Sysinternals Suite – Powertoys für Windows
Nicht jeder mag die Tools von Mark Russinovich. Aber auch derjenige der sie nicht mag wird irgendwann erkennen, aus welchen Anlass heraus die Tools entstanden sind, und wird sie dann doch einsetzen.
Das erinnert mich gerade an die 80er Jahre. Nein, ich höre kein Modern Talking! Und hinter verschlossenen Türen: You my Heart you’re my Soul….
Unter Umständen kann es während oder nach dem Download von PSExec vorkommen, das der Virenscanner Alarm schlägt. Das liegt daran, das Kriminelle das Tool unter anderem dafür einsetzen, um Prozesse mit Systemrechten auszuführen. Das gleiche gilt für pskill.
Ihr könnt die Tools aber auch direkt ausführen, indem ihr euch die Sammlung im Explorer einbindet.
net use u: https://live.sysinternals.com
net use u: https://live.sysinternals.com /persistent:yes
Anschließend wechselt ihr in das Verzeichnis U:\ listet die Tools mit dem Befehl Dir auf und startet diese direkt.
Hier eine Tabelle aus der hervorgeht, wofür die einzelnen Tools eingesetzt werden können.
Was kann die Sysinternals Suite?
Programmname | GUI oder nicht | Beschreibung |
---|---|---|
AccessCHK | nein | zeigt effektive Berechtigungen von Dateien, Registry-Schlüsseln, Diensten, Prozessen usw. |
AccessEnum | ja | zeigt Zugriffsrechte für Ordner und Registry-Schlüssel |
CacheSet | ja | Größe des System File Cache festlegen – Finger weg, das bremst allenfalls |
Contig | nein | defragmentiert einzelne Dateien |
Disk usage | nein | berechnet die Größe eines Ordners mitsamt seiner Unterordner Dateiname: du.exe |
Disk2vhd | ja | kopiert den kompletten Inhalt eines physischen Datenträgers inklusive Partitionierung in eine virtuelle Festplatte |
DiskExt | nein | zeigt, auf welche Datenträger ein Volume verteilt ist (kennt allerdings keine Storage Spaces) |
Diskmon | ja | protokolliert, auf welche Sektoren welcher Datenträger zugegriffen wird |
EFSDump | nein | sucht in einem Laufwerk oder Ordner nach EFS-verschlüsselten Dateien EFS ist die NTFS-eigene Dateiverschlüsselung (nicht zu verwechseln mit de LaufwerksverschlüsselungBitLocker) |
LDMDump | nein | zeigt Infos über dynamische Laufwerke |
MoveFile | nein | verschiebt und löscht Dateien beim nächsten Neustart, die vorher von anderen Prozessen blockiert sind |
NTFSinfo | nein | Informationen über das NTFS-Dateisystem eines Laufwerks |
PageDfrg | nein | defragmentiert Dateien, die exklusiv geöffnet sind; geschrieben für Windows NT und 2000, funktioniert unter Windows 10 nicht mehr, und ist da auch nicht mehr nötig |
PendMoves | nein | zeigt, welche Dateien und Ordner beim nächsten Neustart umbenannt oder gelöscht werden |
SDelete | nein | löscht und überschreibt einzelne Dateien; Achtung: Kopien etwa in Temp-Ordnern, Papierkorbetc. bleiben erhalten |
Sigcheck | nein | errechnet Prüfsummen verschiedener Formate für eine Datei und kann sie von virustotal.com prüfen lassen |
Streams | nein | zeigt, welche Dateien sogenannte Alternate Data Streams (kurz ADS) enthalten |
Sync | nein | "Hardware sicher entfernen" per Kommandozeile |
VolumeId | nein | ändern der Volume-ID eines Datenträgers (auszulesen mit "fsutil fsinfo volumeinfo c:", steht unter "Volumeseriennummer") |
Active Directory Explorer | ja | Viewer und Editor fürs Active Directory; kann Snapshots erstellen und vergleichen; Dateiname: ADExplorer.exe |
AdRestore | nein | stellt gelöschte Objekte im Active Directory wieder her |
Insight for Active Directory | ja | zeigt in Echtzeit die Interaktion von Clients mit dem Active Directory; hilft, Verbindungsprobleme zu analysieren; Dateiname: ADInsight.exe |
PipeList | nein | zeigt geöffnete benannte Pipes zur Interprozesskommunikation |
PsFile | nein | zeigt, welche Dateien und Ordner von einem anderen Rechner aus geöffnet sind (wie Computerverwaltung/System/Freigegebene Ordner/Geöffnete Dateien) |
PsPing | nein | Ping-Ersatz |
ShareEnum | ja | zeigt alle Freigaben einer Windows-Maschine |
TCPView | ja | zeigt aktive TCP-Verbindungen |
Whois | nein | Whois-Abfrage von Domains, funktioniert nicht bei deutschen Domains |
Autoruns | ja | zeigt, was Windows beim Hochfahren automatisch so mit startet |
Handle | nein | zeigt an, welcher Prozess welche Dateien geöffnet hält |
ListDLLs | nein | listet die von einem Prozess geladenen DLLs auf |
Portmon | ja | überwacht und zeigt Aktivitäten an seriellen und parallelen Ports |
ProcDump | nein | erzeugt manuell oder Trigger-gesteuert Dumps laufender Prozesse |
Process Explorer | ja | alternativer Taskmanager; Dateiname: Procexp.exe [9] |
Process Monitor | ja | zeigt alle (!) Zugriffe auf Dateien, Ordner, Registry … Dateiname: Procmon.exe |
PsExec | nein | Programme mit erhöhten Rechten starten, auch remote auf anderen Rechnern |
PsGetSid | nein | übersetzt SIDs in Klarnamen und Klarnamen in SIDs |
PsKill | nein | schießt laufende Prozesse(bäume) ab, auch Remote auf anderen Rechnern |
PsList | nein | Details zu allen laufenden Prozessen |
PsService | nein | Dienste verwalten |
PsSuspend | nein | pausiert Prozesse, auch auf anderen Rechnern |
ShellRunas | ja | ergänzt das Kontextmenü um "Run as different user" |
VMMap | ja | Analyse von virtuellem und physischem Prozessspeicher |
Autologon | ja | richtet eine automatische Anmeldung für ein Konto an Windows ein |
LogonSessions | nein | Informationen über die derzeit angemeldeten Benutzer- und systemeigenen Konten |
PsLoggedOn | nein | zeigt die angemeldeten Nutzerkonten |
PsLogList | nein | zeigt Eventlog-Einträge |
Sysmon | ja | protokolliert sicherheitsrelevante Datei-, Registry- und Prozess-Operationen in der Ereignisanzeige |
ClockRes | nein | gibt die Auflösung des System-Zeitgebers aus |
Coreinfo | nein | liest Informationen über den Prozessor aus: Features, Caches, Kerne, Sockel |
LiveKd | nein | Debugger für Windows; Braucht die Debugging Tools for Windows |
LoadOrder | ja | zeigt an, welche Treiber und Dienste während welcher Phase des Bootens geladen werden. Die ersten von ntoskrnl.exe ("Boot"), die nächsten von smss.exe ("System") sowie zuletzt vpm Services.exe ("Automatic") |
PsInfo | nein | zeigt einige wenige Systeminformationen, auch von Remote-Rechnern. Achtung: Manche Angaben sind unzuverlässig, etwa die zum RAM |
RAMMap | ja | Details zur RAM-Belegung von Prozessen, Dateien etc. |
WinObj | ja | zeigt Infos über den Namensraum des NT Object Manager |
BgInfo | ja | tapeziert den Desktop mit einigen Systeminfos |
CPUSTRES | ja | Stresstest für die CPU |
Ctrl2cap | nein | macht aus der Feststell- eine Strg-Taste |
DebugView | ja | fängt Debug-Ausgaben von Programmen auf und zeigt sie an |
Desktops | ja | virtuelle Desktops, unter Windows 10 nicht mehr nötig |
Hex2dec | nein | rechnet Dezimal in Hexadezimal und umgekehrt um |
NotmyFault | ja | löst einen Bluescreen aus |
PsPasswd | nein | ändert Passwörter von Nutzerkonten, auch remote auf anderen Rechnern; gedacht für Batch-Skripte, um auf vielen verwalteten Rechnern das Admin-Passwort auf einen Schlag zu ändern |
RegDelNull | nein | sucht und löscht ungültige Registry-Einträge, deren Namen Null-Zeichen enthalten |
RegistryUsage³ | nein | berechnet die Größe von Registry-Schlüsseln; Dateiname: ru.exe |
RegJump | nein | öffnet Regedit mit dem übergebenen Schlüssel, nimmt auch Schlüssel aus der Zwischenablage |
Strings | nein | zeigt alle in einer Datei enthaltenen Zeichenketten |
Testlimit | nein | simuliert zu Debug-Zwecken vollen Speicher und andere Ressourcen-Knappheiten |
ZoomIt | ja | Bildschirmlupe, von Russinovich vor allem für die eigenen technischen Vorträge programmiert |
DiskView | ja | zeigt, wo die Daten auf einem Datenträger liegen |
FindLinks | nein | zeigt, welche Hardlinks auf eine Datei zeigen |
Junction | nein | erzeugt symbolische Verknüpfungen und zeigt sie an |
PsShutdown | nein | fährt Windows herunter, auch auf anderen Rechnern |
TCPVCon | nein | Anzeige der Gegenstellen von TCP- und UDP-Verbindungen |
https://www.der-windows-papst.de/2020/09/18/allow-users-to-manage-windows-services/