Windows Sysinternals Suite

Windows Sysinternals Suite是一套由微软官方免费提供的系统工具集，其中包含了大量实用的绿色小软件，这些工具原本是为了解决工程师们在工作中遇到的各种问题而开发的，之后免费提供公众下载查看特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源的访问权限。

使用教程

功能分析

Autoruns：可以查看哪些程序被配置为在系统启动、用户登录以及运行 Internet Explorer 时自动启动。它还能完整列出应用程序可配置自动启动设置的注册表和文件位置。通过分组方式显示自动启动的软件，并可启用或禁用这些内容。命令行版本为 Autorunsc。

Process Explorer：一款强大的任务管理器替代品。它可以显示有关进程和线程的详细信息，如父子关系、加载的 DLL、打开对象的句柄等；支持显示进程父子关系的树形图视图（快捷键 Ctrl+T）；具备代码着色功能以区分进程类型和状态；提供工具提示，可显示命令行信息及其他与进程相关的信息；默认会用彩色强调新创建（红色）和退出（绿色）的进程；能显示进程加载的所有动态链接库和映射文件，以及进程打开的所有内核对象；可挂起进程、更改进程优先级或终止进程和进程树。

Process Monitor：实时监视文件系统、注册表、进程、线程和 DLL 活动。使用技巧包括利用procmon /noconnect命令打开监视器，在需要时按下 Ctrl+E 开始监视，以及善用过滤器筛选信息。

Sigcheck：可针对一个或多个文件或目录层次结构执行与安全有关的功能，如验证文件是否使用可信赖证书进行签名、显示扩展版本和其他信息，使用多种哈希算法计算文件哈希值，查询 VirusTotal 等。

AdExplorer：高级的 Active Directory（AD）查看器和编辑器。

AdInsight：LDAP（轻型目录访问协议）实时监视工具，用于对 Active Directory 客户端应用程序进行故障排除。

CacheSet：允许利用 NT 提供的功能来控制缓存管理器的工作集大小，与 NT 的所有版本兼容。

ClockRes：查看系统时钟的分辨率，即计时器最大分辨率。

Contig：可对频繁使用的文件进行碎片整理，优化单个文件或创建连续的新文件。

CoreInfo：新的命令行实用工具，可显示逻辑处理器与物理处理器之间的映射、NUMA 节点及其所处的插槽，以及分配给每个逻辑处理器的缓存。

Ctrl2Cap：内核模式的驱动程序，可在键盘类驱动程序上演示键盘输入过滤，将 Caps-Lock 转变为控制键。

DebugView：截取设备驱动程序对 DbgPrint 的调用和 Win32 程序生成的 OutputDebugString，允许在不使用活动调试器的情况下，在本地计算机上或通过 Internet 查看和记录调试会话输出。

Desktops：使用该工具可以创建最多四个虚拟桌面，通过任务栏界面或热键预览每个桌面上的内容，并在这些桌面之间轻松切换。

Disk2Vhd：可简化从物理系统到虚拟机（P2V）的迁移。

DiskExt：显示卷磁盘映射。

DiskMon：捕捉所有硬盘活动，或在系统任务栏中像软件磁盘活动灯一样工作。

DiskView：图形磁盘扇区实用工具。

DiskUsage (du)：按目录查看磁盘使用情况。

EfsDump：查看加密文件的信息。

Handle：易用的命令行实用工具，用于显示哪些进程打开了哪些文件等更多信息。

Hex2Dec：将十六进制数字转换为十进制及反向转换。

Junction：创建 Win2K NTFS 符号链接。

Ldmdump：转储逻辑磁盘管理器在磁盘上的数据库内容，说明 Windows 2000 动态磁盘的分区情况。

ListDlls：列出所有当前加载的 DLL，包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。

LiveKd：使用 Microsoft 内核调试程序检查真实系统。

LoadOrder：查看设备加载到 WinNT/2K 系统中的顺序。

LogonSessions：列出系统中的活动登录会话。

MoveFile：安排在系统下一次重新启动时执行移动和删除命令。

NtfsInfo：查看有关 NTFS 卷的详细信息，包括主文件表（MFT）和 MFT 区的大小和位置，以及 NTFS 元数据文件的大小。

PageDefrag：对分页文件和注册表配置单元进行碎片整理。

PendMoves：枚举在系统下一次启动时要执行的文件重命名和删除命令的列表。

PipeList：显示系统上的命名管道，包括每个管道的最大实例数和活动实例数。

PortMon：通过高级监视工具监视串行端口和并行端口的活动，能识别所有标准串行和并行 I/OCTL，甚至可以显示部分正在发送和接收的数据。

ProcDump：命令行实用工具，旨在捕获其他方式难以隔离和重现 CPU 峰值的进程转储，也可用作创建进程转储的一般工具，并可在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。

PsFile：查看远程打开的文件。

PsGetSid：显示计算机或用户的 SID。

PsInfo：获取有关系统的信息。

Psping：增强版的 Ping，支持 TCP 和 UDP 连接。

ZoomIt：放大屏幕上的显示内容，并提供屏幕画面标注功能，适用于演讲培训等场景。

下载 Windows Sysinternals Suite：

可以从微软官方网站直接下载，下载地址基本保持不变，如：

http://live.sysinternals.com/files/SysInternalsSuite.zip

https://download.sysinternals.com/files/SysInternalsSuite.zip

下载后解压压缩包，即可单独运行其中的各个工具。请注意，大多数工具需要管理员访问权限，使用前建议右键单击工具并选择“以管理员身份运行”。

工具介绍

AccessChk

为了确保创建安全的环境，Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。

AccessEnum

这一简单但强大的安全工具可以向您显示，谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。

AdExplorer

Active Directory Explorer 是一个高级的 Active Directory (AD) 查看器和编辑器。

AdInsight

一种 LDAP（轻型目录访问协议）实时监视工具，旨在对 Active Directory 客户端应用程序进行故障排除。

AdRestore

恢复已删除的 Server 2003 Active Directory 对象。

Autologon

登录过程中跳过密码屏幕。

Autoruns

查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 还能够完整列出应用程序可以配置自动启动设置的注册表和文件位置。

BgInfo

此完全可配置程序会自动生成桌面背景，其中包含有关系统的 IP 地址、计算机名称、网络适配器及更多内容的重要信息。

BlueScreen

此屏幕保护程序不仅精确模拟“蓝屏”，而且也模拟重新启动（完成 CHKDSK），并可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。

CacheSet

CacheSet 是一个允许您利用 NT 提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。

ClockRes

查看系统时钟的分辨率，亦即计时器最大分辨率。

Contig

您是否希望迅速对您频繁使用的文件进行碎片整理？使用 Contig 优化单个的文件，或者创建连续的新文件。

Coreinfo

Coreinfo 是一个新的命令行实用工具，可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽，以及分配给每个逻辑处理器的缓存。

Ctrl2cap

这是一个内核模式的驱动程序，可在键盘类驱动程序上演示键盘输入过滤，以便将 Caps-Lock 转变为控制键。在此级别过滤允许在 NT 刚好要“看到”键之前变换和隐藏键。Ctrl2cap 还显示如何使用 NtDisplayString() 打印初始化蓝屏的消息。

DebugView

Sysinternals 的另一个优先程序：此程序截取设备驱动程序对 DbgPrint 的调用和 Win32 程序生成的 OutputDebugString。它允许在不使用活动的调试器的情况下，在本地计算机上或通过 Internet 查看和记录调试会话输出。

Desktops

使用这一新的实用工具可以创建最多四个虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。

Disk2vhd

Disk2vhd 可简化从物理系统到虚拟机 (p2v) 的迁移。

DiskExt

显示卷磁盘映射。

Diskmon

此实用工具会捕捉所有硬盘活动，或者在您的系统任务栏中象软件磁盘活动灯一样工作。

DiskView

图形磁盘扇区实用工具。

Disk Usage (DU)

按目录查看磁盘使用情况。

EFSDump

查看加密文件的信息。

Handle

此易用命令行实用工具将显示哪些进程打开了哪些文件，以及更多其他信息。

Hex2dec

将十六进制数字转换为十进制及反向转换。

Junction

创建 Win2K NTFS 符号链接。

LDMDump

转储逻辑磁盘管理器在磁盘上的数据库内容，其中说明了 Windows 2000 动态磁盘的分区情况。

ListDLLs

列出所有当前加载的 DLL，包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。

LiveKd

使用 Microsoft 内核调试程序检查真实系统。

LoadOrder

查看设备加载到 WinNT/2K 系统中的顺序。

LogonSessions

列出系统中的活动登录会话。

MoveFile

使您可以安排在系统下一次重新启动时执行移动和删除命令。

NTFSInfo

用 NTFSInfo 可以查看有关 NTFS 卷的详细信息，包括主文件表 (MFT) 和 MFT 区的大小和位置，以及 NTFS 元数据文件的大小。

PageDefrag

对您的分页文件和注册表配置单元进行碎片整理。

PendMoves

枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表。

PipeList

显示系统上的命名管道，包括每个管道的最大实例数和活动实例数。

PortMon

通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL，甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。

ProcDump

这一新的命令行实用工具旨在捕获其他方式难以隔离和重现 CPU 峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具，并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。

Process Explorer

找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。

Process Monitor

实时监视文件系统、注册表、进程、线程和 DLL 活动。

ProcFeatures

这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。

PsExec

在远程系统上执行进程。

PsFile

查看远程打开的文件。

PsGetSid

显示计算机或用户的 SID。

PsInfo

获取有关系统的信息。

PsKill

终止本地或远程进程。

PsList

显示有关进程和线程的信息。

PsLoggedOn

显示登录到某个系统的用户。

PsLogList

转储事件日志记录。

PsPasswd

更改帐户密码。

PsService

查看和控制服务。

PsShutdown

关闭并重新启动（可选）计算机。

PsSuspend

挂起和继续进程。

PsTools

PsTools 套件包括一些命令行程序，可列出本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志，以及执行其他任务。

RegDelNull

扫描并删除包含嵌入空字符的注册表项，标准注册表编辑工具不能删除这种注册表项。

RegJump

跳至 Regedit 中指定的注册表路径。

RootkitRevealer

扫描系统以找出基于 Rootkit 的恶意软件。

SDelete

安全地覆盖敏感文件，并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。

ShareEnum

扫描网络上的文件共享并查看其安全设置，以关闭安全漏洞。

ShellRunas

通过方便的 shell 上下文菜单项，作为另一个用户启动程序。

Sigcheck

转储文件版本信息并检查系统中的映像是否已进行数字签名。

Streams

显示 NTFS 备用数据流。

Strings

在二进制映像中搜索 ANSI 和 UNICODE 字符串。

Sync

将缓存数据刷新到磁盘。

TCPView

活动套接字命令行查看器。

VMMap

VMMap 是进程虚拟和物理内存分析实用工具。

VolumeId

设置 FAT 或 NTFS 驱动器的卷 ID。

Whois

查看 Internet 地址的所有者。

WinObj

基本对象管理器命名空间查看器。

ZoomIt

在屏幕上进行缩放和绘图的演示实用工具。

工具包介绍：

Windows Sysinternals 部分工具的简单介绍：

AccessChk: 显示指定用户或组对 注册表 文件 或服务的访问

AccessEnum: 简单强大的安全工具，显示哪些用户访问了哪些目录、文件及注册键。帮助找出权限策略中的漏洞。

AdExplorer: 活动目录浏览器.

AdInsight: LDAP 实时监控工具

AdRestore: Server 2003 活动目录对象反删除.

Autologon: 登录时跳过密码认证.

Autoruns: 显示开机自启动项的配置。 显示包括注册键和文件位置在内的全面列表

BgInfo: 可配置的桌面背景自动生成程序，可以生成含有重要系统信息的桌面背景，其中包括 IP 地址, 计算机名, 网络适配器, 等信息.

BlueScreen: 不但能精确模拟蓝屏还能重启 (完全借助 CHKDSK)

CacheSet:用于使用 NT 提供的函数控制缓存管理器的工作集大小。 它与所有版本的 NT 兼容

ClockRes: 查看系统时钟的分辨率，这也是最大计时器分辨率。

Contig: 快速对常用文件进行碎片整理？ 使用 Contig 优化单个文件，或创建连续的新文件。

Coreinfo: 用于显示逻辑处理器与物理处理器、NUMA 节点和套接字之间的映射，以及分配给每个逻辑处理器的缓存。

DebugView: Sysinternals 的又一首创: 该程序可以拦截设备驱动对 DbgPrint 的调用和Win32程序对OutputDebugString 的调用. 程序可以浏览或记录本机或远程计算机上调试会话的输出，而无须激活调试器.

Desktops：创建虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。

DiskExt: 显示卷分区与磁盘的映射关系。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS)

Disk2Vhd：针对物理磁盘创建VHD映像

DiskView: 图形化磁盘扇区工具

Diskmon: 捕获硬盘的所有活动，或以硬盘活动指示灯的形式出现在托盘中

Du: (Disk Usage) 按目录浏览磁盘使用情况

EFSDump: 显示有关已加密文件的信息

Filemon: (可能已移除) 即时监视文件系统的活动 (监视文件读写，常配合RegMon判断某软件对电脑做了什么手脚)

FindLinks: 报告文件索引和硬链接数目。

Handle: 小巧的命令行工具，显示呢哪些文件被哪些进程打开，及相关更多信息。

Hex2dec: 16进制-10进制互相转换。

Junction: 创建 NTFS卷上的符号链接（类似Linux的符号链接，灵活运用的话相当实用）

LDMDump: 可以转储 Logical Disk Manager 在磁盘中的数据库

ListDLLs: 列出当前载入的所有 DLLs 及他们的位置和版本，以及已载入模组的完整路径名

LiveKd: 在live(CD) 系统中使用 Microsoft 内核调试器或MS 内核调试工具Windbg .

LoadOrder: 查看 WinNT/2K 中设备的载入顺序

LogonSessions：列出系统上的活动登录会话。

MoveFile: 为下次启动前安排文件的移动和删除操作

NotMyFault: 可用于在 Windows 系统上崩溃、挂起和导致内核内存泄漏。

NewSID: (可能被移除) 了解有关计算机SID的问题，这是一个 SID 更改程序，为你换一个新的SID.

NTFSInfo: 使用 NTFSInfo 查看有关 NTFS 卷的详细信息, 包括 主文件表 (MFT) 的大小位置和 MFT-zone, 以及 NTFS 元数据文件的大小.

PageDefrag: (可能被移除) 启动时为页面文件和注册表HIVE文件进行碎片整理.

PendMoves: 列出延迟到下次启动前执行的文件移动、删除操作

PipeList: 显示系统上的命名管道，包括每个管道的最大实例数和活动实例数。

PortMon: 监视串/并口的数据活动支持所有标准的串并口 IOCTLs 甚至可以显示一部分交换的数据.

ProcDump: 捕获其他难以隔离和重现 CPU 峰值的进程转储

Process Explorer: 能找出进程打开的文件，注册键，以及其他对象,载入的 DLLs和进程所有者等信息。

Process Monitor: 实时监视文件系统，注册表，进程，线程以及DLL的活动.

ProcFeatures: (可能被移除) 报告进程或窗口对PAE与NX缓冲区溢出保护的支持情况

PsExec: 在远程系统执行进程

PsFile: 查看本地被远程打开的文件

PsGetSid: 显示计算机或用户的 SID

PsInfo: 获取系统信息.

PsKill: 终止本地或远程进程.

PsList: 显示进程和线程有关的信息

PsLoggedOn: 显示已登录系统的用户

PsLogList: 转储事件日志记录

PsPasswd: 更改账户密码

PsPing: 测量网络性能

PsService: 查看设置服务

PsShutdown: 关闭或重启电脑

PsSuspend: 冻结或恢复进程

PsTools: 该命令行工具包提供列出本地/远程计算机进程、远程运行进程、重启、转储事件日志、及更多功能.

RAMMap: 高级物理内存使用情况分析实用工具，它以不同的方式在其多个不同选项卡上呈现使用情况信息。

RDCMan: 管理多个远程桌面连接。

RegDelNull: 扫描并删除包含标准注册表编辑器无法删除的内嵌空字符的注册表键.

RegHide: (可能被移除) 使用内置 API 创建名为 "HKEY_LOCAL_MACHINESoftwareSysinternalsCan't touch me!0" 的注册键及在其中创建键值.

Regjump: 在Regedit中跳转至指定的注册键路径.

RU: 查看指定注册表项的注册表空间使用情况。

Regmon: (可能被移除) 实时监视所有注册表活动 (监视注册表变化，可以配合FileMon来判断某软件在电脑上做了什么手脚)

RootkitRevealer: (可能被移除)扫描系统中基于RootKit的恶意程序

SDelete: 兼容发国防部标准的安全删除程序，安全覆盖您的敏感文件并清理已删除文件留下的空闲空间.

ShareEnum: 扫描网络上的文件共享并浏览其安全设置，来发现漏洞

ShellRunas: 通过方便的 shell 上下文菜单条目以其他用户身份启动程序

Sigcheck: 转储文件版本信息并校验系统中的映像是否经过数字签名

Streams: 显示 NTFS 交换数据流

Strings: 在二进制映像内搜索 ANSI / UNICODE 字串

Sync: (释放磁盘写缓存)，发送缓存中的数据至硬盘/移动磁盘

Sysmon: 是一种 Windows 系统服务和设备驱动程序，可在系统重新启动后仍保持驻留状态，以监视系统活动并将系统活动记录到 Windows 事件日志。 它提供有关进程创建、网络连接和文件创建时间更改的详细信息

TCPView: 活动 socket 的观察器. (可以方便查看什么软件占用了什么端口之类的)

VolumeId: 设置 FAT 或 NTFS 驱动器的卷ID

Whois: 查询域名的所有者

Winobj: 对象管理器命名空间的查看利器

ZoomIt: 辅助演示工具支持屏幕上进行和画图