Você conhece as ferramentas do SysInternals?

 

Olá, pessoal!

Ainda sobre o papo de troubleshooting, quais ferramentas você utilizam para auxiliar na resolução de problemas? Uma das mais antigas para sistemas Windows é o SysInternals! Ela é bem antiga, usada desde o Windows Server 2003, mas ainda bem útil em diversas situações. Eu sempre tenho em mãos as ferramentas do SysInternals porque podem ser úteis em diferentes momentos. Irei descrever algumas das que eu mais uso e como elas já me ajudaram, seja para resolver um problema ou para apoio na ação de uma atividade.

  • BGINFO

Essa acho que a maioria das pessoas conhece, mas poucos talvez saibam que faz parte da suite do Sysinternals. O Bginfo é utilizado para coletar informações do SO (IP, hostname, discos, versão do SO, etc) e colocar no papel de parede. Muito utilizado pelos administradores para ficar mais fácil do usuário passar alguma informação por telefone, por exemplo. É simples e fácil de implantar.

Essa é um exemplo do resultado da utilização do BGINFO:

  • Process Explorer

Com o Process Explorer você pode ver em detalhes o que um aplicativo que está rodando em um PC está fazendo exatamente. Com ele você tem detalhes em tempo real de uso de CPU, memória, PID, além de um detalhamento de quais DLLs estão sendo acessadas por este processo, entre muitos outros detalhes. É muito útil para analisar problemas de performance em um determinado executável, por exemplo. Abaixo um exemplo dos detalhes mostrados.

 

 

Se você abrir as propriedades de um determinado processo, ainda pode ver mais detalhes:

 

 

E uma das opções mais legais também é a possibilidade de através dele mesmo fazer uma verificação do arquivo no VirusTotal:

 

 

  • Process Monitor

Diferente do Process Explorer, o Process Monitor tem o objetivo de você verificar tudo que está sendo acessado na máquina. Quando você o executa, a partir desse momento, qualquer processo que precisar acessar algum tipo de arquivo será listado para você mostrando qual processo tentou ler determinado objeto e qual foi o resultado. Esse resultado pode varia entre sucesso, falha, não encontrado, entre outros que pode te ajudar a determinar um problema. Veja um exemplo do resultado:

 

 

Essa é uma da ferramentas que eu mais utilizo do Sysinternals porque ajuda muito na hora de um troubleshooting de uma aplicação que não está funcionando corretamente. Em especial, já utilizei muito em casos que o usuário era administrador de uma máquina, você tirou esse acesso e algum programa parou de funcionar corretamente. Isso geralmente ocorre porque o processo está tentando acessar um registro, um arquivo ou outro local que ele não possui mais acesso. Com o Process Monitor você consegue identificar isso, dar o acesso exatamente onde é necessário e o usuário pode continuar sem acesso administrador na máquina. Muito útil, não?

 

  • PsExec

O PsExec já me salvou diversas vezes de trabalhos que eu iria levar dias e fiz em algumas horas. Com ele você pode se conectar remotamente numa máquina e executar comandos nela. É uma ferramenta de linha de comando que aceita alguns argumentos, então não temos nenhuma interface gráfica. Um bom exemplo de caso de uso:

psexec.exe \\maquina C:\windows\system32\cmd.exe

Com esse comando você chama o CMD remotamente na máquina do usuário sem aparecer para ele e com isso você pode executar comandos. Já utilizei muito co psexec para efetuar instalação de softwares remotamente, já que você pode copiar um arquivo remotamente e solicitar a execução ao final da cópia. Juntando isso com comandos silents nos instaladores você consegue efetuar uma instalação remota sem a necessidade de GPOs ou softwares de terceiros.

 

  • PsKill

Esse é bem simples, mas ainda bem útil. Com ele você pode finalizar um processo de uma máquina remota. Você só precisará saber o nome do executável que deseja finalizar. Também é uma ferramenta de linha de comando, portanto, não espere nenhuma interface gráfica.

 

  • RamMap

Com o RamMap você terá uma visão aprofundada de como está sendo alocada a memória de uma máquina. Muito utilizado para entender qual processo está consumindo memória ou se você está tendo algum problema com cache de memória, entre outros casos. Diferente dos últimos que citei, esse possui uma interface gráfica para análise dos dados.

 

 

Existem mais de vinte ferramentas na suite para diferentes usos, listei apenas as que mais utilizo. Espero que possa ajudar alguém que não conhecia ainda todas as possibilidades das ferramentas do SysInternals.

 

 

Até breve!

 

 

One Comment