SysinternalsSuite - 操作整理

最新推荐文章于 2025-04-25 14:29:23 发布
最新推荐文章于 2025-04-25 14:29:23 发布
阅读量2k 收藏 4
点赞数
文章标签: Sysinternals Suite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LostSpeed/article/details/124612420
版权
本文介绍了SysinternalsSuite的详细使用,包括环境变量配置、进程签名检查、互相守护进程的关闭、系统启动项管理、未签名程序检查以及dll扫描。通过Procmon64.exe监控进程动作,利用Autoruns64.exe管理启动项,使用sigcheck64.exe检查程序签名,展示了这套工具在系统管理和安全审核中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SysinternalsSuite - 操作整理

前言

以前使用SysinternalsSuite,只是简单用一下。

今天看到资料,是SysinternalsSuite作者出的。对SysinternalsSuite的细节用法有了进一步了解。

笔记

实验环境

win10 21H2 + SysinternalsSuite 2022

环境变量

将SysinternalsSuite的路径加入环境变量,工具包中有些命令行程序需要在cmd窗口中执行。

命令行程序加 --help 可以看到细节用法。

在cmd窗口中打开一个文本文件

start xx.log

在我这,默认用vscode打开

cd /d path // 在cmd中打开并进入一个目录

procexp64.exe

查看进程签名是否有效

请添加图片描述
请添加图片描述

让进程状态变化时显示的时间更长

这样我们可以更清楚的看清哪些程序状态(启动,运行,退出)变了。
请添加图片描述
请添加图片描述

当一个程序(e.g. 计算器)状态变化时,要9秒才显示下一个运行状态。

启动时的颜色是浅绿。

请添加图片描述

运行时的颜色是浅蓝

请添加图片描述

退出后的颜色是红色。
请添加图片描述

关掉互相守护的进程

假设本机上有相互守护的程序,在任务管理器中结束进城后,守护程序就会重新启动一个进程。

这时,需要将所有互相守护的程序一个一个都挂起,再一个一个的结束进程。
请添加图片描述

msconfig.exe

资料中提到MS自带的msconfig工具,可以看到一些系统服务和系统提供的一些程序的具体名称。

请添加图片描述
请添加图片描述
请添加图片描述
请添加图片描述
请添加图片描述

Autoruns64.exe

Autoruns64.exe 可以完成msconfig的功能,执行系统启动项的查看和控制。
请添加图片描述

隐藏官方(windows和MS发布的)程序

请添加图片描述

只显示第三方程序的时候,就很容易看出是否有关注的项。

如果需要日志啥的,可以运行autorunsc64.exe

sigcheck64.exe

递归检查当前目录下没有签名的程序,并将扫描结果保存到文件。

sigcheck64.exe -s -e -u -w scan.log

扫描结果文件

C:\Program Files (x86)\Internet Download Manager\IDMan.exe:
	Verified:	Unsigned
	Link date:	4:48 2022/3/25
	Publisher:	n/a
	Company:	Tonec Inc.
	Description:	Internet Download Manager (IDM)
	Product:	Internet Download Manager (IDM)
	Prod version:	6, 40, 11, 2
	File version:	6, 40, 11, 2
	MachineType:	32-bit
C:\Program Files (x86)\Internet Download Manager\IDMan_org.exe:
	Verified:	Unsigned
	Link date:	4:48 2022/3/25
	Publisher:	n/a
	Company:	Tonec Inc.
	Description:	Internet Download Manager (IDM)
	Product:	Internet Download Manager (IDM)
	Prod version:	6, 40, 11, 2
	File version:	6, 40, 11, 2
	MachineType:	32-bit
C:\Program Files (x86)\Internet Download Manager\IDMGrHlp.exe:
	Verified:	Unsigned
	Link date:	12:28 2019/11/10
	Publisher:	n/a
	Company:	Tonec Inc.
	Description:	Internet Download Manager module
	Product:	Internet Download Manager
	Prod version:	6, 35, 9, 1
	File version:	6, 35, 9, 1
	MachineType:	32-bit

listdlls

扫描指定进程的未签名dll, 并保存到文件

listdlls -u 20560 > scan_dll_sig.log

日志样例

------------------------------------------------------------------------------
IDMan.exe pid: 20560
Command line: "C:\Program Files (x86)\Internet Download Manager\IDMan.exe" 

Base                Size      Path
0x00000000002c0000  0x5a4000  C:\Program Files (x86)\Internet Download Manager\IDMan.exe
	Verified:	Unsigned
	Publisher:	Tonec Inc.
	Description:	Internet Download Manager (IDM)
	Product:	Internet Download Manager (IDM)
	Version:	6.40.11.2
	File version:	6.40.11.2
	Create time:	Fri Mar 25 04:48:01 2022

0x00000000002c0000  0x5a4000  C:\Program Files (x86)\Internet Download Manager\IDMan.exe
	Verified:	Unsigned
	Publisher:	Tonec Inc.
	Description:	Internet Download Manager (IDM)
	Product:	Internet Download Manager (IDM)
	Version:	6.40.11.2
	File version:	6.40.11.2
	Create time:	Fri Mar 25 04:48:01 2022

Procmon64.exe

Procmon64.exe 可以监视进程的动作(文件操作,注册表操作,网络操作)

文件菜单上有保存和载入,可以保存现场,供分析用。

END

作者 Mark Russinovich 出了书 <<Windows Sysinternals实战指南>>, 讲这个SysinternalsSuite工具包怎么用, 算是一个对工具包使用的导读。

如果是简单的用,看软件自带帮助文档,自己瞎琢磨就行。如果有洁癖,就膜拜作者的书。

LostSpeed
关注
Sysinternals Suite
01-22
Sysinternals 2018版 The Sysinternals utilities cover a broad range of functionality across many aspects of the Windows operating system. While some of the more comprehensive utilities such as Process Explorer and Process Monitor span several categories of operations, others can more or less be grouped within a single category, such as “process utilities” or “file utilities.” Many of the utilities have a graphical user interface (GUI), while others are console utilities with rich command-line interfaces designed for automation.
SysinternalsSuite
08-30
"SysinternalsSuite" 是一个由微软开发的强大系统工具集,包含了多个用于诊断、管理和优化Windows操作系统的实用程序。这个工具包由著名的技术专家Mark Russinovich创建,后来被微软收购,现在是官方支持的一部分。...
Sysinternals 实用工具索引(转)
bsr1983的专栏
10-29 447
原文链接http://technet.microsoft.com/zh-cn/sysinternals/bb545027.aspx Sysinternals 实用工具索引 Sysinternals Suite一次下载 Sysinternals 整套实用工具。 AccessChkv4.24(2010 年 1 月 11 日)此更新修复了一个 Bug,该 Bug 有时会导致 AccessChk 不...
Windows Sysinternals工具排错指南(第二版)
最新发布
gitblog_06702的博客
04-25 341
Windows Sysinternals工具排错指南(第二版) 【下载地址】WindowsSysinternals工具排错指南第二版 《Windows Sysinternals工具排错指南(第二版)》是一本专为IT专业人士和高级用户打造的实用指南,旨在通过Sysinternals工具提升Windows系统的可靠性、效率和...
你会用SysinternalsSuite诊断你的windows系统吗
weixin_34128411的博客
04-03 679
Sysinternals 下载地址: [url]http://wt.7edown.com/green/SysinternalsSuite.rar[/url] sysinternals 的网站创立于1996年由Mark russinovich和布赖科格斯韦尔主办其先进的系统工具和技术资料.微软于2006年7月收购sysinternals公司 . 不管你是一个IT高级工作者还...
大侠唐在飞的工具箱(安全篇)1:SysinternalsSuite
weixin_33922670的博客
01-16 234
常言道:工欲善其事,必先利其器。作为一个专业的IT人士,必须要配备诸多专业好用的工具软件,工作起来事半功倍,轻松上阵。弹指一挥间,诸事已亦。 作为一个资深的专业人士(其实就是一个混了好多年的老混混),我就向大家介绍一下我学中用的工具吧。优秀的软件太多,我就一个个的来介绍吧。 今天介绍的软件叫:SysinternalsSuite 下载地址:http://download.sy...
软件下载
理想很丰满,现实很骨感!
07-17 783
http://technet.microsoft.com/zh-cn/sysinternals/bb545027     Sysinternals 实用工具索引 Sysinternals Suite 一次下载 Sysinternals 整套实用工具。 AccessChk v4.24(2010 年 1 月 11 日) 此更新修复了一个 Bug,该 Bug 有时会导致 Acces
SysinternalsSuite-ARM***:系统工具软件合集
资源摘要信息:"SysinternalsSuite-ARM***"是一套为ARM64架构优化的系统工具集,由微软的Sysinternals提供。这些工具被广泛用于系统管理、故障排除以及性能监视等方面。本文将详细介绍这个套装中的每一个工具的功能与...
微软技术团队开发的Sysinternals Suite系统维护工具详解
微软系统维护工具是一套由微软公司开发的功能丰富的免费工具集合,名为Sysinternals Suite。该工具集最早于1996年由Sysinternals公司创建,之后在2006年被微软收购,并将其集成到Windows平台。Sysinternals Suite...
Sysinternals Suite:Windows系统管理与调试工具集
weixin_42351520的博客
09-22 1850
本文还有配套的精品资源,点击获取 简介:Sysinternals Suite是微软开发的系统工具集合,专门用于Windows操作系统的诊断、管理和调试。它包括众多实用的子工具,如Process Explorer、Process Monitor、Autoruns、PsTools、Disk2vhd、Handle、DumpFile、PortMon、RootkitRevealer和...
SysinternalsSuite.zip
01-10
微软大牛提供的安全工具套件,内含数十套工具,可用于提权、分析等等
微软工具包SysinternalsSuite中文详解教程
04-14
SysinternalsSuite是微软官方的详细工具包,对你解决系统问题有极大的帮助,本电子书是该工具包的详细的中文教程,分类介绍了各个工具的使用方法。
sysinternalssuite
12-04
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集。我想介绍就不用多说了吧。用好Windows Sysinternals Suite里的工具,你将更有能力处理Windows的各种问题,而且不花一毛钱。 Sysinternals之前为Winternals公司提供的免费工具,Winternals原本是一间主力产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具。之后他们将这些工具集合起来称为Sysinternals,并放在网路供人免费下载,其中也包含部分工具的原始码,一直以来都颇受IT专家社群的好评!
Sysinternals Suite:全面的系统监控与诊断工具包
weixin_36431145的博客
10-04 1604
本文还有配套的精品资源,点击获取 简介:Sysinternals Suite是一套由Mark Russinovich创建并被微软收购的强大工具集合,用于Windows操作系统的系统诊断、故障排除和管理。Procxp(可能指的是Process Explorer)和Procmon是其中著名的两个工具,分别用于进程管理和系统活动监控。此外,该压缩包还包含其他多种实用工具,如ADI...
Sysinternals Suite 2018.07.18
唐古拉山的专栏
07-22 499
https://docs.microsoft.com/zh-cn/sysinternals/ 最新: https://download.sysinternals.com/files/SysinternalsSuite.zip 下面地址可能不是最新: http://live.sysinternals.com/Files/SysinternalsSuite.zip    ...
Sysinternals Suite 微软工具包使用指南
jiaoyanjia的博客
10-02 2004
这些小工具原本是为了解决工程师们平常在工作上遇到的各种问题而开发的,之后他们将这些工具集合起来称为 Sysinternals,并免费提供公众下载,其中部分还开源了,一直以来都颇受 IT 界人士的好评。其实,这套工具包的下载地址几乎是常年不变的,基本都保持在10M大小,下载地址大家可以记住:。通过高级监视工具监视串行端口和并行端口的活动。Coreinfo 是一个新的命令行实用工具,可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽,以及分配给每个逻辑处理器的缓存。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值