La suite Sysinternals est une collection d’outils gratuits et puissants pour diagnostiquer, déboguer et analyser en profondeur le système d’exploitation Windows. Initialement développée par Mark Russinovich et Bryce Cogswell, Sysinternals a été acquise par Microsoft en 2006 et reste à ce jour l’une des références pour les administrateurs système, les développeurs et les utilisateurs avancés qui souhaitent comprendre et optimiser les processus sous Windows.
Vous pouvez installer les outils sysinternals facilement avec scoop.sh ou chocolatey.
Voici un aperçu détaillé des outils les plus importants de la suite Sysinternals, ainsi que leurs applications concrètes.
Table of Contents
1. Process Explorer : Analyse avancée des processus
Process Explorer est l’un des outils les plus populaires de Sysinternals, offrant une vue détaillée des processus actifs sur votre machine. Il va bien au-delà du Gestionnaire des tâches Windows en affichant non seulement les processus, mais aussi les fichiers, clés de registre et DLL (Dynamic Link Libraries) utilisés par chaque processus.
Principales fonctionnalités :
- Vue hiérarchique des processus : Process Explorer permet de visualiser les processus sous forme d’arborescence, ce qui aide à identifier les relations parent-enfant entre eux (par exemple, quelle application a lancé tel processus).
- Identification des processus cachés : Il peut détecter les processus cachés ou suspects, souvent liés à des logiciels malveillants.
- Recherche des DLL : Vous pouvez voir quelles DLL sont chargées par un processus donné, ce qui est crucial pour comprendre le comportement d’une application.
- Affichage de l’utilisation des ressources : Il affiche l’utilisation du CPU, de la mémoire, des E/S disque et réseau en temps réel.
Cas d’usage :
- Analyse de logiciels malveillants : Utiliser Process Explorer pour repérer les processus inconnus ou cachés qui pourraient être des virus ou des trojans.
- Débogage d’applications : Lorsque vous suspectez qu’une application est bloquée à cause d’une DLL, cet outil vous permet de vérifier ce qui est chargé.
- Analyse de fuite de mémoire : Suivez l’utilisation de la mémoire pour identifier les fuites dans les applications en cours d’exécution.
2. Process Monitor : Surveillance en temps réel des accès aux fichiers et au registre
Process Monitor combine deux anciens outils (Filemon et Regmon) pour créer un utilitaire puissant permettant de surveiller en temps réel toutes les activités du système de fichiers, de la base de registre et des processus. C’est un incontournable pour le débogage profond d’applications.
Principales fonctionnalités :
- Suivi des accès fichier et registre : Vous pouvez voir quels processus accèdent à quels fichiers et clés de registre en temps réel.
- Filtrage puissant : Des options de filtrage vous permettent de n’afficher que les processus ou événements qui vous intéressent, en fonction de critères comme le nom du processus, les types d’opérations (lecture, écriture) ou les chemins de fichiers.
- Capture d’événements système : Process Monitor peut capturer une trace de tous les événements pour une analyse ultérieure.
- Visualisation des erreurs : Vous pouvez repérer rapidement les accès refusés, les fichiers ou clés manquants, et autres erreurs qui pourraient bloquer une application.
Cas d’usage :
- Diagnostic de problèmes d’installation : Lorsque l’installation d’une application échoue, Process Monitor peut identifier quel fichier ou clé de registre est manquant ou inaccessible.
- Résolution des permissions système : Vous pouvez identifier des erreurs « Access Denied » et ajuster les permissions en conséquence.
- Analyse de performance : Vérifiez si une application effectue trop de lectures/écritures disque ou d’accès au registre, ce qui peut ralentir le système.
3. Autoruns : Gestion des démarrages automatiques
Autoruns est un outil permettant de gérer tout ce qui démarre automatiquement avec Windows, que ce soit via le dossier de démarrage, les tâches planifiées, les services Windows, ou encore les extensions de navigateur. Il offre un contrôle très précis sur les éléments du démarrage, et peut même désactiver ou supprimer des éléments cachés.
Principales fonctionnalités :
- Vue complète des points de démarrage : Autoruns affiche tous les programmes, services, tâches planifiées, et pilotes qui démarrent avec Windows.
- Désactivation facile : Il est possible de désactiver des éléments en un seul clic, sans les supprimer définitivement.
- Détection de logiciels malveillants : Les malwares ajoutent souvent des entrées de démarrage pour se relancer à chaque démarrage du système, et Autoruns permet de détecter et désactiver ces entrées.
- Filtrage Microsoft : Vous pouvez filtrer pour ne voir que les éléments non-Microsoft, ce qui est utile pour isoler des programmes externes potentiellement indésirables.
Cas d’usage :
- Accélération du démarrage : Désactiver les applications inutiles qui ralentissent le démarrage de Windows.
- Suppression de logiciels malveillants : Trouver et désactiver les éléments malveillants qui se relancent à chaque démarrage.
- Gestion des services et drivers : Gérer les services système qui démarrent automatiquement et peuvent consommer des ressources inutilement.
4. TCPView : Surveillance des connexions réseau
TCPView est un utilitaire léger qui montre en temps réel toutes les connexions TCP et UDP sur votre système, y compris les adresses locales et distantes, les ports utilisés et l’état des connexions.
Principales fonctionnalités :
- Vue en temps réel des connexions : TCPView liste toutes les connexions réseau actives sur la machine, ainsi que leur état (établi, en attente, etc.).
- Informations détaillées sur les processus : Il affiche également le processus qui a initié la connexion.
- Fermeture de connexions : Vous pouvez clore les connexions réseau suspectes directement depuis TCPView.
- Statistiques sur les connexions : TCPView montre également des statistiques détaillées sur l’envoi et la réception de données via chaque connexion.
Cas d’usage :
- Détection de logiciels malveillants : Vous pouvez identifier rapidement les connexions suspectes qui pourraient indiquer une activité malveillante.
- Analyse de performance réseau : Surveillez quelles applications consomment de la bande passante et ajustez leur comportement si nécessaire.
- Débogage des connexions réseau : Si une application a du mal à se connecter à un serveur distant, TCPView peut révéler où le problème se situe (problème d’adresse, de port, etc.).
Conclusion
La suite Sysinternals est un incontournable pour tout administrateur ou utilisateur avancé de Windows. Que ce soit pour déboguer des applications, améliorer les performances, détecter des activités malveillantes, ou gérer les processus système, ces outils offrent des fonctionnalités puissantes et granuleuses qui vont bien au-delà des utilitaires natifs de Windows.
- Process Explorer est idéal pour examiner et gérer les processus.
- Process Monitor vous permettra de capturer et d’analyser en profondeur les événements du système.
- Autoruns facilitera la gestion des éléments de démarrage automatique, et
- TCPView vous donnera un aperçu complet de l’activité réseau en temps réel.
Pour télécharger ces outils et explorer plus d’options, rendez-vous sur le site officiel de Sysinternals : Sysinternals Suite.
Ces outils sont régulièrement mis à jour et représentent des ressources précieuses pour toute tâche liée au débogage et à l’optimisation du système.