目 次

Windows Sysinternals徹底解説


序文(『インサイドWindows』共著者 David Solomon)
本書について

■第1部 はじめに 

第1章 Sysinternals ユーティリティの始め方 
1.1 Sysinternals ユーティリティの概要 
1.2 Windows SysinternalsのWeb サイト 
1.2.1 Sysinternals ユーティリティのダウンロード 
1.2.2 Live.sysinternals.com からユーティリティを直接実行する 
1.2.3 単一の実行可能イメージ 
1.2.4 Windows Sysinternals フォーラム 
1.2.5 Sysinternals Site Discussion ブログ 
1.2.6 Mark's ブログ 
1.2.7 Mark's Web キャスト 
1.3 Sysinternals のライセンス 
1.3.1 ソフトウェアライセンス条項と/accepteula スイッチ 
1.3.2 Sysinternalsのライセンスに関するFAQ(よくある質問) 

第2章 Windows のコアの概念を学ぶ 
2.1 管理者権限 
2.1.1  管理者権限でプログラムを実行する
(Windows XPおよびWindows Server 2003) 
2.1.2 管理者権限でプログラムを実行する(Windows Vista以降) 
2.2 プロセス、スレッド、およびジョブ 
2.3 ユーザーモードとカーネルモード 
2.4 ハンドル 
2.5 コールスタックとシンボル 
2.5.1 コールスタックとは 
2.5.2 シンボルとは 
2.5.3 シンボルの設定 
2.6 セッション、ウィンドウステーション、デスクトップ、
ウィンドウメッセージ 
2.6.1 ターミナルサービスセッション 
2.6.2 ウィンドウステーション 
2.6.3 デスクトップ 
2.6.4 ウィンドウメッセージ 

■第2部 リファレンスガイド 

第3章 Process Explorer 
3.1 Procexp の概要 
3.1.1 CPU 消費量の計測 
3.1.2 管理者権限 
3.2 メインウィンドウ 
3.2.1 プロセス一覧 
3.2.2 列のカスタマイズ 
3.2.3 表示データの保存 
3.2.4 ツールバーの説明 
3.2.5 プロセスが所有するウィンドウを識別する 
3.2.6 ステータスバー 
3.3 DLL とハンドル 
3.3.1 DLL とハンドルを検索する 
3.3.2 DLL ビュー 
3.3.3 ハンドルビュー 
3.4 プロセスの詳細 
3.4.1 [Image]タブ 
3.4.2 [Performance]タブ 
3.4.3 [Performance Graph]タブ 
3.4.4 [GPU Graph]タブ 
3.4.5 [Threads]タブ 
3.4.6 [TCP/IP]タブ 
3.4.7 [Security]タブ 
3.4.8 [Environment]タブ 
3.4.9 [Strings]タブ 
3.4.10 [Services]タブ 
3.4.11 .NET 関連タブ 
3.4.12 [Job]タブ 
3.5 スレッドの詳細 
3.6 デジタル署名を検証する 
3.7 システム情報 
3.8 表示オプション 
3.9 Procexp をタスクマネージャーの代わりに使用する 
3.9.1 Procexp から新しいプロセスを開始する 
3.9.2 他のユーザーセッション 
3.10 その他の機能 
3.10.1 シャットダウンオプション 
3.10.2 コマンドラインオプション 
3.10.3 既定の設定を復元する 
3.11 キーボードショートカットリファレンス 

第4章 Process Monitor 
4.1 Procmon を開始する 
4.2 イベント 
4.2.1 既定の表示列を理解する 
4.2.2 列表示をカスタマイズする 
4.2.3 イベントプロパティダイアログボックス 
4.2.4 プロファイルイベントを表示する 
4.2.5 イベントを検索する 
4.2.6 イベントデータをコピーする 
4.2.7 レジストリやファイルを直接開く 
4.2.8 オンラインで検索する 
4.3 フィルター表示と強調表示 
4.3.1 フィルターの設定 
4.3.2 強調表示の設定 
4.3.3 詳細な出力 
4.3.4 再利用のためにフィルターを保存する 
4.4 プロセスツリー 
4.5 Procmon トレースの保存と参照 
4.5.1 Procmon トレースを保存する 
4.5.2 保存したProcmon トレースを開く 
4.6 ブート時、ログオフ後、
およびシャットダウン時の動作状況をログに記録する 
4.6.1 ブートログを取得する 
4.6.2 ログオフ後もProcmon を実行し続けるには 
4.7 長期間のトレースとログサイズの制御 
4.7.1 フィルターされたイベントを破棄する 
4.7.2 履歴の保持期間 
4.7.3 バッキングファイル 
4.8 設定のインポートとエクスポート 
4.9 Procmonの自動化:コマンドラインオプション 
4.10 分析ツール 
4.10.1 プロセス活動の概要 
4.10.2 ファイルの概要 
4.10.3 レジストリの概要 
4.10.4 スタックの概要 
4.10.5 ネットワークの概要 
4.10.6 クロスリファレンスの概要 
4.10.7 値の出現回数 
4.11 Procmon のトレースにデバッグ出力を差し込む 
4.12 ツールバーリファレンス 

第5章 Autoruns 
5.1 Autoruns の基本 
5.1.1 自動開始エントリを無効化または削除する 
5.1.2 Autoruns と管理者権限 
5.1.3 コード署名を検証する 
5.1.4 Microsoft のエントリを隠す 
5.1.5 エントリの詳細情報を取得する 
5.1.6 他のユーザーの自動開始プログラムを参照する 
5.1.7 オフラインシステムのASEP を参照する 
5.1.8 未使用のASEP を表示する 
5.1.9 フォントを変更する 
5.2 自動開始の分類 
5.2.1 [Logon](ログオン)タブ 
5.2.2 [Explorer](Windows エクスプローラー)タブ 
5.2.3 [Internet Explorer]タブ 
5.2.4 [Scheduled Tasks](スケジュールされたタスク)タブ 
5.2.5 [Services](サービス)タブ 
5.2.6 [Drivers](ドライバー)タブ 
5.2.7 [Codecs](コーデック)タブ 
5.2.8 [Boot Execute](ブート時)タブ 
5.2.9 [Image Hijacks](イメージハイジャック)タブ 
5.2.10 [AppInit](AppInit_DLLs)タブ 
5.2.11 [KnownDLLs]タブ 
5.2.12 [Winlogon](Windows ログオン)タブ 
5.2.13 [Winsock Providers](Winsockプロバイダー)タブ 
5.2.14 [Print Monitors](プリンターモニター)タブ 
5.2.15 [LSA Providers](LSA プロバイダー)タブ 
5.2.16 [Network Providers](ネットワークプロバイダー)タブ 
5.2.17 [Sidebar Gadgets](サイドバーガジェット)タブ 
5.3 結果の保存と比較 
5.3.1 タブ区切りテキストに保存する 
5.3.2 バイナリ形式(.arn)で保存する 
5.3.3 保存した結果を参照および比較する 
5.4 コマンドライン版のAutorunsC 
5.5 Autoruns とマルウェア 

第6章 PsTools 
6.1 共通の機能 
6.1.1 リモート操作 
6.1.2 PsTools のリモート接続に関するトラブルシューティング 
6.2 PsExec 
6.2.1 リモートプロセスの終了 
6.2.2 コンソール出力のリダイレクト 
6.2.3 PsExec における別の資格情報 
6.2.4 PsExec のコマンドラインオプション 
6.2.5 プロセスパフォーマンスのオプション 
6.2.6 リモート接続のオプション 
6.2.7 実行環境のオプション 
6.3 PsFile 
6.4 PsGetSid 
6.5 PsInfo 
6.6 PsKill 
6.7 PsList 
6.8 PsLoggedOn 
6.9 PsLogList 
6.10 PsPasswd 
6.11 PsService 
6.11.1 query コマンド 
6.11.2 config コマンド 
6.11.3 depend コマンド 
6.11.4 security コマンド 
6.11.5 find コマンド 
6.11.6 setsonfig コマンド 
6.11.7 start / stop / restart / pause / cont コマンド 
6.12 PsShutdown 
6.13 PsSuspend 
6.14 PsTools のコマンドライン構文 
6.14.1 PsExec 
6.14.2 PsFile 
6.14.3 PsGetSid 
6.14.4 PsInfo 
6.14.5 PsKill 
6.14.6 PsList 
6.14.7 PsLoggedOn 
6.14.8 PsLogList 
6.14.9 PsPasswd 
6.14.10 PsService 
6.14.11 PsShutdown 
6.14.12 PsSuspend 
6.15 PsTools のシステム要件 

第7章 プロセスと診断のユーティリティ 
7.1 VMMap 
7.1.1 VMMap を開始してプロセスを選択する 
7.1.2 VMMap ウィンドウ 
7.1.3 メモリの種類 
7.1.4 メモリの情報 
7.1.5 タイムラインとスナップショット 
7.1.6 メモリ領域内のテキストを参照する 
7.1.7 テキストの検索とコピー 
7.1.8 インストルメント化プロセスのメモリ割り当てを参照する 
7.1.9 アドレス空間の断片化 
7.1.10 スナップショットの保存と読み込み 
7.1.11 VMMap のコマンドラインオプション 
7.1.12 VMMap の既定の設定を復元する 
7.2 ProcDump 
7.2.1 コマンドライン構文 
7.2.2 監視対象のプロセスを指定する 
7.2.3 ダンプファイルのパスを指定する 
7.2.4 ダンプ条件を指定する 
7.2.5 ダンプファイルのオプション 
7.2.6 ミニプラス(Miniplus)ダンプ 
7.2.7 ProcDump を非対話環境で実行する 
7.2.8 ProcDump ですべてのアプリケーションクラッシュを捕える 
7.2.9 デバッガーでダンプを参照する 
7.3 DebugView 
7.3.1 デバッグ出力とは 
7.3.2 DebugView の表示 
7.3.3 ユーザーモードデバッグ出力のキャプチャ 
7.3.4 カーネルモードデバッグ出力のキャプチャ 
7.3.5 デバッグ出力の検索、フィルター、および強調表示 
7.3.6 ログの保存、記録、および印刷 
7.3.7 リモート監視 
7.4 LiveKd 
7.4.1 LiveKd のシステム要件 
7.4.2 LiveKd を実行する 
7.4.3 LiveKd の使用例 
7.5 ListDLLs 
7.6 Handle 

第8章 セキュリティのユーティリティ 
8.1 SigCheck 
8.1.1 署名の検証 
8.1.2 スキャン対象のファイル 
8.1.3 追加のファイル情報 
8.1.4 出力フォーマット 
8.2 AccessChk 
8.2.1 「有効なアクセス許可」とは 
8.2.2 AccessChk の使い方 
8.2.3 オブジェクトの種類 
8.2.4 アクセス権の検索 
8.2.5 出力オプション 
8.3 AccessEnum 
8.4 ShareEnum 
8.5 ShellRunAs 
8.6 Autologon 
8.7 LogonSessions 
8.8 SDelete 
8.8.1 SDelete の使い方 
8.8.2 SDelete の仕組み 

第9章 Active Directory のユーティリティ 
9.1 AdExplorer 
9.1.1 ドメインに接続する 
9.1.2 AdExplorer の表示 
9.1.3 オブジェクト 
9.1.4 オブジェクトの属性 
9.1.5 オブジェクトの検索 
9.1.6 スナップショットの保存、参照、比較 
9.1.7 AdExplorer の構成の保存先 
9.2 AdInsight 
9.2.1 AdInsight によるデータのキャプチャ 
9.2.2 表示オプション 
9.2.3 関心のある情報を見つけるには 
9.2.4 イベントをフィルターする 
9.2.5 AdInsight データの保存とエクスポート 
9.2.6 AdInsight のコマンドラインオプション 
9.3 AdRestore 

第10章 デスクトップのユーティリティ 
10.1 BgInfo 
10.1.1 表示するデータを構成する 
10.1.2 外観のオプション 
10.1.3 構成設定を再利用のために保存する 
10.1.4 その他の出力オプション 
10.1.5 他のデスクトップを更新する 
10.2 Desktops 
10.3 ZoomIt 
10.3.1 ZoomIt の使い方 
10.3.2 ズームモード(Zoom) 
10.3.3 描画モード(Draw) 
10.3.4 タイプモード(Type) 
10.3.5 ブレークタイマー(Break Timer) 
10.3.6 ライブズーム(LiveZoom) 

第11章 ファイルのユーティリティ 
11.1 Strings 
11.2 Streams 
11.3 NTFS リンクのためのユーティリティ 
11.3.1 Junction 
11.3.2 FindLinks 
11.4 DU(Disk Usage) 
11.5 再起動後のファイル操作のためのユーティリティ 
11.5.1 PendMoves 
11.5.2 MoveFile 

第12章 ディスクのユーティリティ 
12.1 Disk2Vhd 
12.2 Diskmon 
12.3 Sync 
12.4 DiskView 
12.5 Contig 
12.6 PageDefrag 
12.7 DiskExt 
12.8 LDMDump 
12.9 VolumeID 

第13章 ネットワークと通信のユーティリティ 
13.1 TCPView 
13.2 Whois 
13.3 Portmon 
13.3.1 検索、フィルター、および強調表示 
13.3.2 ログの保存、記録、および印刷 

第14章 システム情報のユーティリティ 
14.1 RAMMap 
14.1.1 [Use Counts]タブ 
14.1.2 [Processes]タブ 
14.1.3 [Priority Summary]タブ 
14.1.4 [Physical Pages]タブ 
14.1.5 [Physical Ranges]タブ 
14.1.6 [File Summary]タブ 
14.1.7 [File Details]タブ 
14.1.8 物理メモリのパージ 
14.1.9 スナップショットの保存と読み込み 
14.2 CoreInfo 
14.3 ProcFeatures 
14.4 WinObj 
14.5 LoadOrder 
14.6 PipeList 
14.7 ClockRes 

第15章 その他のユーティリティ 
15.1 RegJump 
15.2 Hex2Dec 
15.3 RegDelNull 
15.4 Bluescreen Screen Saver 
15.5 Ctrl2Cap 

■第3部 トラブルシューティング ―“ 原因不明の…の問題” 

第16章 エラーメッセージ 
16.1 フォルダーが使用中でロックされる問題 
16.2 ウイルス対策ソフトの更新後に起動不能になる問題 
16.3 Lotus Notes のバックアップが失敗する問題 
16.4 メディアのリモート再生が失敗する問題 
16.5 Proksi ユーティリティがクラッシュする問題 
16.6 互換性エラーでインストールが失敗する問題 
16.6.1 トラブルシューティング 
16.6.2 トラブルの分析 
16.7 フォルダーの関連付けが失われる問題 
16.8 一時プロファイルが作成される問題 

第17章 ハングアップとパフォーマンスの低下 
17.1 Internet ExplorerのCPU 使用率が100% になる問題 
17.2 過剰なReadyBoost の問題 
17.3 基調講演用のデモ準備中に遭遇した起動遅延の問題 
17.4 Project ファイルを開くのに時間がかかる問題 
17.5 Outlook がハング状態になる複合的な問題 

第18章 マルウェア 
18.1 Sysinternals ユーティリティを遮断するマルウェアの問題 
18.2 新しいプロセスを強制終了するマルウェアの問題 
18.3 偽のシステムコンポーネントの問題 
18.4 ミステリアスなASEP の問題 

訳者あとがき