Windows中的Sysinternals套件
Tags: OSSysinternalsWindows工具
简介
官网:www.sysinternals.com
https://learn.microsoft.com/zh-cn/sysinternals/
Sysinternals 故障排除实用工具已汇总到单个工具套件中。 此文件包含单独的故障排除工具和帮助文件。 它不包含非故障排除工具,如 BSOD 屏幕保护程序。
套件是以下选定的 Sysinternals 实用工具的捆绑: AccessChk、 AccessEnum、 AdExplorer、 AdInsight、 AdRestore、 Autologon、 Autoruns、 BgInfo、 BlueScreen、 CacheSet、 ClockRes、 Contig、 Coreinfo、 Ctrl2Cap、 DebugView、 Desktops、 Disk2vhd、 DiskExt、 DiskMon、 DiskView、 磁盘使用情况 (DU) 、 EFSDump、 FindLinks、 Handle、 Hex2dec、 Junction、 LDMDump、 ListDLLs、 LiveKd、 LoadOrder、 LogonSessions、 MoveFile、 NotMyFault、 NTFSInfo、 PendMoves、 PipeList、 PortMon、 ProcDump、 进程资源管理器、 进程监视器、 PsExec、 PsFile、 PsGetSid、 PsInfo、 PsKill、 PsList、 PsLoggedOn、 PsLogList、 PsPasswd、 PsPing、 PsService、 PsShutdown、 PsSuspend、 PsTools、 RAMMap、 RDCMan、 RegDelNull、 RegHide、 RegJump、 注册表使用情况 (RU) 、 SDelete、 ShareEnum、 ShellRunas、 Sigcheck、 流、 字符串、 同步、 Sysmon、 TCPView、 VMMap、 VolumeID、 WhoIs、 WinObj、 ZoomIt
工具介绍
文件和磁盘实用工具
AccessChk
此工具将显示您指定的用户或组对文件、注册表项或 Windows 服务的访问。
AccessEnum
这一简单但功能强大的安全工具显示有权访问系统上的目录、文件和注册表项。 使用它查找权限中的漏洞。
CacheSet
CacheSet 是一个程序,它允许你使用 NT 提供的函数来控制缓存管理器的工作集大小。 它与所有版本的 NT 兼容。
Contig
希望你可以快速整理经常使用的文件吗? 使用 Contig 优化单个文件,或创建连续的新文件。
Disk2vhd
Disk2vhd 简化了将物理系统迁移到 (p2v) 的虚拟机中的情况。
DiskExt
显示卷磁盘映射。
DiskMon
此实用程序在系统托盘中捕获所有硬盘活动或类似于软件磁盘活动灯。
DiskView
图形磁盘扇区实用程序。
磁盘使用情况 (DU)
按目录查看磁盘使用情况。
EFSDump
查看加密文件的信息。
FindLinks
FindLinks 报告文件索引和任何硬链接 (相同卷上的备用文件路径) 指定文件存在。 只要文件有至少一个引用它的文件名,就会保留该文件的数据分配。
交接点
创建 Win2K NTFS 符号链接。
LDMDump
转储逻辑磁盘管理器的磁盘上数据库的内容,该数据库描述 Windows 2000 动态磁盘的分区。
MoveFile
计划下次重新启动时执行的文件重命名和删除命令。 这可用于清理顽固或使用中的恶意软件文件。
NTFSInfo
使用 NTFSInfo 查看有关 NTFS 卷的详细信息,包括主文件表 (MFT 的大小和位置) 和 MFT 区,以及 NTFS 元数据文件的大小。
PendMoves
查看在系统下一次启动时计划删除或重命名的文件。
进程监视器
实时监视文件系统、注册表、进程、线程和 DLL 活动。
PsFile
查看远程打开的文件。
PsTools
PsTools 套件包含命令行实用程序,用于列出本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等。
SDelete
使用此符合 DoD 的安全删除程序安全地覆盖你的敏感文件,并清理以前删除的文件的可用空间。
ShareEnum
扫描网络上的文件共享,并查看其安全设置以关闭安全漏洞。
Sigcheck
转储文件版本信息并验证系统中的映像是否已进行数字签名。
流
显示 NTFS 备用流。
同步
将缓存的数据刷新到磁盘。
VolumeID
设置 FAT 或 NTFS 驱动器的卷 ID。
安全实用工具
AccessChk
此工具显示你指定的用户或组对文件、注册表项或Windows的访问权限。
AccessEnum
这个简单但功能强大的安全工具显示谁有权访问系统上的目录、文件和注册表项。 使用它查找权限中的漏洞。
Autologon
在登录期间绕过密码屏幕。
Autoruns
查看在系统启动并登录时,哪些程序配置为自动启动。 自动运行还会显示注册表和文件位置的完整列表,应用程序可在其中配置自动启动设置。
LogonSessions
列出活动登录会话
进程资源管理器
了解哪些文件、注册表项和其他对象进程已打开、已加载哪些 DLL 等。 这个功能独特的实用工具甚至可以显示每个进程的拥有者。
PsExec
使用受限用户权限执行进程。
PsLoggedOn
显示登录到系统的用户。
PsLogList
转储事件日志记录。
PsTools
PsTools 套件包括命令行实用工具,用于列出在本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等。
Rootkit Revealer
RootkitRevealer 是一个高级 rootkit 检测实用工具。
SDelete
使用此符合 DoD 的安全删除程序安全地覆盖敏感文件并清理以前删除的文件的可用空间。
ShareEnum
扫描网络上文件共享并查看其安全设置以关闭安全漏洞。
ShellRunas
通过方便的 shell 上下文菜单项以其他用户的方式启动程序。
Sigcheck
转储文件版本信息,并验证系统上的映像是否进行数字签名。
Sysmon
通过事件日志监视和报告Windows活动。
系统信息实用工具
Autoruns
查看在系统启动并登录时,哪些程序配置为自动启动。 自动运行还会显示注册表和文件位置的完整列表,应用程序可在其中配置自动启动设置。
ClockRes
查看系统时钟的分辨率,这也是最大计时器分辨率。
Coreinfo
Coreinfo 是一个命令行实用工具,用于显示逻辑处理器与物理处理器、NUMA 节点及其所在的套接字之间的映射,以及分配给每个逻辑处理器的缓存。
Handle
这个方便的命令行实用工具将显示哪些文件通过哪些进程打开,等等。
LiveKd
使用 Microsoft 内核调试器检查实时系统。
LoadOrder
查看设备在 WinNT/2K 系统上的加载顺序。
LogonSessions
列出系统上的活动登录会话。
PendMoves
枚举将在下一次启动时执行的文件重命名和删除命令的列表。
进程资源管理器
了解哪些文件、注册表项和其他对象进程已打开、已加载哪些 DLL 等。 这个功能独特的实用工具甚至可以显示每个进程的拥有者。
进程监视器
实时监视文件系统、注册表、进程、线程和 DLL 活动。
ProcFeatures
此小程序报告处理器和Windows物理地址扩展和无执行缓冲区溢出保护的支持。
PsInfo
获取有关系统的信息。
PsLoggedOn
显示登录到系统的用户
PsTools
PsTools 套件包括命令行实用工具,用于列出在本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等。
RAMMap
高级物理内存使用情况分析实用工具,以不同方式在其多个不同选项卡上显示使用情况信息。
WinObj
最终的对象管理器命名空间查看器在此处。
其它
Autoruns
查看在系统启动并登录时,哪些程序配置为自动启动。 自动运行还会显示注册表和文件位置的完整列表,应用程序可在其中配置自动启动设置。
ClockRes
查看系统时钟的分辨率,这也是最大计时器分辨率。
Coreinfo
Coreinfo 是一个命令行实用工具,用于显示逻辑处理器与物理处理器、NUMA 节点及其所在的套接字之间的映射,以及分配给每个逻辑处理器的缓存。
Handle
这个方便的命令行实用工具将显示哪些文件通过哪些进程打开,等等。
LiveKd
使用 Microsoft 内核调试器检查实时系统。
LoadOrder
查看设备在 WinNT/2K 系统上的加载顺序。
LogonSessions
列出系统上的活动登录会话。
PendMoves
枚举将在下一次启动时执行的文件重命名和删除命令的列表。
进程资源管理器
了解哪些文件、注册表项和其他对象进程已打开、已加载哪些 DLL 等。 这个功能独特的实用工具甚至可以显示每个进程的拥有者。
进程监视器
实时监视文件系统、注册表、进程、线程和 DLL 活动。
ProcFeatures
此小程序报告处理器和Windows物理地址扩展和无执行缓冲区溢出保护的支持。
PsInfo
获取有关系统的信息。
PsLoggedOn
显示登录到系统的用户
PsTools
PsTools 套件包括命令行实用工具,用于列出在本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等。
RAMMap
高级物理内存使用情况分析实用工具,以不同方式在其多个不同选项卡上显示使用情况信息。
WinObj
最终的对象管理器命名空间查看器在此处。
AD 资源管理器
Active Directory 资源管理器是一个高级 Active Directory (AD) 查看器和编辑器。
AdRestore
在 Server 2003 域中还原已删除的 Active Directory 对象。
Autologon
在登录期间绕过密码屏幕。
BgInfo
此完全可配置的程序自动生成桌面背景,其中包括有关系统的重要信息,包括 IP 地址、计算机名称、网络适配器等。
BlueScreen
此屏幕保存程序不仅准确模拟蓝屏,而且模拟重启以及 (完成 CHKDSK) ,并且适用于 Windows Vista、Server 2008 及更高版本。
Ctrl2cap
这是一个内核模式驱动程序,它演示键盘输入筛选在键盘类驱动程序上方,以便将 caps-lock 转换为控制键。 在此级别筛选允许在 NT 甚至“看到”密钥之前转换和隐藏密钥。 Ctrl2cap 还演示如何使用 NtDisplayString () 将消息打印到初始化蓝屏。
DebugView
另一个来自 Sysinternals:此程序截获由设备驱动程序发出的 DbgPrint 调用,以及 Win32 程序发出的 OutputDebugString 调用。 它允许在没有活动调试器的情况下查看和记录本地计算机或 Internet 上的调试会话输出。
台式机
通过此新实用工具,最多可以创建四个虚拟桌面,并使用托盘界面或热键预览每个桌面上的内容,并在它们之间轻松切换。
Hex2dec
将十六进制数字转换为十进制数,反之亦然。
NotMyFault
Notmyfault 是一种工具,可用于在 Windows 系统上崩溃、挂起和导致内核内存泄漏。
PsLogList
转储事件日志记录。
PsTools
PsTools 套件包括命令行实用工具,用于列出在本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等。
RegDelNull
扫描和删除包含嵌入的 null 字符的注册表项,否则标准注册表编辑工具无法删除这些字符。
注册表使用情况 (RU)
查看指定注册表项的注册表空间使用情况。
RegJump
跳转到在 Regedit 中指定的注册表路径。
字符串
在二进制图像中搜索 ANSI 和 UNICODE 字符串。
ZoomIt
用于在屏幕上缩放和绘图的演示文稿实用工具。
安装
打包下载安装
https://learn.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite
微软商店下载
搜“Sysinternals Suite”下载安装即可。
参考
https://learn.microsoft.com/zh-cn/sysinternals/downloads/system-information
https://learn.microsoft.com/zh-cn/sysinternals/downloads/misc-utilities?source=recommendations