Windows Sysinternals實戰指南

《Windows Sysinternals實戰指南》是人民郵電出版社出版的一本圖書。

Windows Sysinternals工具已被很多IT專家和高 級用戶用作在Windows平台上進行問題診斷和排錯，以及深入理解Windows系統的全功能“瑞士軍刀”。這本由Sysinternals創始人Mark Russinovich與Windows專家Aaron Margosis聯手編著的實戰指南圖書詳細介紹了Sysinternals每款工具的獨到功能，並用較多篇幅深入介紹了如何通過幾款重量級工具最佳化Windows系統的可靠性、執行效率、性能以及安全性。

第 1部分 入門

第 1章 Sysinternals工具入門 3

工具概述 3

Windows Sysinternals網站 6

下載工具 6

直接通過網路運行工具 8

單一可執行映像 9

Windows Sysinternals論壇 9

Windows Sysinternals網站部落格 10

Mark的部落格 10

Mark的網路廣播 11

Sysinternals許可信息 11

**終用戶許可協定以及/accepteula參數 11

有關Sysinternals許可的常見問題 12

第 2章 Windows核心概念 13

管理權利 14

進程、執行緒和作業 16

用戶模式和核心模式 17

句柄 18

應用程式隔離 19

套用容器 20

受保護進程 24

調用棧和符號 26

調用棧是什麼？ 26

符號是什麼？ 27

符號的配置 29

會話、視窗站、桌面和視窗訊息 30

遠程桌面服務會話 31

視窗站 32

桌面 33

視窗訊息 34

第3章 Process Explorer 36

Procexp概述 36

度量CPU的使用情況 38

管理權利 39

主視窗 40

進程列表 40

定製可顯示的列 49

保存顯示的數據 60

工具列參考 60

找出視窗對應的進程 61

狀態欄 62

DLL和句柄 63

查找DLL或句柄 63

DLL視圖 64

句柄視圖 67

進程詳情 71

Image選項卡 71

Performance選項卡 73

Performance Graph選項卡 74

GPU Graph選項卡 74

Threads選項卡 75

TCP/IP選項卡 75

Security選項卡 76

Environment選項卡 77

Strings選項卡 78

Services選項卡 79

.NET選項卡 79

Job選項卡 80

執行緒詳情 81

驗證映像簽名 83

VirusTotal分析 84

系統信息 86

CPU選項卡 88

Memory（記憶體）選項卡 88

I/O選項卡 89

GPU選項卡 89

顯示選項 91

用Procexp取代任務管理器 92

通過Procexp啟動進程 93

其他用戶的會話 93

其他功能 93

關機選項 93

命令行參數 94

恢復Procexp的默認值 94

鍵盤快捷鍵參考 94

第4章 Autoruns 95

Autoruns基礎知識 96

禁用或刪除自動啟動項 98

Autoruns和管理權利 99

驗證代碼簽名 99

VirusTotal分析 100

隱藏自動啟動項 101

進一步了解某個自動啟動項 103

查看其他用戶的自動啟動項 104

查看脫機系統的ASEP 104

更改字型 105

不同類型的自動啟動 105

Logon 105

Explorer 107

Internet Explorer 109

Scheduled Tasks 109

Services 110

Drivers 110

Codecs 111

Boot Execute 111

Image hijacks 112

AppInit 113

KnownDLLs 113

Winlogon 114

Winsock Providers 114

Print monitors 115

LSA providers 115

Network providers 116

WMI 116

Sidebar gadgets 116

Office 116

保存並對比結果 117

保存為制表符分隔的文本 117

保存為二進制（.arn）格式 118

查看並對比保存的結果 118

AutorunsC 118

Autoruns和惡意軟體 121

第 2部分 使用指導

第5章 Process Monitor 125

Procmon概述 126

事件 127

理解默認顯示的列 128

定製要顯示的列 130

事件屬性對話框 132

查看Profiling事件 135

查找事件 137

複製事件數據 137

跳轉到註冊表或檔案位置 138

在線上搜尋 138

篩選、強調和收藏 138

配置篩選器 139

配置強調 141

收藏 141

高 級輸出 142

保存篩選器以待後用 143

進程樹 143

保存並打開Procmon的追蹤記錄 145

保存Procmon的追蹤記錄 145

Procmon的XML架構 147

打開保存的Procmon追蹤記錄 149

記錄啟動、註銷後及關機活動 150

記錄啟動過程 150

讓Procmon在賬戶註銷後繼續運行 151

長時間運行追蹤以及日誌檔案體積的控制 152

丟棄篩選掉的事件 152

歷史深度 153

備份檔案 153

配置設定的導入和導出 154

Procmon的自動化操作：命令行選項 154

分析工具 156

Process Activity Summary 157

File Summary 157

Registry Summary 159

Stack Summary 160

Network Summary 161

Cross Reference Summary 161

Count Occurrences 161

將自定義調試輸出注入Procmon追蹤 162

工具列參考 163

第6章 ProcDump 165

命令行語法 167

指定要監視的進程 168

附加到現有進程 169

啟動目標進程 170

監視通用Windows平台應用程式 170

通過AeDebug註冊自動啟用調試 172

指定轉儲檔案路徑 173

指定創建轉儲的條件 174

監視異常 178

轉儲檔案選項 179

Miniplus轉儲 181

ProcDump和Procmon：配合使用效果更好 183

以非互動方式運行ProcDump 185

在調試器中查看轉儲 185

第7章 PsTools 187

通用功能 188

遠程操作 188

遠程PsTools連線排錯 190

PsExec 191

遠程進程的退出 192

重定向控制台輸出 193

PsExec的備用憑據 194

PsExec的命令行選項 194

進程性能選項 195

遠程連線選項 196

運行時環境選項 196

PsFile 199

PsGetSid 200

PsInfo 201

PsKill 203

PsList 204

PsLoggedOn 205

PsLogList 206

PsPasswd 210

PsService 211

Query 211

Config 213

Depend 214

Security 214

Find 215

SetConfig 215

啟動、停止、重啟動、暫停、恢復 215

PsShutdown 215

PsSuspend 218

PsTools的命令行語法 218

PsExec 218

PsFile 219

PsGetSid 219

PsInfo 219

PsKill 219

PsList 219

PsLoggedOn 219

PsLogList 219

PsPasswd 219

PsService 219

PsShutdown 220

PsSuspend 220

PsTools系統要求 220

第8章 進程和診斷工具 221

VMMap 221

啟動VMMap並選擇進程 222

VMMap視窗 224

記憶體類型 225

記憶體信息 226

時間線和快照 227

查看記憶體區域中包含的文本 229

查找並複製文本 229

查看已安排進程的分配 229

地址空間碎片 232

保存並載入快照結果 233

VMMap的命令行選項 233

恢復VMMap的默認值 234

DebugView 234

調試輸出是什麼？ 234

DebugView顯示的內容 235

捕獲用戶模式的調試輸出 237

捕獲核心模式調試輸出 237

輸出結果的搜尋、篩選和強調 238

保存、日誌和列印 241

遠程監視 242

LiveKd 244

LiveKd的前提需求 245

運行LiveKd 245

核心調試器的目標類型 246

輸出到調試器或轉儲檔案 247

內容轉儲 248

Hyper-V來賓調試 249

符號 249

LiveKd使用範例 250

ListDLLs 251

Handle 254

顯示和搜尋句柄 255

句柄數 257

關閉句柄 258

第9章 安全工具 259

SigCheck 259

指定要掃描的檔案 262

簽名驗證 263

VirusTotal分析 265

有關檔案的其他信息 267

輸出格式 268

雜項 269

AccessChk 270

“有效許可權”是什麼？ 271

AccessChk的使用 271

對象類型 273

搜尋訪問權利 276

輸出選項 277

Sysmon 279

Sysmon可記錄的事件 280

Sysmon的安裝和配置 287

提取Sysmon事件數據 291

AccessEnum 293

ShareEnum 295

ShellRunAs 296

Autologon 297

LogonSessions 298

SDelete 301

SDelete的使用 302

SDelete的工作原理 302

第 10章 Active Directory工具 304

AdExplorer 304

連線到域 304

AdExplorer顯示的內容 305

對象 306

特性 307

搜尋 308

快照 309

AdExplorer的配置 310

AdInsight 310

AdInsight的數據捕獲 311

顯示選項 313

查找感興趣的信息 314

篩選結果 316

保存和導出AdInsight的數據 317

命令行選項 318

AdRestore 319

第 11章 桌面工具 320

BgInfo 320

配置要顯示的數據 321

外觀選項 324

保存BgInfo配置以供後用 325

其他輸出選項 325

更新其他桌面 327

Desktops 327

ZoomIt 329

ZoomIt的使用 329

放大模式 330

繪圖模式 330

鍵入模式 331

休息計時器 331

LiveZoom 331

第 12章 檔案工具 333

Strings 333

Streams 334

NTFS連結工具 335

Junction 336

FindLinks 338

Disk Usage (DU) 338

重啟後檔案操作工具 341

PendMoves 341

MoveFile 341

第 13章 磁碟工具 343

Disk2Vhd 343

Sync 349

DiskView 350

Contig 352

整理現有檔案的碎片 353

分析現有檔案的碎片化程度 354

分析可用空間的碎片程度 355

創建連續的檔案 355

DiskExt 356

LDMDump 357

VolumeID 359

第 14章 網路和通信工具 360

PsPing 360

ICMP Ping 361

TCP Ping 362

PsPing伺服器模式 363

TCP/UDP延遲測試 364

TCP/UDP頻寬測試 366

PsPing直方圖 367

TCPView 368

Whois 369

第 15章 系統信息工具 371

RAMMap 371

Use Counts 372

Processes 374

Priority Summary 374

Physical Pages 375

Physical Ranges 376

File Summary 376

File Details 377

清理物理記憶體 378

保存和載入快照 378

Registry Usage（RU） 379

CoreInfo 381

-c：有關核心的信息 382

-f：核心功能信息 382

-g：有關處理器組的信息 384

-l：有關快取的信息 384

-m：NUMA訪問成本 385

-n：有關NUMA節點的信息 386

-s：有關插槽的信息 386

-v：與虛擬化有關的功能 386

WinObj 386

LoadOrder 388

PipeList 389

ClockRes 390

第 16章 其他工具 391

RegJump 391

Hex2Dec 392

RegDelNull 392

Bluescreen Screen Saver 393

Ctrl2Cap 394

第3部分 排錯——“難解之謎”

第 17章 錯誤信息 397

錯誤信息排錯 397

案例：資料夾被鎖定 399

案例：檔案正在使用中錯誤 400

案例：照片查看器的未知錯誤 401

案例：ActiveX註冊失敗 402

案例：“播放到”失敗 404

案例：安裝失敗 404

排錯 405

具體分析 407

案例：不可讀取的文本檔案 409

案例：資料夾關聯丟失 410

案例：臨時註冊表配置檔案 412

案例：Office RMS錯誤 416

案例：林功能級別提升失敗 417

第 18章 崩潰 419

崩潰故障的排錯 419

案例：反病毒軟體更新失敗 422

案例：Proksi工具的崩潰 423

案例：網路位置感知服務的故障 424

案例：EMET升級失敗 425

案例：崩潰轉儲丟失 426

案例：無規律卡頓 427

第 19章 掛起和性能遲鈍 429

掛起和性能遲鈍問題的排錯 429

案例：IExplore耗盡CPU 431

案例：失控的網站 432

案例：ReadyBoost造成的問題 434

案例：筆記本藍光播放器卡頓 436

案例：公司區域網路長達15分鐘的登錄 438

案例：PayPal郵件掛起 439

案例：財務軟體掛起 441

案例：緩慢的主題演講演示 442

案例：Project檔案打開緩慢 446

複合案例：Outlook掛起 450

第 20章 惡意軟體 455

惡意軟體排錯 456

Stuxnet（震網） 458

惡意軟體和Sysinternals工具 459

Stuxnet的傳播介質 459

Windows XP上的Stuxnet 460

深入調查 463

通過篩選查找相關事件 463

Stuxnet對系統的改動 465

.PNF檔案 469

Windows 7中的特權提升 471

藉助Sysinternals工具發現的Stuxnet 473

案例：奇怪的重啟動 474

案例：假冒的Java更新程式 477

案例：Winwebsec恐嚇軟體 480

案例：失控的GPU 487

案例：莫名其妙的FTP連線 488

案例：服務的錯誤配置 491

案例：阻止Sysinternals的惡意軟體 494

案例：殺進程的惡意軟體 496

案例：假冒系統組件 498

案例：神秘的ASEP 499

第 21章 理解系統行為 502

案例：Q:盤 502

案例：莫名其妙的網路連線 505

案例：短命的進程 506

案例：套用安裝記錄器 510

案例：未知的NTLM通信 516

第 22章 開發 者排錯 521

案例：被破壞的Kerberos委派 521

案例：ProcDump記憶體泄漏 522