(PR) 新刊のお知らせ『Windows Sysinternals 徹底解説 改訂新版』 第 3 弾（本日発売）

新刊のご案内、第 3 弾です。

「Windows Sysinternals 徹底解説」の“改訂新版”が出来ました。Windows Sysinternals の公式解説書の日本語訳です。

マイクロソフト公式解説書「Windows Sysinternals 徹底解説 改訂新版」
著者  ： Mark E. Russinovich、Aaron Margosis 著
訳者  ： 山内和朗
価格  ： 5,940 円（本体 5,500 円＋税）
ISBN  ： 978-4-8222-9896-8
発行元： 日経BP社
発行日： 2017/06/05（本日 6/1 より店頭（たぶん）、オンライン販売スタート！）
原書  ： https://technet.microsoft.com/ja-jp/sysinternals/hh290819

［日経 BP 社の書籍紹介ページへ］［Amazon.co.jp へ］［目次を見る (日経 BP 社のページ）］


第1版の時と比べると、機能がたくさん追加されていたり、コマンドラインパラメーターが大幅に変更されているユーティリティがあります。また、2016年7月に大部分のツールに行われた変更（Nano Server 対応や、-nobanner オプションなど）があります。第1版はもう内容が古すぎるといっても過言ではありません。第1版をお持ちの方も、第1版を見ていないという方も、Sysinternalsを使うことがある方は、改訂新版をお勧めします。

第Ⅰ部は、第1版と同様に、Sysinternalsの入手方法やサイトの説明（第1章）、Windowsの内部の解説（第2章）です。改訂新版では、Windows 8から導入された「アプリコンテナー（App Container）」と、Windows Vistaで導入され、Windows 8.1で大幅に強化された「保護されたプロセス（Protected Process）」に関する解説が追加されています。

第Ⅱ部は、全65のユーティリティの詳細なリファレンス。Proxexp、Procmon、Procdump、Autoruns、SigCheck、AccessCheck は機能がかなり強化されていますし、コマンドラインパラメーターの変更点も多いので、第1版の説明ではもう使いこなせないでしょう。これらのユーティリティに関して、改訂新版は必見です。第1版のときには存在しなかった、新しいユーティリティ、Sysmon、PsPing、RU について、ここまでの詳細な解説は初めてだと思います。特に、Sysmon と PsPing は、詳しい説明があるのとないのでは、活用できる範囲が断然違うと思います。

第Ⅲ部の「トラブルシューティング─“原因不明の ･･･ 問題”」は、エラーメッセージに関するケースが11件（第17章）、クラッシュに関するケースが6件（第18章）、ハングアップとパフォーマンスに関するケースが10件（第19章）、マルウェアに関するケースがStuxnetの解析を含め11件（第20章）、システムの挙動に関するケースが5件（第21章）、アプリ開発に関するケースが2件（22章）の、全45件のケースのトラブルシューティング事例を紹介。Windows XP時代の古いケースのものも含まれますが、Sysinternalsのユーティリティをいつ、どのように使えば問題を解決できるのか、具体的にわかります。

最近騒ぎになった WannaCry の解析にも、どこかで、誰かが、Sysinternalsのユーティリティを使っていた（いる）かもしれません。

第Ⅱ部のリファレンスガイドの動作確認に使用したユーティリティのバージョンは、以下のとおりです。本書以降に更新されたユーティリティもあるのでご注意を。

第3章
    ( 1) Process Explorer v16.20 (第1版 v15.05)
         --> さらに更新版あり v16.21 (May 16, 2017)
第4章
    ( 2) Autoruns v13.62 (第1版 v11.1)
         --> さらに更新版あり v13.71 (May 16, 2017)
第5章
    ( 3) Process Monitor v3.31 (第1版 v2.96)
         --> さらに更新版あり  v3.33 (May 16, 2017)
第6章
    ( 4) ProcDump v8.2 (第1版 v4.01)
         --> さらに更新版あり  v9.0 (May 16, 2017)
第7章
    ( 5) PsExec v2.11 (第1版 v1.98)
    ( 6) PsFile v1.02 (第1版 v1.02)
    ( 7) PsGetSid v1.44 (第1版 v1.44)
    ( 8) PsInfo v1.77 (第1版 v1.77)
    ( 9) PsKill v1.15 (第1版 v1.13)
    (10) PsList v1.3 (第1版 v1.29)
    (11) PsLoggedOn v1.34 (第1版 v1.34)
    (12) PsLogList v2.71 (第1版 v2.71)
    (13) PsPasswd v1.23 (第1版 v1.22)
    (14) PsService v2.24 (第1版 v2.24)
    (15) PsShutdown v2.52 (第1版 v2.52)
    (16) PsSuspend v1.06 (第1版 v1.06)
第8章
    (17) VMMap v3.21 (第1版 v3.1)
    (18) DebugView v4.81 (第1版 v4.77)
    (19) LiveKd v5.6 (第1版 v5.0)
         --> さらに更新版あり v5.62 (May 16, 2017)
    (20) ListDlls v3.2 (第1版 v3.1)
    (21) Handle v4.1 (第1版 v3.46)
第9章
    (22) SigCheck v2.54 (第1版 v1.71)
         --> さらに更新版あり v2.55 (May 22, 2017)
    (23) AccessChk v6.02 (第1版 v5.02)
         --> さらに更新版あり v6.1 (Feb 17, 2017)
    (24) Sysmon v5.02 (追加)
         --> さらに更新版あり v6.03 (June 14, 2017)
    (25) AccessEnum v1.32 (第1版 v1.32)
    (26) ShareEnum v1.6 (第1版 v1.6)
    (27) ShellRunAs v1.01 (第1版 v1.01)
    (28) AutoLogon v3.10 (第1版 v3.01)
    (29) LogonSessions v1.4 (第1版 v1.21)
    (30) Sdelete v2.0 (第1版 v1.6)
第10章
    (31) AdExplorer v1.44 (第1版 v1.42)
    (32) AdInsight v1.2 (第1版 v1.01)
    (33) AdRestore v1.1 (第1版 v1.1)
第11章
    (34) BgInfo v4.21 (第1版 v4.16)
         --> さらに更新版あり v4.22 (May 16, 2017)
    (35) Desktops v2.0 (第1版 v1.02)
    (36) Zoomit v4.5 (第1版 v4.2)
第12章
    (37) Strings v2.52 (第1版 v2.42)
    (38) Streams v1.6 (第1版 v1.56)
    (39) Junction v1.07 (第1版 v1.06)
    (40) FindLinks v1.1 (第1版 v1.0)
    (41) Disk Usage（DU） v1.6 (第1版 v1.4)
    (42) PendMoves v1.2 (第1版 v1.1)
    (43) MoveFile v1.01 (第1版 v1.0)
第13章
    (44) Disk2Vhd v2.01 (第1版 v1.63)
    削除 -------- (第1版 Diskmon v2.01)
    (45) Sync v2.2 (第1版 v2.0)
    (46) DiskView v2.4 (第1版 v2.4)
    (47) Contig v1.8 (第1版 v1.6)
    削除 -------- (第1版 PageDefrag v2.32)
    (48) DiskExt v1.2 (第1版 v1.1)
    (49) LDMDump v1.02 (第1版 v1.02)
    (50) VolumeID v2.1 (第1版 v2.0)
第14章
    (51) PsPing v2.01 (追加)
    (52) TCPView v3.05 (第1版 v3.05)
    (53) Whois v1.14 (第1版 v1.01)
    削除 -------- (第1版 Portmon v3.03)
第15章
    (54) RAMMap v1.5 (第1版 v1.11)
    (55) Registory Usage（RU） v1.2 (追加)
    (56) Coreinfo v3.31 (第1版 v3.02)
    削除 -------- (第1版 ProcFeatures v1.10 )
    (57) WinObj v2.22 (第1版 v2.22)
    (58) LoadOrder v1.01 (第1版 v1.0)
    (59) PipeList v1.02 (第1版 v1.01)
    (60) ClockRes v2.1 (第1版 v2.0)
第16章
    (61) RegJump v1.1 (第1版 v1.01)
    (62) Hex2Dec v1.1 (第1版 v1.0)
    (63) RegDelNull v1.11 (第1版 v1.10)
    (64) Bluescreen Screen Saver v3.2 (第1版 v3.2)
    (65) Ctr2Cap v2.0 (第1版 v2.0)

･･･ おまけ ･･･

SigCheck、Strings など、日本語の表示や扱いが苦手なツールもちらほら。LiveKd もその 1 つ。LiveKd を使用すると、Hyper-V 仮想マシンのデバッグが可能なのですが、デバッグ対象の Hyper-V 仮想マシンをリストする livekd -hvl が日本語環境だと仮想マシン名が <n/a> になってしまうという問題があります。livekd -hv "仮想マシン名" は日本語環境では NG。livekd -hv GUID だと日本語環境での OK。

strings を使って livekd.exe を調べてみると、なんとなく理由がわかるような気がします。WMIクエリーで「Virtual Machine」を条件に仮想マシンを識別していますが...

日本語環境だと、Msvm_ComputerSystem の Caption は「仮想マシン」。これが関係しているかどうかは不明ですが（日本語環境だとこの WMI クエリーは全アウトなので、 -hvl や -hv にこのクエリーは関係していないと思う）、LiveKd で仮想マシン名の表示と指定は、英数字の仮想マシンであってもは NG です。

・・・ おまけ 2 ･･･

Debugging for Windows をインストール（＆再起動）して、シンボル パスもちゃんと構成しているのに、LiveKd が “Exiting LiveKd.”ですぐ終了しちゃう場合は、-k "x64 デバッガーのパス\kd.exe"（例：C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\kd.exe）を指定するとうまくいけると思います。

< PR 第1弾｜< PR 第2弾｜PR 第3弾｜PR 第4弾 >｜PR 第5弾 >