Программа TCPView v 4.17
Для получения различной информации об IP-сетях — подключенных устройствах, открытых/закрытых сетевых портах, общедоступных файлов/папок и т.д. — широко используются программные IP-сканеры. Эти специализированные утилиты помогают системным администраторам тонко настраивать и устранять ошибки в работе сетей, специалистам по кибербезопасности — обнаруживать уязвимые места («дыры») в системах защиты компьютерных сетей.
Простым пользователям IP-сканеры могут пригодиться для настройки небольших проводных и беспроводных локальных сетей, управления подключенными к сети устройствами, организации общего доступа к файлам и папкам. Далее мы рассмотрим популярные программы для сканирования IP-сетей для компьютеров под управлением Windows.
Использование программы TCPView
При запуске программа TCPView перечисляет все активные конечные точки TCP и UDP, разрешая все IP-адреса в их версиях доменных имен. Для переключения отображения разрешенных имен можно использовать кнопку или пункт меню на панели инструментов. Программа TCPView отображает имя процесса, владеющего каждой конечной точкой, включая имя службы (если есть).
По умолчанию программа TCPView обновляется каждую секунду, но можно использовать Параметры | Пункт меню «частота обновления» для изменения скорости. Конечные точки, изменяющие состояние с одного обновления на другое, выделены желтым цветом; удаленные элементы отображаются красным цветом, а новые конечные точки отображаются зеленым цветом.
Вы можете закрыть установленные подключения TCP/IP (отмеченные состоянием установлено), выбрав файл | Закройте подключенияили щелкните правой кнопкой мыши подключение и выберите пункт Закрыть подключения из полученного контекстного меню.
Окно вывода программы TCPView можно сохранить в файл с помощью пункта меню сохранить .
GabNetStats
Gab NetStats – портативная программа для устройств Microsoft Windows, которая позволяет отслеживать потребляемый трафик и другие показатели. Программа запустилась без сбоев на всех тестовых системах и сразу же приступила к отслеживанию трафика.
Левый клик по иконки системного трея открывает график и статистику по трафику. Виджет закрывается автоматически через пять секунд, но вы можете изменить данное поведение и активировать постоянное отображение виджета на рабочем столе.
Программа отслеживает отправленные и полученные байты данных, среднюю скорость подключения и многие другие параметры. Выберите расширенную статистику (Advanced Statistics), чтобы посмотреть общее количество полученных и отправленных пакетов, количество маршрутов и IP-адресов, а также информацию о конфигурации TCP/IP.
Использование Alchemy Eye для мониторинга состояния сети и контроля ее безопасности
Alchemy Eye – средство мониторинга состояния серверов в сети с богатыми возможностями. Ниже показано, как реализуются сценарии, описанные в предыдущих разделах, посредством этой программы.
Прежде всего, чтобы обеспечить непрерывность мониторинга, нужно запустить программу как NT-службу (установить ее в Файл>Настройки>NT-служба, затем запустить из Панели управления Windows ). После запуска службы появится иконка в области уведомлений (системном трее), по клику на ней откроется главное окно программы, где и нужно создать необходимые проверки.
Alchemy Eye позволяет создавать любое количество объектов мониторинга («сервер» в терминах программы, но пусть это вас не смущает: одному физическому серверу может соответствовать любое количество объектов мониторинга). Каждому объекту мониторинга соответствует проверка одного типа для одного компьютера.
Чтобы добавить проверку в программ, откройте диалог создания нового сервера (меню «Сервер>Добавить сервер>Новый») – рис 1. На основной закладке этого диалога нужно задать логическое имя для объекта мониторинга, интервал между проверками, и тип проверки.
Рис.1. Выбор типа проверки сервера.
Скриншот на рис.1 может продемонстрировать лишь небольшое количество типов проверок, доступных в программе (полный список вы можете посмотреть самостоятельно). Для ориентировки можно привести соответствия между задачами, описанными выше, и некоторыми проверками, доступными в Alchemy Eye:
- Проверка физической доступности оборудования: ICMP, UDP, трассировка маршрута (traceroute).
- Проверка работоспособности служб и сервисов, запущенных в сети: все стандартные протоколы (POP/SMTP, DNS, DHCP, HTTP /FTP), подключение к базам данных (Oracle, MySQL, MS SQL Server, или любая БД, доступная через источники данных ODBC). Кроме того, Alchemy Eye предоставляет мощное средство для проверки нестандартных серверов – TCP-скрипт. В этой проверке можно описать достаточно сложную логику подключения к порту сервера, отсылки ему любых строк-команд и тестирования ответов.
- Проверка нагрузки сети и отдельных служб: можно использовать проверку стандартных переменных SNMP MIB (Management Information Base) – программа не только позволяет контролировать их, но и предоставляет дерево-список всех доступных в MIB переменных (рис. 2). Счетчики производительности для Windows-машин доступны «из коробки» (рис. 3), а сходная функциональность для nix-серверов – в виде бесплатного плагина на сайте производителя.
- Проверка специфических параметров* для данного окружения: список проверок включает и SQL-запросы с проверкой результата, и анализ лог-файлов (в том числе на удаленных компьютерах), и еще более специфичные проверки (например, анализ значений ключей реестра или журнала событий Windows).
- Проверка состояния уязвимых объектов: сюда можно отнести подключение по TCP/IP к любому порту удаленного компьютера, проверка прав доступа к различным файлам и папкам (права могут быть изменены злоумышленником или некачественным ПО), проверка количества файлов в определенной папке и сравнения файла по содержимому с эталоном.
Рис.2. Браузер дерева MIB – выбор переменной для SNMP-мониторинга.
Рис.3. Браузер счетчиков производительности Windows – выбор параметра для мониторинга.
В случае сложных окружений, для которых недостаточно встроенных проверок, можно использовать одну из возможностей расширения, доступных в Alchemy Eye: запуск скриптовых функций (VBScript, JavaScript, ActivePerl) или внешних приложений, а так же подсистему плагинов.
После выбора типа проверки нужно задать ее параметры – как правило, они включают адрес проверяемого сервера и несколько других, очевидных либо в деталях объясняемых всплывающими подсказками. На рис.4 показана страница выбора параметров ICMP-проверки.
Если проверка является критичной (ее несрабатывание требует немедленного внимания технических специалистов), в этом же диалоге необходимо настроить уведомления: Alchemy Eye может отсылать их с помощью электронной почты, ICQ/MSN (обратите внимание, что в настройках программы должен быть настроен доступ к соответствующим аккаунтам) или сообщениями локальной сети (net send).
Когда объекты мониторинга созданы, главное окно Alchemy Eye само по себе становится инструментом анализа текущей ситуации, наглядно отображая состояния серверов (рис.5). Если заданных проверок больше чем 4-5 (и к тому же, они имеют разную степень критичности), лучше всего разбить их по папкам (впоследствии это даст дополнительные «приятности», вроде возможности сгенерировать отчеты только для проверок из конкретной папки).
Рис.5. Главное окно Alchemy Eye – мониторинг серверов (3 успешных проверки, 1 сбой).
Все проверки Alchemy Eye «бинарные» (проверка либо прошла, либо нет), но на количество однотипных проверок никаких ограничений не накладывается. Таким образом, встроенных средств программы вполне достаточно для реализации сложных сценариев: например, две независимые проверки загрузки процессора одного и того же сервера – одна будет «ловить» загрузку выше 95% и немедленно сообщать о проблеме техническим специалистам, а другая – загрузку выше 80% для статистического учета и последующего анализа.
Задачи этого рода (учет и анализ) в Alchemy Eye решаются с помощью встроенных отчетов (меню Отчеты). Стоит учесть, что вся статистика выполненных программой проверок и их результатов записывается в стандартной форме в файл stat.csv в папке программы, данные из него можно использовать для последующего анализа (Alchemy Eye позволяет подключать сторонние программы-анализаторы в качестве генераторов отчетов – подробная инструкция имеется в справке программы).
Напоследок хотелось бы заметить, что даже при наличии качественного программного средства разработка работающей системы мониторинга крупной сети и контроля ее безопасности (читай – выбор необходимого количества и типов проверок) является серьезной инженерной задачей, требующей вдумчивого подхода. Две основных цели, о которых не следует забывать при конфигурации системы мониторинга:
- создать достаточное количество проверок для обеспечения высокой степени надежности;
- не слишком увлечься количеством и частотой проверок, чтобы избежать перегрузок оборудования, но в первую очередь – специалистов, в чьи обязанности входит анализ результатов мониторинга.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Мониторинг сети в Windows
Бесплатные программы для мониторинга сети в Windows. При помощи данных средств, пользователь сможет объективно оценить пропускную способность подключения, измерить скорость подключения в любой сети. Другие инструменты позволяют пакеты TCP / IP, проходящие через сетевой адаптер, отслеживать сетевые компоненты и много другого.
The Dude — бесплатная программа мониторинга сети, в программе реализовано применение новых «MikroTik» которые могут значительно улучшить ваши пути, управлять вашей сетевой средой. Dude автоматически сканирует все устройства в указанных подсетях, рисует макет вашей карты сети, проводит мониторинг служб Вашего устройства и предупреждает Вас в случае, если у некоторых служб есть проблемы.
PRTG Network Monitor — сетевой монитор, мощное решение сетевого мониторинга от компании Paessler AG. Программа обеспечивает доступность сетевых компонентов, а также меры с наблюдением и их использованием. Это экономит затраты, избегая простоев, оптимизации соединения, экономя время и контроль соглашений об уровне обслуживания (SLA). PRTG Network Monitor следующее поколения инструментов мониторинга, который комбинирует весь опыт компании сетевого мониторинга Paessler с современным AJAX сервисного интерфейса и новым современным движком мониторинга, который предназначен для сетей любого размера.
Nmap — является свободным и открытым исходным кодом (бесплатная лицензия) утилита для разведки сети или аудита безопасности. Многие сетевые администраторы также могут найти его полезным для таких задач, как Network Inventory, управление графиком, повышения класса обслуживания, а также мониторинг хоста.. Nmap использует необработанные пакеты IP в новых способах определения, какие хосты доступны в сети, какие услуги (имя приложения и версию) эти узлы предлагают, под какими операционными системами (и версиями ОС) они работают, какой тип пакета фильтры / брандмауэры находятся в использовании, и десятки других характеристик.
NetWorx — является простым и бесплатным, но мощный инструмент, который позволяет объективно оценить пропускную способность вашего подключения. Вы можете использовать его, чтобы собирать данные о пропускной способности подключения и измерить скорость вашего интернета или любого другого сетевого подключения. NetWorx может помочь вам определить возможные источники проблем в сети, убедитесь, что вы не превышаете пределы пропускного канала, полученным от вашего провайдера, или можете отслеживать подозрительные характерные признаки сетевой активности троянских коней и атак хакеров.
3Com Network Supervisor 4.0.1 (ознакомительная версия)
Компания-разработчик: 3Com
Утилита 3Com Network Supervisor — это, пожалуй, самый мощный и удобный инструмент сетевого мониторинга из всех, что нам пришлось просмотреть при подготовке обзора. Данный программный продукт сочетает в себе простоту установки и настройки, максимальную информативность и удобный, интуитивно понятный интерфейс. Хотя компания 3Com, являющаяся одним из лидеров по производству сетевого оборудования, выпустила эту утилиту прежде всего для сетей, построенных на основе компонентов ее собственного производства, однако этот программный продукт может успешно работать и с сетевым оборудованием других производителей. Главным достоинством утилиты 3Com Network Supervisor, на наш взгляд, является ее способность отображать структуру сети по результатам ее автоматического сканирования (рис. 18), что облегчает работу сетевых администраторов крупных ЛВС, а если сеть небольшая, то может способствовать более детальному анализу ее структуры.
Следует отметить, что при сканировании локальной сети программа выявляет разного рода конфликты и ошибки в структуре сети, о чем сообщает пользователю. С помощью данной утилиты можно осуществлять мониторинг как состояния ЛВС в целом, так и каждого отдельного узла сети, оперативно локализуя и выявляя перегруженные участки сети и причину возникновения этих стрессовых ситуаций. Программный продукт 3Com Network Supervisor предоставляет удобные средства для оценки работы основных сетевых сервисов и протоколов каждого узла ЛВС (хотя здесь следует оговориться, что анализируются протоколы, свойственные Windows-сетям), давая администраторам возможность выбирать состав сервисов и протоколов, по которым будет проводиться мониторинг (рис. 19).
О возникновении стрессовой ситуации утилита предупреждает пользователя звуковым сигналом и изменением цвета индикатора соответствующего сетевого узла. При этом существует возможность гибко настроить пороговое значение состояния стресса, то есть выбрать период времени, в течение которого сетевой узел находится в том или ином критическом состоянии, чтобы избежать трактовки кратковременных сбоев (или иного события) как стрессового состояния узла.
К стрессовым состояниям узла относятся превышение определенного уровня трафика и разного рода некорректности в работе по тому или иному протоколу, причем утилита 3Com Network Supervisor указывает возможные причины возникновения подобной ситуации. Интересно, что при наличии у узла работающего Web-сервера можно получить к нему доступ по протоколу http, сделав двойной клик на иконке этого узла. Также следует отметить, что программа ведет журнал статистики (вход через основное меню или через кнопку All Events на панели инструментов), где отображаются все важные (стрессовые) события, произошедшие за время наблюдения за сетью (с указанием даты и времени), а также указывается, разрешилась ли данная ситуация для узла либо он продолжает работать в стрессовом режиме.
Сервисные программы Sysinternals
Сервисные программы Sysinternals помогают как специалистам по информационным технологиям, так и разработчикам управлять, находить и устранять неисправности и выполнять диагностику приложений и операционных систем Windows.
Служебные программы для работы с файлами и дисками
Служебные программы для просмотра и наблюдения за доступом к файлам и дискам и их использованием.
FileMon
Программа FileMon работает в системах NT 4.0, Windows 2000, Windows XP, Windows XP и Windows Server 2003 64-bit Edition, Windows 2003 Server, Windows 95, Windows 98 и Windows ME.
Примечание: Программа Filemon заменена программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программы Filemon and Regmon оставлены для поддержки устаревших операционных систем, включая и Windows 9x.
Введение
Программа FileMon отслеживает и отображает в реальном времени все операции с файловой системой. Это мощный инструмент, позволяющий наблюдать, как работает система Windows, отслеживать, как приложения используют файлы и библиотеки DLL, а также решать проблемы, связанные с настройкой файлов системы или приложений. Программа Filemon точно отмечает время выполнения операций открытия, чтения, записи или удаления файла или каталога. В столбце состояния выводится результат выполнения каждой из этих операций. Стоит отметить простоту в использовании программы FileMon. Сразу после запуска FileMon начинает отслеживание, а ее выходные данные можно сохранить в файл для автономного просмотра. В программе реализованы все возможности для поиска, а если вам кажется, что она выводит слишком много информации, просто настройте один или несколько фильтров.
File Monitor
Установка и использование
Для запуска программы необходимо иметь права администратора. FileMon работает без установки, запустите программу двумя щелчками мыши по файлу filemon.exe. Когда программа запускается в первый раз, она отслеживает все локальные жесткие диски. Чтобы очистить окно программы, выбрать или удалить тома для наблюдения, включая сетевые тома (Windows NT/2K/XP), сохранить полученные данные в файл, а также отфильтровать выходные данные или выполнить по ним поиск, можно воспользоваться командами меню, сочетаниями клавиш или кнопками панели инструментов.
Если при последнем запуске FileMon были настроены какие-либо фильтры, при следующем запуске программа попросит подтвердить их использование. Чтобы запустить FileMon без запроса подтверждения, достаточно указать в командной строке параметр /q. После запуска программа автоматически начинает регистрировать операции с файловой системой. Чтобы запустить FileMon, отключив запись операций, нужно указать в командной строке параметр /o.
Когда события записываются в выходные данные, им присваиваются последовательные номера. Если внутренние буферы Filemon переполнены, что случается при слишком большом количестве операций, в последовательности номеров появляются промежутки.
Каждый раз, когда вы выходите из FileMon, программа запоминает настроенные фильтры, положение окна и ширину столбцов выходных данных.
Фильтрация
В диалоговом окне Filemon filter (Filemon Фильтр), которое открывается с помощью кнопки на панели инструментов или команды меню Options — Filter/Highlight (Параметры — Фильтр/Выделение), можно указать, какие данные должны отображаться в списке. Знак подстановки * соответствует произвольной строке; фильтры не зависят от регистра букв. В списке отображаются только те данные, которые определены во включающем фильтре (Include) и при этом не определены в исключающем фильтре (Exclude). Строки в фильтре разделяются точкой с запятой, например: opera;winamp;explorer. Примечание для Windows NT и 2000. Поскольку ввод и вывод для файловой системы выполняются асинхронно, фильтрацию по полю результатов выполнить нельзя.
File Monitor Filter
Например, если настроены включающий фильтр c:\temp и исключающий фильтр c:\temp\подкаталог, программа будет отслеживать обращения ко всем файлам и каталогам в папке c:\temp, за исключением тех, которые находятся в папке c:\temp\подкаталог.
С помощью знаков подстановки можно задавать сложные образцы для сопоставления, что позволяет, к примеру, отслеживать обращения к конкретным файлам со стороны конкретных приложений. Так, если настроен включающий фильтр Winword*Windows, программа FileMon будет показывать только обращения приложения Microsoft Word к файлам и каталогам, в имени которых есть слово Windows.
С помощью фильтра выделения (Highlight) можно указать, какие строки в списке следует выделить цветом. Цвета для выделения задаются с помощью пункта меню Options — Highlight Colors (Параметры — Цвета выделения).
File Monitor Highlight
Дополнительные параметры фильтрации позволяют выбрать или исключить операции чтения, записи или открытия, а также выводить логи успехов и ошибок при чтении файлов. Например, при работе над устранением неполадок часто представляют интерес только операции открытия файлов или каталогов.
Выбор томов (Windows NT/2K/XP/2K3)
Для выбора или исключения томов для отслеживания необходимо использовать меню Volumes (Тома). Чтобы отслеживать доступ к любым сетевым ресурсам, включая удаленные общие папки и доступ по пути UNC к удаленным томам, можно воспользоваться пунктом Network (Сеть) этого меню.
Ограничение объема выходных данных
Диалоговое окно History Depth (Число записей), которое можно открыть с помощью соответствующей кнопки на панели инструментов или пункта меню Options — History Depth (Параметры — Число записей), позволяет указать максимальное количество строк в окне вывода. Значение 0 означает отсутствие ограничений.
Поиск по выходным данным
Выполнить поиск нужных строк в окне вывода можно с помощью команды меню Edit — Find. (Правка — Поиск) или соответствующей кнопки на панели инструментов. Поиск в прямом направлении можно повторять с помощью клавиши F3, а в обратном — с помощью сочетания клавиш Shift+F3. Чтобы начать поиск с конкретной строки выходных данных, необходимо выделить ее, щелкнув самое левое поле этой строки (порядковый номер). Если ни одна строка не выделена, новый поиск начинается с первой (при выполнении поиска сверху вниз) или последней (при выполнении поиска снизу вверх) записи.
Параметры
Программа FileMon может показывать либо время выполнения операций, либо их длительность. Меню Options (Параметры) и кнопка с изображением часов на панели инструментов позволяют переходить из одного режима в другой. В зависимости от текущего режима на панели инструментов изображается значок часов или секундомера. Если установлен режим показа длительности операции, то значение в поле Time (Время) соответствует числу секунд, которое потребовалось файловой системе для обслуживания конкретного запроса. Команда меню Options — Show Milliseconds (Параметры — Показывать миллисекунды) позволяет отображать время с точностью до миллисекунд.
Чтобы окно FileMon всегда отображалось поверх остальных окон, достаточно выбрать команду меню Options — Always On Top (Параметры — Поверх остальных окон). Кроме того, с помощью команды меню Options — Auto Scrol (Параметры — Автопрокрутка) или соответствующей кнопки на панели инструментов можно указать, чтобы список в окне FileMon не прокручивался.
Именованные каналы и каналы передачи сообщений электронной почты
Начиная с версии 4.1, программа FileMon может отслеживать операции файловой системы с именованными каналами и каналами передачи сообщений электронной почты для Windows NT/2K. Именованные каналы обычно используются в качестве механизма взаимодействия в основных подсистемах NT/Win2K, таких как подсистема локального администратора безопасности (LSASS). Модель DCOM также использует именованные каналы. Кроме того, с ними работают и сетевые компоненты, например служба обозревателя. Чтобы увидеть операции с именованными каналами с помощью FileMon, достаточно выбрать в меню Volumes (Тома) пункт Named Pipes (Именованные каналы), а затем выполнить какую-нибудь операцию на общем сетевом ресурсе или открыть приложение, такое как Regedt32, которое взаимодействует с подсистемой безопасности.
Принцип работы FileMon
Для драйвера Windows 9x в основе работы FileMon лежит драйвер виртуального устройства Filevxd.vxd. Он загружается динамически, а в ходе своей инициализации устанавливает с помощью службы VxD фильтр файловой системы IFSMGR_InstallFileSystemApiHook, что позволяет ему встроиться в цепочку вызовов всех запросов к файловой системе. В ОС Windows NT в основе работы FileMon лежит драйвер файловой системы, который создает объекты устройств фильтра и привязывает их к конечным объектам устройств файловой системы, что позволяет программе просматривать все запросы IRP и FastIO, направляемые дискам. Когда программа FileMon регистрирует запрос на открытие, создание или закрытие файла или каталога, она обновляет внутреннюю хэш-таблицу, которая представляет собой список соответствий между внутренними дескрипторами файлов и путями к этим файлам. Если же выполняется какой-то вызов на основе дескриптора, программа ищет в таблице запись для этого дескриптора, чтобы вывести соответствующий полный путь к файлу. Если файл, на который ссылается дескриптор, был открыт до запуска FileMon, соответствующая запись в хэш-таблице не будет найдена, и тогда программа просто выведет значение дескриптора.
Информация о доступе к файловой системе записывается в формате ASCII в буфер, который периодически копируется в список, отображаемый в окне программы.
Process Monitor
Process Monitor — инструмент для мониторинга системы, который не только заменяет программы Regmon и Filemon, выполняя мониторинг системы и реестра, но помимо этого еще и отслеживает процессы, потоки и DLL, а также имеет возможность расширенной фильтрации, информирования о событиях и обладает основными возможностями обработки данных.
VolumeID
Программа VolumeID работает в системах Windows 9x и Windows NT/2K/XP/2K3.
Введение
Программа Label, имеющаяся в комплекте ОС WinNT/2K и Windows 9x, позволяет изменять метки томов, но не подерживает средств редактирования их идентификаторов. Программа VolumeID позволяет изменять идентификаторы дисков FAT и NTFS (как гибких, так и жестких дисков).
Установка и использование
Скопируйте программу VolumeID в папку для исполняемых файлов и затем введите в окне интерпретатора командной строки:
,где xxxx-xxxx — идентификатор тома в шестнадцатеричном виде.
Примечание: Следует иметь в виду, что изменения томов NTFS становятся видимыми только после перезагрузки. Кроме того, перед изменением идентификатора тома необходимо закрыть все работающие приложения. В противном случае NT может предположить, что после изменения идентификатора тома FAT сменился физический носитель (диск), и начать выводить сообщения, приглашая установить исходный диск (!). После этого возможен отказ в исполнении запросов на доступ к дискам, поступающих от приложений.
Служебные программы для работы с сетью
Инструменты для сети: от мониторов подключений до анализаторов безопасности ресурсов.
Whois
Служебная программа Whois выполняет вывод регистрационных данных для указанного имени домена или IP-адреса. Запуск программы осуществляется из интерпретатора командной строки (англ. command line interpreter).
Установка и использование
Whois работает без установки, скопируйте программу в папку для исполняемых файлов и затем введите команду:
whois имя_домена [whois.сервер]
Параметр имя_домена может быть либо именем службы DNS (например, embrozy.ru), либо IP-адресом (например 66.193.254.46). После ввода команды нажмите клавишу Enter и вы увидите регистрационные данные для указанного имени домена или IP-адреса.
Whois embrozy.ru
Дополнение: Вы можете задать свой whois-сервер, для этого пропишите его после имени домена.
whois embrozy.ru whois.ripn.net
PsFile
Программа PsFile работает в операционных системах NT 4.0, Win2K, Windows XP и Server 2003.
Введение
Команда net file выводит на экран список файлов, открытых другими компьютерами в системе, в которой выполняется данная команда, однако она усекает длинные имена путей и не позволяет просматривать эти данные для удаленных систем. Служебная программа PsFile с интерфейсом командной строки выводит на экран список файлов системы, которые открыты удаленно, а также позволяет закрывать открытые файлы по имени или по идентификатору файла.
Установка и использование
Скопируйте программу PsFile в папку для исполняемых файлов и затем введите psfile в окне интерпретатора командной строки.
По умолчанию программа PsFile выводит список файлов локальной системы, которые открыты удаленными системами. Введите /? после команды psfile для вывода на экран информации о синтаксисе этой команды:
-u — Позволяет указать необязательное имя пользователя для входа в систему удаленного компьютера.
-p — Позволяет указать пароль для имени пользователя. Если этот параметр опущен, то появится подсказка, предлагающая ввести пароль, при этом он не будет отображаться на экране.
Id — Идентификатор файла (присвоенный программой PsFile), для которого необходимо вывести информацию или который нужно закрыть.
путь — Полный или частичный путь к файлам, для которых необходимо вывести информацию или которые нужно закрыть.
-c — Позволяет закрыть файлы, определенные с помощью идентификатора или пути.
Синтаксис программы
psfile [\\удаленный_компьютер [-u имя_пользователя [-p пароль]]] [[Id | путь] [-c]]
psfile \\10.0.11.144 -u user -p 123
STREAMS
Отображает дополнительные потоки данных файловой системы NTFS.
Файловая система NTFS позволяет приложениям создавать дополнительные информационные потоки данных. По умолчанию, все данные хранятся в основном безымянном потоке данных файла, но синтаксис «файл:поток» позволяет выполнять чтение и запись в дополнительные потоки. Доступ к дополнительным потокам предусмотрен не во всех приложениях, однако демонстрация использования потоков не составит труда. Сначала средствами командной строки перейдите в каталог на диске NTFS. Затем введите команду
echo hello > test:stream
В результате будет создан поток под названием stream, ассоциированный с файлом test. Обратите внимание: размер файла test приравнивается к нулю и при открытии в любом текстовом редакторе он выглядит пустым. Для просмотра потока введите команду
Команда type не поддерживает синтаксис потоков, отсюда необходимость в применении команды more.
В NT не предусмотрены средства, позволяющие узнать перечень файлов NTFS с ассоциированными потоками. Программа Streams анализирует указанные вами файлы и каталоги (у каталогов могут быть дополнительные потоки данных) и сообщает имена и размеры всех именованных потоков, встречающихся в этих файлах. Она основывается на недокументированной собственной функции извлечения данных о файловых потоках.
Синтаксис программы
-s — Рекурсивный обход вложенных каталогов.
-d — Удаление потоков.
При указании потоков допускается применение шаблонов – например, «streams *.txt».
ShareEnum
Программа ShareEnum работает в операционных системах Windows NT/2000/XP.
Введение
ShareEnum позволяет выполнять сканирование общих файловых ресурсов сети и просматривать их параметры безопасности для устранения брешей в системе безопасности.
При решении вопросов безопасности компьютерных сетей под управлением операционных систем Windows NT/2000/XP общим файловым ресурсам часто не уделяется должное внимание. Системы безопасности часто имеют характерный изъян, связанный с тем, что пользователи предоставляют общий доступ к файловым ресурсам, не обеспечивая достаточного уровня защиты, что позволяет не имеющим соответствующих прав пользователям просматривать конфиденциальные файлы. В системе нет встроенных средств для формирования списков видимых в сети общих ресурсов с указанием их параметров безопасности, но программа ShareEnum заполняет этот пробел и позволяет блокировать общие файловые ресурсы сети.
Установка и использование программы ShareEnum
ShareEnum работает без установки, запустите программу двумя щелчками мыши по файлу ShareEnum.exe. Так как только администратор домена имеет возможность просматривать все сетевые ресурсы, программа ShareEnum наиболее эффективна в случае ее запуска из учетной записи администратора домена.
При запуске программы ShareEnum выполняется сканирование всех компьютеров, входящих в доступные ей домены, и отображается список общих файловых ресурсов и ресурсов печати, а также их параметры безопасности. Для этого программа использует функции формирования списков протокола NetBIOS.
TCPView
Программа TCPView работает в операционных системах Windows NT/2000/XP и Windows 98/Me. Программу TCPView можно использовать также в операционной системе Windows 95 при условии установки пакета обновления Winsock 2 для ОС Windows 95, предоставляемого корпорацией Майкрософт.
Введение
TCPView — это программа, предназначенная для операционной системы Windows, которая выводит на экран списки конечных точек всех установленных в системе соединений по протоколам TCP и UDP с подробными данными, в том числе с указанием локальных и удаленных адресов и состояния TCP-соединений. В операционных системах Windows NT, 2000 и XP программа TCPView также сообщает имя процесса, которому принадлежит конечная точка. Программа TCPView является дополнением программы netstat, поставляемой вместе с ОС Windows, и предоставляет расширенный набор сведений в более удобной форме. В комплект загрузки программы TCPView входит программа Tcpvcon с теми же функциональными возможностями, предназначенная для работы в режиме командной строки.
Установка и использование программы TCPView
TCPView работает без установки, запустите программу двумя щелчками мыши по файлу TCPView.exe.
При запуске программа TCPView формирует список всех активных конечных точек соединений по протоколам TCP и UDP, отображая все IP-адреса в виде доменных имен. Чтобы переключить режим отображения для просмотра адресов в цифровом виде, можно использовать кнопку панели инструментов или пункт меню. В операционных системах Windows NT, 2000 и XP программа TCPView для каждой конечной точки отображает имя процесса, которому эта точка принадлежит.
По умолчанию программа TCPView обновляет информацию один раз в секунду, но период обновления можно изменить с помощью пункта Update Speed (Скорость обновления) в меню View (Просмотр). Если в период между обновлениями состояние конечной точки изменилось, она выделяется желтым цветом, если конечная точка удалена — красным цветом, новые конечные точки отображаются зеленым цветом.
Чтобы закрыть установленные подключения по протоколам TCP/IP (с отметкой состояния ESTABLISHED (установлено)), можно выбрать пункт Close Connections (Закрыть подключения) в меню File (Файл) или щелкнуть правой кнопкой мыши какое-либо подключение и выбрать в контекстном меню пункт Close Connections.
Данные, отображенные в окне программы TCPView, можно сохранить в виде файла с помощью пункта меню File — Save (Файл — Сохранить).
Установка и использование программы Tcpvcon
Скопируйте программу Tcpvcon в папку для исполняемых файлов (C:\WINDOWS) и затем введите tcpvcon в окне интерпретатора командной строки.
Применение программы Tcpvcon аналогично применению служебной программы netstat, которая встроена в операционную систему Windows.
Введите /? после команды tcpvcon для вывода на экран информации о синтаксисе этой команды:
-a — Показать все конечные точки (по умолчанию на экран выводятся установленные TCP-соединения).
-c — Распечатать в формате CSV.
-n — Не выполнять разрешение адресов.
Синтаксис программы
tcpvcon [-a] [-c] [-n] [имя процесса или PID]