Пакет консольных программ PsTools
PsTools является пакетом консольных программ, работающих в командной строке. PsTools является очень мощным средством, так как его можно интегрировать с командными файлами. PsList выводит список процессов, работающих на локальном или на удаленном компьютере. PsFile выводит только файлы, открытые удаленным компьютером, и не выводит файлы открытые локально.
Handle выводит список всех дескрипторов, открытых процессом. Handle выводит, по умолчанию, только дескрипторы файлов, если не задан аргумент —а, если —а включить, будут выводиться все дескрипторы. Дескрипторы не являются уникальными на уровне системы.
Filemon выводит в реальном времени действия с файловой системой на локальном компьютере. Можно использовать PsExec для запуска Filemon под учетной записью System, чтобы можно было следить за действиями с файлами при входе в систему и выходе из нее.
Программа Filemon очень полезна при решении задачи идентификации программы, создающей файлы.
Реестр Windows содержит информацию об установочных параметрах программ, о конфигурациях драйверов устройств, о настройках управления памятью и процессами, а также об элементах автозапуска программ на начальном этапе работы компьютера. Реестр содержит шесть основных ключей (root keys). Реестр хранится не в одном файле, а загружается из отдельных файлов. Regmon позволяет наблюдать за действиями с реестром в реальном времени.