Mit dieser umfangreichen Sammlung von über 70 Tools lässt sich beinahe nach Belieben an Windows herumschrauben – entweder zum Feintuning oder um Schäden am System zu reparieren. So erhält man beispielsweise mit Autoruns eine detaillierte und vollständige Liste über alle Dienste und Anwendungen, die beim Systemstart ausgeführt werden, sowie eine Aufzählung aller Handler, die sich in Kontextmenüs und andere Betriebssystemfunktionen einklinken. Diese lassen sich nach Bedarf aktivieren und deaktivieren. Mit weiteren Programmen analysiert man aktuell laufende Prozesse, begutachtet die Startreihenfolge von Treibern oder stellt die Verwaltung des Cache-Speichers um.
Die Toolsammlung lässt sich ganz einfach als Laufwerk im Explorer einbinden: Drücke ⊞ Win + R und tippe
1 |
net use s: https://live sysinternals.com /persistent:yes |
Ersetze s:
durch einen freien Laufwerksbuchstaben deiner Wahl. Der Parameter /persistent:yes
bewirkt, dass das Laufwerk auch einen Windows-Neustart übersteht. Löschen kannst du es wieder mit einem rechtsklick und dann auf „Trennen„.
Inhaltsverzeichnis
Die Sysinternals-Suite
File and Disk
Programm | Versionen: x86/x64/ARM64 | GUI | Beschreibung |
---|---|---|---|
AccessCHK | ✔️ / ✔️ / ❌ | ❌ | zeigt effektive Berechtigungen von Dateien, Registry-Schlüsseln, Diensten, Prozessen, usw. |
AccessEmun | ✔️ / ❌ / ❌ | ✔️ | zeigt Zugriffsrechte für Ordner und Registry-Schlüssel |
CacheSet | ✔️ / ❌ / ❌ | ✔️ | Größe des System File Cache festlegen – Finger weg, das bremst ebenfalls |
Contig | ✔️ / ✔️ / ❌ | ❌ | defragmentier einzelne Dateien |
Disk usage | ✔️ / ✔️ / ❌ | ❌ | berechnet die Größe eines Ordners mitsamt seiner Unterordner; Dateiname: [ du.exe ] |
Disk2vhd | ✔️ / ❌ / ❌ | ✔️ | kopiert den kompletten Inhalt eines physikalischen Datenträgers inklusive Partitionierung in eine virtuelle Festplatte |
DiskExt | ✔️ / ✔️ / ✔️ | ❌ | zeigt, auf welche Datenträger ein Volume verteilt ist (kennt allerdings keine Storage Spaces) |
Diskmon | ✔️ / ❌ / ❌ | ✔️ | protokolliert, auf welche Sektoren welcher Datenträger zugreift |
EFSDump | ✔️ / ❌ / ❌ | ❌ | sucht in einem Laufwerk oder Ordner nach EFS-verschlüsselten Dateien; EFS ist die NTFS-eigene Dateiverschlüsselung (nicht zu verwechseln mit der Laufwerksverschlüsselung Bitlocker) |
LDMDump | ✔️ / ❌ / ❌ | ❌ | zeigt Infos über dynamische Laufwerke |
MoveFile | ✔️ / ✔️ / ✔️ | ❌ | verschiebt und löscht Dateien beim nächsten Neustart, die vorher von anderen Prozessen blockiert sind |
NTFSinfo | ✔️ / ✔️ / ❌ | ❌ | Informationen über das NTFS-Dateisystem eines Laufwerks |
PageDfrg | ✔️ / ❌ / ❌ | ❌ | defragmentiert Dateien, die exklusiv geöffnet sind; geschrieben für Windows NT und 2000, funktioniert unter Windows 10 nicht mehr, und da ist es auch nicht mehr nötig |
PendMoves | ✔️ / ✔️ / ✔️ | ❌ | zeigt, welche Dateien und Ordner beim nächsten Neustart umbenannt oder gelöscht werden |
SDelete | ✔️ / ✔️ / ❌ | ❌ | löscht und überschreibt einzelne Dateien; Achtung: Kopien etwa in Temp-Ordnern, Papierkorb etc. bleiben erhalten |
Sigcheck | ✔️ / ✔️ / ✔️ | ❌ | errechnet Prüfsummen verschiedener Formate für eine Datei und kann sie von virustotal.com prüfen lassen |
Streams | ✔️ / ✔️ / ✔️ | ❌ | zeigt, welche Dateien sogenannte Alternate Data Streams (kurz ADS) enthalten |
Sync | ✔️ / ✔️ / ✔️ | ❌ | „Hardware sicher entfernen“ per Kommandozeile |
VolumeId | ✔️ / ✔️ / ❌ | ❌ | ndern der Volume-ID eines Datenträgers (auszulesen mit [ fsutil fsinfo volumeinfo c: ] steht unter Volumeseriennummer |
Networking
Programm | Versionen: x86/x64/ARM64 | GUI | Beschreibung |
---|---|---|---|
Active Directory Explorer | ✔️ / ❌ / ❌ | ✔️ | Viewer und Editor fürs Active Directory; kann Snapshots erstellen und vergleichen; Dateiname [ ADExplorer.exe] |
AdRestore | ✔️ / ❌ / ❌ | ❌ | stellt gelöschte Objekte im Active Directory wieder her |
Insight for Active Directory | ✔️ / ✔️ / ✔️ | ✔️ | zeigt in Echtzeit die Interaktion von Clients mit dem Active Directory; hilft, Verbindungsprobleme zu analysieren; Dateiname: [ ADInsight.exe ] |
PipeList | ✔️ / ✔️ / ✔️ | ❌ | zeigt geöffnete benannte Pipes zur Interprozesskommunikation |
PsFile | ✔️ / ✔️ / ❌ | ❌ | zeigt, welche Dateien und Ordner von einem anderen Rechne aus geöffnet sind (wie Computerverwaltung/System/Freigegebene Ordner/Geöffnete Dateien) |
PsPing | ✔️ / ✔️ / ❌ | ❌ | Ping-Ersatz |
ShareEnum | ✔️ / ❌ / ❌ | ✔️ | zeigt alle Freigaben einer Windows-Maschine |
TCPView | ✔️ / ❌ / ❌ | ✔️ | zeigt alle TCP-Verbindungen |
Whois | ✔️ / ✔️ / ✔️ | ❌ | Whois-Abfrage von Domains, funktioniert nicht bei deutschen Domains |
Process
Programm | Versionen: x86/x64/ARM64 | GUI | Beschreibung |
---|---|---|---|
Autoruns | ✔️ / ✔️ / ✔️ | ✔️+cmd | zeigt, was Windows beim hochfahren automatisch mitstartet |
Handle | ✔️ / ✔️ / ✔️ | ❌ | zeigt an, welcher Prozess welche Dateien geöffnet hält |
ListDLLs | ✔️ / ✔️ / ❌ | ❌ | listet die von einem Prozess geladenen DLLs auf |
Portmon | ✔️ / ❌ / ❌ | ✔️ | überwacht und zeigt Aktivitäten an seriellen und parallelen Ports |
ProcDump | ✔️ / ✔️ / ✔️ | ❌ | erzeugt manuell oder Trigger-gesteuert Dumps laufender Prozesse |
Process Explorer | ✔️ / ✔️ / ✔️ | ✔️ | alternativer Taskmanager; Dateiname: [ Procexp.exe ] |
Process Monitor | ✔️ / ✔️ / ✔️ | ✔️ | Zeigt alle (!) Zugriffe auf Dateien, Ordner, Registry, …; Dateiname: [ Procmon.exe ] |
PsExec | ✔️ / ✔️ / ❌ | ❌ | Programme mit erhöhten Rechten starten, auch remote auf anderen Rechnern |
PsGetSid | ✔️ / ✔️ / ❌ | ❌ | bersetzt SIDs in Klarnamen und Klarnamen in SIDs |
PsKill | ✔️ / ✔️ / ❌ | ❌ | schließt laufende Prozesse(bäume) ab, auch remote auf anderen Rechnern |
PsList | ✔️ / ✔️ / ❌ | ❌ | Details zu laufenden Prozessen |
PsService | ✔️ / ✔️ / ❌ | ❌ | Dienste verwalten |
PsSuspend | ✔️ / ✔️ / ❌ | ❌ | pausiert Prozesse, auch auf anderen Rechnern |
ShellRunas | ✔️ / ❌ / ❌ | ✔️ | ergänzt das Kontextmenü um „Run as different user„ |
VMMap | ✔️ / ✔️ / ✔️ | ✔️ | Analyse von virtuellem physischem Prozessspeicher |
Security
Programm | Versionen: x86/x64/ARM64 | GUI | Beschreibung |
---|---|---|---|
Autologon | ✔️ / ✔️ / ✔️ | ✔️ | richtet eine automatische Anmeldung für ein Konto an Windows ein |
LogonSessions | ✔️ / ✔️ / ❌ | ❌ | Informationen über die derzeit angemeldeten Benutzer- und systemeigenen Konten |
PsLoggedOn | ✔️ / ✔️ / ❌ | ❌ | zeigt die angemeldeten Nutzerkonten |
PsLofList | ✔️ / ✔️ / ❌ | ❌ | zeigt Eventlog-Einträge |
Sysmon | ✔️ / ✔️ / ❌ | ✔️ | protokolliert sicherheitsrelevante Datei-, Registry- und Prozess-Operationen in der Ereignisanzeige |
System Information
Programm | Versionen: x86/x64/ARM64 | GUI | Beschreibung |
---|---|---|---|
ClockRes | ✔️ / ✔️ / ✔️ | ❌ | gibt die Auflösung des System-Zeitgebers aus |
Coreinfo | ✔️ / ✔️ / ❌ | ❌ | liest Informationen über den Prozessor aus: Features, Caches, Kerne, Sockel, … |
LiveKd | ✔️ / ✔️ / ❌ | ❌ | Debugger für Windows; Braucht die Debugging Tools fpr Windows (WinDgb, KD, CDB, NTSD) |
LoadOrder | ✔️ / ✔️ / ❌ | ✔️+cmd | zeigt an, welche Treiber und Dienste während welcher Phase des Bootens geladen werden; Die ersten von ntoskrnl.exe („Boot“), die nächsten von smss.exe („System“) sowie zuletzt von Services.exe („Automatic“) |
PsInfo | ✔️ / ✔️ / ❌ | ❌ | zeigt einige wenige Systeminformationen, auch von Remote-Rechnern; Achtung: Manche Angaben sind unzuverlässig, etwa die zum RAM |
RAMMap | ✔️ / ✔️ / ✔️ | ✔️ | Details zur RAM-Belegung von Prozessen, Dateien etc. |
WinObj | ✔️ / ❌ / ❌ | ✔️ | zeigt Infos über den Namensraum des NT Object Manager |
Miscellaneous
Programm | Versionen: x86/x64/ARM64 | GUI | Beschreibung |
---|---|---|---|
BgInfo | ✔️ / ✔️ / ❌ | ✔️ | tapeziert den Desktop mit einigen Systeminfor |
CPUSTRES | ✔️ / ✔️ / ❌ | ✔️ | Stresstest für die CPU |
Ctrl2cap | ✔️ / ❌ / ❌ | ❌ | macht aus der Feststell- eine Strg-Taste |
DebugView | ✔️ / ✔️ / ✔️ | ✔️ | fängt Debug-Ausgaben von Programmen auf und zeigt sie an |
Desktops | ✔️ / ❌ / ❌ | ✔️ | virtuelle Desktops, ab Windows 10 nicht mehr nötig |
Hex2dec | ✔️ / ✔️ / ✔️ | ❌ | rechnet Dezimal in Hexadezimal und umgekehrt um |
NotmyFault | ✔️ / ✔️ / ❌ | ✔️+cmd | löst einen Bluescreen aus |
PsPasswd | ✔️ / ✔️ / ❌ | ❌ | ändert Passwörter von Nutzerkonten, auch auf anderen Rechnern; gedacht für Batch-Scripte, um auf vielen verwalteten Rechnern das Admin-Passwort auf einen Schlag zu ändern |
RegDelNull | ✔️ / ✔️ / ✔️ | ❌ | sucht und löscht ungültige Registry-Einträge, deren Namen Null-Zeichen enthalten |
RegistryUsage | ✔️ / ✔️ / ✔️ | ❌ | berechnet die Größe von Registry-Schlüsseln; Dateiname: [ ru.exe ] |
RegJump | ✔️ / ❌ / ❌ | ❌ | ffnet Regedit mit dem übergebenen Schlüssel, nimmt auch Schlüssel aus der Zwischenablage |
Strings | ✔️ / ✔️ / ✔️ | ❌ | zeigt alle in einer Datei enthaltenen Zeichenketten |
Testlimit | ✔️ / ✔️ / ❌ | ❌ | simuliert zu Debug-Zwecken vollen Speicher und andere Ressourcen-Knappheiten |
Zoomlt | ✔️ / ✔️ / ✔️ | ✔️ | Bildschirmlupe, von Russinovich vor allem für die technischen Vorträge programmiert |
Ohne Kategorie
Programm | Versionen: x86/x64/ARM64 | GUI | Beschreibung |
---|---|---|---|
DiskView | ✔️ / ❌ / ❌ | ✔️ | zeigt, wo welche Daten auf dem Datenträger liegen |
FindLinks | ✔️ / ✔️ / ✔️ | ❌ | zeigt, welche Hardlinks auf eine Datei zeigen |
Junction | ✔️ / ✔️ / ✔️ | ❌ | erzeugt Symbolische Verknüpfungen und zeigt sie an |
PsShutdown | ✔️ / ❌ / ❌ | ❌ | fährt Windows herunter, auch auf anderen Rechnern |
TCPVCon | ✔️ / ❌ / ❌ | ❌ | Anzeige der Gegenstelle von TCP- und UDP-Verbindungen |