Sysinternals工具使用手册.doc

Sysinternals工具实验手册 写在前面的话 (1 Sysinternlas工具简介 (1 Autoruns (2 Filemon (26 高手进阶——FileMon使用实例之一 (26 Filemon说明书 (35 Regmon (38 强大的注册表监视器——Regmon (38 注册表监视器RegMon使用详解 (40 Process Explorer (43 进程管理好帮手Process Explorer (43 Process Explorer 使用指南 (57 NewSID (64 NewSID 4.10 版 (64 工具系列之NewSID (64 SID和NewSID的详细说明 (66 PsTools (72 PsTools——网管员的好帮手 (72 PsTools帮助Windows管理(表-电脑教程 (74 TCPView (78 Tcpview使用教程 (78 tcpview使用指南 (80 BGInfo (82 BGinfo的使用 (82 实用工具特别推荐 BGInfo (84 ZoomIt (86 ZoomIt使用指南 (86 whois (90 whois使用指南 (90 volumeid (91 volumeid使用指南 (91 Sdelete (92 sdelete介绍 (92 小工具sdelete帮你彻底删除文件 (92 RootkitRevealer (94 RootkitRevealer 1.71 版 (94 对付HackerDefender 新招-RootkitRevealer (94 Autologon (96 适用于 Windows 的 Autologon 2.10 版 (96 电话:(037165706337 传真:(037165706367 1 写在前面的话 在做咨询培训工作时,我经常向客户推荐一些sysinternals的小工具。本来想自己写一份这样的教程及实验手册,可是发现在网上可以找到许多这方面的好文章,所以没有必要全部是自己写,我就当一次编辑吧,排排版、校对一下别字。 声明: 本手册是为了方便客户做实验时使用。在引用一些互联网的文档时,均注明了出处。我们不对这此内容的有效性和正确性负责,也不对使用这些工具的结果负责。 Sysinternlas工具简介 Sysinternals 之前为Winternals公司提供的免费工具,Winternals原本是一间主力产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具。之后他们将这些工具集合起来称为Sysinternals,并放在网路供人免费下载,其中也包含部分工具的原始码,一直以来都颇受IT专家社群的好评。 微软在2006年7月收购了Winternals,更重要的是,微软藉由此一并购网罗了该公司的两位创办人Mark Russinovich及Bryce Cogswell,其中,Mark Russinovich曾因为利用自己开发的Rootkit Revealer侦测到Sony光盘中采用Rootkit程序而声名大噪。 Process Monitor整合了两项Sysinternals工具—Regmon及Filemon,及一项新工具Process Explorer,微软将并购的免费工具下载网站Sysinternals移到微软的TechNet网站上,更名为Windows Sysinternals TechCenter。同时,新版的Rootkit Revealer 也发布。 微软所推出的Process Monitor就是由Mark Russinovich负责,他将两项受欢迎的Sysinternals工具—Regmon及Filemon,及一项新工具Process Explorer整合在Process Monitor 中,透过单一接口就能够执行上述工具的不同功能。 Regmon及Filemon深受病毒及间谍软件研究人员的喜爱,因为这两项工具能够追踪窗口档案系统及登录机制的活动,以让IT管理人员能够侦测恶意程序以及解决有问题的地方。 新的Process Explorer则扩及各种非破坏性的过滤,可以全面过滤使用者账号、姓名、执行信息等。 微软指出,Process Monitor的强大功能将使得它成为使用者系统中作为解决问题及寻找恶意程序的核心工具。 Process Monitor支持Windows 2000 SP4 with Update Rollup 1、Windows XP SP2、Windows XP 64位版本、Windows Server 2003及Windows Vista等。 微软也发表了Sysinternals Suite,Sysinternals Suite中包含所