Mikail.Net

Yazılımcı günlüğü

Sysinternals

Sysinternals Suite Nedir?

Sysinternals Suite, Windows sistem yöneticileri, IT profesyonelleri ve geliştiriciler için geliştirilmiş, ücretsiz bir araç koleksiyonudur. Bu araçlar, Windows’un iç yapıları ve işlemleri hakkında detaylı bilgi sağlar, böylece kullanıcılar sistemleri üzerinde daha derinlemesine kontrole sahip olabilirler.

https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

Başlıca Araçlar ve Kullanım Alanları

  1. Process Explorer: Görev Yöneticisi’nden daha detaylı bilgiler sunar. Hangi dosya veya kütüphanenin hangi işlem tarafından kullanıldığını gösterir.
  2. Process Monitor: Gerçek zamanlı dosya, kayıt defteri ve işlem/hat aktivitesini izler.
  3. Autoruns: Otomatik olarak başlatılan programları ve servisleri gösterir, böylece kötü amaçlı yazılımların sistem başlangıcına sızıp sızmadığını kontrol edebilirsiniz.
  4. Sysmon: Güvenlik olay izleme için sistem aktivitesini izler.
  5. TCPView: Gerçek zamanlı TCP/UDP bağlantıları gösterir. … (daha fazla araç için detay ekleyebilirsiniz)

Sysinternals Suite’in Avantajları

  1. Derinlemesine İnsight: Windows’un derinlerine nüfuz eden bilgiler sunar.
  2. Sorun Teşhisi: Sistemle ilgili sorunları teşhis etmeye yardımcı olur.
  3. Ücretsiz: Microsoft tarafından ücretsiz olarak sunulmaktadır.

Nasıl Kullanılır?

Sysinternals Suite’ı Microsoft’un resmi web sitesinden indirebilirsiniz. Araçlar, kurulum gerektirmeden çalıştırılabilir, bu da onları taşınabilir ve kullanışlı kılar.

Dosya ve Disk Yardımcı Programları

AccessChk
Bu araç, belirttiğiniz kullanıcı veya gruba dosyalara, Kayıt defteri anahtarlarına veya hizmetlere erişim Windows gösterir.

AccessChk aracı, Microsoft’un Sysinternals Suite’inin bir parçasıdır ve belirttiğiniz kullanıcının veya grubun Windows’da belirli nesnelere erişim haklarına sahip olup olmadığını kontrol etmenizi sağlar. Bu araçla çözebileceğiniz bazı yaygın sorunlar şunlardır:

  1. Erişim İzin Sorunları: Bir dosya, klasör veya kayıt defteri anahtarına erişimde sorun yaşandığında, hangi kullanıcı veya grubun hangi izinlere sahip olduğunu doğrulamak için AccessChk kullanabilirsiniz.
  2. Güvenlik Denetimleri: Bir sistem veya uygulamanın güvenliğini denetlerken, hassas verilere veya işlevlere potansiyel olarak erişebilecek kullanıcıları veya grupları tespit etmek için bu aracı kullanabilirsiniz.

  3. Uygulama Sorunlarını Giderme: Bir uygulama çalıştırıldığında veya yüklendiğinde hatalarla karşılaşırsanız, bu sorunun izinle ilgili olup olmadığını belirlemek için AccessChk aracını kullanabilirsiniz.

  4. En Az Ayrıcalık İlkesinin Uygulanması: Sistemlerde veya uygulamalarda “en az ayrıcalık” ilkesini uygularken, gereksiz yere geniş erişim izinlerine sahip kullanıcıları veya grupları tespit etmek için bu aracı kullanabilirsiniz.

  5. Hizmet Erişim Sorunları: Belirli bir Windows hizmetine erişimde sorun yaşandığında, hangi kullanıcı veya grubun bu hizmete ne tür erişim izinlerine sahip olduğunu kontrol etmek için AccessChk aracını kullanabilirsiniz.

  6. Erişim Politikalarının Doğrulanması: Bir organizasyonun belirli erişim politikaları varsa, bu politikaların doğru bir şekilde uygulandığından emin olmak için AccessChk ile denetimler gerçekleştirebilirsiniz.

  7. Loglama ve Raporlama: Erişim izinlerine dair detaylı raporlar almak ve bu bilgileri loglamak için AccessChk kullanabilirsiniz.

AccessChk, genel olarak sistem yöneticileri ve güvenlik uzmanları için oldukça yararlı bir araçtır. Farklı erişim izinleri ve güvenlik sorunlarıyla ilgili detaylı bilgiler sağlayarak, sorunların daha hızlı bir şekilde tanımlanmasına ve çözülmesine yardımcı olur.

AccessEnum
Bu basit ancak güçlü güvenlik aracı sistemleriniz üzerinde dizinlere, dosyalara ve Kayıt defteri anahtarlarına kimlerin erişe olduğunu gösterir. İzinlerinize göre delikler bulmak için bunu kullanın.

AccessEnum da Microsoft’un Sysinternals Suite’ine dahil edilmiş bir araçtır. Bu araç, sistemlerinizdeki dizinlere, dosyalara ve Kayıt defteri anahtarlarına erişim izinlerini taramanızı ve incelemenizi sağlar. AccessEnum‘u kullanarak tespit edebileceğiniz ve çözebileceğiniz potansiyel sorunları şöyle sıralayabiliriz:

  1. İstenmeyen Erişim İzinleri: Belirli bir dizinde, dosyada veya kayıt defteri anahtarında istenmeyen erişim izinleri olup olmadığını belirlemek için bu aracı kullanabilirsiniz.

  2. Güvenlik Delikleri: İstenmeyen veya fazla genişletilmiş erişim izinleri, güvenlik riskleri oluşturabilir. AccessEnum, bu tür potansiyel güvenlik deliklerini tespit etmenize yardımcı olabilir.

  3. Güvenlik Politikalarının Uygulanması: Kuruluşunuzun belirli güvenlik politikaları varsa, bu politikaların doğru bir şekilde uygulandığından emin olmak için AccessEnum ile denetimler gerçekleştirebilirsiniz.

  4. Hatalı İzin Dağılımları: Kullanıcıların veya grupların yanlışlıkla verilmiş erişim izinlerini tespit etmek için bu aracı kullanabilirsiniz.

  5. Dizin ve Dosya Erişim Raporları: Hangi kullanıcı veya grubun belirli dizinlere veya dosyalara erişim izinlerine sahip olduğunu görmek için detaylı raporlar alabilirsiniz.

  6. Kayıt Defteri Erişim Sorunları: Kayıt defteri anahtarlarının izinlerini inceleyerek, potansiyel olarak riskli erişim izinlerini belirleyebilirsiniz.

  7. Erişim Değişikliklerini İzleme: Düzenli olarak AccessEnum kullanarak, izinlerdeki değişiklikleri izleyebilir ve beklenmedik değişiklikleri tespit edebilirsiniz.

  8. Hassas Verilere Erişim: Özellikle hassas veya gizli bilgileri içeren dizinlerin ve dosyaların izinlerini denetleyerek, bu verilere erişebilecek kullanıcıları veya grupları belirleyebilirsiniz.

AccessEnum, sistem yöneticileri ve güvenlik uzmanları için kritik bir güvenlik aracıdır. Erişim izinlerini düzenli olarak denetleyerek, sistemlerin güvenliğini artırabilir ve potansiyel güvenlik risklerini azaltabilirsiniz.

CacheSet
CacheSet, NT tarafından sağlanan işlevleri kullanarak Cache Manager’ın çalışma kümesi boyutunu denetlemeye olanak sağlayan bir programdır. Nt’nin tüm sürümleriyle uyumludur.

CacheSet aracı, Microsoft’un Sysinternals Suite’inin bir parçası olarak sunulmaktadır. Bu araç, Cache Manager’ın çalışma kümesi boyutunu denetlemek ve ayarlamak için kullanılır. Cache Manager, dosya erişimlerini hızlandırmak için diskteki veriyi önbellekte saklar. Ancak, bazen önbellek ayarları optimal olmayabilir ve bu, performans sorunlarına neden olabilir.

CacheSet kullanılarak gerçekleştirilebilecek işlemler ve çözülebilecek muhtemel sorunlar şunlardır:

  1. Önbellek Ayarlarını Gösterme: CacheSet‘i kullanarak, Cache Manager’ın mevcut çalışma kümesi boyutunu ve önbellek ayarlarını görüntüleyebilirsiniz.

  2. Çalışma Kümesi Boyutunu Ayarlama: Önbellek performansını optimize etmek için CacheSet aracıyla minimum ve maksimum çalışma kümesi boyutlarını ayarlayabilirsiniz.

  3. Performans Sorunlarını Giderme: Dosya erişim performansında bir düşüş fark ederseniz, bu, Cache Manager’ın önbellek ayarlarından kaynaklanıyor olabilir. Bu durumda, CacheSet aracını kullanarak ayarları optimize edebilirsiniz.

  4. Uygulama Performansını Optimize Etme: Belirli uygulamaların disk erişim gereksinimleri, Cache Manager’ın varsayılan ayarlarıyla optimal olmayabilir. Bu tür uygulamalar için önbellek ayarlarını özelleştirerek uygulama performansını artırabilirsiniz.

  5. Önbellek Davranışını Anlama: Farklı ayarlarla önbelleğin nasıl davrandığını gözlemleyerek, önbellek davranışı hakkında daha derinlemesine bilgi sahibi olabilirsiniz.

  6. Önbellek Sorunlarını Tanılama: Disk erişimiyle ilgili beklenmedik sorunlarla karşılaştığınızda, CacheSet‘i kullanarak önbellekle ilgili potansiyel sorunları tanılayabilirsiniz.

Özetlemek gerekirse, CacheSet, NT tabanlı sistemlerde önbellek performansını optimize etmek ve önbellekle ilgili potansiyel sorunları tanımlamak için kullanabileceğiniz yararlı bir araçtır. Özellikle büyük dosya erişimleri veya yoğun disk erişimi gereksinimleri olan uygulamalar için bu aracın kullanımı, sistem performansını artırabilir.

Contig
Sık kullanılan dosyalarınızı hızla birleştirebilirsiniz. Tek tek dosyaları iyileştirmek veya bitişik yeni dosyalar oluşturmak için Contig kullanın.

Contig aracı, Microsoft’un Sysinternals Suite kapsamında sunulan bir dosya birleştirme (defragmentasyon) aracıdır. Sistemlerde dosya parçalanması zamanla ortaya çıkar; bu da dosyanın birçok farklı fiziksel konumda saklanması anlamına gelir. Bu parçalanma, dosya erişim performansını olumsuz etkileyebilir. Contig bu parçalanmış dosyaları tek bir bitişik bölgede birleştirerek performansı artırmayı hedefler.

Contig kullanılarak gerçekleştirilebilecek işlemler ve çözülebilecek muhtemel sorunlar şunlardır:

  1. Tekil Dosya Birleştirme: Çoğu defragmentasyon aracı tüm diski birleştirir, ancak Contig, belirli bir dosyanın veya bir grup dosyanın birleştirilmesini sağlar. Bu, belirli bir uygulamanın performansını hızla artırmak için kullanışlıdır.
  2. Yeni Bitişik Dosyalar Oluşturma: Contig, yeni bir dosya oluştururken bu dosyanın parçalanmamış bir alanda yer almasını sağlayabilir.
  3. Dizini Birleştirme: Belirli bir dizindeki tüm dosyaları birleştirebilirsiniz.
  4. Performans Artışı: Özellikle büyük ve sıkça erişilen dosyaların birleştirilmesi, bu dosyalara erişim süresini hızlandırabilir.
  5. Disk Kullanımını Optimize Etme: Contig‘i düzenli olarak kullanarak, disk üzerindeki boş alanın daha tutarlı bir şekilde kullanılmasını sağlayabilirsiniz.
  6. Hızlı ve Esnek Kullanım: Komut satırı tabanlı bir araç olduğu için, Contig‘i betiklerle veya otomatik görevlerle kullanarak defragmentasyon işlemlerini otomatikleştirebilirsiniz.

Özetle, Contig aracı, belirli dosyaların veya klasörlerin defragmentasyonunu gerçekleştirmek için oldukça kullanışlıdır. Sıkça erişilen veya performansı kritik olan dosyaların optimize edilmesi gerektiğinde bu aracı kullanabilirsiniz. Genel disk defragmentasyonu için daha kapsamlı araçlara ihtiyaç duyabilirsiniz, ancak Contig, hızlı ve hedef odaklı defragmentasyon için ideal bir seçenektir.

Disk2vhd
Disk2vhd, fiziksel sistemlerin sanal makinelere (p2v) geçişini basitleştiriyor.

Disk2vhd aracı, Microsoft’un Sysinternals Suite’inde yer alan bir araçtır ve fiziksel bir bilgisayardaki (veya başka bir fiziksel sunucudaki) disklerin sanal sabit disk dosyaları (VHD veya VHDX formatında) olarak klonlanmasını sağlar. Bu, fiziksel makineleri sanal makinelere (Physical-to-Virtual, P2V) dönüştürmek için kullanılır.

Disk2vhd’nin özellikleri ve potansiyel kullanım senaryoları:

  1. Fiziksel’den Sanal’a Dönüşüm: Bir fiziksel sunucunun veya çalışma istasyonunun diskindeki sistemleri hızlı bir şekilde sanal bir ortama taşımak için kullanılabilir.
  2. Kurtarma Senaryoları: Bir fiziksel makineye erişimde sorun yaşanırsa, Disk2vhd kullanılarak bu makinelerin bir kopyası alınıp sanal bir ortamda çalıştırılabilir.
  3. Test ve Geliştirme Ortamları: Mevcut bir fiziksel sistemden bir sanal kopya oluşturarak, geliştirme ve test etme süreçleri için izole bir ortam sağlanabilir.
  4. Yedekleme ve Arşivleme: Disk2vhd, özellikle eski sistemlerin arşivlenmesi için kullanışlıdır. Sanal bir disk imajı oluşturarak bu sistemleri daha sonra ihtiyaç duyulduğunda geri yüklemek mümkündür.
  5. Konsolidasyon: Eski fiziksel sunucuları emekliye ayırmak ve onların işlevlerini sanal makinelerde sürdürmek için Disk2vhd kullanılabilir.
  6. Uyumluluk: Oluşturulan VHD dosyaları, Microsoft Hyper-V, Virtual PC ve Azure gibi çeşitli Microsoft sanallaştırma platformlarıyla uyumludur.
  7. Esneklik: Tek tek bölümleri veya tüm diski sanal bir disk dosyasına klonlama seçeneği vardır.

Kullanırken dikkat edilmesi gereken bazı noktalar:

  • Çalışan bir sistem üzerinde Disk2vhd’yi çalıştırırken, VSS (Hacim Gölge Kopyası Hizmeti) sayesinde tutarlı bir anlık görüntü alır. Bu, klonlama işlemi sırasında dosyaların kilitlenmediği anlamına gelir.
  • Oluşturulan VHD dosyalarının boyutu, fiziksel diskin kullanılan alanına bağlıdır, yani boş alan için ekstra alan kaplamaz.
  • Fiziksel bir makineden sanal bir makineye geçerken donanım ve sürücü uyumluluğu gibi sorunlarla karşılaşabileceğinizden, dönüşüm sonrası gerekli sürücü ve yapılandırma değişikliklerini yapmanız gerekebilir.

Sonuç olarak, Disk2vhd basit ve etkili bir P2V dönüşüm aracıdır ve fiziksel makineleri sanal ortamlara hızla taşımak için kullanışlıdır.

DiskExt
Birim disk eşlemelerini görüntüleme.

DiskExt aracı, Microsoft’un Sysinternals Suite’inde bulunan bir yardımcı programdır. Bu araç, Windows’ta bir birimin üzerinde yer aldığı fiziksel diskleri ve bu disklerin bölümlerini göstermek için kullanılır. DiskExt, bir Windows biriminin (örn. C: sürücüsü) hangi fiziksel disklerle ilişkilendirildiğini gösterir, bu özellikle RAID dizileri veya diğer birim yönetimi yapılandırmalarıyla çalışırken faydalıdır.

DiskExt kullanılarak gerçekleştirilebilecek işlemler ve çözülebilecek muhtemel sorunlar şunlardır:

  1. Disk Yapılandırmalarını Gözden Geçirme: Birden fazla disk veya RAID yapılandırması olan sistemlerde, hangi birimin hangi disk veya disklerle ilişkilendirildiğini belirlemek için DiskExt kullanabilirsiniz.
  2. Sorun Giderme: Bir diskin veya birimin başarısız olması durumunda, DiskExt hangi birimlerin etkilendiğini ve bu birimlerin hangi fiziksel disklerle ilişkilendirildiğini belirlemek için kullanılabilir.
  3. Sistem Yapılandırmalarını Belgeleme: Mevcut disk ve birim yapılandırmalarını belgelemek için DiskExt‘i kullanabilirsiniz. Bu, özellikle büyük sistemler veya karmaşık disk yapılandırmaları için faydalıdır.
  4. Sanallaştırma Senaryoları: Fiziksel bir makineyi sanal bir makineye dönüştürürken (P2V), mevcut disk yapılandırmalarını ve birimleri anlamak için DiskExt kullanılabilir.
  5. Karmaşık Disk Yapılandırmalarını Anlama: Özellikle çok sayıda disk bölümü, dinamik disk veya RAID yapılandırmaları olan sistemlerde, disk ve birim ilişkilerini hızla belirlemek için DiskExt kullanabilirsiniz.

Kısacası, DiskExt, Windows’ta birimlerin fiziksel disklerle nasıl eşleştirildiğini anlamak için kullanılan kompakt ve etkili bir araçtır. Özellikle karmaşık disk yapılandırmaları veya özel disk çözümleri kullanan sistemlerde, disk ve birim ilişkilerini hızla belirlemek için oldukça faydalıdır.

DiskMon
Bu yardımcı program tüm sabit disk etkinliğini yakalar veya sistem tepsisinde bir yazılım diski etkinlik ışığı gibi davranır.


DiskMon
aracı, Microsoft Sysinternals Suite içerisinde yer alan bir diskin tüm etkinliğini gerçek zamanlı olarak gösteren bir araçtır. DiskMon, bir sistemin disk erişimlerini izlemek için kullanılır. Bu, disk erişimiyle ilgili sorunları tespit etmek veya genel disk aktivitesini izlemek için oldukça faydalıdır.

DiskMon kullanılarak gerçekleştirilebilecek işlemler ve çözülebilecek muhtemel sorunlar şunlardır:

  1. Performans Sorunlarını Tespit Etme: Yüksek disk aktivitesi, bir sistemin yavaşlamasına neden olabilir. DiskMon, hangi işlemlerin veya uygulamaların yoğun disk aktivitesine neden olduğunu belirlemek için kullanılabilir.
  2. Yazılım ve Uygulama Testi: Yazılım geliştiricileri veya test mühendisleri, bir uygulamanın ne kadar disk aktivitesi oluşturduğunu belirlemek için DiskMon’u kullanabilir.
  3. Disk Erişim Sorunları: Erişim hataları veya diskle ilgili diğer sorunları belirlemek için DiskMon’un sağladığı bilgileri kullanabilirsiniz.
  4. Eğitim ve Öğrenme: DiskMon, bir diskin ne zaman ve nasıl erişildiğini öğrenmek isteyen öğrenciler ve yeni başlayanlar için de kullanışlı bir araçtır.
  5. Yedekleme ve Diğer İşlemlerin Etkisini Gözlemleme: DiskMon, yedeklemeler, disk temizleme işlemleri veya diğer disk yoğun işlemler sırasında disk aktivitesini izlemek için kullanılabilir.
  6. Sistem Tepsisinde Gösterge: DiskMon aynı zamanda sistem tepsisinde bir gösterge olarak da çalışabilir. Bu, gerçek zamanlı olarak diskin ne zaman aktif olduğunu gösteren bir “ışık” görevi görür.
  7. Log Oluşturma: Disk aktivitesini bir log dosyasına kaydedebilir ve daha sonra analiz edebilirsiniz.

Özetle, DiskMon özellikle disk erişimi ve performansıyla ilgili sorunları tespit etmek, disk aktivitesini gözlemlemek veya öğrenmek için oldukça kullanışlı bir araçtır. Hem teknik uzmanlar hem de genel kullanıcılar için faydalı olabilecek bir araçtır.

DiskView
Grafik disk kesimi yardımcı programı.

DiskView aracı, Microsoft’un Sysinternals Suite’inde bulunan bir grafiksel disk analiz aracıdır. Bu araç, sabit sürücünüzdeki dosya ve klasörlerin fiziksel yerleşimini görsel bir biçimde gösterir. DiskView, disk üzerindeki dosyaların ve klasörlerin nasıl dağıldığını anlamak için grafiksel bir arayüze sahiptir ve bu, boş alanın, parçalanmış dosyaların veya sık kullanılan dosyaların yerleşimini görmek için oldukça faydalıdır.

DiskView ile gerçekleştirilebilecek işlemler ve çözülebilecek muhtemel sorunlar:

  1. Disk Parçalanmasını Gözlemleme: Diskteki dosyaların nasıl dağıldığını grafiksel olarak görebilir ve hangi dosyaların parçalanmış olduğunu tespit edebilirsiniz.
  2. Boş Alanın Yerleşimini Görmek: Diskinizdeki boş alanın nerede olduğunu ve bu boş alanın ne kadar büyük bloklar halinde dağıldığını görebilirsiniz.
  3. Dosya ve Klasör Yerleşimini Analiz Etme: Belirli bir dosya veya klasörün disk üzerinde nerede olduğunu belirleyebilirsiniz. Bu, performansı optimize etmek için dosya yerleşimini düzenlemek isteyenler için faydalıdır.
  4. Disk Kullanımını Görselleştirme: Hangi dosya veya klasörlerin en çok disk alanını kullandığını hızlı bir şekilde görselleştirebilir ve disk alanını boşaltma kararları alabilirsiniz.
  5. Disk Hatalarını Tespit Etme: Diskteki bozuk sektörleri veya diğer hataları gözlemleyebilirsiniz.
  6. Optimizasyon Öncesi ve Sonrası Durumu Karşılaştırma: Bir disk birleştirme (defragmentasyon) işlemi gerçekleştirdiğinizde, DiskView ile dosyaların disk üzerinde nasıl değiştiğini gözlemleyebilirsiniz.
  7. İnteraktif Arayüz: DiskView’in arayüzü interaktiftir. Böylece belirli bir dosya veya klasörü seçip detaylı bilgilerini alabilir, dosyanın fiziksel yerini ve diğer ayrıntıları görebilirsiniz.

Özetle, DiskView, bir sabit sürücüdeki dosyaların ve klasörlerin fiziksel yerleşimini görsel ve interaktif bir şekilde gösteren bir araçtır. Disk kullanımını optimize etmek, boş alanı yönetmek veya parçalanmış dosyaları belirlemek için kullanışlıdır.

Disk Kullanımı (DU)
Dizine göre disk kullanımını görüntüleme.

Disk Kullanımı (DU) aracı, Microsoft Sysinternals Suite içinde yer alan bir komut satırı aracıdır. Bu araç, belirtilen bir dizinde (klasörde) yer alan dosya ve alt klasörlerin diskte ne kadar alan kullandığını detaylı bir şekilde raporlar. Özellikle büyük disklerde veya ağ paylaşımlarında hangi klasörlerin en çok alanı kullandığını hızla belirlemek için oldukça kullanışlıdır.

Disk Kullanımı (DU) kullanılarak gerçekleştirilebilecek işlemler ve çözülebilecek muhtemel sorunlar şunlardır:

  1. Disk Alanı Analizi: Hangi klasörlerin veya alt klasörlerin en çok disk alanını kullandığını hızlıca görebilirsiniz. Bu, disk alanınızın nerede tükendiğini anlamanıza yardımcı olur.
  2. Disk Temizleme Kararları: Hangi klasörlerin ne kadar alan kapladığını belirledikten sonra, gereksiz veya eski dosyaları silerek disk alanınızı boşaltma kararları alabilirsiniz.
  3. Raporlama: Disk kullanım raporları oluşturabilir ve bu raporları saklayabilir veya paylaşabilirsiniz.
  4. Ağ Paylaşımlarının Analizi: DU ağ üzerinde paylaşılan klasörlerdeki disk kullanımını analiz etmek için de kullanılabilir. Bu, ağdaki kaynakların nasıl kullanıldığını anlamanıza yardımcı olabilir.
  5. Kota Yönetimi: DU, disk kotalarını yöneten sistem yöneticileri için hangi kullanıcının veya hangi klasörün ne kadar disk alanını kullandığını belirlemek için kullanılabilir.
  6. Büyük Dosya Tespiti: Belirli bir eşiği aşan dosya boyutlarına sahip dosyaları tespit etmek için DU‘yu kullanabilirsiniz. Örneğin, 1GB’dan büyük dosyaları bulabilirsiniz.
  7. Dinamik Seçenekler: DU, belirli türdeki dosyaları dikkate alarak veya hariç tutarak (örn. sadece .log dosyaları) özel disk kullanım raporları oluşturmak için seçeneklere sahiptir.

Özetle, Disk Kullanımı (DU) aracı, diskteki dosya ve klasörlerin ne kadar alan kullandığına dair detaylı bilgileri hızla elde etmek için oldukça kullanışlı bir araçtır. Özellikle disk alanının hızla tükendiği durumlarda veya ağ kaynaklarının nasıl kullanıldığını analiz etmek isteyen sistem yöneticileri için değerlidir.

EFSDump
Şifrelenmiş dosyalar için bilgileri görüntüleme.

EFSDump aracı, Microsoft Sysinternals Suite’in bir parçasıdır ve Windows’un EFS (Encrypted File System) özelliği ile şifrelenmiş dosyalar hakkında ayrıntılı bilgi almanızı sağlar. EFS, Windows dosya sistemi NTFS üzerinde dosyaların şifrelenmesi için bir özelliktir ve bu sayede belirli dosyaları veya klasörleri yetkisiz erişimlere karşı koruma altına alabilirsiniz.

EFSDump kullanılarak elde edilen bilgiler ve bu araçla çözülebilecek muhtemel sorunlar şunlardır:

  1. Şifrelenmiş Dosyaların Ayrıntılarını Görüntüleme: Hangi dosyaların EFS ile şifrelendiğini ve bu dosyaların hangi şifreleme sertifikalarını kullandığını görebilirsiniz.
  2. Kullanıcı ve Sertifika Bilgisi: Hangi kullanıcıların belirli bir şifrelenmiş dosyaya erişim hakkına sahip olduğunu ve hangi EFS sertifikalarının kullanıldığını belirleyebilirsiniz.
  3. Erişim Sorunlarını Çözme: EFS ile şifrelenmiş dosyalara erişimde yaşanan problemler için, hangi kullanıcının veya sertifikanın problem oluşturduğunu tespit edebilirsiniz.
  4. Yedekleme ve Kurtarma: Şifrelenmiş dosyalarınızın yedeklerini alırken veya kurtarırken hangi sertifikaların ve anahtarların gerekli olduğunu anlamak için EFSDump’u kullanabilirsiniz.
  5. Güvenlik Değerlendirmesi: Hangi dosyaların şifrelendiğini ve bu dosyaların hangi kullanıcılar için şifrelendiğini belirleyerek, sistemdeki güvenlik durumunu değerlendirebilirsiniz.
  6. Forensik Analiz: Bir bilgisayarın forensik incelemesini yaparken, şifrelenmiş dosyalar ve bu dosyalara erişim bilgileri hakkında ayrıntılı bilgi almak için EFSDump’u kullanabilirsiniz.

Özetle, EFSDump, Windows’un EFS özelliği ile şifrelenmiş dosyalar hakkında detaylı bilgi elde etmek için oldukça kullanışlı bir araçtır. Bu bilgiler, EFS ile ilgili erişim sorunlarını çözme, güvenlik değerlendirmesi yapma veya forensik analizlerde bulunma gibi çeşitli senaryolarda önemlidir.

FindLinks
FindLinks, belirtilen dosya için mevcut olan dosya dizinini ve sabit bağlantıları (aynı bir birim üzerinde alternatif dosya yolları) raporlar.  Bir dosyanın verileri, ona başvuran en az bir dosya adına sahip olduğu sürece ayrılmış olarak kalır.

FindLinks aracı, Microsoft Sysinternals Suite’te bulunan bir araçtır. Bu araç, belirtilen bir dosya için mevcut olan dosya dizinini ve o dosya için oluşturulmuş sabit bağlantıları (hard links) raporlar. Hard link, NTFS dosya sisteminde aynı içeriğe sahip farklı dosya adları veya yollarına işaret eden bir özelliktir. Tek bir fiziksel dosya, birden fazla dosya adı veya yolu ile erişilebilir hale gelir.

FindLinks aracıyla yapabileceğiniz şeyler ve çözülebilecek muhtemel sorunlar şunlardır:

  1. Sabit Bağlantıların Tespiti: Bir dosyanın birden fazla yoldan veya adla erişilip erişilmediğini kontrol edebilirsiniz. Bu, disk üzerinde aynı içeriği taşıyan fakat farklı adlara sahip dosyaları tespit etmek için kullanışlıdır.
  2. Disk Alanı Yönetimi: Hard linkler, fiziksel olarak aynı verilere farklı yollardan erişim sağlar, bu nedenle disk alanını etkilemezler. Ancak, aynı dosyaya yapılan değişiklikler tüm bağlantılarda yansır. Bu nedenle, disk alanı kullanımını etkileyebilecek gereksiz bağlantıları tespit etmek için FindLinks kullanılabilir.
  3. Veri Bütünlüğü: Bir dosyanın üzerinde yapılan değişiklikler, o dosya için oluşturulan tüm hard linklerde de görülecektir. FindLinks ile bu bağlantıları belirleyip, veri bütünlüğünü korumak adına gerekli önlemleri alabilirsiniz.
  4. Dosya Yedekleme ve Kurtarma: Yedekleme sırasında, aynı verilere sahip farklı dosya adlarını tespit etmek için FindLinks kullanılabilir. Bu, yedekleme süreçlerini optimize etmek için faydalıdır.
  5. Güvenlik ve İzinler: Farklı bağlantılara sahip olan dosyaların izinlerini kontrol edebilir ve bu dosyalara erişim hakları üzerinde değişiklik yapabilirsiniz.

Özetle, FindLinks, bir dosya için oluşturulmuş sabit bağlantıları (hard links) tespit etmek, analiz etmek ve bu bağlantılar üzerinde çalışmalar yapmak için kullanılır. Bu, disk alanı yönetimi, veri bütünlüğü, yedekleme ve kurtarma ve güvenlik gibi konularda oldukça kullanışlıdır.

Birleşim
Win2K NTFS sembolik bağlantıları oluşturun.

Birleşim (aslında “Junction” olarak bilinir) Microsoft Sysinternals Suite’te bulunan bir araçtır ve Windows 2000 ve sonraki sürümlerinde NTFS dosya sistemi üzerinde sembolik bağlantılar (junction points) oluşturmanızı ve yönetmenizi sağlar. Bu sembolik bağlantılar, bir klasörün içeriğini başka bir yerde, farklı bir yol veya isimle, fiziksel bir kopya oluşturmadan temsil etmenizi sağlar.

Junction aracıyla yapabileceğiniz şeyler:

  1. Sembolik Bağlantılar Oluşturma: Bir klasör için sembolik bir bağlantı oluşturarak, o klasörün içeriğini farklı bir konumda veya isimle erişilebilir hale getirebilirsiniz.
  2. Mevcut Sembolik Bağlantıları Görüntüleme: Disk üzerindeki sembolik bağlantıları ve bu bağlantıların işaret ettiği gerçek klasör yollarını görüntüleyebilirsiniz.
  3. Sembolik Bağlantıları Silme: Oluşturulan sembolik bağlantıları kaldırabilirsiniz. Bu işlem, bağlantının işaret ettiği gerçek klasör veya dosyaları silmez.

Junction aracının kullanımıyla ilgili senaryolar:

  1. Disk Yönetimi: Fiziksel olarak farklı disk sürücülerine veya bölümlerine dağılmış klasörleri, tek bir kök klasör altında sanki aynı yerdeymiş gibi göstermek için sembolik bağlantılar kullanılabilir.
  2. Uygulama ve Veri Yönlendirme: Bazı uygulamalar, belirli bir konuma veri yazmaya zorlanabilir. Sembolik bağlantılar sayesinde bu verilerin fiziksel olarak farklı bir konuma yazılmasını sağlayabilirsiniz.
  3. Yedekleme ve Kurtarma: Sembolik bağlantıları kullanarak, belirli verileri veya klasörleri yedekleme konumlarına yönlendirebilirsiniz.
  4. Geliştirme ve Test: Yazılım geliştiricileri, farklı konfigürasyonlar veya veri kümeleri için sembolik bağlantıları kullanarak hızla değişiklikler yapabilirler.

Özetle, Junction (veya “Birleşim” olarak çevirdiğiniz isim), NTFS dosya sisteminde sembolik bağlantıları oluşturmak ve yönetmek için güçlü bir araçtır. Disk yönetimi, yedekleme ve kurtarma, uygulama veri yönlendirme ve yazılım geliştirme gibi bir dizi senaryoda kullanışlıdır.

LDMDump
Mantıksal Disk Yöneticisi’nin 2000 Dinamik diskler için bölümleme açıklayan disk Windows döküm.

LDMDump aracı, Microsoft Sysinternals Suite’in bir parçasıdır ve Windows 2000’deki Mantıksal Disk Yöneticisi (Logical Disk Manager – LDM) tarafından kullanılan Dinamik disklerin bölüm bilgilerini incelemek için kullanılır.

Dinamik diskler, Windows 2000 ve sonrasındaki sürümlerde gelen bir özelliktir ve temel bölümlerden daha esnek bölüm yönetimi sunar. Dinamik diskler, özellikle disk hacimlerinin genişletilmesi veya aynalandığı durumlarda oldukça kullanışlıdır.

LDMDump aracının sağladığı özellikler ve kullanım senaryoları:

  1. Bölüm Bilgilerinin Dökümü: Dinamik diskler üzerindeki bölüm bilgilerini detaylı bir şekilde inceleyebilirsiniz. Bu, disk yapılandırması hakkında derinlemesine bilgi edinmek için kullanışlıdır.
  2. Sorun Giderme: Eğer dinamik disklerle ilgili bir sorun yaşanırsa, LDMDump ile alınan dökümler sayesinde bu sorunun nedeni hakkında bilgi edinilebilir.
  3. Forensik Analiz: Bilgisayar forensiği uzmanları, bir sistemdeki dinamik disk yapılandırmasını ve olası değişiklikleri incelemek için bu aracı kullanabilirler.
  4. Veri Kurtarma: Eğer dinamik disk üzerindeki verilere erişimde bir problem yaşanırsa, LDMDump ile alınan dökümler, veri kurtarma uzmanları için yol gösterici olabilir.
  5. Dokümantasyon: Sistem yöneticileri veya IT uzmanları, mevcut disk yapılandırmasını belgelerken LDMDump aracıyla alınan dökümleri kullanabilirler.

Özetle, LDMDump, Windows’un Dinamik disk özelliğini kullanan sistemlerde bölüm bilgilerini döküm almak ve analiz etmek için oldukça kullanışlı bir araçtır. Bu araç, sistem yöneticileri, veri kurtarma uzmanları ve bilgisayar forensiği uzmanları için önemli bir yardımcıdır.

Movefile
Sonraki yeniden başlatma için dosya yeniden adlandırma ve silme komutlarını zamanlama. Bu, açık veya kullanımda olan kötü amaçlı yazılım dosyalarını temizlemek için yararlı olabilir.

MoveFile aracı, Microsoft Sysinternals Suite’in bir bileşenidir. Bu araç, sistem yeniden başlatıldığında dosyaların yeniden adlandırılmasını veya silinmesini zamanlamak için kullanılır. Windows’ta bazı dosyalar veya işlemler aktif olduğunda veya kilitli olduğunda bu dosyalar üzerinde değişiklik yapmak mümkün değildir. Bu durumda, MoveFile gibi araçlar dosyaların veya işlemlerin aktif olmadığı bir sonraki yeniden başlatmada değişiklikleri gerçekleştirmek için kullanılır.

MoveFile aracının kullanım alanları ve avantajları:

  1. Kötü Amaçlı Yazılım Temizleme: Eğer bir kötü amaçlı yazılım (malware) dosyası aktif olduğunda veya kilitli olduğunda silinemezse, MoveFile bu tür dosyaların sistem yeniden başlatıldığında otomatik olarak silinmesini planlayabilir.
  2. Sistem Dosyalarının Yeniden Adlandırılması: Bazı temel sistem dosyaları, çalışan bir sistemde doğrudan yeniden adlandırılamaz. Bu dosyaları yeniden adlandırmak için MoveFile kullanılabilir.
  3. Dosya Kilit Sorunlarının Aşılması: Bazen belirli bir yazılım veya hizmet tarafından kilitlenmiş dosyaların üzerinde değişiklik yapmanız gerekebilir. Bu tür dosyalar üzerinde değişiklik yapabilmek için MoveFile aracını kullanabilirsiniz.
  4. Sistem Güncelleştirmeleri: Sistem güncelleştirmeleri sırasında bazı dosyaların değiştirilmesi gerekebilir. Eğer bu dosyalar aktifse, MoveFile aracı ile bu değişikliklerin bir sonraki yeniden başlatmada gerçekleştirilmesi sağlanabilir.

Özetle, MoveFile, Windows’ta kilitli veya aktif dosyalar üzerinde değişiklikler yapabilmek için tasarlanmış yararlı bir araçtır. Özellikle kötü amaçlı yazılımların temizlenmesi, sistem dosyalarının yeniden adlandırılması ve genel sistem bakımı gibi senaryolarda kullanılır.

NTFSInfo
NTFS birimleri hakkında, Ana Dosya Tablosu (MFT) ve MFT bölgesi boyutu ve konumu ile NTFS meta veri dosyalarının boyutları gibi ayrıntılı bilgileri görmek için NTFSInfo kullanın.

NTFSInfo aracı, Microsoft Sysinternals Suite’in bir bileşenidir ve NTFS dosya sistemiyle formatlanmış birimler hakkında ayrıntılı bilgileri görüntülemenizi sağlar. NTFS (New Technology File System), Windows işletim sistemlerinde yaygın olarak kullanılan bir dosya sistemidir ve birçok özellik ve meta veri dosyasına sahiptir.

NTFSInfo aracı ile elde edebileceğiniz bilgiler ve kullanım avantajları:

  1. Ana Dosya Tablosu (MFT) Bilgileri: MFT, NTFS dosya sisteminin kalbi olarak kabul edilir. Her dosya ve klasör için bir kayda sahiptir. NTFSInfo, MFT’nin boyutunu, konumunu ve kullanılan alanını gösterir.
  2. MFT Bölgesi Bilgisi: MFT’nin büyümesi gerektiğinde kullanılan alanı gösterir. Bu, dosya sisteminin nasıl optimize edildiği hakkında bilgi verebilir.
  3. NTFS Meta Veri Dosyalarının Boyutları: Meta veri dosyaları, NTFS dosya sisteminin çalışmasını sağlayan özel dosyalardır. Bu dosyaların boyutları, birimin nasıl kullanıldığına dair ipuçları verebilir.
  4. NTFS Sürümü ve Boyut Bilgisi: Hangi NTFS sürümünün kullanıldığını ve birimin toplam/boş alan bilgilerini gösterir.
  5. Klaster Boyutu: Dosya sisteminin verileri nasıl organize ettiği hakkında bilgi sağlar.

NTFSInfo aracının pratik kullanım senaryoları:

  1. Dosya Sistemi Analizi: Sistem yöneticileri veya performans uzmanları, NTFS dosya sisteminin yapısını ve optimizasyonunu anlamak için bu aracı kullanabilir.
  2. Veri Kurtarma: Eğer bir NTFS biriminde veri kurtarma çalışması yapılıyorsa, MFT’nin konumu ve boyutu hakkında bilgi sahibi olmak oldukça yararlı olabilir.
  3. Forensik Analiz: Bilgisayar forensiği uzmanları, bir NTFS birimi hakkında detaylı bilgi almak için NTFSInfo aracını kullanabilir.
  4. Kapasite Planlama: Birimde ne kadar alanın MFT ve meta veri dosyaları tarafından kullanıldığını bilmek, kapasite planlaması ve optimizasyon için yardımcı olabilir.

Özetle, NTFSInfo aracı, NTFS formatlı birimler hakkında derinlemesine bilgi edinmek isteyenler için son derece değerli bir araçtır. Bu bilgiler, dosya sistemi analizi, veri kurtarma, forensik analiz ve kapasite planlama gibi bir dizi senaryoda kullanışlıdır.

Pendmoves
Sistem bir sonraki yeniden yüklemede hangi dosyaların silinecek zamanlandığına bakın veya yeniden adlandırabilirsiniz.

PendMoves aracı, Microsoft Sysinternals Suite’in bir parçasıdır. Bu araç, Windows’ta dosyaların bir sonraki yeniden başlatmada silinmesi veya yeniden adlandırılmasının zamanlanmış olup olmadığını göstermek için kullanılır.

Birçok durumda, özellikle de dosyalar şu anda kullanımda olduğunda, bu dosyalar üzerinde değişiklik yapmak (örneğin silmek veya yeniden adlandırmak) doğrudan mümkün olmayabilir. Bu tür durumlarda, değişiklikler sonraki yeniden başlatmada gerçekleştirilmesi için zamanlanabilir. PendMoves bu zamanlanmış değişiklikleri görüntülemek için kullanılır.

PendMoves aracının kullanım avantajları ve senaryoları:

  1. Zamanlanmış Değişiklikleri Gözlemleme: Eğer bir dosya üzerinde yapılan değişikliği merak ediyorsanız veya bu değişikliğin sonraki yeniden başlatmada yapılıp yapılmadığını kontrol etmek istiyorsanız, PendMoves bu bilgiyi size sunar.
  2. Kötü Amaçlı Yazılım Kontrolü: Eğer kötü amaçlı bir yazılımın sisteminizde etkisini azaltmayı başardıysanız, bu yazılımın oluşturduğu veya değiştirdiği dosyaların sonraki yeniden başlatmada silinip silinmeyeceğini kontrol etmek için PendMoves kullanılabilir.
  3. Sistem Güncellemeleri ve Yazılım Kurulumları: Bazı sistem güncellemeleri veya yazılım kurulumları dosyaların yeniden başlatıldığında değiştirilmesini veya silinmesini gerektirebilir. Bu tür değişikliklerin neler olduğunu görmek için PendMoves kullanabilirsiniz.
  4. Değişiklikleri Geri Alma: Eğer zamanlanmış bir değişiklikten emin değilseniz ve bu değişikliği geri almak istiyorsanız, ilk olarak PendMoves ile bu değişikliği gözlemleyebilir ve ardından ona göre adım atabilirsiniz.

Sonuç olarak, PendMoves aracı, Windows’ta sonraki yeniden başlatmada gerçekleştirilmesi planlanmış dosya değişikliklerini görüntülemek için oldukça kullanışlıdır. Bu, sistem yöneticileri, güvenlik uzmanları ve geliştiriciler için değerli bir araçtır.

İşlem İzleyicisi
Dosya sistemi, Kayıt defteri, işlem, iş parçacığı ve DLL etkinliğini gerçek zamanlı olarak izleme.

İşlem İzleyicisi (İngilizce adıyla “Process Monitor” veya “ProcMon”), Microsoft Sysinternals Suite’in bir parçası olarak Mark Russinovich ve Bryce Cogswell tarafından geliştirilmiştir. Bu güçlü izleme aracı, Windows sistemlerindeki dosya sistemi, Kayıt defteri, işlem, iş parçacığı ve DLL etkinliklerini gerçek zamanlı olarak izlemenizi sağlar.

İşlem İzleyicisi aracının ana özellikleri ve kullanım avantajları:

  1. Ayrıntılı Etkinlik İzleme: İşlem İzleyicisi, hangi işlemin hangi dosyayı veya Kayıt defteri anahtarını okuduğu, yazdığı veya sildiği gibi ayrıntılı bilgileri gösterir.
  2. Filtreleme Özelliği: İzlemek istediğiniz belirli etkinliklere odaklanmanıza yardımcı olmak için gelişmiş filtreleme seçenekleri sunar.
  3. Gerçek Zamanlı İzleme: Sisteminizde gerçekleşen etkinlikleri gerçek zamanlı olarak izleyebilirsiniz.
  4. Zaman Çizelgesi: Her etkinlik için zaman damgası, izlemenin ne zaman gerçekleştiğini tam olarak belirtir.
  5. Detaylı Bilgi Gösterimi: Her etkinlik için, etkinliğin gerçekleştiği yol, etkilenen kayıt defteri anahtarı, sonuç (başarılı, başarısız vb.) ve diğer ilgili bilgileri gösterir.

İşlem İzleyicisi aracının kullanım senaryoları:

  1. Sistem Sorunlarının Tanımlanması: Eğer bir program veya işlem beklenmedik bir şekilde davranıyorsa, İşlem İzleyicisi hangi dosya veya kayıt defteri anahtarlarına erişimde bulunulduğunu göstererek problemi tanımlamada yardımcı olabilir.
  2. Kötü Amaçlı Yazılım Analizi: Güvenlik uzmanları, İşlem İzleyicisi’ni potansiyel olarak zararlı yazılımların sistemde neler yaptığını analiz etmek için kullanabilir.
  3. Performans Sorunlarının Tespit Edilmesi: Eğer bir uygulama ya da servis beklenenden daha yavaş çalışıyorsa, İşlem İzleyicisi hangi dosyalara veya kayıt defteri anahtarlarına yoğun bir şekilde erişimde bulunulduğunu göstererek performans sorunlarını belirlemenize yardımcı olabilir.
  4. Yazılım ve Uygulama Testi: Geliştiriciler, yazdıkları uygulamanın hangi dosya ve kayıt defteri anahtarlarıyla etkileşimde bulunduğunu görmek için İşlem İzleyicisi’ni kullanabilirler.

Sonuç olarak, İşlem İzleyicisi, Windows sistemlerindeki etkinlikleri derinlemesine analiz etmek için son derece güçlü ve kullanışlı bir araçtır. Bu, sistem yöneticileri, güvenlik uzmanları, yazılım geliştiricileri ve teknik destek uzmanları için vazgeçilmez bir araçtır.

PsFile
Hangi dosyaların uzaktan açılamadıklarını görme.

PsFile aracı, Microsoft Sysinternals Suite’in bir bileşenidir ve uzak bir bilgisayarda hangi dosyaların açık olduğunu göstermek için kullanılır. Bu araç, ağ üzerinde paylaşılan dosyaların hangilerinin ve kimler tarafından kullanıldığını belirlemek için kullanışlıdır.

PsFile‘ın temel özellikleri ve kullanım avantajları şunlardır:

  1. Uzaktaki Açık Dosyaları Görüntüleme: PsFile, uzaktaki bir bilgisayarda şu anda açık olan dosyaları listeler.
  2. Kullanıcı Bilgisi: Açık olan dosyaları hangi kullanıcının açtığını gösterir.
  3. Dosyaları Kapatma: Eğer gerekliyse, bu araçla uzaktaki açık dosyaları kapatabilirsiniz. Bu, bir dosya üzerinde bakım yapmanız veya bir güncelleme uygulamanız gerektiğinde özellikle kullanışlıdır.

PsFile aracının potansiyel kullanım senaryoları:

  1. Ağ Paylaşımlarının Yönetimi: Eğer bir ağ kaynağındaki dosya veya klasörü değiştirmeniz, taşımanız veya silmeniz gerekiyorsa, ancak bu dosya şu anda başka bir kullanıcı tarafından kullanılıyorsa, PsFile ile hangi kullanıcının dosyayı açık tuttuğunu belirleyebilir ve gerekirse bu dosyayı kapatabilirsiniz.
  2. Kaynak Kullanımının İzlenmesi: Hangi kullanıcıların hangi ağ kaynaklarını kullandığını izlemek için PsFile’dan yararlanabilirsiniz. Bu, özellikle büyük ağlarda kaynak kullanımının izlenmesi ve yönetilmesi için yararlıdır.
  3. Güvenlik İzlemesi: Eğer bir dosyanın izinsiz veya beklenmedik bir şekilde açıldığından şüpheleniyorsanız, PsFile ile bu dosyanın kim tarafından açıldığını kontrol edebilirsiniz.

Sonuç olarak, PsFile, ağ üzerindeki dosya erişimini ve kullanımını izlemek ve yönetmek için oldukça kullanışlı bir araçtır. Bu, sistem yöneticileri, ağ yöneticileri ve IT profesyonelleri için değerli bir araçtır.

PsTools
PsTools paketi, yerel veya uzak bilgisayarlarda çalışan işlemleri listelemek, işlemleri uzaktan çalıştırmayı, bilgisayarları yeniden başlatmayı, olay günlüklerini dökümlerini ve daha fazlasını içeren komut satırı yardımcı programlarını içerir.

PsTools paketi, Microsoft Sysinternals Suite’in bir parçası olarak sunulmuştur ve birçok komut satırı yardımcı programını içermektedir. Bu araçlar, Windows sistem yöneticileri için bir dizi işlemi yerine getirmek üzere tasarlanmıştır, özellikle uzaktaki makinelerdeki işlemlerle ilgili olarak. İşte bu araç setinin bazı ana bileşenleri ve ne işe yaradıklarına dair kısa açıklamalar:

  1. PsExec: Uzak bir bilgisayarda komut veya işlemleri çalıştırır.
    • Kullanım: Uzaktaki bir bilgisayarda Not Defteri’ni çalıştırmak.
    • Örnek: psexec \\uzak-pc notepad.exe
  2. PsFile: Uzaktaki bir bilgisayarda açık olan dosyaları gösterir ve kapatmaya izin verir.
    • Kullanım: Uzaktaki bilgisayarda açık olan dosyaları listelemek.
    • Örnek: psfile \\uzak-pc
  3. PsGetSid: Bir bilgisayarın SID (Güvenlik Tanımlayıcısı) değerini gösterir ya da SID değerine sahip olan kullanıcı/makine ismini sorgular.
    • Kullanım: Lokal bilgisayarın SID değerini sorgulamak.
    • Örnek: psgetsid
  4. PsInfo: Uzaktaki bir bilgisayarın sistem bilgisini toplar.
    • Kullanım: Uzaktaki bir bilgisayarın temel sistem bilgisini almak.
    • Örnek: psinfo \\uzak-pc
  5. PsKill: Uzaktaki bir bilgisayar üzerinde çalışan işlemleri sonlandırır.
    • Kullanım: Uzaktaki bir bilgisayarda çalışan “notepad.exe” işlemini sonlandırmak.
    • Örnek: pskill \\uzak-pc notepad
  6. PsList: Uzaktaki bir bilgisayar üzerinde çalışan işlemlerin detaylarını listeler.
    • Kullanım: Uzaktaki bir bilgisayarın çalışan tüm işlemlerini listelemek.
    • Örnek: pslist \\uzak-pc
  7. PsLoggedOn: Uzaktaki bir bilgisayar üzerinde şu anda oturum açmış olan kullanıcıları gösterir.
    • Kullanım: Uzaktaki bir bilgisayarda şu anda oturum açmış olan kullanıcıları görmek.
    • Örnek: psloggedon \\uzak-pc
  8. PsLogList: Uzaktaki bir bilgisayarın olay günlüklerini dökümünü alır.
    • Kullanım: Uzaktaki bir bilgisayarın uygulama olay günlüğünü dökümünü almak.
    • Örnek: psloglist \\uzak-pc -l uygulama
  9. PsPasswd: Uzaktaki bir bilgisayarda kullanıcı parolalarını değiştirir.
    • Kullanım: Uzaktaki bir bilgisayarda “kullaniciadi” adlı kullanıcının parolasını değiştirmek.
    • Örnek: pspasswd \\uzak-pc kullaniciadi yeni_parola
  10. PsPing: Ağ performansını test eder.
    • Kullanım: Google.com’a 10 ping göndermek.
    • Örnek: psping google.com -n 10
  11. PsService: Uzaktaki bir bilgisayar üzerinde çalışan servisleri görüntüler, kontrol eder ve yapılandırır.
    • Kullanım: Uzaktaki bir bilgisayarda çalışan tüm servisleri listelemek.
    • Örnek: psservice \\uzak-pc
  12. PsShutdown: Uzaktaki bir bilgisayarın kapanmasını, yeniden başlatılmasını veya oturum kapatmasını sağlar.
    • Kullanım: Uzaktaki bir bilgisayarı 60 saniye içinde yeniden başlatmak.
    • Örnek: psshutdown \\uzak-pc -r -t 60
  13. PsSuspend: Uzaktaki bir bilgisayar üzerinde çalışan işlemleri askıya alır veya askıdan kaldırır.
    • Kullanım: Uzaktaki bir bilgisayarda “notepad.exe” işlemini askıya almak.
    • Örnek: pssuspend \\uzak-pc notepad

Bu araçların her biri, IT profesyonelleri ve sistem yöneticileri için faydalıdır, çünkü uzaktaki makineleri yönetmek, izlemek ve hata ayıklamak için kullanılırlar. Genel olarak, PsTools paketi, ağ üzerindeki Windows makinelerini etkili bir şekilde yönetmek için bir dizi güçlü ve esnek araç sunar.

SDelete
Bu DoD uyumlu güvenli silme programını kullanarak hassas dosyalarınızın üzerine güvenli bir şekilde yazarak daha önce silinmiş olan dosyalardan boş alanlarınızı temizleyin.

SDelete, dosyaları ya da klasörleri silerken veya boş disk alanını temizlerken bilginin geri kazanılmasını zorlaştırmak için belirli bir algoritma ile üzerine yazma işlemi gerçekleştiren bir komut satırı aracıdır. DoD 5220.22-M standardına uygun olarak dosya içeriğini güvenli bir şekilde siler.

Kullanım Örnekleri:

  1. Bir Dosyayı Güvenli Bir Şekilde Silme:
    Eğer “gizli.txt” adlı bir dosyayı kalıcı olarak silmek isterseniz:
    • sdelete gizli.txt
  2. Bir Klasörü Güvenli Bir Şekilde Silme:
    “gizliKlasor” adlı bir klasörü kalıcı olarak silmek için:
    • sdelete -s gizliKlasor
  3. Boş Disk Alanını Temizleme:
    C: sürücüsündeki boş alanın üzerine yazarak eski silinmiş dosyaların geri getirilmesini engellemek için:
    • sdelete -z C:
  4. Dosyayı Belirli Sayıda Kez Üzerine Yazarak Silme:
    Eğer bir dosyanın üzerine 3 kez yazarak onu silmek isterseniz:
    • sdelete -p 3 gizli.txt

Not: Her zaman bu tür araçları kullanmadan önce önemli verilerinizin yedeğini alın. Özellikle boş alan temizleme gibi operasyonlarda, silinen verinin geri getirilmesi genellikle imkansızdır.

ShareEnum
Ağ üzerinde dosya paylaşımlarını tarayın ve güvenlik açıklarını kapatmak için güvenlik ayarlarını görüntün.

ShareEnum, bir ağda tanımlı olan tüm dosya ve yazıcı paylaşımlarını sıralar ve bu paylaşımların erişim hakları hakkında bilgi verir. Bu, sistem yöneticilerinin yanlışlıkla geniş erişim haklarına sahip paylaşımları tespit etmelerine yardımcı olabilir, böylece istenmeyen erişimleri engelleyebilirler.

Kullanım Örnekleri:

  1. Tüm Ağ Paylaşımlarını Tarayın:
    Belirli bir ağı veya çalışma grubunu taramak için:
    • ShareEnum \\<domain_adi>
  2. Paylaşımların Detaylı Bilgisini Gösterin:
    Paylaşımların detaylı bilgisiyle birlikte tarama yapmak için:
    • ShareEnum -detail \\<domain_adi>
  3. Güvenlik Riski Taşıyan Paylaşımları Filtreleyin:
    Yanlışlıkla geniş erişim haklarına sahip olan paylaşımları tespit edebilir ve bu paylaşımları ayrı bir listeleme olarak görüntüleyebilirsiniz. Bu, güvenlik risklerini azaltmak için kullanılabilir:
    • ShareEnum -danger \\<domain_adi>

Not: ShareEnum, grafik arayüze sahip bir araçtır. Yukarıda belirtilen komutlar genel bir fikir sunmak amacıyla verilmiştir. Aracı gerçek kullanımda, grafik arayüzü üzerinden çalıştırdığınızda, tüm özellikleri ve parametreleri kullanabileceğinizi unutmayın.

Sigcheck
Dosya sürümü bilgilerini döküm edin ve sisteminize ait görüntülerin dijital olarak imzalı olduğunu doğrulayın.

Sigcheck

Açıklama:
Sigcheck, Windows dosyalarının sürüm bilgilerini, tarihçesini, dijital imza bilgilerini ve daha fazlasını döküm eden bir Sysinternals aracıdır. Bu araç, dosyanın güvenilir bir kaynaktan geldiğini ve değiştirilmediğini doğrulamak için dosyaların dijital imzalarını kontrol eder.

Kullanım Örnekleri:

  1. Bir Dosyanın Sürüm ve İmza Bilgilerini Görüntüleme:
    “example.exe” dosyasının sürüm ve dijital imza bilgilerini görmek için:
    • sigcheck example.exe
  2. Bir Klasördeki Tüm Dosyaların İmza Bilgilerini Görüntüleme:
    “C:\exampleFolder” klasöründeki tüm dosyaların imza bilgilerini görmek için:
    • sigcheck -e -u C:\exampleFolder
  3. İmzasız Dosyaları Görüntüleme:
    Belirtilen klasördeki imzasız dosyaları görmek için:
    • sigcheck -u -e -vr C:\exampleFolder
  4. Dosyanın Tüm Sertifika Zincirini Görüntüleme:
    Bir dosyanın sertifika zincirini detaylı olarak görmek için:
    • sigcheck -i example.exe
  5. Tüm Sistem Sürücüsündeki İmzasız Dosyaları Görüntüleme:
    C: sürücüsündeki imzasız dosyaları taramak için:
    • sigcheck -u -e -vr C:\

Sigcheck aracı, potansiyel olarak şüpheli ya da tehlikeli dosyaları tespit etmek ve sisteminizin bütünlüğünü kontrol etmek için oldukça kullanışlıdır. Özellikle bilinmeyen ya da şüpheli dosyaların dijital imza bilgilerini doğrulayarak, bu dosyaların güvenilir bir kaynaktan gelip gelmediğini kontrol edebilirsiniz.

Akışlar
NTFS alternatif akışlarını ortaya çıkar.

Windows NTFS dosya sistemleri, “alternatif veri akışları” (Alternate Data Streams, ADS) adında bir özellik sunar. Bu, bir dosyanın içerisinde ekstra bilgi saklama yeteneğidir. Kötü niyetli yazılımlar ve kullanıcılar, bu özelliği saklanmış veri veya kod taşımak için kötüye kullanabilirler. “Akışlar” aracı, bir dosya veya klasör içindeki bu alternatif veri akışlarını tespit etmenizi sağlar.

Kullanım Örnekleri:

  1. Bir Klasördeki Alternatif Veri Akışlarını Görüntüleme:
    “C:\ornekKlasor” klasöründeki tüm dosyalar için alternatif veri akışlarını kontrol etmek isterseniz:
    • streams -s C:\ornekKlasor
  2. Bir Dosyadaki Alternatif Veri Akışlarını Görüntüleme:
    “ornekDosya.txt” dosyası için alternatif veri akışlarını kontrol etmek:
    • streams ornekDosya.txt
  3. Bir Klasörden Alternatif Veri Akışlarını Kaldırma:
    Eğer “C:\ornekKlasor” klasöründeki tüm dosyalardan alternatif veri akışlarını silmek isterseniz:
    • streams -s -d C:\ornekKlasor
  4. Bir Dosyadan Alternatif Veri Akışlarını Kaldırma:
    “ornekDosya.txt” dosyasından alternatif veri akışlarını silmek:
    • streams -d ornekDosya.txt

Alternatif veri akışları, çoğu kullanıcı tarafından bilinmeyen bir NTFS özelliğidir. Bu yüzden, güvenlik incelemeleri sırasında bu akışları kontrol etmek, gizlenmiş veya istenmeyen veri taşıyan dosyaları ortaya çıkarabilir. Ancak, bazı programlar bu özelliği meşru amaçlar için de kullanabilir, bu nedenle silmeden önce tespit edilen veri akışlarının önemini kontrol etmek önemlidir.

Eşitle
Önbelleğe alınmış verileri diske boşalt.

“Eşitle” (Sync), Windows’ta önbelleğe alınan (cache) dosya sistem verilerini fiziksel diske boşaltmak için kullanılır. Bu, veri kaybını önlemek için önemlidir, özellikle USB sürücüler, harici diskler veya ağ üzerinden bağlanan diğer depolama cihazlarıyla çalışırken.

Kullanım Örnekleri:

  1. Tüm Önbelleğe Alınmış Verileri Boşaltma:
    Tüm önbelleğe alınmış veriyi fiziksel disklere boşaltmak için:
    • sync
  2. Belirli Bir Diskin Önbelleğini Boşaltma:
    Eğer sadece “E:” sürücüsündeki önbelleğe alınmış veriyi boşaltmak isterseniz:
    • sync -e E:
  3. Sessiz Modda Önbelleği Boşaltma:
    Eğer herhangi bir onay istemeden ve sessizce önbelleği boşaltmak isterseniz:
    • sync -q
  4. Disk Sürücülerini Listeleme:
    Mevcut sürücüleri ve harflerini görüntülemek için:
    • sync -r

Eşitle (Sync) aracı, özellikle veri bütünlüğünü koruma amacıyla kullanılır. Önbelleğe alınan veri, fiziksel diske yazılmadığı sürece, ani bir güç kesintisi, sistem çökmesi veya benzeri durumlarda kaybolabilir. Bu yüzden, kritik veri transferlerinden veya değişikliklerden sonra bu aracı kullanarak önbelleğe alınmış verilerin fiziksel diske yazılmasını sağlamak iyi bir uygulamadır.

VolumeID
FAT veya NTFS sürücülerinin Birim Kimliğini ayarlayın.

“VolumeID” aracı, Windows’ta FAT veya NTFS dosya sistemine sahip sürücülerin Birim Kimliği (Volume ID) olarak da bilinen 4 baytlık değerini değiştirmenize olanak tanır. Bu kimlik, genellikle bir sürücünün benzersizliğini sağlamak için kullanılır. Ancak, bazen özel nedenlerle veya test amaçlı olarak bu kimliği değiştirmek isteyebilirsiniz.

Kullanım Örnekleri:

  1. Birim Kimliğini Görüntüleme:
    Birim kimliği doğrudan “VolumeID” aracı ile görüntülenemez, ancak “dir” komutunu kullanarak bir sürücünün kök dizinindeki bilgileri görebilirsiniz. Örneğin, “C:” sürücüsü için:
    • dir C:\
  2. Bir Sürücünün Birim Kimliğini Değiştirme:
    Eğer “E:” sürücüsünün birim kimliğini “1234-5678” olarak ayarlamak isterseniz
    • volumeid E: 1234-5678
  3. Değişikliği Kontrol Etme:
    Değişikliği yaptıktan sonra tekrar “dir” komutunu kullanarak yeni birim kimliğini kontrol edebilirsiniz:
    • dir E:\

Not: “VolumeID” aracını yönetici haklarıyla çalıştırmalısınız. Ayrıca, birim kimliği değiştikten sonra, bazen sistemdeki değişikliğin etkili olması için bilgisayarı yeniden başlatmanız gerekebilir.

Bir sürücünün birim kimliğini değiştirmek, bazı lisanslama mekanizmaları veya yazılım koruma şemaları için kullanılan bir yöntemi etkileyebilir. Bu yüzden, bu aracı kullanmadan önce neden ve nasıl kullanılacağına dair dikkatli bir değerlendirme yapmalısınız.

Ağ yardımcı programları

AD Gezgini
Active Directory gezgin, gelişmiş bir Active Directory (AD) Görüntüleyici ve düzenleyicidir.

“AD Gezgini” (Active Directory Explorer) Microsoft’un Sysinternals paketinin bir parçasıdır. Bu, Windows Active Directory yapısını görsel olarak gözlemlemenize, analiz etmenize ve düzenlemenize olanak tanır. LDAP (Lightweight Directory Access Protocol) üzerinden AD’ye bağlanır ve kullanıcılar, gruplar, OU’lar (Organizasyonel Birimler) ve diğer AD nesneleri üzerinde detaylı sorgular yapmanıza yardımcı olur.

Kullanım Örnekleri:

  1. Active Directory’ye Bağlanma:
    Başlat > AD Gezgini’ni seçerek programı başlatın. “Connect to…” seçeneğini tıklayarak AD sunucunuza bağlanın.
  2. Bir Nesneyi Görüntüleme:
    AD yapısında bir kullanıcı veya grup seçerek onun özelliklerini görüntüleyebilirsiniz.
  3. Snapshot Özelliği:
    AD’nin bir anlık görüntüsünü alabilir ve bu snapshot’u daha sonra offline olarak inceleyebilirsiniz. Bu, AD yapısındaki değişiklikleri takip etmek için kullanışlıdır.
  4. Sorgu Yapma:
    AD Gezgini, belirli bir nesne veya özellik için sorgu yapmanıza olanak tanır. Örneğin, belirli bir isimde bir kullanıcı arayabilirsiniz.
  5. Nesne Özelliklerini Düzenleme:
    Bir nesneyi (örneğin bir kullanıcıyı) seçerek, özelliklerini değiştirebilir, kullanıcıya ait bilgileri düzenleyebilirsiniz.
  6. Security Descriptor’ları Görüntüleme:
    Her AD nesnesinin güvenlik tanımlayıcısını (security descriptor) görüntüleyebilir, bu sayede nesneye erişim izinlerini inceleyebilirsiniz.

Notlar:

  • AD Gezgini’ni kullanmadan önce, AD’nin nasıl çalıştığına dair temel bir anlayışa sahip olmanız önerilir.
  • AD Gezgini, genellikle sistem yöneticileri veya IT profesyonelleri tarafından kullanılır, çünkü AD yapısında yanlışlıkla yapılan değişiklikler büyük sorunlara yol açabilir.
  • Her zaman değişiklik yapmadan önce yedekleme almak ve etkilenen kullanıcıları veya grupları bilgilendirmek iyi bir uygulamadır.

AD öngörüleri
AD öngörüleri, istemci uygulamaları Active Directory sorun gidermeye yönelik bir LDAP (Hafif Dizin Erişim Protokolü) gerçek zamanlı izleme aracıdır.

“AD Öngörüleri” (AD Insight) Microsoft Sysinternals araçlarından biridir. LDAP (Lightweight Directory Access Protocol) tabanlı Active Directory sorgularını gerçek zamanlı olarak izlemenizi ve analiz etmenizi sağlar. Bu, AD ile iletişim kuran istemci uygulamaları sorun giderme ve izleme ihtiyaçları için son derece kullanışlıdır.

Kullanım Örnekleri:

  1. AD’ye Gerçek Zamanlı Bağlantı:
    AD Öngörüleri’ni başlatın ve “Capture” seçeneği ile gerçek zamanlı izlemeyi başlatın. Bu, AD ile iletişim kuran uygulamaların LDAP sorgularını yakalar.
  2. Sorgu Detayları:
    İzleme sırasında belirli bir LDAP sorgusunu seçerek, bu sorgunun detaylarına ulaşabilirsiniz. Bu, sorgunun ne yaptığını, hangi bilgilere eriştiğini anlamanızı sağlar.
  3. Sorgu Filtreleme:
    Belirli bir uygulamanın veya sorgunun izlenmesi için filtreler oluşturabilirsiniz. Bu, karmaşık sistemlerde belirli bir problemi izole etmek için kullanışlıdır.
  4. Sorgu Yanıtlarını İzleme:
    LDAP sorgularının yanı sıra, AD’nin bu sorgulara nasıl yanıt verdiğini de görebilirsiniz. Bu, performans sorunları veya hatalı yanıtların kaynağını belirlemek için kullanışlıdır.
  5. Uygulama İzleme:
    Belirli bir uygulamanın AD ile nasıl iletişim kurduğunu görmek için AD Öngörüleri’ni kullanabilirsiniz. Bu, uygulamanın AD’yi nasıl kullandığını anlamak için değerlidir.

Notlar:

  • AD Öngörüleri, genellikle sistem yöneticileri veya IT profesyonelleri tarafından kullanılır. Active Directory ile iletişim kuran uygulamalarda sorun giderme veya performans izleme ihtiyaçları için son derece kullanışlıdır.
  • LDAP sorgularının ve yanıtlarının anlaşılması için temel LDAP ve Active Directory bilgisine ihtiyaç duyulur.

Adresdeposu
Sunucu 2003 Active Directory nesneleri silmeyi geri alın.

“Adresdeposu” ya da orijinal adıyla “ADRestore”, Microsoft’un Sysinternals Suite’inin bir parçasıdır. Windows Server 2003 ortamında Active Directory nesnelerini (örn. kullanıcılar, gruplar) silindikten sonra geri getirmenizi sağlayan bir komut satırı aracıdır. Windows Server 2003’te, silinen AD nesneleri aslında tamamen silinmez, ancak “tombstone” (mezar taşı) olarak işaretlenir. Adresdeposu, bu “tombstoned” nesneleri bulmanıza ve geri yüklemenize olanak tanır.

Kullanım Örnekleri:

  1. Silinen Nesneleri Listeleme:
    Komut satırını açın ve adrestore komutunu çalıştırarak silinen AD nesnelerinin listesini alabilirsiniz.
  2. Belirli Bir Nesneyi Geri Yükleme:
    Bir nesneyi geri yüklemek için, nesnenin sırasını kullanarak şu komutu kullanabilirsiniz:arduinoCopy codeadrestore -r "nesne_adı"
  3. Detaylı Bilgi:
    Silinen nesneler hakkında daha fazla bilgi almak için -v (verbose) seçeneğini kullanabilirsiniz:Copy codeadrestore -v

Notlar:

  • Adresdeposu, temel geri yükleme işlevselliği sağlar, ancak nesnenin tüm özelliklerini (örn. grup üyelikleri) geri getiremez. Daha gelişmiş geri yükleme ihtiyaçları için üçüncü taraf araçlara veya daha gelişmiş Active Directory geri yükleme çözümlerine başvurabilirsiniz.
  • Windows Server 2008 ve sonrası sürümler için Microsoft, Active Directory Geri Dönüşüm Kutusu özelliğini tanıttı, bu özellik sayesinde silinen nesneleri daha kolay bir şekilde geri yükleyebilirsiniz.
  • AD nesnelerini geri yüklerken dikkatli olmalısınız. İhtiyatlı olmadan yapılan geri yüklemeler, AD’de tutarsızlıklara neden olabilir. Geri yükleme yapmadan önce daima bir yedek almanız önerilir.

PipeList
Her kanal için en fazla örnek sayısı ve etkin örnekler de dahil olmak üzere, sisteminizdeki adlandırılmış kanalları görüntüler.

“PipeList” Microsoft Sysinternals Suite’in bir parçası olan komut satırı aracıdır. Windows’ta, “adlandırılmış kanallar” (named pipes) farklı işlemler arasında iletişim kurmak için kullanılan özel bir tür dosya sistemidir. PipeList, bu adlandırılmış kanalların bir listesini göstererek, hangi kanalların aktif olduğunu ve hangi uygulamaların bu kanalları kullandığını anlamanıza yardımcı olabilir.

Kullanım Örnekleri:

  1. Tüm Adlandırılmış Kanalları Listeleme:
    Basitçe komut satırını açın ve pipelist komutunu çalıştırın. Bu, aktif olan tüm adlandırılmış kanalların bir listesini gösterecektir.
  2. Etkin Örnekler ve Maksimum Örnek Sayısı:
    PipeList’in çıktısı, her adlandırılmış kanal için etkin örnek sayısını ve maksimum örnek sayısını da içerecektir. Bu bilgi, bir kanalın ne kadar yoğun kullanıldığını anlamanıza yardımcı olabilir.
  3. Güvenlik Araştırmalarında Kullanım:
    Bir malware veya kötü amaçlı bir yazılım, adlandırılmış kanallar üzerinden iletişim kurabilir. Bu nedenle, şüpheli bir aktiviteyi tespit etmek için PipeList’i kullanabilirsiniz.

Notlar:

  • Adlandırılmış kanallar, özellikle eski Windows uygulamalarında sıkça kullanılır, ancak günümüzde soket tabanlı iletişim daha yaygındır.
  • Bu aracın çıktısını anlamak için temel Windows sistem bilgisi gerekebilir. Eğer bir kanalın hangi uygulama veya hizmetle ilişkili olduğunu belirlemek istiyorsanız, başka Sysinternals araçlarıyla (örn. Process Explorer) bir kombinasyon kullanabilirsiniz.

PsFile
Hangi dosyaların uzaktan açıldığını görün.

PsFile, Microsoft Sysinternals Suite’ün bir parçasıdır. Bu komut satırı aracı, ağ üzerinden paylaşılan ve uzaktan açılan dosyaları görüntülemenize olanak tanır. Bu, bir sistem üzerindeki aktif dosya paylaşımlarının neler olduğunu belirlemek için kullanışlıdır. Ayrıca, isteğe bağlı olarak bu uzaktan açık dosyaları kapatma yeteneğine de sahiptir.

Kullanım Örnekleri:

  1. Tüm Uzaktan Açık Dosyaları Listeleme:
    Komut satırını açın ve basitçe psfile komutunu çalıştırın. Bu, sisteminizde uzaktan açılan tüm dosyaların bir listesini gösterecektir.
  2. Belirli bir Bilgisayardaki Uzaktan Açık Dosyaları Listeleme:
    Belirli bir bilgisayarda uzaktan açılan dosyaları görüntülemek için şu komutu kullanabilirsiniz:Copy codepsfile \\bilgisayar_adı
  3. Uzaktan Açık Dosyayı Kapatma:
    Eğer bir dosyanın uzaktan açık olduğunu belirler ve onu kapatmak isterseniz, dosya ID’sini kullanarak şu komutu kullanabilirsiniz:Copy codepsfile dosya_id

Notlar:

  • PsFile’i çalıştırmadan önce, doğru izinlere sahip olduğunuzdan emin olun. Özellikle uzaktan dosyaları kapatma yeteneği, hizmet kesintilerine neden olabileceği için dikkatlice kullanılmalıdır.
  • PsFile, uzaktan açık dosyalar hakkında bilgi almak için NetFileEnum API’sini kullanır. Bu nedenle, bu API’yi desteklemeyen bazı eski Windows sürümlerinde düzgün çalışmayabilir.
  • Ağ üzerindeki dosya etkinliğini izlerken, hangi kullanıcının bu dosyaları açtığını da görmek isteyebilirsiniz. Bu, özellikle ağ kaynaklarına kimlerin eriştiğini anlamak ve güvenlik denetimleri yapmak için yararlıdır.

PsPing
Ağ performansını ölçer.

PsTools
Padstools Suite, yerel veya uzak bilgisayarlarda çalışan işlemlerin listelenmesi, işlemlerin uzaktan çalıştırılması, bilgisayarların yeniden başlatılması, olay günlüklerinin dökümünü yapmak ve daha fazlası için komut satırı yardımcı programları içerir.

ShareEnum
Ağınızdaki dosya paylaşımlarını tarayın ve güvenlik boşluklarını kapatmak için güvenlik ayarlarını görüntüleyin.

TCPView
Etkin yuva komut satırı Görüntüleyici.

WHOIS
Internet adresine sahip kim olduğunu görün.

İşlem Yardımcı Programları

Autoruns
Sisteminiz başlatıldığında ve oturum açtığınızda hangi programların otomatik olarak başlat yapılandırıldıklarına bakın. Otomatik çalıştırmalar, uygulamaların otomatik başlatma ayarlarını yapılandıranın kayıt defteri ve dosya konumlarının tam listesini de gösterir.

Işlemek
Bu kullanışlı komut satırı yardımcı programı, hangi işlemlerin hangi dosyaların açık olduğunu ve çok daha fazlasını gösterir.

ListDLL’ler
Yüklendikleri yer ve sürüm numaraları da dahil olmak üzere, o anda yüklü olan tüm URL’leri listele. Sürüm 2.0, yüklenen modüllerin tam yol adlarını yazdırır.

PortMon
Bu gelişmiş izleme aracıyla seri ve paralel bağlantı noktası etkinliğini izleme. Tüm standart seri ve paralel IOCTL’leri bilir ve hatta size gönderilen ve alınan verilerin bir kısmını gösterir. Sürüm 3.x güçlü yeni kullanıcı arabirimi geliştirmeleri ve gelişmiş filtreleme özelliklerine sahip.

ProcDump
Bu yeni komut satırı yardımcı programı, ANI CPU artışlarını yalıtmak ve yeniden oluşturmak için zor olmayan işlem dökümlerini yakalamayı hedeflemektedir. Ayrıca genel bir işlem dökümü oluşturma yardımcı programı olarak görev gelir ve bir işlem askıda olduğunda veya işleniyor özel durumu olduğunda işlem dökümlerini izleyebilir ve oluşturur.

İşlem Gezgini
Hangi dosyaların, kayıt defteri anahtarlarının ve diğer nesne işlemlerinin açık olduğunu, hangi URL’leri yüklemiş olduklarını ve daha fazlasını bulun. Bu benzersiz güçlü yardımcı program, her bir işleme kimin sahip olduğunu bile gösterir.

İşlem İzleyicisi
Dosya sistemi, Kayıt defteri, işlem, iş parçacığı ve DLL etkinliğini gerçek zamanlı olarak izleme.

PsExec
İşlemleri uzaktan yürütün.

PsGetSid
Bir bilgisayarın veya kullanıcının SID’lerini görüntüler.

PsKill
Yerel veya uzak işlemleri sonlandırma.

PsList
İşlemler ve iş parçacıklarıyla ilgili bilgileri gösterme.

PsService
Hizmetleri görüntüleme ve denetleme.

PsSuspend
İşlemleri askıya alma ve sürdürme.

PsTools
PsTools paketi, yerel veya uzak bilgisayarlarda çalışan işlemleri listelemek, işlemleri uzaktan çalıştırmayı, bilgisayarları yeniden başlatmayı, olay günlüklerini dökümlerini ve daha fazlasını içeren komut satırı yardımcı programlarını içerir.

ShellRunas
Kolay bir kabuk bağlam menüsü girişi aracılığıyla programları farklı bir kullanıcı olarak başlatma.

VMMap
Bir işlem tarafından işlenen sanal bellek türlerinin dökümünü ve işletim sistemi tarafından bu türlere atanan fiziksel bellek miktarını (çalışma kümesi) görme. İşlem belleği kullanımının kaynaklarını ve uygulama özelliklerinin bellek maliyetini belirleme.

Güvenlik Yardımcı Programları

AccessChk
Bu araç, belirttiğiniz kullanıcı veya grubun dosyalara, Kayıt defteri anahtarlarına veya Windows hizmetlerine erişim düzeyini gösterir.

AccessEnum
Bu basit ancak güçlü güvenlik aracı, sistemlerinizde dizinlere, dosyalara ve Kayıt defteri anahtarlarına kimlerin hangi erişime sahip olduğunu gösterir. İzinlerinizdeki boşlukları bulmak için kullanın.

Autologon
Oturum açma sırasında parola ekranını atla.

Autoruns
Sisteminiz önyükleme yapıp oturum açtığınızda hangi programların otomatik olarak başlatacak şekilde yapılandırıldığını görün. Otomatik çalıştırmalar, uygulamaların otomatik başlatma ayarlarını yapılandırabileceği Kayıt defteri ve dosya konumlarının tam listesini de gösterir.

LogonSessions
Etkin oturum açma oturumlarını listeleme

İşlem Gezgini
Hangi dosyaların, kayıt defteri anahtarlarının ve diğer nesne işlemlerinin açık olduğunu, hangi DLL’leri yüklediklerini ve daha fazlasını öğrenin. Bu benzersiz güçlü yardımcı program, her işlemin sahibini bile gösterecektir.

PsExec
İşlemleri sınırlı kullanıcı haklarıyla yürütür.

PsLoggedOn
Sistemde oturum açmış olan kullanıcıları gösterin.

PsLogList
Olay günlüğü kayıtlarının dökümünü al.

PsTools
PsTools paketi, yerel veya uzak bilgisayarlarda çalışan işlemleri listelemek, işlemleri uzaktan çalıştırmak, bilgisayarları yeniden başlatmak, olay günlüklerini döküme atmak ve daha fazlası için komut satırı yardımcı programları içerir.

Rootkit Revealer
RootkitRevealer, gelişmiş bir rootkit algılama yardımcı programıdır.

SDelete
Bu DoD uyumlu güvenli silme programını kullanarak hassas dosyalarınızın üzerine güvenli bir şekilde yazın ve daha önce silinmiş dosyaların boş alanını temizleyin.

ShareEnum
Ağınızdaki dosya paylaşımlarını tarayın ve güvenlik açıklarını kapatmak için güvenlik ayarlarını görüntüleyin.

ShellRunas
Uygun bir kabuk bağlam menüsü girişi aracılığıyla programları farklı bir kullanıcı olarak başlatın.

Sigcheck
Dosya sürümü bilgilerini döküm edin ve sisteminizdeki görüntülerin dijital olarak imzalandığını doğrulayın.

Sysmon
Windows olay günlüğü aracılığıyla temel sistem etkinliğini izler ve raporlar.

Sistem Bilgileri Yardımcı Programları

Autoruns
Sisteminiz başlatıldığında ve oturum açtığınızda hangi programların otomatik olarak başlat yapılandırıldıklarına bakın. Otomatik çalıştırmalar, uygulamaların otomatik başlatma ayarlarını yapılandıranın kayıt defteri ve dosya konumlarının tam listesini de gösterir.

ClockRes
Aynı zamanda en yüksek zamanlayıcı çözünürlüğü olan sistem saatinin çözünürlüğünü görüntüleme.

Coreinfo
Coreinfo, mantıksal işlemcilerle fiziksel işlemci, NUMA düğümü ve üzerinde bulunduğu yuva ile her mantıksal işlemciye atanan önbelleğin eşlemesini gösteren bir komut satırı yardımcı programıdır.

Işlemek
Bu kullanışlı komut satırı yardımcı programı, hangi işlemlerin hangi dosyaların açık olduğunu ve çok daha fazlasını gösterir.

LiveKd
Canlı sistemi incelemek için Microsoft çekirdek hata ayıklayıcılarını kullanın.

LoadOrder
WinNT/2K sisteminize cihazların yüklenme sırasına bakın.

LogonSessions
Sistem üzerinde etkin oturum açma oturumlarını listele.

Pendmoves
Bir sonraki önyüklemede yürütülecek dosya yeniden adlandırma ve silme komutlarının listesini listele.

İşlem Gezgini
Hangi dosyaların, kayıt defteri anahtarlarının ve diğer nesne işlemlerinin açık olduğunu, hangi URL’leri yüklemiş olduklarını ve daha fazlasını bulun. Bu benzersiz güçlü yardımcı program, her bir işleme kimin sahip olduğunu bile gösterir.

İşlem İzleyicisi
Dosya sistemi, Kayıt defteri, işlem, iş parçacığı ve DLL etkinliğini gerçek zamanlı olarak izleme.

ProcFeatures
Bu uygulama, fiziksel Windows ve Yürütme Yok arabellek taşması koruması için işlemci ve destek sağlar.

PsInfo
Bir sistem hakkında bilgi alın.

PsLoggedOn
Sistemde oturum açan kullanıcıları gösterme

PsTools
PsTools paketi, yerel veya uzak bilgisayarlarda çalışan işlemleri listelemek, işlemleri uzaktan çalıştırmayı, bilgisayarları yeniden başlatmayı, olay günlüklerini dökümlerini ve daha fazlasını içeren komut satırı yardımcı programlarını içerir.

RAMMap
Kullanım bilgilerini birkaç farklı sekmede farklı şekillerde sunan gelişmiş bir fiziksel bellek kullanım analizi yardımcı programı.

WinObj
Nihai Nesne Yöneticisi ad alanı görüntüleyicisi buradadır.

Çeşitli Yardımcı Programları

AD Gezgini
Active Directory Gezgini, gelişmiş bir Active Directory (AD) görüntüleyicisi ve düzenleyicisidir.

AdRestore
Server 2003 etki alanlarında kaldırıldı işareti kaldırıldı Active Directory nesnelerini geri yükleyin.

Autologon
Oturum açma sırasında parola ekranını atla.

BgInfo
Bu tam olarak yapılandırılabilir program, IP adresleri, bilgisayar adı, ağ bağdaştırıcıları ve daha fazlası dahil olmak üzere sistem hakkında önemli bilgileri içeren masaüstü arka planlarını otomatik olarak oluşturur.

Bluescreen
Bu ekran koruyucu yalnızca Mavi Ekranların simülasyonunu yapmakla kalmaz, aynı zamanda yeniden başlatma simülasyonu da (CHKDSK ile tamamlanmıştır) ve Windows Vista, Server 2008 ve üzeri sürümlerde çalışır.

Ctrl2cap
Bu, caps-lock’ları denetim tuşlarına dönüştürmek için klavye sınıfı sürücüsünün hemen üzerinde klavye girişi filtrelemeyi gösteren bir çekirdek modu sürücüsüdür. Bu düzeyde filtreleme, ANAHTARLARın NT tarafından “görülmesinden” önce dönüştürülmesini ve gizlenmesini sağlar. Ctrl2cap, iletileri mavi ekrana başlatmaya yazdırmak için NtDisplayString() özelliğinin nasıl kullanılacağını da gösterir.

DebugView
Sysinternals’tan bir ilk daha: Bu program, cihaz sürücüleri tarafından DbgPrint’e yapılan çağrıları ve Win32 programları tarafından yapılan OutputDebugString çağrılarını durdurur. Etkin bir hata ayıklayıcı olmadan yerel makinenizde veya İnternet genelinde hata ayıklama oturumu çıkışını görüntülemeye ve kaydetmeye olanak tanır.

Masaüstü Bilgisayarlar
Bu yeni yardımcı program, en fazla dört sanal masaüstü oluşturmanıza ve her masaüstünde neler olduğunu önizlemek ve aralarında kolayca geçiş yapmak için tepsi arabirimini veya kısayol tuşlarını kullanmanızı sağlar.

Hex2dec
Onaltılık sayıları ondalık sayıya ve tam tersi olarak dönüştürün.

Notmyfault
Notmyfault, Windows sisteminizde çekirdek bellek sızıntılarına neden olmak, kilitlenmek, askıda kalma ve buna neden olmak için kullanabileceğiniz bir araçtır.

PsLogList
Olay günlüğü kayıtlarının dökümünü al.

PsTools
PsTools paketi, yerel veya uzak bilgisayarlarda çalışan işlemleri listelemeye, işlemleri uzaktan çalıştırmaya, bilgisayarları yeniden başlatmaya, olay günlüklerinin dökümünü atmaya ve daha fazlasına yönelik komut satırı yardımcı programlarını içerir.

RegDelNull
Standart Kayıt Defteri düzenleme araçları tarafından aksi halde silinemeyen katıştırılmış null karakterler içeren Kayıt defteri anahtarlarını tarayın ve silin.

Kayıt Defteri Kullanımı (RU)
Belirtilen kayıt defteri anahtarı için kayıt defteri alanı kullanımını görüntüleyin.

RegJump
Regedit’te belirttiğiniz kayıt defteri yoluna atlayın.

Dizeler
İkili görüntülerde ANSI ve UNICODE dizelerini arayın.

ZoomIt
Ekranda yakınlaştırma ve çizim için sunu yardımcı programı.