Windows Sysinternals Suite 是一套由微軟官方免費提供的系統工具集,其中包含了大量超級實的優秀綠色小軟件,譬如Desktops (虛擬桌面)、Process Explorer (進程瀏覽器)、Autoruns(系統啓動項管理)等等,每一款都非常實用,絕對值得你瞭解、收藏並學習使用它們。
這些小工具原本是爲了解決工程師們平常在工作上遇到的各種問題而開發的,之後他們將這些工具集合起來稱爲Sysinternals,並免費提供公衆下載,其中部分還開源了,一直以來都頗受 IT 界人士的好評。如果把管理員比喻成戰士的話,那麼Sysinternals 就是我們手中的良兵利器。熟悉和掌握這些工具,並且對 Windows 的體系有一定的瞭解,將大幅提高你的電腦維護、應用技能……
Windows Sysinternals 的由來:
Sysinternals 原來是一家名爲 Winternals 公司開發出來的免費工具合集,Winternals原本是一間主力產品爲系統復原與資料保護的公司,爲了解決工程師平常在工作上遇到的各種問題,便開發出許多小工具,之後他們將這些工具集合起來稱爲Sysinternals。
Microsoft 公司於 2006 年 7 月收購了Sysinternals,將其系統化並且不斷更新和優化,已經發展成爲一套功能強大並且非常實用的系統維護工具。用好 WindowsSysinternals Suite 裏的工具將更有能力處理 Windows 的各種問題,而且不花一毛錢。
Windows Sysinternals 部分工具的簡單介紹:
AccessChk: 顯示指定用戶或組對 註冊表 文件 或服務的訪問
AccessEnum: 簡單強大的安全工具,顯示哪些用戶訪問了哪些目錄、文件及註冊鍵。幫助找出權限策略中的漏洞。
AdExplorer: 活動目錄瀏覽器.
AdInsight: LDAP 實時監控工具
AdRestore: Server 2003 活動目錄對象反刪除.
Autologon: 登錄時跳過密碼認證.
Autoruns: 顯示開機自啓動項的配置,比較實用。 顯示包括註冊鍵和文件位置在內的全面列表。
BgInfo: 可配置的桌面背景自動生成程序,可以生成含有重要系統信息的桌面背景,其中包括IP 地址,計算機名,網絡適配器,等信息.
BlueScreen: 不但能精確模擬藍屏還能重啓 (完全藉助CHKDSK)
DebugView: Sysinternals 的又一首創: 該程序可以攔截設備驅動對DbgPrint 的調用和Win32程序對OutputDebugString的調用.程序可以瀏覽或記錄本機或遠程計算機上調試會話的輸出,而無須激活調試器.
Desktops:創建虛擬桌面,使用任務欄界面或熱鍵預覽每個桌面上的內容並在這些桌面之間輕鬆地進行切換。
DiskExt: 顯示卷分區與磁盤的映射關係。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS)
DiskView: 圖形化磁盤扇區工具
Diskmon: 捕獲硬盤的所有活動,或以硬盤活動指示燈的形式出現在托盤中。
Du: 按目錄瀏覽磁盤使用情況
EFSDump: 顯示有關已加密文件的信息
Filemon: 即時監視文件系統的活動 (監視文件讀寫,常配合RegMon判斷某軟件對電腦做了什麼手腳)
Handle: 小巧的命令行工具,顯示呢哪些文件被哪些進程打開,及相關更多信息。
Hex2dec: 16進制-10進制互換.
Junction: 創建 NTFS捲上的符號鏈接(類似Linux的符號鏈接,靈活運用的話相當實用)
LDMDump: 可以轉儲 Logical Disk Manager 在磁盤中的數據庫.(LDMDump)
ListDLLs: 列出當前載入的所有 DLLs 及他們的位置和版本。2.0版可以顯示已載入模組的完整路徑名.
LiveKd: 在live(CD) 系統中使用Microsoft 內核調試器或MS 內核調試工具Windbg .
LoadOrder: 查看 WinNT/2K 中設備的載入順序
MoveFile: 爲下次啓動前安排文件的移動和刪除操作
LogonSessions: 列出系統中活動的登陸會話
NewSID: 瞭解有關計算機SID的問題,這是一個SID 更改程序,爲你換一個新的SID.
NTFSInfo: 使用 NTFSInfo 查看有關NTFS 卷的詳細信息,包括 主文件表 (MFT) 的大小位置和 MFT-zone, 以及 NTFS 元數據文件的大小.
PageDefrag: (啓動時)爲頁面文件和註冊表HIVE文件進行碎片整理.
PendMoves: 列出延遲到下次啓動前執行的文件移動、刪除操作
Portmon: 監視串/並口的數據活動支持所有標準的串並口 IOCTLs 甚至可以顯示一部分交換的數據.
Process Explorer: 能找出進程打開的文件,註冊鍵,以及其他對象,載入的 DLLs和進程所有者等信息。
Process Monitor: 實時監視文件系統,註冊表,進程,線程以及DLL的活動.
ProcFeatures: 報告進程或窗口對PAE與NX緩衝區溢出保護的支持情況.
PsTools: 該命令行工具包提供列出本地/遠程計算機進程、遠程運行進程、重啓、轉儲事件日誌、及更多功能.
PsExec: 在遠程系統執行進程.
PsFile: 查看本地被遠程打開的文件.
PsGetSid: 顯示計算機或用戶的 SID .
PsInfo: 獲取系統信息.
PsKill: 終止本地或遠程進程.
PsList: 顯示進程和線程有關的信息.
PsLoggedOn: 顯示已登陸系統的用戶
PsLogList: 轉儲事件日誌記錄.
PsPasswd: 更改賬戶密碼.
PsService: 查看設置服務.
PsShutdown: 關閉或重啓電腦.
PsSuspend: 凍結或恢復進程.
RegDelNull: 掃描並刪除包含標準註冊表編輯器無法刪除的內嵌空字符的註冊表鍵.
RegHide: 使用內置 API 創建名爲"HKEY_LOCAL_MACHINESoftwareSysinternalsCan't touch me!0" 的註冊鍵及在其中創建鍵值.
Regjump: 在Regedit中跳轉至指定的註冊鍵路徑.
Regmon: 實時監視所有註冊表活動 (監視註冊表變化,可以配合FileMon來判斷某軟件在電腦上做了什麼手腳)
RootkitRevealer: 掃描系統中基於RootKit的惡意程序.
SDelete: 兼容發國防部標準的安全刪除程序,安全覆蓋您的敏感文件並清理已刪除文件留下的空閒空間.
ShareEnum: 掃描網絡上的文件共享並瀏覽其安全設置,來發現漏洞.
Sigcheck: 轉儲文件版本信息並校驗系統中的映像是否經過數字簽名.
Streams: 顯示 NTFS 交換數據流
Strings: 在二進制映像內搜索 ANSI / UNICODE 字串.
Sync: (釋放磁盤寫緩存),發送緩存中的數據至硬盤/移動磁盤。
TCPView: 活動socket 的觀察器.(可以方便查看什麼軟件佔用了什麼端口之類的)
VolumeId: 設置 FAT 或 NTFS 驅動器的卷ID
Whois: 查看網址的所有者.
Winobj: 對象管理器命名空間的查看利器.
ZoomIt: 輔助演示工具支持屏幕上進行和畫圖.
微軟官網:https://technet.microsoft.com/en-us/sysinternals/bb842062