Windows Sysinternals의 철저한 설명을 읽어서 요약했습니다.

획득 방법

다운로드

첫 페이지
https://technet.microsoft.com/ja-jp/sysinternals
다음 URL에서 Sysinternals 키트를 다운로드할 수 있습니다.
https://download.sysinternals.com/files/SysinternalsSuite.zip
파일 수는 146(2017/9/15시간)으로 모든 도구를 포함하는 것으로 여겨진다.

ZIP 파일 압축을 풀기 전에

다운로드한 파일이 신뢰할 수 없는 파일로 실행될 때 다음과 같은 경고가 표시될 수 있습니까?
"이 프로그램을 장치로 바꾸는 것을 허락하십니까?"
경고를 보내지 않으려면 ZIP 파일을 확장하기 전에 블록을 해제해야 합니까?

특징

개발자가 진정으로 필요로 하는 기능
직관적이고 사용하기 쉽다
단일 실행 가능한 이미지를 설치할 필요가 없습니다.
중요한 데이터를 남기지 않고 실행됨

기본 지식

프로세스

구성 요소

· 프로세스 ID(PID)로 불리는 고유 식별자
· 하나 이상의 실행 스레드
• 전용 가상 주소 공간
실행 프로그램
· 시스템 리소스(신호, 통신 포트, 파일 등)를 위한 핸들 열기
・ 방문 영패로 불리는 안전 상하문

메모

상위 프로세스에 대한 PID 정보는 유지되지만 상위 프로세스가 종료된 경우에도 업데이트되지 않으므로 참조하십시오.
과정은 단지 하나의 용기일 뿐, 실행하지 않는다.실행된 것은 라인이다.

작업

여러 프로세스를 그룹화하여 관리 및 작업에 집중할 수 있습니다.

라인

구성 요소

· 프로세서 상태를 나타내는 CPU 레지스터 세트
두 개의 창고.하나는 커널 모드로, 다른 하나는 사용자 모드로 실행합니다.
• 스레드 로컬 스토리지: TLS라고 하는 전용 스토리지
· TID(스레드 ID)라는 고유 식별자입니다.프로세스 ID와 스레드 ID는 같은 네임스페이스에서 생성되므로 중복되지 않습니다.

메모

같은 프로세스의 모든 루트가 프로세스의 가상 주소 공간을 공유합니다.
프로세스 중의 한 라인이 사용하는 데이터 구조는 같은 프로세스의 다른 라인의 인용과 수정에 의해 보호되지 않습니다.
다른 프로세스의 주소 공간을 인용할 수 없습니다.(파일 매핑 객체는 예외)

호출 창고

어떤 부분을 실행하고 있는지 표시하는 코드가 아니라 그곳으로 어떻게 돌아가는지 표시합니다.
<모듈>!<함수 > + < 오프셋 >

Tools

Process Explorer(Procexp.exe)

개요

강력한 작업 관리자시스템 스냅샷을 확인합니다.

열 설명

열 이름
설명
Private Bytes
프로세스에 할당된, 제출된, 다른 프로세스와 공유하지 않는 메모리 바이트 수입니다.더미와 창고 메모리를 포함한다.메모리 유출이 존재하는 상황에서 이 값은 지속적으로 상승한다.
Working Set
메모리 관리자가 프로세스에 할당한 물리적 메모리의 크기입니다.

프로세스 처리(코어 프로세서 사용 제한)

제한할 프로세스를 선택하고 액세스 설정 을 마우스 오른쪽 버튼으로 클릭합니다.

DLL 및 핸들 찾기

· Ctrl+L을 통해 아래 창의 표시를 전환할 수 있습니다.

· 오른쪽에 있는 버튼을 통해 DLL과 핸들을 전환할 수 있습니다.
· 모든 프로세스에서 사용 중인 DLL을 검색하려면 Ctrl+F 키를 사용하여 프로세스 브라우저 검색 대화 상자를 표시하고 검색합니다.

TIPS1(주석)

프로세스의 세부 화면 (속성) 의 Image 옵션 카드에 "Comment"표시줄이 있기 때문에 설명을 입력하고 "열 화면 선택"의 Process Image 옵션 카드에 있는 "Comment"에서 확인하십시오.
입력한 주석은 레지스트리(HKEY_CURRENT_USER\Software\Sysinternals\Process Explorer\Process Comments)에 저장되며 프로세스를 다시 시작해도 유지됩니다.

TIPS2(작업 관리자 대신 사용)

옵션 메뉴에서 작업 관리자 복사를 선택합니다.
procexp.exe를 잘못 삭제하면 "taskmgr.exe를 찾을 수 없습니다."라고 오류가 발생하므로 다음 키를 삭제하여 제자리로 돌아갑니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

Process Monitor(Procmon.exe)

개요

자세한 로그 기록 도구로 등록표, 파일, 프로세스/스레드 및 네트워크 활동을 캡처합니다.
이것은 프로세스가 이 파일에 대한 저급 작업 (하드웨어에 가까운 작업), 언제 발생했는지, 얼마나 걸렸는지, 성공했는지, 왜 실패했는지, 호출 창고의 전체 목록 (조작을 위해 코드가 따르는 길) 을 알려준다.
강력한 유연한 필터 기능, 강조 표시 기능, 책갈피 기능이 있습니다.

사용 방법

Capture 스냅된 ON·OFF 전환
Clear 모든 디스플레이 지우기

Autoruns(Autoruns.exe)

개요

자동 시작 프로그램의 확인과 제어용 도구입니다.(작업 관리자 시작 레이블의 고급 버전)

화면 설명

태그는 많지만 "Everything"태그는 시스템의 모든 ASEP (Autostart Extensibility Points) 항목을 열거하고 다른 (19개 태그) 는 특정한 자동 시작 항목의 분류에 따라 표시합니다.

자동 시작 항목 비활성화 및 삭제

일람표에서 항목을 선택하면 Del 키를 사용하여 삭제할 수 있지만 복구할 수 없습니다.우선 체크 상자를 닫아서 무효화하는 것은 나무랄 데가 없다.

메모리 관련(RAMMAP, VMMap)

개요

이름
설명
RAMMap(RAMMap.exe)
물리적 메모리 사용에 대한 세부 보기 표시
VMMap(VMMap.exe)
프로세스 가상 메모리 및 물리적 메모리 사용 상세 정보 보기

RAMMap

VMMap

여러 프로세스 메모리 분배 상황의 스냅샷을 가져와 시간 순서대로 분배 상황의 변화를 보여 줍니다.
F5 키를 눌러 업데이트하고 TimeLine 버튼을 눌러 차트를 표시합니다.
자세히 분석하려면 프로세스 선택 또는 시작 화면에서 프로세스 실행 보기 탭에서 프로세스를 시작하지 않고 프로세스 시작 탭에서 시작 중인 프로세스를 선택합니다.

메모리 유형

이름
설명
Image
EXE 또는 DLL과 같은 실행 파일을 나타냅니다.
Mapped File
디스크에 해당하는 파일이며 공유 가능한 스토리지 매핑 파일입니다.
Shareable
다른 프로세스와 공유할 수 있는 메모리 보이기
Heap
쌓다애플리케이션 전용 메모리
Managed Heap
위탁 관리 더미.NET 실행 시 관리되는 전용 메모리
Stack
창고.함수 매개 변수, 로컬 변수 및 호출 기록을 저장하는 데 사용
Private Data
Heap, 관리형 Heap, Stack 이외
Page Table
커널 모드 전용 메모리