Windows Sysinternals:微软极品工具箱

官网:https://docs.microsoft.com/en-us/sysinternals/

简介

Sysinternals Suite 是一套由微软官方免费提供的系统工具集,其中包含了大量超级实的优秀绿色小软件,譬如 Desktops (虚拟桌面)、Process Explorer (进程浏览器)、Autoruns (系统启动项管理) 等等,每一款都非常实用,绝对值得你了解、收藏并学习使用它们。

这些小工具原本是为了解决工程师们平常在工作上遇到的各种问题而开发的,之后他们将这些工具集合起来称为 Sysinternals,并免费提供公众下载,其中部分还开源了,一直以来都颇受 IT 界人士的好评。

常用工具推荐

AutoRuns
%title插图%num

实用程序包含有关任何启动监视程序的自动启动位置的最全面信息,可为您显示哪些程序被配置为在启动或登录系统期间运行,还会按 Windows 处理这些程序的顺序显示这些程序条目。这些程序包括启动文件夹、Run、RunOnce 和其他注册表项中的程序。经配置后的 Autoruns 还可显示其他位置,这些位置包括“资源管理器”外壳程序扩展、工具栏、浏览器帮助对象、Winlogon 通知、自动启动服务等等。Autoruns 的功能远比与 Windows Me 和 XP 绑定的 MSConfig 实用程序的功能更强大。

Autoruns 的“隐藏已签名的 Microsoft 项”选项可帮助您放大已添加到系统中的第三方自动启动映像,并且还支持查看为系统中其他帐户配置的自动启动映像。下载包中还包含一个等效命令行 Autorunsc,它可以输出 CSV 格式。

您可能会对自动启动的可执行文件个数感到惊讶!

Autoruns 可以运行在所有版本的 Windows 上,包括 Windows XP 64 位版本(用于 x64)和 Windows Server 2003 64 位版本(用于 x64)。

全面了解你的系统启动相关项,可以关闭不必要的服务、启动进程、驱动程序、计划任务等。

Process Explorer
%title插图%num

您是否曾经想要了解某个程序打开了哪个特定文件或目录?现在您可以找到答案了。 Process Explorer 可显示有关进程已打开或加载哪些句柄和 DLL 的信息。

Process Explorer 的显示由两个子窗口组成。顶部窗口总是显示当前活动进程的列表(包括拥有它们的帐户的名称),而底部窗口中显示的信息取决于 Process Explorer 所处的模式:如果它处于句柄模式下,则可以看到顶部窗口中的所选进程打开的句柄;如果 Process Explorer 处于 DLL 模式下,则可以看到相应进程已经加载的 DLL 和内存映射文件。Process Explorer 还具有强大的搜索功能,可以快速显示哪些进程打开了哪些特定句柄或加载了哪些特定 DLL。

Process Explorer 的独特功能使其可用于跟踪 DLL 版本问题或句柄泄漏问题,还可以让用户深入了解 Windows 和应用程序的工作方式。

Process Explorer 可以在 Windows 9x/Me、Windows NT 4.0、Windows 2000、Windows XP、Server 2003、64 位版本的 Windows(用于 x64 和 IA64 处理器)和 Windows Vista 上运行。

全面了解进程,关闭不必要的进程或可疑进程。

Process Monitor
%title插图%num

Process Monitor 是一个用于 Windows 的高级监视工具,可以显示实时文件系统、注册表和进程/线程活动。它结合了两个传统 Sysinternals 实用工具(Filemon 和 Regmon) 的功能,并增加了大量增强功能,其中包括丰富且不具破坏性的筛选功能、全面的事件属性(如会话 ID 和用户名)、可靠的进程信息、完整的线程堆栈(支持每个操作的集成符号)、同一文件并行日志记录等功能。异常强大的功能使 Process Monitor 成为系统故障排除和恶意软件捕获工具包的核心实用工具。

Process Monitor 可在 Windows 2000 SP4(装有更新汇总 1)、Windows XP SP2、Windows Server 2003 SP1 和 Windows Vista 以及 64 位版本的 Windows XP、Windows Server 2003 SP1 和 Windows Vista 上运行。

Process Monitor 其实是原来 Filemon 和 Regmon的替代整合增强版本。

TCPView
%title插图%num

TCPView是一个查看端口和线程的小工具,只要木马在内存中运行,一定会打开某个端口,只要黑客进入你的电脑,就有新的线程,tcpview虽然是静态表示端口和线程的,但是它方便,占用资源少!

实时显示你的系统端口和线程,定位黑客或木马大有用处。

下载地址

https://docs.microsoft.com/en-us/sysinternals/downloads/

备用下载

https://cloud.189.cn/t/6VB3IvBVNVv2 (访问码:88b0)

留下评论

Secured By miniOrange