文章目录 显示

Sysinternals是什么

Sysinternals 网站由 Mark Russinovich 于 1996 年创建,用于托管该公司先进的系统实用程序和技术信息。 无论是 IT 专业人员还是开发人员,你都会发现 Sysinternals 实用程序可帮助你管理、排查 Windows 和 Linux 系统与应用程序的问题并进行诊断。

image-20240415004741285
主页
https://learn.microsoft.com/zh-cn/sysinternals/

Sysinternals工具使用

整合链接地址:https://live.sysinternals.com/

  • Process Explorer:显示进程和线程的详细信息:父子关系,加载的DLL,打开的对象句柄(比如使用中的文件)

  • Autoruns:分组显示(系统启动时/用户登陆时/运行IE时)自动运行的软件,可以启用或禁用之

  • Process Monitor:实时记录文件系统、注册表、网络、进程、线程、Image加载活动的细节信息

  • Procdump:为进程创建用户态Full内存转储,可以设定条件自动抓取

  • VMMap:显示进程虚拟和物理内存使用情况的详细信息

  • DebugView:监控本地或远程计算机生产的,用户态或内核态的调试输出信息

  • LiveKd:无需重启至调试模式,针对运行中的本地系统或HyperV来宾系统快照运行标准的内核调试器,亦可对系统内存转储

  • ListDLLs:在控制台窗口中显示已载入系统的DLL详细信息

  • Handle:在控制台窗口中显示被系统中进程打开的对象句柄的相信信息

  • PsExec:远程执行进程,或以LocalSystem身份执行进程并对输出结果重定向

  • PsFile:远程列出或关闭打开的文件

  • PsGetSid:显示计算机、用户、组、或服务等安全主体的SID

  • PsInfo:列出有关系统的信息

  • PsKill:根据名称或PID终止进程

  • PsList:列出有关线程和进程的详细信息

  • PsLoggedOn:列出本地登陆或者通过远程连接登陆的账户

  • PsLogList:转储事件日志记录

  • PsPasswd:为用户账户设置密码

  • PsService:列出并控制Windows服务

  • PsShutdown:关闭、注销本地或远程系统,或更改其电源状态

  • PsSuspend:挂起和恢复进程

  • SigCheck:验证文件签名,查询Assembly版本和其它信息,通过VirusTotal.com查询恶意软件

  • AccessChk:搜索为特定用户或组授予权限的对象,提供所授权限的详细信息

  • Sysmon:监视并报告系统活动,借此发现攻击行为

  • AccessEnum:搜索文件或注册表层次结构,找出权限可能有变化的位置

  • ShareEnum:枚举网络中的文件和打印机共享,并显示可以访问这些共享的人

  • ShellRunAs:类似图形界面上的runas

  • Autologon:配置用户账户在系统启动后自动登录

  • LogonSessions:枚举计算机上活跃的的LSA登陆登陆回话

  • SDelete:安全的删除文件或目录结构,对硬盘所有未分配区域执行数据擦除操作

  • AdExplorer:显示和编辑AD对象

  • AdInsight:追踪AD LDAP API调用

  • AdRestore:枚举并还原已删除的AD对象

  • BgInfo:在桌面墙纸上显示计算机配置信息

  • Desktops:在单独的虚拟桌面上运行应用程序

  • ZoomIt:放大屏幕上显示的内容,并提供屏幕画面标注功能

  • Strings:在文件中搜索ASCII或Unicode文本

  • Streams:找出包含可选数据流的文件系统对象,并删除这些数据流

  • Junction:列出/删除NTFS目录交接点

  • FindLinks:列出NTFS硬链接

  • DU:列出目录层次结构的逻辑大小和磁盘空间占用大小

  • PendMoves:列出计划在下一次重启系统时执行的文件操作

  • MoveFile:安排在下一次重启系统时所要执行的文件操作

  • Disk2Vhd:针对物理磁盘创建VHD映像

  • Sync:将磁盘缓冲未写入的改动写入物理磁盘

  • DiskView:以图形化的方式显示卷中每个簇的映射信息,每个簇保存了哪些文件,特定文件使用了哪些簇

  • Contig:对特定文件进行碎片整理,或显示特点文件的碎片化程度

  • DiskExt:显示有关磁盘范围的信息

  • LDMDump:显示逻辑磁盘管理器LDM数据库中有关动态磁盘的详细信息

  • VolumeID:更改卷ID

  • PsPing:测量TCP/UDP数据包的单向和轮询时间、延迟,以及带宽

  • TCPView:列出活跃的TCP和UDP端点

  • Whois:查看互联网域名注册信息,或执行反向DNS查找

  • RAMMap:物理存储使用情况的详细视图

  • RU:列出所选注册表键的注册表空间使用情况

  • CoreInfo:查看处理器和Windows系统是否支持各种功能:如不可执行内存页。显示逻辑处理器与核心、处理器插槽、NUMA节点、处理器组之间的映射关系

  • WinObj:显示Windows对象管理器名称空间

  • LoadOrder:显示Windows加载各类设备驱动并启动不同服务的大致顺序

  • PipeList:列出正在侦听的命名管道

  • ClockRes:显示系统时钟的当前、最大和最小精度

  • RegJump:启动regedit,并定位至指定的reg path

  • Hex2Dec:十六进制和十进制的双向转换

  • RegDelNull:搜索/删除名称中包含嵌入NUL字符的注册表键

  • Ctrl2Cap:将Caps Lock键击事件转换成Control键击事件

声明:
1. 如需转载请保留原文链接谢谢!
2. 本站所有资源文章出自互联网收集整理,本站不参与制作,如果侵犯了您的合法权益,请联系本站我们会及时删除。
3. 本站发布资源来源于互联网,可能存在水印或者引流等信息,请用户擦亮眼睛自行鉴别,做一个有主见和判断力的用户。
4. 本站资源仅供研究、学习交流之用,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担。