segunda-feira, 16 de setembro de 2013

Descobrindo o Sysinternals suite

O sysinternals suite é um conjunto de ferramentas desenvolvidas por Mark Russinovich e adotada oficialmente pela Microsoft em 2006. Deixando a história de lado, o fato é que as ferramentas são tão boas que quem se acostuma a usar não consegue viver sem elas. Na verdade eu acho que a Microsoft deveria incluir no Windows nativamente, para não me dar o trabalho de copiar para todas as máquinas.

Para começar você pode baixar o pacote AQUI, em seguida descompacte em uma pasta qualquer.Mas guarde o pacote por que você vai querer copiar para outras máquinas com certeza.


Você pode se sentir a vontade para clicar em qualquer aplicativo e ver como funciona. Todos eles vêm com um help :-). Mas antes de começar é importante preparar o ambiente.
Eu particularmente não gosto de ir até uma pasta específica, escolher uma delas e dar 2 clicks. Eu sempre chamo os programas através do "Executar...". 


Mas para isso é preciso que os executáveis estejam em alguma pasta do path do sistema. Sempre que me sento em frente a uma máquina para fazer qualquer diagnóstico, antes de tudo copio a kit de ferramentas para a pasta "System32", que é o principal path do Windows. Depois disso você pode executar qualquer uma das ferramentas naturalmente pela linha de comando ou via "Executar...". Para automatizar o processo você pode usar um script para copiar os arquivos para a "system32" com um clique. Crie um arquivo no bloco de notas com o seguinte conteúdo:

rem @echo off

copy "SysInternalsSuite"\* "%WINDIR%\System32\"

pause


Basta então salvar com qualquer nome ".cmd" e coloque junto com a pasta do Sysinternals. 2 cliques e ele executa o código copiando tudo para  o path.
Dados os preparativos, vamos aqui a uma apresentação das ferramentas mais úteis e seus principais recursos:

1) Autoruns: Esta ferramenta simplesmente mostra todos os programas que são carregados com o Windows, desde os serviços as tarefas agendadas, e muito mais. De uma forma muito intuitiva você pode habilitar ou não cada entrada de "autorun" no sistema ou mesmo deletar. O mais interessante é que com o tempo você percebe onde aparecem entradas relacionadas a cada programa ou mesmo vírus e adwares. Antes de tentar removê-los ou mesmo terminar o processo com o gerenciador de tarefas tente desabilitar no Autoruns e reiniciar a máquina. Com ele é muito fácil neutralizar programas indesejados ou mesmo malwares. Para quem sentiu algo familiar, este aplicativo nada mais é do que uma ferramente similar ao MSconfig, porém infinitamente superior.

Este software é tão temido pelos malwares que é muito comum quado a máquina etá infectada o vírus detectar que você executou o autoruns e terminar o processo imediatamente! Por isso não se assuste se você executá-lo em uma máquina infectada e a janela fechar de repente. Pule para o "Process Explorer", mate o processo do vírus e volte a abrir o autoruns. Tiro e queda!



Neste link o Mark mostra como remover malwares e usar algumas ferramentas.



2) Process Explorer:  Depois de usar este você nunca mais se sentirá bem com o gerenciador de tarefas nativo do Windows. O "procexp" mostra os processos em árvore e com os ícones. Ele ainda pode ser configurado para exibir colunas a gosto. É possível visualizar a linha de comando que iniciou o processo, usuário, threads, título da janela e muito mais. Vendo o esquema em árvore é possível finalizar toda a árvore.


Como pode ver na imagem acima, há uma opção de substituir o gerenciador padrão e usar o "procexp". Então ao presionar "Ctrl+Shift+Esc" ele será aberto. Simples assim.

O "procexp" tem ainda um irmão, o Process Monitor. Ele monitora toda a atividade dos processos incluindo arquivos e chaves de registro utilizadas. Porém o volume de dados é muito grande e requer uso dos filtros.


3) TCPview:  Qualquer administrador de rede sabe que o netstat é útil porém confuso. Então por que usar o netstat se existe o "tcpview"? Esta ferramenta mostra todas as conexões abertas no sistema em tempo real, incluindo o executável responsável, estado da conexão, portas, e o volume de dados transportados. Simplesmente fabuloso.





4) Sdelete: Quem vem do Linux já está acostumado a usar o shred para apagar arquivos com segurança, mas o Windows carece de uma ferramenta nativa. Apagar arquivos com segurança, significa que ele será sobrescrito várias vezes antes de ser realmente deletado do incide do sistema de arquivos, tornando impossível a recuperação com softwares específicos. O sdelete vem para suprir a necessidade, mas para melhor uso, já que é uma ferramente de linha de comando é bom copiá-la para uma pasta do path como sugerido acima. Basta usar como um comando qualquer e você poderá deletar arquivos com segurança. Por exemplo :

C:\>sdelete -p 8 teste.txt

SDelete - Secure Delete v1.61
Copyright (C) 1999-2012 Mark Russinovich
Sysinternals - www.sysinternals.com

SDelete is set for 8 passes.

C:\teste.txt...deleted.
1 files found


O parâmetro "-p 8" indica o número de vezes que o arquivo será sobrescrito.

5) Whois: Com este utilitário em mãos você nunca mais vai precisar entrar em sites de consulta de domínios e passar pelos captcha. Basta digitar "Whois dominio.com" e pronto. Lembre-se que que este serviço usa a porta 43, então deve estar liberada  a saída no firewall.

6) PsTools:  O Pstools é um pacote de utilitários de linha de comando muito útil para quem administra uma rede grande e precisa obter informações e executar comandos remotamente. Vale uma artigo apenas para este pacote:

http://technet.microsoft.com/en-us/sysinternals/bb896649

7) Desktops: Este simula 4 áreas de trabalho no explorer. Não funciona tão bem quanto no Linux mas não deixa de ser útil. Assim que executado ele deixa um ícone na área de notificação e pode ser configurado facilmente. O padrão é que alterne entre as áreas de trabalho usando "Alt+Nº", onde é um número de 1 a 4 de acorde com a área de trabalho.



8)Zoomit: Para quem faz apresentações de slides ou em data show com frequência é muito útil dar um zoom para que os espectadores veja melhor o conteúdo. Executando esta ferramenta, com um comando você foca uma área da tela facilmente e regula a ampliação com o mouse. Só usando mesmo para entender como é simples e útil.



9) Blue screen: Que tal ter a infame "Tela azul da morte" como proteção de tela? Baixe o arquivo AQUI e copie para a pasta system32. Então configure-o como protetor de tela.

Existem muitas outras ferramentas no pacote. Vale a pena olhar uma por uma e se acostumar a usá-las. Bom exemplos são o contig, Sync, PsPing, ShellRunas, Autologon, LogonSessions, RootKitRevealer, e por aí vai....

3 comentários:

  1. A maioria das pessoas não conhecem estas ferramentas que são excelentes para descobrir e solucionar problemas de performance e rede. Estas ferramentas são as utilizadas oficialmente pela Microsoft para o trabalho dos Engenheiros de Suporte. Para mim as principais de identificação de problemas são as Process Explorer, Process Monitor, Network Monitor e Windbg (Windows Debug).

    Abraço.

    ResponderExcluir
    Respostas
    1. Muito bom ouvir isso de quem vem de dentro da MS :-)

      Hoje não consigo sair do lugar sem tê-las na manga.

      Excluir
  2. Sem essas ferramentas não deixo meu ambiente sadio !

    ResponderExcluir