheck
Despeje as informações da versão do arquivo e verifique se as imagens em seu sistema
estão assinadas digitalmente.
Fluxos
Revelar fluxos alternativos do NTFS.
Sincronizar
Liberar dados armazenados em cache no disco.
VolumeID
Defina a ID do volume de unidades FAT ou NTFS.
AccessChk v6.15
Artigo • 11/08/2023
Introdução
Como uma parte para garantir que criaram um ambiente seguro, os administradores do
Windows geralmente precisam saber que tipos de acessos os usuários ou grupos
específicos têm para recursos, incluindo arquivos, diretórios, chaves do Registro, objetos
globais e serviços do Windows. O AccessChk responde rapidamente a essas perguntas
com uma interface e uma saída intuitivas.
Instalação
O AccessChk é um programa de console. Copie o AccessChk no caminho executável. Ao
digitar "accesschk", a sintaxe de uso é exibida.
Parâmetro Descrição
-i Ignore objetos com apenas ACEs herdadas ao despejar listas de controle de acesso
completo.
-q Omita a faixa
-s Recurse
-u Suprima erros
Exemplos
O comando a seguir relata os acessos que a conta do Power Users tem aos arquivos e
diretórios em \Windows\System32 :
Este comando mostra a quais serviços Windows os membros do grupo Usuários têm
acesso de gravação:
Para ver a quais chaves do Registro em HKLM\CurrentUser uma conta específica não tem
acesso:
accesschk -k hklm\software
Para ver todos os arquivos em \Users\Mark no Vista que têm um nível de integridade
explícito:
Prompt de comando do Windows
accesschk -e -s c:\users\mark
Introdução
Embora o modelo de segurança flexível empregado pelos sistemas baseados no
Windows NT permita controle total sobre a segurança e permissões de arquivo, pode
ser difícil gerenciar as permissões para que os usuários tenham acesso apropriado a
arquivos, diretórios e chaves do Registro. Não há nenhuma maneira interna de exibir
rapidamente os acessos de usuários a uma árvore de diretórios ou chaves. O
AccessEnum fornece uma visão completa das configurações de segurança do sistema de
arquivos e do Registro em segundos, fazendo com que seja a ferramenta ideal para
ajudá-lo a encontrar falhas de segurança e bloquear permissões quando necessário.
Como funciona
O AccessEnum usa APIs de segurança padrão do Windows para preencher sua visão de
lista com informações de acesso de leitura, gravação e negação.
Introdução
CacheSet é um applet que permite que você manipule os parâmetros do conjunto de
trabalho do cache de arquivos do sistema. Ao contrário do CacheMan, o CacheSet é
executado em todas as versões do NT e funcionará sem modificações em novas versões
do Service Pack. Além de lhe fornecer a capacidade de controlar os tamanhos mínimo e
máximo do conjunto de trabalho, o applet também permite que você redefina o
conjunto de trabalho do Cache, forçando-o a aumentar conforme necessário a partir de
um ponto de partida mínimo. Ainda ao contrário do CacheMan, as alterações feitas com
o CacheSet exercem um efeito imediato sobre o tamanho do Cache.
Observação: para usar o CacheSet no Service Pack 4 do NT 4.0 e posterior, você precisa
ter o privilégio "Aumentar Cota" (as contas de administrador têm esse privilégio por
padrão). O CacheSet foi atualizado para habilitar esse privilégio de forma que ele
funcione no SP4.
Instalação e Uso
Após iniciar, o applet apresenta o tamanho atual do cache de arquivos do sistema
(atualizado duas vezes por segundo) e seu tamanho de pico (o maior desde a última
reinicialização), além de permitir que você defina novos tamanhos mínimos e máximos
do conjunto de trabalho.
Como definir novos tamanhos Basta inserir os novos tamanhos mínimo e máximo e
pressionar o botão Aplicar. Se você receber um erro, isso ocorre porque uma das
seguintes condições está presente: você inseriu um máximo inferior ao mínimo, o
mínimo que você inseriu é inferior ao tamanho mínimo do conjunto de trabalho do
sistema ou o máximo que você inseriu é superior aos tamanhos máximos do conjunto
de trabalho do sistema. Ajuste os valores que você inseriu e tente novamente.
Como redefinir valores anteriores A qualquer momento, você pode restaurar os valores
do conjunto de trabalho do Cache, que estavam ativos quando você iniciou o CacheSet
da última vez, pressionando o botão Redefinir.
Como limpar o conjunto de trabalho do Cache Você pode forçar o Cache a liberar
todas as páginas pressionando o botão Limpar. Observe que o Cache pode aumentar
novamente conforme necessário e que isso não é o mesmo que esvaziar o Cache: as
páginas que foram atribuídas a ele são simplesmente disponibilizadas para outros
programas e podem ser recuperadas pelo Cache.
Como usar a interface de linha de comando Você pode inserir os tamanhos mínimo e
máximo do conjunto de trabalho na linha de comando do CacheSet. O CacheSet aplicará
esses novos valores silenciosamente. Portanto, você pode adicionar o CacheSet ao seu
grupo de programas Iniciar para definir automaticamente os tamanhos do Cache
sempre que você inicializar o computador.
Como funciona
O CacheSet usa uma chamada NtQuerySystemInformation para obter informações
sobre as configurações do Cache e NtSetSystemInformation para definir novas
informações de dimensionamento. As informações do conjunto de trabalho para um
processo servem como diretrizes para o Gerenciador de Memória do NT no que se
refere a quantas páginas de memória física devem ser atribuídas ao aplicativo. Como
são diretrizes, as condições podem ter como resultado uma situação em que o
Gerenciador de Memória aumente um conjunto de trabalho para um tamanho maior
que o máximo ou reduza-o para menor que o mínimo. No entanto, as configurações
são fatores que irão afetar a alocação total e, portanto, a capacidade de resposta de um
aplicativo. No caso do CacheSet, o aplicativo é o Cache do sistema de arquivos.
Executado em:
Introdução
Existem vários desfragmentadores de disco NT no mercado, incluindo Winternals Defrag
Manager. Essas ferramentas são úteis para realizar uma desfragmentação geral de
discos, mas enquanto a maioria dos arquivos é desfragmentada em unidades
processadas por esses utilitários, alguns arquivos podem não ser. Além disso, é difícil
garantir que determinados arquivos usados com frequência sejam desfragmentados -
eles podem permanecer fragmentados por motivos específicos dos algoritmos de
desfragmentação usados pelo produto de desfragmentação aplicado. Finalmente,
mesmo que todos os arquivos tenham sido desfragmentados, alterações subsequentes
em arquivos críticos podem fazer com que eles se tornem fragmentados. Somente
executando uma operação de desfragmentação inteira, pode-se esperar que eles
possam ser desfragmentados novamente.
Usando Contíguo
Contig é um utilitário que desfragmenta um arquivo ou arquivos especificados. Use-o
para otimizar a execução de seus arquivos usados com frequência.
Uso:
-a Analisar a fragmentação
-l Definir comprimento de dados válido para criação rápida de arquivo (requer direitos
de administrador)
-q Modo silencioso
-s Recursar subdiretórios
-v Detalhado
$Mft
$LogFile
$Volume
$AttrDef
$BitMap
$Boot
$BadClus
$Secure
$UpCase
$Extend
Como funciona
Contig usa o suporte de desfragmentação nativo do Windows NT que foi introduzido
com o NT 4.0 (consulte minha documentação das APIs de desfragmentação para obter
mais informações). Ele primeiro varre o disco coletando os locais e tamanhos de áreas
livres. Em seguida, ele determina onde o arquivo em questão está localizado. Em
seguida, o Contig decide se o arquivo pode ser otimizado, com base nas áreas livres e
no número de fragmentos que o arquivo contém atualmente. Se o arquivo puder ser
otimizado, ele será movido para os espaços livres do disco.
Mais informações
O Inside Windows NTde Helen Custer oferece uma boa visão geral do namespace do
Gerenciador de objetos, e a coluna da Windows NT Magazine de outubro de 1997 de
Mark,"Inside the Object Manager", é (obviamente) uma excelente visão geral.
Executado em:
Introdução
O Disk2vhd é um utilitário que cria versões VHD (Virtual Hard Disk - formato de disco da
máquina virtual da Microsoft) de discos físicos para uso em máquinas virtuais (VMs)
Microsoft Virtual PC ou Microsoft Hyper-V. A diferença entre o Disk2vhd e outras
ferramentas de conversão de disco físico para virtual é que você pode executar o
Disk2vhd em um sistema online. O Disk2vhd usa a funcionalidade instantâneo de
volume do Windows, introduzida no Windows XP, para criar instantâneos pontuais
consistentes dos volumes que você deseja incluir em uma conversão. Você pode até
mesmo fazer com que o Disk2vhd crie os VHDs em volumes locais, mesmo os que estão
sendo convertidos (embora o desempenho seja melhor quando o VHD está em um
disco diferente dos que estão sendo convertidos).
Ele criará um VHD para cada disco no qual os volumes selecionados residem. Ele
preserva as informações de particionamento do disco, mas copia apenas o conteúdo de
dados para volumes no disco selecionados. Isso permite capturar apenas volumes do
sistema e excluir volumes de dados, por exemplo.
Para usar VHDs produzidos pelo Disk2vhd, crie uma VM com as características desejadas
e adicione os VHDs à configuração da VM como discos IDE. Na primeira inicialização,
uma VM que inicializa uma cópia capturada do Windows detectará o hardware da VM e
instalará automaticamente os drivers, se estiverem presentes na imagem. Se os drivers
necessários não estiverem presentes, instale-os por meio dos componentes de
integração do Virtual PC ou Hyper-V. Você também pode anexar a VHDs usando os
utilitários Disk Management ou Diskpart do Windows 7 ou Windows Server 2008 R2.
Não anexe a VHDs no mesmo sistema no qual você os criou se planeja inicializar a
partir deles. Se você fizer isso, o Windows atribuirá ao VHD uma nova assinatura de
disco para evitar uma colisão com a assinatura do disco de origem do VHD. O
Windows faz referência a discos no banco de dados de configuração de inicialização
(BCD) por assinatura de disco; portanto, quando isso acontece, o Windows
inicializado em uma VM não consegue localizar o disco de inicialização.
Aqui está uma captura de tela da cópia de um sistema Hyper-V do Windows Server
2008 R2 em execução em uma máquina virtual sobre o sistema do qual ele foi feito:
(clique na imagem para aplicar zoom)
A migração de disco rígido físico para virtual de uma instalação do Windows é uma
função válida para clientes com o Software Assurance e cópias de varejo completas
do Windows XP, Windows Vista e Windows 7. O Software Assurance oferece aos
usuários benefícios valiosos. Entre em contato com a Microsoft Corporation para
obter mais informações. O Windows XP, Windows Vista e Windows 7 instalados
pelos Fabricantes Original de Equipamento (OEM) usando versões OEM desses
produtos podem não ser transferidos para um disco rígido virtual de acordo com os
termos de licenciamento da Microsoft.
Introdução
O DiskExt demonstra o uso do comando IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS
que retorna informações sobre quais discos as partições de um volume estão
localizadas (discos de várias partes podem residir em vários discos) e onde no disco as
partições estão localizadas.
Introdução
O DiskMon é um aplicativo que registra e exibe todas as atividades do disco rígido em
um sistema Windows. Também é possível minimizar o DiskMon para a bandeja do
sistema em que ele atua como uma luz de disco, mostrando um ícone verde quando
houver atividade de leitura de disco e um ícone vermelho quando houver atividade de
gravação em disco.
Instalação e Uso
Instalar o DiskMon é tão fácil quanto descompactá-lo e digitar "diskmon". Os menus e
os botões da barra de ferramentas podem ser usados para desabilitar a captura de
eventos, controlar a rolagem da ListView e salvar o conteúdo da ListView em um arquivo
ASCII.
Para que o DiskMon funcione como uma luz de disco na bandeja do sistema, selecione
Opções |Minimizar para o item de menu Bandeja ou abra o DiskMon com uma opção de
linha de comando "/l" (letra L minúscula), por exemplo, diskmon /l. Para reativar a janela
do DiskMon, clique duas vezes no ícone DiskMon da bandeja. Para criar um atalho para
o Diskmon na bandeja, crie um atalho na pasta Arquivos de Programas\Inicialização,
edite as propriedades do atalho e configure o Destino para apontar para o executável
com o caminho entre aspas e a opção fora das aspas:
"C:\Sysinternals Tools\Diskmon.exe" /l
Introdução
O Du (uso de disco) relata o uso de espaço em disco no diretório especificado. Por
padrão, ele recursa os diretórios para mostrar o tamanho total de um diretório e dos
seus subdiretórios.
Parâmetro Descrição
-n Não recurse.
-q Silencioso.
Introdução
O DiskView mostra um mapa gráfico do disco, permitindo que você determine onde um
arquivo está localizado ou, clicando em um cluster, veja qual arquivo o ocupa. Clique
duas vezes para obter mais informações sobre um arquivo ao qual um cluster está
alocado.
Introdução
O Windows 2000 apresenta o EFS (Encrypting File System) para que os usuários possam
proteger seus dados confidenciais. Várias APIs novas fazem sua estreia para suportar
esse recurso, incluindo a one-QueryUsersOnEncryptedFile-that permite que você confira
quem tem acesso a arquivos criptografados. Este miniaplicativo usa a API para mostrar
quais contas estão autorizadas a acessar os arquivos criptografados.
Uso do EFSDump
Parâmetro Descrição
-s Recursar subdiretórios.
É executado em:
Introdução
O Windows 2000 introduz um novo tipo de esquema de particionamento de disco
gerenciado por um componente chamado Gerenciador de Disco Lógico (LDM). Os
discos básicos implementam tabelas de partição padrão no estilo DOS, enquanto os
discos dinâmicos usam o particionamento LDM. O particionamento LDM oferece várias
vantagens em relação ao particionamento dos DOS, incluindo replicação entre discos,
armazenamento em disco de configuração de volume avançado (volume estendido,
volumes espelhados, volumes distribuídos e volumes RAID-5). Minha série de duas
partes de março/abril no gerenciamento de armazenamento do Windows NT/2000 na
Windows 2000 Magazine descreve os detalhes de cada esquema de particionamento.
Parâmetro Descrição
- Exibe as opções com suporte e as unidades de medida usadas para valores de saída.
Parâmetro Descrição
-d# Especifica o número do disco para LDMDump examinar. Por exemplo, "ldmdump
/d0" tem LDMDump para mostrar as informações do banco de dados LDM
armazenadas no disco 0.
Como funciona
Não há APIs publicadas disponíveis para obter informações detalhadas sobre o
particionamento LDM de um disco e o formato de banco de dados LDM está
completamente sem documentação. O LDMDump foi desenvolvido com base no estudo
do conteúdo do banco de dados LDM em uma variedade de sistemas diferentes e em
condições de alteração.
Mais informações
Para obter mais informações sobre a estrutura LDM em disco, consulte:
É executado em:
Introdução
Existem vários aplicativos, como service packs e hotfixes, que precisam substituir um
arquivo que está em uso e não conseguem. Portanto, o Windows fornece a API
MoveFileEx para renomear ou excluir um arquivo e permitir que o chamador especifique
que deseja que a operação seja realizada na próxima vez que o sistema for inicializado,
antes que os arquivos sejam referenciados. O Gerenciador de Sessão executa essa tarefa
fazendo a leitura dos comandos de renomeação e exclusão registrados no valor
HKLM\System\CurrentControlSet\Control\Session
Manager\PendingFileRenameOperations.
Uso do PendMoves
Esse applet despeja o conteúdo do valor de renomeação/exclusão pendente e também
informa um erro quando o arquivo de origem não está acessível.
Uso: pendmoves
Aqui está um exemplo de saída que mostra que um arquivo de instalação temporária
está agendado para ser excluído na próxima reinicialização:
Shell
C:\\>pendmoves
PendMove v1.2
Copyright (C) 2013 Mark Russinovich
Sysinternals - www.sysinternals.com
Source: C:\\Config.Msi\\3ec7bbbf.rbf
Target: DELETE
Uso do MoveFile
O utilitário MoveFile incluído permite que você agende comandos de movimentação e
exclusão para a próxima reinicialização: usage: movefile [source] [dest]
Especificando um destino vazio (""), você exclui a origem na inicialização. Um exemplo
que exclui o test.exe é:
Shell
Introdução
O NTFSInfo é um miniaplicativo que mostra informações sobre volumes NTFS. Seu
despejo inclui o tamanho das unidades de alocação de uma unidade, em que os
principais arquivos NTFS estão localizados e os tamanhos dos arquivos de metadados
NTFS no volume. Normalmente, essas informações são pouco mais do que um valor de
curiosidade, mas o NTFSInfo mostra algumas coisas interessantes. Por exemplo, você
provavelmente já ouviu falar sobre o equivalente NTFS da Tabela de Alocação de
Arquivos do sistema de arquivos FAT. Ele é chamado de Tabela de Arquivos Mestre
(MFT) e é composto por registros de tamanho constante que descrevem o local de
todos os arquivos e diretórios na unidade. O que é surpreendente no MFT é que ele é
gerenciado como um arquivo, assim como qualquer outro. O NTFSInfo mostrará onde
no disco (em termos de clusters) o MFT está localizado e quão grande ele é, além de
especificar o tamanho dos clusters do volume e dos registros MFT. Para proteger o MFT
contra fragmentação, o NTFS reserva uma parte do disco em torno do MFT que ele não
alocará a outros arquivos, a menos que o espaço em disco seja baixo. Essa área é
conhecida como MFT-Zone e o NTFSInfo informará onde no disco o MFT-Zone está
localizado e qual porcentagem da unidade está reservada para ela.
Você também pode se surpreender ao saber que, como o MFT, todos os metadados
NTFS são gerenciados em arquivos. Por exemplo, há um arquivo chamado $Boot
mapeado para cobrir o setor de inicialização da unidade. O mapa do cluster do volume
é mantido em outro arquivo chamado $Bitmap. Esses arquivos residem diretamente no
diretório raiz do NTFS, mas você não pode vê-los, a menos que você saiba que eles
estão lá. Tente digitar "dir /ah $boot" no diretório raiz de um volume NTFS e você verá o
arquivo $boot. O NTFSInfo executa o equivalente ao "dir /ah" para mostrar os nomes e
tamanhos de todos os arquivos de metadados NTFS (3.51 e 4.0).
Uso: NTFSInfo x
Parâmetro Descrição
Como funciona
O NTFSInfo usa uma chamada de Controle do Sistema de Arquivos (FSCTL) não
documentada para obter informações do NTFS sobre um volume. Ele imprime essas
informações junto com um despejo de diretório de arquivos de metadados NTFS.
É executado em:
Introdução
Existem vários aplicativos, como service packs e hotfixes, que precisam substituir um
arquivo que está em uso e não conseguem. Portanto, o Windows fornece a API
MoveFileEx para renomear ou excluir um arquivo e permitir que o chamador especifique
que deseja que a operação seja realizada na próxima vez que o sistema for inicializado,
antes que os arquivos sejam referenciados. O Gerenciador de Sessão executa essa tarefa
fazendo a leitura dos comandos de renomeação e exclusão registrados no valor
HKLM\System\CurrentControlSet\Control\Session
Manager\PendingFileRenameOperations.
Uso do PendMoves
Esse applet despeja o conteúdo do valor de renomeação/exclusão pendente e também
informa um erro quando o arquivo de origem não está acessível.
Uso: pendmoves
Aqui está um exemplo de saída que mostra que um arquivo de instalação temporária
está agendado para ser excluído na próxima reinicialização:
Shell
C:\\>pendmoves
PendMove v1.2
Copyright (C) 2013 Mark Russinovich
Sysinternals - www.sysinternals.com
Source: C:\\Config.Msi\\3ec7bbbf.rbf
Target: DELETE
Uso do MoveFile
O utilitário MoveFile incluído permite que você agende comandos de movimentação e
exclusão para a próxima reinicialização: usage: movefile [source] [dest]
Especificando um destino vazio (""), você exclui a origem na inicialização. Um exemplo
que exclui o test.exe é:
Shell
FileMon e Regmon não estão mais disponíveis para download. Eles foram substituídos
pelo Process Monitor em versões do Windows a partir do Windows 2000 SP4, Windows
XP SP2, Windows Server 2003 SP1 e Windows Vista.
Utilitários Relacionados
Eis outras ferramentas de monitoramento disponíveis no Sysinternals:
Introdução
Um recurso da conformidade C2 do Windows NT/2000 (Win2K) é que ele implementa a
proteção contra a reutilização de objetos. Isso significa que, quando um aplicativo aloca
espaço de arquivo ou memória virtual, ele não pode exibir os dados que foram
armazenados anteriormente nos recursos que o Windows NT/2K alocou para ele. O
Windows NT zera a memória e zera os setores do disco nos quais um arquivo é
colocado antes de apresentar qualquer tipo de recurso a um aplicativo. Entretanto, a
reutilização de objetos não exige que o espaço que um arquivo ocupa antes de ser
excluído seja zerado. Isso ocorre porque o Windows NT/2K foi projetado pressupondo
que o sistema operacional controla o acesso aos recursos do sistema. No entanto,
quando o sistema operacional não está ativo, é possível usar editores de disco bruto e
ferramentas de recuperação para exibir e recuperar dados que o sistema operacional
desalocou. Mesmo quando você criptografa arquivos com o EFS (Encrypting File System)
do Win2K, os dados originais não criptografados de um arquivo são deixados no disco
depois que uma nova versão criptografada do arquivo é criada.
Uso:
sdelete [-p passes] [-r] [-s] [-q] [-f] <file or directory [...]>
sdelete [-p passes] [-q] [-z|-c] <drive letter [...]>
sdelete [-p passes] [-q] [-z|-c] <physical disk number [...]>
Parâmetro Descrição
-q Modo silencioso.
-s Recursar os subdiretórios.
Para lidar com esses tipos de arquivos, SDelete conta com a API de desfragmentação.
Usando a API de desfragmentação, o SDelete pode determinar com precisão quais
clusters em um disco estão ocupados por dados pertencentes a arquivos compactados,
esparsos e criptografados. Quando SDelete souber quais clusters contêm os dados do
arquivo, ele poderá abrir o disco para acesso bruto e sobrescrever esses clusters.
A limpeza do espaço livre apresenta outro desafio. Como o FAT e o NTFS não fornecem
meios para que um aplicativo aborde diretamente o espaço livre, o SDelete tem duas
opções. A primeira é que ele pode, como faz para arquivos compactados, esparsos e
criptografados, abrir o disco para o acesso bruto e sobrescrever o espaço livre. Essa
abordagem tem um grande problema: mesmo que o SDelete fosse codificado para ser
totalmente capaz de calcular as porções de espaço livre das unidades NTFS e FAT (algo
que não é trivial), ele correria o risco de colidir com as operações de arquivo ativas que
estão ocorrendo no sistema. Por exemplo, digamos que o SDelete determine que um
cluster está livre e, nesse exato momento, o driver do sistema de arquivos (FAT, NTFS)
decida alocar o cluster para um arquivo que outro aplicativo esteja modificando. O
driver do sistema de arquivos grava os novos dados no cluster e, em seguida, SDelete
aparece e sobrescreve os dados recém-gravados: os novos dados do arquivo
desaparecem. O problema é ainda pior se o cluster for alocado para os metadados do
sistema de arquivos, uma vez que SDelete corromperá as estruturas do sistema de
arquivos no disco.
O motivo pelo qual o SDelete não exclui com segurança os nomes de arquivos ao limpar
o espaço livre em disco é que a exclusão deles exigiria a manipulação direta das
estruturas do diretório. As estruturas do diretório podem ter espaço livre contendo
nomes de arquivos excluídos, mas o espaço livre do diretório não está disponível para
alocação em outros arquivos. Portanto, o SDelete não tem como alocar esse espaço livre
para que possa sobrescrevê-lo com segurança.
É executado em:
Introdução
O Sigcheck é um utilitário de linha de comando que mostra o número da versão do
arquivo, informações de carimbo de data/hora e detalhes da assinatura digital, incluindo
cadeias de certificados. Esse utilitário também inclui uma opção para verificar o status
de um arquivo no VirusTotal , um site que executa a varredura automatizada de
arquivos em mais de 40 mecanismos antivírus, e uma opção para carregar um arquivo
para verificação.
uso:
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r]
[s]][-f catalog file] <file or directory>
Parâmetro Descrição
-m Despejar manifesto
-s Recursar subdiretórios
-vt Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço do
VirusTotal. Confira: https://www.virustotal.com/en/about/terms-of-service/ Se
você não aceitou os termos e omitir essa opção, será solicitado interativamente.
Uma maneira de usar a ferramenta é verificar se há arquivos não assinados em seus
diretórios \Windows\System32 com este comando:
sigcheck -u -e c:\windows\system32
Você deve investigar a finalidade de todos os arquivos que não estão assinados.
Executado em:
Saiba mais
Busca de malwares com as ferramentas do Sysinternals
Nesta apresentação, Mark mostra como usar as ferramentas do Sysinternals para
identificar, analisar e limpar malwares.
Streams v1.6
Artigo • 07/08/2023
Introdução
O sistema de arquivos NTFS fornece aos aplicativos a capacidade de criar fluxos de
dados alternativos de informações. Por padrão, todos os dados são armazenados no
fluxo de dados sem nome principal de um arquivo, mas usando a sintaxe "file:stream",
você pode ler e gravar em fluxos alternativos. Nem todos os aplicativos são escritos para
acessar fluxos alternativos, mas você pode demonstrar os fluxos de forma muito
simples. Primeiro, migre para um diretório em uma unidade do NTFS de dentro de um
prompt de comando. Em seguida, digite "echo hello > test:stream". Você acabou de
criar um fluxo chamado "stream" associado ao arquivo "test". Observe que, quando
você examina o tamanho do teste, ele é notificado como 0 e o arquivo parece vazio
quando é aberto em qualquer editor de texto. Para ver seu fluxo, digite "more <
test:stream" (o comando de tipo não aceita a sintaxe de fluxo e, portanto, você precisa
usar "more").
O NT não vem com nenhuma ferramenta que permita que você veja quais arquivos do
NTFS têm fluxos associados a eles, então eu mesmo escrevi um. O Streams vai examinar
os arquivos e diretórios (observe que os diretórios também podem ter fluxos de dados
alternativos) que você especificar e informar o nome e os tamanhos de todos os fluxos
nomeados encontrados nesses arquivos. O Streams faz uso de uma função nativa não
documentada para recuperar informações de fluxo de arquivos.
Usando fluxos
Uso: streams [-s] [-d] <file or directory>
Parâmetro Descrição
-s Recursar os subdiretórios.
-d Excluir fluxos.
Parâmetro Descrição
É executado em:
Introdução
O UNIX fornece um utilitário padrão chamado Sync, que pode ser usado para direcionar
o sistema operacional a liberar todos os dados do sistema de arquivos para o disco, a
fim de garantir que ele esteja estável e não será perdido em caso de falha do sistema.
Caso contrário, todos os dados modificados presentes no cache serão perdidos. Aqui
está um equivalente que eu criei, chamado Sync, que funciona em todas as versões do
Windows. Use-o sempre que quiser saber se os dados de arquivo modificados estão
armazenados com segurança em seus discos rígidos. Infelizmente, o Sync requer
privilégios administrativos para execução. Essa versão também permite liberar unidades
removíveis, como unidades ZIP.
Usando o Sync
Uso: sync [-r] [-e] [drive letter list]
Parâmetro Descrição
Indicar unidades específicas (por exemplo, "c e") fará com que o Sync libere apenas
essas unidades.
É executado em:
Introdução
Embora o utilitário Rótulo interno do Windows NT/2000 e do Windows 95 e 98 permita
alterar os rótulos dos volumes de disco, ele não fornece nenhum meio para alterar as
IDs de volume. Esse utilitário, VolumeID, permite alterar as IDs dos discos FAT e NTFS
(disquetes ou discos rígidos).
Este é um programa de linha de comando que você deve executar em uma janela de
prompt de comando.
Observe que as alterações em volumes NTFS não ficarão visíveis até a próxima
reinicialização. Além disso, você deve desligar todos os aplicativos em execução antes
de alterar uma ID de volume. O NT pode ficar confuso e pensar que a mídia (disco) foi
alterada depois que uma ID de volume FAT foi alterada e as mensagens pop-up indicam
que você deve reinserir o disco original (!). Em seguida, ele pode falhar nas solicitações
de disco de aplicativos usando essas unidades.
É executado em:
AD Explorer
O Active Directory Explorer é um visualizador e editor avançado do Active Directory
(AD).
AD Insight
O AD Insight é uma ferramenta de monitoramento em tempo real LDAP (Light-weight
Directory Access Protocol) destinada a solucionar problemas de aplicativos cliente do
Active Directory.
AdRestore
Cancela a exclusão de objetos do Active Directory Server 2003.
PipeList
Exibe os pipes nomeados em seu sistema, incluindo o número máximo de instâncias e
instâncias ativas para cada pipe.
PsFile
Veja quais arquivos estão abertos remotamente.
PsPing
Mede o desempenho da rede.
PsTools
O pacote PsTools inclui utilitários de linha de comando para listar os processos em
execução em computadores locais ou remotos, executar processos remotamente,
reinicializar computadores, despejar logs de eventos e muito mais.
ShareEnum
Verifique os compartilhamentos de arquivos na sua rede e veja as configurações de
segurança para eliminar as falhas de segurança.
TCPView
Visualizador de linha de comando de soquete ativo.
Whois
Veja quem possui um endereço na Internet.
Active Directory Explorer v1.52
Artigo • 07/10/2023
Introdução
O Active Directory Explorer (AD Explorer) é um visualizador e editor avançado do Active
Directory (AD). Você pode usar o AD Explorer para navegar facilmente em um banco de
dados do AD, definir locais favoritos, exibir propriedades e atributos do objeto sem
precisar abrir as caixas de diálogo, editar permissões, exibir o esquema de um objeto e
executar pesquisas sofisticadas que você pode salvar e executar novamente.
Introdução
O ADInsight é uma ferramenta de monitoramento em tempo real do LDAP (Light-
weight Directory Access Protocol) destinada a solucionar problemas de aplicativos
clientes do Active Directory. Use o rastreamento detalhado das comunicações cliente-
servidor do Active Directory para resolver a autenticação do Windows, Exchange, DNS e
outros problemas.
É executado em:
Links Relacionados
O utilitário Sysinternals AdRestore permite que você restaure objetos excluídos nos
domínios do Windows Server 2003.
Introdução
O Windows Server 2003 apresenta a capacidade de restaurar objetos excluídos
("tombstoned"). Esse utilitário de linha de comando simples enumera os objetos
excluídos em um domínio e lhe oferece a opção de restaurar todos eles. O código-fonte
é baseado em código de exemplo no SDK da Plataforma Microsoft. Este artigo do MS
KB descreve o uso do AdRestore:
Introdução
Você sabia que o driver de dispositivo que implementa pipes nomeados é, na verdade,
um driver do sistema de arquivos? Na verdade, o nome do driver é NPFS.SYS, que
significa "Sistema de Arquivos de Pipe Nomeado". O que você também pode achar
interessante é que é possível obter uma listagem de diretórios dos pipes nomeados
definidos em um sistema. Esse fato não está documentado, nem é possível fazer isso
usando a API do Win32. O uso direto da NtQueryDirectoryFile, a função nativa na qual
as APIs FindFile do Win32 dependem, possibilita listar os pipes. A listagem de diretórios
que o NPFS retorna também indica o número máximo de instâncias de pipe definidas
para cada pipe e o número de instâncias ativas.
É executado em:
Introdução
O comando "net file" mostra uma lista dos arquivos que outros computadores abriram
no sistema no qual você executa o comando; no entanto, ele trunca nomes de caminho
longos e não permite que você veja essas informações para sistemas remotos. O PsFile é
um utilitário de linha de comando que mostra uma lista de arquivos em um sistema que
estão abertos remotamente e também permite que você feche arquivos abertos por
nome ou por um identificador de arquivo.
Instalação
Basta copiar PsFile no caminho executável e digitar "psfile".
Usando o PsFile
O comportamento padrão do PsFile é listar os arquivos no sistema local abertos por
sistemas remotos. Digitar um comando seguido de "-" exibe informações sobre a
sintaxe do comando.
Uso: psfile [\\RemoteComputer [-u Username [-p Password]]] [[Id | path] [-c]]
Parâmetro Descrição
-p Especifica a senha do nome do usuário. Se isso for omitido, você deverá inserir a
senha sem que ela seja ecoada na tela.
Caminho Caminho completo ou parcial dos arquivos a serem correspondidos para exibição
de informações ou fechamento.
Parâmetro Descrição
Como funciona
O PsFile usa a API NET, que está documentada no SDK da Plataforma.
PsTools
É executado em:
Introdução
O PsPing implementa a funcionalidade de medição de ping, ping TCP, latência e largura
de banda. Use as seguintes opções de linha de comando para mostrar o uso de cada
tipo de teste:
Instalação
Copie PsPing no caminho executável. Digitar "psping" exibe sua sintaxe de uso.
Usando PsPing
O PsPing implementa a funcionalidade de medição de ping, ping TCP, latência e largura
de banda. Use as seguintes opções de linha de comando para mostrar o uso de cada
tipo de teste:
Uso:
psping -? [i|t|l|b\]
Parâmetro Descrição
Parâmetro Descrição
Se você especificar um único argumento, ele será interpretado como uma contagem
de compartimentos e o histograma conterá esse número de compartimentos,
abrangendo todo o intervalo de valores. Especifique uma lista de tempos separada
por vírgulas para criar um histograma personalizado (por exemplo,
"0,01,0,05,1,5,10").
-n Número de pings ou acrescente "s" para especificar segundos, por exemplo, "10s".
-t Execute o ping até parar com Ctrl+C e digite Ctrl+Espaço para obter estatísticas.
Parâmetro Descrição
Se você especificar um único argumento, ele será interpretado como uma contagem
de compartimentos e o histograma conterá esse número de compartimentos,
abrangendo todo o intervalo de valores. Especifique uma lista de tempos separada
Parâmetro Descrição
-n Número de pings ou acrescente "s" para especificar segundos, por exemplo, "10s".
-t Execute o ping até parar com Ctrl+C e digite Ctrl+Espaço para obter estatísticas.
server:
client:
Parâmetro Descrição
Se você especificar um único argumento, ele será interpretado como uma contagem
de compartimentos e o histograma conterá esse número de compartimentos,
abrangendo todo o intervalo de valores. Especifique uma lista de tempos separada
Parâmetro Descrição
O servidor pode servir tanto para testes de latência quanto de largura de banda e
permanece ativo até que você o encerre com Control-C.
server:
client:
psping [-b] [[-6]|[-4]] [-f] [-u] [-h [buckets | <val1>,<val2>,...]] [-r] <-
l requestsize>[k|m]] <-n count> [-i <outstanding>] [-w <count>]
<destination:destport>
Parâmetro Descrição
Se você especificar um único argumento, ele será interpretado como uma contagem
de compartimentos e o histograma conterá esse número de compartimentos,
abrangendo todo o intervalo de valores. Especifique uma lista de tempos separada
por vírgulas para criar um histograma personalizado (por exemplo,
"0,01,0,05,1,5,10").
O servidor pode servir tanto para testes de latência quanto de largura de banda e
permanece ativo até que você o encerre com Control-C.
Exemplos
Esse comando executa um teste de ping ICMP para 10 iterações com 3 iterações de
aquecimento:
psping -n 10 -w 3 marklap
psping -s 192.168.2.2:5000
É necessário um tamanho de buffer para realizar um teste de latência TCP. Este exemplo
mede a latência de ida e volta do envio de um pacote de 8 KB para o servidor de
destino, imprimindo um histograma com 100 buckets quando terminar:
Esse comando testa a largura de banda para um servidor PsPing escutando o endereço
IP de destino por 10 segundos e produz um histograma com 100 buckets. Observe que
o teste deve ser executado por pelo menos um segundo após o aquecimento para gerar
um histograma. Basta adicionar -u para que o PsPing execute um teste de largura de
banda UDP.
PsTools
Executado em:
Introdução
Um aspecto da segurança de rede do Windows NT/2000/XP que geralmente é ignorado
são os compartilhamentos de arquivos. Uma falha de segurança comum ocorre quando
os usuários definem compartilhamentos de arquivos com segurança reduzida,
permitindo que usuários não autorizados vejam arquivos confidenciais. Não há
ferramentas internas para listar compartilhamentos que podem ser visualizados em uma
rede e suas configurações de segurança, mas o ShareEnum preenche o vazio e permite
que você bloqueie os compartilhamentos de arquivos na sua rede.
Quando você executa o ShareEnum, ele usa a enumeração NetBIOS para verificar todos
os computadores nos domínios acessíveis a ele, mostrando compartilhamentos de
arquivo e impressão e suas configurações de segurança. Como apenas um
administrador de domínio tem a capacidade de exibir todos os recursos de rede, o
ShareEnum é mais eficaz quando você o executa em uma conta de administrador de
domínio.
Como funciona
O ShareEnum usa o WNetEnumResource para enumerar os domínios e os
computadores dentro deles, e o NetShareEnum para enumerar compartilhamentos nos
computadores.
É executado em:
Introdução
TCPView é um programa do Windows que mostrará listas detalhadas de todos os
terminais TCP e UDP em seu sistema, incluindo os endereços locais e remotos e o
estado das conexões TCP. No Windows Server 2008, Vista e XP, o TCPView também
informa o nome do processo que possui o ponto de extremidade. O TCPView fornece
um subconjunto mais informativo e convenientemente apresentado do programa
Netstat fornecido com o Windows. O download do TCPView inclui Tcpvcon, uma versão
de linha de comando com a mesma funcionalidade.
Usando TCPView
Quando você iniciar o TCPView, ele enumerará todos os terminais TCP e UDP ativos,
resolvendo todos os endereços IP para suas versões de nome de domínio. Você pode
usar um botão da barra de ferramentas ou item de menu para alternar a exibição de
nomes resolvidos. TCPView mostra o nome do processo que possui cada ponto de
extremidade, incluindo o nome do serviço (se houver).
Por padrão, o TCPView é atualizado a cada segundo, mas você pode usar o item de
menu Opções|Taxa de atualização para alterar a taxa. Ponto de extremidade que
mudam de estado de uma atualização para a próxima são destacados em amarelo;
aqueles que são excluídos são mostrados em vermelho e os novos terminais são
mostrados em verde.
Você pode fechar conexões TCP/IP estabelecidas (aquelas marcadas com um estado
ESTABELECIDO) selecionando Arquivo|Fechar Conexões, ou clicando com o botão
direito do mouse em uma conexão e escolhendo Fechar Conexões no menu de
contexto resultante.
Você pode salvar a janela de saída do TCPView em um arquivo usando o item de menu
Salvar.
Usando Tcpvcon
O uso do Tcpvcon é semelhante ao do utilitário netstat interno do Windows:
Uso:
Shell
Parâmetro Descrição
Executado em:
Cliente: Windows 8.1 e superior.
Servidor: Windows Server 2012 e superior.
Whois v1.21
Artigo • 07/10/2023
Introdução
O Whois executa o registro do nome de domínio ou do endereço IP que você
especificar.
Uso
Usage: whois [-v] domainname [whois.server]
Parâmetro Descrição
É executado em:
Autoruns
Veja quais programas são configurados para inicializar automaticamente quando o
sistema é inicializado e você faz login. O Autoruns também mostra a lista completa de
registros e locais de arquivos onde os aplicativos podem definir as configurações de
inicialização automática.
Handle
Esse prático utilitário de linha de comando mostrará quais arquivos estão abertos por
quais processos e muito mais.
ListDLLs
Liste todas as DLLs carregadas no momento, incluindo onde elas são carregadas e seus
números de versão. A versão 2.0 imprime os nomes de caminho completos dos
módulos carregados.
PortMon
Monitore a atividade das portas serial e paralela com essa ferramenta de
monitoramento avançada. Ele conhece todas as IOCTLs seriais e paralelas padrão e até
mostra uma parte dos dados que estão sendo enviados e recebidos. A versão 3.x tem
novos e poderosos aprimoramentos de interface do usuário e recursos avançados de
filtragem.
ProcDump
Esse novo utilitário de linha de comando destina-se a capturar despejos de processo de
outros modos difíceis de isolar e reproduzir picos de CPU. Ele também serve como um
utilitário geral de criação de despejo de processo e também pode monitorar e gerar
despejos de processo quando um processo tem uma janela suspensa ou exceção sem
tratamento.
Gerenciador de Processos
Descubra quais arquivos, chaves de registro e outros objetos os processos abriram,
quais DLLs eles carregaram e muito mais. Este utilitário excepcionalmente poderoso
mostrará a você quem é o proprietário de cada processo.
Process Monitor
Monitore o sistema de arquivos, o Registro, o processo, o thread e a atividade da DLL
em tempo real.
PsExec
Executa processos remotamente.
PsGetSid
Exibe a SID de um computador ou de um usuário.
PsKill
Encerrar processos locais ou remotos.
PsList
Mostrar informações sobre processos e threads.
PsService
Exibir e controlar serviços.
PsSuspend
Suspender e retomar processos.
PsTools
O pacote PsTools inclui utilitários de linha de comando para listar os processos em
execução em computadores locais ou remotos, executar processos remotamente,
reinicializar computadores, despejar logs de eventos e muito mais.
ShellRunas
Inicie programas como um usuário diferente por meio de uma conveniente entrada do
menu de contexto do shell.
VMMap
Confira um detalhamento dos tipos de memória virtual confirmados de um processo,
bem como a quantidade de memória física (conjunto de trabalho) atribuída pelo
sistema operacional a esses tipos. Identifique as fontes de uso de memória do processo
e o custo de memória dos recursos do aplicativo.
Autouns para Windows v14.1
Artigo • 04/08/2023
https://www.microsoft.com/pt-br/videoplayer/embed/RW14GhU?
autoplay=true&loop=true&controls=false&postJsllMsg=true&autoCaptions=pt-br
Introdução
Esse utilitário, que tem o conhecimento mais abrangente dos locais de inicialização
automática de qualquer monitor de inicialização, mostra quais programas estão
configurados para serem executados durante a inicialização ou logon do sistema e
quando você inicia vários aplicativos internos do Windows, como o Internet Explorer,
Explorer e players de mídia. Esses programas e drivers incluem aqueles em sua pasta de
inicialização, Run, RunOnce e outras Chaves do registro. O Autoruns relata extensões de
shell do Explorer, barras de ferramentas, objetos de ajuda do navegador, notificações de
Winlogon, serviços de inicialização automática e muito mais. O Autoruns vei muito além
de outros utilitários de início automático.
Uso
Basta executar o Autoruns e ele mostra os aplicativos de início automático configurados
no momento, bem como a lista completa de locais do Registro e do sistema de arquivos
disponíveis para configuração de início automático. Os locais de inicialização automática
exibidos pelo Autoruns incluem entradas de logon, complementos do Explorer,
complementos do Internet Explorer, incluindo objetos auxiliares do navegador (BHOs),
Appinit DLL, sequestros de imagem, imagens de execução de inicialização, DLLs de
notificação do Winlogon, serviços do Windows e provedores de serviços em camadas
Winsock, mídia codecs e muito mais. Alterne as guias para exibir os inícios automáticos
de diferentes categorias.
Para desabilitar uma entrada de início automático, desmarque a caixa de seleção. Para
excluir uma entrada de configuração de início automático, use o item de menu Excluir
ou o botão da barra de ferramentas.
O menu Opções inclui várias opções de filtragem de exibição, como mostrar apenas
entradas que não sejam do Windows, bem como acesso a uma caixa de diálogo de
opções de verificação, na qual você pode habilitar a verificação de assinatura e hash
total de vírus e o envio de arquivo.
Selecione entradas no menu Usuário para exibir imagens de início automático de contas
de usuário diferentes.
Uso do Autounsc
Autorunsc é a versão de linha de comando do Autoruns. Sua sintaxe de uso é:
Uso: autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] |
[usuário]]]
Parâmetro Descrição
* Todos.
b Execução de inicialização.
d Appinit DLLs.
e Complementos do Explorer.
h Sequestros de imagem.
k DLLs conhecidas.
m Entradas WMI.
o Codecs.
t Tarefas agendadas
w Entradas Winlogon.
-v[rs] Consulte VirusTotal para malware com base no hash de arquivo. Adicione ''r'' para
abrir relatórios de arquivos com detecção diferente de zero. Os arquivos relatados
como não verificados anteriormente serão carregados no VirusTotal se a opção ''s''
for especificada. Observe que os resultados da verificação podem não estar
disponíveis por cinco ou mais minutos.
-vt Antes de usar os recursos do VirusTotal, você deve aceitar os termos de serviço
do VirusTotal. Se você não aceitou os termos e omiti essa opção, será solicitado
interativamente.
user Especifica o nome da conta de usuário para a qual os itens de remoção automática
serão mostrados. Especifique ''*'' para verificar todos os perfis de usuário.
Links Relacionados
Livro sobre os Componentes Internos do Windows As atualizações oficiais e a
página errata do livro definitivo sobre os componentes internos do Windows, por
Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial para os
utilitários do Sysinternals por Mark Russinovich e Aaron Margosis, incluindo
descrições de todas as ferramentas, seus recursos, como usá-los para solução de
problemas e exemplos de casos reais de seu uso.
Baixar
Baixar o Autoruns e Autorunsc (2.8 MB)
Executar agora a partir do Sysinternals Live .
Handle v5.0
Artigo • 10/08/2023
Introdução
Já se perguntou qual programa tem um arquivo ou diretório específico aberto? Agora
você pode descobrir. o Handle é um utilitário que exibe informações sobre
identificadores abertos para qualquer processo no sistema. Você pode usá-lo para ver
os programas que têm um arquivo aberto ou para ver os tipos de objeto e nomes de
todos os identificadores de um programa.
Você também pode obter uma versão baseada em GUI deste programa, Process
Explorer, aqui no Sysinternals.
Instalação
Você executa o Handle digitando "identificador". Você deve ter privilégio administrativo
para executar o Handle.
Uso
O Handle é direcionado à pesquisa de referências de arquivo aberto, portanto, se você
não especificar parâmetros de linha de comando, ele listará os valores de todos os
identificadores no sistema que se referem a arquivos abertos e aos nomes dos arquivos.
Ele também usa vários parâmetros que modificam esse comportamento.
uso: handle [[-a [-l]] [-v|-vt] [-u] | [-c <handle> [-y]] | [-s]] [-p <process>|
<pid>] [name]
Parâmetro Descrição
name Esse parâmetro está presente para que você possa direcionar o Handle para
pesquisar referências a um objeto com um nome específico.
Por exemplo, se você quisesse saber qual processo (se houver) tem
"c:\windows\system32" aberto, você poderia digitar:
identificar windows\system
A correspondência de nome não diferencia maiúsculas de minúsculas e o fragmento
especificado pode estar em qualquer lugar nos caminhos nos quais você está
interessado.
Saída do Handle
Quando não está no modo de pesquisa (habilitado especificando um fragmento de
nome como um parâmetro), o Handle divide sua saída em seções para cada processo
para o qual está imprimindo informações do identificador. As linhas tracejadas são
usadas como um separador, imediatamente abaixo do qual você verá o nome do
processo e sua ID de processo (PID). Abaixo do nome do processo estão listados valores
de identificador (em hexadecimal), o tipo de objeto ao qual o identificador está
associado e o nome do objeto, se ele tiver um.
Mais informações
Você pode encontrar mais informações sobre o Gerenciador de Objetos no Windows
Internals, 4ª Edição ou navegando pelo espaço de nome do Gerenciador de Objetos
com WinObj.
Introdução
O ListDLLs é um utilitário que informa as DLLs carregadas em processos. Você pode usá-
lo para listar todas as DLLs carregadas em todos os processos, em um processo
específico ou para listar os processos que têm uma DLL específica carregada. O ListDLLs
também pode mostrar informações completas de versão das DLLs, incluindo sua
assinatura digital, e pode ser usado para verificar processos e pesquisar DLLs não
assinadas.
Uso
listdlls [-r] [-v | -u] [processname|pid]
listdlls [-r] [-v] [-d dllname]
Parâmetro Descrição
-r Sinalize as DLLs que foram relocadas porque não estavam carregadas no seu
endereço base.
Exemplos
Listar as DLLs carregadas no Outlook.exe, incluindo as informações de versão:
listdlls -v outlook
listdlls -u
listdlls -d mso.dll
É executado em:
Introdução
O Portmon é um utilitário que monitora e exibe todas as atividades de portas seriais e
paralelas em um sistema. O utilitário tem recursos avançados de filtragem e pesquisa
que o tornam uma ferramenta poderosa para explorar a maneira como o Windows
funciona, ver como os aplicativos usam as portas ou rastrear problemas nas
configurações do sistema ou do aplicativo.
Portmon 3.x
A versão 3.x do Portmon marca a introdução de uma série de recursos avançados.
O arquivo de ajuda online descreve todos esses recursos e muito mais, de forma
detalhada.
Instalação e Uso
Basta executar o arquivo de programa do Portmon (portmon.exe) e o Portmon começará
imediatamente a capturar a saída de depuração. Para executar o Portmon no Windows
95, você precisa obter a atualização do WinSock2 junto à Microsoft. Observe que, se
você executar o Portmon no Windows NT/2000, o portmon.exe precisará estar
localizado em uma unidade que não seja de rede e você precisará ter privilégio
administrativo. Os menus, teclas de atalho ou botões da barra de ferramentas podem
ser usados para apagar a janela, salvar os dados monitorados em um arquivo, pesquisar
a saída, alterar a fonte da janela e muito mais. A ajuda online descreve todos os recursos
do Portmon.
O Portmon entende todos os comandos de controle de E/S (IOCTLs) das portas seriais e
paralelas e os mostrará junto com informações interessantes relativas aos parâmetros
associados. Para solicitações de leitura e gravação, o Portmon mostra as primeiras
diversas dezenas de bytes do buffer, usando "." para representar caracteres não
imprimíveis. A opção de menu Mostrar Hex permite que você alterne entre o ASCII e a
saída hexadecimal bruta dos dados do buffer.
Quando você seleciona uma porta para monitorar, o Portmon envia uma solicitação para
o driver de dispositivo que inclui o nome do NT (por exemplo, \device\serial0) no qual
você está interessado. O driver usa APIs de filtragem padrão para anexar seu próprio
objeto de dispositivo de filtro ao objeto de dispositivo de destino. Primeiro, usa
ZwCreateFile para abrir o dispositivo de destino. Em seguida, converte o identificador
que recebe de volta do ZwCreateFile em um ponteiro de objeto do dispositivo. Após
criar seu próprio objeto de dispositivo de filtro que corresponde às características do
destino, o driver chama IoAttachDeviceByPointer para estabelecer o filtro. A partir
desse ponto, o driver do Portmon verá todas as solicitações direcionadas ao dispositivo
de destino.
Publicado: 03/11/2022
https://www.microsoft.com/pt-br/videoplayer/embed/RE591St?
autoplay=true&loop=true&controls=false&postJsllMsg=true&autoCaptions=pt-br
Introdução
O ProcDump é um utilitário de linha de comando cuja principal finalidade é monitorar
um aplicativo para picos de CPU e gerar despejos de memória durante um pico que um
administrador ou desenvolvedor pode usar para determinar a causa do pico. O
ProcDump também inclui monitoramento de janela suspensa (usando a mesma
definição de janela suspensa que o Windows e o Gerenciador de Tarefas usam),
monitoramento de exceções não tratadas e pode gerar despejos com base nos valores
dos contadores de desempenho do sistema. Ele também pode servir como um utilitário
de despejo de processo geral que você pode inserir em outros scripts.
Usar o ProcDump
Capturar o Uso:
procdump.exe [-mm] [-ma] [-mt] [-mp] [-mc <Mask>] [-md <Callback_DLL>] [-mk]
[-n <Count>]
[-s <Seconds>]
[-c|-cl <CPU_Usage> [-u]]
[-m|-ml <Commit_Usage>]
[-p|-pl <Counter> <Threshold>]
[-h]
[-e [1] [-g] [-b] [-ld] [-ud] [-ct] [-et]]
[-l]
[-t]
[-f <Include_Filter>, ...]
[-fx <Exclude_Filter>, ...]
[-dc <Comment>]
[-o]
[-r [1..5] [-a]]
[-at <Timeout>]
[-wer]
[-64]
{
{{[-w] <Process_Name> | <Service_Name> | <PID>} [<Dump_File>
| <Dump_Folder>]}
|
{-x <Dump_Folder> <Image_File> [Argument, ...]}
}
Instalar o Uso:
procdump.exe -i [Dump_Folder]
[-mm] [-ma] [-mt] [-mp] [-mc <Mask>] [-md <Callback_DLL>] [-mk]
[-r]
[-at <Timeout>]
[-k]
[-wer]
Desinstalar o Uso:
procdump.exe -u
Tipos de Despejo:
Tipo de Descrição
Despejo
Condições:
Condição Descrição
-a Evite interrupção. Requer -r . Se o gatilho fizer com que o destino seja suspenso por
um tempo prolongado devido a um limite de despejo simultâneo excedido, o gatilho
será ignorado.
os).
-fx Filtre (exclua) o conteúdo das exceções, o registro em log de depuração e o nome do
arquivo de carregamento/descarregamento da DLL. Há suporte para caracteres
curinga (*).
-pl Gatilho para quando o Contador de Desempenho ficar abaixo do limite especificado.
Condição Descrição
-w Aguarde até que o processo especificado seja iniciado se ele não estiver em
execução.
Contrato de Licença:
Encerramento Automatizado:
Usar essa opção ou definir um evento com o nome ProcDump-<PID> é o mesmo que
digitar Ctrl+C para encerrar o ProcDump. O encerramento garante que o processo seja
retomado se uma captura estiver ativa. O cancelamento se aplica a TODAS as instâncias
do ProcDump que monitoram o processo.
Nome do arquivo:
Substituição Explicação
PID ID do Processo
AAMMDD Ano/Mês/Dia
HHMMSS Hora/Minuto/Segundo
Exemplos
Grave um mini despejo de um processo chamado “notepad” (somente uma
correspondência pode existir):
C:\>procdump notepad
C:\>procdump -n 3 -s 5 notepad
Grave até três despejos Mini de um processo chamado “consume” quando exceder
20% do uso da CPU por cinco segundos:
Prompt de comando do Windows
C:\>procdump -n 3 -s 5 -c 20 consume
C:\>procdump -h hang.exe
Grave um despejo Full do PID 1234 de “svchost”, Instância 87, quando a contagem
de identificadores exceder 10.000:
Os sistemas operacionais mais antigos exigem que você acrescente o PID para
contadores \Process .
txt
\Process(<name>[_PID])\<counter>
pwsh
Grave até dez despejos Full de cada exceção de primeira ou segunda chance de
w3wp.exe:
Prompt de comando do Windows
C:\>procdump -e -w notepad
Registre-se para iniciar e tente ativar um “aplicativo” da Store. Uma nova instância
do ProcDump será iniciada quando for ativada:
Windows 8.1+; use o PSS para reduzir a interrupção de cinco gatilhos simultâneos:
..ou..
C:\Dumps>procdump -ma -i
C:\>procdump -u
Veja uma lista de linhas de comando de exemplo (os exemplos são listados acima):
C:\>procdump -? -e
Links Relacionados
Livro sobre os Componentes Internos do Windows A página oficial de
atualizações e erratas do livro definitivo sobre os componentes internos do
Windows, de Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial dos
utilitários Sysinternals de Mark Russinovich e Aaron Margosis, incluindo descrições
de todas as ferramentas, seus recursos, como usá-los para solucionar problemas e
exemplos de casos reais de uso.
É executado em:
Saiba mais
Ferramentas de Desfragmentação: #9 – ProcDump Este episódio de Ferramentas
de Desfragmentação aborda o que a ferramenta captura e as durações de
interrupção esperadas
Ferramentas de Desfragmentação: #10 – ProcDump – Gatilhos Este episódio
aborda as opções de gatilho em particular exceções de primeira e segunda chance
Ferramentas de desfragmentação: #11 – ProcDump – Windows 8 e Monitor de
Processo Este episódio aborda o suporte a aplicativos modernos e o suporte ao
registro em log do Monitor de Processo
Gerenciador de Processos v17.05
Artigo • 09/08/2023
https://www.microsoft.com/pt-br/videoplayer/embed/RE5d5Rd?
autoplay=true&loop=true&controls=false&postJsllMsg=true&autoCaptions=pt-br
Introdução
Já se perguntou qual programa tem um arquivo ou diretório específico aberto? Agora
você pode descobrir. Gerenciador de Processos mostra informações sobre quais
identificadores e processos de DLLs foram abertos ou carregados.
Links Relacionados
Livro sobre os Componentes Internos do Windows A página oficial de atualizações
e erratas do livro definitivo sobre componentes internos do Windows, por Mark
Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial dos utilitários
Sysinternals, por Mark Russinovich e Aaron Margosis, incluindo descrições de
todas as ferramentas, seus recursos, como usá-las para solucionar problemas e
exemplos de casos de seu uso no mundo real.
Baixar
Baixar Gerenciador de Processos (3.4 MB)
Executar agora a partir do Sysinternals Live .
Executado em:
Instalação
Basta executar Gerenciador de Processos (procexp.exe).
Saiba mais
Aqui estão algumas outras ferramentas de exibição de identificador e DLL e informações
disponíveis no Sysinternals:
Introdução
O Process Monitor é uma ferramenta de monitoramento avançada para Windows que
mostra em tempo real o sistema de arquivos, o Registro e a atividade do
processo/thread. Ele combina os recursos de dois utilitários herdados da Sysinternals,
Filemon e Regmon, e acrescenta uma extensa lista de aprimoramentos, incluindo
filtragem avançada e não destrutiva, propriedades abrangentes de eventos, como IDs de
sessão e nomes de usuário, informações confiáveis sobre processos, pilhas completas de
threads com suporte integrado a símbolos para cada operação, registro simultâneo em
log em um arquivo e muito mais. Seus recursos excepcionalmente avançados tornarão o
Process Monitor um utilitário essencial em seu kit de ferramentas de solução de
problemas do sistema e de busca de software mal-intencionado.
Capturas de tela
Links Relacionados
Livro de Fundamentos do Windows
A página oficial de atualizações e erratas do livro definitivo sobre a parte interna
do Windows, por Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals
O guia oficial dos utilitários da Sysinternals por Mark Russinovich e Aaron
Margosis, incluindo descrições de todas as ferramentas, seus recursos, como usá-
las para solucionar problemas e exemplos de casos reais de uso.
Download
Baixar o Process Monitor (3.3 MB)
É executado em:
Introdução
Utilitários como Telnet e programas de controle remoto como o computador da
Symantec em qualquer lugar permitem que você execute programas em sistemas
remotos, mas eles podem ser um problema para configurar e exigir que você instale o
software cliente nos sistemas remotos que deseja acessar. O PsExec é uma substituição
leve para o Telnet, que permite executar processos em outros sistemas, completos com
interatividade total para aplicativos de console, sem precisar instalar manualmente o
software cliente. Os usos mais poderosos do PsExec incluem iniciar prompts de
comando interativos em sistemas remotos e ferramentas de habilitação remota, como
IpConfig, que de outra forma não têm a capacidade de mostrar informações sobre
sistemas remotos.
Observação: alguns verificadores antivírus relatam que uma ou mais das ferramentas
estão infectadas com um vírus de "administrador remoto". Nenhum dos PsTools contém
vírus, mas eles foram usados por vírus, razão pela qual disparam notificações de vírus.
Instalação
Basta copiar PsExec para o caminho executável. Digitar "psexec" exibe sua sintaxe de
uso.
Usando o PsExec
Confira a edição de julho de 2004 da Windows IT Pro Magazine para ver o artigo do
Mark que aborda o uso avançado do PsExec.
Uso:
Parâmetro Descrição
-a Processadores separados nos quais o aplicativo pode ser executado com vírgulas
em que 1 é a CPU numerada mais baixa. Por exemplo, para executar o aplicativo na
CPU 2 e CPU 4, insira: "-a 2,4"
-i Execute o programa para que ele interaja com a área de trabalho da sessão
especificada no sistema remoto. Se nenhuma sessão for especificada, o processo
será executado na sessão do console. Esse sinalizador é necessário ao tentar
executar aplicativos de console interativamente (com E/S padrão redirecionada).
-v Copie o arquivo especificado somente se ele tiver um número de versão mais alto
ou for mais recente do que o do sistema remoto.
arguments Argumentos a serem passados (observe que os caminhos de arquivo devem ser
caminhos absolutos no sistema de destino).
Você pode incluir aplicativos que têm espaços em seu nome com aspas, por exemplo
A entrada só é passada para o sistema remoto quando você pressiona a tecla Enter.
Digitar Ctrl-C encerra o processo remoto.
Os códigos de erro retornados pelo PsExec são específicos para os aplicativos que você
executa, não para o PsExec.
Exemplos
Este artigo que escrevi descreve como o PsExec funciona e fornece dicas sobre como
usá-lo:
Esse comando executa IpConfig no sistema remoto com a opção /all e exibe a saída
resultante localmente:
psexec -i -d -s c:\windows\regedit.exe
Para executar o Internet Explorer com privilégios de usuário limitado, use este comando:
PSTools
O PsExec faz parte de um kit crescente de ferramentas de linha de comando do
Sysinternals que auxiliam na administração de sistemas locais e remotos chamados
PsTools.
Executado em:
Introdução
O PsGetsid permite que você traduza SIDs para o respectivo nome de exibição e vice-
versa. O utilitário funciona em contas integradas, contas de domínio e contas locais.
Instalação
Basta copiar PsGetSid para o seu caminho executável e digitar "psgetsid".
Uso
Uso: psgetsid [\\computer[,computer[,...] | @file\] [-u username [-p password]]]
[account|SID]
Parâmetro Descrição
Conta O PsGetSid irá informar o SID da conta de usuário especificada em vez do SID do
computador.
Especifique um nome de usuário se a conta da qual você estiver executando não tiver
privilégios administrativos no computador que você deseja consultar. Se você não
especificar uma senha como opção, o PsGetSid irá solicitar uma para que você possa
digitá-la sem que seja replicada na sua tela.
PsTools
Executado em:
Introdução
O Windows NT/2000 não vem com um utilitário 'kill' de linha de comando. Você pode
obter um no Kit de Recursos do Windows NT ou Win2K, mas o utilitário do kit só pode
encerrar processos no computador local. O PsKill é um utilitário de encerramento que
não apenas faz o que a versão do Kit de Recursos faz, mas também pode encerrar
processos em sistemas remotos. Não é necessário instalar um cliente no computador de
destino para usar o PsKill para encerrar um processo remoto.
Instalação
Basta copiar o PsKill no caminho do executável e digitar pskill com as opções de linha
de comando definidas abaixo.
Usando o PsKill
Confira na edição de setembro de 2004 da revista Windows IT Pro o artigo de Mark
que aborda o uso avançado do PsKill.
A execução de PsKill com uma ID de processo o direciona para encerrar o processo com
essa ID no computador local. Se você especificar um nome de processo, o PsKill
encerrará todos os processos que tenham esse nome.
Usar: pskill [- ] [-t] [\\computer [-u username] [-p password]] <process name | process
id>
Parâmetro Descrição
\\computador Especifica o computador no qual o processo que você deseja encerrar está
sendo executado. O computador remoto deve ser acessível pela vizinhança da
rede NT.
-p password Essa opção permite especificar a senha de logon na linha de comando para que
você possa usar o PsList a partir de arquivos em lote. Se você especificar um
nome de conta e omitir a opção -p, o PsList solicitará uma senha
interativamente.
process name Especifica o nome do processo ou dos processos que você deseja encerrar.
PsTools
Executa em:
Introdução
Parâmetro Descrição
pslist exp Mostrar estatísticas para todos os processos que começam com "exp", o que
incluiria Explorer.
\\computer Em vez de mostrar informações sobre o processo do sistema local, psList mostrará
informações sobre o sistema NT/Win2K especificado. Inclua a opção -u com um
nome de usuário e senha para fazer logon no sistema remoto se suas credenciais
de segurança não permitirem a obtenção de informações do contador de
desempenho do sistema remoto.
-p Essa opção permite especificar a senha de logon na linha de comando para que
você possa usar o PsList a partir de arquivos em lote. Se você especificar um nome
de conta e omitir a opção -p, o PsList solicitará uma senha interativamente.
name Mostrar informações sobre processos que começam com o nome especificado.
pslist 53
despejaria estatísticas para o processo com o PID 53.
Como funciona
Assim como a ferramenta interna de monitoramento PerfMon do Windows NT/2K, o
PsList usa os contadores de desempenho do Windows NT/2K para obter as informações
que exibe. Você pode encontrar a documentação sobre os contadores de desempenho
do Windows NT/2K, incluindo o código-fonte para o monitor de desempenho interno
do Windows NT, o PerfMon, no MSDN.
Pri: Prioridade
Thd: número de threads
Hnd: número de identificadores
VM: memória virtual
WS: conjunto de trabalho
Priv: memória virtual privada
Priv Pk: pico de memória virtual privada
Falhas: falhas de página
NonP: pool não paginado
Page: pool paginado
Cswtch: alternâncias de contexto
PsTools
Executado em:
Introdução
PsService é um visualizador e controlador de serviços para Windows. Assim como o
utilitário SC incluído nos Kits de Recursos do Windows NT e do Windows 2000, o
PsService exibe o status, a configuração e as dependências de um serviço e permite
iniciar, parar, pausar, retomar e reiniciar esses serviços. Ao contrário do utilitário SC, o
PsService habilita o logon em um sistema remoto utilizando uma conta diferente, para
os casos em que a conta a partir da qual ele é executado não tem as permissões
exigidas no sistema remoto. O PsService inclui um recurso exclusivo de pesquisa de
serviços, que identifica as instâncias ativas de um serviço em sua rede. Você Utilizaria o
recurso de pesquisa se quisesse localizar sistemas que executam servidores DHCP, por
exemplo.
Instalação
Basta copiar PsService no seu caminho de executável e digitar "psservice".
Utilizando o PsService
O comportamento padrão do PsService é exibir os serviços configurados (em execução e
parados) no sistema local. Inserir um comando na linha de comando invoca um recurso
específico, sendo que alguns comandos aceitam opções. Digitar um comando seguido
de "- " exibe as informações sobre a sintaxe do comando.
Uso: psservice [\\computador [-u nome de usuário] [-p senha]] <comando>
<opções>
Parâmetro Descrição
\\computador Tem como alvo o sistema NT/Win2K especificado. Inclua a opção -u com um
nome de usuário e senha para fazer logon no sistema remoto se suas credenciais
de segurança não permitirem a obtenção de informações do contador de
desempenho do sistema remoto. Se você especificar a opção -u, mas não uma
senha com a opção -p, o PsService solicitará que você insira a senha e não a
exibirá na tela.
Como funciona
O PsService utiliza as APIs do Service Control Manager que estão documentadas no SDK
da plataforma.
PsTools
Executado em:
Cliente: Windows 8.1 e superior.
Servidor: Windows Server 2012 e superior.
PsSuspend v1.08
Artigo • 07/10/2023
Introdução
O PsSuspend permite suspender processos no sistema local ou remoto, o que é
desejável nos casos em que um processo está consumindo um recurso (por exemplo,
rede, CPU ou disco) que você deseja permitir que processos diferentes usem. Em vez de
encerrar o processo que está consumindo o recurso, a suspensão permite que ele
continue a operação em algum momento posterior.
Instalação
Copie o PsSuspend no caminho executável e digite "pssuspend" com opções de linha de
comando definidas abaixo.
Usando PsSuspend
Executar o PsSuspend com uma ID de processo o orienta a suspender ou retomar o
processo dessa ID no computador local. Se você especificar um nome de processo o ,
PsSuspend suspenderá ou retomará todos os processos que têm esse nome. Especifique
a alternância -r para retomar os processos suspensos.
Uso: pssuspend [- ] [-r] [\\computer [-u username] [-p password]] <process name |
process id>
Parâmetro Descrição
-p Essa opção permite especificar a senha de logon na linha de comando para que
password você possa usar o PsSuspend a partir de arquivos em lote. Se você especificar um
nome de conta e omitir a opção -p, o PsSuspend solicitará uma senha
interativamente.
process Especifica o nome do processo ou dos processos que você deseja suspender ou
name retomar.
PsTools
Executado em:
Introdução
Os Kits de Recursos do Windows NT e do Windows 2000 vêm com várias ferramentas de
linha de comando que ajudam a administrar os sistemas Windows NT/2K. Com o tempo,
desenvolvi uma coleção de ferramentas semelhantes, incluindo algumas não incluídas
nos Kits de Recursos. O que diferencia essas ferramentas é que todas permitem que
você gerencie sistemas remotos, bem como o sistema local. A primeira ferramenta da
suíte foi a PsList, uma ferramenta que permite a exibição de informações detalhadas
sobre processos, e o pacote está crescendo continuamente. O prefixo "Ps" em PsList
está relacionado ao fato de que a ferramenta de linha de comando padrão da listagem
de processos do UNIX é chamada de "ps", portanto, adotei esse prefixo para todas as
ferramentas a fim de uni-las em um conjunto de ferramentas chamado PsTools.
7 Observação
Alguns verificadores antivírus informam que uma ou mais das ferramentas estão
infectadas com um vírus de "administração remota". Nenhuma das PsTools contém
vírus, mas elas foram utilizadas por vírus e, por isso, disparam notificações de vírus.
As ferramentas incluídas no pacote PsTools, que podem ser baixadas como um pacote,
são:
Executado em:
Instalação
Nenhuma das ferramentas exige qualquer instalação especial. Não é necessário nem
mesmo instalar nenhum software cliente nos computadores remotos para os quais você
os direciona. Execute-as digitando seus nomes e as opções de linha de comando que
desejar. Para mostrar as informações completas de uso, especifique a opção de linha de
comando "-? " na linha de comando. Se tiver dúvidas ou problemas, visite o fórum do
PsTools da Sysinternals.
Links Relacionados
Introdução ao PsTools : Wes Miller apresenta uma visão geral de alto nível do PsTools
da Sysinternals na coluna de março da sua coluna na TechNet Magazine.
ShellRunas v1.02
Artigo • 07/10/2023
Introdução
O utilitário de linha de comando Runas é útil para iniciar programas em contas
diferentes, mas não é conveniente se você for um usuário frequente do Explorer. O
ShellRunas fornece funcionalidade semelhante à do Runas para iniciar programas como
um usuário diferente por meio de uma entrada conveniente no menu de contexto da
shell.
Captura de tela
Usando o ShellRunas
Uso:
É executado em:
Obtendo ajuda
Se você tiver problemas ou dúvidas, acesse o Fórum do Sysinternals .
VMMap v3.4
Artigo • 24/10/2023
Introdução
O VMMap é um utilitário de análise de memória física e virtual de processos. Ele mostra
um detalhamento dos tipos de memória virtual confirmados de um processo, bem
como a quantidade de memória física (conjunto de trabalho) atribuída pelo sistema
operacional a esses tipos. Além das representações gráficas do uso da memória, o
VMMap também mostra informações resumidas e um mapa detalhado da memória do
processo. Poderosos recursos de filtragem e atualização permitem identificar as fontes
de uso da memória do processo e o custo de memória dos recursos do aplicativo.
Além de exibições flexíveis para analisar processos em tempo real, o VMMap suporta a
exportação de dados em várias formas, incluindo um formato nativo que preserva todas
as informações para que você possa carregá-las novamente. Ele também inclui
opções de linha de comando que habilitam cenários de script.
Captura de tela
Links Relacionados
Livro de Fundamentos do Windows
A página oficial de atualizações e erratas do livro definitivo sobre a parte interna
do Windows, de Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial para os
utilitários do Sysinternals por Mark Russinovich e Aaron Margosis, incluindo
descrições de todas as ferramentas, seus recursos, como usá-los para solução de
problemas e exemplos de casos reais de seu uso.
É executado em:
Saiba mais
Ferramentas de desfragmentação: nº 7 – VMMap
Neste episódio das Ferramentas de Desfragmentação, Andrew Richards e Larry
Larsen explicam como usar o VMMap para conferir como a memória virtual está
sendo utilizada e se existe algum vazamento de memória.
Utilitários de segurança da Sysinternals
Artigo • 05/08/2023
AccessChk
Esta ferramenta mostra o nível de acesso que o usuário ou grupo que você especificar
tem aos arquivos, chaves do Registro ou serviços do Windows.
AccessEnum
Esta ferramenta de segurança simples, mas poderosa, mostra quem tem acesso a
diretórios, arquivos e chaves de registro em seus sistemas. Use-o para encontrar falhas
em suas permissões.
Automático
Ignorar a tela de senha durante o logon.
Autoruns
Veja quais programas estão configurados para inicializar automaticamente quando o
sistema for inicializado e você fizer login. O Autoruns também mostra a lista completa
de registros e locais de arquivos onde os aplicativos podem definir as configurações de
inicialização automática.
LogonSessions
Listar sessões de logon ativas
Gerenciador de Processos
Descubra quais arquivos, chaves de registro e outros objetos os processos abriram,
quais DLLs eles carregaram e muito mais. Este utilitário excepcionalmente poderoso
mostrará a você quem é o proprietário de cada processo.
PsExec
Execute processos com direitos de usuário limitados.
PsLoggedOn
Mostrar usuários conectados a um sistema.
PsLogList
Despejar registros de log de eventos.
PsTools
O pacote PsTools inclui utilitários de linha de comando para listar os processos em
execução em computadores locais ou remotos, executar processos remotamente,
reinicializar computadores, despejar logs de eventos e muito mais.
Revelador de rootkits
RootkitRevealer é um utilitário avançado de detecção de rootkit.
SDelete
Substitua com segurança seus arquivos confidenciais e limpe seu espaço livre de
arquivos excluídos anteriormente usando esse programa de exclusão segura em
conformidade com o DoD.
ShareEnum
Verifique os compartilhamentos de arquivos na sua rede e veja as configurações de
segurança para eliminar as falhas de segurança.
ShellRunas
Inicie programas como um usuário diferente por meio de uma conveniente entrada do
menu de contexto do shell.
Sigcheck
Despeje as informações da versão do arquivo e verifique se as imagens em seu sistema
estão assinadas digitalmente.
Sysmon
Monitora e relata as principais atividades do sistema por meio do log de eventos do
Windows.
Autologon v3.10
Artigo • 07/10/2023
Introdução
O Autologon permite que você configure facilmente o mecanismo interno de autologon
do Windows. Em vez de esperar que um usuário insira seu nome e senha, o Windows
usa as credenciais inseridas com o Autologon, que são criptografadas no Registro, para
fazer o logon automaticamente no usuário especificado.
Para desativar o logon automático, pressione Desabilitar. Além disso, se a tecla Shift for
mantida pressionada antes de o sistema executar um logon automático, o logon
automático será desabilitado para esse logon. Também é possível passar o nome de
usuário, o domínio e a senha como argumentos de linha de comando:
Introdução
Se você achar que, ao fazer login em um sistema, há apenas uma sessão de login ativa,
esse utilitário vai surpreendê-lo. Ele lista as sessões de login ativas no momento e, se
você especificar a opção -p, os processos em execução em cada sessão.
Parâmetro Descrição
Saída de exemplo
Shell
C:\>logonsessions -p
É executado em:
Nota: o NewSID foi desativado e não está mais disponível para download. Confira a
postagem no blog de Mark Russinovich: Desativação do NewSID e o mito da duplicação
do SID de computador
IMPORTANTE
Em relação aos SIDs, a Microsoft não dá suporte a imagens preparadas usando o
NewSID, só àquelas preparadas usando o SysPrep. A Microsoft não testou o NewSID
com todas as opções de clonagem de implantação.
Para obter mais informações sobre a política oficial da Microsoft, consulte o seguinte
artigo da Base de Dados de Conhecimento Microsoft:
Introdução
Muitas organizações usam a clonagem de imagem de disco para realizar distribuições
em massa do Windows. Essa técnica envolve copiar os discos de um computador
Windows totalmente instalado e configurado nas unidades de disco de outros
computadores. Esses outros computadores parecem efetivamente ter passado pelo
mesmo processo de instalação e ficam disponíveis imediatamente para uso.
Informações de versão:
A versão 4.0 tem suporte para Windows XP e .NET Server, uma interface com o
estilo de assistente, além de permitir especificar o SID que você deseja aplicar, a
compactação do Registro e também a opção de renomear um computador (o que
resulta em uma alteração dos nomes NetBIOS e DNS).
A versão 3.02 corrige um bug que fazia com que o NewSid não copiasse
corretamente valores padrão com tipos de valor inválidos ao renomear uma chave
com um SID antigo para um novo SID. Na verdade, o NT usa esses valores
inválidos em determinados momentos no SAM. Esse bug gerava mensagens de
erro relatando acesso negado quando as informações da conta eram atualizadas
por um usuário autorizado.
A versão 3.01 adiciona uma solução alternativa para uma chave inacessível do
Registro criada pelo Microsoft Transaction Server. Sem a solução alternativa, o
NewSID era encerrado prematuramente.
A versão 3.0 apresenta um recurso de sincronização de SID que direciona o
NewSID para obter um SID de um outro computador para ser aplicado.
A versão 2.0 tem uma opção de modo automatizado que permite alterar o nome
do computador também.
A versão 1.2 corrige um bug que foi introduzido na versão 1.1, em que alguns
descritores de segurança do sistema de arquivos não eram atualizados.
A versão 1.1 corrige um bug relativamente pequeno que afetou apenas
determinadas instalações. Ela também foi atualizada para alterar SIDs associados
às configurações de permissão de compartilhamentos de arquivos e impressoras.
Outra forma popular de distribuição é por meio do utilitário sysdiff da Microsoft (parte
do Kit de Recursos do Windows). Essa ferramenta exige que o administrador do sistema
faça uma instalação completa (geralmente uma instalação autônoma com script) em
cada computador e, em seguida, o sysdiff automatiza a aplicação de imagens de
instalação de software complementar.
Como a instalação é ignorada, e como a cópia do setor de disco é mais eficiente do que
a cópia de arquivo, uma distribuição baseada em clonagem pode economizar dezenas
de horas em uma instalação sysdiff semelhante. Além disso, o administrador do sistema
não precisa aprender a usar a instalação autônoma ou o sysdiff, nem criar e depurar
scripts de instalação. Só isso já economiza horas de trabalho.
Para entender o problema que a clonagem pode causar, primeiro é preciso entender
como os SIDs são atribuídos às contas locais individuais em um computador. Os SIDs de
contas locais são compostos pelo SID de computador e um RID (Identificador relativo)
acrescentado. O RID começa com um valor fixo e é acrescido de um para cada conta
criada. Isso significa que a segunda conta em um computador, por exemplo, receberá o
mesmo RID que a segunda conta em um clone. Como resultado, ambas as contas têm o
mesmo SID.
Outra instância em que SIDs duplicados podem causar problemas é onde houver mídia
removível formatada com NTFS e em que atributos de segurança de conta local são
aplicados a arquivos e diretórios. Se essa mídia for movida para um computador
diferente que tenha o mesmo SID, contas locais que não conseguiriam acessar os
arquivos terão essa capacidade se suas IDs de conta corresponderem àquelas dos
atributos de segurança. Isso não será possível se os computadores tiverem SIDs
diferentes.
Um artigo escrito por Mark e intitulado "Opções de distribuição do NT" foi publicado na
edição de junho da Windows NT Magazine. Ele discute mais detalhadamente o
problema de SID duplicado e apresenta a posição oficial da Microsoft sobre a clonagem.
Para ver se há um problema de SID duplicado em sua rede, use o PsGetSid para exibir
SIDs de computador.
NewSID
O NewSID é um programa desenvolvido por nós para alterar o SID de um computador.
Primeiro, ele gera um SID aleatório para o computador e avança para atualizar
instâncias do SID de computador existente que ele encontra no Registro e em
descritores de segurança de arquivo, substituindo as ocorrências pelo novo SID. O
NewSID exige privilégios administrativos para ser executado. Ele tem duas funções:
alterar o SID e alterar o nome do computador.
Para usar a opção de execução automática do NewSID, use "/a" na linha de comando.
Você também pode orientá-lo para alterar automaticamente o nome do computador,
incluindo o novo nome após a opção "/a". Por exemplo:
newsid /a [newname]
Caso o NewSID tenha sido executado sem avisar, mude o nome do computador para
"newname" e faça com que ele reinicializasse o computador se tudo correr bem.
1. Inicialize o BDC que você deseja mover e faça logon. Use o NewSID para
sincronizar o SID do BDC com o PDC do domínio para o qual você deseja mover o
BDC.
2. Reinicialize o sistema no qual você alterou o SID (o BDC). Como o domínio ao qual
o BDC está associado agora já tem um PDC ativo, ele será inicializado como um
BDC em seu novo domínio.
3. O BDC aparecerá como uma estação de trabalho no Gerenciador do Servidor,
portanto, use o botão "Adicionar ao Domínio" para adicionar o BDC ao novo
domínio. Lembre-se de especificar o botão de opção do BDC quando o adicionar.
Como funciona
O NewSID começa lendo o SID de computador existente. O SID de um computador é
armazenado no hive SECURITY do Registro em SECURITY\SAM\Domains\Account. Essa
chave tem um valor chamado F e um outro V. O V é valor um binário que tem o SID de
computador inserido nele ao final de seus dados. O NewSID garante que esse SID esteja
em um formato padrão (três subautoridades de 32 bits precedidas por três campos de
autoridade de 32 bits).
Por fim, o NewSID deve atualizar as subchaves ProfileList para se referir aos novos SIDs
da conta. Essa etapa é necessária para que o Windows NT associe corretamente os
perfis às contas de usuário depois que os SIDs da conta forem alterados para refletir o
novo SID de computador.
O NewSID garante que ele possa acessar e modificar cada arquivo e chave do Registro
no sistema ao atribuir a si mesmo os seguintes privilégios: Sistema, Backup, Restauração
e Assumir Propriedade.
PsLoggedOn v1.35
Artigo • 04/08/2023
Introdução
Você pode determinar quem está usando recursos em seu computador local com o
comando "net" ("net session"), no entanto, não há uma maneira interna de determinar
quem está usando os recursos de um computador remoto. Além disso, o NT vem sem
ferramentas para ver quem está conectado a um computador, local ou remotamente. O
PsLoggedOn é um miniaplicativo que exibe os usuários conectados localmente e os
usuários conectados por meio de recursos para o computador local ou um remoto. Se
você especificar um nome de usuário em vez de um computador, psLoggedOn pesquisa
os computadores no bairro da rede e informa se o usuário está conectado no momento.
O PsLoggedOn define um usuário conectado localmente como aquele que tem seu perfil
carregado no Registro, portanto, o PsLoggedOn determina quem está conectado
verificando as chaves sob a chave HKEY_USERS. Para cada chave que tem um nome que
é um SID de usuário (identificador de segurança), psLoggedOn pesquisa o nome de
usuário correspondente e o exibe. Para determinar quem está conectado a um
computador por meio de compartilhamentos de recursos, o PsLoggedOn usa a API
NetSessionEnum . Observe que o psLoggedOn mostrará você como conectado por meio
do compartilhamento de recursos para computadores remotos que você consulta
porque um logon é necessário para que o PsLoggedOn acesse o Registro de um sistema
remoto.
Instalação
Basta copiar o PsLoggedOn no caminho executável e digitar "psloggedon".
PsTools
O PsLoggedOn faz parte de um kit crescente de ferramentas de linha de comando do
Sysinternals que auxiliam na administração de sistemas locais e remotos, denominado
PsTools.
É executado em:
Introdução
O Kit de Recursos vem com um utilitário, elogdump, que permite despejar o conteúdo
de um Log de Eventos no computador local ou remoto. O PsLogList é um clone do
elogdump, com a exceção de que PsLogList permite que você faça logon em sistemas
remotos em situações em que seu conjunto atual de credenciais de segurança não
permitiria o acesso ao Log de Eventos, e PsLogList recupera cadeias de caracteres de
mensagem do computador no qual reside o log de eventos que você vê.
Instalação
Basta copiar PsLogList para o caminho executável e digitar "psloglist".
Usando PsLogList
O comportamento padrão de PsLogList é mostrar o conteúdo do Log de Eventos do
Sistema no computador local, com formatação visualmente amigável dos registros do
Log de Eventos. As opções de linha de comando permitem exibir logs em computadores
diferentes, usar uma conta diferente para exibir um log ou ter a saída formatada de
maneira amigável à pesquisa de cadeia de caracteres.
Parâmetro Descrição
-f Filtrar tipos de evento com cadeia de caracteres de filtro (por exemplo, "-f w" para
filtrar avisos).
-s Essa opção tem registros de log de eventos de impressão PsLogList um por linha,
com campos delimitados por vírgula. Esse formato é conveniente para pesquisas de
texto – por exemplo, psloglist
-t O delimitador padrão é uma vírgula, mas pode ser substituído pelo caractere
especificado.
-w Aguardar novos eventos, despejando-os à medida que eles são gerados (somente
sistema local).
eventlog eventlog
Como funciona
Como o Visualizador de Eventos interno do Win NT/2K e o elogdump do Kit de
Recursos, o PsLogList usa a API de Log de Eventos, que está documentada no SDK da
Plataforma Windows. O PsLogList carrega módulos de origem da mensagem no sistema
em que o log de eventos que está sendo exibido reside para que ele exiba corretamente
as mensagens de log de eventos.
PsTools
O PsLogList faz parte de um kit crescente de ferramentas de linha de comando do
Sysinternals que auxiliam na administração de sistemas locais e remotos chamadas
PsTools.
Executado em:
Introdução
RootkitRevealer é um utilitário avançado de detecção de rootkit. Ele é executado no
Windows XP (32 bits) e no Windows Server 2003 (32 bits) e sua saída lista as
discrepâncias da API do sistema de arquivos e do Registro que podem indicar a
presença de um rootkit no modo de usuário ou no modo kernel. O RootkitRevealer
detecta com sucesso muitos rootkits persistentes, incluindo AFX, Vanquish e
HackerDefender (observação: o RootkitRevealer não se destina a detectar rootkits como
o Fu, que não tentam ocultar seus arquivos ou chaves do registro). Se você usá-lo para
identificar a presença de um rootkit, informe-nos!
O motivo pelo qual não há mais uma versão de linha de comando é que os autores de
malware começaram a direcionar a verificação de RootkitRevealer usando seu nome
executável. Portanto, atualizamos o RootkitRevealer para executar sua verificação a
partir de uma cópia nomeada aleatoriamente de si mesma que é executada como um
serviço do Windows. Esse tipo de execução não é adequado para uma interface de linha
de comando. Observe que você pode usar opções de linha de comando para executar
uma verificação automática com resultados registrados em um arquivo, que é o
equivalente ao comportamento da versão de linha de comando.
O que é um Rootkit?
O termo rootkit é usado para descrever os mecanismos e técnicas pelos quais o
malware, incluindo vírus, spyware e trojans, tenta ocultar sua presença de bloqueadores
de spyware, antivírus e utilitários de gerenciamento de sistema. Há várias classificações
de rootkit, dependendo se o malware sobrevive à reinicialização e se é executado no
modo de usuário ou no modo kernel.
Rootkits persistentes
Um rootkit persistente é aquele associado ao malware que é ativado toda vez que o
sistema é inicializado. Como esse malware contém código que deve ser executado
automaticamente a cada inicialização do sistema ou quando um usuário faz logon, ele
deve armazenar o código em um armazenamento persistente, como o Registro ou o
sistema de arquivos, e configurar um método pelo qual o código seja executado sem a
intervenção do usuário.
A API nativa do Windows serve como a interface entre clientes do modo de usuário e
serviços do modo kernel e rootkits do modo de usuário mais sofisticados interceptam
sistema de arquivos, Registro e funções de enumeração de processos da API nativa. Isso
impede sua detecção por scanners que comparam os resultados de uma enumeração
da API do Windows com os retornados por uma enumeração da API nativa.
O ponto principal é que nunca haverá um scanner de rootkit universal, mas os scanners
mais poderosos serão os scanners de comparação online/offline que se integram ao
antivírus.
Usando o RootkitRevealer
O RootkitRevealer requer que a conta a partir da qual ele é executado tenha atribuídos
os privilégios de Backup de arquivos e diretórios, Carregar drivers e Realizar tarefas de
manutenção de volume (no Windows XP e superior). O grupo Administradores recebe
esses privilégios por padrão. Para minimizar os falsos positivos, execute o
RootkitRevealer em um sistema ocioso.
Verificação manual
Para examinar um sistema, inicie-o no sistema e pressione o botão Examinar. O
RootkitRevealer verifica o sistema relatando suas ações em uma área de status na parte
inferior de sua janela e observando discrepâncias na lista de saída. As opções que você
pode configurar:
Ocultar Arquivos de Metadados NTFS: essa opção está ativada por padrão e o
RootkitRevealer não mostra arquivos de metadados NTFS padrão, que estão
ocultos na API do Windows.
Verificar Registro: essa opção está ativada por padrão. Desmarcá-la faz com que o
RootkitRevealer não execute uma verificação do Registro.
Parâmetro Descrição
Se você especificar a opção -c, ela não relatará o progresso e as discrepâncias serão
impressas no formato CSV para facilitar a importação em um banco de dados. Você
pode realizar verificações de sistemas remotos executando-o com o utilitário do
Sysinternals PsExec usando uma linha de comando como a seguinte:
Interpretando a saída
Esta é uma captura de tela de RootkitRevealer que detecta a presença do rootkit
HackerDefender popular. As discrepâncias da chave do Registro mostram que as chaves
do Registro que armazenam o driver de dispositivo e as configurações do serviço do
HackerDefender não são visíveis para a API do Windows, mas estão presentes na
verificação bruta dos dados do hive do Registro. Da mesma forma, os arquivos
associados ao HackerDefender não são visíveis para as verificações de diretório da API
do Windows, mas estão presentes na verificação dos dados brutos do sistema de
arquivos.
Essas discrepâncias são as exibidas pela maioria dos rootkits; no entanto, se você não
verificou os arquivos de metadados do NTFS, deverá ver várias dessas entradas em
qualquer volume NTFS, pois o NTFS oculta seus arquivos de metadados, como $MFT e
$Secure, da API do Windows. Os arquivos de metadados presentes nos volumes NTFS
variam de acordo com a versão do NTFS e os recursos do NTFS habilitados no volume.
Também há produtos antivírus, como o Kaspersky Antivirus, que usam técnicas de
rootkit para ocultar dados armazenados em fluxos de dados alternativos do NTFS. Se
você estiver executando um scanner de vírus, verá uma discrepância Oculto da API do
Windows para um fluxo de dados alternativo em cada arquivo NTFS. O RootkitRevealer
não dá suporte a filtros de saída porque os rootkits podem tirar proveito de qualquer
filtragem. Por fim, se um arquivo for excluído durante uma verificação, você também
poderá ver essa discrepância.
$AttrDef
$BadClus
$BadClus:$Bad
$BitMap
$Boot
$LogFile
$Mft
$MftMirr
$Secure
$UpCase
$Volume
$Extend
$Extend\$Reparse
$Extend\$ObjId
$Extend\$UsnJrnl
$Extend\$UsnJrnl:$Max
$Extend\$Quota
Acesso negado.
O RootkitRevealer nunca deve relatar essa discrepância, pois usa mecanismos que lhe
permitem acessar qualquer arquivo, diretório ou chave do registro em um sistema.
C:\newfile.txt
01/03/2005 17:26
8 bytes
Visível na API do Windows, mas não na MFT ou no índice de diretório.
HKLM\SOFTWARE\Microsoft\Microsoft SQL
Server\RECOVERYMANAGER\MSSQLServer\uptime_time_utc
01/03/2005 16:33
8 bytes
Recursos do Rootkit
Os seguintes sites da Web e livros são fontes de mais informações sobre rootkits:
Sony, Rootkits e Gerenciamento de Direitos Digitais Foram Longe Demais
Leia a entrada do blog do Mark sobre sua descoberta e análise de um rootkit da Sony
em um de seus computadores.
Desenterrando rootkits
O artigo de junho da Windows IT Pro Magazine do Mark fornece uma visão geral das
tecnologias de rootkit e como o RootkitRevealer funciona.
www.phrack.org
Esse site armazena o arquivo da Phrack, uma revista voltada para crackers onde os
desenvolvedores discutem falhas em produtos relacionados à segurança, técnicas de
rootkit e outros truques de malware.
Windows Internals, 4th Edition, por Mark Russinovich e Dave Solomon (o livro não fala
sobre os rootkits, mas entender a arquitetura do Windows ajuda a entender os rootkits).
Introdução
O System Monitor (Sysmon) é um serviço do sistema Windows e driver de dispositivo
que, uma vez instalado em um sistema, permanece residente entre reinicializações do
sistema para monitorar e registrar a atividade do sistema no log de eventos do
Windows. Ele fornece informações detalhadas sobre criações de processos, conexões de
rede e alterações na hora de criação dos arquivos. Ao coletar os eventos gerados
usando a Coleção de Eventos do Windows ou agentes SIEM e analisá-los
posteriormente, você pode identificar atividades mal-intencionadas ou anômalas e
entender como intrusos e malware operam em sua rede.
Observe que o Sysmon não fornece análise dos eventos gerados, nem tenta se proteger
ou se ocultar de invasores.
Capturas de tela
Uso
Uso comum com opções simples de linha de comando para instalar e desinstalar o
Sysmon, bem como para marcar e modificar sua configuração:
Parâmetro Descrição
-u Desinstalar o serviço e o driver. Usar -u force faz com que a desinstalação prossiga
mesmo quando alguns componentes não estão instalados.
Exemplos
Instalar com configurações padrão (processar imagens com hash com SHA1 e sem
monitoramento de rede)
sysmon -accepteula -i
sysmon -u
sysmon -c
sysmon -c c:\windows\config.xml
sysmon -c --
sysmon -s
Eventos
No Vista e superior, os eventos são armazenados em Applications and Services
Logs/Microsoft/Windows/Sysmon/Operational e em eventos de sistemas mais antigos são
gravados no System log de eventos. Os carimbos de data/hora do evento estão no
horário padrão UTC.
ID do evento 8: CreateRemoteThread
O CreateRemoteThread evento detecta quando um processo cria um thread em outro
processo. Essa técnica é usada por malware para injetar código e ocultar em outros
processos. O evento indica o processo de origem e destino. Ele fornece informações
sobre o código que será executado no novo thread: StartAddress e
StartModule StartFunction . Observe que StartModule os campos e StartFunction são
inferidos, eles podem estar vazios se o endereço inicial estiver fora dos módulos
carregados ou das funções exportadas conhecidas.
ID do evento 9: RawAccessRead
O RawAccessRead evento detecta quando um processo realiza operações de leitura da
unidade usando a \\.\ denotação. Essa técnica geralmente é usada por malware para
exfiltração de dados de arquivos bloqueados para leitura, bem como para evitar
ferramentas de auditoria de acesso a arquivos. O evento indica o processo de origem e
o dispositivo de destino.
O Sysmon usa versões abreviadas de nomes de chave raiz do Registro, com os seguintes
mapeamentos:
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR
Arquivos de configuração
Os arquivos de configuração podem ser especificados após as opções de configuração -
i (instalação) ou -c (instalação). Eles facilitam a implantação de uma configuração
predefinida e a filtragem de eventos capturados.
XML
<Sysmon schemaversion="4.82">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<!-- Do not log process termination -->
<ProcessTerminate onmatch="include" />
<!-- Log network connection if the destination port equal 443 -->
<!-- or 80, and process isn't InternetExplorer -->
<NetworkConnect onmatch="include">
<DestinationPort>443</DestinationPort>
<DestinationPort>80</DestinationPort>
</NetworkConnect>
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplore.exe</Image>
</NetworkConnect>
</EventFiltering>
</Sysmon>
Entradas de configuração
As entradas de configuração são semelhantes aos comutadores de linha de comando e
incluem o seguinte
XML
ID Marca Evento
O onmatch filtro será aplicado se os eventos forem correspondidos. Ele pode ser
alterado com o onmatch atributo da marca de filtro. Se o valor for "include" , isso
significa que apenas os eventos correspondentes serão incluídos. Se estiver definido
como "exclude" , o evento será incluído, exceto se uma regra corresponder. Você pode
especificar um conjunto de filtros de inclusão e um conjunto de filtros de exclusão para
cada ID de evento, em que as correspondências de exclusão têm precedência.
Cada filtro pode incluir zero ou mais regras. Cada marca sob a marca de filtro é um
nome de campo do evento. Regras que especificam uma condição para o mesmo nome
de campo se comportam como condições OR e as que especificam nome de campo
diferente se comportam como condições AND. As regras de campo também podem
usar condições para corresponder a um valor. As condições são as seguintes (todas não
diferenciam maiúsculas de minúsculas):
Condição Descrição
Você pode usar uma condição diferente especificando-a como um atributo. Isso exclui a
atividade de rede de processos com iexplore.exe em seu caminho:
XML
<NetworkConnect onmatch="exclude">
<Image condition="contains">iexplore.exe</Image>
</NetworkConnect>
XML
<NetworkConnect onmatch="exclude">
<Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>
Você pode usar regras de inclusão e exclusão para a mesma marca, em que a
substituição de regras de exclusão inclui regras. Dentro de uma regra, as condições de
filtro têm comportamento OR.
XML
<EventFiltering>
<RuleGroup name="group 1" groupRelation="and">
<ProcessCreate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<CommandLine condition="contains">100</CommandLine>
</ProcessCreate>
</RuleGroup>
<RuleGroup groupRelation="or">
<ProcessTerminate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<Image condition="contains">ping.exe</Image>
</ProcessTerminate>
</RuleGroup>
<ImageLoad onmatch="include"/>
</EventFiltering>
Executa em:
Autoruns
Veja quais programas são configurados para inicializar automaticamente quando o
sistema é inicializado e você faz login. O Autoruns também mostra a lista completa de
registros e locais de arquivos onde os aplicativos podem definir as configurações de
inicialização automática.
ClockRes
Exiba a resolução do relógio do sistema, que também é a resolução máxima do
temporizador.
Coreinfo
O Coreinfo é um utilitário de linha de comando que mostra o mapeamento entre os
processadores lógicos e o processador físico, o nó NUMA e o soquete em que residem,
bem como o cache atribuído a cada processador lógico.
Handle
Esse prático utilitário de linha de comando mostrará quais arquivos estão abertos por
quais processos e muito mais.
LiveKd
Utilize os depuradores de kernel da Microsoft para examinar um sistema ativo.
LoadOrder
Consulte a ordem na qual os dispositivos são carregados no seu sistema WinNT/2K.
LogonSessions
Listar as sessões de login ativas em um sistema.
PendMoves
Enumere a lista de comandos de renomeação e exclusão de arquivos que serão
executados na próxima inicialização.
Gerenciador de Processos
Descubra quais arquivos, chaves de registro e outros objetos os processos abriram,
quais DLLs eles carregaram e muito mais. Este utilitário excepcionalmente poderoso
mostrará a você quem é o proprietário de cada processo.
Process Monitor
Monitore o sistema de arquivos, o Registro, o processo, o thread e a atividade da DLL
em tempo real.
ProcFeatures
Esse applet informa o suporte do processador e do Windows para extensões de
endereço físico e proteção contra estouro de buffer sem execução.
PsInfo
Obtenha informações sobre um sistema.
PsLoggedOn
Mostrar usuários conectados a um sistema
PsTools
O pacote PsTools inclui utilitários de linha de comando para listar os processos em
execução em computadores locais ou remotos, executar processos remotamente,
reinicializar computadores, despejar logs de eventos e muito mais.
RAMMap
Um utilitário avançado de análise de uso de memória física que apresenta informações
de uso de diferentes maneiras em suas várias guias.
WinObj
O melhor visualizador de namespace do Gerenciador de Objetos está aqui.
ClockRes v2.1
Artigo • 07/10/2023
Introdução
Já se perguntou qual era a resolução do relógio do sistema, ou talvez a resolução
máxima do temporizador que seu aplicativo poderia obter? A resposta está em uma
função simples chamada GetSystemTimeAdjustment, e o miniaplicativo ClockRes executa
a função e mostra o resultado.
É executado em:
Introdução
O Coreinfo é um utilitário de linha de comando que mostra o mapeamento entre os
processadores lógicos e o processador físico, o nó NUMA e o soquete em que residem,
bem como o cache atribuído a cada processador lógico. Ele utiliza a função
GetLogicalProcessorInformation do Windows para obter essas informações e as
imprime na tela, representando um mapeamento para um processador lógico com um
asterisco, por exemplo, '*'. O Coreinfo é útil para obter informações sobre a topologia
do processador e do cache de seu sistema.
Instalação
Extraia o arquivo para um diretório e, em seguida, execute o Coreinfo digitando
Coreinfo no console a partir desse diretório em uma versão de 32 bits do Windows ou
Utilizando o CoreInfo
Para cada recurso, ele mostra um mapa dos processadores visíveis no sistema
operacional que correspondem aos recursos especificados, com '*' representando os
processadores aplicáveis. Por exemplo, em um sistema de 4 núcleos, uma linha na saída
do cache com um mapa compartilhado pelos núcleos 3 e 4.
Parâmetro Descrição
Saída do Coreinfo:
shell
Introdução
O LiveKD, um utilitário que escrevi para o CD incluído no Inside Windows 2000, 3ª
Edição, agora está disponível gratuitamente. O LiveKD permite executar os depuradores
do kernel da Microsoft Kd e Windbg, que fazem parte do pacote Ferramentas de
Depuração para Windows , localmente em um sistema ativo. Execute todos os
comandos do depurador que funcionam em arquivos de despejo de falhas para
examinar profundamente o sistema. Confira a documentação das Ferramentas de
Depuração para Windows e nosso livro para obter informações sobre como explorar um
sistema com os depuradores do kernel.
Instalação
Primeiro, faça o download e instale o pacote Ferramentas de Depuração para Windows
no site da Microsoft:
https://msdn.microsoft.com/library/windows/hardware/ff551063(v=vs.85).aspx
Se você não tiver instalado símbolos para o sistema no qual está executando o LiveKD, o
LiveKD perguntará se deseja configurar automaticamente o sistema para utilizar o
servidor de símbolos da Microsoft (confira a documentação das Ferramentas de
Depuração para Windows para obter informações sobre arquivos de símbolos e o
servidor de símbolos da Microsoft).
Utilizando o LiveKd
uso:
Parâmetro Descrição
-ml Gerar um despejo em tempo real utilizando suporte nativo (somente Windows 8.1 e
superior).
-mp Especifica um único processo cujo conteúdo da memória do modo de usuário deve
ser incluído em um despejo espelhado. Só funciona com a opção -m.
Executado em:
Introdução
Este miniaplicativo mostra a ordem em que um sistema Windows NT ou Windows 2000
carrega drivers do dispositivo. Observe que no Windows 2000, os drivers plug-and-play
podem ser carregados em uma ordem diferente da calculada, pois os drivers plug-and-
play são carregados sob demanda durante a detecção e a enumeração dos dispositivos.
É executado em:
) Importante
Introdução
O PsInfo é uma ferramenta de linha de comando que coleta informações importantes
sobre o sistema local ou remoto do Windows NT/2000, incluindo o tipo de instalação, o
build do kernel, a organização e o proprietário registrados, o número de processadores
e seu tipo, a quantidade de memória física, a data de instalação do sistema e, se for uma
versão de avaliação, a data de validade.
Instalação
Basta copiar PsInfo no caminho executável e digitar "psinfo".
Usando o PsInfo
Por padrão, o PsInfo mostra informações do sistema local. Especifique um nome de
computador remoto para obter informações de um sistema remoto. Como o PsInfo
depende do acesso remoto ao Registro para obter os dados, o sistema remoto deve
estar executando o serviço Registro Remoto e a conta a partir da qual você executa o
PsInfo deve ter acesso à parte HKLM\System do Registro remoto.
Para ajudar nas atualizações automatizadas do Service Pack, o PsInfo retorna o número
do sistema do Service Pack como um valor (por exemplo, 0 para nenhum service pack, 1
para SP 1 etc).
Parâmetro Descrição
-t O delimitador padrão para a opção -c é uma vírgula, mas pode ser substituído pelo
caractere especificado.
filter O Psinfo mostrará apenas os dados do campo que corresponde ao filtro. Por
exemplo, "psinfo service" lista apenas o campo do service pack.
Saída de exemplo
Shell
Como funciona
O PsInfo usa a API do Registro Remoto para ler informações do sistema do Registro do
sistema e o WMI para determinar se as instalações do Windows XP foram ativadas.
PsTools
Executado em:
Use o RAMMap para entender como o Windows gerencia a memória, para analisar o
uso da memória do aplicativo ou para responder a perguntas específicas sobre como a
RAM está sendo alocada. O recurso de atualização do RAMMap permite que você
atualize a exibição, além de ter suporte para salvar e carregar instantâneos de memória.
Para obter as definições dos rótulos que o RAMMap usa e para saber mais sobre os
algoritmos de alocação de memória física usados pelo gerenciador de memória do
Windows, consulte o Windows Internals, 5ª edição.
Links Relacionados
Livro Windows Internals A página oficial de atualizações e erratas do livro
definitivo sobre os componentes internos do Windows, por Mark Russinovich e
David Solomon.
Windows Sysinternals Administrator's Reference O guia oficial dos utilitários do
Sysinternals, escrito por Mark Russinovich e Aaron Margosis, incluindo descrições
de todas as ferramentas, seus recursos, como usá-las para solucionar problemas e
exemplos de casos de seu uso no mundo real.
É executado em:
Saiba mais
Ferramentas de Desfragmentação: nº 6 – RAMMap
Neste episódio de Ferramentas de Desfragmentação, Andrew Richards e Larry
Larsen abordam o uso do RAMMap para ver como a RAM está sendo usada e
analisam se houve alguma pressão de memória.
WinObj v3.14
Artigo • 09/08/2023
Introdução
O WinObj é uma ferramenta indispensável se você é um administrador do sistema
preocupado com a segurança, um desenvolvedor que rastreia problemas relacionados a
objetos ou apenas curioso sobre o namespace do Gerenciador de Objetos.
O WinObj é um programa que usa a API nativa do Windows (fornecida por NTDLL.DLL)
para acessar e exibir informações no namespace do Gerenciador de Objetos NT. O
Winobj pode parecer semelhante ao programa do SDK da Microsoft de mesmo nome,
mas a versão do SDK sofre de vários bugs significativos que o impedem de exibir
informações precisas (por exemplo, seu identificador e as informações de contagem de
referência estão totalmente desfeitos). Além disso, nosso WinObj entende muito mais
tipos de objeto. Por fim, a versão 3.0 do nosso WinObj tem aprimoramentos de
interface do usuário (incluindo um tema escuro), sabe como abrir objetos de dispositivo,
fornece atualizações dinâmicas quando objetos são criados/destruídos e permite
pesquisa e filtragem.
Instalação e Uso
Não há nenhum componente de driver de dispositivo no WinObj, portanto, você pode
executá-lo como qualquer programa Win32.
Como funciona
O Gerenciador de Objetos é responsável pelo gerenciamento de objetos NT. Como
parte dessa responsabilidade, ele mantém um namespace interno em que vários
componentes do sistema operacional, drivers de dispositivo e programas Win32 podem
armazenar e pesquisar objetos. A API NT nativa fornece rotinas que permitem que os
programas de modo de usuário procurem o namespace e consultem o status de objetos
localizados lá, mas as interfaces não estão documentadas.
Mais informações
Helen Custer, autora de Dentro do Windows NT, fornece uma boa visão geral do
namespace do Gerenciador de Objetos e a coluna de outubro de 1997 da Revista
WindowsITPro de Mark, "Dentro do Gerenciador de Objetos", é (é claro) uma
excelente visão geral.
Executado em:
AD Explorer
O Active Directory Explorer é um visualizador e editor avançado do Active Directory
(AD).
AdRestore
Restaurar objetos do Active Directory marcados para exclusão em domínios do Server
2003.
Autologon
Ignorar a tela de senha durante o login.
BgInfo
Esse programa totalmente configurável gera automaticamente planos de fundo da área
de trabalho que incluem informações importantes sobre o sistema, incluindo endereços
IP, nome do computador, adaptadores de rede e muito mais.
BlueScreen
Essa proteção de tela além de simular com precisão as telas azuis, também simula
reinicializações (completas com CHKDSK) e funciona no Windows Vista, Server 2008 e
superior.
Ctrl2cap
Esse é um driver de modo kernel que demonstra a filtragem de entrada do teclado logo
acima do driver de classe de teclado para transformar o Caps Lock em teclas de
controle. A filtragem nesse nível permite a conversão e a ocultação de chaves antes
mesmo do NT "vê-las". Ctrl2cap também mostra como usar NtDisplayString() para
imprimir mensagens na tela azul de inicialização.
DebugView
Outra novidade da Sysinternals: esse programa intercepta chamadas feitas ao DbgPrint
por drivers de dispositivo e ao OutputDebugString feitas por programas Win32. Permite
a visualização e a gravação da saída da sessão de depuração em seu computador local
ou na Internet sem um depurador ativo.
Desktops
Esse novo utilitário permite que você crie até quatro áreas de trabalho virtuais e use
uma interface de bandeja ou teclas de atalho para visualizar o que está em cada área de
trabalho e alternar facilmente entre elas.
Hex2dec
Converta números hexadecimais em decimais e vice-versa.
NotMyFault
O Notmyfault é uma ferramenta que você pode usar para falhar, travar e causar
vazamentos de memória do kernel no seu sistema Windows.
PsLogList
Despejar registros de log de eventos.
PsTools
O pacote PsTools inclui utilitários de linha de comando para listar os processos em
execução em computadores locais ou remotos, executar processos remotamente,
reinicializar computadores, despejar logs de eventos e muito mais.
RegDelNull
Verifique e exclua chaves do Registro que contenham caracteres nulos inseridos que, de
outra forma, não podem ser acessados pelas ferramentas padrão de edição do Registro.
RegJump
Vá para o caminho do registro especificado no Regedit.
Cadeias de caracteres
Pesquisar cadeias de caracteres ANSI e UNICODE em imagens binárias.
ZoomIt
Utilitário de apresentação para aplicar zoom e desenhar na tela.
BgInfo v4.32
Artigo • 05/08/2023
Introdução
Quantas vezes você percorreu um sistema em seu escritório e precisou clicar em várias
janelas de diagnóstico para se lembrar de aspectos importantes de sua configuração,
como seu nome, endereço IP ou versão do sistema operacional? Se você gerencia vários
computadores, provavelmente precisará de BGInfo. Ele exibe automaticamente
informações relevantes sobre um computador Windows em segundo plano da área de
trabalho, como o nome do computador, o endereço IP, a versão do service pack e muito
mais. Você pode editar qualquer campo, bem como as cores da fonte e da tela de
fundo, e pode colocá-lo em sua pasta de inicialização para que ele execute cada
inicialização ou até mesmo configurá-lo para exibição como a tela de fundo da tela de
logon.
Sysinternals BgInfo
Instalação e Uso
Consulte o artigo do Windows IT Pro MagazinePower Tools de Mark para obter uma
cartilha sobre como usar o BgInfo. Se você tiver dúvidas ou problemas, visite o Fórum
BgInfo do Sysinternals.
Se você quiser que o BGInfo edite ou use uma configuração armazenada em um arquivo
(em vez da configuração padrão armazenada no registro), especifique o nome do
arquivo na linha de comando:
BGInfo MyConfig.bgi
Botões de Aparência
Campos: Seleciona quais informações aparecem na área de trabalho e a ordem em que
elas são exibidas. Para campos de rede (NIC, IP, MAC etc.), uma entrada separada é
criada para cada rede cartão no sistema. Use o botão Personalizado para adicionar
informações especiais que você mesmo define.
Tela de Fundo: Seleciona a cor e/ou papel de parede a ser usado para a tela de fundo.
Se você selecionar a opção Copiar configurações existentes, o BGInfo usará todas as
informações selecionadas no momento pelo usuário conectado. Essa opção permite que
os usuários finais personalizem sua área de trabalho enquanto ainda exibem as
informações do BGInfo.
Posição: Seleciona o local na tela na qual colocar o texto. Se alguns itens forem muito
longos (por exemplo, alguns nomes de cartão de rede), você poderá usar o item Limitar
Linhas para encapsule-os. A caixa de seleção Compensar pela posição da Barra de
tarefas ajusta a posição do texto para garantir que ele não seja coberto pela Barra de
Tarefas. O botão Configuração de Vários Monitores permite que você especifique como
vários monitores anexados a um único console devem ser tratados.
Visualizar: Exibe a tela de fundo como ela aparecerá quando aplicada ao sistema.
Arquivo | Salvar como: Salva uma cópia da configuração do BGInfo atual em um novo
arquivo. Depois de criado, você pode fazer com que o BGInfo use o arquivo mais tarde
simplesmente especificando-o na linha de comando ou usando a opção de menu
Arquivo|Abrir.
Se preferir que o BGInfo atualize o banco de dados sem modificar o papel de parede do
usuário, desmarque todas as áreas de trabalho na caixa de diálogo Áreas de Trabalho;
BGInfo ainda atualizará o banco de dados.
Bitmap|256 Cores: Limita o bitmap a 256 cores. Essa opção produz um bitmap menor.
/popup Faz com que BGInfo crie uma janela pop-up contendo as informações
configuradas sem atualizar a área de trabalho. As informações são formatadas
exatamente como se fossem exibidas na área de trabalho, mas residem em
uma janela ajustada. Ao usar essa opção, o banco de dados de histórico não é
atualizado.
/taskbar Faz com que BGInfo coloque um ícone na área de status da barra de tarefas
sem atualizar a área de trabalho. Clicar no ícone faz com que as informações
configuradas apareçam em uma janela pop-up. Ao usar essa opção, o banco
de dados de histórico não é atualizado.
/all Especifica que BGInfo deve alterar o papel de parede para todos os usuários
atualmente conectados ao sistema. Essa opção é útil em um ambiente de
Serviços de Terminal ou quando BGInfo está agendado para ser executado
periodicamente em um sistema usado por mais de uma pessoa (consulte
Usando um agendamento abaixo).
/log Faz com que BGInfo escreva erros no arquivo de log especificado em vez de
gerar uma caixa de diálogo de aviso. Isso é útil para rastrear erros que ocorrem
quando BGInfo é executado no agendador.
/rtf Faz com que BGInfo escreva seu texto de saída em um arquivo RTF. Todas as
informações e cores de formatação estão incluídas.
Funciona no:
Introdução
Uma das cores mais temidas do mundo NT é o azul. A infame Tela Azul da Morte
(BSOD) aparecerá em um sistema NT sempre que algo der terrivelmente errado. O
Bluescreen é um protetor de tela que não apenas imita autenticamente um BSOD, mas
simulará telas de inicialização vistas durante uma inicialização do sistema.
O Bluescreen circula entre telas azuis diferentes e botas simuladas a cada 15 segundos
ou mais. Praticamente todas as informações mostradas no BSOD da Bluescreen e na tela
inicial do sistema são obtidas da configuração do sistema. Sua precisão enganará até
mesmo desenvolvedores NT avançados. Por exemplo, o número de build NT, a revisão
do processador, os drivers e endereços carregados, as características da unidade de
disco e o tamanho da memória são todos obtidos do sistema em que o Bluescreen está
sendo executado.
Instalação e Uso
Observação: antes de executar o Bluescreen no Windows 95 ou 98, você deve copiar
\winnt\system32\ntoskrnl.exe de um sistema Windows 2000 para o diretório \Windows.
Basta copiar Sysinternals BLUESCRN. SCR para o diretório \system32 se estiver no
Windows NT/2K ou no diretório \Windows\System se estiver no Windows 95 ou 98.
Clique com o botão direito do mouse na área de trabalho para abrir a caixa de diálogo
Exibir configurações e selecione a guia "Protetor de Tela". Use a lista de pull down para
localizar "Sysinternals Bluescreen" e aplicá-la como seu novo protetor de tela. Selecione
o botão "Configurações" para habilitar a atividade de disco falsa, o que adiciona um
toque extra de realismo!
Mais informações
Você pode descobrir como telas azuis reais são geradas e o que as informações na Tela
Azul significam na minha coluna NT Internals da Windows ITPro Magazine de
dezembro de 1997, "Inside the Blue Screen."
É executado em:
Introdução
CpuStres
O CpuStres é um utilitário que pode ser usado para simular a atividade da CPU
executando até 64 threads em um loop curto.
Nível de atividade Pode ser Baixo, Médio, Ocupado ou Máximo, que controla por
quanto tempo o thread permanece em repouso entre ciclos. Definir esse valor
como Máximo faz com que o thread seja executado continuamente.
Prioridade: controla a prioridade do thread. Confira o Windows Internals por Mark
Russinovich para mais detalhes sobre as prioridades de thread
Executado em:
Links Relacionados
Livro sobre os Componentes Internos do Windows A página oficial de
atualizações e erratas do livro definitivo sobre os componentes internos do
Windows, de Mark Russinovich e David Solomon.
Download
Baixar o CpuStres (2.2 MB)
Executar agora a partir do Sysinternals Live .
Ctrl2cap v2.0
Artigo • 08/08/2023
Introdução
O Ctrl2cap é um driver de dispositivo no modo kernel que filtra o driver de classe do
teclado do sistema para converter caracteres Caps Lock em caracteres Control. Pessoas
como eu, que migraram para o NT do UNIX, estão acostumadas a ter a tecla Control
localizada onde a tecla Caps Lock está no teclado padrão do computador e, portanto,
um utilitário como esse é essencial para o nosso bem-estar de edição.
Instalação e Uso
Instale o Ctrl2cap executando o comando "ctrl2cap /install" a partir do diretório no qual
você descompactou os arquivos do Ctrl2cap. Para desinstalar, digite "ctrl2cap /uninstall".
No Win2K, o Ctrl2cap é um driver de filtro do WDM que forma uma camada na pilha do
dispositivo de classe do teclado acima do dispositivo de classe do teclado. Trata-se de
um contraste com o exemplo do kbfiltr do DDK do Win2K, que aplica a si mesmo como
uma camada entre o dispositivo de porta i8042 e o dispositivo de classe do teclado.
Optei por colocar a camada em cima do dispositivo de classe do teclado por várias
razões:
Isso significa que o código de interceptação e manipulação do Ctrl2cap
IRP_MJ_READ é compartilhado entre as versões NT 4 e Win2K.
Não preciso fornecer um arquivo INF e fazer com que o usuário passe pelo
Gerenciador de Dispositivos para instalar o Ctrl2cap: simplesmente modifiquei o
valor apropriado do Registro (o valor
HKLM\System\CurrentControlSet\Control\Class UpperFilters dos dispositivos de
classe do teclado).
Como não o instalo com um arquivo INF por meio do Gerenciador de Dispositivos,
o usuário não é avisado de que o arquivo de driver do Ctrl2cap não é assinado
digitalmente pela Microsoft.
Mais informações
Para obter mais informações sobre como escrever drivers de filtro (drivers que se
anexam a outros drivers para que possam ver suas entradas e/ou saídas), aqui estão as
fontes que você deve conferir:
É executado em:
Introdução
O DebugView é um aplicativo que permite monitorar a saída da depuração no seu
sistema local ou em qualquer computador da rede que possa ser acessado via TCP/IP.
Ele é capaz de exibir a saída da depuração no modo kernel e Win32, de modo que não é
necessário um depurador para capturar a saída da depuração gerada por seus
aplicativos ou drivers de dispositivo, nem modificar seus aplicativos ou drivers para usar
APIs de saída de depuração não padrão.
Captura do DebugView
No Windows 2000, XP, Server 2003 e Vista, o DebugView capturará:
Win32 OutputDebugString
Modo kernel DbgPrint
Todas as variantes do modo kernel do DbgPrint implementadas no Windows XP e
Server 2003
Recursos do DebugView
O DebugView tem uma poderosa gama de recursos para controlar e gerenciar a saída
de depuração.
Suporte para Windows Server 2003 64-bit Edition e Windows XP 64-bit Edition
para x64:O DebugView agora captura a saída da depuração do modo kernel em
versões de 64 bits do Windows.
Alternância de tempo do relógio: agora é possível alternar entre os modos de
tempo do relógio e de tempo decorrido.
Salvar e carregar filtros: você pode salvar e carregar filtros, inclusive as cores de
realce.
Carregamento de registros salvos: agora é possível carregar um arquivo de log
novamente na janela de saída do DebugView.
Captura da saída da depuração do modo kernel no momento da inicialização: no
Windows 2000, você pode utilizar o DebugView para capturar a saída da
depuração gerada pelos drivers desde o primeiro momento do processo de
inicialização.
Aqui está uma lista que destaca alguns dos outros recursos do DebugView:
Instalação e Uso
Basta executar o arquivo do programa DebugView (dbgview.exe) e o DebugView
começará imediatamente a capturar a saída da depuração. Observe que, se você
executar o DebugView no Windows 2000/XP, deverá ter privilégios administrativos para
exibir a saída da depuração no modo kernel. Menus, teclas de atalho ou botões da barra
de ferramentas podem ser utilizados para limpar a janela, salvar os dados monitorados
em um arquivo, pesquisar a saída, alterar a fonte da janela e muito mais. A ajuda online
descreve todos os recursos do DebugView.
Introdução
O utilitário Desktops permite organizar seus aplicativos em até quatro áreas de trabalho
virtuais. Leia emails em um, navegue pela Web no segundo e trabalhe em seu software
de produtividade no terceiro, sem a confusão das janelas que você não está usando.
Depois de configurar as teclas de acesso para alternar áreas de trabalho, você pode criar
e alternar áreas de trabalho clicando no ícone da bandeja para abrir uma janela de
visualização e alternância de áreas de trabalho ou usando as teclas de acesso.
Usando o Desktops
Ao contrário de outros utilitários de área de trabalho virtual que implementam suas
áreas de trabalho mostrando as janelas que estão ativas em uma área de trabalho e
ocultando o restante, o Sysinternals Desktops usa um objeto de área de trabalho do
Windows para cada área de trabalho. As janelas do aplicativo são associadas a um
objeto de área de trabalho quando são criadas, portanto, o Windows mantém a
conexão entre janelas e áreas de trabalho e sabe quais serão mostradas quando você
alternar uma área de trabalho. Isso torna o Sysinternals Desktops muito leve e livre dos
bugs aos quais a outra abordagem é propensa, onde a exibição de janelas ativas se
torna inconsistente com as janelas visíveis.
Captura de tela
Executado em:
Introdução
Cansado de executar Calc para converter hexadecimal em decimal? Agora você pode
usar esse simples utilitário de linha de comando.
É executado em:
Introdução
O Notmyfault é uma ferramenta que você pode usar para falhar, travar e causar
vazamentos de memória do kernel no seu sistema Windows. É útil para aprender a
identificar e diagnosticar problemas de driver e hardware de dispositivo, e você também
pode usá-lo para gerar arquivos de despejo de tela azul nos sistemas com
comportamento inadequado. O arquivo de download inclui versões de 32 bits e de 64
bits, bem como uma versão de linha de comando que funciona no Nano Server. O
Capítulo 7 no Windows Internals usa o Notmyfault para demonstrar a solução de
problemas de vazamento de pool e o Capítulo 14 o usa como exemplos de análise de
falhas.
Capturas de tela
Uso
Você pode usar as versões da GUI ou a versão da linha de comando. o Notmyfault
requer privilégios administrativos.
Uso:
Shell
crash type:
0x01: High IRQL fault (Kernel-mode)
0x02: Buffer overflow
0x03: Code overwrite
0x04: Stack trash
0x05: High IRQL fault (User-mode)
0x06: Stack overflow
0x07: Hardcoded breakpoint
0x08: Double Free
Shell
hang type:
0x01: Hang with IRP
0x02: Hang with DPC
Introdução
Os administradores de sistemas que gerenciam contas administrativas locais em vários
computadores regularmente precisam alterar a senha da conta como parte das práticas
de segurança padrão. O PsPasswd é uma ferramenta que permite que você altere uma
senha de conta nos sistemas locais ou remotos, permitindo que os administradores
criem arquivos nos lotes que executam o PsPasswd nos computadores que gerenciam
para executar uma alteração em massa da senha do administrador.
O PsPasswd usa APIs de redefinição de senha do Windows, portanto, não envia senhas
pela rede de forma clara.
Instalação
Basta copiar o PsPasswd no caminho executável e digitar "pspasswd" com a sintaxe de
linha de comando mostrada abaixo.
Usando o PsPasswd
Você pode usar o PsPasswd para alterar a senha de uma conta local ou de domínio no
computador local ou remoto.
Parâmetro Descrição
NewPassword Nova senha. Se uma senha NULL for omitida, será aplicada.
PsTools
O PsFile faz parte de um kit crescente de ferramentas de linha de comando do
Sysinternals que auxiliam na administração de sistemas locais e remotos chamados de
PsTools.
É executado em:
Introdução
O PsShutdown é um utilitário de linha de comando semelhante ao utilitário de
desligamento do Kit de Recursos do Windows 2000, mas com a capacidade de fazer
muito mais. Além de dar suporte às mesmas opções de desligamento ou reinicialização
do computador local ou remoto, o PsShutdown pode fazer logoff do usuário do console
ou bloquear o console (o bloqueio requer o Windows 2000 ou superior). O PsShutdown
não requer nenhuma instalação manual do software cliente.
Instalação
Basta copiar o PsShutdown no caminho do executável e digitar psshutdown com as
opções de linha de comando definidas abaixo.
Usando o PsShutdown
Confira na edição de fevereiro de 2005 da revista Windows IT Pro o artigo do Mark
(https://www.windowsitpro.com/article/articleid/44973/44973.html) que aborda o uso
avançado do PsKill).
Parâmetro Descrição
-d Suspender o computador.
Especifique "u" para códigos de motivo do usuário e "p" para códigos de motivo de
desligamento planejado.
-h Hibernar o computador.
-l Bloquear o computador.
-m Essa opção permite que você especifique uma mensagem a ser exibida para
usuários conectados quando uma contagem regressiva de desligamento for
iniciada.
PsTools
Executado em:
Introdução
O RDCMan gerencia várias conexões de área de trabalho remota. É útil para gerenciar
laboratórios de servidor em que você precisa de acesso regular a cada computador,
como sistemas de check-in automatizados e data centers.
Observação de atualização: os arquivos RDG com esta versão do RDCMan não são
compatíveis com versões mais antigas do programa. Qualquer arquivo RDG herdado
aberto e salvo com esta versão será copiado em backup como filename.old
A tela
A tela Gerenciador de Conexões da Área de Trabalho Remota consiste no menu, uma
árvore com grupos de servidores, uma barra de divisor e uma área de cliente.
O Menu
Há vários menus de nível superior no RDCMan:
A Árvore
A maioria dos trabalhos, como adicionar, remover e editar servidores e grupos, pode ser
realizada por meio do clique com o botão direito do mouse em um nó de árvore.
Servidores e grupos podem ser movidos usando arrastar e soltar.
Atalhos de teclado:
A área do cliente
A exibição da área do cliente depende do nó selecionado na árvore. Se um servidor for
selecionado, a área de cliente mostrará o cliente de área de trabalho remota para esse
servidor. Se um grupo for selecionado, a área do cliente mostrará uma miniatura dos
servidores dentro desse grupo. O tamanho da área do cliente pode ser especificado por
meio do menu Exibir, bem como redimensionar a janela RDCMan. Use [Tamanho da
janela View.Lock] para impedir que a janela seja redimensionada arrastando o quadro.
Teclas de Atalho
Você pode encontrar a lista completa de teclas de atalho dos Serviços de Terminal aqui.
Alguns deles podem ser configurados na guia Teclas de Acesso.
Arquivos
A unidade de nível superior da organização no RDCMan é um grupo de arquivos da
área de trabalho remota. Grupos de arquivos são coleções de grupos e/ou servidores
armazenados em um único arquivo físico. Os servidores não podem viver fora de um
grupo e os grupos não podem viver fora de um arquivo.
Grupos
Um grupo contém uma lista de servidores e informações de configuração, como
credenciais de logon. As definições de configuração podem ser herdadas de outro
grupo ou os padrões do aplicativo. Os grupos podem ser aninhados, mas são
homogêneos: um grupo pode conter grupos ou servidores, mas não ambos. Todos os
servidores em um grupo podem ser conectados ou desconectados de uma só vez.
Grupos Inteligentes
Os grupos inteligentes são preenchidos dinamicamente com base em um conjunto de
regras. Todos os ancestrais dos grupos irmãos do grupo inteligente são elegíveis para
inclusão.
Servidores
Um servidor tem um nome de servidor (nome de rede ou endereço IP do computador),
um nome de exibição opcional e informações de logon. As informações de logon
podem ser herdadas de outro grupo.
Exemplos:
txt
Server1
SecondServer
YANS
Todos os servidores são importados para o mesmo grupo com as mesmas preferências.
Se um servidor for importado com o mesmo nome de um servidor existente, as
preferências do servidor existente serão atualizadas para os novos.
Conexões Ad Hoc
As conexões de servidor ad hoc podem ser criadas por meio do recurso
[Session.Connect to]. Esses servidores serão adicionados ao Grupo Virtual Conectar-se a.
A partir daí, eles podem ser convertidos em servidores reais movendo-os para um
grupo criado pelo usuário. Os servidores restantes no grupo Conectar-se a não são
persistidos quando o RDCMan é encerrado.
Microsoft Azure
Na guia [Configurações de Conexão], insira o nome da função e o nome da instância
de função na configuração De balanceamento de carga, conforme descrito aqui, por
exemplo, Cookie:
mstshash=MyServiceWebRole#MyServiceWebRole_IN_0#Microsoft.WindowsAzure.Plugins.Remo
teAccess.Rdp
Ações de sessão
Durante uma sessão, o foco pode ser liberado para outra sessão ou a árvore do
servidor.
Opções globais
O item de menu [Tool.Options] abre a caixa de diálogo Opções. As configurações
globais, por exemplo, o tamanho da área do cliente, são modificáveis a partir daqui. A
maioria das opções relacionadas ao servidor, por exemplo, teclas de acesso e aquelas na
página de experiência, não entrará em vigor até a próxima vez que o servidor estiver
conectado.
Geral
Ocultar main menu até alt pressionado
O menu main pode ficar oculto até que a tecla ALT seja pressionada ou a janela legenda
área seja clicada com o botão esquerdo do mouse.
Árvore
Clicar para selecionar dá foco ao cliente remoto
Ao selecionar um nó no controle de árvore do servidor com um clique do mouse, o
comportamento padrão é manter o foco no controle de árvore. Há uma opção para
alterar isso para se concentrar no servidor selecionado.
Diminuir nós quando o controle de árvore estiver inativo
O RDCMan pode esmaecer o controle de árvore quando ele estiver inativo. Isso
apresenta uma distinção visual mais óbvia do foco do teclado.
Área do Cliente
Tamanho da área do cliente
Essa opção redimensiona a área de cliente da janela RDCMan. As opções também estão
disponíveis no menu [Exibir.Tamanho do cliente] .
Teclas de Atalho
Muitas das teclas de acesso da área de trabalho remota são configuráveis. No entanto,
há um mapeamento limitado. Por exemplo, se a chave padrão for ALT-something, a
substituição também deverá ser ALT-something. Para alterar uma tecla de acesso,
navegue até a caixa de texto da tecla de acesso e pressione a nova tecla "algo".
Experiência
Dependendo da largura de banda disponível em seu computador, você desejará limitar
os recursos da interface do usuário do Windows para melhorar o desempenho. A lista
suspensa de velocidade de conexão pode ser usada para definir todas as opções juntas
ou podem ser personalizadas individualmente. Os recursos são: telas de fundo da área
de trabalho, mostrando o conteúdo completo da janela ao arrastar, animação de menu
e janela e temas do Windows.
Tela inteira
Mostrar barra de conexão em tela inteira
Ocultar automaticamente a barra de conexão
Quando um servidor é exibido no modo de tela inteira, o controle activeX da área de
trabalho remota fornece uma barra de conexão de interface do usuário na parte
superior da janela. Essa barra pode ser ativada e desativada. Quando estiver ativado,
você poderá optar por fixá-lo ou ocultar automaticamente.
Opções locais
Grupos e servidores têm várias páginas de propriedades com guias com várias opções
de personalização. Muitas dessas páginas são comuns a grupos e servidores. Quando a
caixa de marcar "Herdar do pai" é marcada, as configurações a seguir são herdadas do
contêiner pai. A maioria das alterações relacionadas ao servidor, por exemplo, o
tamanho da área de trabalho remota, não entrará em vigor até a próxima vez que o
servidor estiver conectado.
Configurações de Arquivo
Esta página aparece apenas para as propriedades de um arquivo. Ele contém opções
para o nome do grupo do arquivo, mostra o caminho completo para o arquivo (que não
pode ser editado) e tem um campo de comentário.
Configurações de Grupo
Esta página aparece apenas para as propriedades de um grupo. Ele contém opções para
o nome do grupo, o aninhamento pai e um comentário.
Configurações do Servidor
Esta página aparece apenas para as propriedades de um servidor. Ele contém opções
para o nome do servidor, seu nome de exibição, aninhamento pai e um comentário. As
máquinas virtuais do SCVMM podem ser conectadas via RDP no host usando a opção
de conexão do console da VM. Use o comando do PowerShell:
PowerShell
get-vm | ft ElementName,Name,Id
para determinar a ID correspondente à VM.
Credenciais de logon
A página de propriedades Credenciais de Logon contém opções relativas ao logon
remoto. O nome de usuário, a senha e o domínio são definidos nesta página. O domínio
e o nome de usuário podem ser especificados juntos usando o formato domain\user.
Ao fazer logon em um computador "domínio" em vez de um domínio do Windows,
você pode especificar [servidor] ou [exibição]. Este primeiro será substituído pelo nome
do servidor, este último pelo nome de exibição, no momento do logon. É útil quando
você tem um grupo de computadores que exigem logon como administrador. As
Configurações de Logon inseridas nas páginas de propriedades são usadas por padrão
para novas conexões. Se você quiser personalizar temporariamente essas configurações
para uma nova conexão, conecte-se usando o item de menu Conectar como.
Configurações do gateway
A página de propriedades Configurações do Gateway tem opções para usar um Servidor
de Gateway do TS. As opções nome do gateway, método de autenticação e bypass de
endereço local estão nesta página. Os usuários de sistemas operacionais a partir do
Vista SP1 e do servidor Longhorn terão opções adicionais sobre credenciais de logon:
Configurações de conexão
A guia Configurações de Conexão inclui configurações para personalizar como uma
sessão está conectada e o que acontece no logon.
Você pode especificar se a sessão do console deve ser conectada, bem como a porta de
conexão da área de trabalho remota.
Recursos locais
Vários recursos do servidor remoto podem ser entregues ao cliente. O som do
computador remoto pode ser reproduzido localmente, reproduzido remotamente ou
totalmente desabilitado. As combinações de teclas do Windows (por exemplo, aquelas
que envolvem a chave real do Windows, bem como outros especiais como Alt+Tab)
podem ser aplicadas sempre ao computador cliente, sempre ao computador remoto ou
ao cliente quando janelas e ao computador remoto quando estiver no modo de tela
inteira. Os recursos de unidade, porta, impressora, smart cartão e área de transferência
do cliente podem ser compartilhados automaticamente com o computador remoto.
Configurações de segurança
Você pode especificar se a autenticação do computador remoto é necessária antes que
uma conexão seja estabelecida.
Configurações de Exibição
As configurações de exibição em miniatura são personalizáveis nesta página.
A primeira opção é: escala em miniatura. Isso especifica quantas unidades em miniatura
alocar para a exibição de um determinado servidor. Todos os servidores padrão para
uma escala de 1. Você pode alterar isso para aumentar a exibição de servidores
importantes. Por exemplo, um servidor pode ser dimensionado em 3 ou 5 tornando a
sessão remota bastante utilizável na tela em miniatura, permitindo ainda uma exibição
de muitos outros servidores. Essa é a única opção para servidores.
Configurações de Criptografia
O RDCMan pode criptografar as senhas armazenadas em arquivos com as credenciais
do usuário local por meio de CryptProtectData ou de um certificado X509. A guia
Configurações de Criptografia está disponível nas caixas de diálogo Configurações de
Grupo Padrão e Configurações de Arquivo.
Certificados pessoais do usuário atual que têm uma chave privada estão disponíveis
para criptografia. Você pode criar esse certificado da seguinte maneira:
PowerShell
Isso criará um certificado chamado " MyRDCManCert " no repositório certificados pessoais
do usuário atual. Para instalar esse certificado em outro computador, você deve
exportá-lo com a chave privada.
Gerenciamento de Perfil
Os perfis de credencial podem ser adicionados, editados e removidos dessa guia.
Linha de Comando
Por padrão, o RDCMan abrirá os arquivos que foram carregados no momento do último
desligamento do programa. Você pode substituir isso especificando um arquivo (ou
arquivos) explicitamente na linha de comando RDCMan. Além disso, as seguintes
opções são aceitas:
ambiente vazio.
/c server1[,server2...] – conectar servidores especificados
Localizar servidores
Há uma caixa de diálogo para localizar servidores acessados por meio de Ctrl+F ou do
comando Edit.Find (servidores). Todos os servidores que correspondem a um padrão de
expressão regular são exibidos na caixa de diálogo e podem ser ativados por meio de
um menu de contexto. O padrão é correspondido com o nome completo
( group\server ).
Perfis de credencial
Os perfis de credencial armazenam credenciais de logon globalmente para RDCMan ou
em um arquivo. Isso permite usar as mesmas credenciais armazenadas entre grupos que
não têm um ancestral comum. Um cenário de uso é armazenar credenciais usadas para
fazer logon em servidores e gateways em um único local. Quando uma senha é alterada,
ela pode ser editada uma vez. Outro cenário é ao compartilhar arquivos RDG em um
grupo. Em vez de armazenar senhas no arquivo (o que teria problemas devido à
natureza específica do usuário usada pelo RDCMan de criptografia), um perfil é criado,
como "Eu", que cada usuário define em seu repositório Global.
Políticas
RDCMan recupera informações de política da chave do
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\RDCMan Registro.
DisableLogOff – Crie esse DWORD valor como diferente de zero para desabilitar o
Perguntas frequentes
Como fazer usar credenciais de cartão inteligente para fazer logon?
Recebo um erro ao me conectar por meio de um gateway, como Erro 50331656. Por
quê?
Baixar
Baixar Gerenciador de Conexões de Área de Trabalho Remota (530 KB)
Execute agora no Sysinternals Live .
Executa em:
Introdução
Esse utilitário de linha de comando procura e permite excluir chaves do Registro que
contenham caracteres nulos inseridos e que, de outra forma, não podem ser excluídos
pelas ferramentas padrão de edição do Registro. Observação: a exclusão de chaves do
Registro pode causar falha nos aplicativos aos quais elas estão associadas.
Usando o RegDelNull
Uso: regdelnull <path> [-s]
Parâmetro Descrição
-s Recursar em subchaves.
Shell
Funciona no:
Cliente: Windows Vista (32 bits) e superior
Servidor: Windows Server 2008 (32 bits) e superior
Servidor Nano: 2016 e superior
Uso do Registro (RU) v1.2
Artigo • 04/08/2023
Introdução
O Ru (uso do registro) informa o uso do espaço do registro na chave de registro que
você especificou. Por padrão, ele recursa subchaves para mostrar o tamanho total de
uma chave e de suas subchaves.
uso: ru [-c[t]] [-l <níveis> | -n | -v] [-q] -h <arquivo de colmeia> [caminho relativo]
Parâmetro Descrição
-n Não recurse.
Path,CurrentValueCount,CurrentValueSize,ValueCount,KeyCount,KeySize,WriteTime
Introdução
Uma diferença sutil, mas significativa entre a API Win32 e a API Nativa (consulte Dentro
da API Nativa para obter mais informações dessa interface em grande parte não
documentada) é a maneira como os nomes são descritos. Nas cadeias de caracteres da
API Win32, são interpretadas como cadeias de caracteres ANSI (8 bits) ou caractere
largo (16 bits). Nos nomes da API Nativa, são contadas as cadeias de caracteres Unicode
(16 bits). Embora essa distinção geralmente não seja importante, ela deixa em aberto
uma situação interessante: há uma classe de nomes que pode ser referenciada usando a
API Nativa, mas que não pode ser descrita usando a API Win32.
É executado em:
Introdução
Esse pequeno miniaplicativo de linha de comando usa um caminho de registro e torna o
Regedit aberto para esse caminho. Ele aceita chaves raiz no padrão (por exemplo,
HKEY_LOCAL_MACHINE) e a forma abreviada (por exemplo, HKLM).
Parâmetro Descrição
Introdução
Trabalhar no NT e no Win2K significa que os arquivos executáveis e de objeto muitas
vezes têm cadeias de caracteres UNICODE incorporadas que você não consegue conferir
facilmente com um programa padrão de cadeias de caracteres ASCII ou grep. Por isso,
decidimos criar o nosso próprio programa. O Strings apenas verifica se há cadeias de
caracteres UNICODE (ou ASCII) no arquivo que você passar para ele, com um
comprimento padrão de 3 ou mais caracteres UNICODE (ou ASCII). Observe que ele
também funciona no Windows 95.
Uso do Strings
Uso:
strings [-a] [-f offset] [-b bytes] [-n length] [-o] [-q] [-s] [-u] <file or
directory>
Parâmetro Descrição
-s Recursar subdiretórios
Executado em:
Introdução
O Testlimit é um utilitário de linha de comando que pode ser usado para testar seu
computador e/ou aplicativos por estresse simulando condições de recursos limitados
para memória, identificadores, processos, threads e outros objetos do sistema.
uso: Testlimit [[-h [-u]] | [-p [-n]] | [-t [-n [KB]]] | [-u [-i]] | [-g [object size]] | [-a|-d|-l|-
m|-r|-s|-v [MB]] | [-w]] [-c [count]] [-e [seconds]]
Parâmetro Descrição
-a Vazar a memória das Extensões de Janela de Endereço (AWE) nos MBs especificados
(o padrão é 1)
-t Criar threads: adicione -n para especificar a reserva de pilha mínima (em KB)
É executado em:
Links Relacionados
Livro sobre os Componentes Internos do Windows A página oficial de
atualizações e erratas do livro definitivo sobre os componentes internos do
Windows, de Mark Russinovich e David Solomon.
Referência do Administrador do Windows Sysinternals O guia oficial dos
utilitários Sysinternals, por Mark Russinovich e Aaron Margosis, incluindo
descrições de todas as ferramentas, seus recursos, como usá-las para solucionar
problemas e exemplos de casos de seu uso no mundo real.
Download
Baixar o Testlimit (234 KB)
Executar agora a partir do Sysinternals Live .
ZoomIt v7.1
Artigo • 10/08/2023
https://www.microsoft.com/pt-br/videoplayer/embed/RE55yQm?
autoplay=true&loop=true&controls=false&postJsllMsg=true&autoCaptions=pt-br
Introdução
O ZoomIt é uma ferramenta de zoom, anotação e gravação de tela para apresentações
técnicas e demonstrações. Você também pode usar o ZoomIt para capturar capturas de
tela na área de transferência ou em um arquivo. O ZoomIt é executado discretamente
na bandeja e é ativado com teclas de atalho personalizáveis para ampliar uma área da
tela, mover-se enquanto estiver ampliado e desenhar na imagem ampliada. Eu escrevi o
ZoomIt para atender às minhas necessidades específicas e o uso em todas as minhas
apresentações.
O ZoomIt funciona em todas as versões do Windows e você pode usar entrada de toque
e caneta para desenhar com o ZoomIt em tablets.
Usar o ZoomIt
A primeira vez que você executar o ZoomIt, ele apresentará uma caixa de diálogo de
configuração que descreve o comportamento do ZoomIt. Isso permitirá que especifique
teclas de atalho alternativas para zoom e para entrar no modo de desenho sem aplicar
zoom, e personalizar a cor e o tamanho da caneta de desenho. Uso a opção desenhar
sem aplicar zoom para anotar a tela em sua resolução nativa, por exemplo. O ZoomIt
também inclui um recurso de temporizador de interrupção que permanece ativo mesmo
quando você se afasta da janela do temporizador e permite que você retorne à janela
do temporizador clicando no ícone da bandeja ZoomIt.
Atalhos
O ZoomIt oferece vários atalhos que podem estender muito seu uso.
Função Atalho
Interromper Desenho (Enquanto Estiver no Modo Zoom) Clicar com o Botão Direito
do Mouse
Caneta Vermelha R
Caneta Verde G
Caneta Azul B
Caneta Amarela S
Caneta Laranja O
Caneta Rosa P
Recortar Gravação em Tela Inteira Salva como MP4 (Atualização de Ctrl + Shift + 5
Maio de 2019 para Windows 10 e Superior)
Gravar Tela Apenas da Janela Sobre a Qual o Cursor do Mouse Ctrl + Alt + 5
está Posicionado e Salvar como MP4 (Atualização de Maio de
2019 para o Windows 10 e superior)
Introdução
Os utilitários de solução de problemas do Sysinternals foram agrupados em um único
conjunto de ferramentas. Esse arquivo contém as ferramentas individuais de solução de
problemas e arquivos de ajuda. Não contém ferramentas que não sejam de solução de
problemas, como a Proteção de Tela BSOD.
Pacote Sysinternals
Versão 2023.10
18 de outubro de 2023
Uso
Como a maioria dos outros pacotes MSIX, o Sysinternals Suite é instalado por usuário, mas os
binários são armazenados em um local seguro e compartilhados pelos usuários. Ferramentas
gráficas, como o Gerenciador de Processo, são adicionadas ao menu Iniciar do Windows.
Começando com Windows 11, eles são agrupados em uma pasta do Sysinternals Suite
(propriedade do VisualGroup).
7 Observação
Arquitetura do processador
O pacote MSIX contém pacotes separados para ARM64, x64 e x86.
Somente o pacote correspondente ao sistema operacional é baixado e instalado.
Os executáveis empacotados não têm um sufixo ('64' para x64, '64a' para ARM64).
Por exemplo, procexp.exe em x64 é o mesmo que o procexp64.exe não empacotado.
Comunidade Sysinternals
Artigo • 04/08/2023
Siga no Twitter
Follow @Sysinternals
Follow @MarkRussinovich
Manuais
Livro Windows Internals
A página oficial de atualizações e erratas do livro definitivo sobre os componentes
internos do Windows, por Mark Russinovich e David Solomon.
Artigos
Dentro do Kernel do Windows Vista: Parte 1
Dentro do Kernel do Windows Vista: Parte 2
Dentro do Kernel do Windows Vista: Parte 3
Dentro do Controle de Conta de Usuário do Windows Vista
Dentro das Alterações do Kernel do Windows Server 2008
Vídeos e Webcasts
Sysinternals@25
Encontre todos os vídeos deste evento especial:
Webcasts de Mark
Duas dúzias de apresentações mais bem avaliadas de Mark no Sysinternals, nos internos
do Windows e no Windows Azure estão disponíveis para exibição sob demanda.
Obtenha dicas e técnicas sobre como usar as ferramentas do Sysinternals para
solucionar problemas diretamente de seu autor.
Boletim informativo
Boletins informativos da Sysinternals
Webcasts de Mark
Artigo • 09/08/2023
Assista às gravações gratuitas sob demanda das apresentações mais bem avaliadas de
Mark na TechEd, BUILD e outras conferências sobre Azure, segurança, solução de
problemas do Windows e busca de malware. Se tiver alguma dúvida sobre um tópico de
qualquer um desses webcasts, visite o Fórum da Sysinternals para obter respostas e
ajuda de outros usuários e de nossos moderadores.
O Caso do Inexplicável
O Caso do Inexplicável 2016
O Caso do Inexplicável 2015
O Caso do Inexplicável 2014
O Caso do Inexplicável 2013
O Caso do Inexplicável 2012
O Caso do Inexplicável 2011
O Caso do Inexplicável 2010
"O Caso do..." de Mark As postagens do blog do Mark ganham vida nestes
webcasts gravados de suas sessões do TechEd com a melhor classificação. Saiba
como solucionar os problemas mais difíceis do Windows e de aplicativos,
assistindo o Mark utilizar a Sysinternals e outras ferramentas avançadas para
resolver exemplos do mundo real. Não deixe de conferir todos os webcasts, pois
eles incluem exemplos de solução de problemas totalmente diferentes e
demonstram técnicas diferentes.
Microsoft Azure
A próxima geração da Plataforma de Computação do Azure Saiba como se
integrar ao Azure Resource Manager (ARM) para habilitar o controle de acesso
baseado em função (RBAC), marcações e implantações baseadas em modelos, e
como os contêineres do Windows com compatibilidade com o Docker fazem com
que seu código seja implantado instantaneamente e funcione de forma
consistente em qualquer ambiente. Saiba também como o Service Fabric, a PaaS
de microsserviços de hiperescala da Microsoft, que alimenta tudo, desde o banco
de dados do Azure até a Cortana, traz aos aplicativos recursos de última geração
de alta densidade, alta disponibilidade e computação com estado.
Por Mark Russinovich e Mark Minasi sobre a computação na nuvem Junte-se a
Mark Russinovich e Mark Minasi em uma animada discussão em que eles
compartilham suas visões sobre a ruptura da computação em nuvem e o que isso
significa para os profissionais de TI e desenvolvedores. Mark Russinovich traz sua
perspectiva de líder da arquitetura do Microsoft Azure e Mark Minasi traz sua
expertise em TI e visão de fora.
Segurança na nuvem pública: Sobrevivendo em um ambiente hostil de vários
locatários O aumento da computação na nuvem pública trouxe consigo um
novo conjunto de considerações de segurança que não são amplamente
compreendidas. Com uma perspectiva única de trabalhar nos sistemas de
segurança de uma nuvem pública, Mark descreve as ameaças ao provedor de
serviços de nuvem pública e ao cliente da nuvem, incluindo pessoas mal-
intencionadas, tecnologia compartilhada, violações de dados e perda de dados.
Para cada uma delas, ele avalia os riscos e explora o valor das mitigações, como
criptografia em repouso, criptografia em trânsito e outras melhores práticas de
segurança, separando o hype da realidade para que você possa tomar decisões
informadas à medida que sua organização migra para a nuvem.
Mark Russinovich e Mark Minasi sobre computação em nuvem
(https://channel9.msdn.com/events/teched/northamerica/2014/dcim-b386)) Junte-
se a Mark Russinovich e Mark Minasi em uma animada discussão enquanto eles
compartilham suas exibições sobre a ruptura da computação em nuvem e o que
isso significa para os profissionais de TI e desenvolvedores. Mark Russinovich traz
sua perspectiva de líder da arquitetura do Microsoft Azure e Mark Minasi traz sua
expertise em TI e visão de fora. A economia da nuvem pública, o futuro da PaaS e
da IaaS, como as empresas farão a ponte entre seus ambientes locais e a nuvem,
como você deve considerar a segurança na nuvem pública e quais habilidades são
importantes para os profissionais de TI e desenvolvedores são apenas algumas das
áreas que eles exploram juntos.
Serviços de infraestrutura no Microsoft Azure: máquinas virtuais e redes virtuais
(https://channel9.msdn.com/events/teched/northamerica/2013/mdc-b212)) Essa
sessão apresenta uma visão geral dos novos serviços de infraestrutura do
Windows Azure (IaaS), incluindo suporte para máquinas virtuais persistentes do
Windows Server e do Linux, novos recursos de rede para aplicativos híbridos e
conectividade local/nuvem e suporte para aplicativos que consistem em funções
de PaaS e IaaS. Mark explica como a IaaS se encaixa no Windows Azure para
estender os aplicativos de servidor existentes para a nuvem e mostra
demonstrações de implantações de VMs de IaaS e aplicativos complexos com
várias VMs.
Aspectos internos do Microsoft Azure Mark Russinovich analisa os bastidores do
sistema operacional do datacenter da Microsoft. Destinada a desenvolvedores que
já colocaram a mão na massa com o Windows Azure e entendem seus conceitos
básicos, essa sessão oferece uma visão interna do projeto arquitetônico da
plataforma de computação do Windows Azure. Saiba como é a arquitetura do data
center da Microsoft, o que acontece nos bastidores quando você implanta e
atualiza um aplicativo do Windows Azure e como ele monitora e responde à
integridade dos computadores, de seus próprios componentes e dos aplicativos
que hospeda.
Introdução ao Microsoft Azure: o sistema operacional em nuvem Junte-se a Mark
Russinovich para uma visão geral do novo sistema operacional em nuvem da
Microsoft. Partindo do princípio de que não há conhecimento prévio do Windows
Azure, esta sessão começará explicando a filosofia de aplicativos da plataforma
como serviço (PaaS) do Windows Azure e como ela difere da dos aplicativos de
servidor tradicionais. Em seguida, demonstrando os principais conceitos com um
serviço real do Windows Azure interno e implantado na nuvem, descreveremos o
modelo de serviço do Windows Azure, incluindo conceitos como atualização e
domínios de falha. A sessão será concluída com uma discussão sobre as diferentes
opções de atualização de serviços e detalhará as etapas de recuperação que o
Windows Azure segue quando detecta a falha de um serviço ou de um dispositivo
de hardware.
Por dentro do Microsoft Azure: o sistema operacional em nuvem Mark Russinovich
analisa o novo sistema operacional em nuvem da Microsoft. Destinada a
desenvolvedores que já colocaram a mão na massa com o Windows Azure e
entendem seus conceitos básicos, essa sessão oferece uma visão interna do
projeto arquitetônico da plataforma de computação do Windows Azure. Você
saberá como funciona a arquitetura do data center da Microsoft, o que acontece
nos bastidores quando você implanta e atualiza um aplicativo do Windows Azure e
como ele monitora e responde à integridade das máquinas, de seus próprios
componentes e dos aplicativos que hospeda.
Channel9: MarkRussinovich: Microsoft Azure, sistemas operacionais em nuvem e
plataformas como serviço Mark fala sobre o que ele está fazendo na equipe do
Windows Azure, por que o mundo está migrando para a nuvem,o que significa
Plataforma como Serviço (PaaS) e como o Windows Azure oferece a PaaS.
Segurança
TWC: Pass-the-Hash: como os atacantes se espalham e como detê-los O Pass-
the-hash transforma a violação de um computador em um comprometimento
total da infraestrutura. A publicação de ataques e a falta de ferramentas para
responder a eles forçaram as empresas a confiar em técnicas onerosas e ineficazes.
Nesta sessão, desconstruiremos a ameaça PtH, mostraremos como o ataque é
realizado e como é possível utilizar os novos recursos e funcionalidades
introduzidos recentemente no Windows.
TWC: A Busca por Malwares por Mark Russinovich e as Ferramentas da
Sysinternals Mark apresenta uma visão geral de várias ferramentas da
Sysinternals, incluindo o Monitor de Processos, o Explorador de Processos e o
Autoruns, com foco nos recursos utilizados para análise e remoção de malware.
Esses utilitários habilitam a inspeção e o controle profundos de processos,
atividades do sistema de arquivos e do registro e pontos de execução de
inicialização automática. Ele demonstra seus recursos de busca de malware
apresentando várias amostras atuais de malware do mundo real e utilizando as
ferramentas para identificar e limpar o malware.
Licença para Matar: a Busca por Malwares com as ferramentas da Sysinternals
Essa sessão apresenta uma visão geral de várias ferramentas da Sysinternals,
incluindo o Monitor de Processos, o Explorador de Processos e o Autoruns, com
foco nos recursos utilizados para análise e remoção de malware. Esses utilitários
habilitam a inspeção e o controle profundos de processos, atividades do sistema
de arquivos e do registro e pontos de execução de inicialização automática. Você
vai conferir demonstrações de seus recursos de busca por malwares por meio de
vários casos reais que utilizaram as ferramentas para identificar e limpar malwares,
e concluirá realizando uma análise ao vivo do impacto de uma infecção por
Stuxnet no sistema.
ZeroDay: Uma Exibição Não Fictícia Mark argumenta como seu filme de
suspense cibernético de sucesso, ZeroDay, provavelmente será realizado em forma
de não fictícia nesta versão curta de 20 minutos da sua popular sessão na
Conferência RSA.
Limpeza de Malwares no Dia Zero com as ferramentas da Sysinternals Slides da
apresentação altamente conceituada de Mark na Blackhat US 2011 sobre como
utilizar as ferramentas da Sysinternals para buscar e eliminar malwares.
Channel9: Mark fala sobre a segurança do Windows e a arquitetura principal
Confira a entrevista de Mark no Channel 9, na qual ele fala sobre sua introdução à
arquitetura interna do Windows, novos recursos de segurança no Windows Vista,
Controle de Conta de Usuário e o que ele está fazendo na Microsoft.
Ferramentas de desfragmentação
Mostras de Ferramentas de Desfragmentação Os episódios 1 a 12 das mostras
das Ferramentas de Desfragmentação se concentram nas ferramentas da
Sysinternals. Cada episódio aborda uma ferramenta específica usada no programa
de suporte técnico Defrag , abordando quando e por que usar as ferramentas e
fornecendo dicas sobre como aproveitar ao máximo:
Ferramentas de Desfragmentação: #1- Criando seu thumbdrive USB
Ferramentas de Desfragmentação: #2- Explorador de Processos
Ferramentas de Desfragmentação: #3- Monitor de Processos
Ferramentas de Desfragmentação: #4- Monitor de Processos - Exemplos
Ferramentas de Desfragmentação: #5- Autoruns e MSConfig
Ferramentas de Desfragmentação: #6- RAMMap
Ferramentas de Desfragmentação: #7- VMMap
Ferramentas de Desfragmentação: #8- Mark Russinovich
Ferramentas de Desfragmentação: #9- ProcDump
Ferramentas de Desfragmentação: #10- ProcDump- Gatilhos
Ferramentas de Desfragmentação: #11- ProcDump- Windows 8 & Monitor de
Processos
Ferramentas de Desfragmentação: #12- TaskMgr e ResMon
Livro Windows Internals
Artigo • 04/08/2023
A 7ª edição foi escrita por Pavel Yosifovich, Alex Ionescu, Mark Russinovich e David
Solomon. Novo material foi adicionado desde a 6ª edição (que abrange o Windows 7 e
o Windows Server 2008 R2).
A parte 2 da 7ª Edição (escrita por Andrea Allievi, Mark E. Russinovich, Alex Ionescu e
David A. Solomon) agora está disponível, e fornece um recurso inestimável sobre
tópicos ausentes da primeira parte da 7ª Edição. Isso inclui o processo de inicialização,
novas tecnologias de armazenamento e mecanismos de gerenciamento e sistema do
Windows.
O livro está disponível para compra no site da Microsoft Press (7ª Edição, Parte 1 ; 7ª
Edição, Parte 2 ).
História do livro
Esta é a sétima edição de um livro originalmente chamado Inside Windows NT
(Microsoft Press, 1992), escrito por Helen Custer (antes do lançamento inicial do
Microsoft Windows NT 3.1). Inside Windows NT foi o primeiro livro publicado sobre o
Windows NT e forneceu insights importantes sobre a arquitetura e o design do sistema.
Inside Windows NT, 2ª Edição (Microsoft Press, 1998) foi escrito por David Solomon. A
edição atualizou o livro original para abranger o Windows NT 4.0 e teve um nível muito
maior de profundidade técnica. Inside Windows 2000, 3ª Edição (Microsoft Press, 2000)
foi criado por David Solomon e Mark Russinovich. A edição adicionou muitos novos
tópicos, como inicialização e desligamento, componentes internos do serviço,
componentes internos do registro, drivers do sistema de arquivos e rede. Ela também
abordou alterações de kernel no Windows 2000, como o Windows Driver Model (WDM),
plug and play, gerenciamento de energia, Instrumentação de Gerenciamento do
Windows (WMI), criptografia, o objeto de trabalho e os Serviços de Terminal. Windows
Internals, 4ª Edição, foi a atualização para o Windows XP e Windows Server 2003 e
adicionou mais conteúdo focado em ajudar os profissionais de TI a usar seus
conhecimentos sobre os componentes internos do Windows, oferecendo orientação
para usar as principais ferramentas do Windows Sysinternals e analisar despejos de
falhas.
Windows Internals, 5ª Edição foi a atualização para Windows Vista e Windows Server
2008. Ela passou pela transição de Mark Russinovich para um trabalho em tempo
integral na Microsoft (onde ele agora é o CTO do Azure) e pela adição de um novo co-
autor, Alex Ionescu. O novo conteúdo incluía o carregador de imagens, a instalação de
depuração no modo de usuário, a ALPC (Chamada de Procedimento Local Avançado) e
o Hyper-V. A próxima versão, Windows Internals, 6ª Edição, foi totalmente atualizada
para resolver as muitas alterações de kernel no Windows 7 e no Windows Server 2008
R2, com muitos novos experimentos práticos para refletir as alterações nas ferramentas
também.
Alterações na 7ª Edição
Desde a última atualização desta série, o Windows passou por várias versões, chegando
ao Windows 10 e Windows Server 2016. O Windows 10 em si, sendo o nome atual do
Windows, teve várias versões desde sua versão inicial para fabricação, ou RTM, cada
uma rotulada com um número de versão de 4 dígitos indicando ano e mês de
lançamento, como Windows 10, versão 1703, que foi concluída em março de 2017. O
acima mencionado implica que o Windows passou por pelo menos 6 versões desde o
Windows 7. A partir do Windows 8, a Microsoft iniciou um processo de convergência do
sistema operacional, o que é benéfico sob uma perspectiva de desenvolvimento, bem
como para a própria equipe de engenharia do Windows. O Windows 8 e o Windows
Phone 8 tinham kernels convergidos, com a convergência de aplicativo moderna
chegando ao Windows 8.1 e Windows Phone 8.1. A história de convergência foi
concluída com o Windows 10, que é executado em desktops/laptops, servidores, XBOX
One, telefones (Windows Mobile 10), HoloLens e vários dispositivos da Internet das
Coisas (IoT). Com essa grande unificação concluída, era o momento certo para uma
nova edição da série, que agora poderia finalmente alcançar quase meia década de
mudanças, no que agora será uma arquitetura de kernel mais estabilizada daqui para
frente. Como tal, este livro mais recente aborda aspectos do Windows do Windows 8 ao
Windows 10, versão 1703. Além disso, esta edição recebe Pavel Yosifovich como seu
novo co-autor.
Ferramentas de livro
Várias ferramentas foram escritas especificamente para o livro e estão disponíveis com
código-fonte completo no WindowsInternals repositório GitHub .
Troubleshooting with the Windows
Sysinternals Tools
Artigo • 11/08/2023
Descrição do livro
Profissionais de TI e usuários avançados consideram as ferramentas gratuitas do
Windows Sysinternals indispensáveis para diagnosticar, solucionar problemas e
compreender profundamente a plataforma Windows. Nesse guia amplamente
atualizado, o criador do Sysinternals, Mark Russinovich, e o consultor especialista do
Windows, Aaron Margosis, ajudam você a usar essas poderosas ferramentas para
otimizar a confiabilidade, eficiência, desempenho e segurança de qualquer sistema
Windows. Primeiro, os autores explicam os recursos do Sysinternals e ajudam você a dar
os primeiros passos. Em seguida, eles apresentam detalhadamente cada ferramenta
principal, desde o Process Explorer e o Process Monitor até os utilitários de arquivos e
segurança do Sysinternals. Por fim, seguindo nessa linha, eles mostram as ferramentas
que estão sendo usadas para resolver casos reais envolvendo mensagens de erro,
travamentos, lentidão, infecções por malware e muito mais.
Capítulo de amostra
Você pode ler amostras do livro neste link da Amazon.com .
Sumário
Parte I: Introdução
Capítulo 1 Introdução aos utilitários do Sysinternals
Capítulo 2 Conceitos principais do Windows
Parte II: Guia de uso
Capítulo 3 Process Explorer
Capítulo 4 Autoruns
Capítulo 5 Process Monitor
Capítulo 6 ProcDump
Capítulo 7 PsTools
Capítulo 8 Utilitários de processo e diagnóstico
Capítulo 9 Utilitários de segurança
Capítulo 10 Utilitários do Active Directory
Capítulo 11 Utilitários da Área de trabalho
Capítulo 12 Utilitários de arquivo
Capítulo 13 Utilitários de disco
Capítulo 14 Utilitários de rede e comunicação
Capítulo 15 Utilitários de informações do sistema
Capítulo 16 Utilitários diversos
Parte III: Solução de problemas — "O Caso do Inexplicável..."
Capítulo 17 Mensagens de erro
Capítulo 18 Falhas
Capítulo 19 Travamento e desempenho lento
Capítulo 20 Malware
Capítulo 21 Noções básicas sobre o comportamento do sistema
Capítulo 22 Solução de problemas do desenvolvedor
Errata
Consulte a guia Errata & Atualizações no site da Microsoft Press
Por dentro dos Aplicativos Nativos
Artigo • 04/08/2023
Introdução
Se você tem alguma familiaridade com a arquitetura do NT, provavelmente sabe que a
API que os aplicativos Win32 utilizam não é a API "real" do NT. Os ambientes
operacionais do NT, que incluem POSIX, OS/2 e Win32, conversam com seus aplicativos
clientes através de suas próprias APIs, mas conversam com o NT usando a API "nativa"
do NT. A API nativa é, em sua maior parte, não documentada, com apenas cerca de 25
das suas 250 funções descritas no Kit de Drivers de Dispositivos do Windows NT.
O que a maioria das pessoas não sabe, entretanto, é que existem aplicativos "nativos"
no NT que não são clientes de nenhum dos ambientes operacionais. Esses programas
falam a API nativa do NT e não podem usar APIs de ambientes operacionais como o
Win32. Por que esses programas seriam necessários?" Qualquer programa que precise
ser executado antes de o subsistema Win32 ser iniciado (por volta do tempo em que a
caixa de logon aparece) deve ser um aplicativo nativo. O exemplo mais visível de um
aplicativo nativo é o programa "autochk" que executa o chkdsk durante a tela azul de
inicialização (é o programa que imprime o "." na tela). Naturalmente, o servidor do
ambiente operacional Win32, CSRSS.EXE (Subsistema de Runtime do Cliente-Servidor),
também deve ser um aplicativo nativo.
Neste artigo, descreverei como os aplicativos nativos são criados e como funcionam.
Shell
Autocheck Autochk *
Shell
TARGETTYPE=PROGRAM
Os aplicativos nativos têm extensões de arquivo ".exe", mas não é possível executá-los
como os .exe do Win32. Se você tentar, receberá a mensagem:
Volume 1
Número 1 - 14 de abril de 1999
Número 2 – 15 de maio de 1999
Número 3 - 19 de junho de 1999
Número 4 – 5 de agosto de 1999
Número 5 – 12 de outubro de 1999
Volume 2
Número 1 - 6 de janeiro de 2000
Número 2 - 27 de março de 2000
Número 3 - 14 de junho de 2000
Número 4 – 30 de agosto de 2000
Número 5 – 30 de novembro de 2000
Volume 3
Número 1 - 18 de abril de 2001
Número 2 – 20 de agosto de 2001
Volume 4
Número 1 - 7 de janeiro de 2002
Número 2 – 12 de agosto de 2002
Número 3 – 16 de outubro de 2002
Volume 5
Número 1 – 19 de fevereiro de 2003
Número 2 - 23 de junho de 2003
Volume 6
Número 1 - 27 de abril de 2004
Número 2 – 30 de julho de 2004
Volume 7
Número 1 - 5 de janeiro de 2005
Comunicação especial - 11 de abril de 2005
Número 2 – 24 de agosto de 2005
Volume 8
Número 1 - 2 de março de 2006
Número 2, Migração de Site do Sysinternals – 30 de outubro de 2006
Número 3, Sysinternals TechCenter – 06 de novembro de 2006
Número 4, Atualizações de Site da Web – 08 de novembro de 2006
Termos de licença de software da
Sysinternals
Artigo • 05/08/2023
Estes termos de licença são um contrato entre a Sysinternals (uma subsidiária integral
da Microsoft Corporation) e você. É importante lê-los. Eles se aplicam ao software que
você está baixando de technet.microsoft.com/sysinternals, que inclui a mídia na qual
você o recebeu, se houver. Os termos também se aplicam a qualquer Sysinternals
atualizações,
suplementos,
serviços baseados na Internet,
e serviços de apoio
Se concordar com estes termos de licença, você terá os direitos indicados abaixo.
Escopo da licença
O software é licenciado, não vendido. Este contrato concede a você apenas alguns
direitos de uso do software. A Sysinternals reserva-se todos os outros direitos. Salvo se a
legislação aplicável lhe conceder mais direitos apesar dessa limitação, você poderá usar
o software apenas da forma expressamente permitida neste contrato. Dessa forma, você
deve concordar com as limitações técnicas no software que somente permitirão o seu
uso de algumas formas. É vedado:
Informação sensível
Esteja ciente de que, semelhante a outras ferramentas de depuração que capturam
informações do “estado do processo”, os arquivos salvos pelas ferramentas Sysinternals
podem incluir informações de identificação pessoal ou outras informações confidenciais
(como nomes de usuário, senhas, caminhos para arquivos acessados e caminhos para
registros acessados). Ao usar este software, você reconhece que está ciente disso e
assume total responsabilidade por qualquer informação de identificação pessoal ou
outras informações confidenciais fornecidas à Microsoft ou a qualquer outra parte por
meio do uso do software.
Coleta de dados
As ferramentas da Sysinternals não coletam nenhum dado. Consulte a Declaração de
privacidade da Microsoft .
Documentação
Qualquer pessoa que tenha acesso válido ao seu computador ou à sua rede interna
poderá copiar e usar a documentação para fins de referência interna.
Restrições à exportação
O software está sujeito às leis e normas de exportação dos Estados Unidos. Você deve
concordar com todas as leis e normas de exportação internacionais e domésticas que se
aplicam ao software. Essas leis incluem restrições a destinos, usuários finais e usos finais.
Para informações adicionais, veja www.microsoft.com/exporting .
Serviços de Suporte
Como este software é fornecido “no estado em que se encontra”, a Microsoft poderá
não prestar serviços de suporte para ele.
Contrato completo
Este contrato e os termos dos suplementos, das atualizações, dos serviços baseados na
Internet e dos serviços de suporte por você usados constituem o acordo integral para o
software e os serviços de suporte.
Lei aplicável
Estados Unidos . Se você adquiriu o software nos Estados Unidos , a lei do estado de
Washington rege a interpretação deste contrato e se aplica a reclamações por violação
do mesmo, independentemente do conflito de princípios legais. As leis do estado no
qual você reside regerão todos os requerimentos judiciais ou extrajudiciais, incluindo
leis de defesa do consumidor, concorrência desleal e atos ilícitos extracontratuais.
Fora dos Estados Unidos. Se você tiver adquirido o software em qualquer outro país,
serão aplicadas as leis desse país.
Efeito legal
Este contrato descreve determinados direitos legais. Você pode ter outros direitos de
acordo com as leis do seu país. Você também pode ter direitos em relação à parte de
quem o software foi adquirido. Este contrato não altera seus direitos previstos nas leis
do seu país, caso essas leis não o permitam.
Isenção de garantia
O software é licenciado "como está". Você assume o risco de usá-lo. A Sysinternals não
oferece garantias, garantias ou condições expressas. A legislação local poderá conferir a
você outros direitos de consumidor, os quais não serão afetados por este contrato. Na
medida permitida pelas leis locais, a sysinternals exclui as garantias implícitas de
comercialização, adequação a uma finalidade específica e não violação.
Nota: como este software é distribuído em Quebec, Canadá, algumas das cláusulas
deste contrato são fornecidas abaixo em francês.
Remarque: Ce logiciel étant distribué au Québec, Canada, certaines des clauses dans
ce contrat sont fournies ci-dessous en français.
EXONÉRATION DE GARANTIE. Le logiciel visé par une licence est offert « tel quel ».
Toute utilisation de ce logiciel est à votre seule risque et péril. A Sysinternals não oferece
nenhuma outra garantia expressa. Vous pouvez bénéficier de droits additionnels en
vertu du droit local sur la protection dues consommateurs, que ce contrat ne peut
modifier. La ou elles sont permises par le droit locale, les garanties implicites de qualité
marchande, d'adéquation à un usage particulier et d'absence de contrefaçon sont
exclues.
tout ce qui est relié au logiciel, aux services ou au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers ; et
les réclamations au titre de violation de contrat ou de garantie, ou au titre de
responsabilité stricte, de négligence ou d'une autre faute dans la limite autorisée
par la loi en vigueur.
As ferramentas do Sysinternals
continuarão disponíveis gratuitamente?
Sim, a Microsoft não tem planos de remover ou cobrar por essas ferramentas.
Existe suporte técnico disponível para as
ferramentas do Sysinternals?
Não. Todas as ferramentas do Sysinternals são oferecidas "como estão", sem o suporte
oficial da Microsoft. Mantemos um fórum de suporte da comunidade dedicado ao
Sysinternals : https://forum.sysinternals.com/ .