12 meilleurs outils Sysinternals

Sysinternals existe depuis un certain temps et a été racheté par Microsoft en 2006. Il s’agit d’excellents petits outils permettant d’effectuer des tâches Windows lourdes, parfois mieux que les outils intégrés.
Il peut s’agir d’utilitaire en ligne de commandes ou avec une interface graphique.
L’ensemble de la suite de produits est disponible en téléchargement.

Voici un aperçu et une sélection des meilleurs outils de la collection Sysinternals.

12 meilleurs outils Sysinternals

Autoruns

Vous savez comment les logiciels malveillants aiment envahir le dossier de démarrage et d’autres emplacements sur les systèmes infectés ? Il semble que ce soit les endroits les plus difficiles à trouver et à éliminer lorsqu’on essaie de nettoyer les infections de logiciels espions/malveillants.
Parfois on peut rencontrer un message d’erreur au démarrage de Windows lié à des résidus d’une application.
Autoruns peut vous y aider. Il examine tous les emplacements possibles où des applications peuvent être répertoriées pour être lancées automatiquement au démarrage de Windows. On appelle cela les points de chargements ou autoruns.
Ensuite, il les affiche dans un onglet, facile à suivre GUI. Vous pouvez masquer les entrées signées Microsoft pour éliminer les bons éléments de la liste des choses qui démarrent sur votre système.

Autoruns : désactiver des programmes qui se lancent au démarrage de Windows

Disk2vhd

Disk2vhd crée un fichier de disque dur virtuel à partir d’un système physique pour une utilisation avec Hyper-V.

Cet utilitaire peut être utilisé pour créer un instantané d’un disque entier à des fins de sauvegarde. Il existe également des options qui permettent d’exécuter Disk2vhd en ligne de commande. Vous pouvez utiliser ces options pour créer un script de création de vhd. En utilisant l’utilitaire de cette manière, vous pouvez utiliser le planificateur de tâches et Disk2vhd pour créer un instantané de votre PC à intervalles réguliers, sans intervention de l’utilisateur. Une mise en garde : lorsque vous créez des vhd, veillez à ne pas les attacher au même système que celui à partir duquel vous les avez créés si vous comptez démarrer à partir du vhd.

Disk2vhd

PsExec

PsExec est un outil portable de Microsoft qui vous permet d’exécuter des processus à distance à l’aide des informations d’identification d’un utilisateur. C’est un peu comme un programme d’accès à distance, mais au lieu de contrôler l’ordinateur avec une souris, les commandes sont envoyées via une invite de commande.

Utiliser PsExec pour exécuter des commandes CMD, Powershell ou WMIC sur un ordinateur distant

PsList et PsKill

PSList est un utilitaire capable de lister les processus de Windows en cours d’exécution sur une machine locale ou distante.
Il affiche les informations telles que le PID, CPU Time, les informations de mémoire privée, nombre de Threads, etc

Une fois l’ID du processus récupéré, vous pouvez terminer le processus à l’aide de PsKill.
Notez que PsKill peut aussi tuer un processus par son nom.

PsKill Arrêter un processus en cours d'exécution sur Windows

Ces deux utilitaires sont très pratiques si vous administrez un petit réseau de machines sur un LAN.

PsLoggedOn

La commande PsLoggedOn vous permet de savoir qui est connecté sur Windows.
À l’aide de cette commande, l’utilisateur peut connaître les informations sur les utilisateurs connectés localement/à distance et sur les utilisateurs qui se sont connectés par le biais de ressources.

Process Explorer

Process Explorer est une alternative au gestionnaire de tâches de Windows bien plus poussé.
C’est un outil formidable pour fouiller dans les fichiers ou les ressources ouverts. Vous essayez d’ouvrir un fichier, mais vous recevez une notification indiquant qu’il est déjà ouvert ?
Process Explorer peut vous aider à déterminer quelle application ou quel processus a le fichier ouvert grâce au handle. Il s’agit d’un utilitaire basé sur une interface graphique qui peut remplacer le gestionnaire des tâches. L’utilitaire comporte deux volets d’information. Le volet supérieur affiche les processus actuellement actifs sur votre système et comprend des informations sur le nom, le compte propriétaire du processus et l’utilisation du processeur du processus.

Le volet inférieur a deux modes de fonctionnement, le mode poignée et le mode DLL. Lorsque le mode poignée est activé, la sélection d’un processus dans la partie supérieure de la fenêtre vous montre les poignées que le processus a ouvertes. En mode DLL, le volet affiche les DLL et les fichiers mappés en mémoire chargés par le processus sélectionné.

Process Explorer : un gestionnaire de tâche évolué

Process Monitor

Procmon (Process Monitor) est un outil gratuit de Microsoft qui enregistre l’activité des processus et même d’effectuer du monitoring Windows.
L‘outil capture les évènements systèmes et les affiches en liste pour suivre les modifications et activités du système.

Process monitor : surveiller/capture l’activité système Windows ou d’une application

Process Monitor : surveiller l'activité Windows ou une d'application

SigCheck

SigCheck est un utilitaire en ligne de commandes qui vous permet de vérifier la signature numérique d’un fichier.
Il indique si le fichier est signé ou non et affiche les informations du certificat électronique avec le nom de l’éditeur, la date de signature, la description et version du fichier.

Lorsque la signature électronique est validée, vous êtes certains que le fichier n’est pas corrompu, endommagé ou modifié par un malware et telle que l’éditeur l’a créé.

SIGCHECK : vérifier la signature numérique des fichiers

RAMMap

RAMMap est un utilitaire qui affiche les informations détailler de la mémoire RAM de votre PC.

Utilisez RAMMap pour mieux comprendre la façon dont Windows gère la mémoire, pour analyser l’utilisation de la mémoire des applications ou pour répondre à des questions spécifiques sur la façon dont la RAM est allouée. La fonction d’actualisation de RAMMap vous permet de mettre à jour l’affichage et comprend la prise en charge de l’enregistrement et du chargement d’instantanés de la mémoire.

Mesurer l’utilisation mémoire sur Windows

RAMMAP

TCPView

TCPView est un programme Windows qui vous montrera des listes détaillées de tous les points de terminaison TCP et UDP sur votre système.
Il affiche les connexions réseaux par processus avec l’adresse locale et distante, ainsi que les ports locaux et distants.
Les données des débits entrants et sortants sont aussi indiquées.
Enfin peut filtrer par IPv4 et IPv6.
Toutes ces informations peuvent être exportées en CSV.

L’utilitaire réseau vous permet aussi de tuer une connexion réseau existante.

Enfin le téléchargement de TCPView inclut Tcpvcon, une version en ligne de commande avec la même fonctionnalité.

TCPView

ZoomIt

ZoomIt est un utilitaire destiné à l’orateur qui sommeille en chacun de nous. Lors de la présentation d’informations, il est parfois utile de montrer une certaine zone de l’écran, agrandie pour attirer l’attention sur une boîte de dialogue ou un autre élément. C’est ce que fait ZoomIt. Une fois configuré, il s’intègre à PowerPoint pour permettre aux touches macro de déclencher des fonctions pendant une présentation.

ZoomIt

VMMAP

VMMap est un utilitaire qui comme son nom l’indique affiche une “carte de la mémoire RAM” du PC.
Pour cela, il analyse de la mémoire virtuelle et physique des processus.
Ensuite il affiche la répartition des types de mémoire virtuelle d’un processus ainsi que la quantité de mémoire physique (ensemble de travail) attribuée par le système d’exploitation à ces types.
La représentation s’effectue en un affichage graphique pour faire apparaître d’un coup d’oeil les différents types de mémoire.

VMMap est l’outil idéal pour les développeurs qui souhaitent comprendre et optimiser l’utilisation des ressources mémoire de leurs applications.