14 herramientas destacadas de Windows Sysinternals

En esta oportunidad vamos a explorar a fondo la utilidad Sysinternals suite de Microsoft la cual es una herramienta que nos brinda una gran cantidad de soporte en cuanto a temas de software se refiere permitiendo mantener una gestión y actualización correcta del mismo.

 

Esta herramienta la podemos descargar (En un KIT de herramientas 20MB) de forma gratuita desde el siguiente enlace:

 

 

También podemos ingresar al siguiente enlace para poder descargar y ejecutar la aplicación concreta que necesitemos sin necesidad de descargar toda la suite:

 

 

Antes de comenzar a analizar algunas de las aplicaciones incluidas dentro de la suite Sysinternals veamos un poco de su historia. Sysinternals fue creada en 1996 y se ha estado actualizando constantemente por Mark Russinovich y esta suite está compuesta por más de 70 aplicaciones que sin lugar a dudas serán de gran ayuda para todos nosotros.

 

La suite de Sysinternals corre sobre los siguientes sistemas operativos:

• Windows 7
• Windows 8, 8.1
• Windows 10
• Windows server 2008 en adelante

 

Si deseamos ejecutar los comandos de la suite Sysinternals usando el comando Ejecutar, desde el cmd o usando el cuadro de búsqueda debemos agregar la suite a las variables del entorno del sistema.

 

Podemos ejecutar lo siguiente:

 

En el cuadro de diálogo ingresamos el término Variable y en las opciones desplegadas elegimos “Editar las variables de entorno del sistema”.

 

 

Se desplegará lo siguiente:

 

 

Allí seleccionamos la opción Variables del entorno ubicada en la parte inferior.

 

 

En la ventana desplegada seleccionamos la línea Path y posteriormente la opción Editar el campo Variables del sistema. Allí ingresaremos la ruta donde hemos descargado la suite Sysinternals.

 

 

Damos clic en Aceptar en las siguientes ventanas para aplicar los cambios. De esta manera podremos ejecutar los comandos de Sysinternals desde la línea de comandos.

 

Vamos a comenzar el análisis de algunas de las herramientas más interesantes que presenta Sysinternals y cómo éstas nos ayudan en nuestro soporte técnico.

 

 

1. Autoruns

La primera herramienta que analizaremos es Autoruns. Autoruns nos permite tener un enfoque general y muy detallado, acerca de los servicios, aplicaciones y librerías que se ejecutan tan pronto inicia Windows 10.

 

Al ejecutar Autoruns veremos el siguiente entorno:

 

 

Como vemos tenemos información específica acerca de cada programa o servicio que se inicia automáticamente y está dividido en diferentes secciones:

• Autorun Entry: Incluye el nombre del servicio o aplicación que se está iniciando.
• Description: Incluye un breve resumen acerca de la aplicación.
• Publisher: Nos muestra el fabricante o dueño del servicio u aplicación.
• Imagen Path: Nos muestra la ruta donde se encuentra ubicado el servicio o programa.
• Timestamp: Indica la fecha y hora de instalado el programa o servicio.
• Virus Total: La herramienta Autoruns incluye un analizador de virus y en caso de existir alguno aquí lo veremos.

 

Como podemos ver en las pestañas superiores podemos ver los servicios o programas por categoría, por ejemplo, podemos ver que inicia automáticamente de Office, de Impresoras, de Winlogon, etc, basta con seleccionar la pestaña que deseemos, por ejemplo seleccionaremos Winlogon.

 

 

Algo notorio en Autorun es que podemos ver que hay filas con color amarillo, esto significa que la entrada pertenece a un programa que ya no existe en el sistema. Si alguna fila está en rojo significa que la columna Publisher está en blanco, esto nos puede ser de gran ayuda.

 

 

2. Bginfo

La siguiente herramienta que analizaremos es Bginfo, la cual despliega en el escritorio información acerca de parámetros definidos en la misma.

 

La herramienta BGinfo tiene el siguiente aspecto:

 

 

Allí podemos seleccionar que campos ver desde el costado derecho usando la opción Custom, una vez definamos que campos deseamos agregar damos clic en Apply y posteriormente en OK. Veremos que el entorno de nuestro escritorio ha sido modificado con información detallada de los campos que han sido seleccionados:

 

[color=#a9a9a9]Pulsa imagen para ampliar[/color]

 

Podemos editar la posición de la información, centro, derecho o izquierdo y cada campo es muy fácil de comprender, además de ser muy útil.

 

 

3. Cacheset

La siguiente herramienta será Cacheset la cual nos permite establecer parámetros relacionados con la memoria caché del sistema.

 

La interfaz de Cacheset es la siguiente:

 

 

Allí podemos ver la memoria actual y el pico máximo, en la opción de ajustes podemos establecer tanto el mínimo como el máximo de memoria a asignar, una vez definamos estos aspectos damos clic en Apply para que sean realizados los cambios.

 

 

4. Coreinfo

Una herramienta interesante es Coreinfo la cual nos muestra información entre los procesadores lógicos y el procesador físico.

 

Esta es la ventana desplegada con Coreinfo:

 

 

Podemos usar algunos parámetros con Coreinfo como son:

• -c: Vuellca la información sobre los núcleos
• -g: Vuelca la información sobre los grupos
• -l: Vuelca la información de la cache
• -s: Vuelca la información de los sockets

 

 

5. Dbgview

Con Dbgview podemos realizar capturas de los escritorios que tengamos disponibles y realizar una depuración.

 

 

 

6. Diskmon

Usando Diskmon podemos monitorear en tiempo real los sectores de nuestros discos duros que están en actividad, el entorno de Diskmon es el siguiente:

 

 

Aquí podemos observar diferentes aspectos de los sectores como son:

• #: hace referencia al número de fila de la herramienta.
• Time: Indica el número de segundos entre el inicio de la trama y la solicitud.
• Duration: Tiempo total de la solicitud.
• Disk: Hace referencia al número del disco analizado.
• Request: En esta columna podemos observar el tipo de requerimiento, lectura o escritura.
• Sector: Hace referencia al número de sector que está siendo analizado.
• Lenght: Indica el largo de la solicitud.

 

 

7. Diskview

La herramienta Diskview nos muestra de manera gráfica (en volúmenes con formato NTFS) que sectores están siendo usados y podremos ver que archivos ocupan un espacio en particular.

 

Una vez sea ejecutada la herramienta podemos seleccionar el volumen a escanear, definir el zoom y podremos ver que el proceso de escaneo inicia:

 

 

Una vez terminado el proceso podremos ver lo siguiente:

 

 

La parte superior representa el volumen analizado. Podemos ver detalles como el número del clúster, la ruta donde se encuentra ubicado, y los fragmentos del clúster. Esta herramienta es útil si debemos realizar un análisis detallado de los clústeres en el disco y que archivos están en cada sector.

 

 

8. Listdlls

Con la herramienta Listdlls podemos ver un listado completo de las librerías DLLs instaladas en nuestro sistema. El entorno de Listdlls es el siguiente:

 

 

Como podemos ver se indica el tamaño, la base y la ruta donde se encuentra ubicada la DLL en caso que necesitemos tomar alguna acción sobre la misma.

 

 

9. LoadOrd

La aplicación Loadord nos permite visualizar el orden en que Windows carga los controladores de los dispositivos y los servicios de inicio. Una vez ejecutemos esta aplicación veremos lo siguiente:

 

 

Podemos ver un resumen completo de los servicios y controladores tal como su nombre, la ruta donde se encuentra ubicado, el grupo al cual pertenece, etc.

 

 

10. Portmon

La aplicación Portmon nos permite llevar un control sobre la actividad en los puertos seriales y paralelos de nuestro equipo, con Portmon podemos crear filtros y realizar búsquedas avanzadas acerca de cómo son usados dichos puertos.

 

El entorno de Portmon es similar a este:

 

 

 

11. Procexp

Una de las herramientas que sin lugar a dudas es la más común y será una de las más utilizadas es el explorador de procesos, es Procexp, el cual es similar al administrador de tareas en Windows 10 pero con la diferencia que procexp es mucho más completo.

 

Una vez sea ejecutado procexp esta será la ventana que observaremos:

 

 

Podemos ver un resumen completo acerca de los procesos que están corriendo en este momento en el sistema brindando información acerca del nombre del proceso, la cantidad de memoria que consume, su ID (PID), el fabricante, etc.

 

Como vemos cada proceso está categorizado. En el menú Options podremos tomar acciones sobre los procesos tales como “matar” el proceso, suspenderlo, establecer prioridad, analizarlos, etc.

 

Desde esta misma aplicación procexp podemos ver:

• El estado
• En tiempo real
• Memoria
• Procesador
• Dispositivos I/O
• etc.

 

 

 

Vemos como la herramienta nos desglosa cada componente y el porcentaje de uso, si deseamos tener una vista más detallada bata con ir a la pestaña correspondiente, por ejemplo, vamos a la pestaña CPU:

 

 

Vemos un resumen completo y detallado sobre el estado de la CPU; la cantidad de procesos, las amenazas, cantidad de núcleos, etc.

 

Una de las ventajas que tenemos con procexp es la personalización, si deseamos podemos definir colores para los diferentes procesos así:

• [color=#008000]Verde:[/color] hace referencia a nuevos objetos.
• [color=#40e0d0]Azul claro:[/color] identifica procesos propios.
• [color=#ee82ee]Rosado:[/color] indica procesos que contienen servicios de Windows.
• [color=#4b0082]Morado:[/color] hace referencia a un comprimido (packed).
• [color=#daa520]Turquesa:[/color] hace referencia a procesos asociados con aplicaciones del Windows Store.
• [color=#808080]Gris oscuro:[/color] son procesos suspendidos.

 

 

Simplemente si deseamos que los colores que identifican los procesos sean diferentes basta con dar clic en Change para editarlos. Si nuestro deseo es ver cuánto recurso está consumiendo un proceso en Windows 10 podemos dar doble clic sobre el proceso o clic derecho y selecciona propiedades y allí ir a la pestaña GPU Graph.

 

 

12. Procmon

Otra de las aplicaciones que nos serán muy útiles es Procmon (monitor de procesos). Esta herramienta nos brindará información detallada acerca de los procesos tanto de archivos del sistema, registros, red, procesos, amenazas, todo en tiempo real que es lo más importante para nosotros.

 

 

Como vemos procmon nos ofrece bastante información acerca de los procesos tal como:

• Nombre del proceso
• Tiempo de actividad
• Ruta donde se encuentra ubicada
• Resultado del proceso
• Detalles
• Etc.

 

Dentro de procmon contamos con herramientas interesantes que nos pueden ayudar a mantener un control sobre nuestros recursos, por ejemplo, dentro del menú Tools podemos seleccionar la opción Process Activity Summary para ver un resumen detallado de la actividad de cada proceso, el resultado será el siguiente.

 

Procmon es capaz de recopilar gran cantidad de información para beneficio nuestro. Una vez ejecutemos procmon veremos lo siguiente:

 

 

Vemos un resultado muy completo donde se indica consumo de recursos, inicio y fin del proceso, etc. Dentro de Tools si elegimos Registry Summary podemos encontrar la cantidad de registros accedidos durante la trama:

 

 

Así mismo podremos encontrar resumen de las conexiones de red, del sistema, etc. Podemos aplicar filtros para tener una gestión más centralizada de los procesos, basta con seleccionar el ítem y dar clic derecho, en este caso seleccionaremos el PID 968.

 

 

Seleccionamos la opción “Include 968” y veremos que se inicia el proceso de filtrado.

 

 

Vemos que solo están los resultados del PID 968. Si en algún momento deseamos ver en detalle un proceso basta con dar clic derecho sobre el proceso y seleccionar Propiedades, en este caso seleccionamos el proceso Explorer.exe y podemos ver lo siguiente:

 

 

 

13. RamMap

Otra de las herramientas que podemos usar es RamMap la cual nos permite administrar todo lo relacionado con la memoria RAM teniendo a mano diferentes utilidades.

 

Al ejecutar RamMap veremos lo siguiente:

 

 

Como vemos tenemos a mano toda la información relacionada con la memoria y categorizada por colores y el tipo de uso. Usando cualquiera de las pestañas en la parte superior podemos ver detalladamente que procesos están consumiendo memoria. Por ejemplo podemos pulsar la ficha Processes, y obtendremos la siguiente vista:

 

 

De esta manera podemos controlar que procesos consumen más recursos de memoria en el sistema y podemos decidir si terminamos esos procesos o no.

 

 

14. ShareEnum

Usando la aplicación ShareEnum podemos ver tanto los archivos como los objetos que están compartidos dentro del dominio o grupo de trabajo. Una vez ejecutemos ShareEnum veremos lo siguiente:

 

 

Podemos ver la ruta donde tenemos archivos compartidos, el dominio y otro tipo de información.

 

 

15. TCPView

Otra de las aplicaciones incluidas dentro de la suite de Sysinternals es TCPView, con esta herramienta podremos ver de manera clara todas las conexiones a través de TCP y UDP realizadas desde nuestro sistema Windows 10 entre los puertos locales y las direcciones remotas.

 

Cuando ejecutemos TCPView este será el entorno que veremos:

 

 

Como observamos tenemos información acerca de los puertos usados por cada proceso, así como los paquetes tanto enviados como recibidos, y toda esta información es muy importante para una correcta administración a nivel de networking, en caso que necesitemos verificar o analizar algún aspecto. Si pulsamos clic derecho sobre cualquiera de los procesos podremos ver sus propiedades o en caso tal finalizar el mismo.

 

 

16. VMMap

Una de las últimas herramientas que analizaremos es VMMap la cual nos permite verificar a través de un entorno gráfico los procesos virtuales y el uso de la memoria física.

 

Cuando hayamos ejecutado VMMap tendremos lo siguiente:

 

 

La herramienta nos desplegará los procesos que están disponibles, debemos seleccionar el proceso del cual deseamos obtener información detallada, una vez elegido pulsamos OK y a continuación se verá lo siguiente:

 

 

En nuestro caso seleccionamos el proceso explorer.exe y como podemos observar VMMap nos muestra información completa acerca de este profeso, su consumo de memoria y en que usa cada parte de esa memoria.

 

Esta herramienta es importante en caso de que haya algún problema de rendimiento con x o y proceso y no sepamos con claridad cuáles puede afectar el rendimiento y la estabilidad de Windows 10.

 

Dentro de Sysinternals contamos con un grupo de herramientas que cumplen funciones básicas pero en ocasiones de gran ayuda. Tenemos las siguientes:

• PsExec: Permite ejecutar procesos al estilo CTRL + R (Ejecutar)
• PsFile: Lista los archivos que están abiertos remotamente
• PsGetSid: Nos brinda el SID de un computador o un usuario
• PsInfo: Este comando nos muestra información acerca del sistema
• PsKill: Nos brinda la posibilidad de terminar procesos
• PsList: Muestra información acerca de los procesos activos
• PsLoggedOn: Podemos ver los usuarios que han iniciado sesión en el sistema
• PsPasswd: Nos permite modificar las contraseñas de las cuentas registradas en el sistema
• PsPing: Cumple la función del comando Ping, permitiendo ver que haya comunicación entre dispositivos.
• PsService: Nos brinda la posibilidad de ver y controlar servicios.
• PsShutdown: Usando esta opción podemos apagar, reiniciar, cerrar sesión entre otras opciones.
• PsSuspend: Podemos suspender y reiniciar servicios

 

De la misma manera podemos encontrar más de otras 30 aplicaciones que nos pueden ser de gran ayuda, no solo a nivel local, sino también a nivel de dominio, algunas de estas otras aplicaciones de modo rápido son:

 

 

 

 

 

 

 

Como hemos podido observar contamos con una suite muy interesante pata la gestión, control y supervisión de nuestro Windows 10. La invitación es a revisar las diferentes aplicaciones incluidas en Sysinternals y determinar cuáles son las más adecuadas para nuestro trabajo y recordemos que estas herramientas son gratuitas en todo momento.