搞电脑的必看,微软sysinternals超级工具包

搞电脑的必看,微软sysinternals超级工具包
2010年07月02日
　　sysinternals suite 工具包 http://www.sysinternals.com 官网，有中文版。
　　http://live.sysinternals.com  在线工具，直接以目录的形式查看，下载工具。
　　Sysinternals 前身是Winternals公司，开始他们只是为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具。之后他们将这些工具集合起来称为Sysinternals,并放在网上供人免费下载,其中也包含
　　部分工具的原码。，06年被微软收购。
　　关于windows 操作系统的监控
　　如果有人给你机子放了木马，安装了后门，要知道杀毒软件不是万能
　　的。你怎样才能察觉出来呢？例如我刚来公司的时候，那个人事主管给我说，千万不要用公司的电脑干私人的事，因为会有些高科技的东西监控着。
　　呵呵，你招了一个搞电脑的，可不能让电脑把我给搞了。所以我就用到了超级无敌强的sysinternals suite 工具包。
　　这个工具包包含七十多个程序，我当然不一个一个说了。说说最常用，按照官网上下载排名来说吧。
　　名称：Process Explorer
　　文件名：procexp.exe
　　这东西可不是一般有名，打开网站主页就能看到Process Explorer 被《PC World 杂志》评为最好的 
　　75 个 Windows 工具之一。
　　下一个看看吧，你一定想把windows自带任务管理器给扔了吧。
　　Autoruns（GUI）Autorunsc（Console）
　　这个软件更算是大名鼎鼎了，他也是包含在Sysinternals。
　　autorun，听名字就是查看自动启动程序的。
　　当你打开他的时候，可能会吓一跳，怎么会这么多。之前查看所有自动启动的东西。也就几个而已，例如windows自带的msconfig。这个不仅仅能查看自启动程序，"资源管理器"外壳程序扩展、工具栏、浏览器帮助对象、Winlogon 通知、自动启动服务，驱动，打印，网络，等等等等。
　　菜鸟们不懂千万别乱动，因为这东西如果你乱改，操作系统可能会崩掉。
　　我上次不知道改了个什么，只要一登陆就注销。无奈重装。
　　但是还有些问题，例如上次Explorer进程有问题，就改了改这个东西，搞定的。
　　Process Monitor 进程监视器
　　还记得 Filemon  文件监视器吗？
　　可以监视指定目录下（整个硬盘驱动器都可以），所有文件，文件夹的更改，新建，删除等等事件，以及谁干的。别觉得你用.NET也可以写这个东西，.NET只是有这样的一个控件而已。
　　还记得Regmon  注册表监视器吗？
　　可以监视所有注册表的动作，这个你用.NET 能写出来吗？
　　而今天所说的Process Monitor 
　　文件名：Procmon.exe
　　就是
　　Filemon+Regmon+网络监视+其他等等等等。更加牛逼强大的Process Monitor 
　　监视进程和线程的启动和退出，包括退出状态代码 ? 监视映像 (DLL 和内核模式驱动程序) 加载 
　　? 捕获更多输入输出参数操作 ? 非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据 
　　? 捕获每一个线程操作的堆栈，使得可以在许多情况下识别一个操作的根源 ? 可靠捕获进程详细
　　信息，包括映像路径、命令行、完整性、用户和会话ID等等 ? 完全可以自定义任何事件的属性列 
　　? 过滤器可以设置为任何数据条件，包括未在当前视图中显示的 ? 高级的日志机制，可记录上千
　　万的事件，数GB的日志数据 ? 进程树工具显示所有进程的关系 ? 原生的日志格式，可将所有数
　　据信息保存，让另一个 Process Monitor 实例加载 ? 进程悬停提示，可方便的查看进程信息 ? 
　　详细的悬停提示信息让你方便的查看列中不能完整显示的信息 ? 搜索可取消 ? 系统引导时记录
　　所有操作 
　　Pstools
　　Pstools，这个很有名的工具包也是出自sysinternals,
　　? PsExec - 远程执行进程
　　? PsFile - 显示远程打开的文件
　　? PsGetSid - 显示计算机或用户的 SID
　　? PsInfo - 列出有关系统的信息 （对应windows里的systeminfo）
　　? PsKill - 按名称或进程 ID 结束进程(对应windows里的 taskkill 命令)
　　? PsList - 列出有关进程的详细信息（对应windows里的tasklist）
　　? PsLoggedOn - 查看在本地通过资源共享（包含所有资源）登录的用户
　　? PsLogList - 转储事件日志记录
　　? PsPasswd - 更改帐户密码（net user）
　　? PsService - 查看和控制服务 (对应windows里的net start,net stop, 还有更强大的sc)
　　? PsShutdown - 关闭和重新启动（可选）计算机(对应windows里的shuwdown)
　　? PsSuspend - 暂停进程
　　发现很多命令在windows都有集成，那还要这些工具干嘛呢？注意的是，以上所有命令都有这个参数
　　：[\\computer [-u username][-p password][name|pid]，也就是远程执行。这个工具包远程管理工具包
　　。
　　最强大的就是这个"PsExec"远程执行进程了，还记得当年的IPC入侵吗，如有这个工具，那只需要一句
　　话。甚至控制一个没设置好的网吧，也只需一句话，最强大的是是有一个"-c"参数，将本地程序复制到
　　运程机器运行。当然这东西并不是你只知道别的机子的密码就可以入侵的，可以看看这个工具的原理，不
　　过全是英文。
　　PageDefrag
　　碎片整理工具，这可不是一般的碎片整理工具。
　　正常的碎片整理工具需要在windows启动的情况下进行碎片整理，但是windows启动以后，某些碎片例如windows操作系统文件是独占模式，正在访问的，是不能够进行碎片整理的。也就是不能够彻底的整理系统盘，达不到加快启动windows等等一些效果。
　　前就是装个双系统，在xp系统整理win7盘符，在win7系统整理xp盘符。
　　当然装双系统太麻烦，那怎么办呢？
　　打开pageDefrag，选择Defragment at net boot，搞定。
　　Rootkit Revealer
　　Mark Russinovich（网站创始人）曾因为利用自己开发的Rootkit Revealer侦测到Sony光盘中采用Rootkit程序而声名大噪。
　　Rootkit扫描者，注意扫描的时候可能会很卡，因为这也是和内核打交道的。还有如果扫描出来系统用rootkit，那也别担心，有可能是某些软件使用了rootkit技术，例如某些杀毒软件等。详细请看官网：
　　http://technet.microsoft.com/zh-cn/sysinternals/bb 897445.aspx
　　TCPView（GUI）和Tcpvcon（Console）
　　显示系统TCP，UDP端点详细信息。 我不过我一直用CurrPorts，现在360安全卫士也有这功能，最新版360安全卫士有一个显示每个进程的网络访问量，下载速度上传速度，非常不错的。可以用来侦察未知
　　程序监控网络。
　　PendMoves v1.1 和 MoveFile v1.0
　　BlueScreen Screen Saver
　　下载以后，打开就蓝屏了。你可以千万别重启啊，因为这蓝屏是伪装的，这工具也叫蓝屏伪装工具。
　　你可别以为这个打开以后就是张蓝屏图片，等15秒之后，自动重启，而且还显示你操作系统的启动画画，
　　更而且启动以后还蓝屏。很逗吧，我电脑的屏保就是这个。（设置屏保需要把这个文件复制到windows\system32目录下。）
　　BgInfo
　　AutoLogn 
　　自动登录，在系统启动时自动登录，跳过输入密码的画面。很实用，windows优化大师等等一些优化软件都有这个功能。 
　　Desktops
　　用过Linux都知道在Linux中有四个桌面，windows只有一个，而这个工具就让windows操作系统也有四个桌面（四个外壳程序）。超级兔子也有这功能，我还有一个用wpf写的这个软件，有源码。
　　Disk2vhd 
　　还记得微软虚拟机Virtual PC吗，他的硬盘就是VHD文件，这个工具就是可以把Disk转换成Virtual PC的VHD虚拟硬盘。
　　Handle 这个更有用，查看某个进程都访问那些文件，以及其他信息。
　　VMMap
　　进程虚拟和物理内存分析实用工具
　　Strings 
　　在二进制映像中搜索 ANSI 和 UNICODE 字符串
　　当然了，想搞电脑，解决问题，这一点点工具是根本不够的。今天我在这几只说sysinternals suite 工具包