《windows internals 指南》 工具介绍

2024-04-25 21:08

本文主要是介绍《windows internals 指南》 工具介绍,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

       俗话说,工欲善其事,必先利其器。学习windows internals 必须先学习可以直观展示的工具,要不很多时候只是纸面上的内容,太偏理论了。如果可以直观的看到学习的概念和知识点,会加深印象,方便记忆。所以说在学习之前,咱们先来看一下windows有哪些工具,这些工具是怎么使用,这些工具,我只会提供一些简单的截图和说明,我会提供官方的链接给大家。大家可以自行下载。

       http://www.sysinternals.com,随后将自动重定向至微软TechNet网站Sysinternals首页,目前该首页的地址是http://technet.microsoft.com/sysinternals

      用户可以只下载自己需要的Sysinternals工具,或下载名为Sysinternals Suite,包含所有工具的压缩(.Zip)文件。下面简单介绍下windows的常用工具。

 

1、Process Explorer

为了帮助Windows用户了解系统中的进程活动,Windows提供了一个名为任务管理器的简易小工具,该工具可显示系统中运行的进程(应用程序和服务)。为了让所有用户轻松使用,任务管理器仅提供了有限的细节信息,用户可通过该工具概括性地查看进程列表、服务和用户、系统性能和网络使用情况图表,以及一种名为“应用程序”的抽象(等同于当前用户会话中所有可见窗口的列表)。用户通常会使用任务管理器了解系统为什么变慢了,甚至终止有问题的进程。但通常该工具无法帮助我们了解导致进程操作产生问题所需的足够深入的信息,也无法提供帮助技术用户查找恶意软件进程所需的关键数据。

2、Autoruns

       一种检查自动启动软件。为了尽可能显示所有自动启动项目,并让用户更容易禁用或删除这些内容。

3、Process Monitor       

Procmon可以告诉我们该进程针对这个文件执行了哪些底层操作,操作什么时候开始,持续了多长时间,操作是否成功,如果失败具体原因又是什么,完整的调用栈(导致最终操作的一系列代码轨迹)是什么样的等。通过与ProcDump配合使用,Procmon可以帮助我们将这些事件与异常、CPU尖峰或低谷、不寻常的内存占用、不响应的窗口、调试输出,以及ProcDump可以监视的其他任何情况有机结合在一起。
由于短时间内可能产生数百万个操作,因此Procmon提供了强大灵活的筛选、强调、收藏功能,借此帮助用户快速找到感兴趣的事件。Procmon可通过批处理文件和命令行参数以脚本形式运行,可将数据保存为文件以便稍后在其他系统中查看和分析。换句话说,可以很容易地让远程位置的非技术型用户捕获Procmon记录,发送给我们进行分析并解决对方遇到的问题。

4、ProcDump

核心转储(Core dump)也叫“内存转储”,早在Unix诞生前就被用于提供排错所需的数据(其实这些事情我并没有亲身经历过,我还没那么老!),运行Windows的PC也使用了这种技术。当操作系统或程序崩溃后,计算机会在崩溃的同时捕获相关状态数据,包括内存和处理器寄存器中的内容,并将其保存在持久存储系统中。

5、PsTools

Sysinternals PsTools是一套包含12个类似特征Windows管理工具的套件

PsTools套件中包含下列工具:
●PsExec 远程执行进程,或以内置服务账户,如Local System身份执行进程并对输出进行重定向
●PsFile 远程列出或关闭打开的文件
●PsGetSid 将计算机、用户或组名称转换为对应的安全标识符(SID),或将SID转换为名称
●PsInfo 列出有关系统的信息
●PsKill 通过名称或进程ID(PID)终止进程
●PsList 列出有关进程的信息
●PsLoggedOn 列出本地登录或通过远程连接登录的账户
●PsLogList 对事件日志记录进行转储
●PsPasswd 为用户账户设置密码

6、进程和诊断工具

●VMMap 是一个可以显示进程虚拟和物理内存使用情况详情的GUI工具。
●DebugView 是一个可用于监视本地或远程计算机生成的用户模式和内核模式调试输出内容的GUI工具。
●LiveKd 可供我们对运行中的本地系统快照运行标准的内核调试器,而无须将系统重启动至调试模式。
●ListDLLs 是一个显示系统中已加载DLL信息的控制台工具。
●Handle 是一个显示系统中进程所包含对象句柄详细信息的控制台工具。

7、安全工具

●SigCheck 一款控制台工具,可用于验证文件的数字签名,显示文件哈希,查看版本信息,通过查询VirusTotal执行恶意软件分析。该工具还可转储编录文件和证书存储。
●AccessChk 一款控制台工具,可搜索特定用户或组有权访问的对象,如文件、注册表键,以及服务。该工具还可提供所指派权限的详细信息。
●Sysmon 一款控制台工具,可通过安装服务和驱动监视一段时间以来与潜在安全问题有关的事件,并可在系统重启后持续监视。通过将事件与网络活动相关联,即可找出有关未经授权访问的证据,并分析入侵者在网络中执行操作的方法。
●AccessEnum 一款GUI工具,可搜索文件或注册表层次结构,找出权限设置有变的地方。
●ShareEnum 一款GUI工具,可枚举网络中的文件和打印机共享,以及可以访问这些共享的账户。
●ShellRunAs 一个外壳扩展,可实现Windows Vista中“以其他用户身份运行程序”的功能。
●Autologon 一款GUI工具,可用于配制系统启动后自动登录的用户账户。
●LogonSessions 一款控制台工具,可列举当前计算机上活跃的本地安全机构(LSA)登录会话。
●SDelete 一款控制台工具,可安全地删除文件或目录结构,并擦除硬盘上未分配区域的数据。

8、Active Directory工具

●AdExplorer 是一款高级Active Directory查看器和编辑器。
●AdInsight 可实时监视轻型目录访问协议(LDAP)API调用轨迹。
●AdRestore 可枚举已逻辑删除(Tombstoned)的Active Directory对象,并提供了恢复对象的功能。

 

9、文件工具

●Strings 搜索文件中嵌入的ASCII或Unicode文本。
●Streams 找出包含替换数据流(Alternate data stream)的文件系统对象,并可删除这些数据流。
●Junction和FindLinks 找出并操作目录交叉点和硬链接,这是两种类型的NTFS链接。
●Disk Usage(DU)显示目录层次结构的逻辑大小和磁盘空间占用大小。
●PendMoves和MoveFile 显示并注册在下一次系统启动过程中所要执行的文件操作。

 

10、磁盘工具

●Disk2Vhd 可将物理磁盘捕获为VHD映像。
●Sync 将磁盘缓存中未写入的变更写入到物理磁盘。
●DiskView 以簇的形式显示卷布局图,可用于查找每个簇对应了哪个文件,以及特定文件分布在哪些簇上。
●Contig 可对特定文件整理磁盘碎片,查看特定文件或可用空间的碎片化程度。
●DiskExt 显示有关磁盘盘区(Disk extent)的信息。
●LDMDump 显示逻辑磁盘管理器(LDM)数据库中有关动态磁盘的细节信息。
●VolumeID 可用于更改卷ID,即卷序列号。

 

11、 网络和通信工具

PsPing可执行标准的ICMP“Ping”测试,并可用于测试TCP和UDP延迟和带宽测试。

TCPView类似于GUI版本的Windows Netstat工具,可显示系统中的TCP和UDP端点。

Whois是一个查询互联网域名注册信息,以及对IP地址执行反向DNS查询的命令行工具。

 

12、系统信息工具

RAMMap 可从多个不同角度深入显示物理内存的分配情况。
●Registry Usage (RU) 可显示所指定注册表键的注册表空间使用情况。
●CoreInfo 可显示进程及Windows是否支持不可执行内存页等功能,以及逻辑处理器和物理处理器之间的映射关系、NUMA节点、处理器所在插槽、每个逻辑处理器分配的缓存,以及NUMA系统的节点间访问成本。
●WinObj 可用于访问Windows对象管理器名称空间并查看所包含的对象信息。
●LoadOrder 可显示Windows加载设备驱动和启动服务的大致顺序。
●PipeList 可列出本地计算机的命名管道。
●ClockRes 可显示系统时钟的当前精度。

 

13、其他工具

●RegJump 启动注册表并跳转至指定的注册表路径。
●Hex2Dec 在十六进制和十进制之间进行数值转换。
●RegDelNull 搜索并删除名称中嵌入了空字符的注册表键。
●Bluescreen Screen Saver 一个可以模拟“蓝屏死机”的屏幕保护程序。
●Ctrl2Cap 一个键盘筛选器驱动,可将Caps Lock按键转换为Control按键,适合习惯于Ctrl键在A键旁边这种布局的人。

这篇关于《windows internals 指南》 工具介绍的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/935798

相关文章

性能测试介绍

性能测试是一种测试方法,旨在评估系统、应用程序或组件在现实场景中的性能表现和可靠性。它通常用于衡量系统在不同负载条件下的响应时间、吞吐量、资源利用率、稳定性和可扩展性等关键指标。 为什么要进行性能测试 通过性能测试,可以确定系统是否能够满足预期的性能要求,找出性能瓶颈和潜在的问题,并进行优化和调整。 发现性能瓶颈:性能测试可以帮助发现系统的性能瓶颈,即系统在高负载或高并发情况下可能出现的问题

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

高效录音转文字:2024年四大工具精选!

在快节奏的工作生活中,能够快速将录音转换成文字是一项非常实用的能力。特别是在需要记录会议纪要、讲座内容或者是采访素材的时候,一款优秀的在线录音转文字工具能派上大用场。以下推荐几个好用的录音转文字工具! 365在线转文字 直达链接:https://www.pdf365.cn/ 365在线转文字是一款提供在线录音转文字服务的工具,它以其高效、便捷的特点受到用户的青睐。用户无需下载安装任何软件,只

Retrieval-based-Voice-Conversion-WebUI模型构建指南

一、模型介绍 Retrieval-based-Voice-Conversion-WebUI(简称 RVC)模型是一个基于 VITS(Variational Inference with adversarial learning for end-to-end Text-to-Speech)的简单易用的语音转换框架。 具有以下特点 简单易用:RVC 模型通过简单易用的网页界面,使得用户无需深入了

图神经网络模型介绍(1)

我们将图神经网络分为基于谱域的模型和基于空域的模型,并按照发展顺序详解每个类别中的重要模型。 1.1基于谱域的图神经网络         谱域上的图卷积在图学习迈向深度学习的发展历程中起到了关键的作用。本节主要介绍三个具有代表性的谱域图神经网络:谱图卷积网络、切比雪夫网络和图卷积网络。 (1)谱图卷积网络 卷积定理:函数卷积的傅里叶变换是函数傅里叶变换的乘积,即F{f*g}

Java 创建图形用户界面(GUI)入门指南(Swing库 JFrame 类)概述

概述 基本概念 Java Swing 的架构 Java Swing 是一个为 Java 设计的 GUI 工具包,是 JAVA 基础类的一部分,基于 Java AWT 构建,提供了一系列轻量级、可定制的图形用户界面(GUI)组件。 与 AWT 相比,Swing 提供了许多比 AWT 更好的屏幕显示元素,更加灵活和可定制,具有更好的跨平台性能。 组件和容器 Java Swing 提供了许多

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念

基于UE5和ROS2的激光雷达+深度RGBD相机小车的仿真指南(五):Blender锥桶建模

前言 本系列教程旨在使用UE5配置一个具备激光雷达+深度摄像机的仿真小车,并使用通过跨平台的方式进行ROS2和UE5仿真的通讯,达到小车自主导航的目的。本教程默认有ROS2导航及其gazebo仿真相关方面基础,Nav2相关的学习教程可以参考本人的其他博客Nav2代价地图实现和原理–Nav2源码解读之CostMap2D(上)-CSDN博客往期教程: 第一期:基于UE5和ROS2的激光雷达+深度RG

C++——stack、queue的实现及deque的介绍

目录 1.stack与queue的实现 1.1stack的实现  1.2 queue的实现 2.重温vector、list、stack、queue的介绍 2.1 STL标准库中stack和queue的底层结构  3.deque的简单介绍 3.1为什么选择deque作为stack和queue的底层默认容器  3.2 STL中对stack与queue的模拟实现 ①stack模拟实现