WindowsSysinternals实战指南

本书是《Windows Sysinternals Administrator's Reference》一书的全新升级。微软zi深网络安全架构师、企业应用程序兼容性专家、人称“App Compat Guy”的Chris Jackson写序推荐！

本书首先介绍Sysinternals各种工具的功能，帮助你快速上手。随后深入介绍每个主要工具，让你全面了解从Process Explorer和Process Monitor，到Sysinternals的安全工具和文件工具等各种工具的使用。最后介绍如何使用这些工具解决现实世界中遇到的各种错误信息、程序挂起、卡顿、恶意软件感染等问题。

Windows Sysinternals工具开发者Mark Russinovich和Aaron Margosis将教会你：

● 使用Process Explorer显示有关进程和系统信息的细节；
● 使用Process Monitor捕获底层系统事件，对输出结果进行快速筛选，缩小问题根源的可能范围；
● 罗列、分类和管理计算机启动或登录时以及运行Microsoft Office或Internet Explorer时自动运行的软件；
● 验证文件、运行中的程序以及这些程序所加载模块的数字签名；
● 使用Autoruns、Process Explorer、Sigcheck和Process Monitor的各种功能检测并清理感染的恶意软件；
● 检查文件、注册表键、服务、共享以及其他对象的权限；
● 使用Sysmon监视网络中与安全有关的事件；
● 当进程满足特定条件时生成内存转储；
● 远程执行进程，远程关闭已经打开的文件；
● 管理Active Directory对象并追踪LDAP API调用；
● 捕获有关处理器、内存和系统时钟的细节数据；
● 对设备无法启动、文件正在使用、莫名其妙的通信以及其他各种问题进行排错；
● 理解鲜为人知的Windows核心概念。

内容提要
Windows Sysinternals工具已被很多IT专家和高级用户用作在Windows平台上进行问题诊断和排错，以及深入理解Windows系统的全功能“瑞士军刀”。这本由Sysinternals创始人Mark Russinovich与Windows专家Aaron Margosis联手编著的实战指南图书详细介绍了Sysinternals每款工具的独到功能，并用较多篇幅深入介绍了如何通过几款重量级工具优化Windows系统的可靠性、执行效率、性能以及安全性。最后，还通过大量现实案例介绍了通过这些工具解决程序出错、停止响应、卡顿、恶意软件感染等问题的思路、方法以及完整过程。

关于作者
Mark Russinovich是Sysinternals工具的共同开发者，目前担任Microsoft Azure的首xi技术官，还负责持续更新这套工具。在操作系统、分布式系统、安全等技术领域，Mark ussinovich是公认的专家，并与他人合作出版了广受欢迎的《Windows Internals》系列图书。

Aaron Margosis在微软Cybersecurity Services部门担任首xi顾问，从1999年开始帮助客户处理与安全有关的问题，尤其擅长处理锁定环境中的安全和应用程序兼容性问题。

关于译者
刘晖，IT技术和Windows操作系统爱好者，热衷于研究Windows客户端和服务器技术，多次当选微软zui有价值专家（MVP）称号，曾出版过多本有关微软技术的原创和翻译图书。

目录
第1部分 入门
第1章 Sysinternals工具入门 3
工具概述 3
Windows Sysinternals网站 6
下载工具 6
直接通过网络运行工具 8
单一可执行映像 9
Windows Sysinternals论坛 9
Windows Sysinternals网站博客 10
Mark的博客 10
Mark的网络广播 11
Sysinternals许可信息 11
最终用户许可协议以及/accepteula参数 11
有关Sysinternals许可的常见问题 12
第2章 Windows核心概念 13
管理权利 14
进程、线程和作业 16
用户模式和内核模式 17
句柄 18
应用程序隔离 19
应用容器 20
受保护进程 24
调用栈和符号 26
调用栈是什么？ 26
符号是什么？ 27
符号的配置 29
会话、窗口站、桌面和窗口消息 30
远程桌面服务会话 31
窗口站 32
桌面 33
窗口消息 34
第3章 Process Explorer 36
Procexp概述 36
度量CPU的使用情况 38
管理权利 39
主窗口 40
进程列表 40
定制可显示的列 49
保存显示的数据 60
工具栏参考 60
找出窗口对应的进程 61
状态栏 62
DLL和句柄 63
查找DLL或句柄 63
DLL视图 64
句柄视图 67
进程详情 71
Image选项卡 71
Performance选项卡 73
Performance Graph选项卡 74
GPU Graph选项卡 74
Threads选项卡 75
TCP/IP选项卡 75
Security选项卡 76
Environment选项卡 77
Strings选项卡 78
Services选项卡 79
．NET选项卡 79
Job选项卡 80
线程详情 81
验证映像签名 83
VirusTotal分析 84
系统信息 86
CPU选项卡 88
Memory（内存）选项卡 88
I/O选项卡 89
GPU选项卡 89
显示选项 91
用Procexp取代任务管理器 92
通过Procexp启动进程 93
其他用户的会话 93
其他功能 93
关机选项 93
命令行参数 94
恢复Procexp的默认值 94
键盘快捷键参考 94
第4章 Autoruns 95
Autoruns基础知识 96
禁用或删除自动启动项 98
Autoruns和管理权利 99
验证代码签名 99
VirusTotal分析 100
隐藏自动启动项 101
进一步了解某个自动启动项 103
查看其他用户的自动启动项 104
查看脱机系统的ASEP 104
更改字体 105
不同类型的自动启动 105
Logon 105
Explorer 107
Internet Explorer 109
Scheduled Tasks 109
Services 110
Drivers 110
Codecs 111
Boot Execute 111
Image hijacks 112
AppInit 113
KnownDLLs 113
Winlogon 114
Winsock Providers 114
Print monitors 115
LSA providers 115
Network providers 116
WMI 116
Sidebar gadgets 116
Office 116
保存并对比结果 117
保存为制表符分隔的文本 117
保存为二进制（．arn）格式 118
查看并对比保存的结果 118
AutorunsC 118
Autoruns和恶意软件 121
第2部分 使用指导
第5章 Process Monitor 125
Procmon概述 126
事件 127
理解默认显示的列 128
定制要显示的列 130
事件属性对话框 132
查看Profiling事件 135
查找事件 137
复制事件数据 137
跳转至注册表或文件位置 138
联机搜索 138
筛选、强调和收藏 138
配置筛选器 139
配置强调 141
收藏 141
高级输出 142
保存筛选器以待后用 143
进程树 143
保存并打开Procmon的追踪记录 145
保存Procmon的追踪记录 145
Procmon的XML架构 147
打开保存的Procmon追踪记录 149
记录启动、注销后及关机活动 150
记录启动过程 150
让Procmon在账户注销后继续运行 151
长时间运行追踪以及日志文件体积的控制 152
丢弃筛选掉的事件 152
历史深度 153
备份文件 153
配置设置的导入和导出 154
Procmon的自动化操作：命令行选项 154
分析工具 156
Process Activity Summary 157
File Summary 157
Registry Summary 159
Stack Summary 160
Network Summary 161
Cross Reference Summary 161
Count Occurrences 161
将自定义调试输出注入Procmon追踪 162
工具栏参考 163
第6章 ProcDump 165
命令行语法 167
指定要监视的进程 168
附加至现有进程 169
启动目标进程 170
监视通用Windows平台应用程序 170
通过AeDebug注册自动启用调试 172
指定转储文件路径 173
指定创建转储的条件 174
监视异常 178
转储文件选项 179
Miniplus转储 181
ProcDump和Procmon：配合使用效果更好 183
以非交互方式运行ProcDump 185
在调试器中查看转储 185
第7章 PsTools 187
通用功能 188
远程操作 188
远程PsTools连接排错 190
PsExec 191
远程进程的退出 192
重定向控制台输出 193
PsExec的备用凭据 194
PsExec的命令行选项 194
进程性能选项 195
远程连接选项 196
运行时环境选项 196
PsFile 199
PsGetSid 200
PsInfo 201
PsKill 203
PsList 204
PsLoggedOn 205
PsLogList 206
PsPasswd 210
PsService 211
Query 211
Config 213
Depend 214
Security 214
Find 215
SetConfig 215
启动、停止、重启动、暂停、恢复 215
PsShutdown 215
PsSuspend 218
PsTools的命令行语法 218
PsExec 218
PsFile 219
PsGetSid 219
PsInfo 219
PsKill 219
PsList 219
PsLoggedOn 219
PsLogList 219
PsPasswd 219
PsService 219
PsShutdown 220
PsSuspend 220
PsTools系统要求 220
第8章 进程和诊断工具 221
VMMap 221
启动VMMap并选择进程 222
VMMap窗口 224
内存类型 225
内存信息 226
时间线和快照 227
查看内存区域中包含的文本 229
查找并复制文本 229
查看已安排进程的分配 229
地址空间碎片 232
保存并加载快照结果 233
VMMap的命令行选项 233
恢复VMMap的默认值 234
DebugView 234
调试输出是什么？ 234
DebugView显示的内容 235
捕获用户模式的调试输出 237
捕获内核模式调试输出 237
输出结果的搜索、筛选和强调 238
保存、日志和打印 241
远程监视 242
LiveKd 244
LiveKd的前提需求 245
运行LiveKd 245
内核调试器的目标类型 246
输出至调试器或转储文件 247
内容转储 248
Hyper-V来宾调试 249
符号 249
LiveKd使用范例 250
ListDLLs 251
Handle 254
显示和搜索句柄 255
句柄数 257
关闭句柄 258
第9章 安全工具 259
SigCheck 259
指定要扫描的文件 262
签名验证 263
VirusTotal分析 265
有关文件的其他信息 267
输出格式 268
杂项 269
AccessChk 270
“有效权限”是什么？ 271
AccessChk的使用 271
对象类型 273
搜索访问权利 276
输出选项 277
Sysmon 279
Sysmon可记录的事件 280
Sysmon的安装和配置 287
提取Sysmon事件数据 291
AccessEnum 293
ShareEnum 295
ShellRunAs 296
Autologon 297
LogonSessions 298
SDelete 301
SDelete的使用 302
SDelete的工作原理 302
第10章 Active Directory工具 304
AdExplorer 304
连接到域 304
AdExplorer显示的内容 305
对象 306
特性 307
搜索 308
快照 309
AdExplorer的配置 310
AdInsight 310
AdInsight的数据捕获 311
显示选项 313
查找感兴趣的信息 314
筛选结果 316
保存和导出AdInsight的数据 317
命令行选项 318
AdRestore 319
第11章 桌面工具 320
BgInfo 320
配置要显示的数据 321
外观选项 324
保存BgInfo配置以供后用 325
其他输出选项 325
更新其他桌面 327
Desktops 327
ZoomIt 329
ZoomIt的使用 329
放大模式 330
绘图模式 330
键入模式 331
休息计时器 331
LiveZoom 331
第12章 文件工具 333
Strings 333
Streams 334
NTFS链接工具 335
Junction 336
FindLinks 338
Disk Usage (DU) 338
重启后文件操作工具 341
PendMoves 341
MoveFile 341
第13章 磁盘工具 343
Disk2Vhd 343
Sync 349
DiskView 350
Contig 352
整理现有文件的碎片 353
分析现有文件的碎片化程度 354
分析可用空间的碎片程度 355
创建连续的文件 355
DiskExt 356
LDMDump 357
VolumeID 359
第14章 网络和通信工具 360
PsPing 360
ICMP Ping 361
TCP Ping 362
PsPing服务器模式 363
TCP/UDP延迟测试 364
TCP/UDP带宽测试 366
PsPing直方图 367
TCPView 368
Whois 369
第15章 系统信息工具 371
RAMMap 371
Use Counts 372
Processes 374
Priority Summary 374
Physical Pages 375
Physical Ranges 376
File Summary 376
File Details 377
清理物理内存 378
保存和加载快照 378
Registry Usage（RU） 379
CoreInfo 381
-c：有关内核的信息 382
-f：内核功能信息 382
-g：有关处理器组的信息 384
-l：有关缓存的信息 384
-m：NUMA访问成本 385
-n：有关NUMA节点的信息 386
-s：有关插槽的信息 386
-v：与虚拟化有关的功能 386
WinObj 386
LoadOrder 388
PipeList 389
ClockRes 390
第16章 其他工具 391
RegJump 391
Hex2Dec 392
RegDelNull 392
Bluescreen Screen Saver 393
Ctrl2Cap 394
第3部分 排错——“难解之谜”
第17章 错误信息 397
错误信息排错 397
案例：文件夹被锁定 399
案例：文件正在使用中错误 400
案例：照片查看器的未知错误 401
案例：ActiveX注册失败 402
案例：“播放到”失败 404
案例：安装失败 404
排错 405
具体分析 407
案例：不可读取的文本文件 409
案例：文件夹关联丢失 410
案例：临时注册表配置文件 412
案例：Office RMS错误 416
案例：林功能级别提升失败 417
第18章 崩溃 419
崩溃故障的排错 419
案例：反病毒软件更新失败 422
案例：Proksi工具的崩溃 423
案例：网络位置感知服务的故障 424
案例：EMET升级失败 425
案例：崩溃转储丢失 426
案例：无规律卡顿 427
第19章 挂起和性能迟钝 429
挂起和性能迟钝问题的排错 429
案例：IExplore耗尽CPU 431
案例：失控的网站 432
案例：ReadyBoost造成的问题 434
案例：笔记本蓝光播放器卡顿 436
案例：公司内网长达15分钟的登录 438
案例：PayPal邮件挂起 439
案例：财务软件挂起 441
案例：缓慢的主题演讲演示 442
案例：Project文件打开缓慢 446
复合案例：Outlook挂起 450
第20章 恶意软件 455
恶意软件排错 456
Stuxnet（震网） 458
恶意软件和Sysinternals工具 459
Stuxnet的传播介质 459
Windows XP上的Stuxnet 460
深入调查 463
通过筛选查找相关事件 463
Stuxnet对系统的改动 465
．PNF文件 469
Windows 7中的特权提升 471
借助Sysinternals工具发现的Stuxnet 473
案例：奇怪的重启动 474
案例：假冒的Java更新程序 477
案例：Winwebsec恐吓软件 480
案例：失控的GPU 487
案例：莫名其妙的FTP连接 488
案例：服务的错误配置 491
案例：阻止Sysinternals的恶意软件 494
案例：杀进程的恶意软件 496
案例：假冒系统组件 498
案例：神秘的ASEP 499
第21章 理解系统行为 502
案例：Q：盘 502
案例：莫名其妙的网络连接 505
案例：短命的进程 506
案例：应用安装记录器 510
案例：未知的NTLM通信 516
第22章 开发者排错 521
案例：被破坏的Kerberos委派 521
案例：ProcDump内存泄漏 522

　　《Windows Sysinternals实战指南》：
　　选择或启动进程后，VMMap会分析进程，显示虚拟和物理内存分配情况图形，并显示表格形式的摘要和详细信息视图。上述每类信息中不同类型的内存会显示为不同颜色，Summary View（摘要视图）也会显示不同颜色的信息。
　　VMMap窗口（如图8—1所示）中第一个柱状图是Committed（已提交）摘要。不同颜色的区域代表了该进程地址空间内不同类型已提交内存的相对比例。同时这里的信息也是另外两个图形等比缩放的依据和基础。图标右侧边缘顶部显示的总数并非所有已分配内存总数，而是该进程“可访问”的内存数。已预留但暂时不可访问的内存区域，以及不可用区域并不会包含在该图表中。换句话说，这里显示的是RAM、分页文件或映射文件所支撑的内存。
　　VMMap窗口中的第二个柱状图是Private Bytes（专用字节）摘要。这是指不与其他进程共享，由物理RAM或分页文件支撑的进程内存。其中包含栈、堆、原始虚拟内存、页面表，以及映像中的可读写部分及文件映射。该图表右侧边缘上方的数字对应了该进程专用内存的总数。柱状图中的彩色区域代表不同类型内存分配中，专用字节的用量比例。
　　……