Sysinternals: найкорисніші утиліти для діагностики Windows
Огляд найкорисніших утиліт Sysinternals від Microsoft: Process Explorer, Autoruns, TCPView, Process Monitor і PsTools для глибокої діагностики Windows.
Sysinternals — безкоштовний набір утиліт від Microsoft для глибокої діагностики Windows. Вони показують те, чого не видно в стандартних інструментах.
Де завантажити
Всі утиліти на learn.microsoft.com/sysinternals — безкоштовно і без реєстрації.
Або завантаж весь набір одним архівом: Sysinternals Suite.
Можна запускати прямо з мережі без завантаження:
\\live.sysinternals.com\tools\procexp.exe
Process Explorer — замінник Task Manager
procexp.exe — показує ієрархію процесів, DLL що вони завантажили, відкриті файли і мережеві підключення.
Навіщо: знайти батьківський процес, перевірити підозрілу програму, подивитись які файли відкрила програма.
Корисні функції:
- Правий клік на процесі → Search Online — шукає ім'я процесу в Google
- Кольоровий розподіл: синій = системний, рожевий = служба, фіолетовий = упакований exe
Ctrl + D— показати відкриті файли і handles
Autoruns — все що автозапускається
autoruns.exe — найповніший список всього що запускається в Windows: реєстр, планувальник, служби, драйвери, розширення браузерів, плагіни Explorer.
Навіщо: знайти малваре або небажані програми в автозапуску, прибрати зайве.
- Жовтий фон = файл не знайдено (безпечно видалити)
- Фіолетовий = файл без цифрового підпису (підозріло)
- Вкладка VirusTotal → перевіряє всі записи через VirusTotal прямо з програми
TCPView — мережеві підключення в реальному часі
tcpview.exe — показує всі відкриті TCP/UDP з'єднання з ім'ям процесу, локальним і віддаленим адресами.
# Аналог через PowerShell
Get-NetTCPConnection -State Established |
Select-Object LocalPort, RemoteAddress, RemotePort,
@{n='Process';e={(Get-Process -Id $_.OwningProcess -EA 0).Name}}
Навіщо: знайти підозрілі підключення, перевірити що програма відправляє дані, побачити які порти відкриті.
Process Monitor — детальний журнал активності
procmon.exe — записує все: читання/запис файлів, зверненнях до реєстру, мережеву активність, операції процесів.
Навіщо: з'ясувати чому програма не запускається, знайти до яких файлів/ключів реєстру вона звертається.
Фільтрація: Ctrl + L — додай фільтр по імені процесу щоб не потонути в потоці подій.
PsTools — управління процесами і системою
Набір утиліт командного рядка:
rem PsExec — виконати команду від імені SYSTEM
psexec -s cmd.exe
rem PsList — список процесів
pslist
rem PsKill — завершити процес
pskill notepad
rem PsInfo — інформація про систему
psinfo
rem PsLoggedOn — хто залогінений
psloggedon
PsExec найкорисніший — дозволяє запустити програму від імені SYSTEM (навіть вищі права ніж адміністратор) або на віддаленому ПК.
WinObj — об'єкти ядра Windows
winobj.exe — показує об'єкти ядра (named pipes, mutexes, семафори). Корисно для розробників і при налагодженні конфліктів між процесами.
Desktops — кілька робочих столів (альтернатива)
desktops.exe — легковажна альтернатива віртуальним робочим столам Windows, без анімацій і швидше.
Як запустити Autoruns в безпечному режимі
Для пошуку малваре найефективніший запуск в Safe Mode:
- Перезавантаж в Safe Mode (
Win + R→msconfig→ вкладка Завантаження → Безпечний режим) - Запусти Autoruns від адміністратора
- Перевір підозрілі записи і вимкни
🔍 Не знаєш що означає код помилки Windows?
Якщо Windows показує код на кшталт 0x80070005, 0x80070002 або 0xC000021A — скористайся безкоштовним інструментом:
→ Декодер помилок Windows — введи код і одразу дізнайся що він означає та як виправити.
Резюме
Process Explorer — замість Task Manager. Autoruns — для пошуку малваре і зайвого автозапуску. TCPView — для перевірки мережевих підключень. Process Monitor — коли програма не працює і треба знайти причину. Всі утиліти від Microsoft, безкоштовні, не потребують встановлення.