Sysinternals 之前為Winternals公司提供的免費(fèi)工具,Winternals原本是一間主力產(chǎn)品為系統(tǒng)復(fù)原與資料保護(hù)的公司,為了解決工程師平常在工作上遇到的各種問題,便開發(fā)出許多小工具。之后他們將這些工具集合起來稱為Sysinternals,并放在網(wǎng)路供人免費(fèi)下載,其中也包含部分工具的原始碼,一直以來都頗受IT專家社群的好評(píng)。

微軟在2006年7月收購了Winternals，更重要的是，微軟藉由此一并購網(wǎng)羅了該公司的兩位創(chuàng)辦人Mark Russinovich及Bryce Cogswell，其中，Mark Russinovich曾因?yàn)槔米约洪_發(fā)的Rootkit Revealer偵測(cè)到Sony光盤中采用Rootkit程序而聲名大噪。下面簡(jiǎn)要介紹一下工具包里一些很有特色的小工具。

下載鏈接：http://down.51cto.com/data/148121

>>去網(wǎng)絡(luò)安全工具百寶箱看看其它安全工具

AccessChk

Windows管理員往往需要知道什么樣的訪問特定的用戶或團(tuán)體的資源，包括文件，目錄，注冊(cè)表項(xiàng) 和Windows服務(wù)。 AccessChk將回答這些問題的一個(gè)直觀的界面和輸出。

AccessEnum

AccessEnum可以讓你在數(shù)秒的時(shí)間內(nèi)了解目錄、文件以及注冊(cè)表的權(quán)限設(shè)置情況，快速找到安全漏洞并鎖定需要保護(hù)的權(quán)限。對(duì)于虛擬主機(jī)管理者來講幫助會(huì)更大。

CacheSet

CacheSet 允許您處理系統(tǒng)文件緩存中的工作集參數(shù)。CacheSet 可以在所有版本的 NT 上運(yùn)行，而且在不對(duì)新 Service Pack 版本進(jìn)行修改的情況下也可運(yùn)行。除了使您能夠控制工作集大小的最小值和最大值，它還允許您重置緩存的工作集，強(qiáng)制它在必要時(shí)從一個(gè)最小的起點(diǎn)開始增長(zhǎng)。CacheSet 的更改會(huì)對(duì)緩存的大小立即產(chǎn)生影響。注意：要在 NT 4.0 Service Pack 4 上使用 CacheSet，您必須擁有“增加配額”的權(quán)限（管理員賬戶默認(rèn)擁有此權(quán)限）。CacheSet 已經(jīng)獲得更新可啟用此權(quán)限，因此它可以在 SP4 上運(yùn)行。

Contig

一個(gè)基于命令行的小程序，能夠快速有效的整理硬盤上的文件碎片，可以使文件變的連續(xù)，提高訪問速度。Power Defragmenter是一個(gè)高手編寫的Contig的GUI版本，帶有一個(gè)圖形界面，用起來更方便，更直觀?？梢源蟠筇岣咚槠硭俣取Ｊ褂们靶枰袰ontig與Power Defragmenter放在同一文件夾下。

DiskExt

DiskExt 展示了對(duì) IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 命令的使用，該命令返回有關(guān)某卷的分區(qū)位于哪個(gè)磁盤（多分區(qū)磁盤可以駐留在多個(gè)磁盤上），以及分區(qū)位于磁盤上的什么位置等信息。

DiskMon

Diskmon是一硬盤數(shù)據(jù)存取實(shí)時(shí)監(jiān)控軟件 ，能夠?qū)?Windows NT/2000/XP 操作系統(tǒng)的硬盤數(shù)據(jù)存取時(shí)間滴水不漏地紀(jì)錄下來，您還可以將紀(jì)錄文件儲(chǔ)存成 LOG 文字文件。

DiskView

DiskView 該軟件集成于微軟的Windows操作系統(tǒng)的資源管理器以顯示一個(gè)直觀的磁盤空間使用情況。該軟件的Visualizer面板在一個(gè)圖形圖表中提供關(guān)于當(dāng)前文件夾的詳細(xì)使用情況信息。文件和文件夾空間占用情況以及在Windows 操作系統(tǒng)的資源管理器中的Details view 的Relative Size能夠使用DiskView's Size On Disk進(jìn)行觀看。

FileMon

Filemon 是一款出色的文件系統(tǒng)監(jiān)視軟件，它可以監(jiān)視應(yīng)用程序進(jìn)行的文件讀寫操作。它將所有與文件一切相關(guān)操作(如讀取、修改、出錯(cuò)信息等)全部記錄下來以供用戶參考，并允許用戶對(duì)記錄的信息進(jìn)行保存、過濾、查找等處理，這就為用戶對(duì)系統(tǒng)的維護(hù)提供了極大的便利。

NTFSInfo

怎樣得到你自己個(gè)人的NTFS volumes呢？比如扇區(qū)的數(shù)量，簇的大小，以及其它有趣的NTFS 的信息？在一些細(xì)節(jié)方面，NTFSInfo會(huì)為你提供如下信息：

主文件基于簇的位置

主文件鏡像的啟動(dòng)簇

主文件的大小

卷的大小

簇和分區(qū)的總數(shù)量

可用的自由空間

分區(qū)和簇的字節(jié)數(shù)

PageDefrag

標(biāo)準(zhǔn)的碎片整理程序既無法向您顯示分頁文件和注冊(cè)表配置單元的碎片化情況，也無法對(duì)它們進(jìn)行碎片整理。分頁和注冊(cè)表文件碎片化可能是系統(tǒng)因文件碎片化而導(dǎo)致性能下降的首要原因之一。

PageDefrag 使用先進(jìn)的技術(shù)向您提供商業(yè)碎片整理程序無法提供的服務(wù)：即查看分頁文件和注冊(cè)表配置單元的碎片化情況，并且對(duì)它們進(jìn)行碎片整理的能力。此外，它還對(duì)事件日志和 Windows 2000/XP 休眠文件（當(dāng)休眠筆記本電腦時(shí)保存系統(tǒng)內(nèi)存的地方）進(jìn)行碎片整理。

Process Monitor

進(jìn)程監(jiān)視器,這是一個(gè)高級(jí)的Windows監(jiān)視工具,不但可以監(jiān)視進(jìn)程/線程,還可以關(guān)注到文件系統(tǒng),注冊(cè)表的變化.它包含2個(gè)Sysinternals遺留組件:Filemon 和 Regmon,并添加了大量功能。

PsFile

PsFile是一個(gè)顯示機(jī)器上的會(huì)話和有什么文件被網(wǎng)絡(luò)中的用戶打開的命令。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。

PsTools

PsTools是Sysinternals公司推出的一個(gè)功能強(qiáng)大的遠(yuǎn)程管理工具包，一共由12個(gè)命令組成，可以用來遠(yuǎn)程管理Windows NT/2000/XP系統(tǒng)?？梢赃h(yuǎn)程整理硬盤、關(guān)閉遠(yuǎn)程計(jì)算機(jī)上運(yùn)行的信使服務(wù)、查看服務(wù)器硬盤空間、查看遠(yuǎn)程計(jì)算機(jī)上的進(jìn)程，并結(jié)束可疑進(jìn)程、發(fā)送消息并快速關(guān)閉遠(yuǎn)程計(jì)算機(jī)等。

SDelete

當(dāng)操作系統(tǒng)處于非活動(dòng)狀態(tài)時(shí)，可以使用原始磁盤編輯程序和恢復(fù)工具查看和恢復(fù)操作系統(tǒng)已取消分配的數(shù)據(jù)。即使使用 Win2K 的加密文件系統(tǒng) (EFS) 加密文件，文件的原始未加密文件數(shù)據(jù)在創(chuàng)建該文件的新的加密版本后仍然保留在磁盤上。

要確保使用 EFS 加密的文件以及已刪除的文件無法恢復(fù)，唯一的方法是使用安全刪除應(yīng)用程序。安全刪除應(yīng)用程序使用能夠使磁盤數(shù)據(jù)無法恢復(fù)的技術(shù)，甚至使用可以讀取磁性媒體中揭示弱刪除文件的模式的恢復(fù)技術(shù)來覆蓋已刪除文件的磁盤數(shù)據(jù)。SDelete（安全刪除）就是這樣一個(gè)應(yīng)用程序。您既可以使用 SDelete 安全地刪除現(xiàn)有文件，也可以安全地擦除存在于磁盤的未分配部分中的任意文件數(shù)據(jù)（包括您已經(jīng)刪除或加密的文件）。SDelete 實(shí)施了美國國防部資料摧毀標(biāo)準(zhǔn) (Clearing and Sanitizing Standard) DOD 5220.22-M，以使您確信在使用 SDelete 刪除文件數(shù)據(jù)后，這些數(shù)據(jù)將徹底消失。

ShareEnum

Windows NT/2000/XP 網(wǎng)絡(luò)安全中經(jīng)常被忽略的方面是文件共享。當(dāng)用戶以寬松的安全標(biāo)準(zhǔn)定義文件共享時(shí)，通常會(huì)出現(xiàn)安全缺陷，從而使得未經(jīng)授權(quán)的用戶可以查看敏感文件。沒有任何一款內(nèi)置工具可以列出網(wǎng)絡(luò)中可見的共享及其安全設(shè)置，但 ShareEnum 填補(bǔ)了這一空白，使您可以鎖定網(wǎng)絡(luò)上的文件共享。

運(yùn)行 ShareEnum 時(shí)，它將使用 NetBIOS 枚舉功能來掃描可以訪問的域中的所有計(jì)算機(jī)，從而顯示文件和打印共享及其安全設(shè)置。由于只有域管理員具有查看所有網(wǎng)絡(luò)資源的權(quán)限，所以在您以域管理員帳戶運(yùn)行 ShareEnum 時(shí)，它才最有效。

Sigcheck

驗(yàn)證映像進(jìn)行了數(shù)字簽名并使用這一簡(jiǎn)單的命令行實(shí)用工具轉(zhuǎn)儲(chǔ)版本信息。

Streams

NTFS 文件系統(tǒng)為應(yīng)用程序提供創(chuàng)建信息備用數(shù)據(jù)流的能力。默認(rèn)情況下，所有數(shù)據(jù)都存儲(chǔ)在文件的主要未命名數(shù)據(jù)流中，但通過使用“file:stream”語法，您就能讀取和寫入備用數(shù)據(jù)流。不是所有應(yīng)用程序都編寫為能夠訪問備用數(shù)據(jù)流，但您可以非常簡(jiǎn)單地演示數(shù)據(jù)流。首先，在命令提示符中，更改到 NTFS 驅(qū)動(dòng)器上的一個(gè)目錄。然后，鍵入“echo hello > test:stream”。您剛剛創(chuàng)建了一個(gè)與文件“'test”相關(guān)聯(lián)的數(shù)據(jù)流，名為“stream”。請(qǐng)注意，在查看 test 的大小時(shí)，它報(bào)告為 0，并且在用任何文本編輯器打開時(shí)，文件看上去是空的。要查看您的數(shù)據(jù)流，請(qǐng)輸入“more < test:stream”（type 命令不接受數(shù)據(jù)流語法，因此您需要用 more）。

Streams 將檢查您指定的文件和目錄（注意目錄也可以有備用數(shù)據(jù)流），通知您在那些文件中遇到的任何命名數(shù)據(jù)流的名稱和大小。

用法：streams [-s] [-d] <文件或目錄>

-s

對(duì)子目錄執(zhí)行遞歸操作。

-d

刪除流。

Streams 接受通配符，如“streams *.txt”

Autologon

可以實(shí)現(xiàn)自動(dòng)登錄系統(tǒng)，無需手動(dòng)輸入帳戶、域名和密碼。其實(shí)就是在系統(tǒng)注冊(cè)表中添加帳戶信息和登錄信息的鍵值。不過由軟件來實(shí)現(xiàn)更加簡(jiǎn)單了，如同簡(jiǎn)單的腳本。

LogonSessions

如果您認(rèn)為在登錄系統(tǒng)時(shí)只有一個(gè)活動(dòng)的登錄會(huì)話，那么這個(gè)實(shí)用程序會(huì)讓您大吃一驚。會(huì)列出當(dāng)前活動(dòng)的登錄會(huì)話，而如果您指定了 -p 選項(xiàng)，它還會(huì)列出正在每個(gè)會(huì)話中運(yùn)行的進(jìn)程。LogonSessions 可以在 Windows 2000 和更高版本上運(yùn)行。

NewSID

NewSID ，顧名思義，就是可以利用它來為計(jì)算機(jī)重新生成新的SID號(hào)。為什么要重新定義新SID？如果用Ghost的鏡像批量的來安裝系統(tǒng)，那么它們的SID號(hào)必然相同。若內(nèi)部網(wǎng)絡(luò)上計(jì)算機(jī)SID相同就會(huì)造成許多沖突，加入域也會(huì)有很大問題，甚至造成客戶機(jī)無法加入到域。

Windows 安裝光盤不是已經(jīng)提供了Sysprep嗎？什么還要用NewSID呢？

1、 凡用過Sysprep的朋友都應(yīng)該知道，如果用Sysprep來重新封裝系統(tǒng)，在重啟之后會(huì)要求我們重新輸入產(chǎn)品序列號(hào)和重新添加用戶，對(duì)于企業(yè)來說很多時(shí)候是不希望員工得到產(chǎn)品ID的，讓非IT職員來完成系統(tǒng)任務(wù)也很有可能造成一些不必要的麻煩。

2、 正是基于我們這些迫切需求，NewSID可謂是一個(gè)完美的解決方案。它提供三種方式來讓我們重新生成SID：a.隨機(jī)產(chǎn)生 b.從其它計(jì)算機(jī)復(fù)制 c.手工輸入 ，以上這三種方式可以滿足大多數(shù)用戶的需求。我們還可以選擇是否重新給計(jì)算機(jī)更名，最后也可以手工指定在SID重定義完成后是否重啟計(jì)算機(jī)。

3、 計(jì)算機(jī)重啟之后不會(huì)讓我們?cè)俅屋斎氘a(chǎn)品序列號(hào)，也不會(huì)讓我們重新添加用戶，這為我們減少了很多不必要的麻煩。

PsExec

PsExec 是一個(gè)輕型的 telnet 替代工具，它使您無需手動(dòng)安裝客戶端軟件即可執(zhí)行其他系統(tǒng)上的進(jìn)程，并且可以獲得與控制臺(tái)應(yīng)用程序相當(dāng)?shù)耐耆换バ浴sExec 最強(qiáng)大的功能之一是在遠(yuǎn)程系統(tǒng)和遠(yuǎn)程支持工具（如 IpConfig）中啟動(dòng)交互式命令提示窗口，以便顯示無法通過其他方式顯示的有關(guān)遠(yuǎn)程系統(tǒng)的信息。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。

PsLogList

PsLogList是一個(gè)查看系統(tǒng)事件記錄的程序。它也是 Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。#p#

RootkitRevealer

RootkitRevealer 是一種高級(jí) Rootkit 檢測(cè)實(shí)用工具。它可以在 Windows NT 4 和更高版本上運(yùn)行，而且其輸出會(huì)列出注冊(cè)表和文件系統(tǒng) API 的差異，從而可以指出是否存在用戶模式或內(nèi)核模式 Rootkit。RootkitRevealer 可以成功檢測(cè)出在 www.rootkit.com 上發(fā)布的所有永久性 Rootkit，包括 AFX、Vanquish 和 HackerDefender（注意：RootkitRevealer 不會(huì)有意檢測(cè)那些不試圖隱藏其文件或注冊(cè)表項(xiàng)的 Rootkit，如 Fu）。

AD Explorer

Active Directory Explorer (AD Explorer) ,是先進(jìn)的Active Directory ( AD )的查看器和編輯器。 使用AD Explorer，用戶可以快捷地瀏覽AD數(shù)據(jù)庫，自定義快速入口，無需打開對(duì)話框即可查看對(duì)象屬性、編輯權(quán)限、瀏覽一個(gè)對(duì)象的模式、 進(jìn)行精確搜尋等。

AdRestore

Server 2003 引入了還原已刪除（“已邏輯刪除的”）對(duì)象的功能。這一簡(jiǎn)單的命令行工具可以列出域內(nèi)的已刪除對(duì)象，并允許您選擇還原這些對(duì)象。

TCPView

一個(gè)很好的檢測(cè)端口的軟件，很小很好用。

Autoruns

強(qiáng)大、完整的啟動(dòng)項(xiàng)掃描工具！

ClockRes

用于顯示系統(tǒng)時(shí)鐘分辨率以及應(yīng)用程序可以獲得的最大計(jì)時(shí)器分辨率。

LoadOrder

這個(gè)小程序可以向您展示 Windows NT 或 Windows 2000 系統(tǒng)加載設(shè)備驅(qū)動(dòng)程序的順序。請(qǐng)注意，Windows 2000 即插即用驅(qū)動(dòng)程序的實(shí)際加載順序可能與計(jì)算的順序有所不同，因?yàn)榧床寮从抿?qū)動(dòng)程序是在設(shè)備檢測(cè)和枚舉期間根據(jù)需要加載的。

ProcFeatures

ProcessorFeatures使用 Windows IsProcessorFeaturePresent API 來確定處理器和 Windows 是否支持無執(zhí)行頁面、物理地址擴(kuò)展 (PAE) 及實(shí)時(shí)時(shí)鐘周期計(jì)數(shù)器等各種功能。其主要用途是確定系統(tǒng)運(yùn)行 PAE 版本的內(nèi)核以及支持無執(zhí)行緩沖區(qū)溢出保護(hù)。

PsLoggedOn

這一小程序可以顯示本地登錄的用戶和通過本地計(jì)算機(jī)或遠(yuǎn)程計(jì)算機(jī)的資源登錄的用戶。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。

RegMon

Regmon 是一款出色的注冊(cè)表數(shù)據(jù)監(jiān)視軟件,它將與注冊(cè)表數(shù)據(jù)相關(guān)的一切操作(如讀取、修改、出錯(cuò)信息等)全部記錄下來供用戶參考,并允許用戶對(duì)記錄的信息進(jìn)行保存、過濾、查找等處理,這就為用戶對(duì)系統(tǒng)的維護(hù)提供了極大的便利。

PortMon

Portmon 是用于監(jiān)視和顯示系統(tǒng)中所有串行端口和并行端口活動(dòng)的實(shí)用工具。它具有高級(jí)篩選和搜索功能，使其處理以下操作的功能強(qiáng)大的工具：探索 Windows 工作的方式、查看應(yīng)用程序如何使用端口，或跟蹤系統(tǒng)中或應(yīng)用程序文件配置中的問題。

Process Explorer

很不錯(cuò)的進(jìn)程管理工具，可以設(shè)置為完全取代系統(tǒng)自帶任務(wù)管理器taskmgr，成為系統(tǒng)默認(rèn)的“任務(wù)管理器”。里頭的各種監(jiān)視器非常直觀地監(jiān)視或者記錄著系統(tǒng)當(dāng)前的狀態(tài)，而且易用性非常高。支持XP及以上系統(tǒng)，支持Win2003及以上系統(tǒng)。

PsGetSid

PsGetSid是一個(gè)遠(yuǎn)程獲取賬號(hào)sid信息的工具。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。

PsKill

Windows NT/2000 沒有附帶命令行終止實(shí)用工具。您可以從 Windows NT 或 Win2K 資源工具包中找到終止實(shí)用工具，但資源工具包中的實(shí)用工具只能終止本地計(jì)算機(jī)上的程序。PsKill 是一個(gè)終止實(shí)用工具，它不僅具有資源工具包所具有的功能，而且可以終止遠(yuǎn)程系統(tǒng)上的進(jìn)程。您甚至不必在目標(biāo)計(jì)算機(jī)上安裝客戶端，就可以使用 PsKill 終止遠(yuǎn)程進(jìn)程。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。

PsList

該程序用于列出本地或遠(yuǎn)程N(yùn)T主機(jī)進(jìn)程相關(guān)信息的工具，適于配合PsKill使用。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。

PsService

PsService 是一個(gè)用于 Windows 的服務(wù)查看器和控制器。與 Windows NT 和 Windows 2000 資源工具包附帶的 SC 實(shí)用工具類似，PsService 可顯示服務(wù)的狀態(tài)、配置和相關(guān)性，并允許您啟動(dòng)、停止、暫停、恢復(fù)和重新啟動(dòng)這些服務(wù)。但與 SC 實(shí)用工具不同，對(duì)于您所運(yùn)行的帳戶在遠(yuǎn)程系統(tǒng)中沒有必需的權(quán)限時(shí)，PsService 使您可以使用不同的帳戶登錄遠(yuǎn)程系統(tǒng)。PsService 包含一個(gè)獨(dú)特的服務(wù)搜索功能，該功能可標(biāo)識(shí)您的網(wǎng)絡(luò)中某一服務(wù)的活動(dòng)實(shí)例。例如，如果要定位運(yùn)行 DHCP 服務(wù)器的系統(tǒng)，您可以使用此搜索功能。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。

PsSuspend

PsSuspend 使您可以掛起本地或遠(yuǎn)程系統(tǒng)中的進(jìn)程，如果您希望讓其他進(jìn)程使用某個(gè)進(jìn)程正在占用的資源（例如，網(wǎng)絡(luò)、CP或磁盤）時(shí)，它非常有用。掛起功能允許您讓占用資源的進(jìn)程在以后的某個(gè)時(shí)間點(diǎn)繼續(xù)操作，而不必終止該進(jìn)程。它是Sysinternals 命令行工具不斷完善的 PsTools 工具包的一部分。

BgInfo

在桌面上列表顯示計(jì)算機(jī)軟、硬件信息,包括CPU主頻、網(wǎng)絡(luò)信息、操作系統(tǒng)版本、IP地址、硬盤信息等等。

BlueScreen

Bluescreen是一個(gè)屏保，安裝之后，它的畫面會(huì)隨著操作系統(tǒng)的不同而有所差異：

在NT4.0里，Bluescreen 會(huì)模擬執(zhí)行 chkdsk 的畫面－而且會(huì)有硬盤錯(cuò)誤的訊息出現(xiàn)！

在 Win2K、9x 之下，它會(huì)出現(xiàn) Win2K 的錯(cuò)誤訊息，還有重新開機(jī)的畫面！

Desktops

Desktops 可以讓你的windows同時(shí)擴(kuò)展出4個(gè)虛擬桌面。你可以在一個(gè)上面閱讀郵件，在第二個(gè)上面瀏覽網(wǎng)頁，在第三個(gè)上面上網(wǎng)...你可以通過點(diǎn)擊托盤的圖標(biāo)來切換它們，當(dāng)然也支持快捷鍵。

RegDelNull

這個(gè)命令行程序可以搜尋并刪除包括內(nèi)嵌 Null 字符的注冊(cè)表項(xiàng)目。這種注冊(cè)表項(xiàng)目使用標(biāo)準(zhǔn)的注冊(cè)表編輯工具則無法被刪除。

ZoomIt

ZoomIt有屏幕放大、在屏幕上進(jìn)行注釋、計(jì)時(shí)提醒三大功能。