Windows Sysinternals Suite Kurulumu ve Kullanımı
Bu yazımda kısaca sysinternals suite program paketinin kurulumu ve kullanımından bahsedip araçları ise kısaca tanıtacağım. Araçların ayrıntılı kullanımını ise diğer makalelerde açıklayacağım. Öncelikle bizim bu programa neden ihtiyacımız olduğundan bahsedelim.
Windows yönetiminde Windows’un sağladığı yönetim araçları (Administrive Tools) ana araçlar olarak kullanılsa da pek çok IT profesyoneli için üçüncü parti programlar işlerini oldukça kolay hale getirebilmektedir. Sysinternals ise 1996 yılında bir internet sitesi olarak ortaya çıkmış ve gelişmiş sistem araçları ve bilgilerini yayınlamaya başlamıştır. Sonrasında ise bu araçlar bir paket halinde Microsoft tarafından yayınlanmaya başlamıştır. Aşağıdaki bağlantıdan bu dokumantasyona ulaşabilirsiniz.
https://docs.microsoft.com/en-us/sysinternals/
Sysinternals Suite paketini aşağıdaki bağlantıdan indirmeniz gereklidir.
https://download.sysinternals.com/files/SysinternalsSuite.zip
İndirdikten sonra sıkıştırılmış dosyayı açtığınızda pek çok .exe uzantılı program ile karşılaşacaksınız. Bu programların pek çoğu komut satırı üzerinden yürütüldüğü için doğrudan çift tıklamakla istediğiniz gibi çalıştırma imkanı bulamazsınız. Bunun için komut satırından ilgili klasöre gidip sonrasında program adını yazarak bunu çalıştırmanız gereklidir. Öncelikle Windows + R kısayoluyla cmd olarak arama yapıp terminal ekranını açmanız gereklidir. Ya da daha Windows 10’da arama kısmına “Command Prompt” yazmakla bunu daha kolay bir şekilde yapabilirsiniz.
Komut satırı açıldıktan sonra dosyaların çıkarıldığı klasöre gitmek için ‘cd’ yani change directory komutunu kullanmak gereklidir.
‘dir’ komutu ile mevcut klasördeki dosyaları listeleyebilirsiniz.
Her komut satırını açtığınız zaman bu klasöre gitmek istemiyor, programlar yüklenmiş gibi doğrudan açılsın istiyorsanız bu klasörü “Path” ortam değişkenine eklemeniz gereklidir. Bunun için gelişmiş sistem ayarları yani “Advanced system settings” penceresini açmanız gereklidir.
Arama kısmına “Advanced system settings” yazabileceğiniz gibi komut satırından “SystemPropertiesAdvanced” yazarak da bu ayar arayüzüne erişebilirsiniz. Menüler içinde kaybolmadan doğrudan aradığınızı açmak için bu tarz programların kısayollarını öğrenmeniz yararınıza olur. Bu açtığımız pencere işin aslında Windows/System32 klasöründe “SystemPropertiesAdvanced.exe” olarak ayrı bir program olarak geçmektedir. System32 içerisine bakarsanız Windows’da kullandığınız pek çok özelliğin birer .exe olarak yer edindiğini görebilirsiniz.
İşaretli yerden ortam değişkenleri penceresini açabiliriz. Bu noktadan itibaren dikkatli olmanız, bilmediğiniz bir işi yapmaya çalışmamanız tavsiye edilir. Bu ayarlar sayesinde windows neyin nereden okunacağını, çalıştırılacağını bilmektedir. Windows klasörünün yerinden, sistem dosyalarına nereden erişeceği gibi değişkenler ve parametreleri görebilmeniz mümkündür. Biz burada “Path” değişkenine bir ilave yapacağız.
System değişkenleri içerisinde yer alan Path satırına gelip Edit… diyerek mevcut değerlerin yanına New diyerek Sysinternals programlarının yer aldığı klasörün yolunu yapıştırıyoruz. Her şeye tamam dedikten sonra artık bu programların adını doğrudan yazmakla çalıştırdığımızı görebilirsiniz.
Buraya kadar kurulum ve kullanım noktasını bitirdik. Şimdi ise bu araçların ne işe yaradığına kısaca değinelim.
Sysinternals araçları genel olarak disk ve dosya, ağ, işlem yönetimi, güvenlik ve sistem bilgisi araçlarından meydana gelmektedir. Bu araçları denerken bazılarının sanal makinede düzgün çalışmayabileceğini de göz önünde bulundurunuz.
Dosya ve Disk Araçları
| Araç | İşlev |
| AccessChk | Bu araç kullanıcının veya grupların belli bir dosya, kayıt defteri ya da Windows servisine erişimlerini göstermektedir. |
| AccessEnum | Bu araç kimin dosya, klasör ve kayıt anahtarlarına hangi erişimlere sahip olduğunu göstermektedir. Erişimlerde bir açık olduğu bu araçla tespit edilebilir. |
| CacheSet | Cache Manager programının çalışma seti boyutunu kontrol etmeye yarar. |
| Contig | Sık kullanılan, belli dosyalar üzerinde hızlıca disk birleştirme (defrag) uygular. |
| Disk2vhd | Fiziksel sistemleri sanal makineye taşımak için kullanılmaktadır. |
| DiskExt | Diskler hakkında boyut ve haritalandırma bilgileri verir. |
| DiskMon | Bütün hard disk faaliyetlerini yakalar ve sistem ikonları içinde gösterir. |
| DiskView | Disk sektörlerini görsel bir şekilde gösterir. |
| Disk Usage (DU) | Klasörlerin diskte ne kadar yer kaplandığını göstermektedir. |
| EFSDump | Şifrelenmiş dosyalar için bilgi gösterimi. |
| FindLinks | Bir dosyanın bağlantılarını (hard link) listelemek için kullanılır. |
| Junction | Win2K NTFS sembolik bağlantılar oluşturmak için kullanılır. |
| LDMDump | Logical Disk Manager’in disk üzerindeki veri tabanındaki bilgileri görüntülemek için kullanılır. |
| MoveFile | Dosya ad değiştirme ve silme komutlarını bir sonraki başlatma için zamanlar. |
| NTFSInfo | NTFS disk bölümleri için ayrıntılı bilgileri gösterir. |
| PendMoves | Sistem yeniden başlatmasında hangi dosyaların silinme ya da ad değiştirilmeye zamanlandığını gösterir. |
| Process Monitor | Gerçek zamanlı dosya sistemi, kayıt defteri, işlem, tread ve DLL etkinliğini gösterir. |
| PsFile | Uzaktan açılan dosyaları listeler. |
| PsTools | Uzaktan erişim ile ilgili araçları içerir. |
| SDelete | Güvenli bir şekilde dosya silme işlemi yapar. |
| ShareEnum | Ağdaki paylaşılan dosyaları tarar ve onların güvenlik ayarlarını gösterir. |
| Sigcheck | Dosya sürüm bilgisini gösterir ve sistemdeki resimleri dijital olarak imzalı olduğunu doğrular. |
| Streams | NTFS alternatif akışları gösterir. |
| Sync | Cache olarak kullanılan verileri temizler. |
| VolumeID | FAT ya da NTFS sürücülerde Volume ID’yi belirler. |
Ağ Araçları
| Araç | İşlev |
| AD Explorer | Bu araç gelişmiş Active Directory görüntüleyicisi ve editörüdür. |
| AD Insight | Bu araç LDAP gerçek zamanlı görüntüleme aygıtı olarak Active Directory istemci uygulamalarına yöneliktir. |
| AdRestore | Server 2003 Active Directory nesnelerini silmeyi kaldırır. |
| PipeList | Sistemdeki named pipe’ları gösterir. |
| TCPView | Etkin soket göstericisi. |
| PsPing | Ağ performansını gösterir. |
| Whois | İnternet sitesinin Whois bilgilerini listeler. |
İşlem (Proses) Araçları
| Araç | İşlev |
| Autoruns | Açılışta otomatik başlatılan programları listeler. |
| Handle | Bu araç hangi işlem tarafından hangi dosyaların açıldığını gösterir. |
| ListDLLs | Şu an yüklü bulunan DLL dosyalarını listeler. |
| PortMon | Seri ve paralel port etkinliğini gösterir. |
| ProcDump | İşem dökümü elde etmeye yarar. |
| Process Explorer | Açık olan dosya, kayıt desteri ve diğer nesneleri gösterir. |
| PsExec | Uzaktan işletleri yürütmeye yarar. |
| PsGetSid | Bilgisayarın ya da kullanıcının SID bilgisini almak için kullanılır. |
| PsKill | Yerel ya da uzaktan bir işlemi sonlandırmak için kullanılır. |
| PsList | İşlemler ve threadler hakkında bilgi göstermeye yarar. |
| PsService | Hizmetleri göstermeye ve kontrol etmeye yarar. |
| ShellRunas | Programları başka bir kullanıcı tarafından yürütmeye yarar. |
| VMMap | İşlemlerin sanal hafızada kapladıkları yerleri gösterir. |
Güvenlik Araçları
| Araç | İşlev |
| Autologon | Girişte şifre ekranını doğrudan geçmeye yarar. |
| LogonSessions | Etkin giriş sezonlarını gösterir. |
| PsLoggedOn | Giriş yapan kullanıcıları listeler. |
| PsLogList | Olay görüntüleyicisi kayıtlarını çıkarır. |
| Rootkit Relealer | Gelişmiş rootkit tespit aracı. |
| Sysmon | Event log vasıtasıyla sistem faaliyetlerini gösterir. |
Sistem Bilgi Araçları ve Diğerleri
| ClockRes | Sistem saatinin çözünürlüğünü gösterir |
| Coreinfo | Mantıksal ve fiziksel işlemciler arasındaki haritalandırmayı gösterir. |
| LiveKd | Çalışan sistemi incelemek için kernel hata ayıklayıcılarını kullanır. |
| LoadOrder | Hangi aygıtların yüklendiğini gösterir. |
| PsInfo | Sistem hakkında bilgi edinir. |
| RAMMap | Gelişmiş fiziksel hafıza kullanma ayrıntılarını gösterir. |
| WinObj | Nesne yönetimi namespace görüntüleyicisi |
| BgInfo | Sistemle ilgili bilgileri gösteren masaüstü arkaplanı oluşturur. |
| BlueScreen | Mavi ekran ekran koruyucusu |
| Ctrl2cap | Klavye giriş filtresini göstermek amacıyla kullanılır |
| DebugView | Debug çıkışını görüntülemek için kullanılır |
| Desktops | Sanal masaüstü oluşturmak için kullanılır |
| Hex2dec | Onaltılık-onluk tabanda sayı dönüşümü yapar. |
| NotmyFault | Sistemde hata oluşturmak için kullanılır. |
| RegDelNull | Null ifadesi bulunduran kayıtları bulur ve siler. |
| RegJump | Kayıt defterinde bir yola atlamak için kullanılır. |
| Zoomit | Büyüteç |
Buraya kadar bu araçların tamamını kısaca açıklamış olduk. Bunların kullanımı ve gerekliliği uygulamaya göre değişse de ilerleyen zamanlarda bazı işlerde hangi aracın gerekli olup nasıl kullanılacağı uygulamalı olarak gösterilmeye çalışılacaktır.
Son Yorumlar