1 / 44

Herramientas de Sysinternals

Herramientas de Sysinternals. Juan Antonio Martínez Gómez Juan Antonio Robles Ortega José Javier Pérez Navarro. Herramientas Sysinternals. Du Psinfo Whois EFSDump WinObj VMMap TCPView PsFile Pskill Disk View PsGetSid VolumeID PsExec Zoomit. Du.

kordell
Télécharger la présentation

Herramientas de Sysinternals

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Herramientas de Sysinternals Juan Antonio Martínez Gómez Juan Antonio Robles Ortega José Javier Pérez Navarro

  2. Herramientas Sysinternals • Du • Psinfo • Whois • EFSDump • WinObj • VMMap • TCPView • PsFile • Pskill • Disk View • PsGetSid • VolumeID • PsExec • Zoomit

  3. Du • Du (uso de disco) notifica sobre el uso de espacio en disco correspondiente al directorio que se especifique. De forma predeterminada examina los directorios recursivamente para mostrar el tamaño total de un directorio y sus subdirectorios.

  4. Ejemplo Du

  5. PsInfo v1.74 • PsInfo es una herramienta de línea de comandos que reúne información clave acerca del sistema Windows NT/2000 local o remoto, por ejemplo, el tipo de instalación, la versión de kernel, el propietario y la organización en registro, el número de procesadores y los tipos, la cantidad de memoria física, la fecha de instalación del sistema y, si se trata de una versión de prueba, la fecha de caducidad.

  6. Ejemplo Psinfo v1.74Opción -d

  7. Ejemplo Psinfo v1.74Opción -h Nos muestra las actualizaciones

  8. Ejemplo Psinfo v1.74Opción -s Nos muestra las aplicaciones instaladas en el sistema

  9. Whois v1.01 • Whois realiza el registro del nombre de dominio o la dirección IP que se especifique.

  10. Ejemplo de Whois

  11. EFSDump v1.02 • Windows 2000 presenta el sistema de cifrado de archivos (EFS) para que los usuarios puedan proteger sus datos confidenciales. Este subprograma muestra qué cuentas están autorizadas a tener acceso a archivos cifrados.

  12. Ejemplo EFSDump v1.02

  13. WinObj v2.15 • Abre objetos de dispositivo y le permitirá ver y cambiar información de seguridad de objetos mediante editores de seguridad de NT nativos.

  14. Ejemplo WinObj v2.15

  15. Ejemplo WinObj v2.15

  16. VMMap • Vmmap controla el uso de la memoria del sistema. Nos muestra la memoria de los procesos y programas que se estén ejecutando en el equipo

  17. Uso • El uso de Vmmap es sencillo. Una vez iniciado nos pedira que escojamos un proceso de nuestro equipo o un programa (view a running process ó launch and trace a nuew process).

  18. Uso • Una vez seleccionemos el proceso o el programa nos aparecerá unos gráficos con el consumo de memoria que tiene en el equipo.

  19. Estructura Committed: Nos muestra el total del proceso divido en sectores Private bytes: Nos muestra la capacidad de bytes privados que tiene este recurso Working set: Nos muestra la carga de trabajo del proceso en nuestro equipo Image: En la línea seleccionada nos muestra el tamaño , el total de esa parte del proceso , la cantidad de bytes privados . Ademas podemos observar que hay 2 tipos de image: image y image(aslr). Esta ultima es una solución tecnológica de imágenes para sistemas apple

  20. Estructura de los recursos MappedFile: Nos muestra en la primera línea lo mismo que en image. Esta línea es común para todas las partes del proceso . En la parte de abajo podemos observar los archivos asignados y su total de proceso Private data Son la capacidad de datos privados del recurso Page table Son los capacidad de datos almacenados en una memoria virtual . Unususable: Es la memoria no utilizada Free es la parte libre de la memoria del proceso

  21. TCPView • Es una herramienta que nos permite terminar con los procesos que deseemos de una forma similar al administrador de tareas de Windows. • Los procesos que nos muestra solo son los procesos de internet

  22. Uso • Una vez ejecutado el software solo hay que realizar doble clic en el proceso deseado para terminar con su utilización. Nos saldrá una ventana en la que habrá que seleccionar end process para terminar

  23. Psfile  Muestra los usuarios que están accediendo al sistema y la carpeta donde están. Además muestra los permisos que tiene. Para utilizarlo lo ejecutaremos en símbolo del sistema Para su utilización es necesario ejecutar el programa de psfile. En caso de error moverlo al directorio del usuario que estemos utilizando

  24. Uso • Ejecutaremos el siguiente comando el símbolo del sistema psfile \\ip –u usuario –p contraseña. De esta manera podremos ver quien esta entrando en el sistema y las carpeta a las que accede. Para ello entro comparto una carpeta en una maquina virtual y accedo desde mi pc. Ahora ejecutaremos el comando.

  25. USO • De esta manera podemos ver quien entra, en que carpeta esta y los permisos que tiene.

  26. Pskill • Pskill es una herramienta por comando que nos permite matar procesos en nuestro equipo y en equipos remotos • El uso es parecido al psfile. • Pskill \\192.168.0.201 –u Administrador –p 77antonio (nombre proceso) firefox.exe

  27. DiskView • DiskView le muestra un mapa gráfico del disco. • Permite determinar la ubicación de un archivo. • Si se hace clic en un clúster, consultar los archivos que lo ocupan. • Diskview funciona en Windows NT 4, 2000, XP y en Server 2003.

  28. Programa

  29. Disco escaneado

  30. Informe generado

  31. PsGetSid • PsGetSid le permite traducir los SID (identificador de seguridad) a su nombre para mostrar y viceversa. • Funciona en las cuentas de orden interna, las cuentas de dominio y cuentas locales

  32. Opciones

  33. Conocer SID de un usuario

  34. Conocer usuario de un SID

  35. Uso de manera remota • PsGetSid \\ipremota –u usuarioremoto –p contraseña SID | usuario

  36. VolumeID • Permite cambiar los identificadores de los discos FAT y NTFS (disquetes o discos duros) en Windows 9x y Windows NT/2000/XP/2003.

  37. Cambiar el identificador del volumen

  38. PsExec • Permite ejecutar procesos remotamente. • Funciona en Windows Server 2008, Vista, NT 4.0, Win2K, Windows XP y Server 2003 incluidas las versiones x64 de Windows.

  39. Ejemplo de uso remoto

  40. Ejecutando procesos

  41. Zoomit • Aumenta tu Escritorio como una lupa • Permite hacer anotaciones sobre el escritorio • Se activa/desactiva con una combinación de teclas • El color y grosor del lápiz también se puede configurar. • Practico para hacer presentaciones.

  42. Muestra

More Related