TRABAJO SOBRE SYSINTERNALS SUITE

YESID GABRIEL DIAZ RUIZ

SISTEMAS OPERATIVOS II ESCUELA TECNOLGICA INSTITUTO TCNICO CENTRAL 2012-02-16 BOGOTA DC

TRABAJO SOBRE SYSINTERNALS SUITE

PROFESOR:

ALEXANDER SABOGAL RUEDA

YESID GABRIEL DIAZ RUIZ

SISTEMAS OPERATIVOS II ESCUELA TECNOLGICA INSTITUTO TCNICO CENTRAL 2012-02-16 BOGOTA DC

INTRODUCCIN

Las Utilidades de Sysinternals han sido un nico conjunto de herramientas. Este archivo contiene las herramientas de solucin de problemas individuales y archivos de ayuda. No contiene no solucin de problemas de herramientas como el protector de pantalla o BSOD NotMyFault.

La Suite es una agrupacin de la siguiente seleccin de Utilidades de Sysinternals:

AccessChk v3.0 Como parte de su tarea de garantizar la creacin de un entorno seguro, los administradores de Windows con frecuencia deben conocer qu clase de accesos tienen usuarios o grupos especficos a los recursos, incluidos los archivos, los directorios, las claves del Registro los y servicios de Windows. AccessChk responde rpidamente a estas preguntas con una interfaz y resultados intuitivos. AccessChk es un programa de consola. Copie AccessChk en la ruta de acceso al archivo ejecutable. Al escribir "accesschk", se muestra la sintaxis de uso. AccessChk funciona en Windows Vista, Win2K, Windows XP y Server 2003, incluidas las versiones x64 de Windows.

Autoruns Esta utilidad, que cuenta con el conocimiento ms completo de las ubicaciones de inicio automtico de cualquier monitor de inicio, muestra qu programas estn configurados para ejecutarse durante el inicio del sistema o el inicio de sesin, y muestra las entradas en el orden en que Windows las procesa. Entre estos programas, se incluyen algunos de la carpeta de inicio, as como las claves Run, RunOnce y otras claves del Registro. Puede configurar Autoruns para mostrar otras ubicaciones, incluidas extensiones de shell del Explorador, barras de herramientas, objetos del ayudante del explorador, notificaciones de Winlogon, servicios de inicio automtico y un largo etctera. Autoruns va ms all de la utilidad MSConfig incluida con Windows Me y XP. La opcin Hide Signed Microsoft Entries de Autoruns ayuda a acercar imgenes de inicio automtico de terceros agregadas al sistema y admite la visualizacin de imgenes de inicio automtico configuradas para otras cuentas en un sistema. En el paquete de descarga tambin se incluye un equivalente de lnea de comandos que puede ofrecer resultados en formato CSV: Autorunsc. Probablemente se sorprender de ver cuntos archivos ejecutables se inician automticamente. Autoruns funciona en Windows 2000 SP4 Rollup 1 o superior.

AccessEnum Mientras que el modelo de seguridad flexible empleado por sistemas Windows basados en NT permiten un control total sobre permisos de seguridad y archivos, la administracin de los permisos para que los usuarios tengan acceso apropiado a archivos, directorios y claves del registro puede resultar difcil. No existe una forma integrada de consultar rpidamente los accesos de usuario a un rbol de directorios o claves. AccessEnum le ofrece en segundos una vista completa de la configuracin de seguridad del sistema de archivos y el registro, lo que lo convierte en la herramienta ideal para ayudarle con las carencias de seguridad y el bloqueo de permisos donde sea necesario.

Active Directory Active Directory Explorer nos muestra adems la opcin de obtener capturas de pantalla de una base de datos Active Directory, y poder verla luego sin estar conectados. Cuando cargues cualquiera de estas capturas, podrs navegar y moverte por ellas como haras si las estuvieras viendo realmente sobre el disco Active Directory Explorer es un explorador, gestor y editor avanzado de archivos y carpetas. Puedes utilizar este programa para navegar cmodamente por las carpetas de nuestro disco duro, definir rutas favoritas que usemos frecuentemente, visualizar las propiedades y atributos de los objetos, etc . sin tener que abrir ventanas, cuadros de dilogos, editar permisos, o toda esa parafernalia propia del explorador estndar de Windows.

AdRestore

Windows Server 2003 introduce la capacidad de restaurar objetos eliminados ("desechados"). Esta sencilla utilidad de lnea de comandos enumera los objetos eliminados de un dominio y brinda la opcin de restaurarlos. El cdigo fuente se basa en cdigo de ejemplo del SDK de la plataforma Microsoft. Este artculo de Microsoft Knowledge Base describe el uso de Adrestore: 840001: Cmo restaurar cuentas de usuario eliminadas y sus pertenencias a grupos en Active Directory

Autologon for Windows v2.10

Windows NT/2K ofrece valores del Registro que se pueden establecer para que un usuario inicie automticamente la sesin la prxima vez que de otro modo el sistema presentara el cuadro de dilogo de inicio de sesin. Sin embargo, los valores del Registro estn profundamente ocultos, y son difciles de configurar. Este programa, Autologon, realizar el trabajo de configuracin del Registro y le permitir habilitar y deshabilitar el inicio automtico de sesin cuando lo desee. Autologon resulta bastante fcil de usar. Ejecute autolog.exe, complete el cuadro de dilogo y seleccione Enable. Para desactivar el inicio automtico de sesin, seleccione Disable. Si el valor DefaultPassword es NULL, el inicio de sesin automtico slo se producir una vez y luego estar se deshabilitar. Adems, si se mantiene presionada la tecla Mays antes de que el sistema realice un inicio automtico de sesin, esta opcin se deshabilitar para dicho inicio de sesin. Tambin puede indicar el nombre de usuario, el dominio y la contrasea como argumentos de la lnea de comandos: autologon user domain password

BGInfo Cuntas veces ha caminado a un sistema en su oficina y necesita hacer clic en varias ventanas de diagnstico para recordar aspectos importantes de su configuracin, como su nombre, direccin IP, o la versin del sistema operativo? Si usted maneja varios equipos es probable que tenga BGInfo. Se muestra automticamente la informacin relevante sobre un equipo con Windows en el fondo del escritorio, como por ejemplo el nombre del equipo, direccin IP, versin de Service Pack, y mucho ms. Puede editar cualquier campo, as como los colores de fuente y fondo, y puede colocarlo en la carpeta de inicio para que se ejecute cada arranque, o incluso configurarlo para que aparezca como fondo para la pantalla de inicio de sesin. Debido a que BGInfo simplemente escribe un mapa de bits de escritorio y las salidas, no tiene que preocuparse de que el consumo de recursos del sistema o interferir con otras aplicaciones

CacheSet v1.0

CacheSet es un subprograma que le permite manipular los parmetros de espacio de trabajo de la memoria cach de archivos del sistema. A diferencia de CacheMan, CacheSet se ejecuta en todas las versiones de NT y funcionar sin modificaciones en nuevas versiones de Service Pack. Adems de ofrecerle la capacidad de controlar el tamao mnimo y mximo del espacio de trabajo, tambin le permite restablecer el espacio de trabajo de la memoria cach, y forzar que ste crezca cuanto sea necesario a partir de un mnimo inicial. Adems, y a diferencia de CacheMan, los cambios realizados con CacheSet tienen un efecto inmediato en el tamao de la memoria cach. Se incluye el cdigo fuente completo. Use CacheSet para ajustar el rendimiento del tamao de la memoria cach del sistema de una forma que slo es posible si se ajustan las variables internas, como hace CacheMan. Nota: Para usar CacheSet en NT 4.0 Service Pack 4 y posteriores, debe tener el privilegio que permite aumentar la cuota (las cuentas de administrador tienen este privilegio de forma predeterminada). CacheSet se ha actualizado para habilitar este privilegio de forma que funcione en SP4.

ClockRes v1.0

Seguro que alguna vez se ha preguntado cul era la resolucin del reloj del sistema, o quizs cul sera la resolucin mxima del temporizador que su aplicacin podra obtener. La respuesta reside en una sencilla funcin llamadaGetSystemTimeAdjustment; el subprograma ClockReslleva a cabo esta funcin y muestra el resultado. Consulte "Anlisis de los temporizadores de alta resolucin de Windows NT" para obtener informacin sobre el aumento de la resolucin.ClockRes funciona slo en Windows NT/2K y no toma ningn argumento de lnea de comandos.

Contig v1.54 Hay varios desfragmentadores de discos para NT en el mercado, como por ejemplo Defrag Manager de Winternals. Estas herramientas son tiles para realizar una desfragmentacin general del disco, pero aunque se desfragmentan la mayora de archivos de las unidades de disco que procesan estas utilidades, es posible que algunos no se desfragmenten. Adems, es difcil garantizar que se desfragmentan archivos determinados que se usan con frecuencia, pueden permanecer fragmentados por motivos especficos a los algoritmos de desfragmentacin usados por el producto aplicado. Por ltimo, incluso aunque se hayan desfragmentado todos los archivos, los cambios posteriores en archivos crticos podran hacer que volvieran a fragmentarse. Slo si se ejecuta una operacin completa de desfragmentacin se puede esperar que puedan volver a desfragmentarse. Contig es un desfragmentador de archivos individuales que intenta colocar los archivos de forma contigua en el disco. Resulta perfecto para optimizar rpidamente archivos que se fragmentan continuamente o de los que desee garantizar que estn en los mnimos fragmentos que sea posible.

Coreinfo

Coreinfo es una utilidad de lnea de comandos que muestra la correlacin entre los procesadores lgicos y el procesador de fsica, el nodo NUMA, y el zcalo en el que residen, as como la memoria cach asignado a cada procesador lgico. Se utiliza la funcin de Windows GetLogicalProcessorInformation para obtener esta informacin y lo imprime en la pantalla, lo que representa una asignacin a un procesador lgico con un asterisco, por ejemplo '*'. Coreinfo es til para hacerse una idea de la topologa de procesador y la memoria cach de su sistema.

Desktops

Desktops v1.02 te permite tener 4 escritorios a la vez con diferentes aplicaciones ejecutadas, ms que un programa yo dira que es un pequeo aadido ya que pesa tan solo 60kb, se instala al lado del reloj de Windows para que lo tengas accesible y puedas cambiar de escritorio con tan solo un click, el programa est en ingls pero es de lo ms sencillo de usar, pronto lo traduciremos al espaol. Aadir que es una aplicacin de Sysinternals adquirida por Microsoft

DiskExt

DiskExt demuestra el uso del comando IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS que devuelve informacin acerca de los discos en los que estn situadas las particiones de un volumen (los discos con varias particiones pueden residir en varios discos) y en qu parte del disco se encuentran.

DiskMon Instalar DiskMon es tan fcil como descomprimirlo y escribir "diskmon". En Windows NT, la GUI carga dinmicamente el controlador (basado en cdigo de la muestra instdrv del DDK de Windows NT), que empieza supervisando todas las unidades de disco. En Windows 2000 y posteriores no hay ningn componente de controlador: la GUI depende del seguimiento de eventos del ncleo para obtener la actividad de disco. Los mens y los botones de la barra de herramientas se pueden usar para deshabilitar la captura de eventos, para controlar el desplazamiento del contenido de la vista de listas y para guardar su contenido en un archivo ASCII.

Para que DiskMon funcione como un indicador luminoso de disco en la bandeja del sistema, seleccione el elemento de men Options|Minimize to tray o inicie DiskMon con un conmutador de lnea de comandos "/l" (l minscula), es decir: diskmon /l. Para reactivar la ventana de DiskMon, haga doble clic en el icono de bandeja de DiskMon. Para crear un acceso directo a Diskmon en la bandeja, cree un acceso directo en la carpeta Archivos de programa\Inicio, edite las propiedades del acceso directo y establezca el Destino para que seale al archivo ejecutable con la ruta de acceso entre comillas y el conmutador fuera de las comillas: "C:\Sysinternals Tools\Diskmon.exe" /l

DiskView

DiskView le muestra un mapa grfico del disco, lo que le permite determinar la ubicacin de un archivo o, si se hace clic en un clster, consultar los archivos que lo ocupan. Haga doble clic para obtener ms informacin acerca del clster que est asignado a un archivo. Diskview funciona en Windows NT 4, 2000, XP y en Server 2003.

Disk Usage Du (uso de disco) notifica sobre el uso de espacio en disco correspondiente al directorio que se especifique. De forma predeterminada examina los directorios recursivamente para mostrar el tamao total de un directorio y sus subdirectorios. Uso: du [[-v] [-L] | [-N]] [-q] (archivo o directorio) -l Especificar nivel de profundidad de subdirectorio (de forma predeterminada son todos los niveles). -n No examinar recursivamente. -q No imprimir el encabezado. -v Mostrar informacin sobre directorios intermedios

EFSDump v1.02

Windows 2000 presenta el sistema de cifrado de archivos (EFS) para que los usuarios puedan proteger sus datos confidenciales. Se han presentado varias API nuevas que admiten esta caracterstica, como por ejemplo QueryUsersOnEncryptedFile, que le permite consultar quin tiene acceso a archivos cifrados. Este subprograma usa la API para mostrarle qu cuentas estn autorizadas a tener acceso a archivos cifrados. Uso: efsdump [-s] <archivo o directorio> -s Examinar subdirectorios de manera recursiva. EFSDump admite caracteres comodn, por ejemplo 'efsdump *.txt'.

Handle v3.20 Se ha preguntado alguna vez qu programa mantiene abierto un archivo o directorio en particular? Ahora lo puede averiguar. Handle es una utilidad que muestra informacin acerca de identificadores abiertos para cualquier proceso del sistema. Puede usarla para consultar los programas que tienen un archivo abierto o para ver los tipos de objeto y los nombres de todos los identificadores de un programa. -a Vuelca informacin sobre todos los tipos de identificadores, no slo los que se refieren a archivos. Otros tipos incluyen puertos, claves del Registro, primitivas de sincronizacin, subprocesos y procesos. -c Cierra el identificador especificado (interpretado como nmero hexadecimal). Debe especificar el proceso mediante su PID. ADVERTENCIA: el cierre de identificadores puede producir inestabilidad de las aplicaciones o el sistema. -y No pide confirmacin de cierre de identificador. -s Imprime un recuento de cada tipo de identificador abierto. -u Muestra el nombre del propietario al buscar identificadores.

Junction v1.04 Windows 2000 y posteriores admiten vnculos simblicos de directorio, en los que un directorio se usa como vnculo simblico a otro directorio del equipo. Por ejemplo, si el directorio D:\SYMLINK especifica C:\WINNT\SYSTEM32 como destino, una aplicacin que tenga acceso a D:\SYMLINK\DRIVERS en realidad estara teniendo acceso a C:\WINNT\SYSTEM32\DRIVERS. Los vnculos simblicos de directorio se conocen como uniones de NTFS en Windows. Por desgracia Windows no incluye herramientas para crear uniones, es necesario adquirir el Kit de recursos de Win2K, que incorpora el programa linkd para crear uniones. As que decid escribir mi propia herramienta de creacin de uniones: Junction.Junction no slo permite crear uniones de NTFS, sino que tambin permite consultar si archivos o directorios son en realidad puntos de reanlisis. Los puntos de reanlisis son el mecanismo en el que se basan las uniones de NTFS y los usa el servicio de almacenamiento remoto (RSS) de Windows, as como los puntos de montaje de volmenes.

LDMDump v1.02 Windows 2000 presenta un tipo nuevo de esquema de particin de disco administrado por un componente llamado Administrador de discos lgicos (LDM). Los discos bsicos implementan tablas de particin estndar de estilo DOS, mientras que los discos dinmicos usan particiones LDM. Las particiones LDM ofrecen varias ventajas respecto a las particiones de DOS, incluida la duplicacin entre discos, el almacenamiento en disco de la configuracin avanzada de volmenes (que pueden ser distribuidos, reflejados, seccionados y RAID-5). En mi artculo en dos entregas (marzo y abril) sobre la administracin de almacenamiento en Windows NT/2000 en la revista Windows 2000 Magazine, se describen los detalles sobre cada esquema de particin. Aparte del mdulo de administracin de disco MMC y de una herramienta llamada dmdiag que hay en el Kit de recursos de Windows 2000, no hay herramientas para investigar en profundidad la base de datos en disco de LDM, que describe el sistema de particiones de un sistema. LDMDump es una utilidad que le permite examinar exactamente lo que se almacena en una copia de disco de la base de datos LDM del sistema. LDMDump le muestra el contenido del encabezado

privado de la base de datos LDM, de la tabla de contenidos y de la base de datos de objetos (donde se almacenan las definiciones de particiones, componentes y volmenes) y despus resume la informacin en tablas de particiones y listas de volmenes. LDMDump funciona en Windows 2000. Para usar LDMDump slo hay que transferirle el identificador de un disco. Uso: ldmdump [- ] [-d#] Permite mostrar las opciones admitidas y las unidades de medida que se usan para los valores de la salida. -d# Especifica el nmero del disco que debe examinar LDMDump. Por ejemplo, "ldmdump /d0" hace que LDMDump muestre la informacin de la base de datos LDM almacenada sobre el disco 0.

ListDLLs v2.25 Una pregunta a la que a menudo respondo es "Conoce alguna utilidad que me muestre qu DLL se carga en Windows 9x o NT?" Mi respuesta hasta hace poco era "no", hasta que descubr una herramienta en el Kit de recursos de Windows NT denominada tlist que muestra esta informacin. Decid escribir una versin de software gratuito, ListDLLs. A diferencia de tlist, ListDLLs puede mostrar los nombres de ruta de acceso completos de los mdulos cargados (no slo sus nombres base).

LiveKd v3.0 LiveKD, una utilidad que escrib para el CD incluido con la tercera edicin de Inside Windows 2000, ahora est disponible de manera gratuita. LiveKD permite ejecutar los depuradores de kernel de Microsoft Kd y Windbg, que forman parte del paquete de Herramientas de depuracin para Windows, de forma local en un sistema activo. Ejecute todos los comandos del depurador que funcionan en los archivos de volcado para examinar detalladamente el sistema. Consulte la documentacin de las Herramientas de depuracin para Windows y nuestro libro para obtener informacin sobre cmo explorar un sistema con los depuradores de kernel. Aunque las ltimas versiones de Windbg y Kd tienen una capacidad semejante en Windows XP y Server 2003, LiveKD funciona en NT 4 a travs de Server 2003, incluidas las versiones x64 de Windows, y ampla la funcionalidad (por ejemplo, es posible ver las pilas de subprocesos con el comando !thread) con respecto a la funcin de depuracin activa de kernel de Windg y Kd.

LoadOrder v1.0 Este subprograma muestra el orden en que un sistema Windows NT o Windows 2000 carga controladores de dispositivo. Es posible que, en Windows 2000, los controladores Plug and Play se carguen en un orden diferente del esperado, ya que estos controladores se cargan a peticin durante la deteccin y la enumeracin de dispositivos.

LogonSessions v1.1 Si piensa que cuando inicia sesin en un sistema hay slo un inicio de sesin activo, esta utilidad le sorprender. Incluye en una lista los inicios de sesin actualmente activos y, si especifica la opcin -p, los procesos en ejecucin en cada sesin. LogonSessions funciona en Windows 2000 y versiones posteriores. Uso: logonsessions [-p]

PendMoves v1.1 y MoveFile v1.0 Hay varias aplicaciones, como revisiones y Service Packs, que deben sustituir un archivo en uso y, por lo tanto, no pueden hacerlo. Por esta razn, Windows ofrece la API MoveFileEx para eliminar o cambiar el nombre a un archivo. Permite al autor de la llamada especificar que desea que la operacin tenga lugar la prxima vez que se inicie el sistema, antes de que se haga referencia a los archivos. El administrador de sesin realiza esta tarea leyendo los comandos registrados de cambio de nombre y eliminacin del valor HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations.

Portmon para Windows v3.02 Portmon es una utilidad que supervisa y muestra la actividad de todos los puertos serie y paralelos de un sistema. Cuenta con capacidades avanzadas de filtrado y bsqueda que la convierten en una herramienta eficaz para explorar el modo en que funciona Windows, viendo cmo las aplicaciones usan los puertos o localizando los problemas de las configuraciones del sistema o las aplicaciones. Portmon funciona en NT 4.0, Win2K, XP y Server 2003, Windows 95 y Windows 98. La versin 3.x de Portmon marca la introduccin de varias caractersticas eficaces. Supervisin remota: Captura el resultado del depurador en Win32 o modo ncleo de cualquier equipo accesible mediante TCP/IP, incluso por Internet.

Puede supervisar varios equipos remotos simultneamente. Portmon instalar an su software cliente si lo ejecuta en un sistema Windows NT/2K y est capturando de otro sistema Windows NT/2K en el mismo entorno de red. Listas de filtros ms recientes:Portmon se ha ampliado con capacidades eficaces de filtrado y recuerda las selecciones de filtro ms recientes, con una interfaz que hace sencillo seleccionarlos de nuevo. Copia en el Portapapeles: selecciona varias lneas en la ventana de resultados y copia su contenido en el Portapapeles. Resaltado: resalta el resultado del depurador que coincida con el filtro de resaltado e incluso personaliza los colores de resaltado. Registro en archivo: escribe el resultado del depurador en un archivo a la vez que se captura. Impresin: imprime todo o parte del resultado del depurador capturado en una impresora. Carga de un archivo:Portmon ahora se implementa como un archivo. El archivo de ayuda en lnea describe todas estas caractersticas y mucho ms con todo detalle.

Process Explorer v11.02 Se pregunt alguna vez qu programa mantiene abierto un archivo o directorio en particular? Ahora lo puede averiguar. Process Explorer muestra informacin acerca de los procesos de identificadores y archivos DLL que se han abierto o cargado. La pantalla de Process Explorer incluye dos subventanas. La ventana superior siempre muestra una lista de los procesos activos, incluidos los nombres de sus cuentas de propiedad; mientras que la informacin mostrada en la ventana inferior depende del modo en que se encuentre Process Explorer: si est en modo de identificador, ver los identificadores que ha abierto el proceso seleccionado en la ventana superior; si Process Explorer est en modo de DLL, ver los archivos DLL y los asignados en memoria que el proceso ha cargado. Process Explorer tambin tiene una eficaz capacidad de bsqueda que le mostrar rpidamente los procesos que hayan abierto ciertos identificadores o cargado determinados archivos DLL.

PsExec v1.94 Las utilidades como telnet y los programas de control remoto, como PC Anywhere de Symantec, permiten ejecutar programas en sistemas remotos, aunque su configuracin puede constituir todo un problema y requieren que instale software de cliente en sistemas remotos a los que desee tener acceso. PsExec es una sustitucin ligera de Telnet que permite ejecutar procesos en otros sistemas, junto con una interactividad completa para aplicaciones de consola, sin tener que instalar manualmente software de cliente. Entre los usos ms eficaces de PsExec se incluyen el inicio de smbolos del sistema interactivos en sistemas remotos y la habilitacin remota de herramientas como IpConfig que, de otro modo, no tienen la capacidad de mostrar informacin sobre sistemas remotos. Nota: algunos exploradores antivirus notifican que alguna o todas las herramientas estn infectadas con un virus de "administracin remota". Ninguna de las herramientas de PsTools contiene virus, pero stos las han usado en ocasiones, lo que activa dichas notificaciones.

PsFile v1.02 El comando "net file" muestra una lista de los archivos que otros equipos han abierto en el sistema en el que se ejecuta el comando; sin embargo, trunca los nombres de ruta de acceso largos y no permite consultar esa informacin para los sistemas remotos. PsFile es una utilidad de lnea de comandos que muestra una lista de archivos de un sistema que se abren de forma remota; asimismo, permite cerrar los archivos abiertos tanto por nombre como por un identificador del archivo. Uso El comportamiento predeterminado de PsFile consiste en incluir en una lista los archivos del sistema local abiertos por sistemas remotos. Al escribir un comando seguido por "-", se muestra informacin sobre la sintaxis del comando. Uso: psfile [\\EquipoRemoto[-u Nombredeusuario [-p Contrasea]]] [[Id. | ruta de acceso] [-c]] -u Permite especificar el nombre de usuario opcional para iniciar sesin en el equipo remoto. -p Especifica la contrasea del nombre de usuario. Si se ha omitido, se le pedir que escriba la contrasea sin que vuelva a aparecer en la pantalla. Id. Representa al identificador (asignado por PsFile) del archivo del que se mostrar informacin o que se cerrar. Ruta de acceso Constituye la ruta de acceso completa o parcial de los archivos que se cerrarn o cuya informacin se mostrar. -c Cierra los archivos identificados por el Id o la ruta de acceso.

PsInfo v1.74 PsInfo es una herramienta de lnea de comandos que rene informacin clave acerca del sistema Windows NT/2000 local o remoto, por ejemplo, el tipo de instalacin, la versin de kernel, el propietario y la organizacin en registro, el nmero de procesadores y los tipos, la cantidad de memoria fsica, la fecha de instalacin del sistema y, si se trata de una versin de prueba, la fecha de caducidad. De forma predeterminada, PsInfo muestra informacin del sistema local. Especifique un nombre de equipo remoto para obtener informacin de dicho sistema. Debido a que PsInfo depende del acceso remoto al Registro para obtener los datos, el sistema remoto debe estar ejecutando el servicio de Registro remoto, y la cuenta desde la que se ejecuta PsInfo debe tener acceso a la porcin HKLM\System del Registro remoto. Como ayuda a las actualizaciones automatizadas de Service Pack, PsInfo devuelve como valor el nmero de Service Pack del sistema (por ejemplo, 0 si no hay Service Pack, 1 para SP 1, etc).

PsKill v1.12 Windows NT/2000 no incluye una utilidad de eliminacin de lnea de comandos. Puede obtener una en el Kit de recursos de Windows NT o Win2K, pero la utilidad del kit slo finalizar los procesos del equipo local. PsKill es una utilidad de eliminacin que no slo hace lo que la versin del Kit de recursos, sino que tambin puede eliminar los procesos en sistemas remotos. Ni siquiera tiene que instalar un cliente en el equipo de destino para usar PsKill para finalizar un proceso remoto.

PsList v1.28 pslist exp realiza estadsticas de todos los procesos que comienzan con "exp", entre los que se incluye el Explorador. -d Muestra detalles del subproceso. -m Muestra detalles de la memoria. -x Muestra los procesos, informacin de la memoria y subprocesos. -t Muestra el rbol de procesos. -s [n] Se ejecuta en modo de administrador de tareas, durante los segundos opcionales especificados. Pulse Esc para cancelar. -r n

Frecuencia de actualizacin del modo de administrador de tareas en segundos (el valor predeterminado es 1). \\equipo En lugar de mostrar informacin de proceso del sistema local, PsList mostrar informacin del sistema NT/Win2K especificado. Incluya el modificador -u con un nombre de usuario y contrasea para iniciar sesin en el sistema remoto si sus credenciales de seguridad no le permiten obtener informacin de contador de rendimiento del sistema remoto. -u nombre de usuario Si desea eliminar un proceso de un sistema remoto y la cuenta en la que est ejecutando no tiene privilegios administrativos en el sistema remoto, debe iniciar sesin como administrador mediante esta opcin de lnea de comandos. Si no incluye la contrasea con la opcin -p, PsList le solicitar la contrasea sin reflejar su entrada en la pantalla. -p contrasea Esta opcin le permite especificar la contrasea de inicio de sesin en la lnea de comandos, de modo que puede usar PsList de los archivos por lotes. Si especifica un nombre de cuenta y omite la opcin -p, PsList le solicita interactivamente una contrasea.

PsLoggedOn v1.33 Puede determinar quin usa los recursos en su equipo local con el comando "net" ("net session"); no obstante, no hay manera integrada de determinar quin usa los recursos de un equipo remoto. Adems, NT no incluye herramientas para consultar quin ha iniciado sesin en un equipo, ni de forma local ni remota. PsLoggedOn es un subprograma que muestra los usuarios que han iniciado sesin de forma local y los que lo han hecho a travs de recursos en el equipo local o uno remoto. Si especifica un nombre de usuario en lugar de un equipo, PsLoggedOn busca entre los equipos en el entorno de red e indica si el usuario tiene una sesin activa. Se incluye el cdigo fuente completo. PsLoggedOn define a un usuario que ha iniciado sesin de forma local como aqul que tiene su perfil cargado en el Registro, de modo que PsLoggedOn determina quin ha iniciado sesin examinando las claves bajo HKEY_USERS. Para cada clave con un nombre equivalente a un SID (identificador de seguridad) de usuario, PsLoggedOn busca el nombre de usuario correspondiente y lo muestra. Para determinar quin ha iniciado sesin en un equipo a travs de recursos compartidos, PsLoggedOn usa la API NetSessionEnum. Tenga en cuenta que PsLoggedOn mostrar su inicio de sesin a travs de un recurso compartido con los equipos remotos que consulte, ya que es necesario iniciar la sesin para que PsLoggedOn tenga acceso al Registro de un sistema remoto.

PsLogList v2.64 El kit de recursos viene con una utilidad, elogdump, que le permite volcar el contenido de un registro de eventos en el equipo local o remoto. PsLogList es un clon de elogdump excepto que PsLogList le permite iniciar sesin en sistemas remotos en situaciones en que el conjunto actual de credenciales de seguridad no permiten el acceso al registro de eventos y PsLogList recupera cadenas de mensajes del equipo en el que reside el registro de eventos que se visualiza.

PsService v2.21 PsService es un visor de servicios y un controlador para Windows. Al igual que la utilidad de SC incluida en los kits de recursos de Windows NT y Windows 2000, PsService muestra el estado, la configuracin y las dependencias de servicios, y permite iniciarlos, detenerlos, pausarlos, reanudarlos y reiniciarlos. A diferencia de la utilidad de SC, PsService permite el inicio de sesin a un sistema remoto con una cuenta diferente, para casos en los que la cuenta de la que se ejecuta no tiene los permisos necesarios en el sistema remoto. PsService incluye una capacidad nica de bsqueda de servicios, que identifica las instancias activas de un servicio en la red. Usar la caracterstica de bsqueda si desea localizar sistemas que ejecutan servidores DHCP, por ejemplo. Finalmente, PsService funciona en NT 4, Windows 2000 y Windows Vista, mientras que la versin de SC del Kit de recursos de Windows 2000 requiere Windows 2000, y PsService no requiere introducir manualmente ningn "ndice de reanudacin" para obtener una lista completa de informacin de servicio

PsSuspend v1.06

PsSuspend permite suspender procesos en un sistema local o remoto, algo deseable en los casos en los que un proceso consume un recurso (por ejemplo, la red, la CPU o el disco) que desea que distintos procesos puedan usar. En lugar de eliminar el proceso que consume el recurso, la suspensin permite dejarlo que siga funcionando en algn momento posterior.

RootkitRevealer v1.71 RootkitRevealer es una utilidad avanzada de deteccin de rootkits. Se ejecuta en Windows NT 4 y versiones posteriores y su salida incluye una lista de discrepancias entre el Registro y la API del sistema de archivos que puede indicar la presencia de un rootkit de modo de usuario o de modo ncleo. RootkitRevealer detecta correctamente todos los rootkits persistentes publicados en www.rootkit.com, que incluyen AFX, Vence y HackerDefender (Nota: RootkitRevealer no est destinado a detectar rootkits como Fu que no intentan ocultar sus archivos ni sus claves del registro). Si lo usa para identificar la presencia de un rootkit, comunquenoslo.

La razn por la cual ya no existe una versin de lnea de comandos es que los autores de cdigo malintencionado comenzaron a centrarse en el anlisis de RootkitRevealer mediante su nombre de archivo ejecutable. Por lo cual, tuvimos que actualizar RootkitRevealer para que ejecute su anlisis a partir de una copia con nombre aleatorio que se ejecuta como servicio de Windows. Este tipo de ejecucin no es favorable para una interfaz de lnea de comandos. Tenga en cuenta que puede usar las opciones de lnea de comandos para ejecutar un anlisis automtico con resultados registrados en un archivo, lo que es equivalente al comportamiento de la versin de lnea de comandos.

SDelete v1.51 Una caracterstica del cumplimiento de C2 de Windows NT/2000 (Win2K) es que implementa una proteccin contra el uso repetido de objetos. Esto significa que cuando una aplicacin asigna espacio de archivos o memoria virtual, no puede ver los datos anteriormente almacenados en los recursos que Windows NT/2K le asigna. Windows NT llena con ceros la memoria y los sectores en disco donde se coloca un archivo antes de presentar cualquier tipo de recurso a una aplicacin. Sin embargo, el uso repetido de objeto no indica que el espacio que un archivo ocupa antes de que se elimina se debe llenar con ceros. Esto se debe a que Windows NT/2K est diseado con la suposicin de que el sistema operativo es el que controla el acceso a los recursos del sistema. Sin embargo, cuando el sistema operativo no est activo, es posible usar editores de disco sin procesar y herramientas de recuperacin para ver y recuperar datos que el sistema operativo ha desasignado. An cuando se cifren los archivos con el sistema de archivos cifrados (EFS) de Win2K, los datos de archivo no cifrados de un archivo original quedan en el disco despus de que se crea una nueva versin cifrada del archivo. La nica manera de garantizar que los archivos eliminados, as como los archivos cifrados con EFS, estn protegidos frente a una recuperacin es usar una aplicacin de eliminacin segura. Las aplicaciones de eliminacin segura sobrescriben los datos en disco del archivo eliminado mediante tcnicas que se demostr que tornan irrecuperables los datos del disco, incluso si se usa tecnologa de recuperacin que pueda leer patrones en el medio magntico que revelen archivos deficientemente eliminados

ShareEnum v1.6 Un aspecto de la seguridad de red de Windows NT/2000/XP que se suele pasar por alto son los recursos compartidos de archivo. Se produce una brecha de seguridad comn cuando los usuarios definen los recursos compartidos del archivo con bajos niveles de seguridad, lo que permite que los usuarios no autorizados vean archivos privados. No existen herramientas integradas para listar los recursos compartidos visibles en una red ni su configuracin de seguridad, pero ShareEnum llena este vaco y permite bloquear los recursos compartidos de archivo de la red. Cuando se ejecuta ShareEnum, usa la enumeracin NetBIOS para analizar todos los equipos dentro de los dominios accesibles, y muestra los recursos compartidos de archivo e impresin y su configuracin de seguridad. Dado que slo el administrador del dominio puede obtener acceso a todos los recursos de red, ShareEnum es ms efectivo si se ejecuta desde una cuenta de administrador de dominio. ShareEnum funciona con Windows NT/2000/XP.

Sigcheck v1.3

Compruebe que las imgenes llevan firma digital e informacin de la versin de volcado con esta sencilla utilidad de lnea de comandos. Usage: sigcheck [-i][-e][[-s]|[-v]][-q][-u] [-c catalog file] <file or directory> -c Permite buscar la firma en el archivo de catlogo especificado -e Permite explorar slo imgenes ejecutables (independientemente de su extensin) -i Permite mostrar los firmantes de la imagen -n Permite mostrar slo el nmero de la versin -q Silencioso (sin banner) -s Permite buscar de manera recursiva en subdirectorios -u Permite mostrar slo archivos sin firmar -v Salida Csv Una forma de usar esta herramienta es buscar los archivos sin firmar en los directorios de \Windows\System32 con este comando: sigcheck -u -e c:\windows\system32 Debe investigar el propsito de cualquier archivo que no est firmado

Streams v1.56 El sistema de archivos NTFS ofrece a las aplicaciones la capacidad de crear secuencias de datos de informacin alternas. De forma predeterminada, todos los datos se almacenan en una secuencia de datos principal del archivo sin nombre, pero usando la sintaxis 'archivo:secuencia', se puede leer y escribir en otros archivos alternativos. No todas las aplicaciones estn escritas para tener acceso a secuencias alternativas, pero es muy fcil hacer una demostracin prctica. En primer lugar, cambie a un directorio de una unidad NTFS desde un smbolo del sistema. A continuacin, escriba 'echo hello > prueba:secuencia'. Acaba de crear una secuencia llamada "secuencia" que est asociada al archivo "prueba". Observe que si examina el tamao del archivo de prueba se notifica que es 0 y que el archivo parece vaco cuando se abre en cualquier editor de texto. Para consultar su secuencia escriba 'more < prueba:secuencia' (el comando type no acepta la sintaxis de secuencia, por lo que hay que usar more). NT no incluye herramientas que permitan ver los archivos de NTFS que tienen asociadas secuencias, de modo que he escrito una propia. Streams examinar los archivos y directorios (tenga en cuenta que los directorios tambin pueden tener secuencias de datos alternas) que especifique y le informa del nombre y el tamao de todas las secuencias con nombre que encuentra dentro de esos archivos.

Sync v2.0

UNIX incluye una utilidad estndar llamada Sync que se puede usar para indicar al sistema operativo que vace todos los datos del sistema de archivos al disco, para garantizar que est estable y no se perdern en caso de un error del sistema. En caso contrario, se perderan los datos modificados que estn en la memoria cach. ste es un equivalente que escrib, llamado Sync, que funciona en todas versiones de Windows. selo siempre que quiera estar seguro de que los datos de archivos modificados estn almacenados sin riesgo en los discos duros. Desgraciadamente, Sync requiere privilegios administrativos para ejecutarse. Esta versin tambin le permite vaciar unidades extrables, como unidades de disco ZIP.

TCPView para Windows v2.4 TCPView es un programa de Windows que muestra listados detallados de todos los extremos de TCP y UDP del sistema, incluidas las direcciones locales y remotas y el estado de las conexiones TCP. En Windows NT, 2000 y XP, TCPView informa tambin del nombre del proceso que posee el extremo. TCPView ofrece un subconjunto ms informativo y perfectamente presentado del programa Netstat incluido con Windows. La descarga de TCPView incluye Tcpvcon, una versin de lnea de comandos con la misma funcionalidad. TCPView funciona en Windows NT/2000/XP y Windows 98/Me. Se puede usar TCPView en Windows 95 si se cuenta con Windows 95 Winsock 2 Update de Microsoft.

VMMap VMMap es una utilidad de la memoria del proceso de anlisis fsicos y virtuales. Se muestra un desglose de los tipos de memoria virtual comprometida de un proceso, as como la cantidad de memoria fsica (conjunto de trabajo) asignado por el sistema operativo para estos tipos. Adems de las representaciones grficas de uso de la memoria, VMMap tambin muestra informacin de resumen y un mapa de la memoria detallada del proceso. De filtrado de gran alcance y capacidades de actualizacin le permiten identificar las fuentes de uso de memoria de proceso y el costo de la memoria de las caractersticas de aplicacin. Adems de puntos de vista flexibles para el anlisis de los procesos vivos, VMMap apoya la exportacin de datos en mltiples formas, incluyendo un formato nativo que conserva toda la informacin para que pueda cargar de nuevo pulg Tambin incluye la lnea de comandos que permiten a los escenarios de secuencias de comandos. VMMap es la herramienta ideal para los desarrolladores que desean comprender y optimizar el uso de la aplicacin de recursos de memoria.

volumeid Aunque la utilidad de etiquetas que incorpora WinNT/2000 y Windows 9x permite cambiar las etiquetas de los volmenes de disco, no ofrece la posibilidad de cambiar los identificadores de volumen. Esta utilidad, VolumeID, le permite cambiar los identificadores de los discos FAT y NTFS (disquetes o discos duros) en Windows 9x y Windows NT/2000/XP/2003. Uso: volumeid <letraunidad:> xxxx-xxxx Es un programa de lnea de comandos que debe ejecutar desde una ventana de smbolo del sistema. Tenga en cuenta que los cambios en los volmenes NTFS no sern visibles hasta el siguiente reinicio. Adems, debe cerrar todas las aplicaciones que estn en ejecucin antes de cambiar el identificador del volumen. Despus de cambiar el identificador de un volumen FAT, NT podra confundirse y considerar que el medio (disco) se ha cambiado, de forma que aparezcan mensajes que indiquen que debe reinsertar el disco original (!). La consecuencia puede ser que se produzcan errores en las solicitudes de disco de las aplicaciones que usan esas unidades de disco.

Whois v1.01

Whois realiza el registro del nombre de dominio o la direccin IP que se especifique. Uso: nombrededominio de whois [whois.servidor] Nombrededominio puede ser tanto un nombre DNS (por ejemplo, www.sysinternals.com) como una direccin IP (por ejemplo, 66.193.254.46)

WinObj v2.15 WinObj es una herramienta imprescindible para los administradores de sistema preocupados por la seguridad, los desarrolladores que localizan problemas relacionados con objetos o los que simplemente sienten curiosidad por el espacio de nombres del Administrador de objetos. WinObj es un programa de 32 bits de Windows NT que usa la API nativa de Windows NT (ofrecida por NTDLL.DLL) para obtener acceso al espacio de nombres del Administrador de objetos de NT, donde mostrar informacin. WinObj puede parecer semejante al programa de Microsoft SDK del mismo nombre, pero la versin del SDK sufre numerosos errores importantes que le impiden mostrar informacin exacta (por ejemplo, su informacin de recuento de identificadores y referencias aparece totalmente quebrada). Adems, nuestro WinObj entiende muchos ms tipos de objeto. Finalmente, la versin 2.0 de nuestro WinObj cuenta con mejoras de interfaz de usuario, sabe cmo abrir objetos de dispositivo y le permitir ver y cambiar informacin de seguridad de objetos mediante editores de seguridad de NT nativos.

ZoomIt

ZoomIt es el zoom de pantalla y una herramienta de anotacin de presentaciones tcnicas que incluyen demostraciones de aplicaciones. ZoomIt se ejecuta discretamente en la bandeja y se activa con teclas de acceso rpido personalizable para ampliar una zona de la pantalla, mover la imagen ampliada, y se basan en la imagen ampliada. Escrib ZoomIt para satisfacer mis necesidades especficas y el uso en todas mis presentaciones. ZoomIt funciona en todas las versiones de Windows y se puede utilizar la entrada de lpiz para dibujar ZoomIt en Tablet PC.