Утилиты NirSoft для извлечения информации из Windows


Оглавление

1. Программное обеспечение для компьютерной криминалистики на Windows

2. Программы по восстановлению паролей

3. Программы для мониторинга сети

4. Программы для извлечения информации из веб-браузеров и почтовых клиентов

5. Утилиты, связанные с Интернетом, сетью и сетевым оборудованием

6. Настольные утилиты

7. Дисковые утилиты

8. Системные утилиты

Где скачать и как русифицировать программы NirSoft

Заключение


На веб-сайте NirSoft можно найти уникальную коллекцию маленьких и полезных программ, все их разработал Nir Sofer.

У этих программ специфическое предназначение – они извлекают информацию (с постоянных носителей, из сетевых потоков, реестра и т.д.) из компьютеров на Windows. С их помощью вы можете восстановить потерянные пароли, мониторить вашу сеть для просмотра и извлечения кукиз, кэша и другой информации, хранимой веб-браузерами, искать по файлам в вашей системе, мониторить изменения в файловой системе и в системном Реестре и многое другое.

Программы являются бесплатными, не требуют установки, не содержат каких-либо вредоносных или рекламных компонентов. У программ присутствует графический интерфейс, многие программы также поддерживают работу в командной строке. У всех программ имеется поддержка многих языков и практически для всех сделан перевод на русский язык. Во время своей работы программы ничего не записывают в реестр Windows, т.е. при использовании с USB носителя не оставляют следов своего присутствия.

Познакомившись с программами NirSoft вы сможете извлекать забытые пароли и другую информацию, а также сможете оценить, что хранится на вашем компьютере и что из него могут получить злоумышленники.

Программы регулярно обновляются, также постоянно добавляются новые инструменты.

В полном списке программы разделены на следующие разделы:

  • восстановление паролей
  • мониторинг сети
  • извлечение информации из веб-браузеров
  • работа с видео/аудио
  • работа с Интернет
  • утилиты командной строки
  • настольные
  • работа с Outlook/Office
  • программерские инструменты
  • дисковые утилиты
  • системные утилиты
  • прочие утилиты

Отдельные программы автор выделяет в разделы «Программное обеспечение для компьютерной криминалистики на Windows» и «Инструменты для работы с паролями», начнём знакомство с них.

Программное обеспечение для компьютерной криминалистики на Windows

WinDefThreatsView

WinDefThreatsView — это инструмент для Windows 10, который отображает список всех угроз, обнаруженных антивирусом Защитника Windows, и позволяет легко установить действие по умолчанию (Разрешить, Карантин, Очистить, Удалить, Блокировать или Нет действий) для нескольких угроз одновременно. Вы можете использовать этот инструмент на своём локальном компьютере, а также на удалённом компьютере, если у вас есть разрешение на доступ к WMI на удалённом компьютере.

Для каждой угрозы отображается следующая информация: имя файла, имя угрозы, серьёзность, имя процесса, время первоначального обнаружения, время изменения статуса, время исправления, идентификатор угрозы, статус угрозы, действие по умолчанию для угрозы и многое другое…


InstalledPackagesView

InstalledPackagesView — это инструмент для Windows, который отображает список всех пакетов программного обеспечения, установленных в вашей системе с помощью установщика Windows, и перечисляет связанные с ними файлы, ключи реестра и сборки .NET. Для каждого установленного программного обеспечения отображается следующая информация: отображаемое имя, отображаемая версия, дата установки, время реестра, расчётный размер, место установки, источник установки, имя файла MSI (в C:\Windows\Installer) и многое другое…

Вы можете просматривать информацию об установленных пакетах программного обеспечения из вашей локальной системы или из другой системы на внешнем жёстком диске.

Информация об установленном программном обеспечении загружается из следующих ключей реестра:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\Products
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\Components

Имейте в виду, что этот инструмент перечисляет только программное обеспечение, установленное установщиком Windows (MSI), он не перечисляет какое-либо программное обеспечение, установленное другими установщиками.

InstalledAppView

InstalledAppView — это инструмент для Windows 10, который отображает подробную информацию о приложениях Windows 10, установленных в вашей системе. Для каждого приложения Windows отображается следующая информация: имя приложения, версия приложения, имя реестра, время изменения реестра, папка установки, владелец папки установки, команда удаления и многое другое…

InstalledAppView позволяет загружать список приложений Windows 10 из вашей локальной системы, удалённого компьютера в вашей сети и с внешнего диска, подключённого к вашему компьютеру.

InstalledAppView также позволяет просматривать XML-файлы приложения Windows (AppxManifest.xml и AppxBlockMap.xml), удалять приложения, незаметно удалять приложения, открывать установочную папку приложения и многое другое…

WinUpdatesView

WinUpdatesView — это простой инструмент, который отображает историю обновлений Windows в вашей системе. WinUpdatesView может загружать историю обновлений Windows из вашей локальной системы, используя API, а также может читать и анализировать файл базы данных обновлений Windows (DataStore.edb) с внешнего диска или с удалённого компьютера в вашей сети.

Для каждой записи истории обновлений Windows WinUpdatesView отображает следующие поля: заголовок, описание, дата установки, операция обновления (установка, удаление, не начато, выполняется), результат операции (успешно, успешно с ошибками, сбой, прервано), категория, информационный URL-адрес, URL-адрес поддержки, примечания к удалению, идентификатор клиентского приложения, идентификатор службы, идентификатор обновления, номер версии, несопоставленный код результата, выбор сервера, hResult.

ExifDataView

ExifDataView — это небольшая утилита, которая считывает и отображает данные Exif, хранящиеся в файлах изображений .jpg, созданных цифровыми камерами. Данные EXIF включают название компании, создавшей камеру, модель камеры, дату и время, когда была сделана фотография, время экспозиции, скорость ISO, информацию GPS (для цифровых камер с GPS) и многое другое.

PropertySystemView


PropertySystemView — это инструмент, который позволяет просматривать и изменять свойства файла из графического интерфейса пользователя и из командной строки, используя систему свойств операционной системы Windows. Например, вы можете изменить метку времени «Media Created», хранящуюся в файлах .mp4 (System.Media.DateEncoded), а также другие метаданные, хранящиеся в файлах мультимедиа и офисных документах, такие как Название, Комментарии, Авторы, Теги, Дата получения, Последняя дата сохранения, Дата создания контента, Дата импорта, дата съёмки (EXIF файлов .jpg) и многое другое…

PropertySystemView также позволяет вам устанавливать свойства Windows. Например, вы можете установить свойство System.AppUserModel.ID окна, чтобы отключить группировку панели задач указанного окна.

FullEventLogView

FullEventLogView — это простой инструмент для Windows 10/8/7/Vista, который отображает в таблице сведения обо всех событиях из журналов событий Windows, включая описание события. Он позволяет вам просматривать события вашего локального компьютера, события удалённого компьютера в вашей сети, а также события, хранящиеся в файлах .evtx. Он также позволяет экспортировать список событий в файл форматы текст/csv/с TAB разделителями/html/xml из графического интерфейса пользователя и из командной строки.

BrowsingHistoryView

BrowsingHistoryView считывает и показывает информацию о посещённых сайтах для всех популярных браузеров. Кроме адреса посещённых страниц, показывается её имя, время посещения, счётчик визитов и прочее. Можно извлечь информацию из всех профилей пользователей системы, а также из внешнего диска. Присутствует возможность сохранения результатов.

Настройки:

MyLastSearch 

MyLastSearch сканирует кэш и файлы историй вашего веб-браузера и определяет все пользовательские запросы, которые вы сделали в самых популярных поисковых системах (Google, Yahoo и MSN), на самых популярных сайтах социальных сетей (Twitter, Facebook, MySpace), а также на других популярных сайтах (YouTube, Wikipedia, Friendster, hi5).

К сожалению, программа не знает про google.ru (с google.com всё в порядке) и не знает про yandex.ru – т.е. поиски по этим сайтам она не видит. Печалька, но я уже отписал автору об этой проблеме – возможно, поправят в одном из будущих релизов.

UPD: Начиная с версии 1.65 добавлена поддержка для поисков в Yandex, DuckDuckGo и google.ru.

Программы для просмотра кэша браузеров (IECacheView, MozillaCacheView, ChromeCacheView, MZCacheView)

Работа программ IECacheView, MozillaCacheViewChromeCacheView, MZCacheView напоминает работу BrowsingHistoryView, но просмотр кэша позволяет видеть каждый индивидуальный файл (скаченные ссылки, изображения и т.д.), а не только адреса посещённых страниц.

Программы для просмотра кукиз (ChromeCookiesView, IECookiesView, MZCookiesView, EdgeCookiesView)

Как вы уже поняли, ChromeCookiesView, IECookiesView, MZCookiesViewEdgeCookiesView используются для просмотра кукиз в различных веб-браузерах.


На самом деле, выделение раздела программ для IT криминалистики, на мой взгляд, довольно условно – там все программы в той или иной мере предназначены для цифрового форенсиса. Особенно это касается программ для извлечения сохранённых на компьютер паролей – кстати, перейдём теперь к ним.

EdgeCookiesView — это инструмент для Windows, который отображает файлы cookie, хранящиеся в более новых версиях веб-браузера Microsoft Edge и IE11 (начиная с Fall Creators Update 1709 для Windows 10). Он также позволяет вам выбрать один или несколько файлов cookie, а затем экспортировать их в файл с разделителями табуляции, файл csv, файл html или файл в формате cookie.txt. Вы можете прочитать файлы cookie из текущей работающей системы или из базы данных WebCacheV01.dat на внешнем жёстком диске.

Примечание. Новая версия Edge теперь основана на Chromium, поэтому вы можете использовать инструмент ChromeCookiesView для просмотра файлов cookie этого нового веб-браузера Edge.

EdgeCookiesView и IECookiesView

IECookiesView — очень старый инструмент, изначально разработанный в 2002 году (!), И он до сих пор работает с более ранними версиями веб-браузера Edge, которые хранят файлы cookie в текстовых файлах, точно так же, как Internet Explorer. Но начиная с Fall Creators Update 1709 для Windows 10 файлы cookie веб-браузера Microsoft Edge хранятся в базе данных WebCacheV01.dat вместе с историей и информацией кеша, поэтому IECookiesView больше не может читать файлы cookie Edge.

EdgeCookiesView — это новый инструмент, предназначенный для чтения файлов cookie из базы данных WebCacheV01.dat.

Программы по восстановлению паролей

SecurityQuestionsView

SecurityQuestionsView — это инструмент для Windows 10, который позволяет просматривать контрольные вопросы и ответы на них, хранящиеся в реестре операционной системы Windows 10.

SecurityQuestionsView может расшифровать контрольные вопросы, хранящиеся в вашей текущей работающей системе (требуется повышенных прав), а также расшифровать контрольные вопросы, хранящиеся на внешнем жёстком диске.

SecurityQuestionsView отображает вопросы безопасности всех пользователей в вашей системе, которые решили установить свои вопросы безопасности, для каждого пользователя обычно храниться 3 вопроса.

WebBrowserPassView

Программа WebBrowserPassView восстанавливает сохранённые пароли из браузеров. Поддерживаются следующие веб-браузеры: Internet Explorer (версии 4.0 - 11.0), Mozilla Firefox (все версии), Google Chrome, Safari и Opera.

Этот инструмент может использоваться для восстановления потерянных/забытых паролей от любого веб-сайта, включая такие популярные веб-сайты как Facebook, Yahoo, Google и GMail.

После получения потерянных паролей, их можно сохранить в текстовый/html/csv/xml файл, для этого выберите соответствующий пункт меню или нажмите (Ctrl+S).

Кроме универсальной программы под все браузеры, имеется четыре отдельных программы под каждый конкретный браузер. Если вас интересует восстановление паролей только, например, из Mozilla Firefox, то скачайте PasswordFox.

WirelessKeyView

WirelessKeyView восстанавливает все пароли беспроводных сетей (WEP/WPA), хранимые на вашем компьютере. Работает на всех версиях Windows. Позволяет вам с лёгкостью сохранить все парольные фразы в текстовый/html/xml файл или скопировать выбранный ключ в буфер обмена. Также для просмотра на другом компьютере, вы можете использовать в программе функции экспорта и импорта.

Mail PassView

Mail PassView – это небольшой инструмент по восстановлению паролей, который раскрывает пароли и другую информацию об учётных записях для следующих клиентов электронной почты:

  • Outlook Express
  • Microsoft Outlook 2000 (только аккаунты POP3 и SMTP)
  • Microsoft Outlook 2002/2003/2007/2010/2013/2016 (POP3, IMAP, HTTP и SMTP аккаунты)
  • Windows Mail
  • Windows Live Mail
  • IncrediMail
  • Eudora
  • Netscape 6.x/7.x (если пароль не зашифрован мастер-паролем)
  • Mozilla Thunderbird (если пароль не зашифрован мастер-паролем)
  • Group Mail Free
  • Yahoo! Mail – если пароль сохранён в программе Yahoo! Messenger.
  • Hotmail/MSN mail – если пароль сохранён в программе MSN/Windows/Live Messenger.
  • Gmail – если пароль сохранён в программе Gmail Notifier, Google Desktop или в Google Talk.

VNCPassView

VNCPassView небольшая утилита для восстановления паролей, сохранённых инструментами VNC.

Кроме перечисленных, на сайте присутствуют и другие программы для просмотра сохранённых на компьютер паролей.

Программы для мониторинга сети

Это очень обширная группа программ, включает как инструменты для контроля за беспроводными сетями Wi-Fi, так и за проводными. Рассмотреть каждую программу не представляется возможным, взглянем только на некоторые из них.

SmartSniff

SmartSniff – это утилита сетевого мониторинга, которая позволяет захватывать TCP/IP пакеты, которые проходят через ваш сетевой адаптер и просматривать захваченные данные как последовательность разговоров между клиентами и серверами. Вы можете просматривать TCP/IP беседы в режиме Ascii (для протоколов на основе текста, таких HTTP, SMTP, POP3 и FTP.) или как шестнадцатеричный дамп (для нетекстовых протоколов, таких как DNS).

CurrPorts

CurrPorts показывает все открытые TCP/IP и UDP порты вашего локального компьютера. Для каждого порта выводится информация о процессе, который его открыл, информация о версии, время, когда он был создан и создавшего его пользователя.

Дополнительно CurrPorts позволяет вам закрывать нежелательные TCP соединения, убивать процесс, который открыл порты и сохранять информацию о TCP/UDP портах в файлы различных форматов.

CurrPorts также автоматически помечает розовым цветом TCP/UDP порты, владельцем которых является неидентифицируемое приложение (приложения без информации о версии и иконки).

NetworkConnectLog

NetworkConnectLog непрерывно сканирует вашу локальную сеть (используя протоколы ARP и Netbios) и добавляет новые записи в журнал каждый раз, когда новый компьютер или устройство подключилось к вашей сети или отключилось от неё.

Wireless Network Watcher

Wireless Network Watcher – это небольшая программа, которая сканирует вашу беспроводную сеть и отображает список всех компьютеров и устройств, которые в данный момент подключены к ней.

Для каждого компьютера или устройства, подключённого к вашей сети, отображается следующая информация: IP адрес, MAC адрес, компания-производитель сетевой карты и, опционально, имя компьютера.

WifiHistoryView

WifiHistoryView программа для Windows 10/8/7/Vista, которая отображает подключения к беспроводным сетям на вашем компьютере. Для каждого события, когда компьютер подключился или отключился к/от беспроводной сети, отображается следующая информация: дата/время когда произошло событие, имя сети (SSID), имя профиля, имя сетевого адаптера, BSSID роутера/точки доступа и другая.

WifiHistoryView может считывать информацию об истории Wi-Fi с другой запущенной системы или из внешнего файла журнала другого компьютера.

WifiInfoView

WifiInfoView сканирует беспроводные сети в вашей области и отображает расширенную информацию о них, включая: имя сети (SSID), MAC адрес, тип PHY (802.11g или 802.11n), RSSI, качество сигнала, частоту, номер канала, максимальную скорость, имя компании, модель роутера и имя роутера (только для роутеров, которые предоставляют эту информацию) и другое.

При выделении элемента, внизу отображает информация об этом устройстве в шестнадцатеричном формате.

WirelessNetView

WirelessNetView работает в фоне и мониторит активность беспроводных сетей около вас. Для каждой обнаруженной сети отображается следующая информация: SSID, текущее качество сигнала, среднее качество сигнала, счётчик обнаружений, алгоритм аутентификации, алгоритм шифрования, MAC адрес, RSSI, частота канала, номер канала и другое.

NetRouteView

NetRouteView альтернатива с графическим пользовательским интерфейсом стандартной утилите маршрутизации (Route.exe) операционной системы Windows. Она отображает список всех маршрутов вашей текущей сети, включая назначение, маску, шлюз, IP адрес интерфейса, метрическую величину, тип, протокол, возраст (в секундах), имя интерфейса и MAC адрес.

NetRouteView также позволяет вам легко добавить новые маршруты, а также удалить или изменить существующие статичные маршруты.

Внимание: в настоящее время эту утилита не поддерживает IPv6.

CountryTraceRoute

CountryTraceRoute утилита построения маршрута (Traceroute), похожа на tracert для Windows, но с графическим пользовательским интерфейсом, а также намного быстрее tracert из Windows. CountryTraceRoute также отображает страну-владельца каждого IP адреса, найденного в маршруте.

DNSQuerySniffer

DNSQuerySniffer – программа для сетевого сниффинга в Windows запросов DNS, отправляемых на вашу систему. Для каждого DNS запроса отображается следующая информация: имя хоста, номер порта, ID запроса, тип запроса (A, AAAA, NS, MX и т.д.), время запроса, время ответа, длительность, код запроса, количество записей и содержимое возвращённых DNS записей.

Программы для извлечения информации из веб-браузеров и почтовых клиентов

Часть этих инструментов была рассмотрена в разделе «Утилиты для IT криминалистики», далее несколько, не вошедших туда.

ChromePass

ChromePass — это небольшой инструмент для восстановления пароля для Windows, который позволяет просматривать имена пользователей и пароли, хранящиеся в веб-браузере Google Chrome. Для каждой записи пароля отображается следующая информация: URL-адрес источника, URL-адрес действия, поле имени пользователя, поле пароля, имя пользователя, пароль и время создания. Программа позволяет вам получить пароли из вашей текущей работающей системы или из профиля пользователя, хранящегося на внешнем диске.

Вы можете выбрать один или несколько элементов, а затем сохранить их в файл text/html/xml или скопировать в буфер обмена.

Известные проблемы: в последних версиях веб-браузера Яндекса изменили шифрование паролей, и теперь оно отличается от шифрования паролей в Chrome, поэтому ChromePass больше не может расшифровывать пароли веб-браузера Яндекса.

OutlookAttachView

OutlookAttachView сканирует все сообщения, хранящиеся в Outlook, и отображает список всех найденных вложенных файлов. Вы можете легко выбрать одно или несколько вложений и сохранить их все в нужной папке, а также удалить ненужные большие вложения, которые занимают слишком много места на диске в вашем почтовом ящике. Вы также можете сохранить список вложений в файл xml/html/text/csv.

BrowserAddonsView

BrowserAddonsView отображает подробности о всех дополнениях/плагинах веб-браузера, установленных в вашу систему. BrowserAddonsView может сканировать и определять дополнения большинства популярных браузеров: Chrome, Firefox и Internet Explorer. Для Chrome и Firefox, BrowserAddonsView сканирует все профили веб-браузера, если их несколько.

WebCookiesSniffer

WebCookiesSniffer захватывает все кукиз веб-сайтов, отправляемые между веб-браузером и веб-сервером и отображает их в простой таблице кукиз. Верхняя панель WebCookiesSniffer показывает строку куки и имя сайта/хоста, который отправил или принял это куки. При выборе строки куки в верхней панели, WebCookiesSniffer разбирает строку куки и отображает кукиз в нижней панели в формате имя-значение.

Утилиты, связанные с Интернетом, сетью и сетевым оборудованием

DomainHostingView

DomainHostingView – это программа для Windows, которая собирает обширную информацию о домене, используя серию DNS и WHOIS запросов и генерирует HTML отчёт, который можно открыть в веб-браузере.

Информация включает в себя: хостинг-компанию или дата центр, который хостит веб-сервер, почтовый сервер и сервер доменных имён (DNS) указанного домена, даты создания/изменения/истечения домена, владельца домена, регистратора домена, список всех DNS записей и другое.

HostedNetworkStarter

HostedNetworkStarter – это простая программа для Windows 7 и более поздних, она позволяет вам с лёгкостью создать точку доступа Wi-Fi на вашем компьютере Windows.

IPNetInfo

IPNetInfo – это программка, которая позволяет вам с лёгкостью найти всю доступную информацию об IP адресе: владельца IP адреса, страну/штат, диапазон IP адресов, контактную информацию (адрес, телефон, факс и email) и другое.

IPNetInfo может извлекать все IP адреса из заголовков сообщения электронной почты – достаточно скопировать их в программу и она отобразит всю информацию об этих IP адресах.

WhoisThisDomain

WhoisThisDomain получает информацию о зарегистрированных доменах. Она автоматически подключается к правильному WHOIS серверу, в соответствии с доменом первого уровня, и получает WHOIS записи этого домена.

DNSDataView


Эта утилита является версией с графическим интерфейсом инструмента NSLookup, который поставляется с операционной системой Windows. Он позволяет вам легко получить DNS записи (MX, NS, A, SOA) указанного домена. Вы можете использовать DNS сервер по умолчанию для вашего Интернет-соединения или любой другой DNS сервер, который вы укажите. Полученные результаты можно сохранять в файлы разных форматов.

MACAddressView

MACAddressView делает поиск по базе данных MAC адресов для поиска информации о компании (имя компании, адрес, страна), которая произвела данное сетевое устройство.

MACAddressView не посылает каких-либо запросов на удалённый сервер, он использует вшитую в .exe файл базу MAC адресов. Ссылку на скачивание вы найдёте на официальной страницы с описанием программы www.nirsoft.net/utils/mac_address_lookup_find.html.

PingInfoView

PingInfoView — это небольшая утилита, которая позволяет легко пинговать несколько имён хостов и IP-адресов и просматривать результат в одной таблице. Она автоматически проверяет связь со всеми хостами каждые указанное вами количество секунд и отображает количество успешных и неудачных проверок связи, а также среднее время проверки связи. Вы также можете сохранить результат ping в файл text/html/xml или скопировать его в буфер обмена.

Новая версия PingInfoView (2.00) позволяет использовать TCP ping для указанного номера порта вместо стандартного ICMP ping.

Чтобы использовать новую функцию TCP ping, просто укажите имя хоста или IP-адрес с номером TCP-порта, например: 10.0.0.10:21, 192.168.0.50:80, www.nirsoft.net:443

Если вы не укажете номер порта, PingInfoView будет отправлять эхо-запросы ICMP, как и в предыдущих версиях.

AppNetworkCounter

AppNetworkCounter — это простой инструмент для Windows, который подсчитывает и отображает количество байтов и пакетов TCP/UDP, отправленных и полученных каждым приложением в вашей системе. Для каждого приложения отображается следующая информация: количество отправленных и полученных байтов, количество отправленных и полученных пакетов, количество отправленных/полученных байтов IPv4, количество отправленных/полученных байтов IPv6 и скорость отправки/получения. Он также отображает информацию о версии приложения — название продукта, версию продукта, описание файла и название компании.

NetworkCountersWatch

NetworkCountersWatch — это инструмент для Windows, который отображает системные счётчики для каждого сетевого интерфейса в вашей системе. Системные счётчики включают количество входящих/исходящих байтов, количество входящих/исходящих пакетов, количество широковещательных пакетов и многое другое. Вы также можете обнулить все счётчики в любое время, чтобы отслеживать сетевые счётчики на предмет определённого события. NetworkCountersWatch также рассчитывает и отображает текущую скорость загрузки и скорость выгрузки в вашем сетевом интерфейсе.

LiveTcpUdpWatch

LiveTcpUdpWatch — это инструмент для Windows, который отображает оперативную информацию обо всех действиях TCP и UDP в вашей системе. Каждая строка в основной таблице LiveTcpUdpWatch отображает протокол (TCP/UDP/IPv4/IPv6), локальный/удалённый IP-адрес, локальный/удалённый порт, количество отправленных/полученных байтов, количество отправленных/полученных пакетов, время подключения/отключения (только для TCP) и процесс (идентификатор и путь), ответственный за это действие.

WebSiteSniffer

WebSiteSniffer захватывает все файлы, которые были подгружены браузером с веб-сайтов в то время, когда вы сёрфили по Интернету, и сохраняет их на ваш жёсткий диск в каталоге, который вы выбрали. WebSiteSniffer позволяет вам выбрать, файлы какого типа захватывать: HTML файлы, текстовые файлы, XML файлы, CSS файлы, видео/аудио файлы, изображения, скрипты и флэш (.swf).

Во время захвата, главное окно WebSiteSniffer отображает общую статистику о загруженных файлах для каждого веб-сайта / имени хоста, включая общий размер всех файлов и общее количество файлов каждого типа (HTML, текст, изображения и т.д.).

FastResolver

FastResolver переводит имена хостов в IP адреса и наоборот. Просто введите список IP адресов или имён хостов, которые вы хотите преобразовать. Также понимается ввод диапазонов IP, который вы хотите просканировать. Для локальной сети FastResolver также позволяет вам получить MAC адреса всех IP адресов, которые вы сканируете. FastResolver является многопоточным приложением, поэтому вы можете просканировать десятки адресов в считаные секунды.

ProcessTCPSummary

ProcessTCPSummary — это простой инструмент для Windows, который отображает сводную информацию обо всех процессах, которые имеют TCP-соединения или прослушивают UDP-порты. Для каждого процесса этот инструмент отображает общее количество TCP-соединений, количество TCP-соединений для каждого статуса (Установлено, Прослушивание, Syn-Sent, Syn-Received…), количество TCP-соединений IPv4, количество TCP-соединений IPv6, распространённые номера портов и многое другое…

Если вы запускаете ProcessTCPSummary от имени администратора, вы также можете отслеживать количество байтов TCP/UDP, отправленных и полученных каждым процессом, а также текущую скорость отправки/получения.

Настольные утилиты

Clipboardic

Clipboardic следит за активностью буфера обмена, и каждый раз, когда вы что-то копируете в буфер обмена, она автоматически сохраняет скопирвоанные данные в файл буфера обмена Windows (.clp). Позже, когда вам снова нужны скопированные данные, вы можете просто выбрать верный файл буфера обмена и Clipboardic автоматически вставит его в буфер обмена.

Clipboardic также позволяет вам с лёгкостью иметь общий буфер обмена между несколькими компьютерами в вашей локальной сети.

InsideClipboard

Каждый раз, когда вы что-то копируете в буфер обмена для вставки этого в другое приложение, скопированные данные сохраняются во множестве форматов. Главное приложение буфера обмена Windows отображает только базовые форматы, такие как текст, изображения bitmap, но не отображает список всех форматов, которые хранятся в буфере обмена.

InsideClipboard – это небольшая программа, которая отображает бинарное содержимое всех форматов, которые в данный момент сохранены в буфере обмена, она позволяет вам сохранить содержимое специфичного формата в бинарный файл.

AppAudioConfig

Начиная с Windows Vista, вам разрешено изменять громкость звука каждого приложения отдельно, и после выхода из приложения последние настройки сохраняются в реестре в разделе HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore, чтобы при следующем запуске приложения использовались ваши последние настройки.

AppAudioConfig отображает ваши текущие настройки звука для каждого приложения в вашей системе и позволяет легко изменять настройки сразу для нескольких приложений. В этом приложении вы можете изменить статус отключения/включения звука, уровень громкости звука и баланс звука справа/слева.

SoundVolumeView

SoundVolumeView — это простой инструмент для Windows Vista/7/8/2008/10, который отображает общую информацию и текущий уровень громкости для всех активных звуковых компонентов в вашей системе и позволяет вам мгновенно отключать и включать их.

SoundVolumeView также позволяет сохранять звуковой профиль в файл, содержащий текущий уровень громкости и состояние отключения/включения звука всех звуковых компонентов, а также звуковые устройства по умолчанию, а затем загружать тот же файл для восстановления точно тех же уровней громкости и настроек.

Также имеется обширная поддержка командной строки, которая позволяет сохранять/загружать профили, изменять текущую громкость каждого звукового компонента и отключать/включать каждый звуковой компонент без отображения какого-либо пользовательского интерфейса.

Дисковые утилиты

SearchMyFiles

SearchMyFiles – это альтернатива стандартному модулю поиска Windows. Эта программа позволяет вам с лёгкостью искать файлы в вашей системе с использованием подстановочных символов, по времени последней модификации/создания/последнего доступа, по атрибутам файла, по содержимому файла (текстовый или бинарный поиск) и по размеру файла. SearchMyFiles позволяет вам задать очень точный поиск, который не может быть выполнен с поиском Windows. Например, вы можете найти все файлы, созданные за последние 10 минут и с размером между 500 и 700 байт.

После нахождения файлов, вы можете выбрать один или несколько из них и сохранить список в текстовый/html/csv/xml файл или скопировать список в буфер обмена.

SearchMyFiles является портативной программой, вы можете использовать её с USB флэшки без оставления следов в реестре просканированного компьютера.

MobileFileSearch

MobileFileSearch — это инструмент для Windows, который позволяет вам искать файлы внутри мобильного устройства (смартфона или планшета), подключённого к USB-порту вашего компьютера, с помощью протокола передачи мультимедиа (MTP). Вы можете искать файлы по их размеру, времени создания, времени изменения или имени (используя подстановочный знак).

Найдя файлы на своём смартфоне/планшете, вы можете при желании удалить их, скопировать в папку на своём компьютере или экспортировать список файлов в файл csv/разделённый табуляцией/html/xml/JSON.

MobileFileSearch также позволяет активировать поиск из командной строки и затем экспортировать результат в файл или копировать найденные файлы в нужную папку на вашем компьютере.

AppReadWriteCounter

AppReadWriteCounter — это инструмент для Windows, который подсчитывает и отображает текущие операции чтения/записи файлов для каждого приложения, запущенного в вашей системе. Он отображает количество байтов чтения/записи, количество операций чтения/записи, текущую рассчитанную скорость чтения/записи и подробную информацию о приложении (название продукта, версия продукта и т. д.), которое выполняет операции чтения/записи файлов.

FileActivityWatch

FileActivityWatch — это инструмент для Windows, который отображает информацию о каждой операции чтения/записи/удаления файлов, происходящей в вашей системе. Для каждого файла FileActivityWatch отображает количество байтов чтения/записи, количество операций чтения/записи/удаления, первую и последнюю временную метку чтения/записи, а также имя/идентификатор процесса, ответственного за операцию с файлом.

FileAccessErrorView

FileAccessErrorView — это диагностический инструмент для Windows, который отображает информацию об ошибках доступа к файлам, возникающих, когда программы, запущенные в вашей системе, пытаются открыть/прочитать/записать/удалить файл. FileAccessErrorView отображает имя файла, которое приложение пыталось открыть/прочитать/записать/удалить, идентификатор процесса/имя приложения, код ошибки (код NTSTATUS), описание кода ошибки, количество раз, когда эта ошибка произошла, и отметка времени этой ошибки.

Системные утилиты

AdvancedRun

AdvancedRun — это простой инструмент для Windows, который позволяет запускать программу с различными настройками, которые вы выбираете, в том числе — низкий или высокий приоритет, начальный каталог, состояние главного окна (свёрнуто/развёрнуто), запускать программу с другим пользователем или разрешениями, работать с параметрами совместимости системы и переменные среды. Вы также можете сохранить желаемые настройки в файл конфигурации, а затем автоматически запустить программу из командной строки с желаемыми настройками.

FolderChangesView

FolderChangesView мониторит папку или диск, которые вы указали, и выводит список каждого имени файла, который был изменён, создан или удалён во время мониторинга папки.

Вы можете использовать FolderChangesView с любым локальным диском или с удалённой общей сетевой папкой (достаточно иметь прав доступа на чтение).

RegistryChangesView

RegistryChangesView делает снимок Реестра Windows и позже сравнивает его с другим снимком Реестра, с текущемм Реестром или с файлами Реестра, хранимыми в теневой (shadow) копии, созданной Windows. Когда сравниваются 2 снимка Реестра, вы можете увидеть точные изменения, сделанные в Реестре между двумя снимками, и, опционально, экспортировать изменения Реестра в стандартный файл .reg программы RegEdit.

Password Security Scanner

Утилита сканирует пароли, хранимые популярными приложениями Windows (Microsoft Outlook, Internet Explorer, Mozilla Firefox и другое…) и показывает информацию о безопасности всех этих паролей. Информация о безопасности каждого хранимого пароля включает: общее количество символов, количество цифровых символов, количество букв в верхнем/нижнем регистре, количество повторяющихся символов и стойкость пароля. Вы можете использовать этот инструмент для определения, достаточно ли безопасны используемые пользователями пароли без просмотра самих паролей.

USBLogView

USBLogView работает в фоне и записывает подробности о любом USB устройстве, который подключён или отключён в вашей системе. Для каждой записи в журнале USBLogView сохраняет следующую информацию: тип события (подключение/отключение), время события, имя устройства, описание, тип устройства, буква диска (для устройств хранения), серийный номер (только для некоторых типов устройств), ID производителя, ID продукта, имя производителя, имя продукта и другое.

USBDeview

USBDeview выводит список всех USB устройств, в настоящее время подключенных к вашему компьютеру, а также ранее использованных USB устройств.

Для каждого USB устройства отображается обширная информация: имя/описание устройства, тип устройства, серийный номер (для запоминающих устройств), дата/время, когда устройство было добавлено, VendorID, ProductID и другое.

USBDeview также позволит вам удалить USB устройства, которые вы ранее использовали, отключить USB устройства, которые в данный момент подключены к вашему компьютеру, а также отключить или включить USB устройства.

Вы также можете использовать USBDeview на удалённом компьютере, пока вы залогинены на нём как администратор.

AllThreadsView

AllThreadsView — это простой инструмент для Windows, который отображает список всех запущенных потоков всех процессов в вашей системе в одной таблице. Для каждого потока отображается следующая информация: идентификатор потока, время создания, время ядра, время пользователя, продолжительность, начальный адрес, приоритет, базовый приоритет, количество переключений контекста, изменение контекста (с момента последнего обновления), причина ожидания, ID процесса, путь к процессу.

ShellExView

ShellExView – утилита для отображения подробностей об установленных расширениях оболочки на вашем компьютере. Позволяет с лёгкостью отключать и включать каждое расширение. Может использоваться для решения проблем в контекстном меню системного Проводника.

RegScanner

RegScanner — это небольшая утилита, которая позволяет сканировать реестр, находить желаемые значения реестра, соответствующие указанным критериям поиска, и отображать их в одном списке. Найдя значения реестра, вы можете легко перейти к нужному значению в RegEdit, просто дважды щёлкнув нужный элемент реестра. Вы также можете экспортировать найденные значения реестра в файл .reg, который можно использовать в RegEdit.

OfflineRegistryFinder

OfflineRegistryFinder — это инструмент для Windows, который позволяет сканировать файлы реестра с внешнего диска и находить нужные ключи/значения/данные реестра в соответствии с заданными вами критериями поиска. После того как OfflineRegistryFinder отобразит результат поиска, вы можете легко выбрать один или несколько элементов, а затем экспортировать их в файл .reg, который можно использовать для импорта в средстве RegEdit Windows.

OfflineRegistryFinder также можно использовать для сканирования реестра вашей работающей операционной системы. Вам просто нужно создать снимок реестра, а затем просканировать этот снимок с помощью OfflineRegistryFinder. Поиск в снимке реестра обычно выполняется намного быстрее, чем поиск в реестре работающей системы.

OfflineRegistryView

OfflineRegistryView — это простой инструмент для Windows, который позволяет читать автономные файлы реестра с внешнего диска и просматривать желаемый ключ реестра в формате файла .reg.

RegFromApp

RegFromApp отслеживает изменения реестра, внесённые выбранным приложением, и создаёт стандартный файл изменения реестра RegEdit (.reg), который содержит все изменения реестра, сделанные приложением. Вы можете использовать сгенерированный файл .reg для импорта этих изменений с помощью RegEdit, когда это необходимо.

RegDllView

RegDllView — это небольшая утилита, которая отображает список всех зарегистрированных файлов dll/ocx/exe (регистрация COM). Для каждого зарегистрированного файла вы можете просмотреть дату и время последней регистрации, а также список всех регистрационных записей (CLSID/ProgID). RegDllView также позволяет вам отменить регистрацию файлов dll/ocx, которые вам больше не нужны в вашей системе. Если у вас есть файлы dll/ocx, которых больше нет в вашей системе, но их регистрационные записи все ещё существуют в вашем реестре, вы можете вручную удалить эти записи, используя опцию «Удалить все записи для выбранных файлов». Начиная с версии 1.35, RegDllView также позволяет регистрировать файлы dll/ocx (например, regsvr32), просто перетаскивая один или несколько файлов из папки Проводника в окно RegDllView.

ActiveXHelper

ActiveXHelper — это небольшая утилита, которая позволяет просматривать важную информацию о компонентах ActiveX, установленных на вашем компьютере. Вы можете просмотреть весь (и очень большой!) список компонентов ActiveX, загрузив его из раздела реестра HKEY_CLASSES_ROOT\CLSID, или, в качестве альтернативы, отобразить только указанные вами компоненты ActiveX. Кроме того, вы можете временно отключить определённые компоненты ActiveX. Когда компоненты ActiveX отключены, они не могут использоваться никаким программным обеспечением, пока вы не включите их снова.

RegFileExport

RegFileExport — это небольшое консольное приложение, которое позволяет легко извлекать данные из автономного файла реестра, расположенного на другом диске. RegFileExport читает файл реестра, анализирует его, а затем экспортирует данные реестра в стандартный файл .reg Windows. Вы можете экспортировать весь файл реестра или только определённый ключ реестра.

RegFileExport также может экспортировать некоторые данные реестра, даже если файл реестра повреждён и не может быть загружен Windows.

ControlMyMonitor

ControlMyMonitor позволяет просматривать и изменять настройки монитора (также известные как «Функции VCP»), такие как яркость, контраст, резкость, баланс красного/зелёного/синего цветов, язык экранного меню, порт ввода (VGA, DVI, HDMI) и многое другое… Вы можете изменить настройки монитора из графического интерфейса пользователя и из командной строки. Вы также можете экспортировать все настройки вашего монитора в файл конфигурации, а затем загрузить ту же конфигурацию обратно в ваш монитор.

Для работы программы необходимо, чтобы оборудование поддерживало DDC/CI.

AppCompatibilityView

AppCompatibilityView — это простой инструмент, который отображает список всех программ, которые запускаются с различными настройками совместимости, хранящиеся ключах реестра в HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

Он также позволяет легко изменять или удалять настройки совместимости сразу для нескольких приложений.

KeyboardStateView

KeyboardStateView — это простой инструмент для Windows, который отображает текущее состояние и виртуальный код клавиши каждой нажатой клавиши. Он также позволяет вам просматривать текущее состояние всех клавиш клавиатуры.

Для каждой клавиши отображается следующая информация: имя клавиши (VK_XXXX), описание, код клавиши (десятичный), код клавиши (шестнадцатеричный), состояние нажатия клавиши, состояние переключения клавиш (полезно для Num Lock, Caps Lock) и последний раз что клавиша была нажата.

После запуска KeyboardStateView каждая клавиша, которую вы нажимаете на клавиатуре, отображается в главном окне KeyboardStateView, даже если KeyboardStateView не в фокусе. Если вы хотите просмотреть состояние всех клавиш, просто отключите параметр «Показывать только клавиши, нажатые за последние секунды» (в меню «Параметры»).

HandleCountersView

HandleCountersView — это простой инструмент для Windows, который показывает текущее количество дескрипторов (файл, каталог, токен, задание, поток и т. д.), открытых каждым процессом, запущенным в вашей системе, и изменение количества дескрипторов с момента последнего время, когда вы сбрасываете счётчики.

Где скачать и как русифицировать программы NirSoft

Ссылки для скачивания находятся на странице для каждой программы. Чтобы их найти, перейдите на страницу с описанием интересующей вас программы, пролистните вниз, почти до конца страницы, вы увидите строки со словами Download, например, для программы ShellExView:

Download ShellExView in Zip file
Download self-install executable for installing ShellExView with uninstall support
Download ShellExView for x64

Здесь Download ShellExView in Zip file и Download ShellExView for x64 – портативные версии, первая для 32-битных компьютеров, вторая для 64-битных систем. Это портативные версии, которые достаточно распаковать и запустить – установка не требуется.

Ссылка Download self-install executable for installing ShellExView with uninstall support ведёт на установщик – при желании, вы можете инсталлировать программу в систему. Установщик присутствует не для всех программ, также не для всех программ имеется 64-битная версия.

Как вы могли заметить, на моих скриншотах англоязычный интерфейс. Чтобы русифицировать программу, пролистните страницу, на которой вы её скачали, до самого конца, найдите таблицу с переводами, выберите язык Russian, скачайте файл и поместите распакованный из архива файл в каталог, куда вы разархивировали саму программу. После запуска язык интерфейса должен поменяться на русский.

Заключение

Сайт NirSoft предлагает сотни полезных программ, написанных за более чем полтора десятилетия одним программистом. Программы поддерживаются в актуальном (рабочем) состоянии, постоянно выпускаются новые версии и добавляются новые программы. Здесь были рассмотрены далеко не все из них. С полным списком вы можете ознакомиться на сайте разработчика. Даже если вы не владеете английским языком, то для того, чтобы понять, что делает программа, её достаточно скачать и запустить – большинство программ не требуют никаких настроек и выполняют свою функцию после запуска.

Ещё не вышедшие утилиты на стадии тестирования: http://www.nirsoft.net/alpha/


Рекомендуется Вам:

4 комментария to Утилиты NirSoft для извлечения информации из Windows

  1. Виктор:

    Спасибо за отличный и полный обзор!

  2. Аноним:

    Программы устарели и не работают

    • Alexey:

      Всем нам «очень интересно» «очень ценное» мнение какого-то анонима с левой почтой (то есть никогда не увидит ответа). Но NirBlog такой потрясающий, что я отвечу, а заодно составлю список новых программ для добавления в статью.

      Автор обновляет программы чуть-ли не каждый день:

      А в своём блоге хотя бы раз в месяц показывает новые интересные функции своих программ:

      Мой список наоборот можно добавить новыми утилитами, например, SecurityQuestionsView — показывает секретные вопросы Windows (с ответами) — это те, которые используются при восстановлении пароля. FullEventLogView — показывает полные логи ОС.

      WirelessKeyView теперь может показывать бар-код для подключения сматрфона.

      Новые поля в USBDeview: Install Time, First Install Time, Connect Time, Disconnect Time

      ChromeCacheView (просмотр кэша веб-браузера Chrome) теперь работает не только для Chrome, но и для Chrome, Edge, Opera и ещё пучка браузеров, которые основаны на Chrome.

      ChromePass и ChromeCookiesView обновлены в соответствии с обновлением шифрования в браузере.

      Какие-то программы заменены другими, например, теперь вместо MozillaCacheView новый инструмент MZCacheView.

      Хорошие программы, которых нет в моём списке, но которые нужно добавить:

      • SecurityQuestionsView
      • FullEventLogView
      • PropertySystemView
      • ExifDataView
      • WinDefThreatsView
      • InstalledAppView
      • AdvancedRun
      • ChromePass
      • MobileFileSearch
      • WinUpdatesView
      • SoundVolumeView
      • OutlookAttachView
      • PingInfoView
      • ControlMyMonitor
      • InstalledPackagesView
      • NetworkCountersWatch

      Просто новые утилиты, которые не существовали на момент составления моего списка:

      • AppCompatibilityView
      • AppAudioConfig
      • EdgeCookiesView
      • AppReadWriteCounter
      • ProcessTCPSummary
      • FileActivityWatch
      • AllThreadsView
      • OfflineRegistryFinder
      • LiveTcpUdpWatch
      • FileAccessErrorView
      • KeyboardStateView
      • HandleCountersView
      • OfflineRegistryView
      • AppNetworkCounter

      Утилиты на стадии тестирования: http://www.nirsoft.net/alpha/

      В общем, брат скорее жив, чем иначе. Причём жив так, что многие позавидуют креативности и продуктивности.

      Если вы видите этот комментарий, значит статья обновлена и в неё добавлены все или почти все из перечисленных программ!

  3. алексей:

    Программы для работы с историей и паролями различных браузеров

    не хило так облегчили работу по восстановлению данных))

Добавить комментарий для Виктор Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *