LogonSessions

Программа выводит список сеансов входа в систему, активных в данный момент, а также (если задан параметр -p) процессов, исполняемых в рамках каждого из этих сеансов.

Синтаксис: logonsessions [-p]

Пример: команда logonsessions выводит все зарегистрированные сейчас сеансы, а также их SID, имя пользователя, время начала работы, тип логина.

WinHex

WinHex - универсальный HEX-редактор.

Как редактор дисков позволяет работать с жесткими дисками, дискетами, CD-ROM, DVD, ZIP, Smart Media, Compact Flash memory cards и прочими носителями, при этом поддерживается FAT12, FAT16, FAT32, NTFS, CDFS. Кроме этого, WinHex обеспечивает доступ к виртуальной памяти и позволяет производить множество других операций, включая, например, клонирование дисков или надежное удаление конфиденциальной информации - без возможности последующего восстановления.

- значки означают: открыть диск, клонировать диск, открыть RAM, калькулятор, анализ диска

Пример:

1. кнопка “Open Disk” (Открыть Диск) вызывает окно информации о дисках: здесь выводит список логических дисков (Logical Drive Letters) и внешних физических устройствах (Physical Media).

Если выбрать какой-либо логический или физический том, то программа производит его анализ и выводит следующую информацию: размер, дату созданию, дату изменения, дату последнего обращения, атрибуты доступа и первый сектор на диске, также может указываться формат файлов:

2. Кнопка “Clone Disk”. Позволяет копировать всю информацию на диске.

Выбирается диск, подлежащий копированию (Source: medium Drive C: (10,0 GB)), диск, на который предстоит копирование. Дополнительно можно выбрать функцию включения копирования поврежденных областей (Avoid damaged areas), копирование секторов в обратном порядке (Copy sectors in reserve order) и выключение системы после окончания копирования (Shut down system after completion).

3. Кнопка “Open RAM”. Позволяет просмотреть состояние RAM на текущий момент времени.

Можно также указать программе включение свободных регионов.

Можно просмотреть, сколько у каждого процесса (выводится вместе с идентификатором) библиотек и сколько они занимают места, а также их адрес в памяти, кроме того можно произвести анализ первичной, переменной и все памяти, которую занимает процесс в памяти.

К примеру, анализ Entire Memory (Вся память, выделенная процессу):

Выводит следующую информацию :имя процесса (Svchost), основной размер (31,8 Мб), основной адрес в регистре (00010000), параметры безопасности модуля (только для чтения), кодировка ( СР 1251), размещение (на виртуальной памяти), количество байт на странице ( 464), состояние буфера обмена (пуст), количество свободного места (14,5 Мб) и размещение файла Temp.

В правой части дано подробное описание виртуальных адресов записей процесса.

4. Кнопка “Analyze File” (Анализ файла).

Предоставляет нам графическую интерпретацию информации об обращениях к данному файлу во времени. К примеру, обращений было 87, коэффициент сжатия – 46 %, а обращения составили 0,48 % от текущих в данный момент.

Подробное описание команд, их параметры и примеры использования.

ASSOC

Вывод или изменение связи между расширениями имени и типами файлов. Запущенная без параметров команда assoc выводит список текущих связей между расширениями имени и типами файлов. Синтаксис assoc [.рсш[=[тип_файла]]] Параметры .рсш Задание расширения имени файла. тип_файла Задание типа файла, с которым сопоставляется указанное расширение имени файла. /? Отображение справки в командной строке. Пример использования. assoc | more показывает текущее сопоставления типов файлов assoc .txt выводит текущий тип файла, соответствующий расширению имени файла .txt assoc .txt= удалить тип файла, соответствующий расширению имени файла .txt удаление не прошло, возможно из-за прав доступа.   AT Запуск программ и команд в заданное время. Команду at можно использовать только при запущенной службе расписаний. Вызванная без параметров команда at выводит список всех команд и программ, которые будут запущены с ее помощью. Синтаксис at [\\имя_компьютера] [{[код] [/delete]|/delete [/yes]}] at [[\\имя_компьютера] часы:минуты [/interactive] [{/every:дата[,...]|/next:дата[,...]}] команда] Параметры \\имя_компьютера Задание удаленного компьютера, на котором могут быть запущены команды и программы. Если этот параметр не задан, предполагается, что они будут запущены на том компьютере, где выполняется команда at. код Указание идентификационного номера, присваиваемого команде или программе, которая будет запущена. /delete Отмена выполнения команды. Если идентификатор Код не задан, все запланированные команды на компьютере будут отменены. /yes Задание утвердительного ответа на все запросы системы при отмене запланированных событий.часы:минуты Задание времени запуска команды. Время задается в 24-х часовом формате часы:минуты (от 00:00 [полночь] до 23:59). /interactive Обмен данными с помощью команды с теми пользователями, которые работают в системе в момент выполнения запланированной команды. /every: Выполнениекоманды в указанный день или дни в течение недели или месяца (например каждый четверг или каждый третий день месяца). дата Задание даты выполнения команды. Имеется возможность указать один или несколько дней недели (т. е. ввести M,T,W,Th,F,S,Su) либо один или несколько дней месяца (т. е. ввести числа в диапазоне от 1 до 31). Несколько дат разделяются запятыми. Если параметр дата не задан, в команде at используется текущий день месяца. /next: Выполнение команды при наступлении следующей заданной даты (например в следующий четверг). команда Задание команды Windows, программы (т. е. файл .exe или .com) или пакетного файла (т. е. файл .bat или .cmd), которые требуется выполнить. Если для задания команды необходимо указывать ее местоположение, имя файла задается полностью, с указанием пути и диска. Если команда запускается на удаленном компьютере, укажите имя сервера и сетевое имя в стандартном формате записи пути (UNC), а не имя диска этого компьютера. Пример использования. at 17:43 color FC устанавливаем новую команду – изменение цвета экрана на время 17:43 at 17:48 color FE устанавливаем новую команду – изменение цвета экрана на время 17:48 at показывает список назначенных команд at /delete удаление всех назначенных команд

ATTRIB

Позволяет просматривать, устанавливать или снимать атрибуты файла или каталога, такие как «Только чтение», «Архивный», «Системный» и «Скрытый». Выполненная без параметров команда attrib выводит атрибуты всех файлов в текущем каталоге.