Seifreed
09-14-2009, 06:44 PM
Sigamos con la segunda parte si quieres ver la primera parte visita aqui
Fport, Sysinternals y PStools herramientas imprescindibles I-III (http://comunidad.dragonjar.org/f167/fport-sysinternals-y-pstools-herramientas-imprescindibles-i-iii-8345/)
PendMoves and Moves Files
Que es y para que sirve?
Hay varias aplicaciones, como paquetes de servicio y las revisiones, que debe reemplazar un archivo que está en uso y no puede. Windows por lo tanto proporciona la API de MoveFileEx para renombrar o borrar un archivo y permite que la persona que llama para especificar que desea que la operación tenga lugar la próxima vez que arranque el sistema, antes de que se hace referencia a los archivos. Session Manager realiza esta tarea mediante la lectura del registro renombrar y borrar los comandos de la clave HKLM \ System \ CurrentControlSet \ Control Manager \ Session \ PendingFileRenameOperations valor.
En esta aplicación se vuelca el contenido de la espera de borrar el nombre o el valor y también informa de un error cuando el archivo de código fuente no es accesible. Esta es resultado de un ejemplo que muestra un archivo de instalación temporal calendario para su eliminación en el próximo reinicio del sistema:
Veamos un ejemplo.
C: \> pendmovesPendMove v1.02
Copyright (C) 2004 Mark Russinovich
Sysinternals – wwww.sysinternals.com
Fuente: C: \ Config.Msi \ 3ec7bbbf.rbf
Objetivo: DELETE
PipeList
Que es y para que sirve?
¿Sabía usted que el controlador de dispositivo que implementa las canalizaciones con nombre en realidad es un controlador de sistema de archivo “De hecho, el nombre del conductor es NPFS.SYS, por” canalización del sistema de archivos “. Lo que puede que encuentre sorprendente es que su posible obtener una lista de directorios de las canalizaciones con nombre definido en un sistema. Este hecho no está documentado, ni es posible hacer esto utilizando la API Win32. utilizando directamente NtQueryDirectoryFile, la función nativa que la API de Win32 FindFile confiar, permite a la lista de tuberías. NPH El listado de directorio devuelve también indica el número máximo de instancias de canalización establecido para cada tubo y el número de casos activos.
Para demostrar la lista de las canalizaciones con nombre que he escrito un programa llamado PipeList. PipeList muestra las canalizaciones con nombre en su sistema, incluyendo el número de casos máximo y los casos activos para cada tubo.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/pipelist.png?w=500&h=244
Sigamos
Portmon
Que es y para que sirve?
Portmon es una utilidad que monitoriza y muestra toda la actividad del puerto serie y paralelo en un sistema. Se ha avanzado de filtrado y capacidades de búsqueda que la hacen una herramienta de gran alcance de Windows para explorar la forma en que funciona, ver cómo las aplicaciones utilizan los puertos, o localizar problemas en el sistema o configuraciones de aplicación.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/portmon.gif?w=440&h=275
Adelante con el siguiente:
ProcDump
ProcDump es una utilidad de línea de comandos cuya principal finalidad es el seguimiento de una solicitud de los picos de CPU y la generación de vertederos de accidente durante una espiga que un administrador o desarrollador puede utilizar para determinar la causa de la punta. ProcDump también incluye la supervisión de la ventana colgaba (utilizando la misma definición de una ventana de Windows que se bloquea y utilizar el Administrador de tareas) y la supervisión de excepción no controlada. También puede servir como un proceso general de volcado de utilidad que se puede integrar en otros scripts.
Modo de Uso:
Uso ProcDump
de uso: procdump [-64] [-c uso de la CPU [-u] [-s segundos] [-n superior]] [-h] [E] [MA] [-r] [-o] [[< nombre de proceso o PID> [archivo de volcado]] | [-x <image file> <dump file> [argumentos]]
-64Por procdump defecto capturar un volcado de 32-bit de un proceso de 32 bits cuando se ejecuta en Windows 64-bit. Esta opción reemplaza la creación de un vertedero de 64 bits.–cDe umbral de la CPU en la que crear un volcado del proceso.–EEscribir una descarga cuando el proceso se encuentra con una excepción no controlada.–hEscribir volcado si el proceso se ha colgado de una ventana.–maEscribir un archivo de volcado de memoria con todos los procesos. El formato incluye defaultdump hilo y manejar la información.-nNúmero de vertederos a escribir antes de salir.-OSobrescribir un archivo de volcado existente.-rReflexionar (clon) el proceso de volcado para minimizar el tiempo el proceso se ha suspendido (Windows 7 y superiores).-sConsecutivos segundo umbral de la CPU debe ser golpeado por escrito antes de que se descarga (por defecto es 10).-UTratar el uso de CPU con respecto a un único núcleo.-xLanzamiento de la imagen especificada con argumentos opcionales.
Veamos un ejemplo:
Escribir hasta 3 vertederos de un proceso llamado “consumen” cuando se supera el 20% de uso de CPU durante tres segundos para el directoryc: \ Dump \ consumir con el consume.dmp nombre:
C: \> procdump C-20-N 3-o consumir c: \ Dump \ consumen
Escribir una descarga de un proceso llamado ‘hang.exe “cuando una de sus ventanas no responde por más de 5 segundos:
C: \>-procdump hungwindow.dmp hang.exe h
Iniciar un proceso y su seguimiento por el uso excesivo de CPU:
C: \> procdump C-30-s 10-X consume.dmp consume.exe
Escribir una descarga de un proceso llamado “iexplore” para descargar un archivo que tiene el iexplore.dmp nombre por defecto:
C: \> iexplore procdump
Siguiente herramienta
ProcesExplorer
Que es y para que Sirve?
Alguna vez se preguntó qué programa tiene un archivo o directorio abierto? Ahora puede averiguarlo. Process Explorer se muestra información acerca de que se ocupa de los procesos y DLLs han abierto o cargado.
El Process Explorer pantalla se compone de dos sub-ventanas. La ventana superior muestra siempre una lista de los procesos actualmente activos, incluyendo los nombres de las cuentas que poseen, mientras que la información que aparece en la ventana inferior depende del modo que Process Explorer está en: si está en el modo de manejar verá los identificadores que el proceso seleccionado en la ventana superior se ha abierto, y si Process Explorer está en modo de DLL verá los archivos DLL y los archivos asignados en memoria que el proceso se ha cargado. Process Explorer también tiene una potente capacidad de búsqueda que rápidamente le mostrará en qué procesos se han abierto o se ocupa en particular DLL cargado.
Las capacidades únicas de Process Explorer hacerlo útil para la localización de los problemas de la versión de DLL o pérdidas de identificadores, y proporcionar información sobre la manera de Windows y las aplicaciones de trabajo.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/proces_explorer.png?w=499&h=355
Sigamos con otra herramienta:
ProcesMonitor
Process Monitor es una herramienta de monitorización avanzada para Windows que muestra real del sistema de archivos de tiempo, el registro y proceso / actividad hilo. Combina las características de dos utilidades de Sysinternals legado, Filemón y Regmon, Y añade una amplia lista de mejoras que incluyen rico y no destructivo de filtrado, propiedades integral de eventos como los identificadores de sesión y nombres de usuario, procesar la información fiable, completa pilas de subprocesos con el apoyo símbolo integrado para cada operación, registro simultáneo en un archivo, y mucho más . Sus características, única y poderosa hará Process Monitor una utilidad fundamental en su sistema de solución de problemas y kit de herramientas de caza de malware.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/proces_monitor.png?w=500&h=360
Sigamos con otra herramienta
ProcFeatures
ProcessorFeatures es un no-applet de lujos que utiliza el IsProcessorFeaturePresent API de Windows para determinar si el procesador de Windows y soporta varias características como n º de páginas de ejecución, Extensiones de dirección física (PAE), y una real lucha contra el ciclo de tiempo. Su objetivo principal es identificar el sistema está ejecutando la versión del kernel de PAE y que el apoyo de no ejecutar la protección de desbordamiento de búfer.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/proc_features.png?w=500&h=279
Sigamos con otra herramienta
PsExec
Que es y para que sirve?
Las utilidades como Telnet y programas de control remoto, como PC Anywhere de Symantec permiten ejecutar programas en sistemas remotos, pero puede ser un dolor de establecer y exigir que instalar software cliente en el sistema remoto que desea acceder. PsExec es una luz-telnet peso de reemplazo que le permite ejecutar procesos en otros sistemas, con la interactividad completa para aplicaciones de consola, sin tener que instalar manualmente el software de cliente. Usos más poderosos PsExec incluyen el lanzamiento de comandos interactivos de indicaciones que aparecen en sistemas remotos y distantes-como herramientas que permiten a IpConfig que de otro modo no tienen la capacidad de mostrar información sobre los sistemas remotos.
Nota: algunos exploradores antivirus informan de que uno o más de las herramientas están infectadas con el admin un “remoto” de virus. Ninguna de las PsTools contiene virus, pero que han sido utilizados por los virus, que es por eso que activar las notificaciones de virus.
Como funciona?
Uso: psexec [\ \ equipo [, computer2 [,...] | @ archivo] [-u usuario [-p Alta Recordatorio]] [-ns] [-l] [-s |-e] [-x] [ -i [reunión]] [-c [-f |-v]] [-w directorio] [-d] [- <priority>] [-an, n, ... ] Cmd [argumentos]
ordenadorDirecto PsExec para ejecutar la aplicación en el equipo o equipos especificados. Si se omite el nombre del equipo PsExec ejecuta la aplicación en el sistema local y si escribe un nombre de equipo de “\ \ *” PsExec ejecuta las aplicaciones en todos los equipos del dominio actual.@ archivoDirige PsExec para ejecutar el comando en cada equipo incluido en el archivo de texto especificado.-aProcesadores separados en los que la aplicación se puede ejecutar con comas donde 1 es el número más bajo de la CPU. Por ejemplo, para ejecutar la aplicación en la CPU 2 y la CPU 4, escriba: “-a 2,4″-cCopia el programa especificado en el sistema remoto para su ejecución. Si se omite esta opción, entonces la aplicación debe estar en la ruta del sistema en el sistema remoto.-dNo espere a que la aplicación termine. Sólo utilice esta opción para aplicaciones no interactivas.-ENo se carga el perfil de la cuenta especificada.-fCopia el programa especificado en el sistema remoto, incluso si el archivo ya existe en el sistema remoto.-iEjecute el programa para que interactúe con el escritorio de la sesión especificada en el sistema remoto. Si no se especifica el período de sesiones proceso se ejecuta en la sesión de consola.-lProceso de ejecución como usuario limitado (las bandas del grupo Administradores y sólo permite que los privilegios asignados al grupo de usuarios). En Windows Vista, el proceso se ejecuta con baja Integridad.-nEspecifica el tiempo de espera en segundos de conexión a ordenadores remotos.-pEspecifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.-sProceso de ejecución remoto en la cuenta del sistema.-UEspecifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.-vCopia el archivo especificado sólo si tiene un número de versión mayor, o es más reciente en que el uno en el sistema remoto.-wEstablezca el directorio de trabajo del proceso (en relación con el equipo remoto).-xMostrar la interfaz de usuario en el escritorio de Winlogon (sistema local solamente).prioridadEspecifica-baja,-Debajo de lo normal,-Arriba de lo normal, alta o-en tiempo real para ejecutar el proceso en una prioridad distinta. Utilice fondo para ejecutar en poca memoria y E / S de prioridad en Vista.programaNombre del programa a ejecutar.argumentosArgumentos para transmitir (nota que las rutas de archivo debe ser la ruta absoluta en el sistema de destino)
Veamos un ejemplo.
psexec-i-d-s c: \ windows \ regedit.exe
Sigamos con otra herramienta
PsFile
Que es y para que sirve?
El “archivo de red” comando muestra una lista de los archivos que otros equipos han abierto en el sistema sobre el cual se ejecuta el comando, sin embargo, trunca los nombres de ruta largos y no le permiten ver que la información de sistemas remotos. PsFile es una utilidad de línea de comando que muestra una lista de archivos en un sistema que se abren de forma remota, y también le permite cerrar los archivos abiertos por nombre o por un identificador de archivo.
Modo de uso
Uso: psfile [\ \ RemoteComputer [-u usuario [-p Contraseña]]] [[| Id. de ruta] [-c]]
-UEspecifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.-pEspecifica la contraseña para el nombre de usuario. Si se omite esto, se le pedirá que introduzca la contraseña sin que se hizo eco de la pantalla.IdIdentificador (que le asigne el PsFile) del archivo para el que se mostrará la información o para cerrar.RutaRuta de acceso completa o parcial de los archivos a la altura de mostrar la información o cerrar.-cCierra los archivos de identificarse con DNI o ruta de acceso.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/ps_file.png?w=413&h=251
Ahora sigamos con otra herramienta
PsGetSid
Que es y para que sirve?
¿Ha realizado un despliegue, sólo para descubrir que la red podría sufrir el problema de la duplicación SID? Con el fin de saber qué sistemas tienen que ser asignado un nuevo SID (con un actualizador SID como el nuestro NewSID (http://technet.microsoft.com/es-es/sysinternals/bb897418(en-us).aspx)), Usted tiene que saber qué máquina de un ordenador SID. Hasta ahora, no ha habido una manera de decirle a la máquina sin saber trucos SID Regedit y exactamente dónde buscar en el Registro. PsGetSid hace que la lectura de un ordenador SID fácil, y funciona a través de la red para que pueda DIM consulta a distancia. PsGetSid También te permite ver el SID de las cuentas de usuario y traducir un SID en el nombre que lo representa.
Modo de uso
Uso: PsGetSid [\ \ equipo [, equipo [,...] | @ archivo] [-U usuario [-p contraseña]]] [Cuenta | SID]
Veamos un ejemplo
http://seifreed.files.wordpress.com/2009/09/psgetsid.png?w=500&h=250
Sigamos con otra herramienta
PsInfo
PsInfo es una herramienta de línea de comandos que obtiene información clave sobre el sistema Windows NT/2000 local o remoto, incluyendo el tipo de instalación, la construcción del kernel, la organización social y el propietario, el número de procesadores y su tipo, la cantidad de memoria física, la fecha de instalación del sistema, y si es una versión de prueba, la fecha de vencimiento.
Modo de Uso
Uso: psinfo [[\ \ equipo [, equipo [,..] | @ file [-u usuario
[Alta Recordatorio-p]]] [-h] [-s] [-d] [-c [-t delimiter]] [filtro]
\ \ equipoEjecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.@ archivoEjecute el comando en cada equipo incluido en el archivo de texto especificado.-UEspecifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.-pEspecifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.-hMuestra la lista de las revisiones instaladas.-sMostrar la lista de aplicaciones instaladas.-dMostrar volumen de información en disco.-cImprimir en formato CSV.-tEl delimitador por defecto para la opción-c es una coma, pero puede ser anulado con el carácter especificado.FiltroPsinfo sólo mostrará los datos para el campo coincidan con el filtro. por ejemplo, “El servicio psinfo” listas sólo el campo de Service Pack.
Veamos un ejemplo:
Obtenemos Informacion
http://seifreed.files.wordpress.com/2009/09/psinfo.png?w=464&h=142
Información Obtenida
http://seifreed.files.wordpress.com/2009/09/psinfo_2.png?w=500&h=282
Obteniendo informacion en remoto
http://seifreed.files.wordpress.com/2009/09/psinfo_3.png?w=499&h=110
Informacion remota obtenida
http://seifreed.files.wordpress.com/2009/09/psinfo_4.png?w=500&h=284
PSKill
Que es y para que sirve?
Windows NT/2000 no viene con una línea de comandos de utilidad de matar “. Usted puede obtener una en el de Windows NT o Win2K Kit de recursos, pero la utilidad del kit sólo puede poner fin a los procesos en el equipo local. PsKill es una utilidad de matar que no sólo la versión del Kit de recursos en sí, pero también puede matar procesos en sistemas remotos. Ni siquiera tiene que instalar un cliente en el equipo de destino para el uso PsKill a poner fin a un proceso remoto
Modo de uso
Uso: pskill [-] [-t] [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] nombre <process | proceso id>
–Muestra las opciones de apoyo.-tMatar el proceso y sus descendientes.\ \ equipoEspecifica el equipo en el que el proceso que desea terminar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT.-u nombre de usuarioSi desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsKill le pedirá la contraseña sin eco de sus aportaciones a la pantalla.-p contraseñaEsta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p-PsList le solicita una contraseña de forma interactiva.identificador de procesoEspecifica el ID del proceso del proceso que se quieren matar.Nombre del procesoEspecifica
Veamos un ejemplo:
Matamos proceso en local
http://seifreed.files.wordpress.com/2009/09/pskill.png?w=378&h=128
Matamos proceso en remoto
http://seifreed.files.wordpress.com/2009/09/pskill_2.png?w=500&h=86
Sigamos
PsList
Que es y para que sirve?
Al igual que Windows NT/2K ’s integrado en la herramienta de seguimiento PerfMon, PsList utiliza los contadores de rendimiento de Windows NT/2K para obtener la información que muestra. Usted puede encontrar documentación de los contadores de rendimiento de Windows NT/2K, incluyendo el código fuente de Windows NT incorporado en el monitor de rendimiento, PerfMon, en MSDN.
Modo de uso
exp PsListse muestran las estadísticas de todos los procesos que comienzan con “CAD”, que incluiría Explorer.-dMostrar detalles hilo.-mMostrar los detalles de memoria.-xMostrar los procesos, información de la memoria y subprocesos.-tMostrar árbol de procesos.-s [n]Ejecutar en modo de administrador de tareas, por segundo opcional especificado. Pulse Escape para cancelar.-r nTarea modo de Administrador de actualización en el segundo (por defecto es 1).\ \ equipoEn lugar de mostrar información de proceso para el sistema local, PsList mostrará la información para el sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto.-USi el usuario desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsList le pedirá la contraseña sin eco de sus aportaciones a la pantalla.-pla contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsList le pide una contraseña de forma interactiva.nombreMuestra información sobre los procesos que comienzan con el nombre especificado.-EExacta coincide con el nombre del proceso.pidEn lugar de una lista de todos los procesos que se ejecutan en el sistema, este parámetro se estrecha PsList’s escanear a lLa proceso que tiene el PID especificado. Así:
PsList 53
habría volcado de estadísticas para el proceso con el PID 53.Veamos un ejemplo
En local
http://seifreed.files.wordpress.com/2009/09/pslist.png?w=486&h=327
En remoto
http://seifreed.files.wordpress.com/2009/09/pslist_2.png?w=500&h=249
Sigamos
PsLoggedOn
Que es y para que sirve?
Se puede determinar quién está utilizando los recursos en el equipo local con el comando “net” ( “net session”), sin embargo, no hay forma integrada para determinar quién está utilizando los recursos de un equipo remoto. Además, NT viene con ninguna herramienta para ver quién está conectado a un ordenador, ya sea local o remota. PsLoggedOn es un applet que muestra tanto la sesión iniciada localmente en los usuarios y usuarios conectados a través de los recursos para el equipo local, o un mando a distancia. Si se especifica un nombre de usuario en lugar de un ordenador, PsLoggedOn búsquedas de los ordenadores en el entorno de red y le indica si el usuario no está conectado.
PsLoggedOn’s definición de un usuario con sesión iniciada localmente es uno que tiene su perfil cargado en el Registro, por lo que PsLoggedOn determina quién está conectado mediante el escaneo de las claves en la clave HKEY_USERS. Para cada clave que tiene un nombre que es un SID de usuario (identificador de seguridad), PsLoggedOn busca el nombre de usuario correspondiente y lo muestra. Para determinar quién está conectado a un ordenador a través de acciones de los recursos, PsLoggedOn utiliza la NetSessionEnum API. Tenga en cuenta que PsLoggedOn te mostrará como conectado a través de compartir recursos a los equipos remotos que se consulta, porque un inicio de sesión es necesaria para PsLoggedOn para acceder al Registro de un sistema remoto.
Como funciona
Uso: PsLoggedOn [-] [-l] [-x] [\ \ | nombreDeEquipo nombre de usuario]
–Muestra las opciones de apoyo y las unidades de medida utilizada para los valores de salida.-lMuestra sólo los inicios de sesión local en lugar de los inicios de sesión tanto de los recursos locales y de red.-xNo mostrar los tiempos de inicio de sesión.\ \ nombre de equipoEspecifica el nombre del equipo para el que a la lista de información de inicio de sesión.nombre de usuarioSi se especifica un nombre de usuario PsLoggedOn busca en la red de computadoras para que dicho usuario inicia sesión. Esto es útil si desea asegurarse de que un usuario particular no está conectado cuando está a punto de cambiar su configuración de perfil de usuario.
Veamos un ejemplo
http://seifreed.files.wordpress.com/2009/09/psloggedon.png?w=497&h=136
Bueno continuaremos en la tercera entrega http://s.wordpress.com/wp-includes/images/smilies/icon_biggrin.gif
Fport, Sysinternals y PStools herramientas imprescindibles I-III (http://comunidad.dragonjar.org/f167/fport-sysinternals-y-pstools-herramientas-imprescindibles-i-iii-8345/)
PendMoves and Moves Files
Que es y para que sirve?
Hay varias aplicaciones, como paquetes de servicio y las revisiones, que debe reemplazar un archivo que está en uso y no puede. Windows por lo tanto proporciona la API de MoveFileEx para renombrar o borrar un archivo y permite que la persona que llama para especificar que desea que la operación tenga lugar la próxima vez que arranque el sistema, antes de que se hace referencia a los archivos. Session Manager realiza esta tarea mediante la lectura del registro renombrar y borrar los comandos de la clave HKLM \ System \ CurrentControlSet \ Control Manager \ Session \ PendingFileRenameOperations valor.
En esta aplicación se vuelca el contenido de la espera de borrar el nombre o el valor y también informa de un error cuando el archivo de código fuente no es accesible. Esta es resultado de un ejemplo que muestra un archivo de instalación temporal calendario para su eliminación en el próximo reinicio del sistema:
Veamos un ejemplo.
C: \> pendmovesPendMove v1.02
Copyright (C) 2004 Mark Russinovich
Sysinternals – wwww.sysinternals.com
Fuente: C: \ Config.Msi \ 3ec7bbbf.rbf
Objetivo: DELETE
PipeList
Que es y para que sirve?
¿Sabía usted que el controlador de dispositivo que implementa las canalizaciones con nombre en realidad es un controlador de sistema de archivo “De hecho, el nombre del conductor es NPFS.SYS, por” canalización del sistema de archivos “. Lo que puede que encuentre sorprendente es que su posible obtener una lista de directorios de las canalizaciones con nombre definido en un sistema. Este hecho no está documentado, ni es posible hacer esto utilizando la API Win32. utilizando directamente NtQueryDirectoryFile, la función nativa que la API de Win32 FindFile confiar, permite a la lista de tuberías. NPH El listado de directorio devuelve también indica el número máximo de instancias de canalización establecido para cada tubo y el número de casos activos.
Para demostrar la lista de las canalizaciones con nombre que he escrito un programa llamado PipeList. PipeList muestra las canalizaciones con nombre en su sistema, incluyendo el número de casos máximo y los casos activos para cada tubo.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/pipelist.png?w=500&h=244
Sigamos
Portmon
Que es y para que sirve?
Portmon es una utilidad que monitoriza y muestra toda la actividad del puerto serie y paralelo en un sistema. Se ha avanzado de filtrado y capacidades de búsqueda que la hacen una herramienta de gran alcance de Windows para explorar la forma en que funciona, ver cómo las aplicaciones utilizan los puertos, o localizar problemas en el sistema o configuraciones de aplicación.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/portmon.gif?w=440&h=275
Adelante con el siguiente:
ProcDump
ProcDump es una utilidad de línea de comandos cuya principal finalidad es el seguimiento de una solicitud de los picos de CPU y la generación de vertederos de accidente durante una espiga que un administrador o desarrollador puede utilizar para determinar la causa de la punta. ProcDump también incluye la supervisión de la ventana colgaba (utilizando la misma definición de una ventana de Windows que se bloquea y utilizar el Administrador de tareas) y la supervisión de excepción no controlada. También puede servir como un proceso general de volcado de utilidad que se puede integrar en otros scripts.
Modo de Uso:
Uso ProcDump
de uso: procdump [-64] [-c uso de la CPU [-u] [-s segundos] [-n superior]] [-h] [E] [MA] [-r] [-o] [[< nombre de proceso o PID> [archivo de volcado]] | [-x <image file> <dump file> [argumentos]]
-64Por procdump defecto capturar un volcado de 32-bit de un proceso de 32 bits cuando se ejecuta en Windows 64-bit. Esta opción reemplaza la creación de un vertedero de 64 bits.–cDe umbral de la CPU en la que crear un volcado del proceso.–EEscribir una descarga cuando el proceso se encuentra con una excepción no controlada.–hEscribir volcado si el proceso se ha colgado de una ventana.–maEscribir un archivo de volcado de memoria con todos los procesos. El formato incluye defaultdump hilo y manejar la información.-nNúmero de vertederos a escribir antes de salir.-OSobrescribir un archivo de volcado existente.-rReflexionar (clon) el proceso de volcado para minimizar el tiempo el proceso se ha suspendido (Windows 7 y superiores).-sConsecutivos segundo umbral de la CPU debe ser golpeado por escrito antes de que se descarga (por defecto es 10).-UTratar el uso de CPU con respecto a un único núcleo.-xLanzamiento de la imagen especificada con argumentos opcionales.
Veamos un ejemplo:
Escribir hasta 3 vertederos de un proceso llamado “consumen” cuando se supera el 20% de uso de CPU durante tres segundos para el directoryc: \ Dump \ consumir con el consume.dmp nombre:
C: \> procdump C-20-N 3-o consumir c: \ Dump \ consumen
Escribir una descarga de un proceso llamado ‘hang.exe “cuando una de sus ventanas no responde por más de 5 segundos:
C: \>-procdump hungwindow.dmp hang.exe h
Iniciar un proceso y su seguimiento por el uso excesivo de CPU:
C: \> procdump C-30-s 10-X consume.dmp consume.exe
Escribir una descarga de un proceso llamado “iexplore” para descargar un archivo que tiene el iexplore.dmp nombre por defecto:
C: \> iexplore procdump
Siguiente herramienta
ProcesExplorer
Que es y para que Sirve?
Alguna vez se preguntó qué programa tiene un archivo o directorio abierto? Ahora puede averiguarlo. Process Explorer se muestra información acerca de que se ocupa de los procesos y DLLs han abierto o cargado.
El Process Explorer pantalla se compone de dos sub-ventanas. La ventana superior muestra siempre una lista de los procesos actualmente activos, incluyendo los nombres de las cuentas que poseen, mientras que la información que aparece en la ventana inferior depende del modo que Process Explorer está en: si está en el modo de manejar verá los identificadores que el proceso seleccionado en la ventana superior se ha abierto, y si Process Explorer está en modo de DLL verá los archivos DLL y los archivos asignados en memoria que el proceso se ha cargado. Process Explorer también tiene una potente capacidad de búsqueda que rápidamente le mostrará en qué procesos se han abierto o se ocupa en particular DLL cargado.
Las capacidades únicas de Process Explorer hacerlo útil para la localización de los problemas de la versión de DLL o pérdidas de identificadores, y proporcionar información sobre la manera de Windows y las aplicaciones de trabajo.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/proces_explorer.png?w=499&h=355
Sigamos con otra herramienta:
ProcesMonitor
Process Monitor es una herramienta de monitorización avanzada para Windows que muestra real del sistema de archivos de tiempo, el registro y proceso / actividad hilo. Combina las características de dos utilidades de Sysinternals legado, Filemón y Regmon, Y añade una amplia lista de mejoras que incluyen rico y no destructivo de filtrado, propiedades integral de eventos como los identificadores de sesión y nombres de usuario, procesar la información fiable, completa pilas de subprocesos con el apoyo símbolo integrado para cada operación, registro simultáneo en un archivo, y mucho más . Sus características, única y poderosa hará Process Monitor una utilidad fundamental en su sistema de solución de problemas y kit de herramientas de caza de malware.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/proces_monitor.png?w=500&h=360
Sigamos con otra herramienta
ProcFeatures
ProcessorFeatures es un no-applet de lujos que utiliza el IsProcessorFeaturePresent API de Windows para determinar si el procesador de Windows y soporta varias características como n º de páginas de ejecución, Extensiones de dirección física (PAE), y una real lucha contra el ciclo de tiempo. Su objetivo principal es identificar el sistema está ejecutando la versión del kernel de PAE y que el apoyo de no ejecutar la protección de desbordamiento de búfer.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/proc_features.png?w=500&h=279
Sigamos con otra herramienta
PsExec
Que es y para que sirve?
Las utilidades como Telnet y programas de control remoto, como PC Anywhere de Symantec permiten ejecutar programas en sistemas remotos, pero puede ser un dolor de establecer y exigir que instalar software cliente en el sistema remoto que desea acceder. PsExec es una luz-telnet peso de reemplazo que le permite ejecutar procesos en otros sistemas, con la interactividad completa para aplicaciones de consola, sin tener que instalar manualmente el software de cliente. Usos más poderosos PsExec incluyen el lanzamiento de comandos interactivos de indicaciones que aparecen en sistemas remotos y distantes-como herramientas que permiten a IpConfig que de otro modo no tienen la capacidad de mostrar información sobre los sistemas remotos.
Nota: algunos exploradores antivirus informan de que uno o más de las herramientas están infectadas con el admin un “remoto” de virus. Ninguna de las PsTools contiene virus, pero que han sido utilizados por los virus, que es por eso que activar las notificaciones de virus.
Como funciona?
Uso: psexec [\ \ equipo [, computer2 [,...] | @ archivo] [-u usuario [-p Alta Recordatorio]] [-ns] [-l] [-s |-e] [-x] [ -i [reunión]] [-c [-f |-v]] [-w directorio] [-d] [- <priority>] [-an, n, ... ] Cmd [argumentos]
ordenadorDirecto PsExec para ejecutar la aplicación en el equipo o equipos especificados. Si se omite el nombre del equipo PsExec ejecuta la aplicación en el sistema local y si escribe un nombre de equipo de “\ \ *” PsExec ejecuta las aplicaciones en todos los equipos del dominio actual.@ archivoDirige PsExec para ejecutar el comando en cada equipo incluido en el archivo de texto especificado.-aProcesadores separados en los que la aplicación se puede ejecutar con comas donde 1 es el número más bajo de la CPU. Por ejemplo, para ejecutar la aplicación en la CPU 2 y la CPU 4, escriba: “-a 2,4″-cCopia el programa especificado en el sistema remoto para su ejecución. Si se omite esta opción, entonces la aplicación debe estar en la ruta del sistema en el sistema remoto.-dNo espere a que la aplicación termine. Sólo utilice esta opción para aplicaciones no interactivas.-ENo se carga el perfil de la cuenta especificada.-fCopia el programa especificado en el sistema remoto, incluso si el archivo ya existe en el sistema remoto.-iEjecute el programa para que interactúe con el escritorio de la sesión especificada en el sistema remoto. Si no se especifica el período de sesiones proceso se ejecuta en la sesión de consola.-lProceso de ejecución como usuario limitado (las bandas del grupo Administradores y sólo permite que los privilegios asignados al grupo de usuarios). En Windows Vista, el proceso se ejecuta con baja Integridad.-nEspecifica el tiempo de espera en segundos de conexión a ordenadores remotos.-pEspecifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.-sProceso de ejecución remoto en la cuenta del sistema.-UEspecifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.-vCopia el archivo especificado sólo si tiene un número de versión mayor, o es más reciente en que el uno en el sistema remoto.-wEstablezca el directorio de trabajo del proceso (en relación con el equipo remoto).-xMostrar la interfaz de usuario en el escritorio de Winlogon (sistema local solamente).prioridadEspecifica-baja,-Debajo de lo normal,-Arriba de lo normal, alta o-en tiempo real para ejecutar el proceso en una prioridad distinta. Utilice fondo para ejecutar en poca memoria y E / S de prioridad en Vista.programaNombre del programa a ejecutar.argumentosArgumentos para transmitir (nota que las rutas de archivo debe ser la ruta absoluta en el sistema de destino)
Veamos un ejemplo.
psexec-i-d-s c: \ windows \ regedit.exe
Sigamos con otra herramienta
PsFile
Que es y para que sirve?
El “archivo de red” comando muestra una lista de los archivos que otros equipos han abierto en el sistema sobre el cual se ejecuta el comando, sin embargo, trunca los nombres de ruta largos y no le permiten ver que la información de sistemas remotos. PsFile es una utilidad de línea de comando que muestra una lista de archivos en un sistema que se abren de forma remota, y también le permite cerrar los archivos abiertos por nombre o por un identificador de archivo.
Modo de uso
Uso: psfile [\ \ RemoteComputer [-u usuario [-p Contraseña]]] [[| Id. de ruta] [-c]]
-UEspecifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.-pEspecifica la contraseña para el nombre de usuario. Si se omite esto, se le pedirá que introduzca la contraseña sin que se hizo eco de la pantalla.IdIdentificador (que le asigne el PsFile) del archivo para el que se mostrará la información o para cerrar.RutaRuta de acceso completa o parcial de los archivos a la altura de mostrar la información o cerrar.-cCierra los archivos de identificarse con DNI o ruta de acceso.
Veamos un ejemplo:
http://seifreed.files.wordpress.com/2009/09/ps_file.png?w=413&h=251
Ahora sigamos con otra herramienta
PsGetSid
Que es y para que sirve?
¿Ha realizado un despliegue, sólo para descubrir que la red podría sufrir el problema de la duplicación SID? Con el fin de saber qué sistemas tienen que ser asignado un nuevo SID (con un actualizador SID como el nuestro NewSID (http://technet.microsoft.com/es-es/sysinternals/bb897418(en-us).aspx)), Usted tiene que saber qué máquina de un ordenador SID. Hasta ahora, no ha habido una manera de decirle a la máquina sin saber trucos SID Regedit y exactamente dónde buscar en el Registro. PsGetSid hace que la lectura de un ordenador SID fácil, y funciona a través de la red para que pueda DIM consulta a distancia. PsGetSid También te permite ver el SID de las cuentas de usuario y traducir un SID en el nombre que lo representa.
Modo de uso
Uso: PsGetSid [\ \ equipo [, equipo [,...] | @ archivo] [-U usuario [-p contraseña]]] [Cuenta | SID]
Veamos un ejemplo
http://seifreed.files.wordpress.com/2009/09/psgetsid.png?w=500&h=250
Sigamos con otra herramienta
PsInfo
PsInfo es una herramienta de línea de comandos que obtiene información clave sobre el sistema Windows NT/2000 local o remoto, incluyendo el tipo de instalación, la construcción del kernel, la organización social y el propietario, el número de procesadores y su tipo, la cantidad de memoria física, la fecha de instalación del sistema, y si es una versión de prueba, la fecha de vencimiento.
Modo de Uso
Uso: psinfo [[\ \ equipo [, equipo [,..] | @ file [-u usuario
[Alta Recordatorio-p]]] [-h] [-s] [-d] [-c [-t delimiter]] [filtro]
\ \ equipoEjecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.@ archivoEjecute el comando en cada equipo incluido en el archivo de texto especificado.-UEspecifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.-pEspecifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.-hMuestra la lista de las revisiones instaladas.-sMostrar la lista de aplicaciones instaladas.-dMostrar volumen de información en disco.-cImprimir en formato CSV.-tEl delimitador por defecto para la opción-c es una coma, pero puede ser anulado con el carácter especificado.FiltroPsinfo sólo mostrará los datos para el campo coincidan con el filtro. por ejemplo, “El servicio psinfo” listas sólo el campo de Service Pack.
Veamos un ejemplo:
Obtenemos Informacion
http://seifreed.files.wordpress.com/2009/09/psinfo.png?w=464&h=142
Información Obtenida
http://seifreed.files.wordpress.com/2009/09/psinfo_2.png?w=500&h=282
Obteniendo informacion en remoto
http://seifreed.files.wordpress.com/2009/09/psinfo_3.png?w=499&h=110
Informacion remota obtenida
http://seifreed.files.wordpress.com/2009/09/psinfo_4.png?w=500&h=284
PSKill
Que es y para que sirve?
Windows NT/2000 no viene con una línea de comandos de utilidad de matar “. Usted puede obtener una en el de Windows NT o Win2K Kit de recursos, pero la utilidad del kit sólo puede poner fin a los procesos en el equipo local. PsKill es una utilidad de matar que no sólo la versión del Kit de recursos en sí, pero también puede matar procesos en sistemas remotos. Ni siquiera tiene que instalar un cliente en el equipo de destino para el uso PsKill a poner fin a un proceso remoto
Modo de uso
Uso: pskill [-] [-t] [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] nombre <process | proceso id>
–Muestra las opciones de apoyo.-tMatar el proceso y sus descendientes.\ \ equipoEspecifica el equipo en el que el proceso que desea terminar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT.-u nombre de usuarioSi desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsKill le pedirá la contraseña sin eco de sus aportaciones a la pantalla.-p contraseñaEsta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p-PsList le solicita una contraseña de forma interactiva.identificador de procesoEspecifica el ID del proceso del proceso que se quieren matar.Nombre del procesoEspecifica
Veamos un ejemplo:
Matamos proceso en local
http://seifreed.files.wordpress.com/2009/09/pskill.png?w=378&h=128
Matamos proceso en remoto
http://seifreed.files.wordpress.com/2009/09/pskill_2.png?w=500&h=86
Sigamos
PsList
Que es y para que sirve?
Al igual que Windows NT/2K ’s integrado en la herramienta de seguimiento PerfMon, PsList utiliza los contadores de rendimiento de Windows NT/2K para obtener la información que muestra. Usted puede encontrar documentación de los contadores de rendimiento de Windows NT/2K, incluyendo el código fuente de Windows NT incorporado en el monitor de rendimiento, PerfMon, en MSDN.
Modo de uso
exp PsListse muestran las estadísticas de todos los procesos que comienzan con “CAD”, que incluiría Explorer.-dMostrar detalles hilo.-mMostrar los detalles de memoria.-xMostrar los procesos, información de la memoria y subprocesos.-tMostrar árbol de procesos.-s [n]Ejecutar en modo de administrador de tareas, por segundo opcional especificado. Pulse Escape para cancelar.-r nTarea modo de Administrador de actualización en el segundo (por defecto es 1).\ \ equipoEn lugar de mostrar información de proceso para el sistema local, PsList mostrará la información para el sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto.-USi el usuario desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsList le pedirá la contraseña sin eco de sus aportaciones a la pantalla.-pla contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsList le pide una contraseña de forma interactiva.nombreMuestra información sobre los procesos que comienzan con el nombre especificado.-EExacta coincide con el nombre del proceso.pidEn lugar de una lista de todos los procesos que se ejecutan en el sistema, este parámetro se estrecha PsList’s escanear a lLa proceso que tiene el PID especificado. Así:
PsList 53
habría volcado de estadísticas para el proceso con el PID 53.Veamos un ejemplo
En local
http://seifreed.files.wordpress.com/2009/09/pslist.png?w=486&h=327
En remoto
http://seifreed.files.wordpress.com/2009/09/pslist_2.png?w=500&h=249
Sigamos
PsLoggedOn
Que es y para que sirve?
Se puede determinar quién está utilizando los recursos en el equipo local con el comando “net” ( “net session”), sin embargo, no hay forma integrada para determinar quién está utilizando los recursos de un equipo remoto. Además, NT viene con ninguna herramienta para ver quién está conectado a un ordenador, ya sea local o remota. PsLoggedOn es un applet que muestra tanto la sesión iniciada localmente en los usuarios y usuarios conectados a través de los recursos para el equipo local, o un mando a distancia. Si se especifica un nombre de usuario en lugar de un ordenador, PsLoggedOn búsquedas de los ordenadores en el entorno de red y le indica si el usuario no está conectado.
PsLoggedOn’s definición de un usuario con sesión iniciada localmente es uno que tiene su perfil cargado en el Registro, por lo que PsLoggedOn determina quién está conectado mediante el escaneo de las claves en la clave HKEY_USERS. Para cada clave que tiene un nombre que es un SID de usuario (identificador de seguridad), PsLoggedOn busca el nombre de usuario correspondiente y lo muestra. Para determinar quién está conectado a un ordenador a través de acciones de los recursos, PsLoggedOn utiliza la NetSessionEnum API. Tenga en cuenta que PsLoggedOn te mostrará como conectado a través de compartir recursos a los equipos remotos que se consulta, porque un inicio de sesión es necesaria para PsLoggedOn para acceder al Registro de un sistema remoto.
Como funciona
Uso: PsLoggedOn [-] [-l] [-x] [\ \ | nombreDeEquipo nombre de usuario]
–Muestra las opciones de apoyo y las unidades de medida utilizada para los valores de salida.-lMuestra sólo los inicios de sesión local en lugar de los inicios de sesión tanto de los recursos locales y de red.-xNo mostrar los tiempos de inicio de sesión.\ \ nombre de equipoEspecifica el nombre del equipo para el que a la lista de información de inicio de sesión.nombre de usuarioSi se especifica un nombre de usuario PsLoggedOn busca en la red de computadoras para que dicho usuario inicia sesión. Esto es útil si desea asegurarse de que un usuario particular no está conectado cuando está a punto de cambiar su configuración de perfil de usuario.
Veamos un ejemplo
http://seifreed.files.wordpress.com/2009/09/psloggedon.png?w=497&h=136
Bueno continuaremos en la tercera entrega http://s.wordpress.com/wp-includes/images/smilies/icon_biggrin.gif