大俠唐在飛的工具箱（安全篇）1：SysinternalsSuite

常言道：工欲善其事，必先利其器。作為一個專業的IT人士，必須要配備諸多專業好用的工具軟體，工作起來事半功倍，輕松上陣。彈指一揮間，諸事已亦。 作為一個資深的專業人士（其實就是一個混了好多年的老混混），我就向大家介紹一下我學中用的工具吧。優秀的軟體太多，我就一個個的來介紹吧。 今天介紹的軟體叫：SysinternalsSuite Sysinternals 網站由 Mark Russinovich 和 Bryce Cogswell 于 1996 年為托管其進階系統實用工具和技術資訊而創辦。Microsoft 在 2006 年 7 月份收購了 Sysinternals。無論您是 IT 專業人員還是開發人員，都會發現 Sysinternals 實用工具在對 Windows 系統和應用程式進行管理、故障排除和診斷時很有幫助。 檔案和磁盤實用工具  網絡實用工具  程序實用工具  安全實用工具  系統資訊實用工具  其他實用工具

       我就重點推薦幾個吧

1、AutoRuns

實用程式包含有關任何啟動監視程式的自動啟動位置的最全面資訊，可為您顯示哪些程式被配置為在啟動或登入系統期間運作，還會按 Windows 處理這些程式的順序顯示這些程式條目。這些程式包括啟動檔案夾、Run、RunOnce 和其他系統資料庫項中的程式。經配置後的 Autoruns 還可顯示其他位置，這些位置包括“資料總管”外殼程式擴充、工具欄、浏覽器幫助對象、Winlogon 通知、自動啟動服務等等。Autoruns 的功能遠比與 Windows Me 和 XP 綁定的 MSConfig 實用程式的功能更強大。

Autoruns 的“隐藏已簽名的 Microsoft 項”選項可幫助您放大已添加到系統中的第三方自動啟動映像，并且還支援檢視為系統中其他帳戶配置的自動啟動映像。下載下傳包中還包含一個等效指令行 Autorunsc，它可以輸出 CSV 格式。

您可能會對自動啟動的可執行檔案個數感到驚訝！

Autoruns 可以運作在所有版本的 Windows 上，包括 Windows XP 64 位版本（用于 x64）和 Windows Server 2003 64 位版本（用于 x64）。

全面了解你的系統啟動相關項，可以關閉不必要的服務、啟動程序、驅動程式、計劃任務等。

<a href="http://xiaoxia.blog.51cto.com/attachment/201201/16/23357_1326699649AQ8s.jpg"></a>

2、Process Explorer

您是否曾經想要了解某個程式打開了哪個特定檔案或目錄？現在您可以找到答案了。 Process Explorer 可顯示有關程序已打開或加載哪些句柄和 DLL 的資訊。

Process Explorer 的顯示由兩個子視窗組成。頂部視窗總是顯示目前活動程序的清單（包括擁有它們的帳戶的名稱），而底部視窗中顯示的資訊取決于 Process Explorer 所處的模式：如果它處于句柄模式下，則可以看到頂部視窗中的所選程序打開的句柄；如果 Process Explorer 處于 DLL 模式下，則可以看到相應程序已經加載的 DLL 和記憶體映射檔案。Process Explorer 還具有強大的搜尋功能，可以快速顯示哪些程序打開了哪些特定句柄或加載了哪些特定 DLL。

Process Explorer 的獨特功能使其可用于跟蹤 DLL 版本問題或句柄洩漏問題，還可以讓使用者深入了解 Windows 和應用程式的工作方式。

Process Explorer 可以在 Windows 9x/Me、Windows NT 4.0、Windows 2000、Windows XP、Server 2003、64 位版本的 Windows（用于 x64 和 IA64 處理器）和 Windows Vista 上運作。

全面了解程序，關閉不必要的程序或可疑程序。

<a href="http://xiaoxia.blog.51cto.com/attachment/201201/16/23357_1326699651xdPv.jpg"></a>

3、TCPView

TCPView是一個檢視端口和線程的小工具，隻要木馬在記憶體中運作，一定會打開某個端口，隻要黑客進入你的電腦，就有新的線程，tcpview雖然是靜态表示端口和線程的，但是它友善，占用資源少!

實時顯示你的系統端口和線程，定位黑客或木馬大有用處。

<a href="http://xiaoxia.blog.51cto.com/attachment/201201/16/23357_1326699652wjxc.jpg"></a>

4、Process Monitor

Process Monitor 是一個用于 Windows 的進階監視工具，可以顯示實時檔案系統、系統資料庫和程序/線程活動。它結合了兩個傳統 Sysinternals 實用工具（Filemon 和 Regmon） 的功能，并增加了大量增強功能，其中包括豐富且不具破壞性的篩選功能、全面的事件屬性（如會話 ID 和使用者名）、可靠的程序資訊、完整的線程堆棧（支援每個操作的內建符号）、同一檔案并行日志記錄等功能。異常強大的功能使 Process Monitor 成為系統故障排除和惡意軟體捕獲工具包的核心實用工具。

Process Monitor 可在 Windows 2000 SP4（裝有更新彙總 1）、Windows XP SP2、Windows Server 2003 SP1 和 Windows Vista 以及 64 位版本的 Windows XP、Windows Server 2003 SP1 和 Windows Vista 上運作。

Process Monitor 其實是原來 Filemon 和 Regmon的替代整合增強版本。

<a href="http://xiaoxia.blog.51cto.com/attachment/201201/16/23357_13266996541OCY.jpg"></a>

Sysinternals 實用工具索引

v4.24（2010 年 1 月 11 日） 

此更新修複了一個 Bug，該 Bug 有時會導緻 AccessChk 不顯示配置設定給使用者帳戶的權限和特權的完整清單。

1.32（2006 年 11 月 1 日） 

這一簡單但強大的安全工具可以向您顯示，誰可以用何種通路權限通路您系統中的目錄、檔案和系統資料庫項。使用此工具可查找權限漏洞。

v1.2（2009 年 4 月 22 日） 

Active Directory Explorer 是一個進階的 Active Directory (AD) 檢視器和編輯器。 

v1.01（2007 年 11 月 20 日） 

一種 LDAP（輕型目錄通路協定）實時監視工具，旨在對 Active Directory 用戶端應用程式進行故障排除。

v1.1（2006 年 11 月 1 日） 

恢複已删除的 Server 2003 Active Directory 對象。

v2.10（2006 年 11 月 1 日） 

登入過程中跳過密碼螢幕。

v9.57（2009 年 12 月 1 日） 

檢視哪些程式被配置為在系統啟動和您登入時自動啟動。Autoruns 還能夠完整列出應用程式可以配置自動啟動設定的系統資料庫和檔案位置。

v4.16（2009 年 10 月 1 日） 

此完全可配置程式會自動生成桌面背景，其中包含有關系統的 IP 位址、計算機名稱、網絡擴充卡及更多内容的重要資訊。

v3.2（2006 年 11 月 1 日） 

此螢幕保護程式不僅精确模拟“藍屏”，而且也模拟重新啟動（完成 CHKDSK），并可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。

v1.0（2006 年 11 月 1 日） 

CacheSet 是一個允許您利用 NT 提供的功能來控制緩存管理器的工作集大小的程式。它與 NT 的所有版本都相容。

v2.0（2009 年 6 月 4 日） 

檢視系統時鐘的分辨率，亦即計時器最大分辨率。

v1.55（2008 年 9 月 30 日） 

您是否希望迅速對您頻繁使用的檔案進行碎片整理？使用 Contig 優化單個的檔案，或者建立連續的新檔案。

v2.0（2009 年 10 月 21 日） 

Coreinfo 是一個新的指令行實用工具，可向您顯示邏輯處理器與實體處理器之間的映射、NUMA 節點和它們所處的插槽，以及配置設定給每個邏輯處理器的緩存。

v2.0（2006 年 11 月 1 日） 

這是一個核心模式的驅動程式，可在鍵盤類驅動程式上示範鍵盤輸入過濾，以便将 Caps-Lock 轉變為控制鍵。在此級别過濾允許在 NT 剛好要“看到”鍵之前變換和隐藏鍵。Ctrl2cap 還顯示如何使用 NtDisplayString() 列印初始化藍屏的消息。

v4.76（2008 年 10 月 16 日） 

Sysinternals 的另一個優先程式：此程式截取裝置驅動程式對 DbgPrint 的調用和 Win32 程式生成的 OutputDebugString。它允許在不使用活動的調試器的情況下，在本地計算機上或通過 Internet 檢視和記錄調試會話輸出。

v1.02（2010 年 1 月 19 日） 

使用這一新的實用工具可以建立最多四個虛拟桌面，使用工作列界面或熱鍵預覽每個桌面上的内容并在這些桌面之間輕松地進行切換。

v1.4（2009 年 12 月 1 日） 

Disk2vhd 可簡化從實體系統到虛拟機 (p2v) 的遷移。

v1.1（2007 年 5 月 14 日） 

顯示卷磁盤映射。

v2.01（2006 年 11 月 1 日） 

此實用工具會捕捉所有硬碟活動，或者在您的系統工作列中象軟體磁盤活動燈一樣工作。

v2.3（2010 年 1 月 19 日） 

圖形磁盤扇區實用工具。

v1.33（2008 年 12 月 10 日） 

按目錄檢視磁盤使用情況。

v1.02（2006 年 11 月 1 日） 

檢視加密檔案的資訊。

v3.42（2008 年 11 月 19 日） 

此易用指令行實用工具将顯示哪些程序打開了哪些檔案，以及更多其他資訊。

将十六進制數字轉換為十進制及反向轉換。

v1.05（2007 年 7 月 24 日） 

建立 Win2K NTFS 符号連結。

轉儲邏輯磁盤管理器在磁盤上的資料庫内容，其中說明了 Windows 2000 動态磁盤的分區情況。

v2.25（2006 年 11 月 1 日） 

列出所有目前加載的 DLL，包括加載位置及其版本号。2.0 版将列印已加載子產品的完整路徑名。

v3.13（2010 年 1 月 11 日） 

使用 Microsoft 核心調試程式檢查真實系統。

檢視裝置加載到 WinNT/2K 系統中的順序。

列出系統中的活動登入會話。

使您可以安排在系統下一次重新啟動時執行移動和删除指令。

用 NTFSInfo 可以檢視有關 NTFS 卷的詳細資訊，包括主檔案表 (MFT) 和 MFT 區的大小和位置，以及 NTFS 中繼資料檔案的大小。

v2.32（2006 年 11 月 1 日） 

對您的分頁檔案和系統資料庫配置單元進行碎片整理。

枚舉在系統下一次啟動時所要執行的檔案重命名和删除指令的清單。

（2006 年 11 月 1 日） 

顯示系統上的命名管道，包括每個管道的最大執行個體數和活動執行個體數。

v3.02（2006 年 11 月 1 日） 

通過進階監視工具監視串行端口和并行端口的活動。它能識别所有的标準串行和并行 IOCTL，甚至可以顯示部分正在發送和接收的資料。3.x 版具有強大的新 UI 增強功能和進階篩選功能。

v1.72（2010 年 1 月 19 日） 

這一新的指令行實用工具旨在捕獲其他方式難以隔離和重制 CPU 峰值的程序轉儲。該工具還可用作用于建立程序轉儲的一般實用工具，并可以在程序具有挂起的視窗或未處理的異常時監視和生成程序轉儲。

v11.33（2009 年 2 月 4 日） 

找出程序打開了哪些檔案、系統資料庫項和其他對象以及已加載哪些 DLL 等資訊。這個功能異常強大的實用工具甚至可以顯示每個程序的所有者。

v2.8（2009 年 11 月 3 日） 

實時監視檔案系統、系統資料庫、程序、線程和 DLL 活動。

v1.10（2006 年 11 月 1 日） 

這一小程式會報告處理器和 Windows 對“實體位址擴充”和“無執行”緩沖區溢出保護的支援情況。

v1.97（2009 年 12 月 1 日） 

在遠端系統上執行程序。

v1.02（2006 年 12 月 4 日） 

檢視遠端打開的檔案。

v1.43（2006 年 12 月 4 日） 

顯示計算機或使用者的 SID。

v1.75（2007 年 7 月 9 日） 

擷取有關系統的資訊。

v1.13（2009 年 12 月 1 日） 

終止本地或遠端程序。

v1.28（2006 年 12 月 4 日） 

顯示有關程序和線程的資訊。

v1.33（2006 年 12 月 4 日） 

顯示登入到某個系統的使用者。

v2.7（2009 年 5 月 7 日） 

轉儲事件日志記錄。

v1.22（2006 年 12 月 4 日） 

更改帳戶密碼。

v2.22（2008 年 1 月 11 日） 

檢視和控制服務。

v2.52（2006 年 12 月 4 日） 

關閉并重新啟動（可選）計算機。

v1.06（2006 年 12 月 4 日） 

挂起和繼續程序。

（2009 年 7 月 1 日） 

PsTools 套件包括一些指令行程式，可列出本地或遠端計算機上運作的程序、遠端運作程序、重新啟動計算機、轉儲事件日志，以及執行其他任務。

掃描并删除包含嵌入空字元的系統資料庫項，标準系統資料庫編輯工具不能删除這種系統資料庫項。

v1.01（2006 年 11 月 1 日） 

跳至 Regedit 中指定的系統資料庫路徑。

v1.71（2006 年 11 月 1 日） 

掃描系統以找出基于 Rootkit 的惡意軟體。

v1.51（2006 年 11 月 1 日） 

安全地覆寫敏感檔案，并使用此符合 DoD 的安全删除程式清理先前删除檔案所在的可用空間。

v1.6（2006 年 11 月 1 日） 

掃描網絡上的檔案共享并檢視其安全設定，以關閉安全漏洞。

v1.01（2008 年 2 月 28 日） 

通過友善的 shell 上下文菜單項，作為另一個使用者啟動程式。

v1.65（2010 年 1 月 19 日） 

轉儲檔案版本資訊并檢查系統中的映像是否已進行數字簽名。

v1.56（2007 年 4 月 27 日） 

顯示 NTFS 備用資料流。

v2.41（2009 年 3 月 2 日） 

在二進制映像中搜尋 ANSI 和 UNICODE 字元串。

将緩存資料重新整理到磁盤。

v2.54（2009 年 3 月 17 日） 

活動套接字指令行檢視器。

v2.5（2009 年 12 月 1 日） 

VMMap 是程序虛拟和實體記憶體分析實用工具。

設定 FAT 或 NTFS 驅動器的卷 ID。

檢視 Internet 位址的所有者。

v2.15（2006 年 11 月 1 日） 

基本對象管理器命名空間檢視器。

v4.1（2009 年 10 月 21 日） 

在螢幕上進行縮放和繪圖的示範實用工具。

     本文轉自小俠唐在飛 51CTO部落格，原文連結：http://blog.51cto.com/xiaoxia/764802，如需轉載請自行聯系原作者