本文主要是介绍《windows internals 指南》 工具介绍,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
俗话说,工欲善其事,必先利其器。学习windows internals 必须先学习可以直观展示的工具,要不很多时候只是纸面上的内容,太偏理论了。如果可以直观的看到学习的概念和知识点,会加深印象,方便记忆。所以说在学习之前,咱们先来看一下windows有哪些工具,这些工具是怎么使用,这些工具,我只会提供一些简单的截图和说明,我会提供官方的链接给大家。大家可以自行下载。
http://www.sysinternals.com,随后将自动重定向至微软TechNet网站Sysinternals首页,目前该首页的地址是http://technet.microsoft.com/sysinternals
用户可以只下载自己需要的Sysinternals工具,或下载名为Sysinternals Suite,包含所有工具的压缩(.Zip)文件。下面简单介绍下windows的常用工具。
1、Process Explorer
为了帮助Windows用户了解系统中的进程活动,Windows提供了一个名为任务管理器的简易小工具,该工具可显示系统中运行的进程(应用程序和服务)。为了让所有用户轻松使用,任务管理器仅提供了有限的细节信息,用户可通过该工具概括性地查看进程列表、服务和用户、系统性能和网络使用情况图表,以及一种名为“应用程序”的抽象(等同于当前用户会话中所有可见窗口的列表)。用户通常会使用任务管理器了解系统为什么变慢了,甚至终止有问题的进程。但通常该工具无法帮助我们了解导致进程操作产生问题所需的足够深入的信息,也无法提供帮助技术用户查找恶意软件进程所需的关键数据。
2、Autoruns
一种检查自动启动软件。为了尽可能显示所有自动启动项目,并让用户更容易禁用或删除这些内容。
3、Process Monitor
Procmon可以告诉我们该进程针对这个文件执行了哪些底层操作,操作什么时候开始,持续了多长时间,操作是否成功,如果失败具体原因又是什么,完整的调用栈(导致最终操作的一系列代码轨迹)是什么样的等。通过与ProcDump配合使用,Procmon可以帮助我们将这些事件与异常、CPU尖峰或低谷、不寻常的内存占用、不响应的窗口、调试输出,以及ProcDump可以监视的其他任何情况有机结合在一起。
由于短时间内可能产生数百万个操作,因此Procmon提供了强大灵活的筛选、强调、收藏功能,借此帮助用户快速找到感兴趣的事件。Procmon可通过批处理文件和命令行参数以脚本形式运行,可将数据保存为文件以便稍后在其他系统中查看和分析。换句话说,可以很容易地让远程位置的非技术型用户捕获Procmon记录,发送给我们进行分析并解决对方遇到的问题。
4、ProcDump
核心转储(Core dump)也叫“内存转储”,早在Unix诞生前就被用于提供排错所需的数据(其实这些事情我并没有亲身经历过,我还没那么老!),运行Windows的PC也使用了这种技术。当操作系统或程序崩溃后,计算机会在崩溃的同时捕获相关状态数据,包括内存和处理器寄存器中的内容,并将其保存在持久存储系统中。
5、PsTools
Sysinternals PsTools是一套包含12个类似特征Windows管理工具的套件
PsTools套件中包含下列工具:
●PsExec 远程执行进程,或以内置服务账户,如Local System身份执行进程并对输出进行重定向
●PsFile 远程列出或关闭打开的文件
●PsGetSid 将计算机、用户或组名称转换为对应的安全标识符(SID),或将SID转换为名称
●PsInfo 列出有关系统的信息
●PsKill 通过名称或进程ID(PID)终止进程
●PsList 列出有关进程的信息
●PsLoggedOn 列出本地登录或通过远程连接登录的账户
●PsLogList 对事件日志记录进行转储
●PsPasswd 为用户账户设置密码
6、进程和诊断工具
●VMMap 是一个可以显示进程虚拟和物理内存使用情况详情的GUI工具。
●DebugView 是一个可用于监视本地或远程计算机生成的用户模式和内核模式调试输出内容的GUI工具。
●LiveKd 可供我们对运行中的本地系统快照运行标准的内核调试器,而无须将系统重启动至调试模式。
●ListDLLs 是一个显示系统中已加载DLL信息的控制台工具。
●Handle 是一个显示系统中进程所包含对象句柄详细信息的控制台工具。
7、安全工具
●SigCheck 一款控制台工具,可用于验证文件的数字签名,显示文件哈希,查看版本信息,通过查询VirusTotal执行恶意软件分析。该工具还可转储编录文件和证书存储。
●AccessChk 一款控制台工具,可搜索特定用户或组有权访问的对象,如文件、注册表键,以及服务。该工具还可提供所指派权限的详细信息。
●Sysmon 一款控制台工具,可通过安装服务和驱动监视一段时间以来与潜在安全问题有关的事件,并可在系统重启后持续监视。通过将事件与网络活动相关联,即可找出有关未经授权访问的证据,并分析入侵者在网络中执行操作的方法。
●AccessEnum 一款GUI工具,可搜索文件或注册表层次结构,找出权限设置有变的地方。
●ShareEnum 一款GUI工具,可枚举网络中的文件和打印机共享,以及可以访问这些共享的账户。
●ShellRunAs 一个外壳扩展,可实现Windows Vista中“以其他用户身份运行程序”的功能。
●Autologon 一款GUI工具,可用于配制系统启动后自动登录的用户账户。
●LogonSessions 一款控制台工具,可列举当前计算机上活跃的本地安全机构(LSA)登录会话。
●SDelete 一款控制台工具,可安全地删除文件或目录结构,并擦除硬盘上未分配区域的数据。
8、Active Directory工具
●AdExplorer 是一款高级Active Directory查看器和编辑器。
●AdInsight 可实时监视轻型目录访问协议(LDAP)API调用轨迹。
●AdRestore 可枚举已逻辑删除(Tombstoned)的Active Directory对象,并提供了恢复对象的功能。
9、文件工具
●Strings 搜索文件中嵌入的ASCII或Unicode文本。
●Streams 找出包含替换数据流(Alternate data stream)的文件系统对象,并可删除这些数据流。
●Junction和FindLinks 找出并操作目录交叉点和硬链接,这是两种类型的NTFS链接。
●Disk Usage(DU)显示目录层次结构的逻辑大小和磁盘空间占用大小。
●PendMoves和MoveFile 显示并注册在下一次系统启动过程中所要执行的文件操作。
10、磁盘工具
●Disk2Vhd 可将物理磁盘捕获为VHD映像。
●Sync 将磁盘缓存中未写入的变更写入到物理磁盘。
●DiskView 以簇的形式显示卷布局图,可用于查找每个簇对应了哪个文件,以及特定文件分布在哪些簇上。
●Contig 可对特定文件整理磁盘碎片,查看特定文件或可用空间的碎片化程度。
●DiskExt 显示有关磁盘盘区(Disk extent)的信息。
●LDMDump 显示逻辑磁盘管理器(LDM)数据库中有关动态磁盘的细节信息。
●VolumeID 可用于更改卷ID,即卷序列号。
11、 网络和通信工具
PsPing可执行标准的ICMP“Ping”测试,并可用于测试TCP和UDP延迟和带宽测试。
TCPView类似于GUI版本的Windows Netstat工具,可显示系统中的TCP和UDP端点。
Whois是一个查询互联网域名注册信息,以及对IP地址执行反向DNS查询的命令行工具。
12、系统信息工具
RAMMap 可从多个不同角度深入显示物理内存的分配情况。
●Registry Usage (RU) 可显示所指定注册表键的注册表空间使用情况。
●CoreInfo 可显示进程及Windows是否支持不可执行内存页等功能,以及逻辑处理器和物理处理器之间的映射关系、NUMA节点、处理器所在插槽、每个逻辑处理器分配的缓存,以及NUMA系统的节点间访问成本。
●WinObj 可用于访问Windows对象管理器名称空间并查看所包含的对象信息。
●LoadOrder 可显示Windows加载设备驱动和启动服务的大致顺序。
●PipeList 可列出本地计算机的命名管道。
●ClockRes 可显示系统时钟的当前精度。
13、其他工具
●RegJump 启动注册表并跳转至指定的注册表路径。
●Hex2Dec 在十六进制和十进制之间进行数值转换。
●RegDelNull 搜索并删除名称中嵌入了空字符的注册表键。
●Bluescreen Screen Saver 一个可以模拟“蓝屏死机”的屏幕保护程序。
●Ctrl2Cap 一个键盘筛选器驱动,可将Caps Lock按键转换为Control按键,适合习惯于Ctrl键在A键旁边这种布局的人。
这篇关于《windows internals 指南》 工具介绍的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
