Sysinternals Suite

用好Windows Sysinternals Suite里的工具,你將更有能力處理Windows的各種問題,而且不花一毛錢.Sysinternals 之前為Winternals公司提供的免費工具,Winternals原本是一間主力產品為系統復原與資料保護的公司,為了解決工程師平常在工作上遇到的各種問題,便開發出許多小工具.之後他們將這些工具集合起來稱為Sysinternals,並放在網路供人免費下載,其中也包含部分工具的原始碼,一直以來都頗受IT專家社群的好評.

The Sysinternals web site was created in 1996 by Mark Russinovich and Bryce Cogswell to host their advanced system utilities and technical information. Microsoft acquired Sysinternals in July, 2006. Whether you’re an IT Pro or a developer, you’ll find Sysinternals utilities to help you manage, troubleshoot and diagnose your Windows systems and applications. If you have a question about a tool or how to use them, please visit the Sysinternals Forum for answers and help from other users and our moderators.

Sysinternals Suite
一次下載 Sysinternals 整套實用工具。

AccessChk
v4.24（2010 年 1 月 11 日）
此更新修復了一個 Bug，該 Bug 有時會導致 AccessChk 不顯示分配給用戶帳戶的許可權和特權的完整列表。

AccessEnum
1.32（2006 年 11 月 1 日）
這一簡單但強大的安全工具可以向您顯示，誰可以用何種訪問許可權訪問您系統中的目錄、檔案和註冊表項。使用此工具可查找許可權漏洞。

AdExplorer
v1.2（2009 年 4 月 22 日）
Active Directory Explorer 是一個高級的 Active Directory (AD) 查看器和編輯器。
AdInsight
v1.01（2007 年 11 月 20 日）
一種 LDAP（輕型目錄訪問協定）實時監視工具，旨在對 Active Directory 客戶端應用程式進行故障排除。

AdRestore
v1.1（2006 年 11 月 1 日）
恢復已刪除的 Server 2003 Active Directory 對象。

Autologon
v2.10（2006 年 11 月 1 日）
登錄過程中跳過密碼螢幕。（原理是自動登錄，需要知道原密碼）

Autoruns
v9.57（2009 年 12 月 1 日）
查看哪些程式被配置為在系統啟動和您登錄時自動啟動。Autoruns 還能夠完整列出應用程式可以配置自動啟動設定的註冊表和檔案位置。

BgInfo
v4.16（2009 年 10 月 1 日）
此完全可配置程式會自動生成桌面背景，其中包含有關係統的 IP 地址、計算機名稱、網路適配器及更多內容的重要信息。

BlueScreen
v3.2（2006 年 11 月 1 日）
此螢幕保護程式不僅精確模擬“藍屏”，而且也模擬重新啟動（完成 CHKDSK），並可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。

CacheSet
v1.0（2006 年 11 月 1 日）
CacheSet 是一個允許您利用 NT 提供的功能來控制快取管理器的工作集大小的程式。它與 NT 的所有版本都兼容。

ClockRes
v2.0（2009 年 6 月 4 日）
查看系統時鐘的解析度，亦即計時器最大解析度。

Contig
v1.55（2008 年 9 月 30 日）
您是否希望迅速對您頻繁使用的檔案進行碎片整理？使用 Contig 最佳化單個的檔案，或者創建連續的新檔案。

Coreinfo
v2.0（2009 年 10 月 21 日）
Coreinfo 是一個新的命令行實用工具，可向您顯示邏輯處理器與物理處理器之間的映射、NUMA 節點和它們所處的插槽，以及分配給每個邏輯處理器的快取。

Ctrl2cap
v2.0（2006 年 11 月 1 日）
這是一個核心模式的驅動程式，可在鍵盤類驅動程式上演示鍵盤輸入過濾，以便將 Caps-Lock 轉變為控制鍵。在此級別過濾允許在 NT 剛好要“看到”鍵之前變換和隱藏鍵。Ctrl2cap 還顯示如何使用 NtDisplayString() 列印初始化藍屏的訊息。

DebugView
v4.76（2008 年 10 月 16 日）
Sysinternals 的另一個優先程式：此程式截取設備驅動程式對 DbgPrint 的調用和 Win32 程式生成的 OutputDebugString。它允許在不使用活動的調試器的情況下，在本地計算機上或通過 Internet 查看和記錄調試會話輸出。

台式機
v1.02（2010 年 1 月 19 日）
使用這一新的實用工具可以創建最多四個虛擬桌面，使用系統列界面或熱鍵預覽每個桌面上的內容並在這些桌面之間輕鬆地進行切換。

Disk2vhd
v1.4（2009 年 12 月 1 日）
Disk2vhd 可簡化從物理系統到虛擬機 (p2v) 的遷移。

DiskExt
v1.1（2007 年 5 月 14 日）
顯示卷磁碟映射。

Diskmon
v2.01（2006 年 11 月 1 日）
此實用工具會捕捉所有硬碟活動，或者在您的系統系統列中象軟體磁碟活動燈一樣工作。

DiskView
v2.3（2010 年 1 月 19 日）
圖形磁碟扇區實用工具。

Disk Usage (DU)
v1.33（2008 年 12 月 10 日）
按目錄查看磁碟使用情況。

EFSDump
v1.02（2006 年 11 月 1 日）
查看加密檔案的信息。

Handle
v3.42（2008 年 11 月 19 日）
此易用命令行實用工具將顯示哪些進程打開了哪些檔案，以及更多其他信息。

Hex2dec
v1.0（2006 年 11 月 1 日）
將十六進制數字轉換為十進制及反向轉換。

接合點
v1.05（2007 年 7 月 24 日）
創建 Win2K NTFS 符號連結。

LDMDump
v1.02（2006 年 11 月 1 日）
轉儲邏輯磁碟管理器在磁碟上的資料庫內容，其中說明了 Windows 2000 動態磁碟的分區情況。

ListDLLs
v2.25（2006 年 11 月 1 日）
列出所有當前載入的 DLL，包括載入位置及其版本號。2.0 版將列印已載入模組的完整路徑名。

LiveKd
v3.13（2010 年 1 月 11 日）
使用 Microsoft 核心調試程式檢查真實系統。

LoadOrder
v1.0（2006 年 11 月 1 日）
查看設備載入到 WinNT/2K 系統中的順序。

LogonSessions
v1.0（2006 年 11 月 1 日）
列出系統中的活動登錄會話。

MoveFile
v1.0（2006 年 11 月 1 日）
使您可以安排在系統下一次重新啟動時執行移動和刪除命令。

NTFSInfo
v1.0（2006 年 11 月 1 日）
用 NTFSInfo 可以查看有關 NTFS 卷的詳細信息，包括主檔案表 (MFT) 和 MFT 區的大小和位置，以及 NTFS 元數據檔案的大小。

PageDefrag
v2.32（2006 年 11 月 1 日）
對您的分頁檔案和註冊表配置單元進行碎片整理。

PendMoves
v1.1（2006 年 11 月 1 日）
枚舉在系統下一次啟動時所要執行的檔案重命名和刪除命令的列表。

PipeList
（2006 年 11 月 1 日）
顯示系統上的命名管道，包括每個管道的最大實例數和活動實例數。

PortMon
v3.02（2006 年 11 月 1 日）
通過高級監視工具監視串列連線埠和並行連線埠的活動。它能識別所有的標準串列和並行 IOCTL，甚至可以顯示部分正在傳送和接收的數據。3.x 版具有強大的新 UI 增強功能和高級篩選功能。

ProcDump
v1.72（2010 年 1 月 19 日）
這一新的命令行實用工具旨在捕獲其他方式難以隔離和重現 CPU 峰值的進程轉儲。該工具還可用作用於創建進程轉儲的一般實用工具，並可以在進程具有掛起的視窗或未處理的異常時監視和生成進程轉儲。

Process Explorer
v11.33（2009 年 2 月 4 日）
找出進程打開了哪些檔案、註冊表項和其他對象以及已載入哪些 DLL 等信息。這個功能異常強大的實用工具甚至可以顯示每個進程的所有者。

Process Monitor
v2.8（2009 年 11 月 3 日）
實時監視檔案系統、註冊表、進程、執行緒和 DLL 活動。

ProcFeatures
v1.10（2006 年 11 月 1 日）
這一小程式會報告處理器和 Windows 對“物理地址擴展”和“無執行”緩衝區溢出保護的支持情況。

PsExec
v1.97（2009 年 12 月 1 日）
在遠程系統上執行進程。

PsFile
v1.02（2006 年 12 月 4 日）
查看遠程打開的檔案。

PsGetSid
v1.43（2006 年 12 月 4 日）
顯示計算機或用戶的 SID。

PsInfo
v1.75（2007 年 7 月 9 日）
獲取有關係統的信息。

PsKill
v1.13（2009 年 12 月 1 日）
終止本地或遠程進程。

PsList
v1.28（2006 年 12 月 4 日）
顯示有關進程和執行緒的信息。

PsLoggedOn
v1.33（2006 年 12 月 4 日）
顯示登錄到某個系統的用戶。

PsLogList
v2.7（2009 年 5 月 7 日）
轉儲事件日誌記錄。

PsPasswd
v1.22（2006 年 12 月 4 日）
更改帳戶密碼。

PsService
v2.22（2008 年 1 月 11 日）
查看和控制服務。

PsShutdown
v2.52（2006 年 12 月 4 日）
關閉並重新啟動（可選）計算機。

PsSuspend
v1.06（2006 年 12 月 4 日）
掛起和繼續進程。

PsTools
（2009 年 7 月 1 日）
PsTools 套件包括一些命令行程式，可列出本地或遠程計算機上運行的進程、遠程運行進程、重新啟動計算機、轉儲事件日誌，以及執行其他任務。

RegDelNull
v1.10（2006 年 11 月 1 日）
掃描並刪除包含嵌入空字元的註冊表項，標準註冊表編輯工具不能刪除這種註冊表項。

RegJump
v1.01（2006 年 11 月 1 日）
跳至 Regedit 中指定的註冊表路徑。

RootkitRevealer
v1.71（2006 年 11 月 1 日）
掃描系統以找出基於 Rootkit 的惡意軟體。

SDelete
v1.51（2006 年 11 月 1 日）
安全地覆蓋敏感檔案，並使用此符合 DoD 的安全刪除程式清理先前刪除檔案所在的可用空間。

ShareEnum
v1.6（2006 年 11 月 1 日）
掃描網路上的檔案共享並查看其安全設定，以關閉安全漏洞。

ShellRunas
v1.01（2008 年 2 月 28 日）
通過方便的 shell 上下文選單項，作為另一個用戶啟動程式。

Sigcheck
v1.65（2010 年 1 月 19 日）
轉儲檔案版本信息並檢查系統中的映像是否已進行數字簽名。

Streams
v1.56（2007 年 4 月 27 日）
顯示 NTFS 備用數據流。

Strings
v2.41（2009 年 3 月 2 日）
在二進制映像中搜尋 ANSI 和 UNICODE 字元串。

Sync
v2.0（2006 年 11 月 1 日）
將快取數據刷新到磁碟。

TCPView
v2.54（2009 年 3 月 17 日）
活動套接字命令行查看器。

VMMap
v2.5（2009 年 12 月 1 日）
VMMap 是進程虛擬和物理記憶體分析實用工具。

VolumeId
v2.0（2006 年 11 月 1 日）
設定 FAT 或 NTFS 驅動器的卷 ID。

Whois
v1.01（2006 年 11 月 1 日）
查看 Internet 地址的所有者。

WinObj
v2.15（2006 年 11 月 1 日）
基本對象管理器命名空間查看器。

ZoomIt
v4.1（2009 年 10 月 21 日）
在螢幕上進行縮放和繪圖的演示實用工具。

不像其他的虛擬桌面實用工具，實現其桌面顯示的視窗在桌面上是活躍的，而隱藏其餘Sysinternals桌上型電腦使用Windows桌面對象，為每個桌面。在創建時綁定應用程式視窗到桌面的對象，所以Windows維護視窗和桌面之間的連線和，知道哪些表明，當您切換桌面。這使Sysinternals桌上型電腦非常輕巧和免費的錯誤，他們認為活動視窗變得不可見視窗的另一種方法是容易的。

台式機的依賴意味著它不能提供一些其他虛擬桌面實用程式的功能，但是Windows桌面上的對象。例如，Windows並沒有提供一種方式，一個視窗移動到另一個從一個桌面對象，因為一個獨立的Explorer進程必須運行在每個桌面上的系統列和開始選單提供，大部分的托盤上唯一可見的國內第一款桌面應用程式。另外，沒有辦法刪除桌面對象，所以台式機不提供一種方式來關閉一個桌面，因為那樣會導致在孤立的視窗和進程。推薦的方式退出桌面註銷。

Unlike other virtual desktop utilities that implement their desktops by showing the windows that are active on a desktop and hiding the rest, Sysinternals Desktops uses a Windows desktop object for each desktop. Application windows are bound to a desktop object when they are created, so Windows maintains the connection between windows and desktops and knows which ones to show when you switch a desktop. That making Sysinternals Desktops very lightweight and free from bugs that the other approach is prone to where their view of active windows becomes inconsistent with the visible windows.

Desktops reliance on Windows desktop objects means that it cannot provide some of the functionality of other virtual desktop utilities, however. For example, Windows doesn't provide a way to move a window from one desktop object to another, and because a separate Explorer process must run on each desktop to provide a taskbar and start menu, most tray applications are only visible on the first desktop. Further, there is no way to delete a desktop object, so Desktops does not provide a way to close a desktop, because that would result in orphaned windows and processes. The recommended way to exit Desktops is therefore to logoff.

雖然基於Windows NT的系統採用靈活的安全模型允許完全控制安全性和檔案的許可權，管理許可權，使用戶有適當的訪問檔案，目錄和註冊表項可能很困難。有沒有內置的方式快速查看用戶訪問目錄或鑰匙的樹。 AccessEnum為您提供了一個完整的視圖您的檔案系統和註冊表安全設定，在幾秒鐘內，它的理想工具幫助您安全漏洞，並在必要的情況下鎖定許可權。

While the flexible security model employed by Windows NT-based systems allows full control over security and file permissions, managing permissions so that users have appropriate access to files, directories and Registry keys can be difficult. There's no built-in way to quickly view user accesses to a tree of directories or keys. AccessEnum gives you a full view of your file system and Registry security settings in seconds, making it the ideal tool for helping you for security holes and lock down permissions where necessary.

您是否曾經想要了解某個程式打開了哪個特定檔案或目錄？現在您可以找到答案了。 Process Explorer 可顯示有關進程已打開或載入哪些句柄和 DLL 的信息。

Process Explorer 的顯示由兩個子視窗組成。頂部視窗總是顯示當前活動進程的列表（包括擁有它們的帳戶的名稱），而底部視窗中顯示的信息取決於 Process Explorer 所處的模式：如果它處於句柄模式下，則可以看到頂部視窗中的所選進程打開的句柄；如果 Process Explorer 處於 DLL 模式下，則可以看到相應進程已經載入的 DLL 和記憶體映射檔案。Process Explorer 還具有強大的搜尋功能，可以快速顯示哪些進程打開了哪些特定句柄或載入了哪些特定 DLL。

Process Explorer 的獨特功能使其可用於跟蹤 DLL 版本問題或句柄泄漏問題，還可以讓用戶深入了解 Windows 和應用程式的工作方式。

Process Explorer 可以在 Windows 9x/Me、Windows NT 4.0、Windows 2000、Windows XP、Server 2003、64 位版本的 Windows（用於 x64 和 IA64 處理器）和 Windows Vista 上運行。

用法：PROCDUMP [-64] [-C的CPU使用率] [-U] [-S秒]] [-n超過] [-E [1] [-B] [-F過濾器] [-G]] [ -H] [-L] [-M提交用法] [-MA |-MP] [-O] [-P計數器閾值] [-R] [-T] [-D <callback DLL>] <[-W ] <進程名稱或PID> [轉儲檔案] |我<dump> |-X <dump FILE> <image> [參數]> [ - ？ [-E]

-64默認PROCDUMP將捕捉一個32位的64位Windows上運行時，一個32位的進程轉儲。此選項將覆蓋創建一個64位轉儲。

-B治療調試斷點異常（否則忽略）。

-C CPU閾值在創建轉儲過程。

-D調用指定的DLL名為MiniDumpCallbackRoutine的轉儲回調例程。

-E時寫轉儲過程中遇到未處理的異常。包括：1，第一次機會異常創建轉儲。

-F過濾的第一次機會異常。支持通配符（*）。要傾倒的名字，而不只是顯示，使用空白（“”）濾波器。

-G僅在管理的過程中捕獲本機異常（互操作）。

-H寫轉儲，如果過程中有懸窗（不回響視窗訊息至少5秒鐘）。

-i安裝PROCDUMP的作為AEDebug檔案事後調試。 -MA-MP-D支持選項。

-l顯示的調試字元串記錄的過程中。

-M記憶體提交閾值以MB為單位，在創建轉儲過程。

-MA寫的所有進程的記憶體轉儲檔案。預設轉儲格式只包括執行緒和處理信息。

-MP寫執行緒和處理信息，所有的讀/寫進程記憶體轉儲檔案。為了最大限度地減少轉儲大小，大於512MB的記憶體區域搜尋，如果發現，最大的區域被排除在外。記憶體區域是相同大小的記憶體分配領域的集合。去除（高速快取）記憶體減少了超過90%的Exchange和SQL Server轉儲。

-N號碼寫在退出之前轉儲。

-o覆蓋現有的轉儲檔案。

-P指定的性能計數器超過閾值時觸發。註：指定進程計數器，當有多個實例運行的進程，使用進程ID的語法如下：“\過程（<NAME> _ <PID>）\計數器”

-R反映（克隆）轉儲，以最少的時間進程被掛起（Windows 7和更高版本）的過程。

-S連續秒前轉儲寫入（默認為10）。

-T寫轉儲當進程終止。

你對相對單核心的CPU使用率。

-w等待指定的進程啟動，如果它沒有運行。

-X啟動與可選的參數指定的圖像。如果它是一個現代的應用程式或包裝，PROCDUMP將開始下一次激活（只）。

- ？使用 - ？ -E例如命令行。

如果你省略轉儲檔案的名稱，它默認為<processname>的_ <日期時間>。DMP。

使用ACCEPTEULA命令行選項來自動接受Sysinternals的許可協定。

示例

寫一個小型轉儲名為'記事本'（只有一個匹配，可以存在）的過程：

C：\> PROCDUMP記事本

寫一個完整的轉儲過程與PID '4572'：

C：\ PROCDUMP-MA 4572

寫3個小型轉儲5秒名為“記事本”的過程：

C：\> PROCDUMP-5-N 3記事本

寫一個名為“'消費'，當它超過20%的CPU使用率五秒鐘的過程長達3個小型轉儲：

C：\> PROCDUMP-C 20-5-N消耗

編寫小型轉儲名為'hang.exe'，當它的Windows是超過5秒沒有反應過程：

C：\> PROCDUMP-H hang.exe hungwindow.dmp

寫一個小型轉儲名為“展望”時，整個系統的CPU使用率超過20%，持續10秒的一個過程：

C：\> PROCDUMP前景-P“\處理器（_Total）\%處理器時間”20

寫一個名為“展望”的過程，當Outlook的手柄計數超過10,000完全轉儲：

C：\> PROCDUMP馬展望-P“\程式（如Outlook）\句柄計數”10000

寫MiniPlus Microsoft Exchange信息存儲轉儲時，它有一個未處理的異常：

C：\> PROCDUMP-MP-E STORE.EXE

顯示不寫轉儲，w3wp.exe的異常代碼/名稱：

C：\> PROCDUMP-E 1-F“w3wp.exe的

寫一個小型轉儲程式w3wp.exe如果異常的代碼/名稱中包含“NOTFOUND”：

C：\> PROCDUMP-E-F NOTFOUND程式w3wp.exe

啟動一個進程，然後監視它的例外情況：

C：\> PROCDUMP-E 1-F“”-X C：\轉儲consume.exe

註冊發射，並嘗試激活，一個現代化的'套用'。一個新的PROCDUMP實例啟動時激活監測異常：

C：\> PROCDUMP-E 1-F“

XC：\的轉儲Microsoft.BingMaps_8wekyb3d8bbwe！AppexMaps

註冊一個現代的“一攬子”的推出。一個新的PROCDUMP實例將啟動，當它被激活（手動）監測異常：

C：\> PROCDUMP-E 1-F“

XC：\轉儲Microsoft.BingMaps_1.2.0.136_x64__8wekyb3d8bbwe

註冊成為剛剛在的時間（AEDebug檔案）調試。充分轉儲在c：\轉儲。

C：\> PROCDUMP-MA-I C：\轉儲

看到一個列表，例如命令行（例子上面列出）：

C：\> PROCDUMP - ？ -E

相關連結

Windows內部書

官方更新和勘誤表Windows內部的權威書籍，由Mark Russinovich和David所羅門。

的Windows Sysinternals的管理員參考

Sysinternals的公用事業由Mark Russinovich和亞倫Margosis的的，包括描述的所有工具，其功能，如何使用它們進行故障排除，例如真實世界的情況下，其使用的官方指南。

usage: procdump [-64] [[-c CPU usage] [-u] [-s seconds]] [-n exceeds] [-e [1 [-b] [-f filter] [-g]]] [-h] [-l] [-m commit usage] [-ma | -mp] [-o] [-p counter threshold] [-r] [-t] [-d <callback DLL>] <[-w] <process name or PID> [dump file] | -i <dump file> |-x <dump file> <image file> [arguments]> [-? [ -e]]

-64By default ProcDump will capture a 32-bit dump of a 32-bit process when running on 64-bit Windows. This option overrides to create a 64-bit dump.

-bTreat debug breakpoints as exceptions (otherwise ignore them).

-cCPU threshold at which to create a dump of the process.

-dInvoke the minidump callback routine named MiniDumpCallbackRoutine of the specified DLL.

-eWrite a dump when the process encounters an unhandled exception. Include the 1 to create dump on first chance exceptions.

-fFilter the first chance exceptions. Wildcards (*) are supported. To just display the names without dumping, use a blank ("") filter.

-gOnly capture native exceptions in a managed process (no interop).

-hWrite dump if process has a hung window (does not respond to window messages for at least 5 seconds).

-iInstall ProcDump as the AeDebug postmortem debugger. Only -ma, -mp and -d are supported as options.

-lDisplay the debug string logging of the process.

-mMemory commit threshold in MB at which to create a dump of the process.

-maWrite a dump file with all process memory. The default dump format only includes thread and handle information.

-mpWrite a dump file with thread and handle information, and all read/write process memory. To minimize dump size, memory areas larger than 512MB are searched for, and if found, the largest area is excluded. A memory area is the collection of same sized memory allocation areas. The removal of this (cache) memory reduces Exchange and SQL Server dumps by over 90%.

-nNumber of dumps to write before exiting.

-oOverwrite an existing dump file.

-pTrigger on the specified performance counter when the threshold is exceeded. Note: to specify a process counter when there are multiple instances of the process running, use the process ID with the following syntax: "\Process(<name>_<pid>)\counter"

-rReflect (clone) the process for the dump to minimize the time the process is suspended (Windows 7 and higher only).

-sConsecutive seconds before dump is written (default is 10).

-tWrite a dump when the process terminates.

-uTreat CPU usage relative to a single core.

-wWait for the specified process to launch if it's not running.

-xLaunch the specified image with optional arguments. If it is a Modern Application or Package, ProcDump will start on the next activation (only).

-?Use -? -e to see example command lines.

If you omit the dump file name, it defaults to <processname>_<datetime>.dmp.

Use the -accepteula command line option to automatically accept the Sysinternals license agreement.

Examples

Write a mini dump of a process named 'notepad' (only one match can exist):

C:\>procdump notepad

Write a full dump of a process with PID '4572':

C:\>procdump -ma 4572

Write 3 mini dumps 5 seconds apart of a process named 'notepad':

C:\>procdump -s 5 -n 3 notepad

Write up to 3 mini dumps of a process named 'consume' when it exceeds 20% CPU usage for five seconds:

C:\>procdump -c 20 -s 5 -n 3 consume

Write a mini dump for a process named 'hang.exe' when one of it's Windows is unresponsive for more than 5 seconds:

C:\>procdump -h hang.exe hungwindow.dmp

Write a mini dump of a process named 'outlook' when total system CPU usage exceeds 20% for 10 seconds:

C:\>procdump outlook -p "\Processor(_Total)\% Processor Time" 20

Write a full dump of a process named 'outlook' when Outlook's handle count exceeds 10,000:

C:\>procdump -ma outlook -p "\Process(Outlook)\Handle Count" 10000

Write a MiniPlus dump of the Microsoft Exchange Information Store when it has an unhandled exception:

C:\>procdump -mp -e store.exe

Display without writing a dump, the exception codes/names of w3wp.exe:

C:\>procdump -e 1 -f "" w3wp.exe

Write a mini dump of w3wp.exe if an exception's code/name contains 'NotFound':

C:\>procdump -e 1 -f NotFound w3wp.exe

Launch a process and then monitor it for exceptions:

C:\>procdump -e 1 -f "" -x c:\dumps consume.exe

Register for launch, and attempt to activate, a modern 'application'. A new ProcDump instance will start when it activated to monitor for exceptions:

C:\>procdump -e 1 -f ""

-x c:\dumps Microsoft.BingMaps_8wekyb3d8bbwe!AppexMaps

Register for launch of a modern 'package'. A new ProcDump instance will start when it is (manually) activated to monitor for exceptions:

C:\>procdump -e 1 -f ""

-x c:\dumps Microsoft.BingMaps_1.2.0.136_x64__8wekyb3d8bbwe

Register as the Just-in-Time (AeDebug) debugger. Makes full dumps in c:\dumps.

C:\>procdump -ma -i c:\dumps

See a list of example command lines (the examples are listed above):

C:\>procdump -? -e

Related Links

Windows Internals Book

The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon.

Windows Sysinternals Administrator's Reference

The official guide to the Sysinternals utilities by Mark Russinovich and Aaron Margosis, including descriptions of all the tools, their features, how to use them for troubleshooting, and example real-world cases of their use.

在NT世界最可怕的顏色是藍色的。臭名昭著的藍屏當機（BSOD），會彈出一個NT系統上，每當出了可怕的錯誤。藍屏是一個螢幕保護程式不僅能真實地模仿一個BSOD，但將模擬系統引導過程中看到啟動畫面。

NT 4.0上安裝它模擬CHKDSK磁碟驅動器的錯誤！

Win2K和Windows 9x中，它提出了WIN2K啟動閃屏，旋轉進度樂隊和進度控制更新完成！

在Windows XP和Windows Server2003在XP/ Server 2003的啟動畫面中的進度條！

不同的藍色螢幕和模擬的靴子每15秒左右的的藍屏周期之間。幾乎所有的，藍屏藍屏和系統啟動時螢幕上顯示的信息是從您的系統配置 - 其準確性能騙過甚至先進NT開發。例如，NT內部版本號，處理器修改，載入的驅動程式和地址，磁碟驅動器特性，記憶體大小都取自系統藍屏上運行。

使用藍屏戲弄你的朋友，嚇跑你的敵人！

One of the most feared colors in the NT world is blue. The infamous Blue Screen of Death (BSOD) will pop up on an NT system whenever something has gone terribly wrong. Bluescreen is a screen saver that not only authentically mimics a BSOD, but will simulate startup screens seen during a system boot.

On NT 4.0 installations it simulates chkdsk of disk drives with errors!

On Win2K and Windows 9x it presents the Win2K startup splash screen, complete with rotating progress band and progress control updates!

On Windows XP and Windows Server 2003 it presents the XP/Server 2003 startup splash screen with progress bar!

Bluescreen cycles between different Blue Screens and simulated boots every 15 seconds or so. Virtually all the information shown on Bluescreen's BSOD and system start screen is obtained from your system configuration - its accuracy will fool even advanced NT developers. For example, the NT build number, processor revision, loaded drivers and addresses, disk drive characteristics, and memory size are all taken from the system Bluescreen is running on.

Use Bluescreen to amaze your friends and scare your enemies!

Sysinternals Suite中我們都遇到過此類問題，看起來是一個簡單的修復或者維護操作，卻被一個意外的安全限制問題所制止。AccessChk工具可以幫助你定位有效的許可權。
這個工具適用於Sysinternals Suite檔案、資料夾、註冊鍵、Windows服務和全局對象。AccessChk也用於幫助驗證系統資源能夠獲得適當的Sysinternals Suite安全級別。

Sysinternals Suite最令人沮喪的一個經歷就是終端用戶由於Windows系統提示檔案Sysinternals Suite正在被使用而不能保存、移動或者重命名這個檔案。Handle工具Sysinternals Suite能夠顯示任何系統處理進程的開放式處理信息（現在Handle的版本為4.0）。也就是說，你可以使用Handle工具來判斷哪個程式在開啟狀態下鎖定了這個檔案。

Process Explorer是一個很好的Sysinternals Suite工具，它可以跟蹤任何Sysinternals Suite系統的性能問題。它會顯示系統上運行的所有進程,以及每個進程的CPU和記憶體使用情況。
儘管一些Sysinternals Suite工具可以快速定位出Windows Task Manager提供的相似功能，但是Process Explorer可以提供遠遠超出這些TSysinternals Suite的功能。實際上，Process Explorer包含了一個允許你使用Process Explorer代替Sysinternals Suite的選單選項。
Process Explorer有很多關於Sysinternals Suite系統進程運行的信息。除了Sysinternals Suite基礎資源信息統計，軟體還會列出供應商的名字，例如一個進程具體Sysinternals Suite的創建過程和（通常性的）很詳細的描述。
樹狀圖顯示了每個流程的依賴關係，滑鼠指針略過的進程顯示信息如同使用命令行執行這個進程一樣，進程執行的路徑和系統服務相關的進程。
Process Explorer可以通過驗證圖像簽名Sysinternals Suite和通過VirusTotal.com檢測進程是否和病毒相關的進程來幫助檢測惡意軟體。
除此之外，這個軟體可以終止、中斷或者重啟一個Sysinternals Suite進程，並調整進程的優先權，以及其他功能。

PsTools是一個用於Sysinternals Suite診斷目的的一組包含了13種命令行的Sysinternals Suite工具。例如，PsInfo命令可以提供一些基礎信息，例如Windows Sysinternals Suite版本、Sysinternals Suite系統運行時間、Sysinternals Suite核心編譯編號、Sysinternals Suite處理器類型和系統中可用的記憶體量。
無論如何，PsInfo工具在相關記憶體報告上可能會存在一個缺陷。例如我的電腦有16G的物理記憶體，但是這個工具給予的報告會少於2GB的記憶體。
Sysinternals SuitePsTools包括如下工具:
PsExec：遠程執行流程
PsFile：顯示遠程打開的檔案
PsGetSid：顯示計算機的SID
PsPing：衡量網路性能
PsInfo：顯示系統的相關基礎信息
PsKill：終止正在運行的進程
PsList：列出相關正在運行進程的詳細信息
PsLoggedOn：顯示誰登入了系統，包括本地賬戶和通過網路共享的用戶
PsLogList：截取事件日誌記錄
PsPassword：更改賬戶密碼
DumpPsService：用於訪問和控制系統服務的命令行工具
PsShutdown：強制重啟或關機系統
PsSuspend：暫停正在運行的進程
所有的Sysinternals SuitePsTools功能都存在PowerShell中，但是這裡有幾個關於使用Sysinternals Suite PsTools的建議。首先，Sysinternals Suite可以交叉的在不同OS版本中使用，包括Windows XP、Windows Server 2003以及更高的版本。其次，Sysinternals SuitePsTools包含的這些工具往往比一些PowerShell命令更容易使用。

Sysinternals SuiteTCPView是一個很好的網路故障排錯工具。它可以實時的顯示系統中進程的網路堆疊使用視圖。對於每一個進程，你可以查看Sysinternals Suite進程ID、Sysinternals Suite協定、Sysinternals Suite本地地址和Sysinternals Suite本地連線埠號、Sysinternals Suite遠程地址和Sysinternals Suite遠程連線埠號。管理員也可以查看狀態，傳送數據包的數量，傳送數據位元組的數量，接收數據包的數量和接收到的位元組數量。
儘管Sysinternals Suite這些信息對於它本身是非常有幫助的，但是Sysinternals Suite其他一些功能使TCPView更加的有用。第一點，這個工具可以在任意給定時間時刻，醒目的顯示網路中哪些進程正在運行。
這個Sysinternals Suite工具也允許你查看每一個進程的屬性（比如底層執行檔），並且你可以使用雙擊動作來終止一個進程或者關閉網路連線。這個Sysinternals Suite實用工具甚至包括一個功能，它可以幫助你確定一個未知的身份連線。
為了Sysinternals Suite有效的對系統排錯，你必須需要精確的Sysinternals Suite診斷信息。儘管TCPview的診斷信息可以在其它領域的OS上顯示出來，但是如果你被分配了Sysinternals Suite問題診斷的工作，那么在螢幕上顯示這些信息可以大量的節約時間。
還有許多其他優秀的Sysinternals Suite，包括Active Directory Explorer、BgInfo和Process Monitor，你甚至可以下載整個軟體套件包。