問題タブ [sysinternals]

私はpowershellに非常に慣れておらず、Windowsドメインの各コンピューターに移動してユーザープロファイルのサイズを取得するスクリプトを作成しています。私はpowershellスクリプトで以下を試しました

ただし、一部のコンピューターでは、以下のエラーが発生します。問題は、プロファイルの一部のディレクトリに長いパスがあり、get-ChildItem失敗しているようです

この時点でdu.exe、正常に動作する SysInternals の (diskusage) を使用してみましたが、出力をdu変数に取り込む方法がわかりません。私は私のスクリプトに以下を持っています

出力は

出力をどのようにしたいか

そのため、ネットワーク内のマルウェアを見つけるためのプロジェクトに取り組んでいます。ワークステーションでの起動の異常または変更を見つけるために、自動実行 (sysinternals) を自動化しようとしています。そのために、毎日複数のワークステーションについて日次レポートを作成し、確認したいと考えています。以前のレポートの変更について (相違点を見つける)。だから私はいくつかのアドバイスが必要です: 1. psexec(sysinternals) でスクリプトをリモート実行する必要がありますか? 高い特権を持つアカウントでは危険なようです..他に方法はありますか? 2.レポートの違いを見つけるための実用的なソフトウェア（xml、csv、またはテキストのみ）（使いやすい-無料でWindows）すでにcを使用して作成しようとしましたが、あまりにも多くの労力がかかります.pythonで書く必要があります.またはC＃のような他の言語...

次のコマンドを使用して、リモート PC でアプリケーションを開くために psexec を正常に実行していました。

しかし、今日突然、「calc」がリモート マシンで開かれていないことがわかりました。代わりに、タスク マネージャーのプロセス リストで実行されているだけです。

「-i 1」を「-i 2」に変更したときのいくつかの実験の後、再び機能することがわかりました。

なぜこれが起こったのか、セッション番号を変更する必要があるとどうやって判断できますか?

さまざまなユーザー向けに自動化スクリプトを作成する必要があるため、これを解決することが重要です。

ありがとう。

Handle.exe への絶対パスを指定すると、ファイルをロックしたすべてのプロセスが一覧表示されます。

ウィンドウズ7 64ビット

Handle.exe で述べたように、私の sample.dll は 6 つの異なるプロセスによってロックされています。各プロセスの sample.dll を実際に保持しているコード行を知りたいです。私の仕事は、巨大なアプリケーションのハンドル リークを修正することです。したがって、私の問題はプログラムの特定の部分に固定されていません。タスクは、ハンドル リークを含むレポートを生成し、誰がそれを作成したかを診断することです。リークは file に固有のものではなく、ファイル、レジストリ キー、イベント、セマフォ、スレッドなどのすべてのシステム リソースに展開されます。

Windbg を使用してダンプを取得しましたが、特にハンドル リークについてダンプ ファイルを診断する方法が見つかりませんでした。半日ほど検索したところ、問題に合った適切なチュートリアルや解決策が見つかりませんでした。

私の質問に答えるコマンドラインツールやその他のツールはありますか?

Windows の fltmgr、つまりフィルター マネージャーにミニ ファイル システム フィルター ドライバーを登録し、その中にコールバック (操作前および操作後のコールバック) 用の IRP を登録します。
フィルター マネージャーからのコールバックが必要な IRP は、私たち次第です。

だから私の質問は、どの IRP を処理し、どの IRP が処理していないサード パーティのフィルター ドライバーをどのように見つけることができるかということです。

これはこれまでで最も奇妙なことです。私の会社の製品は、Microsoft SQL Server 2008 R2 のデータベース ファイルを使用しています。myDB.mdf. そのファイルを削除して、別のシステムの同じ名前のデータベースに置き換えたいと考えています。だから私はそれを削除しようとしますが、もちろん、何らかのプロセスで使用されているためできません。そのファイルを開いているものがまだ実行されていないことを確認するために特に再起動しますが、それでも削除できません（同じ理由）。Sysinternals ProcessExplorer を起動し、Find->Find Handle または DLL を起動して、ファイル名を入力します。開いているプロセスの名前は「システム」で、PID は 4 です。そのため、[コントロール パネル] -> [プログラムと機能] に移動し、Microsoft SQL Server 2008 R2 のすべてのコンポーネントを 1 つずつアンインストールします。まだ削除できません。ああ、MS SQL Server 2012 がインストールされています...多分それだけです。そのすべてのコンポーネントをアンインストールします。Microsoft の他の SQL もアンインストールします。まだ削除できません。リブート。ドン' 何も開かず、それでも削除できません。「使用中のファイル: システムでファイルが開いているため、アクションを完了できません。ファイルを閉じて、もう一度やり直してください。[再試行] [キャンセル]」というエラーが表示されます。再度コントロールパネル→プログラムと機能を開き、SQLっぽいものが残っていないことを確認。ファイルのアイコンは、右上端が折り返された白い紙になります (つまり、ファイルの関連付けはありません)。

「システム」でファイルを開かないようにして削除できるようにする方法はありますか?

問題: Windows Server 2012 r2 ボックスで、Chef を使用して .dll コマンド コンポーネント (別名、regsvr32.exe を使用してボックスに登録した vb 6 ライブラリ) をプログラムで置き換えようとしていますが、ファイルをコピーすると、Web サイトのアプリ プールがロックされます。問題があるかどうかはわかりませんが、w3wp プロセスは IIS 経由で 32 ビットとして実行するように設定されています。

私の解決策（機能していません）：それを修正するために、コマンドラインツールを使用してdllへの参照を見つけ、それを使用しているアプリプールをリサイクルすることを考えていました. 残念ながら、SysInternals のプロセス エクスプローラーで dll を見つけることはできますが、Handles.exe (プロセス エクスプローラーのコマンド ライン バージョンと思われる) は何も返しません。誰かが私がどのようにハンドルを間違って使用しているか、またはこれのためのより良いツールがあるかどうかを教えてくれることを望んでいました.

Process Explorer - dll ComHelper.dll が見つかりました

コマンド ライン経由で処理 - dll ComHelper.dll が見つかりません

-- 編集 -- これは、管理者として実行中に w3wp をポイントしたときのハンドルの出力です。