• AccessChk - Отображает разрешения доступа к файлам, разделам реестра или службам Windows для конкретного пользователя или группы пользователей.
• AccessEnum - Предназначена для анализа безопасности. Выводит список пользователей и групп, у которых есть доступ к файлам, папкам и разделам реестра, благодаря чему можно искать уязвимости в настройках разрешений доступа.
• AD Explorer - Active Directory Explorer представляет собой продвинутое средство для просмотра и редактирования Active Directory (AD).
• AdRestore - Позволяет восстанавливать удаленные (помеченные на удаление) объекты службы Active Directory системы Server 2003.
• Autologon - Предназначена для автоматического выполнения входа в систему без ввода пароля. Позволяет включать и отключать автоматический вход в систему.
• AutoRuns - Средство с интерфейсом командной строки позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов. Также показывает полный перечень путей в реестре и на диске, где может быть настроен автоматический запуск приложений.
• AutoRuns - AutoRuns в командной строке.
• BgInfo - Полностью настраиваемая программа автоматически генерирует фоновые рисунки рабочего стола, включающие важную информацию о системе, такую как IP адреса, имя компьютера, сетевые адаптеры и многое другое.
• CacheSet - Позволяет управлять параметрами рабочего набора системного кэша при помощи собственных функций NT. Совместима со всеми версиями ОС NT.
• ClockRes - Показывает разрешение системных часов (это значение совпадает с максимальным разрешением таймера).
• Contig - Позволяет произвести быструю дефрагментацию регулярно применяемых файлов, оптимизировать отдельные файлы и создавать новые, размещенные в смежных кластерах.
• Coreinfo - Выдает информацию, помогающую изучению взаимосвязей процессоров, кэша, NUMA узлов и сокетов вашей системы.
• Ctrl2cap - Драйвер-фильтр клавиатуры используемый для преобразования CapsLock символов в командные символы, что позволяет включать верхний регистр при нажатии контрольных клавиш.
• DebugView - Позволяет контролировать вывод отладочной информации о вашей локальной системе, или любого компьютера в сети без активного отладчика.
• Desktops - Позволяет создавать до четырех виртуальных рабочих столов, переключаться между которыми можно либо с помощью комбинаций клавиш, либо с помощью значка в системном трее.
• DiskExt - Выводит данные о распределении разделов тома по дискам (тома с несколькими разделами могут быть размещены на нескольких дисках) и размещении разделов на этих дисках.
• DiskMon - Фиксирует все операции с жестким диском. Кроме того, может исполнять роль индикатора активности в системном трее при обращении программ к жёсткому диску.
• DiskView - Выводит графическую схему диска, на которой можно определить, какие группы кластеров заняты конкретным файлом или по каким кластерам распределён тот или иной файл (для этого нужно щелкнуть кластер мышью).
• Disk Usage (DU) - Выводит сведения об использовании дискового пространства в указанном каталоге. По умолчанию выполняет рекурсивный просмотр каталога и указывает его общий размер, а также размер его подкаталогов.
• EFSDump - Выводит список учетных записей, имеющих доступ к зашифрованным файлам.
• FileMon - Предназначена для мониторинга в режиме реального времени всей активности файловой системы.
• FindLinks - Сообщает индекс файла и любые жесткие ссылки, существующие для указанного файла.
• Handle - Выводит сведения об открытых дескрипторах для любого процесса в системе. Позволяет посмотреть, какие программы открыли файл, а также увидеть тип объектов и имена всех дескрипторов программы.
• Hex2dec - Конвертирует шестнадцатеричные числа в десятичные и наоборот.
• Junction - Создание символических ссылок NTFS в среде Win2K. Позволяет создавать точки соединения NTFS и проверять, исполняют ли те или иные файлы и каталоги роль точек повторной обработки.
• LDMDump - Позволяет выгружать из памяти содержимое БД диспетчера логических дисков, в которой описывается схема разметки динамических дисков Windows 2000.
• ListDLLs - Выводит перечень всех загруженных в данный момент библиотек DLL, их версии и пути, откуда они были загружены.
• LiveKd - Отладчики ядра от корпорации Майкрософт упрощают анализ действующей системы.
• LoadOrder - Позволяет определить порядок загрузки драйверов устройств в системе WinNT/2K.
• LogonSessions - Выводит список активных сеансов входа в систему.
• MoveFile - Планирование команд переименования и удаления на время следующей перезагрузки. Может быть полезной при удалении устойчивых и активных файлов вредоносных программ.
• NewSID - Для смены идентификатора безопасности компьютера позволяет решить известную проблему с совпадением идентификаторов.
• NTFSInfo - Позволяет получить подробные сведения о томах NTFS, в том числе о размере и местоположении основной таблицы файлов (MFT) и зоны MFT, а также о размере файлов метаданных NTFS.
• PageDefrag - Позволяет произвести дефрагментацию системных файлов и кустов реестра, то есть файлов подкачки (pagefile.sys), спящего режима (hiberfil.sys), журнала событий.
• PendMoves - Просмотр списка файлов, удаление и переименование которых запланировано на момент следующей перезагрузки системы.
• PipeList - Программа перечисления созданных именованных каналов.
• Portmon - Предназначена для отслеживания активности последовательных и параллельных портов. Поддерживает все стандартные команды управления (IOCTL) для последовательных и параллельных портов и даже отображает часть принимаемых и передаваемых данных.
• ProcDump - Позволяет произвести слежение за пиковой нагрузкой на CPU со стороны конкретного приложения. Генерирует дампы после сбоев для дальнейшего изучения проблемы. Также ведётся слежение за "зависаниями" окон и неперехваченными исключениями.
• Process Explorer - Предназначена для мониторинга в режиме реального времени работающих в системе процессов с функциями отладчика. Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
• ProcFeatures - Выводит сведения о поддержке со стороны процессора и ОС Windows расширения физических адресов и защиты от переполнения буфера путем запрета исполнения.
• Process Monitor - Предназначена для мониторинга файловой системы, реестра и процессов в оперативной памяти. Эта утилита объединяет в себе возможности программ FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра), но при этом Process Monitor обладает более широкими возможностями.
• PsExec - Позволяет удаленно запускать процессы.
• PsFile - Позволяет увидеть, какие файлы открыты удаленно.
• PsGetSid - Выводит идентификатор безопасности (SID) компьютера или пользователя.
• PsInfo - Выводит сведения о системе.
• PsKill - Позволяет завершать процессы по имени или идентификатору процесса, как на локальной, так и на удаленной системе.
• PsList - Выводит подробную информацию о процессах и потоках.
• PsLoggedOn - Выводит список пользователей, вошедших в систему как в локальном режиме, так и через ресурсы локального или удаленного компьютера.
• PsLogList - Выводит содержимое журнала событий локального или удаленного компьютера.
• PsPasswd - Позволяет менять пароли учетных записей.
• PsPing - Проверяет пропускную способность сети и задержки в ней.
• PsService - Позволяет просматривать информацию о службах и управлять ими.
• PsShutdown - Позволяет выключить и при необходимости перезагрузить компьютер.
• PsSuspend - Позволяет приостанавливать и продолжать работу процессов на локальной или удаленной машине.
• RAMMap - Инструмент для анализа использования физической памяти для Windows Vista и выше.
• RegDelNull - Сканирует и удаляет ключи реестра, содержащие некорректные символы, которые невозможно удалить обычными средствами редактирования реестра.
• RegJump - Переводит Вас по пути, указанному в Regedit.
• RegMon - Предназначена для мониторинга в режиме реального времени всей активности реестра.
• RootkitRevealer - Осуществляет поиск rootkit-программ.
• Registry Usage (RU) - Выводит сведения об использовании пространства реестра для указанного ключа реестра. По умолчанию выполняет рекурсивный просмотр подраздела и показывает общий размер ключа и его подразделов.
• SDelete - Позволяет перезаписать уязвимые данные и очистить свободное пространство от ранее удаленных файлов. Программа соответствует стандартам безопасности министерства обороны США.
• ShareEnum - Выполняет сканирование общих ресурсов в сети и позволяет просматривать их параметры безопасности для устранения уязвимостей.
• ShellRunas - Позволяет запускать программы от имени других пользователей.
• Sigcheck - Выводит информацию о версиях файлов и позволяет удостовериться, что образы в системе подписаны цифровой подписью.
• Streams - Отображает дополнительные потоки данных файловой системы NTFS.
• Strings - Поиск строк в формате ANSI и Юникод в двоичных образах.
• Sync - Сброс кэшированных данных на диск.
• System Monitor (Sysmon) - Отслеживает и ведет журнал активности системы. Работает как служба Windows, а также как драйвер устройства, следит за различными действиями в вашей системе, например за сетевыми подключениями, изменении времени создания файлов, за процессами и другими деталями.
• TCPView - Средство с интерфейсом командной строки для просмотра активных сокетов. Предназначена для мониторинга сетевых подключений, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными.
• TCPView - TCPView в командной строке.
• VMMap - Инструмент для анализа работы запущенного процесса с физической и виртуальной памятью.
• VolumeID - Назначение меток томов на дисках FAT или NTFS.
• Whois - Позволяет узнать, кто является владельцем адреса в Интернете.
• Winobj - Предназначена для анализа пространства имен диспетчера объектов.
• ZoomIt - Предназначена для презентаций, используемая для масштабирования изображения на экране.
Список русифицированных утилит:
AutoRuns 13.51 - "Редактор автозагрузки"
ProcExp 16.12 - "Диспетчер задач"
ProcMon 3.20 - "Мониторинг процессов" (объединяет в себе функции FileMon и RegMon)
FileMon 7.03 - "Мониторинг файловых операций"
RegMon 7.03 - "Мониторинг операций с реестром"
DiskView 2.4 - "Просмотр фрагментации диска"
TCPView 3.05 - "Мониторинг сетевых подключений"
PageDfrg 2.32 - "Дефрагментация системных файлов"
AutoRuns
Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов. Также показывает полный перечень путей в реестре и на диске, где может быть настроен автоматический запуск приложений. Утилита очень полезна, и с ее помощью вы можете не только отследить назойливые модули от некогда поставленных и забытых программ, но и отловить какой-нибудь "троянский" модуль (если у вас минимально защищенная система). Утилита AutoRuns отслеживает загружаемые модули и драйверы в локациях. Кроме того, утилита AutoRuns дает возможность просматривать информацию не в обобщенном виде, а по конкретному приложению – для этого в ней реализованы различные закладки.
Process Explorer
Process Explorer - компактная и мощная программа с удобным интерфейсом для мониторинга в режиме реального времени работающих в системе процессов с функциями отладчика. Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д. Среди его возможностей просмотр стека процесса, текстовых строк в образе, управление параметрами безопасности (ACL), просмотр переменных среды, драйверов, хэндлов и загружаемых процессом библиотек, сетевых соединений установленных процессом, управление приоритетом, графический контроль производительности процесса и многое другое, включая полное управление сеансами пользователей в системе. Имеет мощную систему поиска, позволяющую искать процессы, открывающие специфический дескриптор или загружающую определенную DLL. Это делает Process Explorer мощным инструментом для понимания внутреннего поведения приложений, также прослеживающего утечки информации маркера и DLL, несоответствий версий и даже косвенное определение вирусов. Кроме этого, Process Explorer допускает изменение приоритетов процессов, их приостановку (пауза исполнения, "замораживание") и удаление ("убийство") включая дерево запущенных им дочерних процессов. Возможен поиск описания по имени модуля в Google и MSN.
Process Monitor
Программа для мониторинга файловой системы, реестра и процессов в оперативной памяти в реальном времени. Эта утилита объединяет в себе возможности программ FileMon (мониторинг файловой системы), RegMon (мониторинг реестра) и Process Explorer (мониторинг процессов). Process Monitor конролирует и следит за всей работой операционной системы и отображает всё происходящие процессы, работающие библиотеки, различные драйвера устройств, а также все изменения, происходящие с файлами и выводит сообщение об их удалении или открытии. Включает в себя инструмент для мониторинга системного реестра и показывает какие программы обращаются к нему, какие ключи читают и пытаются в них что-либо записать. Ко всему прочему, утилита может предоставить детальную информацию о каждом процессе, какой пользователь её запустил или полный путь к каталогу.
Process Monitor поддерживает расширенную и безвредную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. В утилите доступен просмотр всех загруженных библиотек и внутренних kernel-драйверов различных устройств, вывод детальной информации о каждом процессе (полный путь к файлу, ID сессии, имя пользователя). Каждая колонка с данными, отображаемыми в программе, может перемещаться и удаляться, присутствует возможность устанавливать на каждый тип данных фильтр. Мощная система ведения логов позволяет обрабатывать десятки миллионов различных параметров процессов, происходящих в системе, а весь журнал событий сохранить в файл до 1 гигабайта. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ.
FileMon
Утилита, позволяющая вести мониторинг всех операций с файлами. Она контролирует и отображает всю деятельность файловой системы на компьютере. Программа имеет расширенную и возможность поиска, которые делают ее мощным инструментом для исследования работы Windows, наблюдения, какие приложения используют файлы и DLL, или контроля проблем в системных или прикладных конфигурациях. Имеет удобный фильтр, может сохранять отчет в файле.
Теперь вы знаете, как «подловить» хитрые программы и проследить за их «подпольной» деятельностью. Ведь программы иногда совершают «непотребства» - мусорят временными файлами, множеством ключей в реестре, и даже размещают на диске «шпионов», которые собирают информацию о пользователе, а затем высылают ее через Интернет.
RegMon
Утилита, позволяющая вести мониторинг всех операций с реестром. Она методично следит за обращением запускаемых или уже работающих программ к диску или системному реестру вашего компьютера и подробно «докладывает» обо всех событиях. Можно настроить фильтры, чтобы отслеживать обращения только к определенным ключам. Может сохранять отчет в файле.
DiskView
Программа DiskView выводит графическую схему диска, на которой можно определить местоположение файла или узнать, какой файл занимает те или иные кластеры (для этого нужно щелкнуть кластер мышью). Двойной щелчок позволяет получить более подробную информацию о файле, которому выделен кластер.
TCPView
Программа для мониторинга сетевых подключений, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. В операционных системах Windows NT, 2000 и XP программа TCPView также сообщает имя процесса, которому принадлежит конечная точка.
Она показывает детальный листинг программ и портов, вызывающих TCP и UDP соединения, включая удаленный адрес и статус соединений. При запуске TCPView перечисляет все соединения TCP и UDP, конвертирует все IP адреса в названия доменов, привязанных к ним. По умолчанию программа обновляет листинг каждую секунду, но в настройках можно изменить время обновления. Соединения, которые были обновлены с предыдущего состояния, выделаются желтым цветом, удаленные выделяются красным, а новые - зеленым цветом. Программа TCPView является дополнением программы Netstat, поставляемой вместе с ОС Windows, и предоставляет расширенный набор сведений в более удобной форме. В комплект загрузки программы TCPView входит программа Tcpvcon с теми же функциональными возможностями, предназначенная для работы в режиме командной строки.
PageDefrag
Утилита для дефрагментации системного реестра. Кроме этого, программа умеет дефрагментировать системные файлы - например pagefile.sys и hiberfil.sys, которые на отрез отказывается оптимизировать стандартный дефрагментатор. Программа очень проста и удобна, работает без инсталляции, а также есть поддержка командной строки. Собственно говоря, эта утилита предназначена только для этого и делает она это хорошо.
PsExec
Позволяет удаленно запускать процессы, а также запускать любую программу от имени СИСТЕМА:
PsExec.exe -i -d -s ПРОГРАММА