Sysinternals简介

最新推荐文章于 2022-02-24 16:24:17 发布
最新推荐文章于 2022-02-24 16:24:17 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: cpp 文章标签: 工具 windows microsoft 活动 磁盘 manager
【转】Sysinternals 工具集 功能全解(中文)
2010年04月30日 星期五 14:53

转自http://club.eset.com.cn/viewthread.php?tid=64944

Sysinternals 工具集 功能全解(中文)

Windows Sysinternals 工具套件
引用:
简介(引自CnBeta)
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集.我想介绍就不用多说了吧.用好Windows Sysinternals Suite里的工具,你将更有能力处理Windows的各种问题,而且不花一毛钱.Sysinternals 之前为Winternals公司提供的免费工具,Winternals原本是一间主力产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具.之后他们将这些工具集合起来称为Sysinternals,并放在网路供人免费下载,其中也包含部分工具的原始码,一直以来都颇受IT专家社群的好评.
以下为个工具简介译自SystemInternals, 为控制台工具,无界面。
以下工具名称均已设好下载链接,方便按需下载。

本套装集合了如下 SysInternals 工具:


  • AccessChk: 显示指定用户或组对 注册表 文件 或服务的访问
  • AccessEnum: 简单强大的安全工具,显示哪些用户访问了哪些目录、文件及注册键。帮助找出权限策略中的漏洞。
  • AdExplorer: 活动目录浏览器.
  • AdInsight: LDAP 实时监控工具
  • AdRestore: Server 2003 活动目录对象反删除.
  • Autologon: 登录时跳过密码认证.
  • Autoruns: 显示开机自启动项的配置. 显示包括注册键和文件位置在内的全面列表。

    附命令行版``:
    引用:
    用法: autorunsc [-a] | [-c] [-b] [-d] [-e] [-g] [-h] [-i] [-l] [-m] [-n] [-p] [-r] [-s] [-v] [-w] [-x] [user]
    -a Show all entries.
    -b Boot execute.
    -c Print output as CSV.
    -d Appinit DLLs.
    -e Explorer addons.
    -g Sidebar gadgets (Vista and higher).
    -h Image hijacks.
    -i Internet Explorer addons.
    -l Logon startups (this is the default).
    -m Hide signed Microsoft entries.
    -n Winsock protocol and network providers.
    -p Printer monitor drivers.
    -r LSA providers.
    -s Autostart services and non-disabled drivers.
    -t Scheduled tasks.
    -v Verify digital signatures.
    -w Winlogon entries.
    -x Print output as XML.
    user Specifies the name of the user account for which autorun items will be shown.
  • BgInfo: 可配置的桌面背景自动生成程序,可以生成含有重要系统信息的桌面背景,其中包括 IP 地址, 计算机名, 网络适配器, 等信息.

  • BlueScreen: 不但能精确模拟蓝屏还能重启 (完全借助 CHKDSK), 适用于 Windows NT 4, 
    Windows 2000, Windows XP, Server 2003 and Windows 9x.
  • CacheSet: 可以调整 Cache Manager 工作集大小 适用于NT。(NtQuerySystemInformation)
  • ClockRes: 显示系统时钟的精度,同时也是计时器的最大精度
  • Contig: 可以对单个文件进行碎片整理, 或创建连续的文件.
    引用:
    用法1(碎片整理): contig [-v] [-a] [-q] [-s] [文件名]
    -v 显示操作信息.
    -a 分析文件碎片程度
    -q -q 屏蔽-v 参数,运行静默模式,仅显示总结信息。
    -s 按递归方式处理子文件夹中通配符指定所有文件。

    用法2(生成连续的新文件): contig [-v] [-n 文件长度]
  • Ctrl2cap: 使用内核模式驱动将大小写转换键转化为控制键,该驱动演示比键盘输入的类驱动更高一层的键盘输入过滤。这一级别的过滤能在NT系统"看到"击键前隐藏按键。Ctrl2cap 还演示了如何使用NtDisplayString() 在Win初始化时的蓝色屏幕上显示消息。
    引用:
    安装运行:ctrl2cap /install
    卸载运行:ctrl2cap /uninstall
  • DebugView: Sysinternals 的又一首创: 该程序可以拦截设备驱动对 DbgPrint 的调用和Win32程序对 OutputDebugString 的调用. 程序可以浏览或记录本机或远程计算机上调试会话的输出,而无须激活调试器.
  • DiskExt: 显示卷分区与磁盘的映射关系。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS)
  • DiskView: 图形化磁盘扇区工具
  • Diskmon: 捕获硬盘的所有活动,或以硬盘活动指示灯的形式出现在托盘中。
  • Du: 按目录浏览磁盘使用情况
    引用:
    用法: du [[-v] [-l ] | [-n]] [-q] (文件或目录)
    -l 指定子文件夹探索深度 (默认为全部).
    -n 不使用递归方式.
    -q 不显示版权信息.
    -u 剔除重复的对象.
    -v 显示中间目录.
  • EFSDump: 显示有关已加密文件的信息
    引用:
    使用 EFSDump 
    -s 递归子目录.
    EFSDump 支持通配符例如: 'efsdump *.txt'.
  • Filemon: 即时监视文件系统的活动
  • Handle: 小巧的命令行工具,显示呢哪些文件被哪些进程打开,及相关更多信息。``
    引用:
    用法: handle [[-a] [-u] | [-c <handle> [-l] [-y]] | [-s]] [-p <processname>|<pid>> [name]
    -a 转储所有类型的句柄信息, 不仅限于文件还包括注册键,端口,线程,进程,及同步原语等.
    -c 关闭指定句柄 (按16进制解释). 进程需通过PID指定.
    警告: 关闭句柄可能导致程序或系统不稳定.
    -l 转储内存中各 Pagefile-Backed 区段的大小.
    -y 关闭句柄时不提示确认.
    -s 显示打开的各类型句柄总数.
    -u 搜索句柄时显示所有者名称.
    -p 仅扫描以指定进程名开头的进程内的句柄。因此:

    handle -p exp

    将转储所有名称以 "exp" 开头的进程所打开的文件, 其中就包括Explorer.

    name 

    在对对象的引用中搜索指定字串.
    例如,要查找已打开的引用 "c:\windows\system32" 中对象的句柄,你可以输入:

    handle windows\system

    name 参数区分大小写,指定的字串片段可以出现在对象路径中的任何位置。
  • Hex2dec: 16进制-10进制互换.
    引用:
    用法: hex2dec [hex|decimal]

    通过x 或 0x 前缀指定16进制数值
    例如 1233(10进制)到16进制: hex2dec 1233
  • Junction: 创建 NTFS卷上的符号链接(类似Linux的符号链接)
    引用:
    用法1(查看): [-s] <目录或文件名>
    -s 递归子目录

    用法2(创建/删除): [-d] <链接点> [<链接目标>]
    删除指定链接时请使用 -d 开关。
  • LDMDump: 可以转储 Logical Disk Manager 在磁盘中的数据库.(LDMDump)
  • ListDLLs: 列出当前载入的所有 DLLs 及他们的位置和版本。2.0 版可以显示已载入模组的完整路径名.
  • LiveKd: 在live(CD) 系统中使用 Microsoft 内核调试器或MS 内核调试工具Windbg .
    引用:
    用法: livekd [-w] [-d] [-k ] [debugger options]
    -w Runs windbg instead of Kd (Kd is the default).
    -d Runs Dumpchk exam instead of Kd (Kd is the default).
    -k Specifices complete path and filename of debugger image to execute.
  • LoadOrder: 查看 WinNT/2K 中设备的载入顺序
  • MoveFile: 为下次启动前安排文件的移动和删除操作(PendingFileOperation i.e. HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations)
    引用:
    用法: movefile [来源] [目标]
    将目标置空 ("") 表示删除来源.

    示例,删除 test.exe: 
    movefile test.exe ""
  • LogonSessions: 列出系统中活动的登陆会话.``
    引用:
    用法: logonsessions [-p]
  • NewSID: 了解有关计算机SID的问题,这是一个 SID 更改程序,为你换一个新的SID.
    *详情必读,见此:http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx*
  • NTFSInfo: 使用 NTFSInfo 查看有关 NTFS 卷的详细信息, 包括 主文件表 (MFT) 的大小位置和 MFT-zone, 以及 NTFS 元数据文件的大小.
  • PageDefrag: (启动时)为页面文件和注册表HIVE文件进行碎片整理.
  • PendMoves: 列出延迟到下次启动前执行的文件移动、删除操作
  • Portmon: 监视串/并口的数据活动支持所有标准的串并口 IOCTLs 甚至可以显示一部分交换的数据. Version 3.x 增强了对界面和过滤器的改进.
  • Process Explorer: 找出进程打开的文件,注册键,以及其他对象,载入的 DLLs和进程所有者等信息。
  • Process Monitor: 实时监视文件系统,注册表,进程,线程以及DLL的活动.
  • ProcFeatures: 报告进程或窗口对PAE与NX缓冲区溢出保护的支持情况.
    引用:
    用法: procfeatures <文件/目录>
  • PsTools: PsTools 命令行工具包提供列出本地/远程计算机进程、远程运行进程、重启、转储事件日志、及更多功能.


    • PsExec: 以受限用户执行进程.
    • PsFile: 查看本地被远程打开的文件.
    • PsGetSid: 显示计算机或用户的 SID .
    • PsInfo: 获取系统信息.
      引用:
      用法: psinfo [[\\计算机[,计算机[,..] | @文件 [-u 用户 [-p 密码]]] [-h] [-s] [-d] [-c [-t 分隔符]] [过滤器]
      \\计算机 在指定计算机或远程计算机上执行命令。默认为本机;支持通配符,(\\*)命令将作用于当前域下的所有计算机。
      @文件 在文件中指定的计算机上运行命令。
      -u (可选)指定登陆远程计算机的用户。
      -p (可选)指定用户密码,否则将提示输入.
      -h 显示已安装的 hotfixes 补丁列表.
      -s 显示已安装的程序列表.
      -d 显示磁盘卷信息.
      -c 按 CSV 格式打印.
      -t 指定-c 开关使用的分隔符,默认为逗号(,).
      过滤器 Psinfo 将仅显示符合过滤器要求的字段信息. 例如 "psinfo service" 仅显示Service Pack字段.
    • PsKill: 终止本地或远程进程.
      引用:
      用法: pskill [- ] [-t] [\\computer [-u username] [-p password]] <process name | process id>
      - 显示可用选项.
      -t 同时杀死子进程.
    • PsList: 显示进程和线程有关的信息.
      引用:
      pslist exp   将显示以表达式exp开头的所有进程的统计信息(来自系统性能计数器),包括Explorer。
      -d 显示线程详情.
      -m 显示内存详情.
      -x 显示进程内存和线程.
      -t 显示进程树.
      -s [n] 运行进程管理器模式,并持续n秒. 按ESC取消.
      -r n 进程管理器模式刷新率,单位秒 (默认1s).
      -e 精确匹配的进程名.
      pid 扫描指定pid的进程.因此: pslist 53 将转储PID为53的进程统计信息.
      引用:
      字段名
      # Pri: Priority
      # Thd: Number of Threads
      # Hnd: Number of Handles
      # VM: Virtual Memory
      # WS: Working Set
      # Priv: Private Virtual Memory
      # Priv Pk: Private Virtual Memory Peak
      # Faults: Page Faults
      # NonP: Non-Paged Pool
      # Page: Paged Pool
      # Cswtch: Context Switches
    • PsLoggedOn: 显示已登陆系统的用户
      引用:
      用法: psloggedon [- ] [-l] [-x] [\\computername | username]
      - 显示可用选项.
      -l 仅显示本地登陆,默认包含网络登陆.
      -x 不显示登陆次数.
    • PsLogList: 转储事件日志记录.
    • PsPasswd: 更改账户密码.
    • PsService: 查看设置服务.
      引用:
      Usage: psservice [\\computer [-u username] [-p password]] <command> <options>
      query 查询服务状态.
      config 显示服务配置.
      setconfig 设置启动类型 (disabled, auto, demand).
      start 启动服务.
      stop 停止服务.
      restart 停止并重新启动服务.
      pause 暂停服务
      cont 恢复暂停的服务.
      depend 列出依赖指定服务的各服务.
      security 转储服务安全描述信息.
      find 在网络中搜索指定服务.
    • PsShutdown: 关闭或重启电脑.
      引用:
      用法: psshutdown [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] -s|-r|-h|-d|-k|-a|-l|-o [-f] [-c] [-t nn|h:m] [-n s] [-v nn] [-e [u|p]:xx:yy] [-m "message"]
      - 显示可用选项.
    • PsSuspend: 冻结或恢复进程.
      引用:
      用法: pssuspend [- ] [-r] [\\computer [-u username] [-p password]] <process name | process id>
      - 显示可用项
      -r 恢复指定进程.
  • RegDelNull: 扫描并删除包含标准注册表编辑器无法删除的内嵌空字符的注册表键.
    引用:
    用法: regdelnull <path> [-s]
    -s 递归子键.
  • RegHide: 使用内置 API 创建名为 "HKEY_LOCAL_MACHINESoftwareSysinternalsCan't touch me!0" 的注册键及在其中创建键值.
  • Regjump: 在Regedit中跳转至指定的注册键路径.
    引用:
    用法: regjump [path]
    支持根键的标准名或缩写例如: HKEY_LOCAL_MACHINE 可缩写为 HKLM
  • Regmon: 实时监视所有注册表活动.
  • RootkitRevealer: 扫描系统中基于RootKit的恶意程序.
  • SDelete: 兼容发国防部标准的安全删除程序,安全覆盖您的敏感文件并清理已删除文件留下的空闲空间.
    引用:
    用法: sdelete [-p 次数] [-s] [-q] <file or directory>
    sdelete [-p 次数] [-z|-c] [盘符]
    -c 0空闲空间 (适于虚拟磁盘优化).
    -p 次数 指定擦除次数.
    -s 递归子目录.
    -q 不显示错误信息 (静默).
    -z 清理空闲空间.
    *如大多NT下的软件一样,由于无法定位,SDelete无法处理NTFS中残留的文件名,留下可能的安全隐患*
  • ShareEnum: 扫描网络上的文件共享并浏览其安全设置,来发现漏洞.
  • Sigcheck: 转储文件版本信息并校验系统中的映像是否经过数字签名.
    引用:
    用法: sigcheck.exe [-a][-h][-i][-e][-n][[-s]|[-v]|[-m]][-q][-r][-u][-c catalog file] <file or directory>
    -a 显示扩展版本信息
    -c 在指定的目录文件(catalog file)中查找签名 
    -e 仅扫描可执行映像 (忽略扩展名).
    -h 显示文件HASH
    -i   显示映像签名者
    -m 转储名单
    -n 仅显示万恶间版本号
    -q 禁止显示本程序版权信息
    -r 检查证书吊销
    -s 递归子目录
    -u 仅显示未签名文件
    -v Csv 输出使用逗号分隔的列表文本

    例如检查 \Windows\System32 目录中的未签名文件可是使用以下命令:
    sigcheck -u -e c:\windows\system32
    此后您应检查未签名文件的用途.
  • Streams: 显示 NTFS 交换数据流
    引用:
    用法: streams [-s] [-d] <file or directory>
    -s 递归子目录.
    -d 删除数据流.
    Streams 支持通配符如 'streams *.txt'.
  • Strings: 在二进制映像内搜索 ANSI / UNICODE 字串.
    引用:
    用法: strings.exe [-a] [-b bytes] [-n length] [-o] [-q] [-s] [-u] <file or directory>

    Strings 支持文件名的中使用通配符, 其参数如下:
    -s 递归子目录.
    -o 显示文件中字串所处的偏移量.
    -a 仅扫描并搜索 ASCII.
    -u 仅扫描并搜索 UNICODE.
    -b bytes 扫描的文件长度.
    -n X 设置字串的最小长度(字符).

    连续在多个文件中搜索同一指定字串请使用以下格式:

    strings * | findstr /i 要搜索的字串
  • Sync: (释放磁盘写缓存),发送缓存中的数据至硬盘/移动磁盘。
    引用:
    用法: sync [-r] [-e] [盘符列表]
    -r 释放移动驱动器的缓存.
    -e 弹出移动驱动器.
    指定具体的驱动器 (例如 "c e") 后, Sync 将仅释放这些指定的驱动器.
  • TCPView: 活动socket 的观察器.

    其中另附命令行版本的TCPCon 用法与netstat相似
    引用:
    Usage: tcpvcon [-a] [-c] [-n] [process name or PID]
    -a Show all endpoints (default is to show established TCP connections).
    -c Print output as CSV.
    -n Don't resolve addresses..
  • VolumeId: 设置 FAT 或 NTFS 驱动器的卷ID 
    引用:
    用法: volumeid <盘符:> xxxx-xxxx

    *该命令进能在控制台提示符窗口中使用.
    对NTSF分区的所有更改将在重启后可见.
  • Whois: 查看网址的所有者.``
    引用:
    用法: whois 域名或IP [whois.server]
  • Winobj: 对象管理器命名空间的查看利器.
  • ZoomIt: 辅助演示工具支持屏幕上进行和画图.


wmz5858
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Sysinternals
02-26
The Sysinternals web site was created in 1996 by Mark Russinovich to host his advanced system utilities and technical information. Whether you’re an IT Pro or a developer, you’ll find Sysinternals utilities to help you manage, troubleshoot and diagnose your Windows systems and applications. Read the official guide to the Sysinternals tools, Troubleshooting with the Windows Sysinternals Tools Watch Mark’s top-rated Case-of-the-Unexplained troubleshooting presentations and other webcasts Read Mark’s Blog which highlight use of the tools to solve real problems Check out the Sysinternals Learning Resources page Post your questions in the Sysinternals Forum
SysinternalsSuite
08-19
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集.Sysinternals Suite一共包括将近70个windows...该网页对其中的大都数常用工具做了简介: http://www.cnblogs.com/wishma/archive/2012/10/31/2747511.html
sysinternals
wecode666
08-28 260
sysinternals Sysinternals Suite The entire set of Sysinternals Utilities rolled up into a single download. Sysinternals Suite for Nano Server Sysinternals Utilities for Nano Server in a single download. Sysinternals Suite for ARM64 Sysinternals Utilities
微软工具Windows Sysinternals Suite简介
狂奔之林的博客
11-11 5387
工具包由来 Sysinternals Suite是微软发布的一套非常强大的免费工具程序集,一共包括74个windows工具Sysinternals是Winternals公司提供的免费工具,Winternals公司原本主力研发系统复原与资料保护,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具,之后他们将这些工具集合起来称为Sysinternals。 前段时间很火的3Q大战中用来查看腾讯是否扫描用户硬盘的Process Monitor就是其中的优秀代表。 工具简介 本文把这套工具包里的
Sysinternals
|独自望海。。。
11-28 765
Sysinternals 之前为Winternals公司提供的免费工具,Winternals原本是一间主力产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具。之后他们将这些工具集合起来称为Sysinternals,并放在网路供人免费下载,其中也包含部分工具的原始码,一直以来都颇受IT专家社群的好评。  微软在2006年7月收购了Winternals,更
Sysinternals工具使用手册 20240208
最新发布
04-05
#### 二、主要工具简介 1. **AccessChk**: - **版本**:v6.15 (2022 年 5 月 11 日) - **功能**:这是一个命令行工具,用于检查文件、注册表项、服务、进程、内核对象等的有效权限。通过AccessChk,用户可以深入...
Sysinternals Suite2016微软工具包.rar
09-03
微软工程师们用于解决工作中遇到各种问题的小工具,他们将这些工具打包在一起就是现在的Sysinternals,工具集中包括了大量的实用绿色小软件,每一款都非常实用。每个WINDOWS用户都可以免费下载,并且部分程序还进行...
微软Sysinternals Suite工具包 2018.12.18 官方版.zip
07-09
工具简介和微软官方网页AccessChk 为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速...
微软极品Sysinternals Suite工具
07-11
因为每个软件几乎都可以长篇大论的介绍,所以,在此就只做简介和罗列,希望能够对大家有所帮助。 每个软件都可以单独下载,当然更建议直接下载他们的集成版——Sysinternals Suite 系统工具套装。其实,这套工具包...
Sysinternals:一款强大的非常全面的Windows工具合集
12-24
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集.我想介绍就不用多说了吧.用好windows Sysinternals Suite里的工具,你将更有能力处理windows的各种问题,而且不花一毛钱
Sysinternals 实用程序全集 (完整版 49.2M)
03-26
文件名:Sysinternals 实用程序全集.rar 文件大小:51,602,772字节 MD5:15A9888D4D11F8D0BAF501E7A2723A39 SHA1:339A24E2A1ACDEE012BA63B165DB2BC1E3455871 CRC32:9A768F7F 大名鼎鼎的Sysinternals工具都应该听说过吧,比较有名的有Process Explorer、TCPView、Autoruns、Filemon、PsTools等。这次发的是这一系列实用工具的全集,这是真正意义上的全集,甚至包括了几个已经被官方宣布退役、不再提供下载的工具。 每个工具都内附mht格式的官方说明,可用IE打开。 这次发的是完整版,不需要分段解压。 ---------------------------------------------------- ★Sysinternals 实用工具:文件和磁盘 AccessChk 此工具向您显示,您所指定的用户或用户组对文件、注册表项或 Windows 服务具有的访问权限。 AccessEnum 这一简单但强大的安全工具可以向您显示,谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。 CacheSet CacheSet 是一个允许您利用 NT 提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。 Contig 您是否希望迅速对您频繁使用的文件进行碎片整理?使用 Contig 优化单个的文件,或者创建连续的新文件。 DiskExt 显示卷磁盘映射 Diskmon 此实用工具会捕捉所有硬盘活动,或者在您的系统任务栏中象软件磁盘活动灯一样工作。 DiskView 图形磁盘扇区实用工具 Du 按目录查看磁盘使用情况 EFSDump 查看有关加密文件的信息 Filemon 此监视工具允许您实时查看文件系统的所有活动。 接合点 创建 Win2K NTFS 符号链接 LDMDump 转储逻辑磁盘管理器在磁盘上的数据库内容,其中说明了 Windows 2000 动态磁盘的分区情况。 MoveFile 为系统下一次重新启动安排文件重命名和删除命令。这对于清除顽固或使用中的恶意文件很有用。 NTFSInfo 用 NTFSInfo 可以查看有关 NTFS 卷的详细信息,包括主文件表 (MFT) 和 MFT 区的大小和位置,以及 NTFS 元数据文件的大小。 PageDefrag 对您的分页文件和注册表配置单元进行碎片整理! PendMoves 查看在系统下一次启动时安排删除或重命名哪些文件。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 PsFile 查看哪些文件被远程打开 PsTools PsTools 套件包括一些命令行实用工具,可列出在本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等等。 SDelete 安全地覆盖敏感文件,并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。 ShareEnum 扫描网络中的文件共享并查看其安全设置,以便堵住安全漏洞。 Sigcheck 转储文件版本信息并检查系统中的映像是否已进行数字签名。 Streams 显示 NTFS 备用数据流 Sync 刷新缓存数据到磁盘 VolumeId 设置 FAT 或 NTFS 驱动器的卷 ID ★Sysinternals 实用工具:安全性 AccessChk 该工具显示您指定的用户或用户组对文件、注册表项或 Windows 服务具有的访问权限。 AccessEnum 这一简单但功能强大的安全工具可以显示哪些用户对您系统中的目录、文件和注册表项具有何种访问权限。使用此工具可查找权限漏洞。 Autologon 在登录过程中跳过密码屏幕。 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 还能够完整列出应用程序可以配置自动启动设置的注册表和文件位置。 LogonSessions 列出活动的登录会话 NewSID 了解每个人都一直在谈论的计算机 SID 问题并获取免费的计算机 SID 更改器 NewSID。 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 PsExec 使用受限用户权限执行进程。 PsLoggedOn 显示登录到某个系统的用户 PsLogList 转储事件日志记录。 PsTools PsTools 套件包括几款命令行实用工具,可列出正在远程或本地计算机上运行的进程、以远程方式运行进程、重新启动计算机、转储事件日志以及执行其他任务。 RootkitRevealer 扫描系统以找出基于 Rootkit 的恶意软件 SDelete 安全地覆盖敏感文件,并使用这一符合 DoD 的安全删除程序清理先前删除的文件的可用空间。 ShareEnum 扫描网络中的文件共享并查看其安全设置,以便堵住安全漏洞。 Sigcheck 转储文件版本信息并验证系统中的映像已进行数字签名。 ★Sysinternals 实用工具:联网功能 AdRestore 恢复已删除的 Server 2003 Active Directory 对象 PsFile 查看远程打开的文件 PsTools PsTools 套件包括几款命令行工具,可侦听远程或本地计算机上运行的进程、远程运行的进程,还可以重新启动计算机以及转储事件日志等等。 ShareEnum 扫描网络上的文件共享并查看其安全设置,以关闭安全漏洞。 TCPView 活动套接字命令行查看器。 Whois 查看 Internet 地址的所有者。 ★Sysinternals 实用工具:系统信息 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 也会完整列出应用程序可以配置自动启动设置的注册表和文件位置。 ClockRes 查看系统时钟的分辨率,亦即最大计时器分辨率 Filemon 此监视工具用于实时查看文件系统的所有活动。 Handle 这一方便的命令行实用工具会显示哪些进程打开了哪些文件,以及更多其他信息 LiveKd 使用 Microsoft 内核调试程序检查真实系统。 LoadOrder 查看设备加载到 WinNT/2K 系统中的顺序 LogonSessions 列出系统中的活动登录会话 PendMoves 枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象,已加载了哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 ProcFeatures 这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。 PsInfo 获取某系统的相关信息 PsLoggedOn 显示登录到某个系统的用户 PsTools PsTools 套件包括几款命令行工具,可侦听远程或本地计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志,以及执行其他任务。 Regmon 此监视工具用于实时查看注册表的所有活动。 Winobj 基本对象管理器命名空间查看器。 ★Sysinternals 实用工具:进程 Autoruns 查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 也可向您显示注册表和文件位置的完整列表,应用程序可在此配置自动启动设置。 Filemon 此监视工具使您可以实时查看文件系统的所有活动。 Handle 此易用命令行实用工具将显示哪些进程打开了哪些文件,以及更多其他信息。 ListDLLs 列出所有当前加载的 DLL,包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。 Portmon 通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL,甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。 Process Explorer 找出进程打开了哪些文件、注册表项和其他对象,已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。 Process Monitor 实时监视文件系统、注册表、进程、线程和 DLL 活动。 PsExec 远程执行进程。 PsKill 终止本地或远程进程。 PsList 显示有关进程和线程的信息。 PsService 查看和控制服务。 PsSuspend 挂起和继续进程。 PsTools PsTools 套件包括几个命令行实用工具,可列出本地或远程计算机上运行的进程、远程运行进程,还可以重新启动计算机以及转储事件日志等等。 Regmon 此监视工具使您可以实时查看注册表的所有活动。 ★Sysinternals Miscellaneous Utilities AD Explorer Active Directory Explorer is an advanced Active Directory (AD) viewer and editor. AdRestore Restore tombstoned Active Directory objects in Server 2003 domains. Autologon Bypass password screen during logon. BgInfo This fully-configurable program automatically generates desktop backgrounds that include important information about the system including IP addresses, computer name, network adapters, and more. BlueScreen This screen saver not only accurately simulates Blue Screens, but simulated reboots as well (complete with CHKDSK), and works on Windows NT 4, Windows 2000, Windows XP, Server 2003 and Windows 9x. Ctrl2cap This is a kernel-mode driver that demonstrates keyboard input filtering just above the keyboard class driver in order to turn caps-locks into control keys. Filtering at this level allows conversion and hiding of keys before NT even "sees" them. Ctrl2cap also shows how to use NtDisplayString() to print messages to the initialization blue-screen. DebugView Another first from Sysinternals: This program intercepts calls made to DbgPrint by device drivers and OutputDebugString made by Win32 programs. It allows for viewing and recording of debug session output on your local machine or across the Internet without an active debugger. Desktops This new utility enables you to create up to four virtual desktops and to use a tray interface or hotkeys to preview what’s on each desktop and easily switch between them. Hex2dec Convert hex numbers to decimal and vice versa. PsLogList Dump event log records. PsTools The PsTools suite includes command-line utilities for listing the processes running on local or remote computers, running processes remotely, rebooting computers, dumping event logs, and more. RegDelNull Scan for and delete Registry keys that contain embedded null-characters that are otherwise undeleteable by standard Registry-editing tools. RegJump Jump to the registry path you specify in Regedit. Strings Search for ANSI and UNICODE strings in binary images. ZoomIt Presentation utility for zooming and drawing on the screen.
Sysinternals Suite
03-05
The Sysinternals Troubleshooting Utilities have been rolled up into a single Suite of tools. This file contains the individual troubleshooting tools and help files. It does not contain non-troubleshooting tools like the BSOD Screen Saver or NotMyFault.
Sysinternals 工具
01-17
由微软开发的,用于 Windows 下面的调试,检测强大工具集合。
SysInternals
arcko
05-22 117
http://live.sysinternals.com [url=http://www.taskcity.com/?dn=Arcko][img]http://www.taskcity.com/images/user/invite/330-60.jpg[/img][/url]
使用 Windows Sysinternals 工具进行故障排除
鹿鸣天涯
02-24 699
Sysinternals 网站由Mark Russinovich于 1996 年创建,用于托管他的高级系统实用程序和技术信息。无论您是 IT 专业人员还是开发人员,您都可以找到 Sysinternals 实用程序来帮助您管理、排除故障和诊断您的 Windows 系统和应用程序。 阅读 Sysinternals 工具的官方指南,使用 Windows Sysinternals 工具进行故障排除 阅读Sysinternals 博客以获取工具更新的详细更改源 在 YouTube 上观看 Mark 的Sysin
Windows Sysinternals 介绍(开篇)
商少
02-11 1196
Windows Sysinternals 介绍Windows Sysinternals 是什么?Windows 平台上使用的一个工具集合,可以监控系统的绝大部分文件,磁盘,网络,进程线程,模块。在程序出现问题时,可以通过综合应用这些工具来快速的定位问题,也经常用在病毒分析等领域。 官网 (https://docs.microsoft.com/zh-cn/sysinternals/)
掌握Windows Sysinternals管理员工具全攻略
Windows Sysinternals管理员参考手册》是由Mark Russinovich和Aaron Margosis合著,由Microsoft Press出版的一本专业书籍。这本书专注于Windows操作系统内部工具的高级管理和维护,Sysinternals套件是其核心内容,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值