14 outils Windows Sysinternals en vedette

Cette fois, nous allons explorer en profondeur l'utilité Suite Sysinternals de Microsoft qui est un outil qui nous fournit une grande quantité de support en termes de problèmes logiciels, nous permettant d'en maintenir une gestion et une mise à jour correctes.

Cet outil peut être téléchargé (dans un kit d'outils de 20 Mo) gratuitement à partir du lien suivant :

Nous pouvons également entrer le lien suivant pour télécharger et exécuter l'application spécifique dont nous avons besoin sans avoir à télécharger l'intégralité de la suite :

Avant de commencer à analyser certaines des applications incluses dans le Suite Sysinternes voyons un peu son histoire. Sysinternals a été créé en 1996 et a été constamment mis à jour par Mark Russinovich et cette suite est composée de plus de 70 applications qui seront sans aucun doute d'une grande aide pour nous tous.

La suite Sysinternals s'exécute sur les systèmes d'exploitation suivants :

  • Windows 7
  • Windows 8, 8.1
  • Windows 10
  • Serveur Windows à partir de 2008

Si on veut exécuter les commandes de la suite Sysinternals à l'aide de la commande Cours, à partir du cmd ou en utilisant le champ de recherche, nous devons ajouter la suite aux variables de l'environnement système.

Nous pouvons exécuter les opérations suivantes :

Dans la boîte de dialogue, nous entrons le terme Variable et dans les options affichées nous choisissons "Modifier les variables d'environnement système."

Les éléments suivants seront affichés :

Là, nous sélectionnons l'option Variables d'environnement située en bas.

Dans la fenêtre affichée, nous sélectionnons le Ligne de chemin et plus tard l'option Modifiez le champ Variables système. Là, nous entrerons dans le chemin où nous avons téléchargé la suite Sysinternals.

Nous cliquons sur Accepter dans les fenêtres suivantes pour appliquer les modifications. De cette façon, nous pouvons exécuter les commandes Sysinternals à partir de la ligne de commande.

Nous allons commencer le analyse de certains des outils les plus intéressants que Sysinternals présente et comment ils nous aident dans notre support technique.

1. Autoruns


Le premier outil que nous analyserons est Autoruns. Autoruns nous permet d'avoir une approche générale et très détaillée, sur les services, applications et bibliothèques qui s'exécutent dès le démarrage de Windows 10.

Lors de l'exécution des Autoruns, nous verrons l'environnement suivant :

AGRANDIR

Comme nous pouvons le voir, nous avons des informations spécifiques sur chaque programme ou service qui démarre automatiquement et est divisé en différentes sections :

  • Entrée d'exécution automatique : Inclut le nom du service ou de l'application qui démarre.
  • La description: Comprend un bref résumé de l'application.
  • Éditeur: Il nous montre le fabricant ou le propriétaire du service ou de l'application.
  • Chemin de l'image : Il nous montre l'itinéraire où se trouve le service ou le programme.
  • Horodatage : Indique la date et l'heure d'installation du programme ou du service.
  • Virus total : L'outil Autoruns comprend un antivirus et s'il y en a un, nous le verrons ici.

Comme nous pouvons le voir dans les onglets supérieurs, nous pouvons voir les services ou programmes par catégorie, par exemple, nous pouvons voir qu'il démarre automatiquement à partir d'Office, Imprimantes, Winlogon, etc., sélectionnez simplement l'onglet que nous voulons, par exemple nous sélectionnerons Winlogon.

Quelque chose de notoire dans Autorun est que nous pouvons voir qu'il y a des lignes de couleur jaune, cela signifie que l'entrée appartient à un programme qui n'existe plus dans le système. Si une ligne est en rouge, cela signifie que la colonne Publisher est vide, cela peut être d'une grande aide.

2. Bginfo


Le prochain outil que nous analyserons est Bginfo, qui affiche sur le bureau des informations sur les paramètres qui y sont définis.

La Outil BGinfo ressemble à ça:

Là, nous pouvons sélectionner les champs à voir du côté droit en utilisant l'option Personnalisé, une fois que nous avons défini les champs que nous voulons ajouter, nous cliquons sur Appliquer et plus tard dans d'accord. Nous verrons que l'environnement de notre bureau a été modifié avec des informations détaillées sur les champs qui ont été sélectionnés :

AGRANDIR

[couleur = #a9a9a9] Cliquez sur l'image pour l'agrandir [/couleur]

On peut éditer la position des informations, au centre, à droite ou à gauche et chaque champ est très simple à comprendre, en plus d'être très utile.

3. Jeu de caches


Le prochain outil sera Cacheset qui permet d'établir des paramètres liés à la mémoire cache du système.

L'interface Cacheset est la suivante :

Là, nous pouvons voir la mémoire actuelle et la crête maximale, dans l'option de paramètres, nous pouvons établir à la fois la mémoire minimale et maximale à allouer, une fois que nous avons défini ces aspects, nous cliquons sur Appliquer pour que les modifications soient apportées.

4. Informations de base


Un outil intéressant est Informations de base laquelle nous affiche des informations entre les processeurs logiques et le processeur physique.

Voici la fenêtre affichée avec Coreinfo :

Nous pouvons utiliser certains paramètres avec Coreinfo tels que :

  • -c : Fly les informations sur les noyaux
  • -g: Vider les informations sur les groupes
  • -l : Vider les informations du cache
  • -s : Vider les informations sur les sockets

5. Dbgview


Avec Dbgview pouvons prendre des captures d'écran des bureaux dont nous disposons et effectuer un débogage.

AGRANDIR

6. Diskmon


En utilisant Diskmon pouvons surveiller en temps réel les secteurs de nos disques durs qui sont actifs, l'environnement Diskmon est le suivant :

Ici, nous pouvons observer différents aspects des secteurs tels que:

  • #: fait référence au numéro de ligne de l'outil.
  • Temps: Indique le nombre de secondes entre le début de la trame et la requête.
  • Durée: Durée totale de la demande.
  • Disque: Il fait référence au numéro du disque analysé.
  • Demande: Dans cette colonne, nous pouvons voir le type d'exigence, lecture ou écriture.
  • Secteur: Il s'agit du numéro du secteur analysé.
  • Longueur: Indique la durée de la requête.

7. Vue disque


La L'outil Diskview nous montre graphiquement (sur les volumes au format NTFS) quels secteurs sont utilisés et nous pouvons voir quels fichiers occupent un espace particulier.

Une fois l'outil exécuté, nous pouvons sélectionner le volume à scanner, définir le zoom et nous pouvons voir que le processus de numérisation commence :

Une fois le processus terminé, nous pouvons voir ce qui suit :

La partie supérieure représente le volume analysé. Nous pouvons voir des détails tels que le numéro de cluster, le chemin où il se trouve et les fragments de cluster. Cet outil est utile si nous devons effectuer une analyse détaillée des clusters sur le disque et quels fichiers se trouvent dans chaque secteur.

8. Listdlls


Avec l'outil Listdlls, nous pouvons voir une liste complète des bibliothèques de DLL installées dans notre système. L'environnement Listdlls est le suivant :

Comme nous pouvons le voir, la taille, la base et le chemin où se trouve la DLL sont indiqués au cas où nous devions prendre des mesures.

9. Ordre de chargement


Application Loadord nous permet de visualiser l'ordre dans lequel Windows charge les pilotes de périphériques et les services de démarrage. Une fois que nous aurons exécuté cette application, nous verrons ce qui suit :

AGRANDIR

On peut voir un récapitulatif complet des services et des chauffeurs tels que leur nom, le chemin où ils se trouvent, le groupe auquel ils appartiennent, etc.

10. Portmon


Application Portmon nous permet de porter un contrôle de l'activité dans les ports série et parallèle de notre équipeAvec Portmon, nous pouvons créer des filtres et effectuer des recherches avancées sur la façon dont ces ports sont utilisés.

L'environnement de Portmon ressemble à ceci :

11. Procexp


L'un des outils qui est sans doute le plus répandu et sera l'un des plus utilisés est l'explorateur de processus, c'est Procexp, qui est similaire au gestionnaire de tâches de Windows 10 mais à la différence que procexp est beaucoup plus complet.

Une fois procexp exécuté, ce sera la fenêtre que nous observerons :

Nous pouvons voir un résumé complet des processus en cours d'exécution dans le système fournissant des informations sur le nom du processus, la quantité de mémoire qu'il consomme, son ID (PID), le fabricant, etc.

Comme on peut le voir, chaque processus est catégorisé. au menu Options nous pouvons prendre des mesures sur les processus telles que « tuer » le processus, le suspendre, établir une priorité, les analyser, etc.

À partir de cette même application procexp, nous pouvons voir :

  • L'état
  • Temps réel
  • Mémoire
  • Processeur
  • Périphériques d'E/S
  • etc.

On voit comment l'outil décompose chaque composant et le pourcentage d'utilisation, si on veut avoir une vue plus détaillée, allez dans l'onglet correspondant, par exemple, on va dans l'onglet CPU :

Nous voyons un résumé complet et détaillé sur l'état du CPU; le nombre de processus, les menaces, le nombre de cœurs, etc.

Une des les avantages que nous avons avec procexp sont la personnalisationSi nous le souhaitons, nous pouvons définir des couleurs pour les différents processus comme ceci :

  • [couleur = #008000]Vert:[/ color] fait référence à de nouveaux objets.
  • [couleur = # 40e0d0]Bleu clair:[/ color] identifie ses propres processus.
  • [couleur = # ee82ee] Rose : [/ couleur] indique les processus qui contiennent des services Windows.
  • [couleur = # 4b0082]Violet:[/ color] fait référence à un compressé (emballé).
  • [couleur = # daa520]Turquoise:[/ color] fait référence aux processus associés aux applications du Windows Store.
  • [couleur = # 808080]Gris foncé:[/ color] sont des processus suspendus.

Simplement si nous voulons que les couleurs qui identifient les processus soient différentes, il suffit de cliquer sur Changement pour les éditer. Si notre désir est de voir combien de ressources un processus consomme dans Windows 10, nous pouvons double-cliquer sur le processus ou cliquer avec le bouton droit et sélectionner les propriétés, puis accéder à l'onglet GPU Graph.

12. Procmon


Une autre des applications qui sera très utile est Procmon (moniteur de processus). Cet outil nous fournira des informations détaillées sur les processus des fichiers système, des registres, du réseau, des processus, des menaces, le tout en temps réel, ce qui est la chose la plus importante pour nous.

AGRANDIR

Comme on le voit procmon nous offre assez informations sur les processus tel que:

  • nom du processus
  • Temps d'activité
  • Itinéraire où il se trouve
  • Résultat du processus
  • Détails
  • Etc.

Au sein de procmon, nous disposons d'outils intéressants qui peuvent nous aider à garder le contrôle sur nos ressources, par exemple, dans le Menu Outils nous pouvons sélectionner l'option Résumé de l'activité de processus Pour voir un résumé détaillé de l'activité de chaque processus, le résultat sera le suivant.

Procmon est capable de collecter une grande quantité d'informations pour notre bénéfice. Une fois que nous aurons exécuté procmon, nous verrons ce qui suit :

On voit un résultat très complet où la consommation des ressources, le début et la fin du processus sont indiqués, etc. Dans Outils si on choisit Résumé du Registre on peut trouver le nombre d'enregistrements accédés pendant la trame :

De même, nous pouvons trouver un résumé des connexions réseau, du système, etc. Nous pouvons appliquer des filtres pour avoir un une gestion plus centralisée des processusSélectionnez simplement l'élément et faites un clic droit, dans ce cas, nous sélectionnerons le PID 968.

AGRANDIR

Nous sélectionnons l'option "Inclure 968" et nous verrons que le processus de filtrage commence.

Nous voyons qu'il n'y a que les résultats du PID 968. Si à tout moment nous voulons voir un processus en détail, faites un clic droit sur le processus et sélectionnez Propriétés (modifier), dans ce cas, nous sélectionnons le Processus Explorer.exe et nous pouvons voir ce qui suit :

13. RamMap


Un autre outil que nous pouvons utiliser est RamMap ce qui nous permet gérer tout ce qui concerne la RAM avoir différents utilitaires à portée de main.

Lors de l'exécution RamMap nous verrons ce qui suit :

Comme on peut le voir, nous avons sous la main toutes les informations liées à la mémoire et classées par couleurs et type d'utilisation. En utilisant l'un des onglets en haut, nous pouvons voir en détail quels processus consomment de la mémoire. Par exemple, nous pouvons appuyer sur l'onglet Processus, et nous obtiendrons la vue suivante :

De cette façon, nous pouvons contrôler quels processus consomment le plus de ressources mémoire dans le système et nous pouvons décider de mettre fin à ces processus ou non.

14. ShareEnum


Utilisation de l'application ShareEnum, nous pouvons voir à la fois les fichiers et les objets partagés au sein du domaine ou du groupe de travail. Une fois que nous avons exécuté ShareEnum, nous verrons ce qui suit :

Nous pouvons voir le chemin où nous avons partagé les fichiers, le domaine et d'autres informations.

15. TCPView


Une autre des applications incluses dans la suite Sysinternals est TCPView, avec cet outil, nous pouvons voir clairement toutes les connexions via TCP et UDP fabriqué à partir de notre système Windows 10 entre les ports locaux et les adresses distantes.

Lorsque nous exécuterons TCPView, ce sera l'environnement que nous verrons :

AGRANDIR

Comme nous pouvons le voir, nous avons des informations sur les ports utilisés par chaque processus, ainsi que sur les paquets envoyés et reçus, et toutes ces informations sont très importantes pour une bonne gestion au niveau du réseau, au cas où nous aurions besoin de vérifier ou d'analyser aspect. Si nous faisons un clic droit sur l'un des processus, nous pouvons voir ses propriétés ou, le cas échéant, y mettre fin.

16. Carte VM


L'un des derniers outils que nous analyserons est Carte VM que nous permet de vérifier les processus virtuels et l'utilisation de la mémoire physique via un environnement graphique.

Lorsque nous aurons exécuté VMMap, nous aurons les éléments suivants :

L'outil affichera les processus disponibles, nous devons sélectionner le processus dont nous voulons obtenir des informations détaillées, une fois choisi, cliquez sur OK et vous verrez alors ce qui suit :

Dans notre cas, nous sélectionnons le processus explorer.exe et, comme nous pouvons le voir, VMMap nous montre des informations complètes sur cet enseignant, sa consommation de mémoire et comment il utilise chaque partie de cette mémoire.

Cet outil est important en cas de problèmes de performances avec le processus x ou y et nous ne savons pas exactement lesquels peuvent affecter les performances et la stabilité de Windows 10.

Au sein de Sysinternals, nous avons un groupe d'outils qui remplissent des fonctions de base mais sont parfois très utiles. Nous avons les éléments suivants :

  • PsExec : Il permet d'exécuter des processus dans le style de CTRL + R (Exécuter)
  • Fichier Ps : Lister les fichiers ouverts à distance
  • PsGetSid : Il nous donne le SID d'un ordinateur ou d'un utilisateur
  • Infos Ps : Cette commande nous montre des informations sur le système
  • PsKill : Cela nous donne la possibilité de mettre fin aux processus
  • PsListe : Affiche des informations sur les processus actifs
  • PsLoggedOn : Nous pouvons voir les utilisateurs qui se sont connectés au système
  • PsPasswd : Il nous permet de modifier les mots de passe des comptes enregistrés dans le système
  • PsPing : Il remplit la fonction de la commande Ping, vous permettant de voir qu'il y a une communication entre les appareils.
  • Service PS : Cela nous donne la possibilité de visualiser et de contrôler les services.
  • PsArrêt : En utilisant cette option, nous pouvons désactiver, redémarrer, vous déconnecter parmi d'autres options.
  • PsSuspendre : Nous pouvons suspendre et redémarrer les services

De la même manière, nous pouvons trouver plus de 30 autres applications qui peuvent être d'une grande aide, non seulement localement, mais aussi au niveau du domaine, certaines de ces autres applications de manière rapide sont :

GérerIl nous permet d'observer les processus qui ont une activité en temps réel dans le système.

RuisseauxAvec Streams, nous pouvons analyser tous les fichiers et répertoires à la fois localement et au niveau du domaine pour voir leurs informations telles que la taille, les propriétés, etc.

SupprimerC'est un utilitaire de ligne de commande qui nous permet de supprimer en toute sécurité des fichiers et des répertoires sur le système.

ContigC'est un utilitaire qui nous permet de défragmenter un ou plusieurs fichiers de cette manière qui nous permet d'améliorer les performances de ces fichiers.

Déplacer le fichierC'est une application qui nous permet de programmer des mouvements et de supprimer des commandes après le prochain démarrage du système.

SigcheckAvec cet outil, nous pouvons voir la version, la date de création et la signature numérique de certains fichiers.

Comme nous l'avons vu, nous avons une suite très intéressante pour la gestion, le contrôle et la supervision de notre Windows 10. L'invitation est de passer en revue les différentes applications incluses dans Sysinternals et de déterminer lesquelles sont les plus appropriées pour notre travail et rappelez-vous que ces outils sont gratuits en tout temps.

wave wave wave wave wave