440 likes | 655 Views
Herramientas de Sysinternals. Juan Antonio Martínez Gómez Juan Antonio Robles Ortega José Javier Pérez Navarro. Herramientas Sysinternals. Du Psinfo Whois EFSDump WinObj VMMap TCPView PsFile Pskill Disk View PsGetSid VolumeID PsExec Zoomit. Du.
E N D
Herramientas de Sysinternals Juan Antonio Martínez Gómez Juan Antonio Robles Ortega José Javier Pérez Navarro
Herramientas Sysinternals • Du • Psinfo • Whois • EFSDump • WinObj • VMMap • TCPView • PsFile • Pskill • Disk View • PsGetSid • VolumeID • PsExec • Zoomit
Du • Du (uso de disco) notifica sobre el uso de espacio en disco correspondiente al directorio que se especifique. De forma predeterminada examina los directorios recursivamente para mostrar el tamaño total de un directorio y sus subdirectorios.
PsInfo v1.74 • PsInfo es una herramienta de línea de comandos que reúne información clave acerca del sistema Windows NT/2000 local o remoto, por ejemplo, el tipo de instalación, la versión de kernel, el propietario y la organización en registro, el número de procesadores y los tipos, la cantidad de memoria física, la fecha de instalación del sistema y, si se trata de una versión de prueba, la fecha de caducidad.
Ejemplo Psinfo v1.74Opción -h Nos muestra las actualizaciones
Ejemplo Psinfo v1.74Opción -s Nos muestra las aplicaciones instaladas en el sistema
Whois v1.01 • Whois realiza el registro del nombre de dominio o la dirección IP que se especifique.
EFSDump v1.02 • Windows 2000 presenta el sistema de cifrado de archivos (EFS) para que los usuarios puedan proteger sus datos confidenciales. Este subprograma muestra qué cuentas están autorizadas a tener acceso a archivos cifrados.
WinObj v2.15 • Abre objetos de dispositivo y le permitirá ver y cambiar información de seguridad de objetos mediante editores de seguridad de NT nativos.
VMMap • Vmmap controla el uso de la memoria del sistema. Nos muestra la memoria de los procesos y programas que se estén ejecutando en el equipo
Uso • El uso de Vmmap es sencillo. Una vez iniciado nos pedira que escojamos un proceso de nuestro equipo o un programa (view a running process ó launch and trace a nuew process).
Uso • Una vez seleccionemos el proceso o el programa nos aparecerá unos gráficos con el consumo de memoria que tiene en el equipo.
Estructura Committed: Nos muestra el total del proceso divido en sectores Private bytes: Nos muestra la capacidad de bytes privados que tiene este recurso Working set: Nos muestra la carga de trabajo del proceso en nuestro equipo Image: En la línea seleccionada nos muestra el tamaño , el total de esa parte del proceso , la cantidad de bytes privados . Ademas podemos observar que hay 2 tipos de image: image y image(aslr). Esta ultima es una solución tecnológica de imágenes para sistemas apple
Estructura de los recursos MappedFile: Nos muestra en la primera línea lo mismo que en image. Esta línea es común para todas las partes del proceso . En la parte de abajo podemos observar los archivos asignados y su total de proceso Private data Son la capacidad de datos privados del recurso Page table Son los capacidad de datos almacenados en una memoria virtual . Unususable: Es la memoria no utilizada Free es la parte libre de la memoria del proceso
TCPView • Es una herramienta que nos permite terminar con los procesos que deseemos de una forma similar al administrador de tareas de Windows. • Los procesos que nos muestra solo son los procesos de internet
Uso • Una vez ejecutado el software solo hay que realizar doble clic en el proceso deseado para terminar con su utilización. Nos saldrá una ventana en la que habrá que seleccionar end process para terminar
Psfile Muestra los usuarios que están accediendo al sistema y la carpeta donde están. Además muestra los permisos que tiene. Para utilizarlo lo ejecutaremos en símbolo del sistema Para su utilización es necesario ejecutar el programa de psfile. En caso de error moverlo al directorio del usuario que estemos utilizando
Uso • Ejecutaremos el siguiente comando el símbolo del sistema psfile \\ip –u usuario –p contraseña. De esta manera podremos ver quien esta entrando en el sistema y las carpeta a las que accede. Para ello entro comparto una carpeta en una maquina virtual y accedo desde mi pc. Ahora ejecutaremos el comando.
USO • De esta manera podemos ver quien entra, en que carpeta esta y los permisos que tiene.
Pskill • Pskill es una herramienta por comando que nos permite matar procesos en nuestro equipo y en equipos remotos • El uso es parecido al psfile. • Pskill \\192.168.0.201 –u Administrador –p 77antonio (nombre proceso) firefox.exe
DiskView • DiskView le muestra un mapa gráfico del disco. • Permite determinar la ubicación de un archivo. • Si se hace clic en un clúster, consultar los archivos que lo ocupan. • Diskview funciona en Windows NT 4, 2000, XP y en Server 2003.
PsGetSid • PsGetSid le permite traducir los SID (identificador de seguridad) a su nombre para mostrar y viceversa. • Funciona en las cuentas de orden interna, las cuentas de dominio y cuentas locales
Uso de manera remota • PsGetSid \\ipremota –u usuarioremoto –p contraseña SID | usuario
VolumeID • Permite cambiar los identificadores de los discos FAT y NTFS (disquetes o discos duros) en Windows 9x y Windows NT/2000/XP/2003.
PsExec • Permite ejecutar procesos remotamente. • Funciona en Windows Server 2008, Vista, NT 4.0, Win2K, Windows XP y Server 2003 incluidas las versiones x64 de Windows.
Zoomit • Aumenta tu Escritorio como una lupa • Permite hacer anotaciones sobre el escritorio • Se activa/desactiva con una combinación de teclas • El color y grosor del lápiz también se puede configurar. • Practico para hacer presentaciones.