Herramientas Sysinternals
Download
Report
Transcript Herramientas Sysinternals
Juan Antonio Martínez Gómez
Juan Antonio Robles Ortega
José Javier Pérez Navarro
Du
Psinfo
Whois
EFSDump
WinObj
VMMap
TCPView
PsFile
Pskill
Disk View
PsGetSid
VolumeID
PsExec
Zoomit
Du (uso de disco) notifica sobre el uso de
espacio en disco correspondiente al directorio
que se especifique. De forma predeterminada
examina los directorios recursivamente para
mostrar el tamaño total de un directorio y sus
subdirectorios.
PsInfo es una herramienta de línea de
comandos que reúne información clave
acerca del sistema Windows NT/2000 local o
remoto, por ejemplo, el tipo de instalación, la
versión de kernel, el propietario y la
organización en registro, el número de
procesadores y los tipos, la cantidad de
memoria física, la fecha de instalación del
sistema y, si se trata de una versión de
prueba, la fecha de caducidad.
Nos muestra las actualizaciones
Nos muestra las aplicaciones instaladas en el sistema
Whois realiza el registro del nombre de
dominio o la dirección IP que se especifique.
Windows 2000 presenta el sistema de cifrado
de archivos (EFS) para que los usuarios
puedan proteger sus datos confidenciales.
Este subprograma muestra qué cuentas están
autorizadas a tener acceso a archivos
cifrados.
Abre objetos de dispositivo y le permitirá ver
y cambiar información de seguridad de
objetos mediante editores de seguridad de
NT nativos.
Vmmap controla el uso de la memoria del
sistema. Nos muestra la memoria de los
procesos y programas que se estén
ejecutando en el equipo
El uso de Vmmap es
sencillo. Una vez
iniciado nos pedira
que escojamos un
proceso de nuestro
equipo o un
programa (view a
running process ó
launch and trace a
nuew process).
Una vez
seleccionemos el
proceso o el
programa nos
aparecerá unos
gráficos con el
consumo de
memoria que tiene
en el equipo.
Estructura
Committed:
Nos muestra el total del proceso
divido en sectores
Private bytes:
Nos muestra la capacidad de bytes
privados que tiene este recurso
Working set:
Nos muestra la carga de trabajo del
proceso en nuestro equipo
Image:
En la línea seleccionada nos
muestra el tamaño , el total
de esa parte del proceso , la
cantidad de bytes privados .
Ademas podemos observar
que hay 2 tipos de image:
image y image(aslr). Esta
ultima es una solución
tecnológica de imágenes para
sistemas apple
Estructura de los
recursos
Mapped File:
Nos muestra en la primera línea
lo mismo que en image. Esta
línea es común para todas las
partes del proceso . En la parte
de abajo podemos observar los
archivos asignados y su total de
proceso
Private data
Son la capacidad de datos
privados del recurso
Page table
Son los capacidad de datos
almacenados en una memoria
virtual
.
Unususable:
Es la memoria no utilizada
Free es la parte libre de la
memoria del proceso
Es una herramienta que nos permite terminar
con los procesos que deseemos de una forma
similar al administrador de tareas de
Windows.
Los procesos que nos muestra solo son los
procesos de internet
Una vez ejecutado el
software solo hay
que realizar doble
clic en el proceso
deseado para
terminar con su
utilización. Nos
saldrá una ventana
en la que habrá que
seleccionar end
process para
terminar
Muestra los usuarios que están accediendo al
sistema y la carpeta donde están. Además
muestra los permisos que tiene.
Para utilizarlo lo ejecutaremos en símbolo del
sistema
Para su utilización es necesario ejecutar el
programa de psfile. En caso de error moverlo
al directorio del usuario que estemos
utilizando
Ejecutaremos el siguiente comando el
símbolo del sistema psfile \\ip –u usuario –p
contraseña. De esta manera podremos ver
quien esta entrando en el sistema y las
carpeta a las que accede. Para ello entro
comparto una carpeta en una maquina virtual
y accedo desde mi pc. Ahora ejecutaremos el
comando.
USO
De esta manera
podemos ver
quien entra, en
que carpeta esta
y los permisos
que tiene.
Pskill es una herramienta por comando que
nos permite matar procesos en nuestro
equipo y en equipos remotos
El uso es parecido al psfile.
Pskill \\192.168.0.201 –u Administrador –p
77antonio (nombre proceso) firefox.exe
DiskView le muestra un mapa gráfico del
disco.
Permite determinar la ubicación de un
archivo.
Si se hace clic en un clúster, consultar los
archivos que lo ocupan.
Diskview funciona en Windows NT 4, 2000,
XP y en Server 2003.
PsGetSid le permite traducir los SID
(identificador de seguridad) a su nombre para
mostrar y viceversa.
Funciona en las cuentas de orden interna, las
cuentas de dominio y cuentas locales
PsGetSid \\ipremota –u usuarioremoto –p
contraseña SID | usuario
Permite cambiar los identificadores de los
discos FAT y NTFS (disquetes o discos duros)
en Windows 9x y Windows
NT/2000/XP/2003.
Permite ejecutar procesos remotamente.
Funciona en Windows Server 2008, Vista, NT
4.0, Win2K, Windows XP y Server 2003
incluidas las versiones x64 de Windows.
Aumenta tu Escritorio como una lupa
Permite hacer anotaciones sobre el escritorio
Se activa/desactiva con una combinación de
teclas
El color y grosor del lápiz también se puede
configurar.
Practico para hacer presentaciones.