Microsoft Sysinternals: Nejlepší nástroje pro řešení problémů s operačním systémem Windows

Konfigurace sady nástrojů Microsoft Sysinternals

Pokud jste dříve chtěli vyvíjet systémové nástroje pro operační systém Windows, potřebovali jste mít skutečně hluboké znalosti tohoto operačního systému. To platilo až do roku 1996, kdy programátoři Mark Russinovich a Bryce Cogswell naprogramovali pro svou firmu Winternals Software LP nástroj pro diagnostiku operačního systému Windows. Tuto firmu v roce 2006 převzala firma Microsoft a následně začala tento software distribuovat sama.

A to platí dodnes. Sada nástrojů pro diagnostiku a řešení problémů s operačním systémem Windows se nyní označuje slovem „Sysinternals“ a nástroje v ní obsažené jsou neustále vyvíjeny a upravovány pro novější verze systému Windows, konkrétně v současnosti pro operační systémy Windows 10 a 11. Navíc je tato sada nástrojů ke stažení zdarma. Některé nástroje nabízejí grafické uživatelské rozhraní, jiné se spouštějí v prostředí Powershell nebo příkazového řádku. Jednotlivé nástroje a samozřejmě i celou sadu Sysinternals, která obsahuje téměř všechny z více než 60 nástrojů, najdete na webu firmy Microsoft v sekci „Soubory ke stažení“.

Pro instalaci nástrojů Sysinternals v každém případě nejlepší použít Centrum řízení systému Windows (Windows System Control Center (WSCC)). Toto centrum zajistí stažení buď všech, nebo pouze vámi požadovaných nástrojů z webu firmy Microsoft, a postará se také o budoucí aktualizaci těchto nástrojů.

Až si nástroj stáhnete do počítače, přesuňte jej do složky, jejíž název neobsahuje žádné mezery ani speciální znaky, např. do složky „C:\WSCC“ nebo „C:\Tools\WSCC“. Tato operace vám usnadní používání nástrojů v prostředí příkazového řádku.

Při prvním spuštění nástroje WSCC máte možnost nastavit některé volby, nicméně většinou postačí, když nastavení nabízené programem pouze potvrdíte, a to stiskem tlačítka „OK“. Poté v okně „Software Sources (Zdroje softwaru)“ vyberte balíčky nástrojů, které chcete nainstalovat. Nakonec klepněte tlačítko „OK“ a poté na tlačítko „Yes (Ano)“. V dalším okně pak můžete zadat cestu ke složce, do níž se mají nástroje instalovat. Doporučujeme vám, abyste ponechali výchozí cestu nastavenou instalačním programem, tj. složku „.\ SysInternals Suite“ a klepněte na tlačítko „OK“. Nakonec klepnutím na tlačítko „Install (Instalovat)“ zahájíte stahování všech nástrojů, popřípadě zrušte zaškrtnutí u těch nástrojů, které nepotřebujete.

Nástroj WSCC zobrazí ve stromové struktuře na levé straně okna skupinu „Sysinternals Suite“ a pod ní pak několik skupin, například „Files and Disks (Soubory a disky)“, „Network (Síť)“ a „Security (Zabezpečení)“. Seznam s nástroji, které k těmto skupinám patří,  se pak zobrazuje v pravé části okna. Vedle každého programu je i tlačítko pro spuštění nástroje a v některých případech i tlačítko se znakem otazníku, které vede k souboru nápovědy.

Sada nástrojů Sysinternals rovněž obsahuje některé programy, které v názvu končí číslicí „64“. Jedná se o 64bitové verze programů. V nástroji WSCC si pak můžete vybrat, zda chcete spouštět 32bitovou, nebo 64bitovou verzi konkrétního programu. Stačí v nabídce „Settings (Nastavení)“ v sekci „General (Obecné)“ povolit možnost „Launch the 64-bit version if available (Spustit 64bitovou verzi, je-li k dispozici)“. Pak v případě, že bude k dispozici 32bitová i 64bitová verze programu, se přednostně bude spouštět 64bitová verze.

Konfigurace nástrojů příkazového řádku

Ze sady Sysinternals je možné každý nástroj spouštět přímo ze složky, kam jste sadu stáhli či přesunuli, a to buď prostřednictvím Průzkumníka Windows nebo přes příkazový řádek. V prostředí Powershell nebo příkazového řádku je ovšem třeba před název programu zadat i složku, kde se tento nástroj aktuálně nachází. Pokud se tomuto otravném vypisování umístění chcete vyhnout, musíte složku zadat do proměnné prostředí „Path“. Proměnné prostředí najdete přímo v aplikaci Nastavení, kterou nejsnáze spustíte pomocí klávesové zkratky klávesa Windows-I. Následně do políčka pro vyhledávání zadejte výraz proměnné. Z výsledků vyhledávání, které se vám nabídnou, pak vyberte možnost „Upravit proměnné prostředí pro váš účet“. Zobrazí se dialogové okno Proměnné prostředí, kde v sekci „Uživatelské proměnné pro uživatele“ klepněte na položku "Path“ a následně na tlačítko „Upravit“. Poté prostřednictvím tlačítka "Nový“ přidejte cestu ke složce, v níž se nachází nástroje sady Sysinternals. Ty pak můžete jednoduše spouštět – stačí si vybrat podle názvu.

Process Explorer: Co je v počítači aktuálně spuštěno?

Když máte spuštěný počítač, běží v něm jednak aplikace, které jste sami spustili, jednak spousta procesů a služeb, které běží na pozadí. Všechny aplikace, které v počítači aktuálně běží, můžete zobrazit pomocí aplikace Správce úloh systému Windows, který lze spustit například klávesovou zkratkou Ctrl-Shift-Esc. Po spuštění Správce úloh v operačním systému Windows 10/11 nejprve vlevo dole klepněte na „Více informací " a poté přejděte na záložku "Podrobnosti“, kde se zobrazí seznam všech spuštěných programů. Uživatelům systému Windows 11 od verze 22H2 stačí klepnout přímo na položku „Podrobnosti“, která se nachází v levém panelu.

Ještě více funkcí než Správce úloh systému Windows nabízí program Process Explorer, který je součástí právě popisované sady nástrojů Sysinternals. Najdete jej v podobě souboru Procexp.exe, popřípadě Procexp64.exe. Program vám pomocí barev zobrazovaných na pozadí ukazuje, co se v počítači právě děje. Procesy, které byly právě spuštěny, jsou podbarveny zelenou barvou, a ty, které se ukončují, zase barvou červenou.

Po klepnutí na záhlaví sloupců můžete přehled procesů řadit podle názvu, zatížení výpočetní jednotky CPU nebo podle zatížení paměti („Private Bytes“). Díky tomu snadno naleznete aplikace, které zabírají hodně operační paměti nebo kladou velké nároky na výpočetní jednotku CPU.

Když v místní nabídce procesu klepnete na položku „Properties (Vlastnosti)“, získáte podrobnější informace týkající se daného procesu. Tak například na záložkách „Performance Graph“ a „GPU Graph“ se vám zobrazí v podobě grafu historie vývoje zatížení výpočetní jednotky CPU a paměti za nějaké delší časové období. Záložka „TCP/IP“ vám zase ukáže, ke kterým síťovým prostředkům aplikace právě přistupuje.

Pokud nějaký proces havaruje a nijak nereaguje, je možné jej ukončit, a to přes položku „Kill Process“, která se nachází v místní nabídce procesu. Další možností je provedení restartu procesu přes položku „Restart“. V tomto případě však mějte na paměti, že tato operace bude fungovat pouze v případě, že máte potřebná přístupová práva. V opačném případě je třeba přejít do nabídky "File→ Run as Administrator " a spustit Process Explorer s potřebnými oprávněními.

Nebezpečné procesy?

Jestliže se vám některé procesy zdají podezřelé, můžete je prozkoumat. Stačí vyvolat místní nabídku podezřelého procesu a zde vybrat položku „Search online“. Následně se v internetovém prohlížeči spustí vyhledávání názvu procesu na Internetu, které vám poskytne další informace. Máte-li podezření, že se jedná o malware, přejděte v místní nabídce procesu na položku „Check Virustotal.com“. Při jeho prvním vyvolání budete muset potvrdit podmínky používání stránky www.virustotal.com. Chcete-li otestovat všechny spuštěné programy, pak přejděte do nabídky „Options → VirusTotal.com → Check VirusTotal.com“.

Výsledky antivirové kontroly si pak můžete prohlédnout ve sloupci „VirusTotal“. Pokud program ukazuje například „0/75“, jedná se skutečně s nejvyšší pravděpodobností o soubor naprosto neškodný. Pokud se zobrazí údaj „1/75“, znamená to, že jeden ze 75 virových skenerů považuje tento soubor za podezřelý. Celkovou zprávu týkající se testu pak zobrazíte po klepnutí na výsledek testu pomocí služby Virustotal – zpráva se zobrazí v internetovém prohlížeči. Pokud soubor za podezřelý považuje pouze jeden nebo dva virové skenery, pak můžete předpokládat, že za malware tento program považují omylem – jedná se tedy o falešný poplach. Pokud by těchto varování bylo více, pak je třeba zpozornět, protože v tomto případě je šance, že bude testovaný soubor malwarem, poměrně velká. Pak klepněte na internetové stránce služby Virustotal na položku „Behavior“ nebo „Community“ a zjistěte si o tomto souboru více informací. V případě pochybností podezřelý program odinstalujte a poté celý počítač důkladně zkontrolujte pomocí aktuálního antivirového softwaru.

Autoruns: Omezení automatického spouštění programů

Z vlastní zkušenosti řada uživatelů ví, jak rychle se spouští a jak svižně reaguje nově nainstalovaný operační systém Windows. Toto chování se bohužel časem mění a operační systém najednou reaguje stále pomaleji. Příčinou tohoto zpomalení jsou zejména programy, které se během své instalace nastaví tak, že je při zavádění operačního systému spouští automaticky. Takový program pak například kontroluje aktualizace nebo čeká na to, až na pozadí dojde k nějaké události. Tím se však zavádění operačního systému Windows stále prodlužuje a celý operační systém se zpomaluje. Pravdou je, že žádný z programů, který se spouští automaticky při zavádění operačního systému, není bezpodmínečně nutný, ale určitě existují programy, které mohou být užitečné. Proto je vždy třeba u každého programu zvážit, zda je pro vás daný program natolik důležitý, že je třeba jej spouštět při zavádění operačního systému a zda vám stojí za prodloužení celkové doby spuštění počítače.

Nástroj Autoruns ze sady Sysinternals

Program Autoruns ze sady nástrojů Sysinternals (Autoruns.exe, popř. Autoruns64.exe) zobrazuje po svém spuštění přehled všech programů, které se automaticky spouští při zavádění operačního systému Windows. Kromě toho dokáže zobrazit a spravovat rozšíření pro Průzkumníka souborů a pro Microsoft Office.

Když tedy nástroj Autoruns spustíte, zobrazí se okno se spoustou záložek, z nichž se každá týká jiné oblasti operačního systému.  Pravděpodobně záhy zjistíte, že nejpraktičtější je karta „Everything (Vše)“, která zobrazuje všechny záznamy. Seznam položek je sice poměrně dlouhý, ale lze jej omezit pomocí volby „Options → Hide Microsoft Entries (Možnosti → Skrýt položky od firmy Microsoft“, takže zmizí všechny položky týkající se produktů firmy Microsoft a zobrazí se pouze software, který byl přidán později a který pochází od jiných vývojářů.

Nyní odstraňte zaškrtnutí u všech položek, které nepotřebujete – nebojte se, tímto způsobem nic z počítače nezmizí, pouze se této položce zakáže spouštění. Pokud se později ukáže, že se tato položka má přece jen spouštět automaticky při zavádění systému, není nic jednoduššího – prostě jen znovu povolíte příslušnou volbu.

Pomocí nabídky „File → Run as Administrator (Soubor → Spustit jako správce)“ spustíte program Autoruns s rozšířenými oprávněními, konkrétně s oprávněními správce systému.  Tento režim obvykle není vůbec nutné používat – využijete jej pouze tehdy, pokud budete potřebovat zakázat na záložce „Services (Služby)“ nějaké systémové služby. Tady ovšem buďte velmi opatrní a hlavně nikdy nezakazujte spouštění u služeb pocházejících od firmy Microsoft, protože jejich zákaz by mohl způsobit problémy s funkčností operačního systému.

Uložení a porovnání

Do operačního systému se nové položky, které se nakonfigurují tak, aby se spouštěly automaticky při zavádění operačního systému, objeví nejčastěji po instalaci softwaru. Abyste je nemuseli pracně hledat, uložte si aktuální stav do souboru, a to prostřednictvím nabídky „File → Save (Soubor → Uložit)“. Tento stav pak můžete velmi jednoduše porovnat s aktuálním stavem, a to prostřednictvím nabídky „File → Compare (Soubor → Porovnat)“. Nové položky budou zvýrazněny zeleně, odstraněné položky se pak zobrazí červeně.

Prozkoumejte procesy podrobněji

Někdy není úplně jasné, jaký program se za položkou pro automatické spuštění vlastně skrývá a jakou funkci vlastně v operačním systému má. Nicméně se to dá zjistit velmi snadno, protože stejně jako u nástroje Process Explorer můžete prostřednictvím prvého tlačítka myši vyvolat místní nabídku a v ní vybrat položku „Search Online“. Za okamžik se otevře okno internetového prohlížeče, v němž se spustí vyhledávání názvu procesu, takže si z výsledků vyhledávání sami uděláte obrázek o funkci a případě smysluplnosti daného procesu ve vašem počítači.

Můžete si dokonce provést i kontrolu bezpečnosti daného souboru – podobně jako u programu Process Explorer, a to prostřednictvím místní nabídky, resp. konkrétně pomocí položky “Submit File to VirusTotal (Odeslat soubor na web VirusTotal)“, nebo pomocí položky “Check VirusTotal.com (Zkontrolovat na webu VirusTotal.com)“. Pokud je z výsledků na webu VirusTotal.com patrné, že jako malware vyhodnotila vámi odeslaný soubor většina antivirových programů, pak se doporučuje program prověřit detailněji a v případě pochybností jej odstranit, nebo alespoň přejmenovat.

Process Monitor: Prozkoumejte chování programů

Při testování programu antivirovým programem může dojít k situaci, kdy jej tento antivirus vyhodnotí jako škodlivý, popřípadě jej na základě jeho chování vyhodnotí jako nebezpečný. Obrázek o chování programu si můžete ovšem udělat i sami, a to prostřednictvím programů, které dokáží zaznamenat, ke kterým jednotlivým souborům, položkám registru nebo síťovým prostředkům tento program přistupuje. Díky tomu můžete podezřelé chování odhalit i sami.

Mezi takové nástroje patří program Process Monitor (Procmon.exe, Procmon64.exe). Manipulace s tímto programem bohužel není právě jednoduchá, protože k pevnému disku či počítačové síti neustále přistupují prakticky všechny programy a odfiltrovat relevantní informace z toho obrovského množství dat není právě snadné.

Vlastní monitorování začíná okamžitě po spuštění nástroje Process Monitor. Pokud budete chtít po chvíli monitorování zastavit, stačí stisknout klávesovou zkratku Ctrl-E. V okně programu se postupně v čase za sebou zobrazuje seznam přístupů ze všech aktivních programů. Ve sloupci „Process Name (Název procesu)“ najdete název programu, který danou operaci provedl, pod položkou „Operation (Operace)“ pak konkrétní akci. Například operace „RegQueryValue“ znamená, že se program dotazoval na hodnotu z registru.

K prozkoumání konkrétního programu je možné použít filtr. Spusťte program, který chcete zkoumat, poté v programu Process Monitor klepněte na ikonku terče („Include Process from Window (Zahrnout proces z okna)“), podržte stisknuté levé tlačítko myši a přetáhněte křížek na okno programu, který chcete zkoumat. Následně se přesuňte do nabídky „Filter → Filter (Filtr → Filtr)“. V seznamu by se již některé položky měly vyskytovat, takže z nějak můžete vyloučit ty položky, které vás nezajímají – konkrétně třeba položky ze samotného programu Procmon.exe. V horní části okna najdete řádek pro definování podmínky, kde vyberte tyto podmínky tak, abyste dostali dotaz „PID is [ID] include“, kde namísto „[ID]“ doplníte číselné ID procesu vybraného programu. Nakonec pomocí klávesové zkratky Ctrl-E záznam v hlavním okně programu Process Monitor spusťte.

Jiná varianta konfigurace spočívá v tom, že nejprve přejdete do nabídky „Filter → Filter (Filtr → Filtr)“,  a zde klepnete na tlačítko „Reset (Obnovit)“. V horní části okna v poli „Display entries matching these conditions (Zobrazit položky odpovídající těmto podmínkám)“ vyberte položku „Process Name (Název procesu)“. Hned vedle vpravo vyberte možnost „is (je)“ a za ni zadejte název programu, který chcete zkoumat, a to včetně přípony „.exe“ v názvu souboru. Na konci řádku pak vyberte možnost „Include (Zahrnout)“. V dalším kroku je třeba zjistit název programu – ten zjistíte například v programu Process Explorer. Pokud budete chtít, můžete definovat i další filtry, například „Event Class is Network include“, pokud vás zajímá pouze přístup k síti, nebo „Event Class is File System include“. Pak klepněte na možnost „Add (Přidat)“ a nakonec na tlačítko „OK“.

Po nastavení příslušných filtrů dosud zaznamenané události pomocí klávesy Ctrl-X smažte a následně znovu spusťte záznam, a to pomocí klávesy Ctrl-E. Obsah zobrazovaný v oblasti pro zobrazování záznamů lze rovněž ovládat pomocí pěti tlačítek v pravé části panelu nástrojů.

Tip: Nástroj Sysmon je možné použít k záznamu všech nebo jen vybraných systémových událostí, které mohou indikovat škodlivý kód nebo činnost hackerů.

PS Tools: Nástroje příkazového řádku, které lze použít i pro údržbu na dálku

Sada nástrojů Sysinternals obsahuje i několik nástrojů pro prostředí příkazového řádku, které poznáte tak, že jejich název začíná znaky „PS“. Jedná se o nástroje, pomocí nichž můžete například zobrazit nebo ukončit běžící procesy, popřípadě vypnout počítač. Nápovědu k nástrojům najdete v souboru Pstools.chm.

Tyto nástroje jsou zajímavé zejména proto, že je lze použít ke vzdálenému ovládání jiných počítačů v síti. Na cílových počítačích je třeba v příkazovém řádku spustit jako správce následující tři příkazy a poté počítač restartovat:

sc config RemoteRegistry start=auto

sc start RemoteRegistry

reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v
LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Dále se ujistěte, že můžete prostřednictvím programu Průzkumník souborů přistupovat ke sdíleným síťovým a že máte povoleno sdílení souborů a tiskáren.

Pokud nepoužijete žádné další možnosti, budou všechny nástroje pracovat na místním počítači. Pokud byste chtěli tyto příkazy použít pro ovládání vzdálených počítačů, bude potřeba u těchto nástrojů zadat IP adresu nebo název počítače, ke kterému chcete přistupovat. Obecná podoba příkazu je uvedena následujícím řádku:

tool.exe \[IP] -u [uživatel] -p [heslo] [další volby]

U úloh, které nevyžadují oprávnění správce systému, použijte uživatelské jméno standardního uživatele. V opačném případě použijte účet s oprávněními správce systému. Například:

psexec \[IP] -u [uživatel] -p [heslo] powershell.exe 

Nástroj PowerShell můžete použít interaktivně i na jiném počítači. K tomu slouží následující příkaz:

psshutdown -r -t 10 \[IP] -u [uživatel] -p [heslo] 

Po zadání tohoto příkazu se počítač po uplynutí 10 sekund restartuje.

Handle: Odblokování zablokovaných složek nebo souborů

možná se vám stalo, že jste chtěli odstranit nějakou složku či soubor, ale jednoduše to nešlo. Namísto toho se zobrazilo upozornění, že operaci nebylo možné dokončit, protože složka (nebo soubor v ní) je otevřen v jiném programu. Podobná zpráva se objeví i tehdy, když se snažíte vysunout vyměnitelný disk USB, ale operaci nelze provést, protože odpojení brání otevřený soubor. Naneštěstí operační systém Windows prakticky nikdy neuvádí, ve kterém programu je soubor nebo složka otevřena. V tomto případě oceníte nástroj Handle Viewer z již popisované sady Sysinternals (handle.exe, handle64.exe), který je přece jen o něco sdílnější. V případě potřeby jej spusťte v prostředí Powershellu nebo příkazového řádku, a to v režimu oprávnění správce. Nástroj spustíte příkazem:

handle C:[složka] 

Nástroj Handle Viewer po zadání tohoto příkazu zobrazí kompletní cestu k vámi zadané složce nebo souboru. Současně vypíše název programu, ID procesu a ID handle. Pokud je program stále spuštěn, můžete jej zavřít, aby se vám přestalo zobrazovat výše popisované chybové hlášení.

Pokud program spadl na pozadí, zavřete handle pomocí následujícího příkazu:

handle -p [ID procesu] -c [ID handle] 

Po zadání příkazu se ovšem ukončí pouze handle – samotný program obvykle běží dál. U neuložených souborů tato operace však pravděpodobně způsobí ztrátu dat, takže buďte opatrní.