Windows Sysinternals,微软骨灰级超强神器合集

作为市面上桌面操作系统市场份额占有第一的Windows,微软近些年不断听取用户建议,取长补短,经过多年的发展,版本数次更迭,功能越加完善,可以说是目前桌面最优秀的操作系统之一。

近些年,微软也逐渐拥抱开源,先是大手笔收购全球第一的开源平台Github,后又摒弃饱受诟病的IE浏览器,拥抱谷歌核心,更又针对WIndows 10推出了多款实用的增强小工具详见阿刚之前介绍过的《微软出的外挂小工具合集,有了它又可以少装几个工具了》,实际上除了这些工具之外,微软早年发布过一个功能强大的软件套件-Sysinternals。

Sysinternals,微软发布的超强绿色工具合集

Sysinternals早先是由国外Mark Russinovich开发(2006被微软收购),是套功能强大的Windows免费套件,主要帮助专业人士用于配置,优化,测试,检测操作系统,套件内含多个绿色小工具,涵盖了Windows系统中多个应用领域,目前主要包括:

  • 文件和磁盘工具
  • 网络工具
  • 进程工具
  • 安全工具
  • 系统信息工具
  • 其它类型工具

Windows Sysinternals

正是因为Sysinternals小工具的强大,微软才会收购,截至目前Sysinternals一直在维护更新,目前有将近100多个各式各样的小工具。下面阿刚挑几个我们可接触使用的工具。

Autoruns,揪出自启动的程序和服务的超牛利器

随系统自启动本是微软方便用户,让人无奈甚至愤慨的是不少应用程序毫无节制不经用户同意伪装成系统服务甚至使用映像劫持和 DLL 注入的方式强制自启动各类服务,这类行径早已屡见不鲜,不仅无耻更存在着安全隐患。

作为一般用户,如何能简单高效识别自启动项显然不是一件轻而易举之事。而微软的这款Autoruns自启动管理工具能帮助用户快速扫描系统自启动项,让伪装隐藏的各类自启程序、服务无所遁形。

Autoruns使用简单,程序启动后将自动扫描并罗列出当前系统上的自启动项,主要包括了计划任务、驱动程序、资源管理器、登陆等多个类目,可方便的切换至对应的选项卡查看类目下的启动项。一般来说,我们主要查看这些类目即可大致分析出自状况,为方便大家理解简单的说明下主要的类目。

  • 登陆:用户登录 Windows 时加载的启动项
  • 资源管理器:加载到资源管理器的一些条目
  • IE浏览器:挂载到随 IE 启动的一些条目
  • 计划任务:任务计划中的启动项
  • 服务:随系统启动的各类服务
  • Office:随 Microsoft Office 启动的条目、加载项

Autoruns启动后默认是罗列出了所有的启动项目,包括微软系统本身的启动项,这个在设置选项中可以隐藏关闭。大家可以根据需要分类查看,比如在登陆中,可以看到随系统登录后启动的程序。

Autoruns

Autoruns使用不同的颜色对扫描的启动项进行标记,其中粉红色表示该启动项对应的程序没有数字签名、签名无法验证,黄色泽表示该启动项对应的文件已不存在,通过颜色标记可以对启动项有个快速了解,方便我们定位有问题的启动项。

此外,对于具体的启动项你可以右键执行相关的操作,主要包括查找对应的注册表、跳转到文件所在路径、调用Process Explorer、以及谷歌在线搜索对应程序的信息、或者使用VirusTotal在线多杀软查毒,这些操作均是方便用户识别和判断启动项的程序信息。

Autoruns

对于我们不需要自启的的条目,只需取消勾选即可。如果是不存在的启动项,可以直接右键删除。这里特别要提醒的是,除非你完全知道某个启动项,否则一般只需禁用即可,不推荐删除以免造成系统或者软件崩溃。

总的来说,Autoruns功能相当强大,使用也简单,是目前自启动管理中最有效的工具之一,同时也是Sysinternals最出名的工具,非常值得使用。

Process Explorer,自带任务管理器的最佳替代品

Sysinternals套件中,鼎鼎大名的Process Explorer一直备受推崇,作为一款增强型的进程查看器,不仅使用简单,功能更加强大,它可显示有关进程的详细信息,包括其图标,命令行,完整映像路径,内存统计信息,用户帐户,安全属性等。甚至还能列出相关进程已加载的DLL或它已打开的操作系统资源句柄等。

作为一款进程管理器,Process Explorer的树形界面非常直观,能够条例清晰的罗列出各种进程以及相关父子进程关系。

Process Explorer

并且与上面的Autoruns一样,它也采用颜色标记相关进程信息,默认颜色代表如下:

Process Explorer

当然,你也可以选择是否启用颜色标记项,也可以根据自己的喜好自定义相关的颜色配置。总的来说,通过颜色就能判断此进程处于的状态和类型,是挂起还是正在退出,是服务进程还是普通进程,一目了然。

针对选中的进程,可执行停止、重启、挂起等常规操作,也可设置程序优先级以及使用virusTotal在线查毒等。而在属性栏中,则更进一步显示了进程的完整映像路径,资源占用,所属的用户帐户以及安全属性等。

Process Explorer

如果你是工程师,还能通过Process Explorer查看进程的DLLs,具体做法是视窗——>下拉窗口显示内容——>动态链接库。这一功能还是相当实用的,比如能查看程序是不是被DLLs注入。

Process Explorer

此外对于普通用户,Process Explorer内置了个进程查找器,通过鼠标移动到目标程序窗口就可以快速定位到相关进程,这个用来揪出不知名的广告弹窗程序相当有效,比如下图这样:

Process Explorer

总的来说Process Explorer用来查看进程以及相关的信息显得更加的专业和详细,即便是一般的用户也能直观的了解到进程,比Windows自带的要好用不少。

SDelete安全删除工具,让数据恢复软件去死吧

通常情况下,删除文件只需右键删除即可,即快速又方便。而且,这样的删除操作一般被删文件是回到了回收站中,若是误删还能还原。就算是一般所谓的彻底删除,通过数据恢复软件也可以轻松恢复。那么,如果想不可恢复式的彻底删除一个文件该如何操作呢。

Sysinternals中就内置了一个SDelete小工具,通过简单的命令就可以彻底删除文件。首先他是个命令行工具,使用前需要配置环境变量。

SDelete

方法很简单,比如:

sdelete64  阿刚的自拍.avi 直接删除此文件
sdelete64.exe -p 5 阿刚的自拍.avi 直接删除阿刚的自拍.avi文件,并且进行 5 次覆盖
sdelete64.exe -s E:\AV 删除 E:\AV以及子文件夹

删除的原理与大多数同类工具相同,比如在CCleaner中删除文件也有一个覆盖操作,都是通过删除后多次写入文件进行覆盖,已达到数据不可逆,更详细的原理微软在文档中有详细说明,阿刚这里就不赘述了。

SDelete-Gui,将SDelete集成在右键中

上面说了SDelete是个命令行工具,删东西就要速度快,让你来不及多想瞬间删除,命令行多麻烦呀。Github上有人专门为它写了个gui界面并且集成在了右键菜单中。

SDelete GUI

使用时,只需要设置一下复写的次数然后ENABLE按钮即可完成配置,当你要删除文件的的时候,直接右键选择Secure Delete,会弹出窗口显示你设置的复写次数,之后文件就彻底没了。

SDelete

注意了,执行这个操作是不可逆的,文件一旦被删就无法恢复,包括所谓的数据恢复软件也是回天乏力了,所以一定要慎用!

最后,SDelete这个工具似乎只对机械硬盘能起到彻底删除的作用,固态因原理不同可能无法奏效,阿刚没做过对比和测试,感兴趣的同学可以自己试一下子。

Process Monitor,监控进程都做了什么

Process Explorer是简单易用的任务进程管理器,能够帮助我们准确查看相关进程的信息,但要分析某个进程在系统中的所有操作,Process Monitor显然是最佳的选择。

Process Monitor是一款高级监视工具,它结合了两个旧的Sysinternals实用程序Filemon和Regmon的功能,并添加了更强大的增强功能,能够显示实时文件系统,注册表和进程/线程活动,可根据事件属性设定条件进行过滤,(例如会话ID和用户名),同时还具有集成符号支持的完整线程堆栈,对于每个操作,可同时记录到文件中。

Process Monitor

在使用管理员身份运行程序后,Process Monitor运行后会立即开始监视文件系统,注册表和进程,具体而言:

  • 文件系统:记录并显示所有Windows文件系统的活动,包括本地存储和远程文件系统。
  • 注册表:记录所有注册表操作并使用注册表根键的常规缩写显示注册表路径(例如,HKEY_LOCAL_MACHINE表示为HKLM)。
  • 进程:在进程/线程监视子系统中,Process Monitor跟踪所有进程和线程的创建和退出操作以及DLL和设备驱动程序加载操作。

简单来说,Process Monitor可以监控进程及其对系统做出的更改,主要包括文件写入、注册表以及加载的DLL和设备等多种信息,并且能根据条件筛选。

筛选过滤可以根据各种条件作出精确的筛选,比如根据父进程ID、文件名,映像路径、文件描述、公司名等多种条件设定仅显示或排除。假设你要监控QQ运行后做了什么,则可以通过QQ的进程ID进行筛选。

Process Monitor

筛选之后列表中将仅显示QQ进程相关的结果,能够看到QQ运行后,写入的注册表、文件。并且右键还可以跳转到修改的文件、注册表的键值等

Process Monitor

小结:一直以来Process Monitor独特的强大功能将使其成为不少人系统故障排除和恶意软件搜索的首选工具,对于一般的用户而言,当发现可疑程序或想知道程序作了哪些更改,可以通过Process Monitor进行监控,简单高效。

写在最后

Sysinternals套件其实是一个面向专业人士的万能工具包,里面的工具多是命令行工具,涉及到专业领域知识较多,一般用户使用可能会有些门槛,它虽然被微软收购,但目前一直在更新维护中。

此次阿刚在文章中给大家介绍的这几款小工具,尤其是Process

Explorer/Monitor和Autoruns,可以说是 Sysinternals中的精品同时他们的知名度也很高。阿刚这里算是抛砖引玉,一是篇幅所限,二是个人能力也有限,无法给大家详尽的介绍每一个工具,毕竟有些工具很专业,如果感兴趣可以在微软Sysinternals官网中查看文档,每一个工具都有非常详尽的说明。

相关下载

Windows Sysinternals官网

3 条评论

  1. 可乐会喝醉

    那个Process Explorer为什么你有中文,我找了半天也切换不到中文

  2. 棍子

    在哪下载啊?

    1. 阿刚同学

      @棍子 可以在官网下载的哈~文章末尾的官网

评论载入中,请稍等...