Инструменты
На данной странице я буду собирать все обнаруженные в Сети, мало-мальски полезные инструменты и материалы. Я надеюсь они будут для технического специалиста неоценимую помочь в решении разнообразного рода проблем, связанных с операционной системой Windows. Страница, конечно же, будет находиться в стадии перманентной бета-версии :)
Инструменты поиска/удаления вредоносного кода
| Название |
Описание |
| KVRT |
Бесплатный портативный антивирусный сканер от лаборатории Касперского. Инструмент тривиален в обслуживании, всегда доступен на странице загрузки в качестве актуальной версии (со свежими базами), в следствии чего является просто незаменимым инструментом поиска и деактивации различного рода вредоносной активности. Портативен, не требует (полноценной) инсталляции в систему, поэтому может быть записан на переносной накопитель (флешка) с защитой от записи. |
| adwCleaner |
Переносная утилита, позволяющая обнаруживать различного рода рекламное и нежелательное программное обеспечение (аддоны браузеров, тулбары, надстройки, плагины и прч), инсталлируемое на компьютер в процессе установки легитимных приложений, а так же проникающее на станцию любыми иными путями. Фактически представляет собой сканер, который проверяет ключевые компоненты системы на наличие подозрительных объектов (записей) и дает возможность сохранять результаты в текстовом файле-ответе, что дает возможность предоставлять информацию о проверке для последующего изучения. |
| Autoruns |
Утилита управления параметрами автозагрузки программ, сервисов, модулей, драйверов и других исполняемых компонентов системы. Программа отображает объекты, которые загружаются на различных этапах функционированию ОС посредством разнообразных системных механизмов. Отображаются программы, загружаемые модули, драйверы, системные службы, назначенные задания, Winlogon. Утилита позволяет запрашивать свойства любого объекта автозапуска, пути и параметры запуска, а также конфигурировать автозапуск того или иного модуля. |
| HijackThis |
Утилита для обнаружения и удаления простейших типов вредоносного программного обеспечения. Изначально разрабатывался Мерийном Беллекомом, но в 2007 году HijackThis был куплен антивирусной компанией Trend Micro. |
Утилиты работы с процессами
| Название |
Описание |
| Process Explorer |
Бесплатное приложение от Sysinternals для мониторинга процессов, функционирующих в системе в режиме реального времени. Используя эту программу, можно не только отследить какой-либо процесс, но и уточнить такие данные, как используемые этим процессом файлы и папки. Выводимая Process Explorer информация значительно подробнее, чем у Диспетчера задач Windows. В числе наиболее интересных возможностей приложения — возможность быстро выяснить, какому процессу принадлежит окно на рабочем столе. Process Explorer работает под Windows XP и выше, включая 64-битные версии. |
| Process Hacker |
Process Hacker представляет собой достаточно мощный инструмент для осуществления различного рода манипуляций со всеми задействованными процессами и службами в операционной системе Microsoft Windows. Список всех процессов может быть представлен в разнообразных видах, включая простой или древовидный, отображение скрытых процессов и прочие. Подобный список служб и сервисов даёт возможность оперативно ими управлять (остановка/запуск/удаление). Конкретные процессы, которые относятся только лишь к одному приложению, объединены в специальные группы, а также помечены одним цветом. Мониторинг и контроль также осуществляется и за динамическими библиотеками DLL, а также обнаружению и полному уничтожению руткитов. Process Hacker можно рассматривать как полноценную замену Диспетчеру задач Windows. По ряду свойств полезнее, нежели Process Explorer. |
| System Explorer |
System Explorer - фактический аналог Диспетчера задач. Программа имеет собственную базу системных файлов, которая позволяет определять замаскированные под системные сторонние процессы. Предоставляет детальную информацию о задачах, процессах, исполняемых модулях, автозагрузке, аддонах IE, деинсталляторах, окнах, сервисах, драйверах, соединениях и открытых файлах. Обеспечивает мониторинг активности процессов и системных изменений. |
| Process Monitor |
Свободно распространяемая утилита, разработанная Sysinternals, объединяющая в себе функциональные особенности сразу двух устаревших утилит: FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Предоставляет пользователям мощный инструмент для мониторинга активности процессов: операции, выполняемые ими по отношению к файловой системе, системному реестру и прч. Process Monitor контролирует и следит за подавляющим большинством событий, происходящих в операционной системе, отображает все происходящие процессы, функционирующие библиотеки, различные драйвера устройств, а также все изменения, происходящие с файлами, и выводит сообщение об их удалении или открытии. Включает в себя инструмент для мониторинга системного реестра и показывает, какие программы обращаются к нему (какие ключи читают и пытаются в них что-либо записать). |
| Rohitab API Monitor |
Полнофункциональный API монитор, свободно распространяемое ПО, которое позволяет отслеживать и контролировать вызов системных функций API, производимых приложениями и сервисами. Позволяет увидеть всю внутреннюю работу на уровне функций приложений/сервисов с целью определения узких мест в алгоритмах, выявления проблем и просто изучения функционирования того или иного программного обеспечения. |
| Unlocker |
Утилита для освобождения заблокированного объекта. Чаще всего применяется для снятия блокировки с занятого каким-либо процессом файла, для последующего удаления/модификации. |
Инструменты анализа состояния
| Название |
Описание |
| SysTracer |
Программа анализа практических всех глобальных изменений, происходящих в операционной системе. Позволяет сравнивать две мгновенные копии системы на предмет изменения файлов, каталогов, записей в реестре. При каждом сканировании генерирует так называемые обзорные образы (слепки, снапшоты) системы, которые в дальнейшем используются для сравнения и анализа изменений. Информация, связанная с вашими файлами, папками, ключами реестра, автоматически запускающимися приложениями и службами сохраняется в файл-снимок. SysTracer Pro позволяет создавать неограниченное количество подобных мгновенных снимков и при необходимости сравнивать их друг с другом. Программа поможет Вам найти, например, ненужные записи в реестре, оставленные после деинсталляции приложений. Для этого Вам нужно сделать два снимка системы - до и после установки приложения, определив таким образом изменения, которые внесла в реестр установленная программа. |
| Live RAM Capturer |
Небольшой, свободно распространяемый инструмент, позволяющий сохранять все содержимое оперативной памяти компьютера для последующего анализа. Справляется с некоторыми видами активных анти-отладочных и анти-копировочных защит. Имеются 32-разрядные и 64-разрядные сборки. Дампы памяти могут быть проанализированы при помощи средства Live RAM Analysis. Имеет совместимость со всеми версиями/редакциями Windows (Windows XP, Windows 7/8/10, Server 2003/2008). |
Утилиты для работы с диском
| Название |
Описание |
| DMDE |
Приложение для поиска, редактирования и модификации/восстановления данных на жестких дисках. Имеет возможность восстановить структуру директорий, файлы. В своем составе имеет набор функций, таких как дисковый редактор, простой менеджер разделов, создание образов и клонирование дисков, реконструкция массивов RAID, восстановление файлов из текущей панели. Платные редакции поддерживают восстановление файлов и директорий без ограничений, предоставляя дополнительные возможности восстановления данных. Алгоритмы поиска дают возможность реставрировать структуру директорий, восстановить файлы после фатальных (критических) повреждений файловой системы, так же и при перезаписи другой информацией, форматирования, переноса данных, сбоя в момент преобразовании разделов. Имеется возможность восстановления файлов по сигнатурам для ситуаций поврежденной/отсутствующей/недоступной структуры файловой системы. Встроенный менеджер разделов осуществляет быстрый поиск/восстановление удаленных/потерянных разделов, редактор можно использовать для просмотра/редактирования файлов, таблиц разделов MBR, GPT, загрузочных секторов, таблиц, элементов директорий файловых систем. Имеется большое количество дополнительного функционала. Позволяет восстанавливать BCD базы на системном разделе. DMDE поддерживает NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX и работает в Windows 98/XP/7/10, DOS и Linux.
|
| GSmartControl |
GSmartControl представляет собой инструмент для опроса и контроля SMART (Self-Monitoring, Analysis, and Reporting Technology) данных на жестких дисках (HDD, SSD). Позволяет инспектировать данные SMART выбранного носителя для определения состояния работоспособности, так же запускать некоторые тесты. |
Работа с устройствами
| Название |
Описание |
| DriverView |
Утилита DriverView отображает списки всех драйверов устройств, загруженных в данный момент в системе. Для каждого драйвера в списке, предоставляется расширенная информация: адрес загрузки драйвера, описание, версия, имя продукта, разработчик и многое другое. |
| DeviceTree |
Утилита имеет два представления: первое показывает дерево PnP перечисления объектов устройств, включая отношения между объектами и все характеристики устройств, полученные через PnP, и второе представление дерево созданных объектов устройств, отсортированное по имени. |
| USBDeview |
Утилита USBDeview отображает список всех USB устройств, подключенных к компьютеру, вместе со список используемых на станции когда-либо устройств. |
| SearchMyFiles |
|
| BusHound |
Bus Hound представляет собой анализатор шины, обеспечивающий захват операций ввода-вывода и измерения производительности. Имеется возможность посылать команды устройствам. |
| LatencyMon |
LatencyMon представляет собой инструмент проверки системы на способность обработки аудио в реальном времени (и некоторых других задач). LatencyMon анализирует возможные причины переполнения буфера, измеряя задержки таймера ядра и сообщая о времени выделения DPC и ISR, а также о ошибках страниц. |
| IRP Tracker |
IrpTracker позволяет отслеживать все пакеты запросов ввода-вывода (IRP) в системе без использования каких-либо драйверов-фильтров и без ссылок на какие-либо объекты устройств, оставляя систему PnP полностью неизменной. |
Библиотеки
| Название |
Описание |
| Dependency Walker |
Dependency Walker выполняющая сканирование любого исполняемого модуля (с расширением .exe, .dll, .ocx, .sys и т. д.) и построение иерархической древовидной диаграммы зависимых. Для каждого найденного в зависимостях модуля утилита перечисляет все функции, экспортируемые данным модулем, а так же функции, вызываемые другими модулями. В другом представлении отображается минимальный набор необходимых файлов, а также подробная информация о каждом файле, включая полный путь к файлу, базовый адрес, номера версий, тип машины, отладочную информацию и многое другое. |
Работа с сетью
| Название |
Описание |
| CommView |
CommView представляет собой сетевой монитор и анализатор пакетов, предназначенный для администраторов, профессионалов в области безопасности, разработчиков ПО для сетей, домашних пользователей и для всех тех, кто хочет иметь четкую и полную картину трафика, проходящего через интерфейсы компьютера. |
| WireShark |
Wireshark - это анализатор сетевых протоколов. Он позволяет увидеть происходящее в вашей сети на низком, детализованном уровне и является стандартом де-факто (а часто и де-юре) для многих коммерческих и некоммерческих предприятий, государственных учреждений и учебных заведений. |
| Fiddler |
Бесплатный прокси для отладки web-трафика (http/https) браузера, системы или платформы. |
Документация для самостоятельного обучения
Обновления
Куммулятивное обновление для Windows 7: Windows 7 UpdatePack7R2
