Sysinternals 工具集功能全解(中文)

twins2twins 2010-01-03

展開全文

Windows Sysinternals 工具套件

簡介（引自CnBeta）
Sysinternals Suite是微軟發(fā)布的一套非常強大的免費工具程序集.我想介紹就不用多說了吧.用好Windows Sysinternals Suite里的工具,你將更有能力處理Windows的各種問題,而且不花一毛錢.Sysinternals 之前為Winternals公司提供的免費工具,Winternals原本是一間主力產(chǎn)品為系統(tǒng)復原與資料保護的公司,為了解決工程師平常在工作上遇到的各種問題,便開發(fā)出許多小工具.之后他們將這些工具集合起來稱為Sysinternals,并放在網(wǎng)路供人免費下載,其中也包含部分工具的原始碼,一直以來都頗受IT專家社群的好評.

以下為個工具簡介譯自SystemInternals，

為控制臺工具，無界面。
以下工具名稱均已設(shè)好下載鏈接，方便按需下載。

本套裝集合了如下 SysInternals 工具:

AccessChk: 顯示指定用戶或組對注冊表文件或服務(wù)的訪問
AccessEnum: 簡單強大的安全工具，顯示哪些用戶訪問了哪些目錄、文件及注冊鍵。幫助找出權(quán)限策略中的漏洞。
AdExplorer: 活動目錄瀏覽器.
AdInsight: LDAP 實時監(jiān)控工具
AdRestore: Server 2003 活動目錄對象反刪除.
Autologon: 登錄時跳過密碼認證.
Autoruns: 顯示開機自啟動項的配置. 顯示包括注冊鍵和文件位置在內(nèi)的全面列表。

附命令行版``:

用法: autorunsc [-a] | [-c] [-b] [-d] [-e] [-g] [-h] [-i] [-l] [-m] [-n] [-p] [-r] [-s] [-v] [-w] [-x] [user]
-a Show all entries.
-b Boot execute.
-c Print output as CSV.
-d Appinit DLLs.
-e Explorer addons.
-g Sidebar gadgets (Vista and higher).
-h Image hijacks.
-i Internet Explorer addons.
-l Logon startups (this is the default).
-m Hide signed Microsoft entries.
-n Winsock protocol and network providers.
-p Printer monitor drivers.
-r LSA providers.
-s Autostart services and non-disabled drivers.
-t Scheduled tasks.
-v Verify digital signatures.
-w Winlogon entries.
-x Print output as XML.
user Specifies the name of the user account for which autorun items will be shown.
BgInfo: 可配置的桌面背景自動生成程序，可以生成含有重要系統(tǒng)信息的桌面背景，其中包括 IP 地址, 計算機名, 網(wǎng)絡(luò)適配器, 等信息.
BlueScreen: 不但能精確模擬藍屏還能重啟 (完全借助 CHKDSK), 適用于 Windows NT 4,
Windows 2000, Windows XP, Server 2003 and Windows 9x.
CacheSet: 可以調(diào)整 Cache Manager 工作集大小適用于NT。(NtQuerySystemInformation)
ClockRes: 顯示系統(tǒng)時鐘的精度，同時也是計時器的最大精度
Contig: 可以對單個文件進行碎片整理, 或創(chuàng)建連續(xù)的文件.

用法1(碎片整理): contig [-v] [-a] [-q] [-s] [文件名]
-v 顯示操作信息.
-a 分析文件碎片程度
-q -q 屏蔽-v 參數(shù)，運行靜默模式，僅顯示總結(jié)信息。
-s 按遞歸方式處理子文件夾中通配符指定所有文件。

用法2(生成連續(xù)的新文件): contig [-v] [-n 文件長度]
Ctrl2cap: 使用內(nèi)核模式驅(qū)動將大小寫轉(zhuǎn)換鍵轉(zhuǎn)化為控制鍵，該驅(qū)動演示比鍵盤輸入的類驅(qū)動更高一層的鍵盤輸入過濾。這一級別的過濾能在NT系統(tǒng)"看到"擊鍵前隱藏按鍵。Ctrl2cap 還演示了如何使用NtDisplayString() 在Win初始化時的藍色屏幕上顯示消息。

安裝運行:ctrl2cap /install
卸載運行:ctrl2cap /uninstall
DebugView: Sysinternals 的又一首創(chuàng): 該程序可以攔截設(shè)備驅(qū)動對 DbgPrint 的調(diào)用和Win32程序?qū)?OutputDebugString 的調(diào)用. 程序可以瀏覽或記錄本機或遠程計算機上調(diào)試會話的輸出，而無須激活調(diào)試器.
DiskExt: 顯示卷分區(qū)與磁盤的映射關(guān)系。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS)
DiskView: 圖形化磁盤扇區(qū)工具
Diskmon: 捕獲硬盤的所有活動，或以硬盤活動指示燈的形式出現(xiàn)在托盤中。
Du: 按目錄瀏覽磁盤使用情況

用法: du [[-v] [-l ] | [-n]] [-q] (文件或目錄)
-l 指定子文件夾探索深度 (默認為全部).
-n 不使用遞歸方式.
-q 不顯示版權(quán)信息.
-u 剔除重復的對象.
-v 顯示中間目錄.
EFSDump: 顯示有關(guān)已加密文件的信息

使用 EFSDump
-s 遞歸子目錄.
EFSDump 支持通配符例如： 'efsdump *.txt'.
Filemon: 即時監(jiān)視文件系統(tǒng)的活動
Handle: 小巧的命令行工具，顯示呢哪些文件被哪些進程打開，及相關(guān)更多信息。``

用法: handle [[-a] [-u] | [-c <handle> [-l] [-y]] | [-s]] [-p <processname>|<pid>> [name]
-a 轉(zhuǎn)儲所有類型的句柄信息, 不僅限于文件還包括注冊鍵,端口,線程,進程,及同步原語等.
-c 關(guān)閉指定句柄 (按16進制解釋). 進程需通過PID指定.
警告: 關(guān)閉句柄可能導致程序或系統(tǒng)不穩(wěn)定.
-l 轉(zhuǎn)儲內(nèi)存中各 Pagefile-Backed 區(qū)段的大小.
-y 關(guān)閉句柄時不提示確認.
-s 顯示打開的各類型句柄總數(shù).
-u 搜索句柄時顯示所有者名稱.
-p 僅掃描以指定進程名開頭的進程內(nèi)的句柄。因此:

handle -p exp

將轉(zhuǎn)儲所有名稱以 "exp" 開頭的進程所打開的文件, 其中就包括Explorer.

name

在對對象的引用中搜索指定字串.
例如，要查找已打開的引用 "c:\windows\system32" 中對象的句柄，你可以輸入:

handle windows\system

name 參數(shù)區(qū)分大小寫，指定的字串片段可以出現(xiàn)在對象路徑中的任何位置。
Hex2dec: 16進制-10進制互換.

用法: hex2dec [hex|decimal]

通過x 或 0x 前綴指定16進制數(shù)值
例如 1233(10進制)到16進制： hex2dec 1233
Junction: 創(chuàng)建 NTFS卷上的符號鏈接（類似Linux的符號鏈接）

用法1(查看): [-s] <目錄或文件名>
-s 遞歸子目錄

用法2(創(chuàng)建/刪除): [-d] <鏈接點> [<鏈接目標>]
刪除指定鏈接時請使用 -d 開關(guān)。
LDMDump: 可以轉(zhuǎn)儲 Logical Disk Manager 在磁盤中的數(shù)據(jù)庫.(LDMDump)
ListDLLs: 列出當前載入的所有 DLLs 及他們的位置和版本。2.0 版可以顯示已載入模組的完整路徑名.
LiveKd: 在live(CD) 系統(tǒng)中使用 Microsoft 內(nèi)核調(diào)試器或MS 內(nèi)核調(diào)試工具Windbg .

用法: livekd [-w] [-d] [-k ] [debugger options]
-w Runs windbg instead of Kd (Kd is the default).
-d Runs Dumpchk exam instead of Kd (Kd is the default).
-k Specifices complete path and filename of debugger image to execute.
LoadOrder: 查看 WinNT/2K 中設(shè)備的載入順序
MoveFile: 為下次啟動前安排文件的移動和刪除操作（PendingFileOperation i.e. HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations）

用法: movefile [來源] [目標]
將目標置空 ("") 表示刪除來源.

示例，刪除 test.exe：
movefile test.exe ""
LogonSessions: 列出系統(tǒng)中活動的登陸會話.``

用法: logonsessions [-p]
NewSID: 了解有關(guān)計算機SID的問題，這是一個 SID 更改程序，為你換一個新的SID.
*詳情必讀，見此:http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx*
NTFSInfo: 使用 NTFSInfo 查看有關(guān) NTFS 卷的詳細信息, 包括主文件表 (MFT) 的大小位置和 MFT-zone, 以及 NTFS 元數(shù)據(jù)文件的大小.
PageDefrag: (啟動時)為頁面文件和注冊表HIVE文件進行碎片整理.
PendMoves: 列出延遲到下次啟動前執(zhí)行的文件移動、刪除操作
Portmon: 監(jiān)視串/并口的數(shù)據(jù)活動支持所有標準的串并口 IOCTLs 甚至可以顯示一部分交換的數(shù)據(jù). Version 3.x 增強了對界面和過濾器的改進.
Process Explorer: 找出進程打開的文件，注冊鍵，以及其他對象,載入的 DLLs和進程所有者等信息。
Process Monitor: 實時監(jiān)視文件系統(tǒng)，注冊表，進程，線程以及DLL的活動.
ProcFeatures: 報告進程或窗口對PAE與NX緩沖區(qū)溢出保護的支持情況.

用法: procfeatures <文件/目錄>
PsTools: PsTools 命令行工具包提供列出本地/遠程計算機進程、遠程運行進程、重啟、轉(zhuǎn)儲事件日志、及更多功能.
- PsExec: 以受限用戶執(zhí)行進程.
- PsFile: 查看本地被遠程打開的文件.
- PsGetSid: 顯示計算機或用戶的 SID .
- PsInfo: 獲取系統(tǒng)信息.
  
  用法: psinfo [[\\計算機[,計算機[,..] | @文件 [-u 用戶 [-p 密碼]]] [-h] [-s] [-d] [-c [-t 分隔符]] [過濾器]
  \\計算機在指定計算機或遠程計算機上執(zhí)行命令。默認為本機；支持通配符，(\\*)命令將作用于當前域下的所有計算機。
  @文件在文件中指定的計算機上運行命令。
  -u (可選)指定登陸遠程計算機的用戶。
  -p (可選)指定用戶密碼，否則將提示輸入.
  -h 顯示已安裝的 hotfixes 補丁列表.
  -s 顯示已安裝的程序列表.
  -d 顯示磁盤卷信息.
  -c 按 CSV 格式打印.
  -t 指定-c 開關(guān)使用的分隔符,默認為逗號(,).
  過濾器 Psinfo 將僅顯示符合過濾器要求的字段信息. 例如 "psinfo service" 僅顯示Service Pack字段.
- PsKill: 終止本地或遠程進程.
  
  用法: pskill [- ] [-t] [\\computer [-u username] [-p password]] <process name | process id>
  - 顯示可用選項.
  -t 同時殺死子進程.
- PsList: 顯示進程和線程有關(guān)的信息.
  
  pslist exp 將顯示以表達式exp開頭的所有進程的統(tǒng)計信息(來自系統(tǒng)性能計數(shù)器)，包括Explorer。
  -d 顯示線程詳情.
  -m 顯示內(nèi)存詳情.
  -x 顯示進程內(nèi)存和線程.
  -t 顯示進程樹.
  -s [n] 運行進程管理器模式，并持續(xù)n秒. 按ESC取消.
  -r n 進程管理器模式刷新率，單位秒 (默認1s).
  -e 精確匹配的進程名.
  pid 掃描指定pid的進程.因此: pslist 53 將轉(zhuǎn)儲PID為53的進程統(tǒng)計信息.
  
  字段名
  # Pri: Priority
  # Thd: Number of Threads
  # Hnd: Number of Handles
  # VM: Virtual Memory
  # WS: Working Set
  # Priv: Private Virtual Memory
  # Priv Pk: Private Virtual Memory Peak
  # Faults: Page Faults
  # NonP: Non-Paged Pool
  # Page: Paged Pool
  # Cswtch: Context Switches
- PsLoggedOn: 顯示已登陸系統(tǒng)的用戶
  
  用法: psloggedon [- ] [-l] [-x] [\\computername | username]
  - 顯示可用選項.
  -l 僅顯示本地登陸,默認包含網(wǎng)絡(luò)登陸.
  -x 不顯示登陸次數(shù).
- PsLogList: 轉(zhuǎn)儲事件日志記錄.
- PsPasswd: 更改賬戶密碼.
- PsService: 查看設(shè)置服務(wù).
  
  Usage: psservice [\\computer [-u username] [-p password]] <command> <options>
  query 查詢服務(wù)狀態(tài).
  config 顯示服務(wù)配置.
  setconfig 設(shè)置啟動類型 (disabled, auto, demand).
  start 啟動服務(wù).
  stop 停止服務(wù).
  restart 停止并重新啟動服務(wù).
  pause 暫停服務(wù)
  cont 恢復暫停的服務(wù).
  depend 列出依賴指定服務(wù)的各服務(wù).
  security 轉(zhuǎn)儲服務(wù)安全描述信息.
  find 在網(wǎng)絡(luò)中搜索指定服務(wù).
- PsShutdown: 關(guān)閉或重啟電腦.
  
  用法: psshutdown [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] -s|-r|-h|-d|-k|-a|-l|-o [-f] [-c] [-t nn|h:m] [-n s] [-v nn] [-e [u|p]:xx:yy] [-m "message"]
  - 顯示可用選項.
- PsSuspend: 凍結(jié)或恢復進程.
  
  用法: pssuspend [- ] [-r] [\\computer [-u username] [-p password]] <process name | process id>
  - 顯示可用項
  -r 恢復指定進程.
RegDelNull: 掃描并刪除包含標準注冊表編輯器無法刪除的內(nèi)嵌空字符的注冊表鍵.

用法: regdelnull <path> [-s]
-s 遞歸子鍵.
RegHide: 使用內(nèi)置 API 創(chuàng)建名為 "HKEY_LOCAL_MACHINESoftwareSysinternalsCan't touch me!0" 的注冊鍵及在其中創(chuàng)建鍵值.
Regjump: 在Regedit中跳轉(zhuǎn)至指定的注冊鍵路徑.

用法: regjump [path]
支持根鍵的標準名或縮寫例如: HKEY_LOCAL_MACHINE 可縮寫為 HKLM
Regmon: 實時監(jiān)視所有注冊表活動.
RootkitRevealer: 掃描系統(tǒng)中基于RootKit的惡意程序.
SDelete: 兼容發(fā)國防部標準的安全刪除程序，安全覆蓋您的敏感文件并清理已刪除文件留下的空閑空間.

用法: sdelete [-p 次數(shù)] [-s] [-q] <file or directory>
sdelete [-p 次數(shù)] [-z|-c] [盤符]
-c 0空閑空間 (適于虛擬磁盤優(yōu)化).
-p 次數(shù) 指定擦除次數(shù).
-s 遞歸子目錄.
-q 不顯示錯誤信息 (靜默).
-z 清理空閑空間.
*如大多NT下的軟件一樣，由于無法定位，SDelete無法處理NTFS中殘留的文件名，留下可能的安全隱患*
ShareEnum: 掃描網(wǎng)絡(luò)上的文件共享并瀏覽其安全設(shè)置，來發(fā)現(xiàn)漏洞.
Sigcheck: 轉(zhuǎn)儲文件版本信息并校驗系統(tǒng)中的映像是否經(jīng)過數(shù)字簽名.

用法: sigcheck.exe [-a][-h][-i][-e][-n][[-s]|[-v]|[-m]][-q][-r][-u][-c catalog file] <file or directory>
-a 顯示擴展版本信息
-c 在指定的目錄文件(catalog file)中查找簽名
-e 僅掃描可執(zhí)行映像 (忽略擴展名).
-h 顯示文件HASH
-i 顯示映像簽名者
-m 轉(zhuǎn)儲名單
-n 僅顯示萬惡間版本號
-q 禁止顯示本程序版權(quán)信息
-r 檢查證書吊銷
-s 遞歸子目錄
-u 僅顯示未簽名文件
-v Csv 輸出使用逗號分隔的列表文本

例如檢查 \Windows\System32 目錄中的未簽名文件可是使用以下命令:
sigcheck -u -e c:\windows\system32
此后您應(yīng)檢查未簽名文件的用途.
Streams: 顯示 NTFS 交換數(shù)據(jù)流

用法: streams [-s] [-d] <file or directory>
-s 遞歸子目錄.
-d 刪除數(shù)據(jù)流.
Streams 支持通配符如 'streams *.txt'.
Strings: 在二進制映像內(nèi)搜索 ANSI / UNICODE 字串.

用法: strings.exe [-a] [-b bytes] [-n length] [-o] [-q] [-s] [-u] <file or directory>

Strings 支持文件名的中使用通配符, 其參數(shù)如下:
-s 遞歸子目錄.
-o 顯示文件中字串所處的偏移量.
-a 僅掃描并搜索 ASCII.
-u 僅掃描并搜索 UNICODE.
-b bytes 掃描的文件長度.
-n X 設(shè)置字串的最小長度(字符).

連續(xù)在多個文件中搜索同一指定字串請使用以下格式:

strings * | findstr /i 要搜索的字串
Sync: (釋放磁盤寫緩存)，發(fā)送緩存中的數(shù)據(jù)至硬盤/移動磁盤。

用法: sync [-r] [-e] [盤符列表]
-r 釋放移動驅(qū)動器的緩存.
-e 彈出移動驅(qū)動器.
指定具體的驅(qū)動器 (例如 "c e") 后， Sync 將僅釋放這些指定的驅(qū)動器.
TCPView: 活動socket 的觀察器.

其中另附命令行版本的TCPCon 用法與netstat相似

Usage: tcpvcon [-a] [-c] [-n] [process name or PID]
-a Show all endpoints (default is to show established TCP connections).
-c Print output as CSV.
-n Don't resolve addresses..
VolumeId: 設(shè)置 FAT 或 NTFS 驅(qū)動器的卷ID

用法: volumeid <盤符:> xxxx-xxxx

*該命令進能在控制臺提示符窗口中使用.
對NTSF分區(qū)的所有更改將在重啟后可見.
Whois: 查看網(wǎng)址的所有者.``

用法: whois 域名或IP [whois.server]
Winobj: 對象管理器命名空間的查看利器.
ZoomIt: 輔助演示工具支持屏幕上進行和畫圖.