Sysinternals

Sysinternals

Sysinternals 之前為Winternals公司提供的免費工具,Winternals原本是一間主力產品為系統復原與資料保護的公司,為了解決工程師平常在工作上遇到的各種問題,便開發出許多小工具。之後他們將這些工具集合起來稱為Sysinternals,並放在網路供人免費下載,其中也包含部分工具的原始碼,一直以來都頗受IT專家社群的好評。

簡介


Sysinternals Suite包含一系列免費的系統工具,其中有大名鼎鼎的Process Explorer、FileMon、RegMon等,如果把系統管理員比喻成戰士的話,那麼Sysinternals Suite就是我們手中的良兵利器。熟悉和掌握這些工具,並且對Windows的體系有一定的了解,將大幅度的提高日常的診斷和排錯能力。
Sysinternals
Sysinternals
微軟在2006年7月收購了Winternals,更重要的是,微軟藉由此一併購網羅了該公司的兩位創辦人Mark Russinovich及Bryce Cogswell,其中,Mark Russinovich曾因為利用自己開發的Rootkit Revealer偵測到Sony光碟中採用Rootkit程序而聲名大噪。下面簡要介紹一下工具包里一些很有特色的小工具。

工具包


AccessChk
Windows管理員往往需要知道什麼樣的訪問特定的用戶或團體的資源,包括文件,目錄,註冊表項 和Windows服務。 AccessChk將回答這些問題的一個直觀的界面和輸出。
AccessEnum
AccessEnum可以讓你在數秒的時間內了解目錄、文件以及註冊表的許可權設置情況,快速找到安全漏洞並鎖定需要保護的許可權。對於虛擬主機管理者來講幫助會更大。
CacheSet
CacheSet 允許您處理系統文件緩存中的工作集參數。CacheSet 可以在所有版本的 NT 上運行,而且在不對新 Service Pack 版本進行修改的情況下也可運行。除了使您能夠控制工作集大小的最小值和最大值,它還允許您重置緩存的工作集,強制它在必要時從一個最小的起點開始增長。CacheSet 的更改會對緩存的大小立即產生影響。注意:要在 NT 4.0 Service Pack 4 上使用 CacheSet,您必須擁有“增加配額”的許可權(管理員賬戶默認擁有此許可權)。CacheSet 已經獲得更新可啟用此許可權,因此它可以在 SP4 上運行。
Contig
一個基於命令行的小程序,能夠快速有效的整理硬碟上的文件碎片,可以使文件變的連續,提高訪問速度。Power Defragmenter是一個高手編寫的Contig的GUI版本,帶有一個圖形界面,用起來更方便,更直觀。可以大大提高碎片整理速度。使用前需要把Contig與Power Defragmenter放在同一文件夾下。
DiskExt
DiskExt 展示了對 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 命令的使用,該命令返回有關某卷的分區位於哪個磁碟(多分區磁碟可以駐留在多個磁碟上),以及分區位於磁碟上的什麼位置等信息。
DiskMon
Diskmon是一硬碟數據存取實時監控軟體,能夠將 Windows NT/2000/XP 操作系統的硬碟數據存取時間滴水不漏地紀錄下來,您還可以將紀錄文件儲存成 LOG 文字文件。
DiskView
DiskView 該軟體集成於微軟的Windows操作系統的資源管理器以顯示一個直觀的磁碟空間使用情況。該軟體的Visualizer面板在一個圖形圖表中提供關於當前文件夾的詳細使用情況信息。文件和文件夾空間佔用情況以及在Windows 操作系統的資源管理器中的Details view 的Relative Size能夠使用DiskView's Size On Disk進行觀看。
FileMon
Filemon 是一款出色的文件系統監視軟體,它可以監視應用程序進行的文件讀寫操作。它將所有與文件一切相關操作(如讀取、修改、出錯信息等)全部記錄下來以供用戶參考,並允許用戶對記錄的信息進行保存、過濾、查找等處理,這就為用戶對系統的維護提供了極大的便利。
NTFSInfo
怎樣得到你自己個人的NTFS volumes呢?比如扇區的數量,簇的大小,以及其它有趣的NTFS 的信息?在一些細節方面,NTFSInfo會為你提供如下信息:
主文件基於簇的位置
主文件鏡像的啟動簇
主文件的大小
卷的大小
簇和分區的總數量
可用的自由空間
分區和簇的位元組數
PageDefrag
標準的碎片整理程序既無法向您顯示分頁文件和註冊表配置單元的碎片化情況,也無法對它們進行碎片整理。分頁和註冊表文件碎片化可能是系統因文件碎片化而導致性能下降的首要原因之一。
PageDefrag 使用先進的技術向您提供商業碎片整理程序無法提供的服務:即查看分頁文件和註冊表配置單元的碎片化情況,並且對它們進行碎片整理的能力。此外,它還對事件日誌和 Windows 2000/XP 休眠文件(當休眠筆記本電腦時保存系統內存的地方)進行碎片整理。
Process Monitor
進程監視器,這是一個高級的Windows監視工具,不但可以監視進程/線程,還可以關注到文件系統,註冊表的變化。它包含2個Sysinternals遺留組件:Filemon 和 Regmon,並添加了大量功能。
PsFile
PsFile是一個顯示機器上的會話和有什麼文件被網路中的用戶打開的命令。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
PsTools
PsTools是Sysinternals公司推出的一個功能強大的遠程管理工具包,一共由12個命令組成,可以用來遠程管理Windows NT/2000/XP系統。可以遠程整理硬碟、關閉遠程計算機上運行的信使服務、查看伺服器硬碟空間、查看遠程計算機上的進程,並結束可疑進程、發送消息並快速關閉遠程計算機等。
SDelete
當操作系統處於非活動狀態時,可以使用原始磁碟編輯程序和恢復工具查看和恢復操作系統已取消分配的數據。即使使用 Win2K 的加密文件系統(EFS) 加密文件,文件的原始未加密文件數據在創建該文件的新的加密版本后仍然保留在磁碟上。
要確保使用 EFS 加密的文件以及已刪除的文件無法恢復,唯一的方法是使用安全刪除應用程序。安全刪除應用程序使用能夠使磁碟數據無法恢復的技術,甚至使用可以讀取磁性媒體中揭示弱刪除文件的模式的恢復技術來覆蓋已刪除文件的磁碟數據。SDelete(安全刪除)就是這樣一個應用程序。您既可以使用 SDelete 安全地刪除現有文件,也可以安全地擦除存在於磁碟的未分配部分中的任意文件數據(包括您已經刪除或加密的文件)。SDelete 實施了美國國防部資料摧毀標準 (Clearing and Sanitizing Standard) DOD 5220.22-M,以使您確信在使用 SDelete 刪除文件數據后,這些數據將徹底消失。
ShareEnum
Windows NT/2000/XP 網路安全中經常被忽略的方面是文件共享。當用戶以寬鬆的安全標準定義文件共享時,通常會出現安全缺陷,從而使得未經授權的用戶可以查看敏感文件。沒有任何一款內置工具可以列出網路中可見的共享及其安全設置,但 ShareEnum 填補了這一空白,使您可以鎖定網路上的文件共享。
運行 ShareEnum 時,它將使用 NetBIOS 枚舉功能來掃描可以訪問的域中的所有計算機,從而顯示文件和列印共享及其安全設置。由於只有域管理員具有查看所有網路資源的許可權,所以在您以域管理員帳戶運行 ShareEnum 時,它才最有效。
Sigcheck
驗證映像進行了數字簽名並使用這一簡單的命令行實用工具轉儲版本信息。
Streams
NTFS 文件系統為應用程序提供創建信息備用數據流的能力。默認情況下,所有數據都存儲在文件的主要未命名數據流中,但通過使用“file:stream”語法,您就能讀取和寫入備用數據流。不是所有應用程序都編寫為能夠訪問備用數據流,但您可以非常簡單地演示數據流。首先,在命令提示符中,更改到 NTFS 驅動器上的一個目錄。然後,鍵入“echo hello > test:stream”。您剛剛創建了一個與文件“'test”相關聯的數據流,名為“stream”。請注意,在查看 test 的大小時,它報告為 0,並且在用任何文本編輯器打開時,文件看上去是空的。要查看您的數據流,請輸入“more < test:stream”(type 命令不接受數據流語法,因此您需要用 more)。
Streams 將檢查您指定的文件和目錄(注意目錄也可以有備用數據流),通知您在那些文件中遇到的任何命名數據流的名稱和大小。
用法:streams [-s] [-d] <文件或目錄>
-s
對子目錄執行遞歸操作。
-d
刪除流。
Streams 接受通配符,如“streams *.txt”
Autologon
可以實現自動登錄系統,無需手動輸入帳戶、域名和密碼。其實就是在系統註冊表中添加帳戶信息和登錄信息的鍵值。不過由軟體來實現更加簡單了,如同簡單的腳本。
LogonSessions
如果您認為在登錄系統時只有一個活動的登錄會話,那麼這個實用程序會讓您大吃一驚。會列出當前活動的登錄會話,而如果您指定了 -p 選項,它還會列出正在每個會話中運行的進程。LogonSessions 可以在 Windows 2000 和更高版本上運行。
NewSID
NewSID ,顧名思義,就是可以利用它來為計算機重新生成新的SID號。為什麼要重新定義新SID?如果用Ghost的鏡像批量的來安裝系統,那麼它們的SID號必然相同。若內部網路上計算機SID相同就會造成許多衝突,加入域也會有很大問題,甚至造成客戶機無法加入到域。
Windows 安裝光碟不是已經提供了Sysprep嗎?什麼還要用NewSID呢?
1、凡用過Sysprep的朋友都應該知道,如果用Sysprep來重新封裝系統,在重啟之後會要求我們重新輸入產品序列號和重新添加用戶,對於企業來說很多時候是不希望員工得到產品ID的,讓非IT職員來完成系統任務也很有可能造成一些不必要的麻煩。
2、正是基於我們這些迫切需求,NewSID可謂是一個完美的解決方案。它提供三種方式來讓我們重新生成SID:a.隨機產生 b.從其它計算機複製 c.手工輸入,以上這三種方式可以滿足大多數用戶的需求。我們還可以選擇是否重新給計算機更名,最後也可以手工指定在SID重定義完成後是否重啟計算機。
3、計算機重啟之後不會讓我們再次輸入產品序列號,也不會讓我們重新添加用戶,這為我們減少了很多不必要的麻煩。
PsExec
PsExec 是一個輕型的 telnet 替代工具,它使您無需手動安裝客戶端軟體即可執行其他系統上的進程,並且可以獲得與控制台應用程序相當的完全交互性。PsExec 最強大的功能之一是在遠程系統和遠程支持工具(如 IpConfig)中啟動互動式命令提示窗口,以便顯示無法通過其他方式顯示的有關遠程系統的信息。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
PsLogList
PsLogList是一個查看系統事件記錄的程序。它也是 Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
RootkitRevealer
RootkitRevealer 是一種高級 Rootkit 檢測實用工具。它可以在 Windows NT 4 和更高版本上運行,而且其輸出會列出註冊表和文件系統 API 的差異,從而可以指出是否存在用戶模式或內核模式 Rootkit。RootkitRevealer 可以成功檢測出在 www rootkitcom 上發布的所有永久性 Rootkit,包括 AFX、Vanquish 和 HackerDefender(注意:RootkitRevealer 不會有意檢測那些不試圖隱藏其文件或註冊表項的 Rootkit,如 Fu)。
AD Explorer
Active Directory Explorer (AD Explorer) ,是先進的Active Directory ( AD )的查看器和編輯器。使用AD Explorer,用戶可以快捷地瀏覽AD資料庫,自定義快速入口,無需打開對話框即可查看對象屬性、編輯許可權、瀏覽一個對象的模式、進行精確搜尋等。
AdRestore
Server 2003 引入了還原已刪除(“已邏輯刪除的”)對象的功能。這一簡單的命令行工具可以列出域內的已刪除對象,並允許您選擇還原這些對象。
TCPView
一個很好的檢測埠的軟體,很小很好用。
Autoruns
強大、完整的啟動項掃描工具!
ClockRes
用於顯示系統時鐘解析度以及應用程序可以獲得的最大計時器解析度。
LoadOrder
這個小程序可以向您展示 Windows NT 或 Windows 2000 系統載入設備驅動程序的順序。請注意,Windows 2000 即插即用驅動程序的實際載入順序可能與計算的順序有所不同,因為即插即用驅動程序是在設備檢測和枚舉期間根據需要載入的。
ProcFeatures
ProcessorFeatures使用 Windows IsProcessorFeaturePresent API 來確定處理器和 Windows 是否支持無執行頁面、物理地址擴展(PAE) 及實時時鐘周期計數器等各種功能。其主要用途是確定系統運行 PAE 版本的內核以及支持無執行緩衝區溢出保護。
PsLoggedOn
這一小程序可以顯示本地登錄的用戶和通過本地計算機或遠程計算機的資源登錄的用戶。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
RegMon
Regmon 是一款出色的註冊表數據監視軟體,它將與註冊表數據相關的一切操作(如讀取、修改、出錯信息等)全部記錄下來供用戶參考,並允許用戶對記錄的信息進行保存、過濾、查找等處理,這就為用戶對系統的維護提供了極大的便利。
PortMon
Portmon 是用於監視和顯示系統中所有串列埠和并行埠活動的實用工具。它具有高級篩選和搜索功能,使其處理以下操作的功能強大的工具:探索 Windows 工作的方式、查看應用程序如何使用埠,或跟蹤系統中或應用程序文件配置中的問題。
Process Explorer
很不錯的進程管理工具,可以設置為完全取代系統自帶任務管理器taskmgr,成為系統默認的“任務管理器”。裡頭的各種監視器非常直觀地監視或者記錄著系統當前的狀態,而且易用性非常高。支持XP及以上系統,支持Win2003及以上系統。
PsGetSid
PsGetSid是一個遠程獲取賬號sid信息的工具。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
PsKill
Windows NT/2000 沒有附帶命令行終止實用工具。您可以從 Windows NT 或 Win2K 資源工具包中找到終止實用工具,但資源工具包中的實用工具只能終止本地計算機上的程序。PsKill 是一個終止實用工具,它不僅具有資源工具包所具有的功能,而且可以終止遠程系統上的進程。您甚至不必在目標計算機上安裝客戶端,就可以使用 PsKill 終止遠程進程。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
PsList
該程序用於列出本地或遠程NT主機進程相關信息的工具,適於配合PsKill使用。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
PsService
PsService 是一個用於 Windows 的服務查看器和控制器。與 Windows NT 和 Windows 2000 資源工具包附帶的 SC 實用工具類似,PsService 可顯示服務的狀態、配置和相關性,並允許您啟動、停止、暫停、恢復和重新啟動這些服務。但與 SC 實用工具不同,對於您所運行的帳戶在遠程系統中沒有必需的許可權時,PsService 使您可以使用不同的帳戶登錄遠程系統。PsService 包含一個獨特的服務搜索功能,該功能可標識您的網路中某一服務的活動實例。例如,如果要定位運行 DHCP 伺服器的系統,您可以使用此搜索功能。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
PsSuspend
PsSuspend 使您可以掛起本地或遠程系統中的進程,如果您希望讓其他進程使用某個進程正在佔用的資源(例如,網路、CP或磁碟)時,它非常有用。掛起功能允許您讓佔用資源的進程在以後的某個時間點繼續操作,而不必終止該進程。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。
BgInfo
在桌面上列表顯示計算機軟、硬體信息,包括CPU主頻、網路信息、操作系統版本、IP地址、硬碟信息等等。
BlueScreen
Bluescreen是一個屏保,安裝之後,它的畫面會隨著操作系統的不同而有所差異:
在NT4.0里,Bluescreen 會模擬執行 chkdsk 的畫面-而且會有硬碟錯誤的訊息出現!
在 Win2K、9x 之下,它會出現 Win2K 的錯誤訊息,還有重新開機的畫面!
Desktops
Desktops 可以讓你的windows同時擴展出4個虛擬桌面。你可以在一個上面閱讀郵件,在第二個上面瀏覽網頁,在第三個上面上網...你可以通過點擊托盤的圖標來切換它們,當然也支持快捷鍵。
RegDelNull
這個命令行程序可以搜尋並刪除包括內嵌 Null 字元的註冊表項目。這種註冊表項目使用標準的註冊表編輯工具則無法被刪除。
ZoomIt
ZoomIt有屏幕放大、在屏幕上進行註釋、計時提醒三大功能。