Windows Sysinternals Suite,微软极品小工具合集
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集,一共包括80个Windows工具,通过Sysinternals Suite能够帮助我们快速进行配置,优化,测试,检测和修复Windows操作系统故障。
Sysinternals Suite套件是由Mark Russinovich开发,套件是免费的。最早的这些工具都只是命令行的,后面被微软采购之后在很多工具上增加了图形化界面。
Sysinternals Suite集合了来自 Windows Sysinternals 的大部分实用工具,涵盖文件管理、磁盘管理、网络管理、进程管理、安全管理、系统底层信息查看等多个方面。微软针对Windows10/11也推出了增加小工具–PowerToys。
目录
Windows Sysinternals Suite, 微软极品小工具合集
当我们下载完成打开文件夹的时候会发现很多的工具,现在简单列举一些常用工具。
- AccessChk:权限检查工具,知识兔可以检查文件、文件夹、注册表等权限
- AccessEnum:文件系统全览以及注册表安全设置
- AdExplorer 域环境活动目录查看和编辑器
- AdInsight LDAP实时监控工具,用来域环境的一些应用
- AdRestore 恢复删除的AD对象
- Autologon 快速设置自动登录
- Autoruns 显示所有登录启动项
- BgInfo 显示计算机相关信息,例如计算机名称、IP地址信息等
- Coreinfo,显示CPU核心数和内核缓存信息
- Desktops,创建虚拟桌面
- DBgview 输出和显示debug信息
- DiskMon 记录和显示所有磁盘活动信息
- Handle,查看进程信息
- Hex2dec,16进制转换
- ListDLLs 显示进程所加载的dlls
- LogonSessions 列举当前活动的登录sessions
- PipeList,显示系统上的命名管道
- Process Explorer,进程浏览器
- Process Monitor 进程实时监控
- PsExec 允许你在远程的系统上执行命令
- PsGetSid,显示计算机或用户的 SID
- PsInfo,获取有关系统的信息
- PsPing ping功能的补充
- PsKill 结束本地或者远程操作系统上的进程
- PsList 显示当前计算机上进程相关信息,知识兔包括进程名、进程号、内存信息等
- PsLoggedOn 显示谁登录在本机或者远程机器上
- PsLogList 允许本地或者远程对日志进行查询、保存以及删除等
- PsPasswd 允许本地或者远程修改密码
- ShareEnum,扫描网络上的文件共享
- ShellRunas 允许你使用不同的账号运行程序
- Sysmon 监视和记录系统活动
- TCPView 显示当前所有tcp和udp信息
- Whois,查看 Internet 地址的所有者
- ZoomIt 非常好用的放大镜
Autoruns,显示所有登录启动项
启动项目管理工具,功能十分强大,不仅可以对各启动项目进行管理,还能直接控制注册表。
比如在系统入侵之后,攻击者为了权限维持极有可能在系统上留后门,那么autoruns可以说是最强大的开机启动项检查工具了(没有之一),其检查项包括计划任务、服务、驱动、注册表、WMI等。
AccessChk:权限检查工具
AccessChk是一个命令行工具,可查看某个文件在当前系统用户中的有效权限,可查看文件、注册表键值、服务流程、内核对象、等等。
- 实例:查看某个文件,在当前系统所有用户中的权限。
AccessEnum:文件系统全览以及注册表安全设置
AccessEnum可在几秒钟内全面查看您的文件系统和注册表安全设置,比如查看某个文件夹哪些用户有读写权限,哪些用户只有只读权限。
AdExplorer,域环境活动目录查看和编辑器
活动目录资源管理器 (AD 资源管理器) 是高级活动目录 (AD) 查看器和编辑器。您可以使用 AD 资源管理器轻松浏览 AD 数据库、定义收藏的位置、查看对象属性和属性,而无需打开对话框、编辑权限、查看对象的模式以及执行可以保存和重新执行的复杂搜索。
AdInsight,LDAP实时监控工具
ADInsight 是一种 LDAP(轻量级目录访问协议)实时监控工具,旨在排除活动目录客户端应用程序的故障。使用其对活动目录客户端服务器通信的详细跟踪来解决 Windows 身份验证、交换、DNS 和其他问题。
ADInsight 使用 DLL 注入技术拦截应用程序在 Wldap32 .dll库中发出的呼叫,该库是活动目录 API(如 ldap 和 ADSI)的基础标准库。与网络监控工具不同,ADInsight 拦截并解释所有客户端 API,知识兔包括那些不会导致传输到服务器的 API。ADInsight 监控其可以加载其跟踪 DLL 的任何过程,这意味着它不需要行政许可,但是,如果知识兔运行具有行政权利,它还将监控系统流程,知识兔包括窗口服务。
AdRestore 恢复删除的AD对象
此工具是命令行程序,程序列举了域中已删除的对象,并分享了恢复对象的选项。
Autologon 快速设置自动登录
此工具是用来配置系统开机自动登录系统的账户,开启后无需输入密码,自动登录系统。
BgInfo 显示计算机相关信息
自动在桌面背景上显示有关 Windows 计算机的相关信息,例如计算机名称、IP 地址、服务包版本等。
Coreinfo,显示CPU核心数和内核缓存信息
Coreinfo 是一个新的命令行实用工具,可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽,知识兔以及分配给每个逻辑处理器的缓存。
Desktops,创建虚拟桌面
使用这一新的实用工具可以创建最多四个虚拟桌面,知识兔使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。
Disk2vhd,把物理磁盘转为虚拟磁盘
Disk2vhd 可简化从物理系统到虚拟机 (p2v) 的迁移。
DiskMon 记录和显示所有磁盘活动信息
此实用工具会捕捉所有硬盘活动,或者在您的系统任务栏中象软件磁盘活动灯一样工作。
Handle,查看进程信息
此易用命令行实用工具将显示哪些进程打开了哪些文件,知识兔以及更多其他信息。
Hex2dec,16进制转换
将十六进制数字转换为十进制及反向转换。
LogonSessions 列举当前活动的登录sessions
列出系统中的活动登录会话,需要管理员运行。
PipeList,显示系统上的命名管道
显示系统上的命名管道,知识兔包括每个管道的最大实例数和活动实例数。
Process Explorer,进程浏览器
找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。
- 打开程序之后会显示一些默认的列,这些显示的列可根据个人喜好进行定制化,比如进程描述、进程状态等。
- 此外显示项中不同颜色也代表了不同的含义,例如绿色代表新创建的进程,红色代表进程结束、紫色代表当前用户所运行的进程、粉色代表服务、灰色代表挂起了的进程,而且知识兔这个颜色方案也可以自定义。
- 选中某个进程之后,右键可以结束进程、结束进程树、重启进程、挂起进程、dump进程等,知识兔双击条目之后可以看到进程的可执行文件以及参数信息、线程、TCP/IP、权限、环境变量、可打印字符串等信息。
Process Monitor 进程实时监控
实时监视文件系统、注册表、进程、线程和 DLL 活动。
当怀疑某个进程有问题的时候进行深入排查实时查看这个进程进行了哪些操作,或者实时检测系统某类活动(例如创建、删除文件、修改注册表等)的时候都可以使用procmon,这个工具分享了非常强大的过滤查询语句。这个工具有点类似linux下的strace命令。
PsGetSid,显示计算机或用户的 SID
显示计算机或用户的 SID。
PsInfo,获取有关系统的信息
获取有关系统的信息。
PsList 显示当前计算机上进程相关信息
显示有关进程和线程的信息。
ShareEnum,扫描网络上的文件共享
扫描网络上的文件共享并查看其安全设置,知识兔以关闭安全漏洞。
ShellRunas 允许你使用不同的账号运行程序
通过方便的 shell 上下文菜单项,作为另一个用户启动程序。
Sysmon,监视和记录系统活动
Sysmon用来监视和记录系统活动,并记录到windows事件日志,知识兔可以分享相关进程创建、网络连接和文件创建更改时间等详细信息。
运行参数:
-c 更新或显示配置-h 指定hash记录的算法-i 安装,可用xml文件来更新配置文件-l 记录加载模块,可指定进程-m 安装事件清单-n 记录网络链接-r 检测证书是否撤销-u 卸载服务和驱动
注册完成后,在「事件查看器」——「应用程序和服务日志」——「Microsoft」——「Windows」下会多出一项「Sysmon」文件夹,其中记录了 Sysmon 写入到 Event Log 中的所有事件。
如果知识兔要取消 Sysmon 对系统的监控以及对事件日志的写入操作,知识兔可以使用以下命令:
Sysmon64.exe -uTCPView 显示当前所有tcp和udp信息
活动套接字查看器。
如果知识兔需要将ip解析成域名可以在options下拉菜单勾选Resolve Address.Address。
Whois,查看 Internet 地址的所有者
查看 Internet 地址的所有者
ZoomIt 非常好用的放大镜
在屏幕上进行缩放和绘图的实用演示工具。
写在最后
Windows Sysinternals 是一款大而全面的系统工具箱,由微软官方免费分享。包含了80个专业的系统工具,同时微软还在不断更新之中。
Windows Sysinternals 没有主界面,其中包含的各种工具需要一定的专业知识,因为它面向的是技术人员而非普通用户。
这个工具集虽然功能强大,但是有一点使用门槛,对于普通用户而言入门有点困难,但它仍然是一个非常优质的工具集,感兴趣的可以到微软Sysinternals官网查看下文档。
下载仅供下载体验和测试学习,不得商用和正当使用。
