SysinternalsというWebサイトをご存じだろうか？

何となくそこにたくさんのツールがあるのは知っていても、Webサイトが英語版しかないので全部読む気がしない。また、いくつかのツールは使っているけど、ほかにどういったユーティリティが提供されているのか細かく見ていないという人がいるのではないだろうか。

筆者もその1人で、「Process Explorer」などの有名なツールは使っていたが、全ぼうは把握していなかった。

Windowsを使っているシステム管理者や技術者の方ならば、Sysinternalsという名前を知っている方は多いはずだ。SysinternalsはWindows標準のツールでは管理できないシステム情報などを扱うツールを数多く提供している。

このSysinternalsは、Mark Russinovich氏とBryce Cogswell氏が1996年に設立したWinternals Softwareが提供するWebサイトで、現在はMicrosoftに買収されている。そして、2006年11月からMicrosoft TechNetで「Windows Sysinternals」というWebサイトで提供されている。

これらのツールではセキュリティカテゴリとして登録されているものもあり、PC上で動いているプロセスをさらに細かく表示するツールや、rootkit的動作をする可能性が含まれるレジストリを表示するものなど、不正なプロセスや挙動がないかを把握することも可能だ。今回はこのツール群から、システムのチェックに必要なもの、運用管理に便利なものをいくつかピックアップして紹介しよう。

多機能なプロセス管理ツール：Process Explorer

Process Explorerは、プロセスに関する情報や、プロセス管理に必要な操作などに必要と思われる機能を数多く盛り込んだプロセス管理のためのツールである。

図1 Process Explorer実行画面

現在稼働しているプロセスについての詳細情報の表示はもちろん、プロセスのkillやリスタート、サスペンド、優先度の変更なども行うことができる。プロセスに関する表示項目は、メニューの［View］→［Select Columns］でカスタマイズすることができるので、必要な項目を追加していくことができる。

また、メニューの［Options］→［Replace Task Manager］にチェックを入れることで、Ctrl＋Shift＋Escで呼び出す標準のタスクマネージャをProcess Exploreに置き換えることができる。

【Process Explorer for Windows】 http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx



プロセスの通信状態を表示：TCPView

TCPViewは、プロセスが利用するプロトコルやローカル／リモートのアドレス、使用しているポートとその状態をリアルタイムで表示することができるツールである。

図2 TCPView実行画面

通信の状態を表示する以外には、プロセスを選択して右クリックすることで、ファイルパスの表示やプロセスを終了させることもできる。またTCPViewには、tcpvconというコマンドライン版も同梱されている。

リモートシステム管理ツールセット：PsTools

PsToolsは、リモートのシステムを管理するためのコマンド集で、Psを接頭辞とする PsExec、PsFile、PsGetSid、PsInfo、PsKill、PsList、PsLoggedOn、PsLogList、PsPasswd、PsService、PsShutdown、PsSuspendの12種類のツールである。

リモートのWindowsマシンに対してPsToolsのコマンドを使うことで、プロセスの起動（PsExec）・終了（PsKill）や、イベントログの表示（PsLogList）、サービスの管理（PsService）、シャットダウン（PsShutdown）などを実行することができる。

シンボリックリンクを作成：Junction

Junctionは、Windowsでディレクトリのシンボリックリンクを作成・削除するためのツールである。

シンボリックリンクを作成することで、ディレクトリに別の名前を与えることができる。そしてそのシンボリックリンクは、元の本体と同様に扱えるようになる。UNIX系のOSを使い慣れている方ならば、Windowsでもシンボリックリンクを活用したいと思ったことがあるのではないだろうか。

> junction.exe c:\symbolic c:\original Junction v1.04 - Windows junction creator and reparse point viewer Copyright (C) 2000-2005 Mark Russinovich Systems Internals - http://www.sysinternals.com Created: c:\symbolic Targetted at: c:\original 図3 Junction実行イメージ

ここで紹介したユーティリティ以外にも、SysinternalsのWebサイトでは、60種類を超えるユーティリティが提供されている。また、Windowsシステムに関する有益な情報も提供されている。システム管理に有用なユーティリティや情報が多数あるので、一度試してみてはいかがだろうか。

新たなリリースやアップデート情報などは「Sysinternals Site Discussion」で詳しいものが提供されている。RSSフィードも提供されているので、利用者はこちらをチェックしておくとよいだろう。参考までにユーティリティ一覧と簡単な説明をまとめているので、 ぜひ使ってみて欲しい。現在、SysinternalsのWebサイトは英語版しかないが、マイクロソフトのWebサイトなのでそのうち日本語版が作成されることに期待したい。

参考：Sysinternals 全ユーティリティ一覧

Profile 上野 宣（うえの せん） 株式会社トライコーダ代表取締役 ネットワーク・セキュリティ監査、セキュリティ対策・運用改善コンサルティングを主な業務としている。 情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」（共に翔泳社）がある。個人ブログは「うさぎ文学日記」

