TA的每日心情 | 开心 2019-11-8 11:37 |
---|
签到天数: 46 天 [LV.5]常住居民I
|
【Sysinternals Suite】系统工具集
官方英文原版 (需要汉化版的请自行查找相应版本,不过汉化版都不是最新的)
Sysinternals是一套专门针对Windows系统开发的全方位系统工具集,有了它,你可以深入Windows系统内部,对Windows系统有一个新的认识。其中有些工具相当的强大,甚至让微软都汗颜!~~~(YY一下)
【介绍】
Sysinternals 之前为Winternals公司提供的免费工具,Winternals原本是一间主力产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具。之后他们将这些工具集合起来称为Sysinternals,并放在网路供人免费下载,其中也包含部分工具的原始码,一直以来都颇受IT专家社群的好评。
微软在2006年7月收购了Winternals,更重要的是,微软藉由此一并购网罗了该公司的两位创办人Mark Russinovich及Bryce Cogswell,其中,Mark Russinovich曾因为利用自己开发的Rootkit Revealer侦测到Sony光盘中采用Rootkit程序而声名大噪。(汗!~~~老总都让人给挖了。。。)
【推荐】
由于这套工具集里面包含的工具软件非常多,我就拣几个常用的好工具推荐给大家:
1、Autoruns
Autoruns是我最常用的系统工具之一,它可以列出系统中所有的开机自动启动项目,包括注册表中所有的Run和RunOnce项,开始菜单启动项,Shell扩展,驱动程序和系统服务,IE浏览器扩展,系统映像劫持等等。。。你可以利用它删除掉那些不必要的自启动项。很多时候我都是利用它找到病毒和木马留下的蛛丝马迹再一一灭杀的,哈哈!
2、Process Explorer
这个可是我的常驻内存程序啊,我已经用它替换掉系统的任务管理器了。它的强大之处是除了系统核心服务,其他程序和服务的进程都可以被它终止,而且它可以显示隐藏进程和每个进程调用的动态链接库,我们可以用他终止掉那些隐藏的木马和病毒进程和注入到其它程序的木马和病毒进程。另外它还有非常详细的进程参数显示功能。
3、RegMon
Regmon 是一款出色的注册表数据监视软件,它将与注册表数据相关的一切操作(如读取、修改、出错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。
4、FileMon
Filemon 是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。它将所有与文件一切相关操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。
以上两款工具建议结合起来使用,可以对系统进行全方位监视,注册表的任何读写访问和任何文件的读写访问都逃不过你的眼睛,加上Process Explorer,那些顽固的不断修改注册表和写文件到系统目录的木马就猖獗不起来了。某些共享软件未注册版本有时间或使用次数的限制,利用以上两款工具,可以对比安装前和安装后,或过期前与过期后的系统注册表和文件的差异,达到可重复试用或增加试用天数和次数的作用。
5、Autologon
可以实现自动登录系统,无需手动输入帐户、域名和密码。其实就是在系统注册表中添加帐户信息和登录信息的键值。不过由软件来实现更加简单了,如同简单的脚本。这个的好处就不言而喻了,一般新装的系统都是以Administrator管理员登录的(特别是Ghost系统,还是空密码登录的),为了安全,我们自然要再建立一个用户,然后设置这个用户默认自动登录(自动登录只是为了方便而已,私人电脑尽量不要用)。如果你设置自动登录后,又修改了用户密码,自动登录就会失效,这时可以通过这个程序重新设置自动登录。
6、TCPView
可以列出并监视所有访问网络的程序打开的端口及与其进行通信的远程机器的地址和端口。比如你安装并运行了SQL Server,你可以通过这个工具看到SQL Server打开了TCP1433和UDP1434端口,还可能看到网络上有另一台机器正在与它通信。有时候我们需要在路由器中对某个程序设置端口映射,却又不知道这个程序与外部网络的通信端口,这时就可以用这个程序查看。某个木马被你发现了,你在杀掉它之前看看它开了哪些端口,到防火墙去封掉,可以起到一定的免疫作用。总之用处很多,需要大家挖掘。
7、Desktops
Desktops 可以让你的windows同时扩展出4个虚拟桌面,啊,这个。。。我有了使用Linux的感觉了,哈哈。你可以在一个上面阅读邮件,在第二个上面浏览网页,在第三个上面上网...你可以通过点击托盘的图标来切换它们,当然也支持快捷键。
工具实在太多,其他的也就不一一介绍了,大家可以下载回去试试。希望这些工具能给大家带来好处。
附:所有工具名称列表
AccessChk
AccessEnum
AdExplorer
AdRestore
Autologon
Autoruns
BgInfo
CacheSet
ClockRes
Contig
Coreinfo
Ctrl2Cap
DebugView
Desktops
DiskExt
DiskMon
DiskView
Disk Usage (DU)
EFSDump
FileMon
Handle
Hex2dec
| Junction
LDMDump
ListDLLs
LiveKd
LoadOrder
LogonSessions
NewSid
NTFSInfo
PageDefrag
PendMoves
PipeList
PortMon
ProcessExplorer
Process Monitor
ProcFeatures
PsExec
PsFile
PsGetSid
PsInfo
PsKill
PsList
PsLoggedOn
| PsLogList
PsPasswd
PsService
PsShutdown
PsSuspend
RegDelNull
RegJump
RegMon
RootkitRevealer
SDelete
ShareEnum
ShellRunas
SigCheck
Streams
Strings
Sync
TCPView
VMMap
VolumeID
WhoIs
WinObj
ZoomIt
|
附件:
SysinternalsSuite.part01.rar
(1.91 MB, 下载次数: 19)
SysinternalsSuite.part02.rar
(1.91 MB, 下载次数: 11)
SysinternalsSuite.part03.rar
(1.75 MB, 下载次数: 16)
[ 本帖最后由 allen1947 于 2009-4-25 13:26 编辑 ] |
|