Microsoft Sysinternals nutzen
Bei den Microsoft Sysinternals handelt es sich um eine Sammlung zahlreicher Admin-Werkzeuge für das Betriebssystem Windows. Die Werkzeuge werden direkt von Microsoft veröffentlicht (Programmierer Mark Russinovich) und stehen seit 1995 zur Verfügung. Die Aktualisierung erfolgt seitdem ständig. Es gibt derzeit zwei Bezugswege:
Download der Microsoft Sysinternals
https://docs.microsoft.com/de-de/sysinternals/downloads/sysinternals-suite
Einbinden der Microsoft Sysinternals als Netzlaufwerk
- Im Windows-Explorer unter „Start > Einfacher Zugriff > Als Netzlaufwerk zuordnen“ im Feld „Laufwerk“ das „S“ auswählen und im Feld „Ordner“ den Link „https://live.sysinternals.com/“ eingeben und mit Klick auf „Fertig stellen“ speichern.
- Oder die Eingabeaufforderung als Administrator aufrufen und in der Zeile eingeben: „net use s: https://live.sysinternals.com /persistent:yes“.
- Sie finden im Windows Explorer danach den neuen Laufwerksbuchstaben „s“, der immer die aktuelle Fassung der Programme enthält.
Liste der Sysinternals
Nachfolgend eine Liste mit Kurzbeschreibungen der Tools sowie die Angabe, ob es eine Grafische Benutzeroberfläche gibt (GUI = ja):
Programm-Name | Art | GUI | Erläuterung |
---|---|---|---|
AccessCHK | Datei/Disk | nein | zeigt Berechtigungen von Dateien, Diensten und Registry-Schlüsseln an |
AccessEnum | Datei/Disk | ja | zeigt Zugriffsrechte für Ordner und Registry-Schlüssel (ist die grafische Benutzeroberfläche für AccessCHK). |
ChaceSet | Datei/Disk | ja | NICHT nutzen! |
Contig | Datei/Disk | nein | defragmentiert Dateien |
Disk usage (du.exe) | Datei/Disk | nein | berechnet die Größe eines Ordners inkl. Unterordner |
Disk2vhd | Datei/Disk | ja | kopiert den Inhalt eines physischen Datenträgers inkl. Partitionierung in eine virtuelle Festplatte |
DiskExt | Datei/Disk | nein | zeigt, auf welche physische Datenträger ein Volume verteilt ist. |
Diskmon | Datei/Disk | ja | protokolliert, auf welche Sektoren welcher Datenträger zugegriffen wird |
EFSDump | Datei/Disk | nein | sucht nach EFS-verschlüsselten Dateien |
LDMDump | Datei/Disk | nein | zeigt Infos zu dynamischen Laufwerken |
MoveFile | Datei/Disk | nein | verschiebt und löscht Dateien (beim nächsten Neustart des PCs), die von anderen Prozessen blockiert werden |
NTFSInfo | Datei/Disk | nein | zeigt Infos zum NTFS-Dateisystem |
PageDfrg | Datei/Disk | nein | NICHT nutzen! Ist für Windows 10 nicht geeignet |
PendMoves | Datei/Disk | nein | zeigt, welche Dateien / Ordner beim Neustart umbenannt oder gelöscht werden |
SDelete | Datei/Disk | nein | überschreibt und löscht einzelne Dateien |
Sigcheck | Datei/Disk | nein | errechnet Prüfsummen verschiedener Formate |
Streams | Datei/Disk | nein | zeigt Dateien an, die Alternate Data Streams (ADS) enthalten |
Sync | Datei/Disk | nein | kann Hardware sicher entfernen per Kommandozeile |
VolumeID | Datei/Disk | nein | ändern der Volume-ID eines Datenträgers (lesen mit „fsutil fsinfo volumeinfo c:“ |
Active Directory Explorer | Netzwerk | ja | Editor für das Active Directory (AD). Kann Snapshots erstellen und miteinander vergleichen |
AdRestore | Netzwerk | nein | stellt gelöschte Objekte im Active Directory (AD) wieder her |
Insight Active Directory | Netzwerk | ja | zeigt die Interaktion von Clientes mit dem AD in Echtzeit |
PipeList | Netzwerk | nein | zeigt geöffnete Pipes |
PsFile | Netzwerk | nein | zeigt, welche Dateien und Ordner von einem anderen PC aus geöffnet sind |
PsPing | Netzwerk | nein | Ping-Alternative |
ShareEnum | Netzwerk | ja | zeigt alle Freigaben eines PCs |
TCPView | Netzwerk | ja | :!. zeigt aktive TCP-Verbindungen |
Whois | Netzwerk | nein | Whois-Abfrage von Domains (funktioniert NICHT bei de-Domains!) |
Autoruns | Prozess | ja | zeigt alle Programme, die Windows beim Hochfahren startet |
Handle | Prozess | nein | zeigt an, welcher Prozess welche Dateien geöffnet hat |
ListDLLs | Prozess | nein | listet alle DLLs auf, die von einem Prozess geladen werden |
Portmon | Prozess | ja | überwacht und zeigt Aktivitäten an seriellen und parallelen Ports an |
ProcDump | Prozess | nein | erzeugt Dumps laufender Prozesse |
Process Explorer | Prozess | ja | zeigt alle Zugriffe auf Dateien, Ordner und Registry (deshalb sehr Datenintensiv) |
Process Monitor | Prozess | ja | alternativer Taskmanager |
PsExec | Prozess | nein | Programme mit erhöhten Rechten starten (auch remote auf anderen PCs) |
PsGetSid | Prozess | nein | übersetzt SIDs in Klarnamen und zurück |
PsKill | Prozess | nein | beendet laufende Prozesse (auch remote auf anderen PCs) |
PsList | Prozess | nein | zeigt Details zu laufenden Prozessen |
PsService | Prozess | nein | ermöglicht es Dienste zu verwalten |
PsSuspend | Prozess | nein | pausiert Prozesse (auch remote auf anderen PCs) |
ShellRunas | Prozess | ja | ergänzt das Kontextmenü um „Run as different user“ |
VMMap | Prozess | ja | Analyse von virtuellen und physischem Prozessspeicher |
Autologon | Sicherheit | ja | ermöglicht die automatische Anmeldung an Windows (Benutzername und Passwort werden übergeben) |
LogonSessions | Sicherheit | nein | zeigt Infos über die aktuell angemeldeten Benutzer- und systemeigenen Konten |
PsLoggedOn | Sicherheit | nein | zeigt die angemeldeten Benutzerkonten an |
PsLogList | Sicherheit | nein | zeigt Eventlog-Einträge |
Sysmon | Sicherheit | ja | protokolliert sicherheitsrelevante Datei-, Registry- und Prozess-Operationen in der Ereignisanzeige |
ClockRes | Systeminfo | nein | gibt die Auflösung des System-Zeitgebers aus |
Coreinfo | Systeminfo | nein | zeigt Informationen zum Prozessor |
LiveKd | Systeminfo | nein | Debugger für Windows (benötigt Debugging Tools for Windows - WinDbg, KD, CDB, NTSD |
LoadOrder | Systeminfo | ja | zeigt an, welche Treiber und Dienste während des Bootens geladen werden |
PsInfo | Systeminfo | nein | zeigt Systeminformationen (auch von Remote-PCs) |
RAMMap | Systeminfo | ja | zeigt Details zur RAM-Belegung von Dateien und Prozessen |
WinObj | Systeminfo | ja | zeigt Infos über den Namensraum des NT Object Managers |
BgInfo | Allgemein | ja | zeigt einige Systeminfos auf dem Desktop an |
CPUSTRES | Allgemein | ja | erzeugt einen Stresstest für die CPU |
Ctrl2cap | Allgemein | nein | macht aus der Feststell-Taste eine STRG-Taste |
DebugView | Allgemein | ja | fängt Debug-Ausgaben von Programmen auf und zeigt sie an |
Desktops | Allgemein | ja | NICHT nutzen! Virtuelle Desktops, die unter Windows 10 bereits vorhanden sind |
DiskView | Allgemein | ja | zeigt den Ablageort der Daten auf einem Datenträger |
FindLinks | Allgemein | nein | zeigt die auf eine Datei zeigenden Hardlinks |
Hex2dec | Allgemein | nein | rechnet eine Zahl von Hexadezimal in Dezimal und umgekehrt |
Junction | Allgemein | nein | erzeugt Verknüpfungen mit Symbolen und zeigt diese an |
NotmyFault | Allgemein | ja | löst einen Bluescreen aus |
PsPasswd | Allgemein | nein | ändert Passwörter von Nutzerkonten (funktioniert auch Remote auf anderen PCs) |
PsShutdown | Allgemein | nein | fährt Windows herunter (auf lokalem und entferntem PC) |
RegDelNull | Allgemein | nein | sucht und löscht ungültige Registry-Einträge, deren Namen Null-Zeichen enthalten |
RegistryUsage (ru.exe) | Allgemein | nein | berechnet die Größe von Registry-Schlüsseln |
RegJump | Allgemein | nein | öffnet RegEdit mit dem übergebenen Schlüssel und kann auch Schlüssel aus der Zwischenablage dafür nutzen |
Strings | Allgemein | nein | zeigt alle in einer Datei vorhandenen Zeichenketten |
TCPCon | Allgemein | nein | Anzeige der Gegenstellen von TCP- und UDP-Verbindungen |
Testlimit | Allgemein | nein | simuliert einen vollen Speicher und andere knappe Ressourcen (dient Debug-Zwecken) |
ZoomIt | Allgemein | ja | Bildschirmlupe |
Autor: Andreas Heil
Artikel aktualisiert am: offen
Artikel erstellt am: 02.02.2021