Sysinternals Tools

~ 0 min
2020-05-17 11:04

Sehr cool: die aktuelle Online-Version läßt sich direkt auf dem PC mappen:
net use * http://live.sysinternals.com
oder direkt über den Link: http://live.sysinternals.com

• Autoruns (autoruns.exe)
Problem:
Autostart-Prozesse identifizieren.
Lösung:
"Autoruns" starten, File: "Run-as-Administrator", auch hier lassen sich alle Prozesse auf Viren prüfen mit "Scan Options: Check VirusTotal".

• BGInfo - der universelle, informative Dektophintergrund.

• Prozess Monitor (procmon.exe)
Problem:
REG-Einstellung für spezielles Problem finden.
Lösung:
"Prozessmonitor" starten, mit "Lupe" Aufzeichnung stoppen, mit "Radiergummi" alles löschen, "Fadenkreuz" auf zu überwachenden Prozess klicken, alle Kategorien außer REGISTRY im Schnellfilter deaktivieren.
Nun mit "Lupe" Aufzeichnung starten, schnell die zu überwachende Aktion ausführen, Aufzeichnung stoppen.
Operation "RegSetValue" suchen, mit Rechtsklick "Highlighten" oder besser alle anderen Operationen "Excluden".
Rechtsklick auf das Ergebnis, "Jump to" springt direkt in die Registry auf den gewünschten Wert.

Problem: Bootprobleme identifizieren.
Lösung: "Prozessmonitor". Options: "Enable Boot Logging". "Profiling-Einträge" auswählen, wenn man Timingprobleme sucht.
Windows neu starten (Ruhezustand reicht NICHT). Procmon umgehend neu starten (sonst protokolliert es weiter), Ereinisse speichern und auswerten.

• Prozess Explorer (procexp.exe)
Problem:
Unbekanntes Programm bringt Fehlermeldung.
Lösung: "Prozess Explorer" starten, Menue: Fadenkreuz-Symbol starten, Fadenkreuz mit gedrückter linker Maustaste auf die Fehlermeldung ziehen, Prozess Explorer meldet den zugehörigen Prozess.

Problem: Prozesse auf Viren prüfen.
Lösung: "Prozess Explorer" starten, File: "Show Details for all Processes" (startet als Admin), Options: VirusTotal.com="Check VirusTotal.com", prüft alle laufenden Prozesse bei Virustotal.

• SYSMON
Problem:
Malware erkennen.
Lösung: Sysinternals "SYSMON". Installiert einen Dienst, loggt u.a. jeden Prozessstart mit kompletter Befehlszeile + Vaterprozess, Netzwerkaktivitäten usw.

• Disk2vhd
Das Programm erstellt virtuelle .vhd oder .vhdx -Festplatten von physischen Festplatten
und eignet sich damit zum Virtualisieren physischer PCs für HyperV, VMWare Workstation oder Virtual Box.
Images bootfähig machen siehe CT 06/2020 S.158 ff.

TCPView bzw. Kommandozeilenversion TCPVCON.EXE
Überwacht Netzwerkaktivitäten mit Angabe von auf Anfrage wartenden Prozessen, Protokoll, lokale und remote IP mit Hostname und WHOIS, Prozess-ID, Datenvolumen, Pfad und Dateiname des Prozesses.

Durchschnittliche Bewertung 0 (0 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.