首发于电脑知识

Sysinternals Suite免费的Windows系统工具集(系统管理良兵利器)

Sysinternals Suite包含一系列免费的Windows系统工具集(系统管理良兵利器)

一、Sysinternals免费系统工具集简介

Sysinternals 之前为Winternals公司提供的免费工具,Winternals原本是一间主力产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具。之后他们将这些工具集合起来称为Sysinternals,并放在网络供人免费下载,其中也包含部分工具的原始码,一直以来都颇受IT专家社群的好评。

Sysinternals Suite包含一系列免费的系统工具,其中有大名鼎鼎的Process Explorer、FileMonRegMon等,如果把系统管理员比喻成战士的话,那么Sysinternals Suite就是我们手中的良兵利器。熟悉和掌握这些工具,并且对Windows的体系有一定的了解,将大幅度的提高日常的诊断和排错能力。



微软在2006年7月收购了Winternals,更重要的是,微软藉由此一并购网罗了该公司的两位创办人Mark Russinovich及Bryce Cogswell,其中,Mark Russinovich曾因为利用自己开发的Rootkit Revealer侦测到Sony光盘中采用Rootkit程序而声名大噪。 下面简要介绍一下工具包里一些很有特色的小工具。

官网:

二、Sysinternals每个特色小工具详细功能解讲

AccessChk

Windows管理员往往需要知道什么样的访问特定的用户或团体的资源,包括文件,目录,注册表项 和Windows服务。 AccessChk将回答这些问题的一个直观的界面和输出。

AccessEnum

AccessEnum可以让你在数秒的时间内了解目录、文件以及注册表的权限设置情况,快速找到安全漏洞并锁定需要保护的权限。对于虚拟主机管理者来讲帮助会更大。

CacheSet

CacheSet 允许您处理系统文件缓存中的工作集参数。CacheSet 可以在所有版本的 NT 上运行,而且在不对新 Service Pack 版本进行修改的情况下也可运行。除了使您能够控制工作集大小的最小值和最大值,它还允许您重置缓存的工作集,强制它在必要时从一个最小的起点开始增长。CacheSet 的更改会对缓存的大小立即产生影响。注意:要在 NT 4.0 Service Pack 4 上使用 CacheSet,您必须拥有“增加配额”的权限(管理员账户默认拥有此权限)。CacheSet 已经获得更新可启用此权限,因此它可以在 SP4 上运行。

Contig

一个基于命令行的小程序,能够快速有效的整理硬盘上的文件碎片,可以使文件变的连续,提高访问速度。Power Defragmenter是一个高手编写的Contig的GUI版本,带有一个图形界面,用起来更方便,更直观。可以大大提高碎片整理速度。使用前需要把Contig与Power Defragmenter放在同一文件夹下。

DiskExt

DiskExt 展示了对 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 命令的使用,该命令返回有关某卷的分区位于哪个磁盘(多分区磁盘可以驻留在多个磁盘上),以及分区位于磁盘上的什么位置等信息。

DiskMon

Diskmon是一硬盘数据存取实时监控软件,能够将 Windows NT/2000/XP 操作系统的硬盘数据存取时间滴水不漏地纪录下来,您还可以将纪录文件储存成 LOG 文字文件。

DiskView

DiskView 该软件集成于微软的Windows操作系统的资源管理器以显示一个直观的磁盘空间使用情况。该软件的Visualizer面板在一个图形图表中提供关于当前文件夹的详细使用情况信息。文件和文件夹空间占用情况以及在Windows 操作系统的资源管理器中的Details view 的Relative Size能够使用DiskView's Size On Disk进行观看。

FileMon

Filemon 是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。它将所有与文件一切相关操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。

NTFSInfo

怎样得到你自己个人的NTFS volumes呢?比如扇区的数量,簇的大小,以及其它有趣的NTFS 的信息?在一些细节方面,NTFSInfo会为你提供如下信息:

主文件基于簇的位置

主文件镜像的启动簇

主文件的大小

卷的大小

簇和分区的总数量

可用的自由空间

分区和簇的字节数

PageDefrag

标准的碎片整理程序既无法向您显示分页文件和注册表配置单元的碎片化情况,也无法对它们进行碎片整理。分页和注册表文件碎片化可能是系统因文件碎片化而导致性能下降的首要原因之一。

PageDefrag 使用先进的技术向您提供商业碎片整理程序无法提供的服务:即查看分页文件和注册表配置单元的碎片化情况,并且对它们进行碎片整理的能力。此外,它还对事件日志和 Windows 2000/XP 休眠文件(当休眠笔记本电脑时保存系统内存的地方)进行碎片整理。

Process Monitor

进程监视器,这是一个高级的Windows监视工具,不但可以监视进程/线程,还可以关注到文件系统,注册表的变化.它包含2个Sysinternals遗留组件:Filemon 和 Regmon,并添加了大量功能。

PsFile

PsFile是一个显示机器上的会话和有什么文件被网络中的用户打开的命令。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsTools

PsTools是Sysinternals公司推出的一个功能强大的远程管理工具包,一共由12个命令组成,可以用来远程管理Windows NT/2000/XP系统。可以远程整理硬盘、关闭远程计算机上运行的信使服务、查看服务器硬盘空间、查看远程计算机上的进程,并结束可疑进程、发送消息并快速关闭远程计算机等。

SDelete

当操作系统处于非活动状态时,可以使用原始磁盘编辑程序和恢复工具查看和恢复操作系统已取消分配的数据。即使使用 Win2K 的加密文件系统(EFS) 加密文件,文件的原始未加密文件数据在创建该文件的新的加密版本后仍然保留在磁盘上。

要确保使用 EFS 加密的文件以及已删除的文件无法恢复,唯一的方法是使用安全删除应用程序。安全删除应用程序使用能够使磁盘数据无法恢复的技术,甚至使用可以读取磁性媒体中揭示弱删除文件的模式的恢复技术来覆盖已删除文件的磁盘数据。SDelete(安全删除)就是这样一个应用程序。您既可以使用 SDelete 安全地删除现有文件,也可以安全地擦除存在于磁盘的未分配部分中的任意文件数据(包括您已经删除或加密的文件)。SDelete 实施了美国国防部资料摧毁标准 (Clearing and Sanitizing Standard) DOD 5220.22-M,以使您确信在使用 SDelete 删除文件数据后,这些数据将彻底消失。

ShareEnum

Windows NT/2000/XP 网络安全中经常被忽略的方面是文件共享。当用户以宽松的安全标准定义文件共享时,通常会出现安全缺陷,从而使得未经授权的用户可以查看敏感文件。没有任何一款内置工具可以列出网络中可见的共享及其安全设置,但 ShareEnum 填补了这一空白,使您可以锁定网络上的文件共享。

运行 ShareEnum 时,它将使用 NetBIOS 枚举功能来扫描可以访问的域中的所有计算机,从而显示文件和打印共享及其安全设置。由于只有域管理员具有查看所有网络资源的权限,所以在您以域管理员帐户运行 ShareEnum 时,它才最有效。

Sigcheck

验证映像进行了数字签名并使用这一简单的命令行实用工具转储版本信息。

Streams

NTFS 文件系统为应用程序提供创建信息备用数据流的能力。默认情况下,所有数据都存储在文件的主要未命名数据流中,但通过使用“file:stream”语法,您就能读取和写入备用数据流。不是所有应用程序都编写为能够访问备用数据流,但您可以非常简单地演示数据流。首先,在命令提示符中,更改到 NTFS 驱动器上的一个目录。然后,键入“echo hello > test:stream”。您刚刚创建了一个与文件“'test”相关联的数据流,名为“stream”。请注意,在查看 test 的大小时,它报告为 0,并且在用任何文本编辑器打开时,文件看上去是空的。要查看您的数据流,请输入“more < test:stream”(type 命令不接受数据流语法,因此您需要用 more)。

Streams 将检查您指定的文件和目录(注意目录也可以有备用数据流),通知您在那些文件中遇到的任何命名数据流的名称和大小。

用法:streams [-s] [-d] <文件或目录>

-s

对子目录执行递归操作。

-d

删除流。

Streams 接受通配符,如“streams *.txt”

Autologon

可以实现自动登录系统,无需手动输入帐户、域名和密码。其实就是在系统注册表中添加帐户信息和登录信息的键值。不过由软件来实现更加简单了,如同简单的脚本。

LogonSessions

如果您认为在登录系统时只有一个活动的登录会话,那么这个实用程序会让您大吃一惊。会列出当前活动的登录会话,而如果您指定了 -p 选项,它还会列出正在每个会话中运行的进程。LogonSessions 可以在 Windows 2000 和更高版本上运行。

NewSID

NewSID ,顾名思义,就是可以利用它来为计算机重新生成新的SID号。为什么要重新定义新SID?如果用Ghost镜像批量的来安装系统,那么它们的SID号必然相同。若内部网络上计算机SID相同就会造成许多冲突,加入域也会有很大问题,甚至造成客户机无法加入到域。

Windows 安装光盘不是已经提供了Sysprep吗?什么还要用NewSID呢?

1、 凡用过Sysprep的朋友都应该知道,如果用Sysprep来重新封装系统,在重启之后会要求我们重新输入产品序列号和重新添加用户,对于企业来说很多时候是不希望员工得到产品ID的,让非IT职员来完成系统任务也很有可能造成一些不必要的麻烦。

2、 正是基于我们这些迫切需求,NewSID可谓是一个完美的解决方案。它提供三种方式来让我们重新生成SID:a.随机产生 b.从其它计算机复制 c.手工输入 ,以上这三种方式可以满足大多数用户的需求。我们还可以选择是否重新给计算机更名,最后也可以手工指定在SID重定义完成后是否重启计算机。

3、 计算机重启之后不会让我们再次输入产品序列号,也不会让我们重新添加用户,这为我们减少了很多不必要的麻烦。

PsExec

PsExec 是一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。PsExec 最强大的功能之一是在远程系统和远程支持工具(如 IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsLogList

PsLogList是一个查看系统事件记录的程序。它也是 Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

RootkitRevealer

RootkitRevealer 是一种高级 Rootkit 检测实用工具。它可以在 Windows NT 4 和更高版本上运行,而且其输出会列出注册表和文件系统 API 的差异,从而可以指出是否存在用户模式或内核模式 Rootkit。RootkitRevealer 可以成功检测出在 www rootkitcom 上发布的所有永久性 Rootkit,包括 AFX、Vanquish 和 HackerDefender(注意:RootkitRevealer 不会有意检测那些不试图隐藏其文件或注册表项的 Rootkit,如 Fu)。

AD Explorer

Active Directory Explorer (AD Explorer) ,是先进的Active Directory ( AD )的查看器和编辑器。 使用AD Explorer,用户可以快捷地浏览AD数据库,自定义快速入口,无需打开对话框即可查看对象属性、编辑权限、浏览一个对象的模式、 进行精确搜寻等。

AdRestore

Server 2003 引入了还原已删除(“已逻辑删除的”)对象的功能。这一简单的命令行工具可以列出域内的已删除对象,并允许您选择还原这些对象。

TCPView

一个很好的检测端口的软件,很小很好用。

Autoruns

强大、完整的启动项扫描工具!

ClockRes

用于显示系统时钟分辨率以及应用程序可以获得的最大计时器分辨率。

LoadOrder

这个小程序可以向您展示 Windows NT 或 Windows 2000 系统加载设备驱动程序的顺序。请注意,Windows 2000 即插即用驱动程序的实际加载顺序可能与计算的顺序有所不同,因为即插即用驱动程序是在设备检测和枚举期间根据需要加载的。

ProcFeatures

ProcessorFeatures使用 Windows IsProcessorFeaturePresent API 来确定处理器和 Windows 是否支持无执行页面、物理地址扩展(PAE) 及实时时钟周期计数器等各种功能。其主要用途是确定系统运行 PAE 版本的内核以及支持无执行缓冲区溢出保护。

PsLoggedOn

这一小程序可以显示本地登录的用户和通过本地计算机或远程计算机的资源登录的用户。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

RegMon

Regmon 是一款出色的注册表数据监视软件,它将与注册表数据相关的一切操作(如读取、修改、出错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。

PortMon

Portmon 是用于监视和显示系统中所有串行端口并行端口活动的实用工具。它具有高级筛选和搜索功能,使其处理以下操作的功能强大的工具:探索 Windows 工作的方式、查看应用程序如何使用端口,或跟踪系统中或应用程序文件配置中的问题。

Process Explorer

很不错的进程管理工具,可以设置为完全取代系统自带任务管理器taskmgr,成为系统默认的“任务管理器”。里头的各种监视器非常直观地监视或者记录着系统当前的状态,而且易用性非常高。支持XP及以上系统,支持Win2003及以上系统。

PsGetSid

PsGetSid是一个远程获取账号sid信息的工具。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsKill

Windows NT/2000 没有附带命令行终止实用工具。您可以从 Windows NT 或 Win2K 资源工具包中找到终止实用工具,但资源工具包中的实用工具只能终止本地计算机上的程序。PsKill 是一个终止实用工具,它不仅具有资源工具包所具有的功能,而且可以终止远程系统上的进程。您甚至不必在目标计算机上安装客户端,就可以使用 PsKill 终止远程进程。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsList

该程序用于列出本地或远程NT主机进程相关信息的工具,适于配合PsKill使用。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsService

PsService 是一个用于 Windows 的服务查看器和控制器。与 Windows NT 和 Windows 2000 资源工具包附带的 SC 实用工具类似,PsService 可显示服务的状态、配置和相关性,并允许您启动、停止、暂停、恢复和重新启动这些服务。但与 SC 实用工具不同,对于您所运行的帐户在远程系统中没有必需的权限时,PsService 使您可以使用不同的帐户登录远程系统。PsService 包含一个独特的服务搜索功能,该功能可标识您的网络中某一服务的活动实例。例如,如果要定位运行 DHCP 服务器的系统,您可以使用此搜索功能。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsSuspend

PsSuspend 使您可以挂起本地或远程系统中的进程,如果您希望让其他进程使用某个进程正在占用的资源(例如,网络、CP或磁盘)时,它非常有用。挂起功能允许您让占用资源的进程在以后的某个时间点继续操作,而不必终止该进程。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

BgInfo

在桌面上列表显示计算机软、硬件信息,包括CPU主频、网络信息、操作系统版本、IP地址、硬盘信息等等。

BlueScreen

Bluescreen是一个屏保,安装之后,它的画面会随着操作系统的不同而有所差异:

在NT4.0里,Bluescreen 会模拟执行 chkdsk 的画面-而且会有硬盘错误的讯息出现!

在 Win2K、9x 之下,它会出现 Win2K 的错误讯息,还有重新开机的画面!

Desktops

Desktops 可以让你的windows同时扩展出4个虚拟桌面。你可以在一个上面阅读邮件,在第二个上面浏览网页,在第三个上面上网...你可以通过点击托盘的图标来切换它们,当然也支持快捷键。

RegDelNull

这个命令行程序可以搜寻并删除包括内嵌 Null 字符的注册表项目。这种注册表项目使用标准的注册表编辑工具则无法被删除。

ZoomIt

ZoomIt有屏幕放大、在屏幕上进行注释、计时提醒三大功能。

三、Sysinternals 实用工具索引及下载链接

摘自微软官网

Sysinternals Suite
整个 Sysinternals 实用工具集汇总到单个下载中。

Sysinternals Suite for Nano Server
Sysinternals Utilities for Nano Server 在单个下载中。

适用于 ARM64 的 Sysinternals 套件
单个下载中用于 ARM64 的 Sysinternals 实用工具。

Microsoft Store 中的 Sysinternals Suite
通过 Microsoft Store 安装和更新 Sysinternals 实用工具。

AccessChk
v6.15 (2022 年 5 月 11 日)
AccessChk 是一种命令行工具,用于查看文件、注册表项、服务、进程、内核对象等的有效权限。

AccessEnum
v1.34 (2022 年 8 月 16 日)
此简单而强大的安全工具显示谁有权访问系统上的目录、文件和注册表项。 使用它查找权限中的漏洞。

AdExplorer
v1.51 (2021 年 12 月 16 日)
Active Directory 资源管理器是一个高级 Active Directory (AD) 查看器和编辑器。

AdInsight
v1.2 (2015 年 10 月 26 日)
LDAP (轻型目录访问协议) 实时监视工具,旨在对 Active Directory 客户端应用程序进行故障排除。

AdRestore
v1.2 (2020 年 11 月 25 日)
取消删除 Server 2003 Active Directory 对象。

Autologon
v3.10 (2016 年 8 月 29 日)
在登录期间绕过密码屏幕。

Autoruns
v14.09 (2022 年 2 月 16 日)
查看系统启动和登录时配置为自动启动的程序。 自动运行还显示应用程序可以配置自动启动设置的注册表和文件位置的完整列表。

BgInfo
v4.31 (2022 年 7 月 29 日)
此完全可配置的程序自动生成桌面背景,其中包括有关系统的重要信息,包括 IP 地址、计算机名称、网络适配器等。

BlueScreen
v3.2 (2006 年 11 月 1 日)
此屏幕保存程序不仅准确模拟蓝屏,而且模拟重启以及 (使用 CHKDSK) 完成,适用于 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 95 和 98。

CacheSet
v1.02 (2021 年 12 月 16 日)
CacheSet 是一个程序,可用于使用 NT 提供的函数控制缓存管理器的工作集大小。 它与所有版本的 NT 兼容。

ClockRes
v2.1 (2016 年 7 月 4 日)
查看系统时钟的分辨率,这也是最大计时器分辨率。

Contig
v1.81 (2021 年 10 月 12 日)
希望快速对常用文件进行碎片整理? 使用 Contig 优化单个文件,或创建连续的新文件。

Coreinfo
v3.53 (2022 年 8 月 16 日)
Coreinfo 是一个新的命令行实用工具,用于显示逻辑处理器与物理处理器、NUMA 节点和套接字之间的映射,以及分配给每个逻辑处理器的缓存。

Ctrl2cap
v2.0 (2006 年 11 月 1 日)
这是一个内核模式驱动程序,它演示键盘输入筛选在键盘类驱动程序上方,以便将 caps-lock 转换为控制键。 在此级别筛选允许在 NT 甚至“看到”密钥之前转换和隐藏密钥。 Ctrl2cap 还演示如何使用 NtDisplayString () 将消息打印到初始化蓝屏。

DebugView
v4.90 (2019 年 4 月 23 日)
另一个来自 Sysinternals:此程序截获由设备驱动程序发出的 DbgPrint 调用,以及 Win32 程序发出的 OutputDebugString 调用。 它允许在没有活动调试器的情况下查看和记录本地计算机或 Internet 上的调试会话输出。

台式机
v2.01 (2021 年 10 月 12 日)
通过此新实用工具,最多可以创建四个虚拟桌面,并使用托盘界面或热键预览每个桌面上的内容,并在它们之间轻松切换。

Disk2vhd
v2.02 (2021 年 10 月 12 日)
Disk2vhd 简化了物理系统迁移到虚拟机 (p2v.md) 。

DiskExt
v1.2 (2016 年 7 月 4 日)
显示卷磁盘映射。

Diskmon
v2.02 (2021 年 10 月 12 日)
此实用工具捕获所有硬盘活动,或像系统托盘中的软件磁盘活动灯一样。

DiskView
v2.41 (2020 年 10 月 15 日)
图形磁盘扇区实用工具。

磁盘使用情况 (DU)
v1.62 (2020 年 11 月 4 日)
按目录查看磁盘使用情况。

EFSDump
v1.03 (2021 年 10 月 12 日)
查看加密文件的信息。

FindLinks
v1.1 (2016 年 7 月 4 日)
FindLinks 报告文件索引和任何硬链接 (指定文件存在的同一 volume.md) 上的备用文件路径。 只要文件至少有一个文件名引用它,文件的数据仍会保持分配状态。

Handle
v4.22 (2019 年 6 月 14 日)
这一方便的命令行实用工具将显示哪些文件通过哪些进程打开,等等。

Hex2dec
v1.1 (2016 年 7 月 4 日)
将十六进制数字转换为十进制数,反之亦然。

交接点
v1.07 (2016 年 7 月 4 日)
创建 Win2K NTFS 符号链接。

LDMDump
v1.02 (2006 年 11 月 1 日)
转储逻辑磁盘管理器磁盘上的数据库的内容,该数据库描述 Windows 2000 动态磁盘的分区。

ListDL
v3.2 (2016 年 7 月 4 日)
列出当前加载的所有 DLL,包括加载它们的位置和版本号。

LiveKd
v5.62 (2017 年 5 月 16 日)
使用 Microsoft 内核调试器检查实时系统。

LoadOrder
v1.02 (2021 年 10 月 12 日)
查看在 WinNT/2K 系统上加载设备的顺序。

LogonSessions
v1.41 (2020 年 11 月 25 日)
列出系统上的活动登录会话。

MoveFile
v1.02 (2020 年 9 月 17 日)
允许计划下一次重新启动的移动和删除命令。

NotMyFault
v4.01 (2016 年 11 月 18 日)
Notmyfault 是一种工具,可用于在 Windows 系统上崩溃、挂起和导致内核内存泄漏。

NTFSInfo
v1.2 (2016 年 7 月 4 日)
使用 NTFSInfo 查看有关 NTFS 卷的详细信息,包括主文件表的大小和位置 (MFT) 和 MFT 区域,以及 NTFS 元数据文件的大小。

PendMoves
v1.3 (2020 年 9 月 17 日)
枚举将执行下一次启动的文件重命名和删除命令的列表。

PipeList
v1.02 (2016 年 7 月 4 日)
显示系统上的命名管道,包括每个管道的最大实例数和活动实例数。

PortMon
v3.03 (2012 年 1 月 12 日)
使用此高级监视工具监视串行和并行端口活动。 它了解所有标准串行和并行 IOCTL,甚至显示要发送和接收的数据的一部分。 版本 3.x 具有强大的新 UI 增强功能和高级筛选功能。

ProcDump
v10.11 (2021 年 8 月 18 日)
此命令行实用工具旨在捕获其他难以隔离和重现 CPU 峰值的进程转储。 它还充当常规进程转储创建实用工具,当进程具有挂起的窗口或未经处理的异常时,还可以监视和生成进程转储。

进程资源管理器
v16.43 (2021 年 8 月 18 日)
了解哪些文件、注册表项和其他对象进程已打开、加载了哪些 DLL 等。 这种唯一强大的实用工具甚至会显示拥有每个进程的用户。

进程监视器
v3.91 (2022 年 7 月 29 日)
实时监视文件系统、注册表、进程、线程和 DLL 活动。

PsExec
v2.40 (2022 年 7 月 19 日)
在远程系统上执行进程。

PsFile
v1.03 (2016 年 6 月 29 日)
查看远程打开的文件。

PsGetSid
v1.45 (2016 年 6 月 29 日)
显示计算机或用户的 SID。

PsInfo
v1.78 (2016 年 6 月 29 日)
获取有关系统的信息。

PsKill
v1.16 (2016 年 6 月 29 日)
终止本地或远程进程。

PsPing
v2.01 (2014 年 1 月 29 日)
测量网络性能。

PsList
v1.4 (2016 年 6 月 29 日)
显示有关进程和线程的信息。

PsLoggedOn
v1.35 (2016 年 6 月 29 日)
显示登录到系统的用户。

PsLogList
v2.8 (2016 年 6 月 29 日)
转储事件日志记录。

PsPasswd
v1.24 (2016 年 6 月 29 日)
更改帐户密码。

PsService
v2.25 (2016 年 6 月 29 日)
查看和控制服务。

PsShutdown
v2.53 (2021 年 10 月 12 日)
关闭并选择性地重新启动计算机。

PsSuspend
v1.07 (2016 年 6 月 29 日)
暂停和恢复进程。

PsTools
v2.48 (2021 年 10 月 12 日)
PsTools 套件包括命令行实用工具,用于列出在本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等。

RAMMap
v1.61 (2022 年 5 月 11 日)
高级物理内存使用情况分析实用工具,它以不同的方式在其多个不同选项卡上呈现使用情况信息。

RDCMan
v2.90 (2022 年 1 月 27 日)
管理多个远程桌面连接。

RegDelNull
v1.11 (2016 年 7 月 4 日)
扫描和删除包含嵌入的 null 字符的注册表项,否则标准注册表编辑工具无法删除这些字符。

注册表使用情况 (RU)
v1.2 (2016 年 7 月 4 日)
查看指定注册表项的注册表空间使用情况。

RegJump
v1.11 (2021 年 10 月 12 日)
跳转到在 Regedit 中指定的注册表路径。

SDelete
v2.04 (2020 年 11 月 25 日)
使用此符合 DoD 的安全删除程序安全地覆盖敏感文件并清理以前删除的文件的可用空间。

ShareEnum
v1.61 (2021 年 10 月 12 日)
扫描网络上的文件共享并查看其安全设置以关闭安全漏洞。

ShellRunas
v1.02 (2021 年 10 月 12 日)
通过方便的 shell 上下文菜单条目以其他用户身份启动程序。

Sigcheck
v2.90 (2022 年 7 月 19 日)
转储文件版本信息并验证系统上的映像是否已进行数字签名。


v1.6 (2016 年 7 月 4 日)
显示 NTFS 备用流。

字符串
v2.54 (2021 年 6 月 22 日)
在二进制图像中搜索 ANSI 和 UNICODE 字符串。

同步
v2.2 (2016 年 7 月 4 日)
将缓存的数据刷新到磁盘。

Sysmon
v14.0 (2022 年 8 月 16 日)
通过 Windows 事件日志监视和报告关键系统活动。

TCPView
v4.17 (2022 年 1 月 27 日)
活动套接字查看器。

VMMap
v3.32 (2022 年 1 月 27 日)
VMMap 是进程虚拟和物理内存分析实用工具。

VolumeId
v2.1 (2016 年 7 月 4 日)
设置 FAT 或 NTFS 驱动器的卷 ID。

Whois
v1.20 (2019 年 12 月 11 日)
查看谁拥有 Internet 地址。

WinObj
v3.14 (2022 年 1 月 27 日)
最终的对象管理器命名空间查看器在此处。

ZoomIt
v6.01 (2022 年 7 月 29 日)
用于在屏幕上缩放和绘图的演示实用工具。


四、Sysinternals Live

Sysinternals Live 是一项服务,可用于直接从 Web 执行 Sysinternals 工具,而无需搜寻并手动下载它们。 只需将工具的 Sysinternals Live 路径输入到 Windows 资源管理器或命令提示符,<live.sysinternals.com/ toolname> 或 \\live.sysinternals.com\tools\<toolname>。

可以在浏览器中 live.sysinternals.com/查看整个 Sysinternals Live 工具目录。

2022 年 8 月 16 日 (新增功能)

  • Sysmon v14.0
    此对 Sysmon 的主要更新是高级主机监视工具,它添加了一个新的事件类型 FileBlockExecutable,可阻止进程在指定位置创建可执行文件。 它还包括多项性能改进和 bug 修复。

2022 年 7 月 19 日 (新增功能)

  • ZoomIt v6.0
    此针对 ZoomIt 的主要更新(屏幕放大和批注工具)添加了内置的屏幕录制,方便演示录制,现在支持 Unicode 键入输入。

新增功能 (2022 年 2 月 16 日)

  • ZoomIt v5.10
    对 ZoomIt 的此更新(屏幕放大和批注工具)现在支持笔和触摸绘图。

2022 年 1 月 27 日 (新增功能)

  • ZoomIt v5.0
    ZoomIt 是屏幕缩放和批注工具,现在支持Windows 11和防锯齿线图。 请注意,在Windows 11和 Windows Server 2022 下,某些 UI 元素在缩放时可能不会对鼠标单击做出反应。 在将来的 Windows 更新之前,临时解决方法是将 ZoomIt 可执行文件存储在 Windows 或程序文件目录下。
  • RDCMan v2.90
    RDCMan 是用于管理和连接到远程桌面会话的工具,从 mstsc) 接收对 Restricted 管理员 (/restrictedAdmin 的支持,以及 mstsc) 和 bug 修复中的 Remote Credential Guard (/remoteGuard。

2021 年 10 月 26 日 (新增功能)

  • Sysmon v13.30
    此 Sysmon 更新为事件添加用户字段,修复了一系列导致崩溃的 bug(例如 Visual Studio 调试器),并改进了驱动程序中的内存使用情况和管理。

2021 年 10 月 14 日 (新增功能)

2021 年 8 月 18 日 (新增功能)

更多新增功能可参考微软官网:Sysinternals - Windows Sysinternals

特别是更新了 RDCMan v2.90 远程桌面管理软件

Win10的其它相关工具:


希望这个工具对您有用,可收藏点赞及关注我们 @小辣椒高效Office

编辑于 2022-09-29 11:27
Microsoft Windows
系统管理
Windows 系统工具

文章被以下专栏收录