Windows Sysinternals: آنچه هستند و نحوه استفاده از آنها

Windows Sysinternals می تواند به شما کنترل بسیار بیشتری بر روی رایانه شخصی شما بدهد. در اینجا نحوه استفاده از ابزار آن آورده شده است.

آیا تا به حال آرزو کرده اید که بتوانید کنترل نهایی را بر رایانه شخصی ویندوزی خود داشته باشید؟ داشتن این قدرت که نه تنها زیر کاپوت تقریباً هر فرآیند یا برنامه‌ای ویندوز نگاه کنید، بلکه همچنین توانایی دیدن فایل‌ها و کلیدهای رجیستری را که برنامه‌های شما در زمان واقعی به آن‌ها دسترسی دارند، شگفت‌انگیز است.

شاید شما یک تکنسین کامپیوتر هستید که به دنبال افزودن دانش جدی به کمربند ابزار ویندوز خود هستید. اگر ما علاقه شما را برانگیخته‌ایم، با تجزیه Sysinternals، یکی از قدیمی‌ترین و قدرتمندترین مجموعه‌های ابزارهای مدیریتی و سیستمی برای ویندوز، به دنبال آن نباشید.

تاریخچه مختصری از Sysinternals

Sysinternals مجموعه ای از ابزارهای رایگان سیستم، مدیریت و عیب یابی ویندوز است.

Sysinternals تقریباً به خود ویندوز بازمی‌گردد و اولین تکرار آن به سال 1996 برمی‌گردد. از آن زمان، مجموعه Sysinternals با هر نسخه متوالی ویندوز تکامل یافته است و زرادخانه آن به بیش از 70 ابزار مجزا افزایش یافته است. مایکروسافت این نرم افزار را در سال 2006 به طور کامل خریداری و خریداری کرد و آن را رایگان و برای دانلود به صورت بسته کامل یا به صورت جداگانه در دسترس نگه داشته است.

Sysinternals همچنین به‌روزرسانی‌های منظم را با ابزارهای جدید اضافه شده در طول زمان دریافت می‌کند. بهتر از همه، این نرم افزار قابل حمل است و نیازی به نصب آن ندارد. بیشتر برنامه‌های کاربردی، فایل‌های ساده EXE هستند که می‌توانید آن‌ها را بر روی یک درایو فلش USB قرار دهید و برای مدیریت سیستم به جعبه ابزار برنامه قابل حمل ویندوز خود اضافه کنید.

نحوه دریافت Sysinternals

ابتدا باید Sysinternals را روی رایانه شخصی خود بارگذاری کنید. خوشبختانه این کار سختی نیست.

دانلود مستقیم از مایکروسافت

برای شروع، از Sysinternals Utilities Index دیدن کنید، جایی که می توانید شرح کوتاهی از عملکرد هر ابزار را نیز بخوانید.

اگر بخواهید مجموعه کامل Sysinternals را دانلود کنید، مرورگر شما یک فایل ZIP با حجم حدود 45 مگابایت دانلود خواهد کرد.

در پوشه دانلودها، به سادگی روی SysinternalsSuite.zip راست کلیک کرده و Extract All را انتخاب کنید. سپس، یک پوشه مقصد مورد نظر خود را پیکربندی کنید و روی دکمه Extract کلیک کنید.

اکنون شما آزاد هستید که ابزارها را به دلخواه خود کشف و استفاده کنید. شایان ذکر است که اکثر ابزارها به دسترسی مدیر نیاز دارند، بنابراین حتماً روی هر ابزار کلیک راست کرده و Run as administrator را قبل از استفاده انتخاب کنید.

اجرای ابزارهای SysInternals Live

Sysinternals Live یک سرویس ارائه شده توسط مایکروسافت است که به شما امکان می دهد ابزارهای Sysinternals را مستقیماً از وب اجرا کنید.

مطلب مرتبط: چگونه هر چیزی را که دانلود می کنید به طور ایمن با Sandboxie Plus برای ویندوز اجرا کنید

با وارد کردن مسیر Sysinternals Live ابزار در Windows Explorer یا Run می‌توانید یک ابزار جداگانه را مستقیماً اجرا کنید. از دستور زیر استفاده کنید: \\live.sysinternals.com\tools\

Win + R را فشار دهید تا پنجره Run ظاهر شود. نام ابزار را در انتهای مسیر مشخص کنید و Enter را بزنید یا OK را فشار دهید.

پس از یک یا دو لحظه، با یک هشدار امنیتی روبرو می شوید که در آن می توانید به سادگی Run را برای ادامه انتخاب کنید. توجه داشته باشید که می توانید کل دایرکتوری ابزار Microsoft Sysinternals Live را در مرورگر خود مشاهده کنید.

با Sysinternals چه کاری می توانید انجام دهید؟

در حالی که بعید است که یک نفر از تمام ابزارهای موجود در مجموعه استفاده کند، بسیاری از ابزارهای کمکی در اختیار شما هستند.

ابزارهایی مانند Process Monitor وجود دارد که سیستم فایل، رجیستری، فرآیند، رشته و فعالیت DLL را در زمان واقعی نظارت می کند. از سوی دیگر، Process Explorer شبیه به Windows Task Manager است اما دارای تعداد زیادی ویژگی اضافی است.

Autoruns به شما کمک می کند فرآیندهای راه اندازی ویندوز را مدیریت کنید و همچنین بدافزارهای تعبیه شده مزاحم را شناسایی کنید. برای اطلاعات بیشتر نحوه مدیریت برنامه های راه اندازی ویندوز با Autoruns را ببینید.

SDelete که یک برنامه حذف ایمن مطابق با DoD است، فضای خالی شما را نیز پاک می کند و هیچ اثری از فایل های حذف شده قبلی باقی نمی گذارد.

همچنین انواع ابزارهای خط فرمان سنگین وجود دارد که به همه چیز از امنیت اشتراک گذاری شبکه و فایل گرفته تا نصب های پیشرفته اکتیو دایرکتوری و بسیاری موارد دیگر کمک می کند.

در مرحله بعد، اجازه دهید به برخی از ابزارهای محبوب تر و نحوه استفاده از آنها نگاه کنیم.

Process Explorer: Task Manager’s Big Brother

هنگامی که Process Explorer را برای اولین بار باز می کنید، ممکن است کمی تحت تأثیر تعداد زیادی از گزینه ها و داده های ارائه شده قرار بگیرید.

در قسمت سمت چپ، نمای درختی سلسله مراتبی وجود دارد که تمام فرآیندها و فرآیندهای فرعی در حال اجرا در رایانه شما را فهرست می کند. در کنار آن، استفاده از CPU و RAM، PID (شناسه فرآیند)، توضیحات، و نام شرکت را خواهید یافت که همگی در ستون‌هایی ارائه شده‌اند که می‌توانند مرتب‌سازی و سفارشی‌سازی شوند.

در نوار ابزار، نمودارهای فعالیت کوچک برای CPU، حافظه فیزیکی، و ورودی/خروجی وجود دارد که پس از کلیک کردن، در یک پنجره جداگانه باز می شوند. در زیر گزینه‌ها > نمادهای سینی، همچنین می‌توانید فعالیتی را که می‌خواهید هنگام کوچک کردن برنامه در نوار وظیفه ویندوز شما نمایش داده شود، انتخاب کنید.

مطلب مرتبط: Clipchamp یک روز است که بیرون آمده است و مردم قبلاً از آن متنفرند

یکی از تفاوت های عمده بین Process Explorer و Windows Task Manager، کلید رنگی است که برای شناسایی انواع مختلف فرآیندها استفاده می شود. با رفتن به Options > Color Selection می توانید این کلید را بالا بیاورید. مراقب فرآیندهایی باشید که با رنگ بنفش مشخص شده‌اند، زیرا حاوی کدهای فشرده هستند و می‌توانند نشانه‌ای از بدافزار پنهان باشند.

با کلیک راست بر روی هر فرآیند، مجموعه‌ای از گزینه‌ها نمایش داده می‌شود که به شما امکان می‌دهد اولویت، کشتن، کشتن درخت فرآیند، تعلیق فرآیند و موارد دیگر را تنظیم کنید.

مانیتور فرآیند: آخرین گزارش ویندوز

Process Monitor با Process Explorer کاملا متفاوت است.

Process Monitor به شما این امکان را می دهد که گزارشی از هر رویدادی که در رایانه شخصی ویندوز شما اتفاق می افتد ضبط کنید. با Process Monitor می توانید ببینید کدام کلیدهای رجیستری توسط هر برنامه ای به روز می شوند. حتی اگر یک سرویس یا برنامه در حال ایجاد فرآیند جدیدی باشد، سیستم فایل را به نحوی تغییر دهد یا به یک شبکه متصل شود، می‌توانید آن را با Process Monitor پیگیری کنید.

هنگامی که برای اولین بار Process Monitor را باز می کنید، با تعداد زیادی ردیف و داده مواجه می شوید. در پس‌زمینه، Process Monitor به ثبت هر گونه رویداد رجیستری، سیستم فایل، شبکه، فرآیند و نمایه‌سازی که ممکن است رخ دهد ادامه می‌دهد. این بدان معناست که فهرست داده‌ها به سرعت رشد می‌کند، حتی اگر دستگاه شما در حالت غیرفعال باشد، زیرا سرویس‌ها با سیستم شما تعامل دارند.

کلید استفاده موثر از Process Monitor این است که فیلتر کنید و فقط بر روی رویدادهایی تمرکز کنید که مورد علاقه شما هستند. به عنوان مثال: برای فیلتر کردن سریع فرآیندهای مایکروسافت، می توانید به Options > Select Columns بروید و نام شرکت را وارد کنید. سپس به سادگی با کلیک راست بر روی ستون، می توانید از تابع Include / Exclude در منوی زمینه برای فیلتر کردن سریع این رویدادها استفاده کنید.

با دابل کلیک یا راست کلیک کردن روی یک رویداد و انتخاب Properties یک گفتگوی اضافی با اطلاعات زیادی باز می شود. از این گفتگو، می‌توانید کلاس رویداد (به عنوان مثال File System یا RegistryQueryKey)، مسیر عملیات فیزیکی و نتیجه را تعیین کنید.

از اینجا می‌توانید با رفتن به برگه Stack که در آن می‌توانید فایل‌های DLL جداگانه مرتبط با رویداد را ببینید، حتی عمیق‌تر کنید.

به طور پیش فرض، Process Monitor از حافظه مجازی رایانه شما برای ذخیره رویدادهایی که موقتی هستند استفاده می کند. اگر به File > Backing Files بروید، می توانید فایلی را برای نوشتن و ذخیره داده ها مشخص کنید.

مطلب مرتبط: ویندوز 10 را بخرید و به ویندوز 11 ارتقا دهید

Autoruns: پیکربندی فرآیندها و برنامه های راه اندازی

ویندوز چند گزینه برای مقابله با فرآیندهای راه اندازی و برنامه های کاربردی ارائه می دهد. به عنوان مثال، Task Manager یک بخش اختصاصی Startup Apps در قسمت ناوبری خود دارد. همین اطلاعات را می‌توانید در برنامه تنظیمات در زیر Apps > Startup نیز پیدا کنید.

در حالی که این احتمالاً برای اکثر مردم به اندازه کافی خوب است، اما واقعاً تصویر کاملی از آنچه که هر بار که رایانه شخصی خود را راه اندازی می کنید بارگذاری می شود به شما نمی دهد. در واقعیت، روش‌های پیچیده‌تری وجود دارد که می‌توان نرم‌افزار را برای راه‌اندازی خودکار در ویندوز پیکربندی کرد. اشیاء کمکی مرورگر، وظایف برنامه ریزی شده، خدمات، درایورها و حتی برخی از روش های تقریبا غیرقابل شناسایی مانند ربودن تصویر و AppInit_dlls وجود دارد.

اگر به دنبال یک لیست جامع از موارد راه اندازی هستید، Autoruns پاسخ شماست.

به‌طور پیش‌فرض، وقتی برای اولین بار Autoruns را باز می‌کنید، در تب Everything قرار می‌گیرید. این گزینه تک تک آیتم های راه اندازی را از هر برگه نمایش می دهد. به طور طبیعی، شما می توانید از طریق برگه ها برای تقطیر اطلاعات بیشتر بچرخید.

هر تب به شما ایده ای از مکانیسم مورد استفاده توسط آیتم راه اندازی می دهد. به عنوان مثال، تب Logon تمام موارد بارگذاری شده را هنگام ورود کاربر به ویندوز نمایش می دهد. از سوی دیگر، تب Explorer تمام موارد راه‌اندازی را فهرست می‌کند که هنگام اجرا به فرآیند File Explorer متصل می‌شوند.

برای جلوگیری از اجرای هر آیتم راه اندازی، کافی است تیک کادر کنار برنامه در سمت چپ را بردارید. این تمام چیزی است که در آن وجود دارد. فقط هنگام لغو انتخاب هر چیزی در برگه‌های درایورها و خدمات مراقب باشید زیرا بیشتر این موارد برای برنامه‌ها و اجزای ویندوز شما ضروری هستند.

Sysinternals خیلی بیشتر ارائه می دهد

امیدواریم آنچه تا کنون پوشش داده ایم، شما را به ایده Sysinternals تبدیل کرده باشد. چه بخواهید یک عکس فوری کامل از همه چیزهایی که روی رایانه شخصی شما اتفاق می‌افتد با Process Explorer، جزئیات دقیقی که توسط Process Monitor آشکار می‌شود، یا قدرت نهایی برنامه‌هایی که هنگام راه‌اندازی با Autoruns اجرا می‌شوند، Sysinternals تقریباً برای همه چیز ابزاری دارد.

ما فقط به اصول اولیه مواردی که با استفاده از ابزارهای مجموعه Sysinternals امکان پذیر است، پرداخته ایم. با خیال راحت آنها را به تنهایی کشف کنید، اما فقط به یاد داشته باشید که با قدرت زیاد مسئولیت بزرگی به همراه دارد.