您是否曾经希望能够完全控制您的 Windows PC?不仅能够查看几乎所有 Windows 进程或应用程序的底层,还能够实时查看应用程序正在访问哪些文件和注册表项,这真是令人惊叹。
也许您是一名计算机技术人员,希望为您的 Windows 工具箱添加一些专业知识。如果我们激起了您的兴趣,请不要再继续看我们分解的 Sysinternals,它是最纯正、最强大的 Windows 系统和管理实用程序套件之一。
Sysinternals 简史
Sysinternals 是 Windows 的免费系统、管理和故障排除实用程序的集合。
Sysinternals 的历史几乎可以追溯到 Windows 本身,第一次迭代可以追溯到 1996 年。从那时起,Sysinternals 套件随着 Windows 的每个后续版本而不断发展,其库扩展到超过 70 个不同的实用程序。Microsoft 于 2006 年直接购买并获得了该软件,并免费提供该软件,并可以作为完整包或单独下载。
Sysinternals 还会定期更新,并随着时间的推移添加新的实用程序。最重要的是,该软件是便携式的,不需要您安装。大多数实用程序都是简单的 EXE 文件,您可以将其放在 USB 闪存驱动器上并添加到Windows 便携式应用程序工具包中以进行系统管理。
如何获取系统内部
首先,您需要将 Sysinternals 加载到您的 PC 上。值得庆幸的是,这并不困难。
直接从微软下载
要开始使用,请访问Sysinternals 实用程序索引,您还可以在其中阅读每个工具功能的简短描述。
如果您选择下载完整的 Sysinternals 套件,您的浏览器将下载大约 45MB 的 ZIP 文件。
在下载文件夹中,只需右键单击SysinternalsSuite.zip并选择全部提取。 然后,配置您选择的目标文件夹并单击“提取”按钮。
现在您可以自由探索和使用您认为合适的工具。值得记住的是,大多数工具都需要管理员访问权限,因此请务必在使用前右键单击每个工具并选择“以管理员身份运行”。
从 SysInternals Live 运行工具
Sysinternals Live 是 Microsoft 提供的一项服务,使您能够直接从 Web 执行 Sysinternals 工具。
您可以通过将工具的 Sysinternals Live 路径输入 Windows 资源管理器或“运行”对话框来直接运行单个工具。使用以下语法:\\live.sysinternals.com\tools\<工具名称>住。系统内部。com \tools\<工具名称>
按Win + R打开“运行”对话框。在路径末尾指定工具名称,然后按Enter或按OK。
一两分钟后,您将看到安全警告,您只需选择“运行”即可继续。请注意,您可以在浏览器中查看整个Microsoft Sysinternals Live 工具目录。
您可以使用 Sysinternals 做什么?
虽然任何人不太可能使用该套件中提供的所有工具,但您可以使用大量实用程序。
有进程监视器等工具,可以实时监视文件系统、注册表、进程、线程和 DLL 活动。另一方面,Process Explorer 与 Windows 任务管理器类似,但具有大量附加功能。
Autoruns 可帮助您管理 Windows 启动进程并检测特别讨厌的嵌入式恶意软件。有关详细信息,请参阅如何使用自动运行管理 Windows 启动程序。
SDelete 是一款符合 DoD 标准的安全删除程序,它还能清理您的可用空间,并且不会留下以前删除的文件的痕迹。
还有各种重型命令行实用程序,可以帮助完成从网络和文件共享安全性到高级 Active Directory 安装等各种任务。
接下来,让我们看看一些更流行的工具以及您可能希望如何使用它们。
Process Explorer:任务管理器的老大哥
当您第一次打开 Process Explorer 时,您可能会对所呈现的大量选项和数据感到有点不知所措。
在左侧窗格中,有分层树视图,其中列出了计算机上运行的所有进程和子进程。接下来,您会发现 CPU 和 RAM 使用情况、PID(进程标识符)、描述和公司名称都显示在可以排序和自定义的列中。
在工具栏中,有CPU、物理内存和输入/输出的迷你活动图,单击后会在单独的窗口中打开。在“选项” > “托盘图标”下,您还可以选择在最小化应用程序时希望在 Windows 任务栏中显示的活动。
Process Explorer 和 Windows 任务管理器之间的主要区别之一是用于识别不同类型进程的颜色编码键。您可以通过转到选项>颜色选择来调出此键。请留意标记为紫色的进程,因为它们包含压缩代码,可能是隐藏恶意软件的迹象。
右键单击任何进程将显示一组选项,使您能够设置优先级、终止、终止进程树、暂停进程等。
进程监视器:终极 Windows 日志
Process Monitor 与 Process Explorer 有很大不同。
Process Monitor 允许您捕获 Windows PC 上发生的每个事件的日志。使用进程监视器,您可以查看任何应用程序正在更新哪些注册表项。即使服务或应用程序正在生成新进程、以某种方式更改文件系统或连接到网络,您也可以使用进程监视器来跟踪它。
当您第一次打开进程监视器时,您将看到大量的行和数据。在后台,进程监视器将继续记录可能发生的任何注册表、文件系统、网络、进程和分析事件。这意味着即使您的机器闲置,随着服务与您的系统交互,数据列表也会快速增长。
有效使用 Process Monitor 的关键是过滤掉并仅关注您感兴趣的事件。例如:要快速过滤掉 Microsoft 流程,您可以转到“选项” > “选择列”并包含“公司名称”。然后,只需右键单击该列,您就可以使用上下文菜单中的“包含/排除”功能来快速过滤掉这些事件。
双击或右键单击事件并选择“属性”将打开一个包含大量信息的附加对话框。从该对话框中,您将能够确定事件的类(即文件系统或RegistryQueryKey)、物理操作的路径以及结果。
从这里,您可以通过转到“堆栈”选项卡进行更深入的挖掘,您可以在其中查看与事件关联的各个 DLL 文件。
默认情况下,进程监视器使用计算机的虚拟内存来存储临时事件。如果转到“文件” > “备份文件”,您可以指定要写入和保存数据的文件。
自动运行:配置启动进程和应用程序
Windows 提供了一些开箱即用的处理启动进程和应用程序的选项。例如,任务管理器的导航窗格中有一个专门的启动应用程序部分。还可以在“应用程序” > “启动”下的“设置”应用程序中找到相同的信息。
虽然这对于大多数人来说可能已经足够好了,但它并不能真正让您全面了解每次启动电脑时正在加载的内容。实际上,有许多更复杂的方法可以将软件配置为在 Windows 上自动启动。其中有浏览器帮助程序对象、计划任务、服务、驱动程序,甚至还有一些几乎无法检测到的方法,例如图像劫持和 AppInit_dll。
如果您正在寻找启动项的完整列表,那么 Autoruns 就是您的答案。
默认情况下,当您第一次打开“自动运行”时,您将进入“所有内容”选项卡。这将显示每个选项卡中的每个启动项。当然,您可以循环浏览选项卡以进一步提取信息。
每个选项卡都让您了解启动项所使用的机制。例如,“登录”选项卡显示用户登录 Windows 时加载的所有项目。另一方面,“资源管理器”选项卡列出了运行时附加到文件资源管理器进程的所有启动项。
要停止任何启动项的运行,只需取消选中左侧程序旁边的复选框即可。这里的所有都是它的。取消选择“驱动程序和服务”选项卡中的任何内容时请务必小心,因为其中大多数对于您的 Windows 应用程序和组件至关重要。
Sysinternals 提供更多功能
希望到目前为止我们所介绍的内容已经让您了解了 Sysinternals 的想法。无论您想要使用 Process Explorer 获得 PC 上发生的所有情况的完整快照、Process Monitor 提供的详细信息,还是使用 Autoruns 获得启动时运行的程序的最终权限,Sysinternals 都有一个几乎可以满足所有需求的工具。
我们仅介绍了使用 Sysinternals 套件中的工具可以实现的功能的基础知识。您可以自行探索它们,但请记住,能力越大,责任越大。