Windows Sysinternals 学习记录,工具使用方法

最新推荐文章于 2025-04-25 14:29:23 发布
原创 最新推荐文章于 2025-04-25 14:29:23 发布
· 4.4k 阅读 · 14 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

Windows Sysinternals Tools 学习记录

前言

Sysinternals Suite 工具套件包含了超过70种适用于 Windows 平台的高级诊断和排错工具,由 Mark Russinovich 和 Bryce Cogswell 开发,后被微软收购,通过 Windows Sysinternals 免费下载。

Windows Sysinternals首页
https://docs.microsoft.com/en-us/sysinternals/

本文是对近期学习使用该系列工具的记录,并不全面,详见下方作者写的书以及微软sysinternals官网。
参考书籍:Troubleshooting with the Windows Sysinternals Tools

部分工具使用说明

Process Explorer

功能简介

一款任务管理器的替代品,可显示有关进程和线程的详细信息,包括父子关系,加载的 DLL 以及打开对象的句柄。

  • 显示进程父子关系的树形图视图(ctrl+T)
  • 代码着色,用于区分进程的类型和状态。(Options -> Configure Colors)
  • 工具提示,可显示命令行信息以及与进程有关的其他信息
  • 彩色强调,默认新创建的进程红色标识一定时间,退出则是绿色标识
  • 带小数的 CPU 用量 (度量cpu使用情况,对于只是用很少量cpu时间的进程,会显示为 <0.01 而非0)
  • 区分显示被 VrusTotal.com 标记为可疑的镜像
  • 显示进程加载的所有动态链接库和映射的文件,以及进程打开的所有内核对象(keguaqi双击进程打开属性)
  • 为内存用量、I/O 活动,以及 GPU 活动提供详细指标
  • 可挂起进程,更改进程优先级,或终止进程和进程树
    在这里插入图片描述

快捷键

在这里插入图片描述

注意事项

  • 度量cpu使用情况,对于只是用很少量cpu时间的进程,会显示为 <0.01 而非0

  • procexp会尽可能显示所有可用信息,无法显示的信息将留空或显示为“n/a”或“访问被拒”
    (需要注意的是,就算以管理员权限运行也无法读取保护进程的详细信息)

  • 进程列表中每一行实际上代表了系统中句呗自己虚拟地址空间,并包含需要在某个时间点执行的一个或多个线程的进程对象。

Autoruns

功能简介

通过分组的方式显示会在系统启动时、用户登录时以及运行 Internet Explorer 时自动运行的软件,并可供用户启用或禁用这些内容。
命令行版本 AutorunsC

ASEP
ASEP:自动启动延展点
在 x64 版的 Windows 中,有超过200个文件系统和注册表位置可被程序用来将自己配置为自动启动。

autoruns工具可以展开所有的 ASEP

不同类型的自动启动

在这里插入图片描述

Process Monitor

功能简介

可实时记录有关文件系统、注册表、网络、进程、线程、以及影响加载活动的详细信息。

使用技巧

  1. 利用 procmon /noconnect 命令打开监视器,在需要监视的时候按下 ctrl+E 开始监视而不是工具启动就开始监视。
  2. 善用过滤器,比如在这里插入图片描述

SigCheck

Sigcheck 可针对一个或多个文件或目录层次结构执行与安全有关的的功能。如验证文件是否使用可信赖证书进行签名,显示扩展版本和其他信息,使用多种hash算法计算文件哈希值,查询virustotal等。
在这里插入图片描述
Sigcheck -a -h program.exe

psPing && TCPView

psPing 是增强版的 ping,支持 TCP和UDP 连接
Help usage: psping -? [i|t|l|b]
-? i Usage for ICMP ping.
-? t Usage for TCP ping.
-? l Usage for latency test.
-? b Usage for bandwidth test.
-nobanner Do not display the startup banner and copyright message.

TCPView 是一款 GUI 程序,可列出系统中所有 TCP 和 UDP 端点的最新监听信息,同时支持 IPv4 和 IPv6.

ZoomIt

功能简介

放大屏幕上的显示内容,并提供屏幕画面标注功能。
轻量,高效,演讲培训有奇效。

在这里插入图片描述

微软工具SysinternalsSuite中文详解教程
04-14
SysinternalsSuite是微软官方的详细工具包,对你解决系统问题有极大的帮助,本电子书是该工具包的详细的中文教程,分类介绍了各个工具使用方法
Windows sysinternals工具说明和使用手册
08-14
Sysinternals Suite,是微软发布的一套非常强大的免费工具程序集,Sysinternals Suite一共包括将近70个windows工具。这里面有它们的说明和使用方法
Windows Sysinternals工具排错指南(第二版)
最新发布
gitblog_06702的博客
04-25 343
Windows Sysinternals工具排错指南(第二版) 【下载地址】WindowsSysinternals工具排错指南第二版 《Windows Sysinternals工具排错指南(第二版)》是一本专为IT专业人士和高级用户打造的实用指南,旨在通过Sysinternals工具提升Windows系统的可靠性、效率和...
软件下载
理想很丰满,现实很骨感!
07-17 784
http://technet.microsoft.com/zh-cn/sysinternals/bb545027     Sysinternals 实用工具索引 Sysinternals Suite 一次下载 Sysinternals 整套实用工具。 AccessChk v4.24(2010 年 1 月 11 日) 此更新修复了一个 Bug,该 Bug 有时会导致 Acces
Sysinternals Suite 微软工具使用指南
jiaoyanjia的博客
10-02 2019
这些小工具原本是为了解决工程师们平常在工作上遇到的各种问题而开发的,之后他们将这些工具集合起来称为 Sysinternals,并免费提供公众下载,其中部分还开源了,一直以来都颇受 IT 界人士的好评。其实,这套工具包的下载地址几乎是常年不变的,基本都保持在10M大小,下载地址大家可以记住:。通过高级监视工具监视串行端口和并行端口的活动。Coreinfo 是一个新的命令行实用工具,可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽,以及分配给每个逻辑处理器的缓存。
使用 Windows Sysinternals 工具进行故障排除
鹿鸣天涯
02-24 862
Sysinternals 网站由Mark Russinovich于 1996 年创建,用于托管他的高级系统实用程序和技术信息。无论您是 IT 专业人员还是开发人员,您都可以找到 Sysinternals 实用程序来帮助您管理、排除故障和诊断您的 Windows 系统和应用程序。 阅读 Sysinternals 工具的官方指南,使用 Windows Sysinternals 工具进行故障排除 阅读Sysinternals 博客以获取工具更新的详细更改源 在 YouTube 上观看 Mark 的Sysin
Windows Sysinternals实战指南
weixin_34363171的博客
09-10 1521
http://www.epubit.com.cn/book/details/4786   Mark Russinovich是Microsoft Azure首席技术官,主要负责微软云计算平台的技术战略和架构。 他是分布式系统、操作系统内部原理以及网络安全方面公认的专家。他撰写了Jeff Aiken系列网络惊险小说《ZeroDay》《Trojan Horse》以及《RogueCode》,同时也是Mic...
Sysinternals 项目教程
gitblog_00864的博客
09-16 806
Sysinternals 项目教程 sysinternals Content for sysinternals.com 项目地址: https://gitcode.com/gh_mirrors/sys/sysinternals ...
Sysinternals工具使用手册 20240208
04-05
### Sysinternals工具使用手册概览 #### 一、Sysinternals工具介绍 Sysinternals是一系列高级系统实用工具和技术信息的集合,旨在帮助IT专业人士和开发者管理、诊断Windows及Linux系统与应用的问题。该系列工具由...
Windows Sysinternals 工具使用指南与资源
首先,Sysinternals网站提供了大量关于其工具的官方指南,包括《使用Windows Sysinternals工具进行故障排除》一书,这是学习如何利用这些工具进行系统维护和问题解决的重要资源。此指南详细介绍了Sysinternals套件中...
全面解析Windows Sysinternals调试工具合集
Windows Sysinternals 是一套由微软发布的免费高级系统实用工具集合,专为IT专业人员和系统管理员设计,用以诊断和解决Windows操作系统中遇到的各种问题。Sysinternals 工具集包括多个特定功能的子工具,这些子工具...
Windows Sysinternals
02-26
The Sysinternals web site was created in 1996 by Mark Russinovich to host his advanced system utilities and technical information. Whether you’re an IT Pro or a developer, you’ll find Sysinternals utilities to help you manage, troubleshoot and diagnose your Windows systems and applications. Read the official guide to the Sysinternals tools, Troubleshooting with the Windows Sysinternals Tools Watch Mark’s top-rated Case-of-the-Unexplained troubleshooting presentations and other webcasts Read Mark’s Blog which highlight use of the tools to solve real problems Check out the Sysinternals Learning Resources page Post your questions in the Sysinternals Forum
Sysinternals:一款强大的非常全面的Windows工具合集
12-24
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集.我想介绍就不用多说了吧.用好windows Sysinternals Suite里的工具,你将更有能力处理windows的各种问题,而且不花一毛钱
Sysinternals 实用程序全集 (完整版 49.2M)
03-26
文件名:Sysinternals 实用程序全集.rar 文件大小:51,602,772字节 MD5:15A9888D4D11F8D0BAF501E7A2723A39 SHA1:339A24E2A1ACDEE012BA63B165DB2BC1E3455871 CRC32:9A768F7F 大名鼎鼎的Sysinternals工具都应该听说过吧,比较有名的有Process Explorer、TCPView、Autoruns、Filemon、PsTools等。这次发的是这一系列实用工具的全集,这是真正意义上的全集,甚至包括了几个已经被官方宣布退役、不再提供下载的工具。 每个工具都内附mht格式的官方说明,可用IE打开。 这次发的是完整版,不需要分段解压。 ---------------------------------------------------- ★Sysinternals 实用工具:文件和磁盘 AccessChk 此工具向您显示,您所指定的用户或用户组对文件、注册表项或 Windows 服务具有的访问权限。 AccessEnum 这一简单但强大的安全工具可以向您显示,谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用工具可查找权限漏洞。 CacheSet CacheSet 是一个允许您利用 NT 提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。 Contig 您是否希望迅速对您频繁使用的文件进行碎片整理?使用 Contig 优化单个的文件,或者创建连续的新文件。 DiskExt 显示卷磁盘映射 Diskmon 此实用工具会捕捉所有硬盘活动,或者在您的系统任务栏中象软件磁盘活动灯一样工作。 DiskView 图形磁盘扇区实用工具 Du 按目录查看磁盘使用情况 EFSDump 查看有关加密文件的信息 Filemon 此监视工具允许您实时查看文件系统的所有活动。 接合点 创建 Win2K NTFS 符号链接 LDMDump 转储逻辑磁盘管理器在磁盘上的数据库内容,其中说明了 Windows 2000 动态磁盘的分区情况。 MoveFile 为系统下一次重新启动安排文件重命名和删除命令。这对于清除顽固或使用中的恶意文件很有用。 NTFSInfo 用 NTFSInfo 可以查看有关 NTFS 卷的详细信息,包括主文件表 (MFT) 和 MFT 区的大小和位置,以及 NTFS 元数据文件的大小。 PageDefrag 对您的分页文件和注册表配置单元进行碎片整理! PendMoves 查看在系统下一次启动时安排删除或重命名哪些文件。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 PsFile 查看哪些文件被远程打开 PsTools PsTools 套件包括一些命令行实用工具,可列出在本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等等。 SDelete 安全地覆盖敏感文件,并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。 ShareEnum 扫描网络中的文件共享并查看其安全设置,以便堵住安全漏洞。 Sigcheck 转储文件版本信息并检查系统中的映像是否已进行数字签名。 Streams 显示 NTFS 备用数据流 Sync 刷新缓存数据到磁盘 VolumeId 设置 FAT 或 NTFS 驱动器的卷 ID ★Sysinternals 实用工具:安全性 AccessChk 该工具显示您指定的用户或用户组对文件、注册表项或 Windows 服务具有的访问权限。 AccessEnum 这一简单但功能强大的安全工具可以显示哪些用户对您系统中的目录、文件和注册表项具有何种访问权限。使用工具可查找权限漏洞。 Autologon 在登录过程中跳过密码屏幕。 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 还能够完整列出应用程序可以配置自动启动设置的注册表和文件位置。 LogonSessions 列出活动的登录会话 NewSID 了解每个人都一直在谈论的计算机 SID 问题并获取免费的计算机 SID 更改器 NewSID。 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 PsExec 使用受限用户权限执行进程。 PsLoggedOn 显示登录到某个系统的用户 PsLogList 转储事件日志记录。 PsTools PsTools 套件包括几款命令行实用工具,可列出正在远程或本地计算机上运行的进程、以远程方式运行进程、重新启动计算机、转储事件日志以及执行其他任务。 RootkitRevealer 扫描系统以找出基于 Rootkit 的恶意软件 SDelete 安全地覆盖敏感文件,并使用这一符合 DoD 的安全删除程序清理先前删除的文件的可用空间。 ShareEnum 扫描网络中的文件共享并查看其安全设置,以便堵住安全漏洞。 Sigcheck 转储文件版本信息并验证系统中的映像已进行数字签名。 ★Sysinternals 实用工具:联网功能 AdRestore 恢复已删除的 Server 2003 Active Directory 对象 PsFile 查看远程打开的文件 PsTools PsTools 套件包括几款命令行工具,可侦听远程或本地计算机上运行的进程、远程运行的进程,还可以重新启动计算机以及转储事件日志等等。 ShareEnum 扫描网络上的文件共享并查看其安全设置,以关闭安全漏洞。 TCPView 活动套接字命令行查看器。 Whois 查看 Internet 地址的所有者。 ★Sysinternals 实用工具:系统信息 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 也会完整列出应用程序可以配置自动启动设置的注册表和文件位置。 ClockRes 查看系统时钟的分辨率,亦即最大计时器分辨率 Filemon 此监视工具用于实时查看文件系统的所有活动。 Handle 这一方便的命令行实用工具会显示哪些进程打开了哪些文件,以及更多其他信息 LiveKd 使用 Microsoft 内核调试程序检查真实系统。 LoadOrder 查看设备加载到 WinNT/2K 系统中的顺序 LogonSessions 列出系统中的活动登录会话 PendMoves 枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象,已加载了哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 ProcFeatures 这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。 PsInfo 获取某系统的相关信息 PsLoggedOn 显示登录到某个系统的用户 PsTools PsTools 套件包括几款命令行工具,可侦听远程或本地计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志,以及执行其他任务。 Regmon 此监视工具用于实时查看注册表的所有活动。 Winobj 基本对象管理器命名空间查看器。 ★Sysinternals 实用工具:进程 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 也可向您显示注册表和文件位置的完整列表,应用程序可在此配置自动启动设置。 Filemon 此监视工具使您可以实时查看文件系统的所有活动。 Handle 此易用命令行实用工具将显示哪些进程打开了哪些文件,以及更多其他信息。 ListDLLs 列出所有当前加载的 DLL,包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。 Portmon 通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL,甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象,已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 PsExec 远程执行进程。 PsKill 终止本地或远程进程。 PsList 显示有关进程和线程的信息。 PsService 查看和控制服务。 PsSuspend 挂起和继续进程。 PsTools PsTools 套件包括几个命令行实用工具,可列出本地或远程计算机上运行的进程、远程运行进程,还可以重新启动计算机以及转储事件日志等等。 Regmon 此监视工具使您可以实时查看注册表的所有活动。 ★Sysinternals Miscellaneous Utilities AD Explorer Active Directory Explorer is an advanced Active Directory (AD) viewer and editor. AdRestore Restore tombstoned Active Directory objects in Server 2003 domains. Autologon Bypass password screen during logon. BgInfo This fully-configurable program automatically generates desktop backgrounds that include important information about the system including IP addresses, computer name, network adapters, and more. BlueScreen This screen saver not only accurately simulates Blue Screens, but simulated reboots as well (complete with CHKDSK), and works on Windows NT 4, Windows 2000, Windows XP, Server 2003 and Windows 9x. Ctrl2cap This is a kernel-mode driver that demonstrates keyboard input filtering just above the keyboard class driver in order to turn caps-locks into control keys. Filtering at this level allows conversion and hiding of keys before NT even "sees" them. Ctrl2cap also shows how to use NtDisplayString() to print messages to the initialization blue-screen. DebugView Another first from Sysinternals: This program intercepts calls made to DbgPrint by device drivers and OutputDebugString made by Win32 programs. It allows for viewing and recording of debug session output on your local machine or across the Internet without an active debugger. Desktops This new utility enables you to create up to four virtual desktops and to use a tray interface or hotkeys to preview what’s on each desktop and easily switch between them. Hex2dec Convert hex numbers to decimal and vice versa. PsLogList Dump event log records. PsTools The PsTools suite includes command-line utilities for listing the processes running on local or remote computers, running processes remotely, rebooting computers, dumping event logs, and more. RegDelNull Scan for and delete Registry keys that contain embedded null-characters that are otherwise undeleteable by standard Registry-editing tools. RegJump Jump to the registry path you specify in Regedit. Strings Search for ANSI and UNICODE strings in binary images. ZoomIt Presentation utility for zooming and drawing on the screen.
Sysinternals Suite
03-05
The Sysinternals Troubleshooting Utilities have been rolled up into a single Suite of tools. This file contains the individual troubleshooting tools and help files. It does not contain non-troubleshooting tools like the BSOD Screen Saver or NotMyFault.
2018版Windows Sysinternals套件工具深度解析
标题中提到的“Microsoft Windows Sysinternals Suite Tools 2018”指的是微软公司推出的一套专门针对Windows操作系统维护和故障排除的专业工具包。这一套工具集包括了近70个工具,这些工具覆盖了系统分析、网络诊断...
Sysinternals Process Monitor工具使用指南
Sysinternals Process Monitor是一款由微软公司出品的系统监控工具,它能够实时地记录系统中的所有文件系统、注册表以及进程创建和网络活动等信息。以下是对该工具的详细介绍及相关知识点: 1. Sysinternals工具集 ...
windows使用Sysinternals工具
weixin_33804990的博客
05-22 183
Sysinternals 很多非常有用的工具。 二 工具 Sysinternals SuiteThe entire set of Sysinternals Utilities rolled up into a single download. AccessChkv4.23 (December 19, 2008)This update fixes a bug that sometime...
Sysinternals 开源项目教程
gitblog_00840的博客
04-05 580
Sysinternals 开源项目教程 sysinternals Content for sysinternals.com 项目地址: https://gitcode.com/gh_mirrors/sy/sysinternals ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值