This is a great presentation tool that allows you to zoom in and annotate on your screen.  I have been using this tool lately during my presentation and it works really well.  It also makes you look like you know what you are doing.  Below is written from the Microsoft web site describing the too.

ZoomIt is screen zoom and annotation tool for technical presentations that include application demonstrations. ZoomIt runs unobtrusively in the tray and activates with customizable hotkeys to zoom in on an area of the screen, move around while zoomed, and draw on the zoomed image. I wrote ZoomIt to fit my specific needs and use it in all my presentations.

ZoomIt works on all versions of Windows and you can use pen input for ZoomIt drawing on tablet PCs.1

Download:

http://technet.microsoft.com/en-us/sysinternals/bb897434.aspx

Lets say you’re using Autoruns one day and the following conditions arise:

• You notice that the Bonjour service has somehow made its way onto your system (usually courtesy of iTunes or Adobe Creative Suite).
• You find yourself incensed that some dodgy and largely unnecessary Apple networking software has installed itself without asking.
• You discover that the Bonjour service in inexplicably absent from Add/Remove Programs, thus further infuriating you over the stealth nature of the install.

Under these conditions, DON’T do what I did and simply delete the references to mDNSResponder.exe and mdnsNSP.dll using Autoruns. All that will get you is a machine that, after its next reboot, can no longer resolve DNS addresses correctly, leading to a short sharp visit to System Restore. Instead, here’s how to remove Bonjour without tanking your network connectivity:

1. Run the following via Start -> Run:"C:\Program Files\Bonjour\mDNSResponder.exe" -remove
2. Go to the C:\Program Files\Bonjour folder (or C:\Program Files (x86)\Bonjour if you have ended up with a 32-bit version of Bonjour on a 64-bit OS)
3. Rename the mdnsNSP.dll to something else (it doesn’t matter what, my preference is for mdnsNSP.turd)
4. Reboot
5. Delete the aforementioned Bonjour folder from Program Files.

Et voila.

Espero no aburrir ni confundir a nadie con las dos entradas anteriores sobre puertos abiertos en windows. Para abreviar un poco hay una herramienta llamada tcpview descargable del link http://live.sysinternals.com/ solo esta herramienta o todo el conjunto de utilidades, muy básicas pero muy prácticas de http://download.sysinternals.com/Files/SysinternalsSuite.zip.

es entretenido el ir viendo como se van viendo y moviendo las conexiones y como van modificando su estado bajo el protocolo tcp/ip de desconexión o conexión con otro servicio.

Ya sería un motivo de preocupación el no saber o reconocer donde está conectado el ordenador o bajo que programa se encuentra conectado al exterior.

conexiones a ordenador remoto al puerto 80 o http significa simplemente que seguramente hay un navegador abierto y este el motivo. Tambien podría ser debido a alguna actualización del sistema operativo o antivirus. Aquí comenzará el análisis y el aprendizaje.

Jeromie Jackson, reconocido consultor de seguridad informática, publicó lo que a su parecer serian las mejores 100 herramientas de seguridad opensource, un excelente listado en el que seguro encontraras algunas herramientas que desconocías.

Top 100 Security Assessment, Vulnerability Auditing, & Security Tools

1  Stockade / Virtual Appliance with Snort, BASE, Inprotect, CACTI, NTOP & Others
2  Nessus / Open source vulnerability assessment tool
3  Snort / Intrusion Detection (IDS) tool
4  Wireshark / TCP/IP Sniffer- AKA Ethereal
5  WebScarab / Analyze applications that communicate using the HTTP and HTTPS protocols
6  Wikto / Web server assessment tool
7  BackTrack / Penetration Testing live Linux distribution
8  Netcat / The network Swiss army knife
9  Metasploit Framework / Comprehensive hacking framework
10 Sysinternals / Collection of windows utilities

LISTA COMPLETA

SECURITY TOOL LIST WEB SITE

fuente: dragonjar.org

DESCARGAR

intipadi.com – Mungkin anda sudah mengenal beberapa tool recovery file yang hilang, baik karena terhapus atau terformat seperti Photo Recovery, Data Recovery, atau FreeUndelete. Semua software tersebut dapat mengembalikan file yang terhapus baik diplatform Windows dan Linux. Pada artikel kali ini kami akan memperkenalkan software recovery yaitu Fast Flash Recovery 2.1 yang mengkhususkan kepada drive Flashdisk atau Memory Card.

Fast Flash Recovery dapat merecovery file yang tak sengaja terhapus dari hard disk, atau memory card, flashdisk, USB disk. Dengan fitur Easy Flash Recovery anda dapat me-restore file foto digital seperti jpg, png, psd, gif dan lainnya atau format profesional seperti crw, nef, raf, orf dll atau pula file audio dan video seperti avi, mov, wmv,  mp3, mpg kemudian juga file dokumen seperti zip, xls, doc, rar dan sebagainya.

Download:

• Via Uploaded.to : http://ul.to/u2xsjp
• Via Ziddu : http://www.ziddu.com/download/6846587/handyrecovery.exe.html
• Via 4shared : http://www.4shared.com/file/139671154/7f94f460/handyrecovery.html

Disk2vhd— простая в использовании утилита, позволяющая создать образ загруженной, работающей системы в формате Virtual PC. Нужно всего лишь скачать и запустить программу, выбрать диск, на котором расположена ваша Windows и указать, где следует сохранить виртуальную машину. Поддерживается 32 и 64-bit Windows XP SP2 и новее.
Скачать утилиту можно тут.

Само приложение выглядит так:

intipadi.com – Memecah file besar adalah salah satu kegiatan yang wajib dilakukan jika ajang sharing file yang kita manfaatkan memang tidak memungkinkan satu file didistribusikan secara utuh dengan kapasitas besar. Untuk itulah dibutuhkan sebuah file splitter, untuk kali ini kami rekomendasikan software Hi-Split File, khusus bagi anda pengguna Windows.

Hi-Split File ini cocok untuk memecah atau mengirim sebuah file ISO via jaringan internet. Sangat sederhana, kecil dan mudah digunakan. Tak perlu instalasi dan kompatibel untuk Vista, XP maupun 7.

Download

• Via Uploaded.to : http://ul.to/kkld6q
• Via Ziddu: http://www.ziddu.com/download/6832846/Hi-SplitFile-EN-V1.0.exe.html
• Via 4shared: http://www.4shared.com/file/138543278/8b18afd1/Hi-Split_File-EN-V10.html

intipadi.com – SysInternals secara mengejutkan merilis software Disk2vhd, sebuah software yang mampu membuat virtual hard disk berekstensi *.vhd dari sebuah hard disk fisik. Software ini sangat berguna jika anda sedang melakukan migrasi ke virtual machine anda tetap dapat menggunakan hard disk anda secara penuh, ke lingkungan virtual.

Disk2vhd is a utility that creates VHD (Virtual Hard Disk – Microsoft’s Virtual Machine disk format) versions of physical disks for use in Microsoft Virtual PC or Microsoft Hyper-V virtual machines (VMs). The difference between Disk2vhd and other physical-to-virtual tools is that you can run Disk2vhd on a system that’s online.

Cara Penggunaan

1. Jalankan Disk2vhd,
2. Browse kemana file *.vhd akan dibuat,
3. Pilih partisi/hard disk fisik yang akan diconvert
4. Kemudian klik Create untuk membuat imagenya.

Kemampuan Disk2vhd sendiri telah kompatibel dengan Microsoft Virtual PC atau HyperV dan kemungkinan besar bekerja dengan baik di VirtualBox (masih belum dilaporkan ada test dengannya), atau cukup sebagai hard disk virtual di Windows 7.

Disk2vhd dapat dijalankan di Windows XP Sp2, Windows Server 2003 SP1, atau lebih tinggi termasuk ke arsitektur 64bit.

Download

• Via Uploaded.to : http://ul.to/0n5ata
• Via Ziddu : http://www.ziddu.com/download/6832704/disk2vhd.exe.html
• Via 4shared : http://www.4shared.com/file/138541376/c76b206a/disk2vhd.html

Leyendo SBD me encuentro con esta herramienta que es capaz de hacer las siguientes cosas:

Puertos TCP/UDP en uso

Software instalado

Servicios en ejecución,

Cuentas administrativas

Procesos en ejecución

Bueno así que lo he probado.

Para utilizar esta herramienta hay que descargar varias cosas.

Primero la suite Sysinternals.

Descargar

Luego nos tendremos que descargar el toolkit de MIR-ROR

Descargar

Y la aplicación que nos hará el volcado.

Descargar

Todo lo hemos de poner en una misma carpeta.

Por ejemplo yo lo he puesto todo en C:\Forense

Ahora vamos a ejecutar la herramienta de volcado.

Ahora podemos ver el fichero desde consola por ejemplo:

Y ahora de manera gráfica,

Y de esta manera ya tendremos un análisis de Windows.

Podéis ver la notícia de Security By Default desde aquí::

http://www.securitybydefault.com/2009/09/toolkit-forense-mir-ror.html

Saludos

Fport, Sysinternals y PStools herramientas imprescindibles I-III

Sigamos

PsPasswd

Que es y para que sirve?

Los administradores de sistemas que gestionan las cuentas de gestión local en varios equipos regularmente necesidad de cambiar la contraseña de la cuenta como parte de las prácticas de seguridad estándar. PsPasswd es una herramienta que le permite cambiar una contraseña de la cuenta en los sistemas locales o remotos, permite a los administradores crear archivos de proceso por lotes que se ejecutan PsPasswd contra los equipos que gestionan con el fin de realizar un cambio de masa de la contraseña de administrador.

 

Modo de Uso:

uso: pspasswd [[\ \ equipo [, equipo [,..] | @ [archivo-u usuario [-p Alta Recordatorio]]] Usuario [nuevaContraseña]

ordenador	Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.
@ archivo	Ejecute el comando en cada equipo incluido en el archivo de texto especificado.
-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-p	Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.
Nombre de usuario	Especifica el nombre de cuenta para cambiar la contraseña.
NuevaContraseña	Nueva contraseña. Si se omite una contraseña nula es aplicada.

 

Veamos un ejemplo:

PsService

Que es y para que sirve?

PsService es un visor de servicios y controlador para Windows. Al igual que la utilidad de SC que está incluido en Windows NT y Windows 2000 kits de recursos, PsService muestra el estado, la configuración y las dependencias de un servicio, y le permite iniciar, detener, pausar, reanudar y reiniciar ellos. A diferencia de la utilidad de SC, PsService le permite iniciar sesión en un sistema remoto utilizando una cuenta diferente, para los casos en que la cuenta desde la que se ejecuta no tiene los permisos necesarios en el sistema remoto. PsService incluye un servicio único capacidad de búsqueda, que identifica las instancias activas de un servicio en su red. Usted podría utilizar la función de búsqueda si desea localizar los sistemas que ejecutan los servidores DHCP, por ejemplo.

Por último, PsService Funciona tanto en NT 4, Windows 2000 y Windows Vista, mientras que la versión de Windows 2000 Kit de recursos de la SC requiere Windows 2000, y la PsService no requiere que para introducir manualmente un “resume índice” para obtener una lista completa de información de servicio.>

Modo de uso:

Uso: PsService [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] <command> <options>

consulta	Muestra el estado de un servicio.
config	Muestra la configuración de un servicio.
setconfig	Establece el tipo de partida (desactivado, automático, de la demanda) de un servicio.
iniciar	Inicia un servicio.
parar	Detiene un servicio.
reinicie	Se detiene y se reinicia un servicio.
pausa	Detiene un servicio de
cont	El resumen de un servicio pausado.
depende	Listas de los servicios dependientes de la especificada.
seguridad	Vuelca descriptor de seguridad del servicio.
encontrar	Busca en la red para el servicio especificado.
\ \ equipo	Objetivos del sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto. Si se especifica la opción-u, pero no una contraseña con la opción-p, PsService le pedirá que introduzca la contraseña y no tendrá eco a la pantalla.

Veamos un ejemplo:

Sigamos

PsShutdown

Que es y para que sirve?

PsShutdown es una utilidad de línea de comandos similar a la utilidad de apagado de Windows 2000 Resource Kit, pero con la capacidad de hacer mucho más. Además de apoyar las mismas opciones para apagar o reiniciar el local o un equipo remoto, PsShutdown puede cerrar la sesión en la consola de usuario o de bloqueo de la consola (bloqueo requiere Windows 2000 o superior). PsShutdown no requiere ningún manual de instalación de software de cliente.

Modo de uso:

Uso: psshutdown [[\ \ equipo [, equipo [,..] | @ file [-u usuario [-p Alta Recordatorio]]]-s |-r |-h |-d |-k |-a |-l |-o [-f] [-c] [-nn t | h: m] [-ns] [-nn v] [-e [u | p]: xx: yy] [-m "mensaje"]

–	Muestra las opciones de apoyo.
ordenador	Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.
@ archivo	Ejecute el comando en cada equipo incluido en el archivo de texto especificado.
-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-p	Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.
-a	Anula el apagado (sólo es posible mientras que una cuenta atrás está en marcha).
-c	Permite que el cierre de ser cancelada por el usuario interactivo.
-d	Suspender el equipo.
-E	Código de razón de apagado. Especifique ‘U’ para los códigos de usuario y la razón ‘p’ para los códigos de razón prevista de cierre. xx es el código de las principales razones (debe ser inferior a 256). yy es el código de razón menor de edad (debe ser inferior a 65536).
-f	Fuerzas de todas las aplicaciones para salir durante el cierre en lugar de darles la oportunidad de guardar sus datos con gracia.
-h	Hiberna el equipo.
-k	Apagado el ordenador (reiniciar el sistema apagado si no se admite).
-l	Bloqueo de la computadora.
-m	Esta opción le permite especificar un mensaje para mostrar a los usuarios registrados cuando se inicie el cierre de la cuenta regresiva.
-n	Especifica el tiempo de espera en segundos de conexión a ordenadores remotos.
-O	Cierre de sesión del usuario de la consola.
-r	Reinicie después de la parada.
-s	Apaga el equipo sin alimentación.
-t	Especifica la cuenta atrás en segundos hasta el cierre (por defecto: 20 segundos) o el tiempo de apagado (en notación de 24 horas).
-v	Mensaje en pantalla el número especificado de segundos antes del apagado. Si se omite este parámetro de la notificación de cierre de diálogo muestra y especificar un valor de 0 resultados, en ningún cuadro de diálogo.

 

Veamos un ejemplo:

 PsSuspend

PsSuspend le permite suspender los procesos en el sistema local o remoto, que es deseable en los casos en que un proceso está consumiendo un recurso (por ejemplo, red, CPU, o disco) que desea permitir que los diferentes procesos a utilizar. En lugar de matar el proceso que está consumiendo el recurso, la suspensión le permite dejar que sigan operando en algún momento posterior en el tiempo

Modo de uso:

Uso: PsSuspend [-] [-r] [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] nombre <process | proceso id>

–	Muestra las opciones de apoyo.
-r	CV de los procesos especificados especificado si se encuentran suspendidos.
\ \ equipo	Especifica el equipo en el que el proceso que se desea suspender o reanudar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT.
-u nombre de usuario	Si desea suspender un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsSuspend le pedirá la contraseña sin eco de sus aportaciones a la pantalla.
-p contraseña	Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsSuspend de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsSuspend le pide una contraseña de forma interactiva.
identificador de proceso	Especifica el ID del proceso del proceso que se desea suspender o reanudar.
Nombre del proceso	Especifica

 

Veamos un ejemplo:

Sigamos

RegDellNull

Que es y para que sirve?

Este comando búsquedas de la utilidad de línea para y le permite borrar las claves del Registro que contienen caracteres nulos incrustados y que de otro modo undeleteable valiéndose del Registro de las herramientas de edición. Nota: eliminar las claves del Registro puede causar las aplicaciones que están asociados con un error.

Veamos un ejemplo:

Continuemos

RegJump

Que es y para que sirve?

Este comando pequeño applet línea toma una ruta del Registro y hace Regedit abierto a ese camino. Acepta claves principales de la norma (por ejemplo, HKEY_LOCAL_MACHINE) y de forma abreviada (por ejemplo, HKLM).

Veamos un ejemplo:

Sigamos

RegMon

Nota: Filemon y Regmon han sido sustituidos por Process Monitor en las versiones de Windows a partir de Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 y Windows Vista. Filemon y Regmon siendo el apoyo para el funcionamiento de los sistemas heredados, incluido Windows 9x.

RegMon es una utilidad de control del Registro que le mostrará qué aplicaciones tienen acceso a su registro, que las claves son el acceso y los datos del Registro que son de lectura y escritura – todo en tiempo real. Esta utilidad te lleva avanzado un paso más allá de lo estático herramientas de registro puede hacer, para que pueda ver y entender exactamente cómo utilizar los programas de la Secretaría. Con las herramientas de estática que podría ser capaz de ver lo que los valores del Registro y las claves cambiado. Con Regmon verá cómo los valores y las teclas cambiado ..

Veamos como funciona:

Sigamos

Rootkit revealer

Que es y para que sirve?

RootkitRevealer es una utilidad avanzada de detección de rootkit. Se ejecuta en Windows NT 4 y discrepancias sistema superior y sus listas de salida de registro y archivo de la API que pueden indicar la presencia de un usuario o de modo kernel-rootkit de modo. RootkitRevealer detecta correctamente muchos rootkits persistentes como AFX, Vanquish y HackerDefender (nota: RootkitRevealer no está destinado a detectar rootkits como Fu que no intentan ocultar sus archivos o claves de registro). Si lo usa para identificar la presencia de un rootkit, por favor háganoslo saber!

La razón de que ya no hay un comando versión en línea es que los autores de malware comenzaron a centrarse en el análisis de RootkitRevealer utilizando su nombre de archivo ejecutable. Lo tanto, hemos actualizado RootkitRevealer para ejecutar su análisis a partir de una copia con nombre aleatorio que se ejecuta como un servicio de Windows. Este tipo de ejecución no es favorable a una interfaz de línea de comandos. Tenga en cuenta que puede utilizar las opciones de línea de comandos para ejecutar un análisis automático con resultados registrados en un archivo, que es el equivalente de los comandos de la versión de línea de conducta.

Veamos un ejemplo:

Sigamos

SDelete

Que es y para que sirve?

SDelete es una utilidad de línea de comandos que toma un número de opciones. En cualquier uso determinado, que le permite borrar uno o más archivos y / o directorios, o para limpiar el espacio libre de un disco lógico. SDelete acepta caracteres comodín como parte del directorio o archivo de especificación.

Veamos un ejemplo:

ShareEnum

Que es y para que sirve?

ShareEnum usos WNetEnumResource para enumerar los dominios y los equipos dentro de ellos y NetShareEnum para enumerar las acciones en las computadoras.

 

Veamos un ejemplo:

ShellRunAs

Que es y para que sirve?

La línea de comando utilidad Runas es útil para poner en marcha programas en diferentes cuentas, pero no es conveniente si usted es un usuario de Explorer pesados. ShellRunas proporciona una funcionalidad similar a la de Runas para poner en marcha programas como un usuario diferente a través de un contexto de Shell conveniente la entrada de menú

Veamos un ejemplo:

Sigamos

SigCheck

Que es y para que sirve?

Compruebe que las imágenes son firmados digitalmente y volcado de información de la versión con este comando sencilla utilidad de línea.

Veamos un ejemplo:

Streams

Que es y para que sirve?

El sistema de archivos NTFS ofrece aplicaciones de la capacidad de crear secuencias de datos alternativas de información. Por defecto, todos los datos se almacenan en un archivo principal de flujo de datos anónimos, pero usando la sintaxis de archivo ‘: Stream’, que son capaces de leer y escribir a los suplentes. No todas las aplicaciones están escritas para acceder a secuencias alternativas, pero se puede demostrar flujos de manera muy sencilla. En primer lugar, cambiar a un directorio en una unidad NTFS desde un símbolo del sistema. Echo en Siguiente, escriba “Hola> prueba: Stream ‘. Acaba de crear una corriente llamada ‘corriente’ que está asociado con la prueba en el archivo ‘. Tenga en cuenta que cuando usted mira el tamaño de la prueba, se reporta como 0, y el archivo parece estar vacío cuando se abre en cualquier editor de texto. Para ver la secuencia introduzca “más <prueba: Stream ‘(el comando no acepta escuchar la sintaxis de lo que tiene que utilizar más).

NT no vienen con herramientas que te permiten ver que los archivos NTFS tienen corrientes asociados con ellos, por lo que he escrito yo mismo. Streams examinará los archivos y directorios (tenga en cuenta que los directorios también pueden tener secuencias de datos alternativas) que especifique y le informará del nombre y el tamaño de las secuencias con nombre que encuentra dentro de esos archivos. Streams hace uso de una función nativa indocumentados para recuperar información del flujo de archivo.

 

Veamos un ejemplo:

Strings

Que es y para que sirve?

Trabajo en NT y Win2K significa que los ejecutables y archivos de objetos que muchas veces han incrustado cadenas UNICODE que usted no puede ver fácilmente con una cadenas de caracteres estándar ASCII o programas de grep. Así que decidimos lanzar nuestra. Cuerdas sólo escanea el archivo se pasa por UNICODE (o ASCII) cuerdas de una longitud predeterminada de 3 o más UNICODE (o ASCII). Tenga en cuenta que funciona bajo Windows 95 también.

Veamos un ejemplo:

Sync

Que es y para que sirve?

UNIX proporciona una utilidad estándar llamada Sync, que se puede utilizar para dirigir el sistema operativo a volcar todos los datos del sistema de archivos en el disco para asegurarse de que es estable y no se perderá en caso de fallo del sistema. De lo contrario, los datos modificados presentes en la memoria caché se perdería. Aquí hay un equivalente que escribí, llamado Sync, que funciona en todas las versiones de Windows. Úselo cuando quiera saber que el archivo de datos modificados se almacenan de forma segura en sus discos duros. Desafortunadamente, Sync requiere privilegios de administrador para ejecutarse. Esta versión también le permite lavar las unidades extraíbles como unidades ZIP.

Veamos un ejemplo:

 Sigamos

TcpView

Que es y para que sirve?

TCPView es un programa de Windows que le mostrará una lista detallada de todos los parámetros TCP y UDP en su sistema, incluyendo las direcciones locales y remotas y el estado de las conexiones TCP. En Windows Server 2008, Vista, NT, 2000 y XP TCPView también informa el nombre del proceso que posee el extremo. TCPView proporciona una más informativa y convenientemente presentada forma parte del Programa Netstat que se incluye con Windows. La descarga incluye TCPView Tcpvcon, una versión de línea de comandos con la misma funcionalidad.

Usted puede utilizar TCPView en Windows 95 si obtiene el Windows 95 Winsock 2 Update de Microsoft.

Veamos un ejemplo:

VMap

Que es y para que sirve?¿

VMMap es un proceso físico y virtual de utilidad el análisis de la memoria. Se muestra un desglose de los cometidos de un proceso tipos de memoria virtual, así como la cantidad de memoria física (conjunto de trabajo) asignado por el sistema operativo a esos tipos. Además de representaciones gráficas de uso de memoria, VMMap también muestra información de resumen y un detallado mapa de memoria de proceso. Potente filtrado y la capacidad de actualización le permiten identificar las fuentes de uso de memoria de proceso y el costo de la memoria de las características de aplicación.

Además de visitas flexible para analizar los procesos vivos, VMMap apoya la exportación de datos en múltiples formas, incluyendo un formato nativo que preserva toda la información de modo que usted puede cargar de nuevo in También incluye opciones de línea de comandos que permiten a los escenarios de secuencias de comandos.

VMMap es la herramienta ideal para desarrolladores que deseen comprender y optimizar los recursos de su aplicación de uso de la memoria.

Veamos un ejemplo:

Y hasta aqui, espero que os haya servido

Sigamos con la segunda parte si quieres ver la primera parte visita aqui

Fport, Sysinternals y PStools herramientas imprescindibles I-III

PendMoves and Moves Files

Que es y para que sirve?

Hay varias aplicaciones, como paquetes de servicio y las revisiones, que debe reemplazar un archivo que está en uso y no puede. Windows por lo tanto proporciona la API de MoveFileEx para renombrar o borrar un archivo y permite que la persona que llama para especificar que desea que la operación tenga lugar la próxima vez que arranque el sistema, antes de que se hace referencia a los archivos. Session Manager realiza esta tarea mediante la lectura del registro renombrar y borrar los comandos de la clave HKLM \ System \ CurrentControlSet \ Control Manager \ Session \ PendingFileRenameOperations valor.

En esta aplicación se vuelca el contenido de la espera de borrar el nombre o el valor y también informa de un error cuando el archivo de código fuente no es accesible. Esta es resultado de un ejemplo que muestra un archivo de instalación temporal calendario para su eliminación en el próximo reinicio del sistema:

Veamos un ejemplo.

C: \> pendmovesPendMove v1.02
Copyright (C) 2004 Mark Russinovich
Sysinternals – wwww.sysinternals.com
 
Fuente: C: \ Config.Msi \ 3ec7bbbf.rbf
Objetivo: DELETE

 

PipeList

Que es y para que sirve?

¿Sabía usted que el controlador de dispositivo que implementa las canalizaciones con nombre en realidad es un controlador de sistema de archivo “De hecho, el nombre del conductor es NPFS.SYS, por” canalización del sistema de archivos “. Lo que puede que encuentre sorprendente es que su posible obtener una lista de directorios de las canalizaciones con nombre definido en un sistema. Este hecho no está documentado, ni es posible hacer esto utilizando la API Win32. utilizando directamente NtQueryDirectoryFile, la función nativa que la API de Win32 FindFile confiar, permite a la lista de tuberías. NPH El listado de directorio devuelve también indica el número máximo de instancias de canalización establecido para cada tubo y el número de casos activos.

Para demostrar la lista de las canalizaciones con nombre que he escrito un programa llamado PipeList. PipeList muestra las canalizaciones con nombre en su sistema, incluyendo el número de casos máximo y los casos activos para cada tubo.

Veamos un ejemplo:

Sigamos

Portmon

Que es y para que sirve?

Portmon es una utilidad que monitoriza y muestra toda la actividad del puerto serie y paralelo en un sistema. Se ha avanzado de filtrado y capacidades de búsqueda que la hacen una herramienta de gran alcance de Windows para explorar la forma en que funciona, ver cómo las aplicaciones utilizan los puertos, o localizar problemas en el sistema o configuraciones de aplicación.

Veamos un ejemplo:

Adelante con el siguiente:

ProcDump

ProcDump es una utilidad de línea de comandos cuya principal finalidad es el seguimiento de una solicitud de los picos de CPU y la generación de vertederos de accidente durante una espiga que un administrador o desarrollador puede utilizar para determinar la causa de la punta. ProcDump también incluye la supervisión de la ventana colgaba (utilizando la misma definición de una ventana de Windows que se bloquea y utilizar el Administrador de tareas) y la supervisión de excepción no controlada. También puede servir como un proceso general de volcado de utilidad que se puede integrar en otros scripts.

Modo de Uso:

Uso ProcDump

de uso: procdump [-64] [-c uso de la CPU [-u] [-s segundos] [-n superior]] [-h] [E] [MA] [-r] [-o] [[< nombre de proceso o PID> [archivo de volcado]] | [-x <image file> <dump file> [argumentos]]

-64	Por procdump defecto capturar un volcado de 32-bit de un proceso de 32 bits cuando se ejecuta en Windows 64-bit. Esta opción reemplaza la creación de un vertedero de 64 bits.
–c	De umbral de la CPU en la que crear un volcado del proceso.
–E	Escribir una descarga cuando el proceso se encuentra con una excepción no controlada.
–h	Escribir volcado si el proceso se ha colgado de una ventana.
–ma	Escribir un archivo de volcado de memoria con todos los procesos. El formato incluye defaultdump hilo y manejar la información.
-n	Número de vertederos a escribir antes de salir.
-O	Sobrescribir un archivo de volcado existente.
-r	Reflexionar (clon) el proceso de volcado para minimizar el tiempo el proceso se ha suspendido (Windows 7 y superiores).
-s	Consecutivos segundo umbral de la CPU debe ser golpeado por escrito antes de que se descarga (por defecto es 10).
-U	Tratar el uso de CPU con respecto a un único núcleo.
-x	Lanzamiento de la imagen especificada con argumentos opcionales.

 

Veamos un ejemplo:

Escribir hasta 3 vertederos de un proceso llamado “consumen” cuando se supera el 20% de uso de CPU durante tres segundos para el directoryc: \ Dump \ consumir con el consume.dmp nombre:

C: \> procdump C-20-N 3-o consumir c: \ Dump \ consumen

Escribir una descarga de un proceso llamado ‘hang.exe “cuando una de sus ventanas no responde por más de 5 segundos:

C: \>-procdump hungwindow.dmp hang.exe h

Iniciar un proceso y su seguimiento por el uso excesivo de CPU:

C: \> procdump C-30-s 10-X consume.dmp consume.exe

Escribir una descarga de un proceso llamado “iexplore” para descargar un archivo que tiene el iexplore.dmp nombre por defecto:

C: \> iexplore procdump

Siguiente herramienta

ProcesExplorer

Que es y para que Sirve?

Alguna vez se preguntó qué programa tiene un archivo o directorio abierto? Ahora puede averiguarlo. Process Explorer se muestra información acerca de que se ocupa de los procesos y DLLs han abierto o cargado.

El Process Explorer pantalla se compone de dos sub-ventanas. La ventana superior muestra siempre una lista de los procesos actualmente activos, incluyendo los nombres de las cuentas que poseen, mientras que la información que aparece en la ventana inferior depende del modo que Process Explorer está en: si está en el modo de manejar verá los identificadores que el proceso seleccionado en la ventana superior se ha abierto, y si Process Explorer está en modo de DLL verá los archivos DLL y los archivos asignados en memoria que el proceso se ha cargado. Process Explorer también tiene una potente capacidad de búsqueda que rápidamente le mostrará en qué procesos se han abierto o se ocupa en particular DLL cargado.

Las capacidades únicas de Process Explorer hacerlo útil para la localización de los problemas de la versión de DLL o pérdidas de identificadores, y proporcionar información sobre la manera de Windows y las aplicaciones de trabajo.

Veamos un ejemplo:

Sigamos con otra herramienta:

ProcesMonitor

Process Monitor es una herramienta de monitorización avanzada para Windows que muestra real del sistema de archivos de tiempo, el registro y proceso / actividad hilo. Combina las características de dos utilidades de Sysinternals legado, Filemón y Regmon, Y añade una amplia lista de mejoras que incluyen rico y no destructivo de filtrado, propiedades integral de eventos como los identificadores de sesión y nombres de usuario, procesar la información fiable, completa pilas de subprocesos con el apoyo símbolo integrado para cada operación, registro simultáneo en un archivo, y mucho más . Sus características, única y poderosa hará Process Monitor una utilidad fundamental en su sistema de solución de problemas y kit de herramientas de caza de malware.

Veamos un ejemplo:

Sigamos con otra herramienta

ProcFeatures

ProcessorFeatures es un no-applet de lujos que utiliza el IsProcessorFeaturePresent API de Windows para determinar si el procesador de Windows y soporta varias características como n º de páginas de ejecución, Extensiones de dirección física (PAE), y una real lucha contra el ciclo de tiempo. Su objetivo principal es identificar el sistema está ejecutando la versión del kernel de PAE y que el apoyo de no ejecutar la protección de desbordamiento de búfer.

Veamos un ejemplo:

Sigamos con otra herramienta

PsExec

Que es y para que sirve?

Las utilidades como Telnet y programas de control remoto, como PC Anywhere de Symantec permiten ejecutar programas en sistemas remotos, pero puede ser un dolor de establecer y exigir que instalar software cliente en el sistema remoto que desea acceder. PsExec es una luz-telnet peso de reemplazo que le permite ejecutar procesos en otros sistemas, con la interactividad completa para aplicaciones de consola, sin tener que instalar manualmente el software de cliente. Usos más poderosos PsExec incluyen el lanzamiento de comandos interactivos de indicaciones que aparecen en sistemas remotos y distantes-como herramientas que permiten a IpConfig que de otro modo no tienen la capacidad de mostrar información sobre los sistemas remotos.

Nota: algunos exploradores antivirus informan de que uno o más de las herramientas están infectadas con el admin un “remoto” de virus. Ninguna de las PsTools contiene virus, pero que han sido utilizados por los virus, que es por eso que activar las notificaciones de virus.

Como funciona?

Uso: psexec [\ \ equipo [, computer2 [,...] | @ archivo] [-u usuario [-p Alta Recordatorio]] [-ns] [-l] [-s |-e] [-x] [ -i [reunión]] [-c [-f |-v]] [-w directorio] [-d] [- <priority>] [-an, n, ... ] Cmd [argumentos]

ordenador	Directo PsExec para ejecutar la aplicación en el equipo o equipos especificados. Si se omite el nombre del equipo PsExec ejecuta la aplicación en el sistema local y si escribe un nombre de equipo de “\ \ *” PsExec ejecuta las aplicaciones en todos los equipos del dominio actual.
@ archivo	Dirige PsExec para ejecutar el comando en cada equipo incluido en el archivo de texto especificado.
-a	Procesadores separados en los que la aplicación se puede ejecutar con comas donde 1 es el número más bajo de la CPU. Por ejemplo, para ejecutar la aplicación en la CPU 2 y la CPU 4, escriba: “-a 2,4″
-c	Copia el programa especificado en el sistema remoto para su ejecución. Si se omite esta opción, entonces la aplicación debe estar en la ruta del sistema en el sistema remoto.
-d	No espere a que la aplicación termine. Sólo utilice esta opción para aplicaciones no interactivas.
-E	No se carga el perfil de la cuenta especificada.
-f	Copia el programa especificado en el sistema remoto, incluso si el archivo ya existe en el sistema remoto.
-i	Ejecute el programa para que interactúe con el escritorio de la sesión especificada en el sistema remoto. Si no se especifica el período de sesiones proceso se ejecuta en la sesión de consola.
-l	Proceso de ejecución como usuario limitado (las bandas del grupo Administradores y sólo permite que los privilegios asignados al grupo de usuarios). En Windows Vista, el proceso se ejecuta con baja Integridad.
-n	Especifica el tiempo de espera en segundos de conexión a ordenadores remotos.
-p	Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.
-s	Proceso de ejecución remoto en la cuenta del sistema.
-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-v	Copia el archivo especificado sólo si tiene un número de versión mayor, o es más reciente en que el uno en el sistema remoto.
-w	Establezca el directorio de trabajo del proceso (en relación con el equipo remoto).
-x	Mostrar la interfaz de usuario en el escritorio de Winlogon (sistema local solamente).
prioridad	Especifica-baja,-Debajo de lo normal,-Arriba de lo normal, alta o-en tiempo real para ejecutar el proceso en una prioridad distinta. Utilice fondo para ejecutar en poca memoria y E / S de prioridad en Vista.
programa	Nombre del programa a ejecutar.
argumentos	Argumentos para transmitir (nota que las rutas de archivo debe ser la ruta absoluta en el sistema de destino)

 

Veamos un ejemplo.

psexec-i-d-s c: \ windows \ regedit.exe

Sigamos con otra herramienta

PsFile

Que es y para que sirve?

El “archivo de red” comando muestra una lista de los archivos que otros equipos han abierto en el sistema sobre el cual se ejecuta el comando, sin embargo, trunca los nombres de ruta largos y no le permiten ver que la información de sistemas remotos. PsFile es una utilidad de línea de comando que muestra una lista de archivos en un sistema que se abren de forma remota, y también le permite cerrar los archivos abiertos por nombre o por un identificador de archivo.

Modo de uso

Uso: psfile [\ \ RemoteComputer [-u usuario [-p Contraseña]]] [[| Id. de ruta] [-c]]

-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-p	Especifica la contraseña para el nombre de usuario. Si se omite esto, se le pedirá que introduzca la contraseña sin que se hizo eco de la pantalla.
Id	Identificador (que le asigne el PsFile) del archivo para el que se mostrará la información o para cerrar.
Ruta	Ruta de acceso completa o parcial de los archivos a la altura de mostrar la información o cerrar.
-c	Cierra los archivos de identificarse con DNI o ruta de acceso.

 

Veamos un ejemplo:

Ahora sigamos con otra herramienta

PsGetSid

Que es y para que sirve?

¿Ha realizado un despliegue, sólo para descubrir que la red podría sufrir el problema de la duplicación SID? Con el fin de saber qué sistemas tienen que ser asignado un nuevo SID (con un actualizador SID como el nuestro NewSID), Usted tiene que saber qué máquina de un ordenador SID. Hasta ahora, no ha habido una manera de decirle a la máquina sin saber trucos SID Regedit y exactamente dónde buscar en el Registro. PsGetSid hace que la lectura de un ordenador SID fácil, y funciona a través de la red para que pueda DIM consulta a distancia. PsGetSid También te permite ver el SID de las cuentas de usuario y traducir un SID en el nombre que lo representa.

Modo de uso

Uso: PsGetSid [\ \ equipo [, equipo [,...] | @ archivo] [-U usuario [-p contraseña]]] [Cuenta | SID]

Veamos un ejemplo

Sigamos con otra herramienta

PsInfo

PsInfo es una herramienta de línea de comandos que obtiene información clave sobre el sistema Windows NT/2000 local o remoto, incluyendo el tipo de instalación, la construcción del kernel, la organización social y el propietario, el número de procesadores y su tipo, la cantidad de memoria física, la fecha de instalación del sistema, y si es una versión de prueba, la fecha de vencimiento.

Modo de Uso

Uso: psinfo [[\ \ equipo [, equipo [,..] | @ file [-u usuario
[Alta Recordatorio-p]]] [-h] [-s] [-d] [-c [-t delimiter]] [filtro]

\ \ equipo	Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.
@ archivo	Ejecute el comando en cada equipo incluido en el archivo de texto especificado.
-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-p	Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.
-h	Muestra la lista de las revisiones instaladas.
-s	Mostrar la lista de aplicaciones instaladas.
-d	Mostrar volumen de información en disco.
-c	Imprimir en formato CSV.
-t	El delimitador por defecto para la opción-c es una coma, pero puede ser anulado con el carácter especificado.
Filtro	Psinfo sólo mostrará los datos para el campo coincidan con el filtro. por ejemplo, “El servicio psinfo” listas sólo el campo de Service Pack.

 

Veamos un ejemplo:

Obtenemos Informacion

Información Obtenida

Obteniendo informacion en remoto

Informacion remota obtenida

PSKill

Que es y para que sirve?

Windows NT/2000 no viene con una línea de comandos de utilidad de matar “. Usted puede obtener una en el de Windows NT o Win2K Kit de recursos, pero la utilidad del kit sólo puede poner fin a los procesos en el equipo local. PsKill es una utilidad de matar que no sólo la versión del Kit de recursos en sí, pero también puede matar procesos en sistemas remotos. Ni siquiera tiene que instalar un cliente en el equipo de destino para el uso PsKill a poner fin a un proceso remoto

Modo de uso

Uso: pskill [-] [-t] [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] nombre <process | proceso id>

–	Muestra las opciones de apoyo.
-t	Matar el proceso y sus descendientes.
\ \ equipo	Especifica el equipo en el que el proceso que desea terminar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT.
-u nombre de usuario	Si desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsKill le pedirá la contraseña sin eco de sus aportaciones a la pantalla.
-p contraseña	Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p-PsList le solicita una contraseña de forma interactiva.
identificador de proceso	Especifica el ID del proceso del proceso que se quieren matar.
Nombre del proceso	Especifica

 

Veamos un ejemplo:

Matamos proceso en local

Matamos proceso en remoto

Sigamos

PsList

Que es y para que sirve?

Al igual que Windows NT/2K ’s integrado en la herramienta de seguimiento PerfMon, PsList utiliza los contadores de rendimiento de Windows NT/2K para obtener la información que muestra. Usted puede encontrar documentación de los contadores de rendimiento de Windows NT/2K, incluyendo el código fuente de Windows NT incorporado en el monitor de rendimiento, PerfMon, en MSDN.

Modo de uso

exp PsList	se muestran las estadísticas de todos los procesos que comienzan con “CAD”, que incluiría Explorer.
-d	Mostrar detalles hilo.
-m	Mostrar los detalles de memoria.
-x	Mostrar los procesos, información de la memoria y subprocesos.
-t	Mostrar árbol de procesos.
-s [n]	Ejecutar en modo de administrador de tareas, por segundo opcional especificado. Pulse Escape para cancelar.
-r n	Tarea modo de Administrador de actualización en el segundo (por defecto es 1).
\ \ equipo	En lugar de mostrar información de proceso para el sistema local, PsList mostrará la información para el sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto.
-U	Si el usuario desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsList le pedirá la contraseña sin eco de sus aportaciones a la pantalla.
-p	la contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsList le pide una contraseña de forma interactiva.
nombre	Muestra información sobre los procesos que comienzan con el nombre especificado.
-E	Exacta coincide con el nombre del proceso.
pid	En lugar de una lista de todos los procesos que se ejecutan en el sistema, este parámetro se estrecha PsList’s escanear a lLa proceso que tiene el PID especificado. Así: PsList 53 habría volcado de estadísticas para el proceso con el PID 53.

Veamos un ejemplo

En local

En remoto

Sigamos

PsLoggedOn

Que es y para que sirve?

Se puede determinar quién está utilizando los recursos en el equipo local con el comando “net” ( “net session”), sin embargo, no hay forma integrada para determinar quién está utilizando los recursos de un equipo remoto. Además, NT viene con ninguna herramienta para ver quién está conectado a un ordenador, ya sea local o remota. PsLoggedOn es un applet que muestra tanto la sesión iniciada localmente en los usuarios y usuarios conectados a través de los recursos para el equipo local, o un mando a distancia. Si se especifica un nombre de usuario en lugar de un ordenador, PsLoggedOn búsquedas de los ordenadores en el entorno de red y le indica si el usuario no está conectado.

PsLoggedOn’s definición de un usuario con sesión iniciada localmente es uno que tiene su perfil cargado en el Registro, por lo que PsLoggedOn determina quién está conectado mediante el escaneo de las claves en la clave HKEY_USERS. Para cada clave que tiene un nombre que es un SID de usuario (identificador de seguridad), PsLoggedOn busca el nombre de usuario correspondiente y lo muestra. Para determinar quién está conectado a un ordenador a través de acciones de los recursos, PsLoggedOn utiliza la NetSessionEnum API. Tenga en cuenta que PsLoggedOn te mostrará como conectado a través de compartir recursos a los equipos remotos que se consulta, porque un inicio de sesión es necesaria para PsLoggedOn para acceder al Registro de un sistema remoto.

Como funciona

Uso: PsLoggedOn [-] [-l] [-x] [\ \ | nombreDeEquipo nombre de usuario]

–	Muestra las opciones de apoyo y las unidades de medida utilizada para los valores de salida.
-l	Muestra sólo los inicios de sesión local en lugar de los inicios de sesión tanto de los recursos locales y de red.
-x	No mostrar los tiempos de inicio de sesión.
\ \ nombre de equipo	Especifica el nombre del equipo para el que a la lista de información de inicio de sesión.
nombre de usuario	Si se especifica un nombre de usuario PsLoggedOn busca en la red de computadoras para que dicho usuario inicia sesión. Esto es útil si desea asegurarse de que un usuario particular no está conectado cuando está a punto de cambiar su configuración de perfil de usuario.

 

Veamos un ejemplo

Bueno continuaremos en la tercera entrega

Bueno al cabo del tiempo para automatizar tareas y hacer mas fácil la administración de servicios, usuarios y servidores. Me he ido encontrando con herramientas para facilitarme la tarea.

La primera de todas es Fport

FPort

Esta aplicación que se ejecuta a través de símbolo de sistema nos mostrará los puertos abiertos, sean conocidos o no. Y a que aplicación y puerto estan apuntando.

Ejemplo:

Con eso iniciamos Fport, no hace falta que le pasemos ningún parámetro.

Entonces nos mostraría:

Como veis aqui podemos ver el listado de puertos con sus aplicaciones, pero esto es muy engorroso de ver, asi que lo guardaremos en un archivo de texto directamente.

Con eso hacemos una redireccióna un archivo de texto que se llamará resumen.txt.

Ahora veremos como se ha creado el archivo.

Ahora lo podemos mirar de manera gráfica o desde linea de comandos. Yo lo hare desde linea de comandos.

Si quieres encontrar mas información sobre Fport puedes buscar en la página oficial de Fport

Fport

SysInternals

Sin duda son de las mejores herramientas que he visto y además son muy conocidas.

Empecemos con ellas:

AccesChk:

Esta aplicación sirve para lo siguiente:

Como parte de la garantía de que han creado un entorno seguro a los administradores de Windows a menudo necesitará saber qué tipo de accesos a determinados usuarios o grupos a los recursos como archivos, directorios, claves de registro, objetos globales y servicios de Windows. AccessChk quickly answers these questions with an intuitive interface and output. AccessChk rápidamente respuestas a estas preguntas con una interfaz intuitiva y de salida.

La sintáxis del comando es la siguiente:

Uso: AccessChk [-a] [-s] [E] [-u] [-r] [-w] [-n] [-v] [[-k] [-p [-f]] [-- [O-<object <tipo t]] [-c] | [-d]] [nombre de usuario] <file, directory, Registro key, process, service, object>

-a -a	Name is a Windows account right. Nombre es un derecho de cuenta de Windows. Specify ‘*’ as the name to show all rights assigned to a user Especifique ‘*’ como nombre para mostrar todos los derechos asignados a un usuario
-c -c	Name is a Windows Service eg ssdpsrv. Nombre de SSDPSRV es un servicio de Windows, por ejemplo. Specify ‘*’ as the name to show all services and ’scmanager’ to check the security of the Service Control Manager Especifique ‘*’ como nombre para mostrar todos los servicios y ’scmanager’ para comprobar la seguridad del Administrador de control de servicios
-d -d	Only process directories Sólo los directorios de procesos
-e -E	Only show explicitly set Integrity Levels (Windows Vista only) Sólo mostrar explícitamente los niveles de integridad (Windows Vista)
-k -k	Name is a Registry key eg hklm\software Nombre es un ejemplo clave del Registro HKLM \ Software
-n -n	Show only objects that have no access Mostrar sólo los objetos que no tienen acceso
-p -p	Name is a process name or PID eg cmd.exe (specify ‘*’ as the name to show all processes) El nombre es un nombre de proceso o PID por ejemplo, cmd.exe (especificar ‘*’ como nombre para mostrar todos los procesos)
-q -q	Omit banner Omitir banner
-r -r	Show only objects that have read access Mostrar sólo los objetos que tienen acceso de lectura
-s -s	Recurse Recursiva
-t -t	Object type filter eg “section” Filtro de objetos por ejemplo, tipo “sección”
-u -U	Suppress errors Eliminar errores
-v -v	Verbose (includes Windows Vista Integrity Level) Verbose (incluye Windows Vista Integrity Level)
-w -w	Show only objects that have write access Mostrar sólo los objetos que tienen acceso de escritura

Ahora veremos un ejemplo:

Bueno sigamos con otra herramienta.

AccessEnum:

Para que sirve?

AccessEnum utiliza las API de seguridad de Windows para poblar su ListView con leer, escribir y negar acceso a la información.

Ahora podemos ver un ejemplo con una rama del registro:

Como podeis ver sale la lista de usuarios permitidos y los que no.

Ahora lo veremos con un directorio:

Sigamos con otra herramienta

AdExplorer

Que es?

Explorador de Active Directory (AD Explorer) es una avanzada de Active Directory (AD) visor y editor. You can use AD Explorer to easily navigate an AD database, define favorite locations, view object properties and attributes without having to open dialog boxes, edit permissions, view an object’s schema, and execute sophisticated searches that you can save and re-execute. Usted puede utilizar AD Explorer para navegar fácilmente a una base de datos de AD, definir lugares favoritos, ver las propiedades de objetos y atributos sin tener que abrir cuadros de diálogo, editar los permisos, ver el esquema de un objeto, y ejecutar búsquedas sofisticadas que se pueden guardar y volver a ejecutar.

AD Explorer also includes the ability to save snapshots of an AD database for off-line viewing and comparisons. AD Explorer también incluye la posibilidad de guardar instantáneas de una base de datos de AD para la visión fuera de línea y comparaciones. When you load a saved snapshot, you can navigate and explorer it as you would a live database. Al cargar una imagen guardada, puede navegar y explorador como si fuera una base de datos en vivo. If you have two snapshots of an AD database you can use AD Explorer’s comparison functionality to see what objects, attributes and security permissions changed between them. Si usted tiene dos instantáneas de una base de datos de anuncios que puede utilizar la funcionalidad de comparación AD Explorer para ver qué objetos, atributos y permisos de seguridad cambiado entre ellos.

Veamos como funciona vamos a conectarnos al dominio:

Ahora podemos ver como podemos administrar cosas del active directory:

Veamos ahora la próxima herramienta.

AdInsight

Que es y para que funciona:

ADInsight es un LDAP (Light-weight Directory Access Protocol) real herramienta de monitorización en tiempo destinado a la solución de problemas las aplicaciones de cliente de Active Directory. Use its detailed tracing of Active Directory client-server communications to solve Windows authentication, Exchange, DNS, and other problems. Utilice su información de seguimiento del cliente de Active Directory para resolver las comunicaciones de servidor de autenticación de Windows, Exchange, DNS y otros problemas.ADInsight uses DLL injection techniques to intercept calls that applications make in the Wldap32.dll library, which is the standard library underlying Active Directory APIs such ldap and ADSI. ADInsight utiliza técnicas de inyección DLL para interceptar llamadas que hacen las aplicaciones en la biblioteca de Wldap32.dll, que es la biblioteca estándar subyacente de Active Directory LDAP API tal y ADSI. Unlike network monitoring tools, ADInsight intercepts and interprets all client-side APIs, including those that do not result in transmission to a server. A diferencia de las herramientas de supervisión de red, ADInsight intercepta e interpreta todos los clientes API de lado, incluso los que no dan lugar a la transmisión a un servidor. ADInsight monitors any process into which it can load it’s tracing DLL, which means that it does not require administrative permissions, however, if run with administrative rights, it will also monitor system processes, including windows services. ADInsight monitores de cualquier proceso en el que se puede cargar la DLL de localización, lo que significa que no requiere permisos administrativos, sin embargo, si se ejecuta con derechos administrativos, que también supervisará los procesos del sistema, incluidos los servicios de Windows.

Esto es lo que obtendríamos:

AdRestore

Que es y para que sirve:

Windows Server 2003 introduce la capacidad de restaurar objetos eliminados (“desechados”). Esta sencilla utilidad de línea de comandos enumera los objetos eliminados de un dominio y brinda la opción de restaurarlos. El código fuente se basa en código de ejemplo del SDK de la plataforma Microsoft. Este artículo de Microsoft Knowledge Base describe el uso de Adrestore:

Aqui podemos ver el ejemplo:

Nos muestra los elementos eliminados para poder restaurarlos.

Autologon

Que es y para que sirve:

Automático de sesión permite una fácil configuración de Windows integrada en el mecanismo automático de sesión. En lugar de esperar a que el usuario introduzca su nombre y contraseña, Windows utiliza las credenciales que entrar con automático de sesión, que se cifran en el Registro, para iniciar sesión en el usuario especificado de forma automática.

Automático de sesión Es bastante fácil de usar. Simplemente ejecute Autolog.exe, rellene el cuadro de diálogo, y pulse Activar. Para desactivar el auto-inicio de sesión, pulse Desactivar. Si el DefaultPassword es NULL, sesión automático sólo se producirá una vez y luego ser desactivada. Además, si la tecla de mayúsculas se mantiene presionado antes de que el sistema realiza una sesión automático, la sesión automático será desactivado para que el inicio de sesión. Usted también puede pasar el nombre de usuario, el dominio y la contraseña como argumentos de línea de comandos: Contraseña de usuario de dominio de sesión automático

Cuando ejecutamos autologon.exe nos saldrá esto:

Solo tendríamos que poner el password y tendríamos habilitado el autologon.

Autoruns

Que es y para que sirve?

Esta utilidad, que tiene el conocimiento más amplio de auto-localidades de partida de cualquier monitor de inicio, muestra qué programas están configurados para ejecutarse durante el arranque del sistema o inicio de sesión, y le muestra las entradas en el orden de Windows procesa. Estos programas incluyen los de la carpeta Inicio, Ejecutar, RunOnce, y otras claves del Registro. Puede configurar Autoruns para mostrar otros lugares, incluyendo las extensiones de shell del Explorador, barras de herramientas, objetos de ayuda de navegador, Winlogon notificaciones, auto-servicios de inicio, y mucho más. Autoruns va mucho más allá de la utilidad MSConfig incluido con Windows Me y XP.

Autoruns‘ Ocultar Firmado entradas de Microsoft opción le ayuda a ampliar el tercer auto partes, comenzando imágenes que se han añadido a su sistema y que tiene soporte para mirar el auto-imágenes a partir configurado para configurar otras cuentas en el sistema. También se incluye en el paquete de descarga es un equivalente de la línea de comandos que puede salida en formato CSV, Autorunsc.

Usted probablemente se sorprenderá de lo ejecutables muchos se lanzan automáticamente!

Aquí podemos ver un ejemplo:

Aquí obtendríamos información sobre entradas al registro al inicio.

Si queremos ver el software que se inicia con la máquina podemos ejecutar autorunsc.exe.

Veamos un ejemplo, lo ejecutamos:

Y nos saldrán los programas:

Si queremos exportarlo a un archivo sería:

Y para verlo podemos o de manera gráfica o por consola, yo lo mostrare por consola:

Sigamos con la siguiente herramienta.

BgInfo

Que es y para que sirve

¿Cuántas veces usted se acercó a un sistema en su oficina y necesita hacer clic a través de varias ventanas de diagnóstico para recordar aspectos importantes de su configuración, como su nombre, dirección IP, o la versión del sistema operativo Si administra varias computadoras probablemente necesitar BGInfo. Se muestra automáticamente la información relevante acerca de un equipo Windows en el fondo del escritorio, como el nombre del equipo, dirección IP, la versión del Service Pack, y más. Puede editar cualquier campo, así como el tipo de letra y colores de fondo, y puede colocarlo en tu carpeta de inicio para que se ejecute cada arranque, o incluso configurar para mostrar como fondo para la pantalla de inicio de sesión.

Porque BGInfo simplemente escribe un mapa de bits de escritorio y salidas que no tienen que preocuparse por ello consumir recursos de sistema o la interferencia con otras aplicaciones.

Ahora vemos un ejemplo, lo ejecutamos:

Aqui podemos poner, por ejemplo que se muestre el resumen en el escritorio.

Sigamos con otra herramienta.

CacheSet

Que es y para que sirve?

CacheSet es un applet que permite manipular el trabajo conjunto de los parámetros de la caché de archivos de sistema. A diferencia de Cacheman, CacheSet funciona en todas las versiones de NT y funcionará sin modificaciones el nuevo Service Pack de versiones. Además de proporcionar la capacidad de controlar el tamaño mínimo y máximo del conjunto de trabajo, también le permite restablecer la caché del conjunto de trabajo, obligando a crecer cuando sea necesario desde un punto de partida mínimo. También a diferencia de Cacheman, los cambios realizados con CacheSet tienen un efecto inmediato sobre el tamaño de la caché.

Usar CacheSet para ajustar el rendimiento del sistema de tamaño de caché de forma no sería posible sin ajustar las variables internas de la manera Cacheman hace.

Nota: Para utilizar CacheSet en NT 4.0 Service Pack 4 y posteriores debe tener el “aumento de la cuota” privilegio (las cuentas de administrador tienen este privilegio por defecto). CacheSet se ha actualizado para permitir que este privilegio, de modo que funcione en el Service Pack 4.

Aqui vemos el funcionamiento.

Aqui podemos limpiar la cache.

Sigamos con otra herramienta.

ClockRes

Que es y para que sirve:

Alguna vez se preguntó cuál es la resolución del reloj del sistema era, o tal vez la resolución del temporizador máxima que su aplicación podría obtener la respuesta se encuentra en una función simple llamada GetSystemTimeAdjustment, Y la ClockRes applet realiza la función y muestra el resultado. Ver “ Inside Windows NT Alta Resolución Temporizadores“ Para obtener información sobre el aumento de la resolución.

Aqui podemos ver un ejemplo:

Sigamos con otra herramienta.

Contig

Que es y para que sirve:

Hay una serie de desfragmentadores de disco de NT en el mercado, incluyendo Winternals Defrag Manager. Estas herramientas son útiles para realizar una desfragmentación de los discos en general, pero mientras la mayoría de los archivos de desfragmentación de los discos son procesados por estas empresas de servicios públicos, algunos archivos no pueden ser. Además, es difícil asegurar que los archivos particulares que son utilizados con frecuencia son desfragmentado – pueden permanecer fragmentados por razones que son específicas de la desfragmentación de los algoritmos utilizados por el producto de desfragmentación que se ha aplicado. Por último, incluso si todos los archivos han sido desfragmentado, los cambios posteriores a los archivos críticos podría hacer que se fragmenta. Sólo mediante la ejecución de una operación de desfragmentación de todo se puede esperar que puedan ser desfragmentado de nuevo.

Contig es un archivo único defragmentador que intenta hacer que los archivos contiguos en el disco. Su perfecto para una rápida optimización de los archivos que están continuamente se fragmenta, o que desea asegurarse de que están en algunos fragmentos de lo posible.

Modo de funcionamiento:

Para hacer que un archivo existente contigua uso Contig como sigue:Uso: Contig [-v] [-a] [-q] [-s] [nombre de archivo]

-v	Use el modificador-v para tener Contig imprimir información sobre el archivo de defraudar las operaciones que se realizan.
-a	Si usted quiere simplemente ver cómo fragmenta un archivo o archivos se han convertido, utilice el modificador-a tener Contig analizar la fragmentación.
-q	El-q, que impone sobre los modificador-v, hace que Contig ejecutar en “modo silencioso”, donde lo único que se imprime en una carrera Defrag es una información sumaria.
-s	Utilice la opción-s para realizar un tratamiento recursiva de subdirectorios cuando se especifica un nombre de archivo con comodines.

Por ejemplo, para desfragmentar todos los archivos DLL en C: \ winnt puede introducir “Contig-sc: \ WINDOWS \ *. dll”.

Para hacer un nuevo archivo que es desfragmentar con la creación, el uso Contig como esta:

Uso: Contig [-v] [-longitud de nombre de archivo n]

Veamos un ejemplo:

Yo en este caso he utilizado -a y -s.

Sigamos con otra herramienta.

CoreInfo

Que y para que sirve:

Coreinfo es una utilidad de línea de comando que muestra la correspondencia entre procesadores lógicos y el procesador físico, el nodo NUMA, y el zócalo en el que residen, así como la memoria caché asignado a cada procesador lógico. Se utiliza el Windows ‘ GetLogicalProcessorInformation función para obtener esta información y lo imprime en la pantalla, lo que representa una asignación a un procesador lógico, por ejemplo con un asterisco ‘*’. Coreinfo es útil para comprender mejor el procesador y la topología de la caché de su sistema.

Modo de funcionamiento:

Uso: coreinfo [-c] [-l] [-n] [-s]

-c	Volcado de información sobre los núcleos.
-l	Volcado de información sobre las cachés.
-n	Volcado de información en nodos NUMA.
-s	Volcado de información sobre las tomas de corriente

Veamos un ejemplo:

Sigamos con otra herramienta.

Ctrcap

Que es y para que funciona:

Ctrl2cap es un núcleo de controlador de dispositivo de modo que los filtros de clase del sistema controlador de teclado a fin de convertir caps-lock caracteres en caracteres de control. La gente como yo que emigraron a NT de UNIX están acostumbrados a tener la clave de control situado en las tapas de tecla de bloqueo está en el teclado estándar de PC, por lo que una herramienta como ésta es esencial para nuestra edición de bienestar.

Veamos un ejemplo:

Sigamos con otra herramienta.

DebugView

Que es y para que sirve?

DebugView es una aplicación que te permite monitorizar la salida de depuración en el sistema local, o cualquier ordenador de la red que se puede llegar a través de TCP / IP. Es capaz de mostrar tanto en modo de núcleo y la salida de depuración Win32, de modo que no necesita un depurador para capturar la salida de depurar las aplicaciones o los controladores de dispositivo de generar, ni tampoco se necesita para modificar sus aplicaciones o controladores para uso no-depuración estándar API de salida.

Veamos un ejemplo:

Sigamos con otra herramienta.

Desktops

Que es y para que sirve?

Computadoras de escritorio le permite organizar tus aplicaciones en hasta cuatro escritorios virtuales. Leer en un correo electrónico, navegar por Internet en el segundo, y hacer el trabajo en su software de productividad en el tercero, sin el desorden de las ventanas que no se esté usando. Después de configurar teclas de acceso rápido para cambiar de escritorio, puede crear y cambiar de escritorio o haciendo clic en el icono de la bandeja para abrir una vista previa de escritorio y la ventana de cambio, o usando las teclas rápidas.

Veamos un ejemplo lo ejecutamos

Luego podríamos ir cambiando de escritorios.

Sigamos con otra herramienta.

Diskext

Que es y para que sirve?

DiskExt muestra el uso del comando IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS que devuelve información sobre lo que los discos de las particiones de un volumen se encuentran en (discos de particiones múltiples puede residir en varios discos) y donde en el disco se encuentran las particiones.

Veamos un ejemplo

 Sigamos con otra herramienta.

DiskMon

Que es y para que sirve:

DiskMon es una aplicación que registra y muestra toda la actividad del disco duro en un sistema Windows. También puede reducir al mínimo DiskMon a la bandeja del sistema, donde actúa como una luz de disco, la presentación de un icono verde cuando hay actividad de disco de lectura y un icono rojo cuando hay actividad de escritura en disco.

Veamos un ejemplo:

Sigamos con otra herramienta.

DiskView

Que es y para que funciona?

DiskView te muestra un mapa gráfico del disco, lo que le permite determinar dónde está un archivo o, haciendo clic en un clúster, ya que el archivo ocupa. Haga doble clic para obtener más información acerca de un archivo al que se asigna un clúster.

Veamos un ejemplo:

Sigamos con otra herramienta.

Disco en Uso (DU)

Que es y para que sirve?

Du (uso del disco) reporta el uso de espacio en disco para el directorio que usted especifique. De manera predeterminada, los directorios recursivamente para mostrar el tamaño total de un directorio y sus subdirectorios.

Modo de funcionamiento:

Uso: de [[-v] [-l] | [-n]] [-q] (archivo o directorio)

-l	Especifique la profundidad de subdirectorio de la información (por defecto es todos los niveles).
-n	No recurse.
-q	No imprimir el banner.
-U	Sólo cuentan los sucesos únicos.
-v	Mostrar la información en los directorios intermedios

 

Veamos un ejemplo:

Sigamos con otra herramienta

EfsDump

Que es y para que sirve?

Windows 2000 introduce el sistema de archivos de cifrado (EFS) de modo que los usuarios pueden proteger sus datos sensibles. Varias nuevas API de hacer su debut en apoyo de esta factility, incluido un QueryUsersOnEncryptedFile-que te permite ver quién tiene acceso a los archivos cifrados. En esta aplicación se utiliza la API para mostrar lo que las cuentas están autorizados a acceder a los archivos cifrados.

Veamos un ejemplo:

Filemon

Que es y para que sirve:

FileMon monitores y pantallas del fichero de actividad del sistema en un sistema en tiempo real. Sus capacidades avanzadas lo convierten en un poderoso instrumento para explorar la forma en que funciona Windows, ver cómo utilizar los archivos de aplicaciones y archivos DLL, o localizar problemas en el sistema de archivos o configuraciones de aplicación. Función de marcas de tiempo de Filemon le mostrará precisamente cuando cada abrir, leer, escribir o borrar, sucede, y su columna de estado le indica el resultado. FileMon es tan fácil de usar que usted sea un experto en cuestión de minutos. Se inicia el seguimiento cuando lo inicia, y su ventana de salida se pueden guardar en un archivo para su visualización sin conexión. Tiene capacidad de búsqueda completa, y si usted encuentra que usted está recibiendo una sobrecarga de información, sólo tiene que crear uno o más filtros

Veamos un ejemplo:

Handle

Que es y para que sirve?

Alguna vez se preguntó qué programa tiene un archivo o directorio abierto? Ahora puede averiguarlo. Tirador es una utilidad que muestra información acerca de identificadores abiertos para cualquier proceso en el sistema. Puedes usarlo para ver los programas que tienen un archivo abierto, o para ver los tipos de objetos y nombres de todos los identificadores de un programa.

También puede obtener una interfaz gráfica basada en la versión de este programa, Process Explorer, Aquí en Sysinternals.

Modo de funcionamiento:

uso: mango [[-a] [-u] | [-c <handle> [-l] [y]] | [-s]] [-p <processname> | <pid>> [nombre]

-a	Volcado de información sobre todos los tipos de asas, no sólo a los que se refieren a los archivos. Otros tipos incluyen los puertos, las claves del Registro, primitivas de sincronización, los hilos, y los procesos.
-c	Cierra el identificador especificado (interpretado como un número hexadecimal). Usted debe especificar el proceso por su PID. ADVERTENCIA: Clausura maneja puede causar la aplicación o la inestabilidad del sistema.
-l	Volcado de los tamaños de las secciones de archivo de paginación respaldo.
-y	No solicitar confirmación de cerca de manejar.
-s	Un total de impresión de cada tipo de identificador abierto.
-U	Mostrar el nombre del usuario propietario en la búsqueda de asideros.
-p	En lugar de examinar todos los identificadores en el sistema, este parámetro se reduce manija de digitalización a los procesos que comienzan con el proceso de nombre. Así:manejar-exp p

 

Veamos un ejemplo lo ejecutamos:

Y ahora podemos ver los resultados:

Sigamos con otra herramienta

Hex2dec

Que es y para que sirve?

Cansado de correr Calc cada vez que quiera convertir un número hexadecimal a decimal Ahora usted puede convertir hexadecimal a decimal y viceversa con este comando sencilla utilidad de línea.

Veamos un ejemplo.

A otra herramienta.

Junction

Que es y para que sirve?

Windows 2000 y superior soporta enlaces simbólicos de directorio, en un directorio sirve como un enlace simbólico a otro directorio en el equipo. Por ejemplo, C si el directorio D: \ SYMLINK especificada C: \ WINDOWS \ system32 como su objetivo, entonces una solicitud de acceso a D: \ SYMLINK \ drivers estarían en realidad el acceso a: \ WINDOWS \ system32 \ drivers. Directorio de enlaces simbólicos son conocidos como uniones NTFS en Windows. Lamentablemente, Windows no viene con herramientas para la creación de uniones, usted tiene que comprar el Kit de recursos de Win2K, que viene con el programa de linkd para la creación de uniones. Por lo tanto, decidí escribir mi propia creación de la unión de la herramienta: Unión. Unión no sólo te permite crear uniones de NTFS, que te permite ver si los archivos o directorios son en realidad los puntos de reanálisis. Los puntos de reanálisis son el mecanismo en que se basan NTFS uniones, y que son utilizados por remoto de Windows Storage Service (RSS), así como el volumen de los puntos de montaje.

Favor lea este Artículo de Microsoft KB para obtener consejos sobre el uso de uniones.

Nota de que Windows no es compatible con las uniones de directorios de recursos compartidos remotos.

Veamos un ejemplo:

LDMDump

Que es y para que sirve?

Windows 2000 introduce un nuevo tipo de sistema de particionamiento del disco que es administrado por un componente llamado Administrador de discos lógicos (LDM). Los discos básicos aplicar DOS estándar de las tablas de particiones de estilo, mientras que los discos dinámicos de usar particiones LDM. Compartimentación LDM ofrece varias ventajas sobre DOS partitioing incluyendo replicación a través de discos, el almacenamiento en disco de la configuración avanzada de volúmenes (volumen distribuido, volúmenes reflejados, volúmenes seccionados y RAID-5 volúmenes). Mi marzo / abril de serie de dos partes sobre la gestión de almacenamiento en Windows NT/2000 Windows 2000 Magazine describe los detalles de cada plan de partición.

SNAPIN Aparte de la Administración de discos de MMC y una herramienta llamada dmdiag en el Kit de recursos de Windows 2000, no hay herramientas para investigar los interiores de la base de datos LDM disco que describe la configuración de particiones de un sistema. LDMDump es una utilidad que le permite examinar exactamente lo que se almacena en un disco de copia de la base de datos LDM sistema. LDMDump muestra el contenido del encabezado de base de datos LDM privado, mesa de contenidos, bases de datos y objetos (en su partición, componentes y definiciones de volumen se almacena) y, a continuación se resumen sus conclusiones con la tabla de particiones y listas de volumen.

No puedo mostrar ejemplo,

Sigamos

ListDLLs

Que es y para que sirve?

Una pregunta que a menudo me preguntan es “¿Sabe usted de una utilidad que me muestre archivos DLL que se cargan en Windows 9x o NT”. La respuesta que he dado hasta hace poco era “no”, hasta que descubrí una herramienta en el Kit de recursos de Windows NT llamado tlist que demuestran esta información. Decidí escribir una versión gratuita de consumo, ListDLLs. A diferencia de tlist, sin embargo, ListDLLs es capaz de mostrar los nombres de ruta completa de módulos de carga – no sólo sus nombres de la base. Además, ListDLLs marcará cargado DLL que tienen números de versión diferente del de sus correspondientes en los archivos del disco (que se produce cuando el archivo se actualiza después de un programa carga el archivo DLL), y puedo decir que DLL fueron reubicados porque no son cargados a su dirección de base.

Veamos un ejemplo:

Sigamos

LoadOrder

Que es y para que funciona?

En esta aplicación se le muestra el orden en que Windows NT o Windows 2000 carga los controladores del sistema del dispositivo. Tenga en cuenta que en Windows 2000 Plug-and-play en realidad los conductores se puede cargar en un orden diferente que el calculado, debido a plug-and-play controladores se cargan en la demanda durante el dispositivo de detección y enumeración.

 

Veamos un ejemplo:

LogonSessions

Que es y para que sirve?

Si usted piensa que cuando se de inicio de sesión a un sistema que sólo hay una sesión de inicio de sesión activa, esta utilidad te sorprenderá. En él se enumeran las sesiones de inicio de sesión activo y, si se especifica la opción-p, los procesos que se ejecutan en cada sesión.

Veamos un ejemplo:

NewSid

Que es y para que sirve?

En cuanto a los DIM, Microsoft no admite imágenes que se preparan utilizando NewSID, sólo se admiten las imágenes que se preparan utilizando Sysprep. Microsoft no ha probado NewSID para todas las opciones de implementación de la clonación.

Veamos como funciona:

Ahora nos dejará escoger como ponerle el nuevo SID

La siguiente pantalla:

Si queremos le cambiamos el nombre o no.

Continuemos hasta la siguiente pantalla.

Nos muestra un resumen de lo que se hará. Y empiezan a aplicarse los cambios.

Continuemos.

NTsInfo

Que es y para que sirve?

Ntfsinfo es un pequeño applet que muestra información sobre los volúmenes NTFS. Su descarga incluye el tamaño de las unidades de asignación de una unidad, donde se encuentran los archivos NTFS clave, y los tamaños de los archivos de metadatos NTFS en el volumen. Esta información es generalmente de poco más de valor de la curiosidad, pero Ntfsinfo muestra algunas cosas interesantes. Por ejemplo, usted probablemente ha escuchado sobre el equivalente de archivos NTFS de sistema de archivos FAT la tabla de asignación. Su llamado la Tabla maestra de archivos (MFT), y se compone de constante del tamaño de los registros que describen la ubicación de todos los archivos y directorios en el disco. Lo que es sorprendente acerca de la MFT es que se gestiona como un archivo, al igual que cualquier otro. Ntfsinfo le mostrará dónde en el disco (en términos de grupos) de la MFT se encuentra y lo grande que es, además de especificar cómo grandes grupos del volumen y MFT registros. A fin de proteger la MFT de la fragmentación, las reservas de NTFS una parte del disco alrededor de la MFT que no va a asignar a los archivos, a menos espacio en el disco comienza a agotarse. Esta zona es conocida como la MFT-Zona y Ntfsinfo te dirá donde en el disco de la MFT-zona se encuentra y qué porcentaje de la unidad está reservado para él.

Veamos un ejemplo:

PageDefrag

Que es y para que sirve?

Una de las limitaciones de la interfaz de desfragmentación de Windows NT/2000 es que no es posible defragmentar los archivos que están abiertos para acceso exclusivo. Así, los programas de desfragmentación estándar no puede mostrar su grado de fragmentación de archivos de paginación o registro de las colmenas son, ni desfragmentar ellos. De paginación y la fragmentación de archivos del Registro puede ser una de las principales causas de la degradación de rendimiento relacionados con la fragmentación de archivos en un sistema.

PageDefrag utiliza técnicas avanzadas para ofrecerle lo que desfragmentadores comerciales no pueden: la capacidad para que usted pueda ver cómo fragmentado archivos de paginación y registro de las colmenas son, y para desfragmentar ellos. Además, desfragmenta archivos de registro de eventos y archivos de hibernación de Windows 2000/XP (donde se guarda la memoria del sistema cuando se hiberna un equipo portátil).

Veamos un ejemplo:

Una vez ponemos lo que queramos al siguiente reinicio, hara el proceso.

Sigamos mas adelante…

В прошлые выходные я наконец то закончил запись скринкаста про использование Process Monitor. Рассказал про основы использования, и несколько практических примеров

Отслеживание необходимых разрешений для кривых программ, требующих прав администратора без каких либо на то оснований.

Создание полного журнала загрузки системы, начиная с самого раннего этапа. Еще кстати по этой теме рекомендую этот пост.

Создание списка процессов запускаемых во время работы системы.

Подглядывание за простеньким трояном.

Автоматизация запуска Process Monitor’а.

Очень рекомендую посмотреть, надеюсь многие узнают что то новое и полезное Для просмотра надо зарегистрироваться на TechDays.ru. Кроме того должен быть установлен SilverLight, без него можно лишь загрузить версии для оффлайн просмотра (рекомендую 800х600). Ну и буду благодарен если вы проголосуете

After FlagIT, RebootIT, PostIT and SpotIT, ZoomIT sounds like part of the theme. Unfortunately it isn’t, but it is a great free tool from SysInternals.

ZoomIT is a tool that lends itself to assisting presenters by allowing them to not only zoom in on an area of the screen but also to temporarily add annotations on the screen.  The latest version (v3.03) also includes a break timer.  One thing I did find was that the instructions were hidden away and not laid out as I would have liked, so I’ve decided to put my slant on things and talk about how to use it here.

Running ZoomIT

ZoomIT is what I would describe as ‘ultra-portable’.  This is probably overstating things, but as well as being able to download it and put it on your hard drive or flash drive, SysInternals also offer an option to download and run  it directly (should your web browser allow).  It’s only really a difference between downloading a ZIP file and the EXE file, but it is a nice touch when you’re in a rush on someone else’s PC and want to grab a copy temporarily.

When you run it, ZoomIT sits in the system tray, and you can access the functionality through the system tray menu by (right or left) clicking on the icon or through hot key combinations.

Zooming

The main feature is zooming.  This is full screen mouse pointer based zooming which means that the entire screen will be used to project the zoomed area and it will be centred about the position of the mouse pointer.  To enter zoom mode you can either select it from the system tray menu or by using the hot key combination which by default is CTRL+1.

• The scroll option on a mouse or touch pad will zoom in and out as will using the up and down arrow keys.
• Pressing ESC or right clicking will exit zoom mode.
• Left clicking or pressing a key that can be used in draw mode will switch to draw mode.

There’s also a live zoom feature in ZoomIT that allows the screen to be updated/ interacted with whilst zoomed.  Unfortunately this is only available on Windows Vista and later versions of Windows.  There are also a number of limitations around using other features and from the description it also sounds prone to maybe using a little bit too much memory and producing a little too much flicker.  If you want this sort of option then there are alternative pieces of software which I’ll come back to in another blog post quite soon.

Annotating

ZoomIT allows you to effectively take a snapshot of the screen and then to draw on it by using the draw mode option which is again available from the system tray icon’s menu.  As mentioned above it can also be entered by using left clicking or pressing one of the keys that is used to draw something in draw mode (more details on these below).

When in draw mode you can left click and move the pointer to draw shapes just like you might in a paint program You stay in draw mode between clicks so you can draw multiple shapes – thank fully it isn’t an Etcha Sketch.  There are a variety of standard shapes that can be drawn including straight lines, straight lines with arrow heads (the head is drawn at the starting point of the line), rectangles and ellipses.  You can also add text to the screen.

To make things even clearer draw mode provides you with some colour choices for drawing and typing and a selection of eighteen line widths for drawing.  Unfortunately the text size and font is standard, but you can set this in the ZoomIT options (again available from the system tray icon’s menu).

TIP: Before you enter text mode set the colour of your text as you can’t change it once you’re typing as you’ll just end up typing the key you pressed.  Also be careful you don’t type off the screen.

As well as drawing onto the screen you can also clear the screen and set it to a black background or a white background.  Unfortunately it really does clear the screen wiping any drawing that you have already done.  If you just want to wipe the screen clean then there’s a key for that and the standard undo option of CTRL+Z which works against an eight step history of actions.

TIP: If you’re presenting and need a bouncing red ball is to enter draw mode, set the colour to red and whack the line size up to maximum.  The resulting cursor is a perfect red ball for you to use.

Finally there’s an option to centre your cursor to the middle of the screen area being displayed.  I’m not really sure what the purpose of this is, but if you want to draw a graph I guess this is a good way to get back to an origin.

You can exit the draw mode by right clicking on the screen.  ESC is also an option but will exit zoom mode and drawing mode, so if you’re zoomed in and want to remain in zoom mode use a right click not ESC.  Should you happen to have entered text entry mode (within draw mode) pressing ESC or right clicking will only bring you out of text entry (as will left clicking) and into the standard draw mode.  A little inconsistent but easy to get used to.

A nice touch is the addition of a shortcut key to take you straight into draw mode without having to enter zoom mode (and potentially zoom out) first.  The default hot key combination for this is CTRL+2.

Screen Capture

In either the zoom or draw modes you also have the option at any point to capture the screen.  As well as offering a copy to the clipboard option there is also a save option.  The save option will save the screen as a portable network graphics (PNG) image and offers you a choice of the screen at actual size or zoomed in … even if you aren’t zoomed in but are in draw mode.  That aside this save option is much more valuable than the copy as unless I was going to crop a particular area I’d only be saving the screen shot in any case.

Break Timer

The third mode is as ever accessible from the system tray icon menu.  This is a simple count down display but with a number of options that again lend them to use in a presentation or workshop environment.

The count down timer is set from the options dialog (available from the system tray icon menu).  The countdown is specified in minutes and can range from 1 to 99 minutes (though you can enter zero manually … though I’ve no idea why you would want to).  When it runs the countdown is displayed on screen an accuracy of a second  – i.e. “mm:ss” format.

Under the advanced options you can specify a number of features such as an audio file to play when the time is up, the transparency of the timer and the background image (if any you would like it to use).  There’s also an option to choose where to display the timer on the screen based upon a 3×3 grid layout of the screen.  This means that you can choose to show the background image of the screen or use an image with some instructions on and have the timer display in a clear area of the screen.

Another option for the timer is to display the time elapsed after it has reached zero.  You should be aware that it displays this in brackets beneath the “0:00″ display and it will cause the area the timer is being displayed in to expand up and down.  So if you have a carefully crafted background image be aware that it might not fit after it reaches zero if you have this option enabled.

It is also worth noting that there is not option to change the font (size, typeface, embellishments) or the colour (you can have any colour you like as long as it’s red), so you may need to account for this if you were planning on a background colour for your countdown.

It would be nice to see a few options to choose a range of preset timers (each with it’s own settings) in the future as if you are presenting and need different lengths you have to interrupt the presentation to set them, but with each revision I’m sure we’ll see the feature set around break timers improve.

Keys – Hot Keys / Short Cut Keys
So now you’ve read through the features and have some idea of how to use the application it’s time to give a bit of a summary on how to access all the functions.

• Access Modes (Default Keys)
  • Zoom Mode = CTRL+1
  • Drawing Mode
    • Zoom = Left Click in zoom mode
    • No zoom = CTRL+2
    • Text Mode = T (when in drawing mode)
  • Break Timer = CTRL+3

• Zoom Mode
  • Zoom In = Mouse scroll up / Up Arrow Key
  • Zoom Out = Mouse scroll down / Down Arrow Key
  • Move around = Use mouse movement to scroll screen in a direction
  • Exit Mode = Right click / ESC
  • Enter Draw Mode = Left click or press a draw mode key
• Draw Mode
  • Centre cursor on screen = space
  • Undo = CTR+Z
  • Screenshot
    • Copy to clipboard = CTRL+C
    • Save to PNG = CTRL+S
  • Change colour
    • Red = R
    • Green = G
    • Blue = B
    • Yellow = Y
    • Pink = P
    • Orange = O
  • Clear Screen
    • Erase drawings = E
    • Erase to black screen = K
    • Erase to white screen = W
  • Draw shape
    • Line = Left click and move mouse
    • Straight Line = Hold Shift, left click and move mouse
    • Straight Arrow = Hold Shift and CTRL, left click and move mouse
    • Rectangle = Hold CTRL, left click and move mouse
    • Ellipse = Hold Tab, left click and move mouse
  • Change Line Width
    • Increase = (Left) CTRL+Up arrow / scroll-wheel up
    • Decrease = (Left) CTRL+Down arrow / scroll-wheel down
  • Enter text entry mode = T
  • Exit
    • Exit Draw Mode = Right click
    • Exit Draw (and Zoom) Mode = ESC

• Text Mode
  • Exit Mode = Right Click / ESC
• Break Mode
  • Exit Mode = Right click / ESC

Summary

As you’ve seen this utility has a rich feature set.  Hopefully the next version will address some of the little niggles I’ve highlighted here, but even without them being updated this is a really useful bit of freeware that I’d recommend to anyone running Windows.

• Download ZoomIT from SysInternals

This is a repost from GroovyPost.

We lost the RunAs command in Vista.  Mark Russinovich (MS SysInternals) has given it back:

ShellRunas

Download the file. Copy it to your C: drive, then type “shellrunas.exe /reg” from the command line.  Other switches are available if you want a slightly different installation. Just read the instructions on the download page.