編輯推薦
本書是《Windows Sysinternals Administrator's Reference》一書的全新升級。微軟zi深網絡安全架構師、企業應用程序兼容性專傢、人稱“App Compat Guy”的Chris Jackson寫序推薦!
本書首先介紹Sysinternals各種工具的功能,幫助你快速上手。隨後深入介紹每個主要工具,讓你全麵瞭解從Process Explorer和Process Monitor,到Sysinternals的安全工具和文件工具等各種工具的使用。最後介紹如何使用這些工具解決現實世界中遇到的各種錯誤信息、程序掛起、卡頓、惡意軟件感染等問題。
Windows Sysinternals工具開發者Mark Russinovich和Aaron Margosis將教會你:
● 使用Process Explorer顯示有關進程和係統信息的細節;
● 使用Process Monitor捕獲底層係統事件,對輸齣結果進行快速篩選,縮小問題根源的可能範圍;
● 羅列、分類和管理計算機啓動或登錄時以及運行Microsoft Office或Internet Explorer時自動運行的軟件;
● 驗證文件、運行中的程序以及這些程序所加載模塊的數字簽名;
● 使用Autoruns、Process Explorer、Sigcheck和Process Monitor的各種功能檢測並清理感染的惡意軟件;
● 檢查文件、注冊錶鍵、服務、共享以及其他對象的權限;
● 使用Sysmon監視網絡中與安全有關的事件;
● 當進程滿足特定條件時生成內存轉儲;
● 遠程執行進程,遠程關閉已經打開的文件;
● 管理Active Directory對象並追蹤LDAP API調用;
● 捕獲有關處理器、內存和係統時鍾的細節數據;
● 對設備無法啓動、文件正在使用、莫名其妙的通信以及其他各種問題進行排錯;
● 理解鮮為人知的Windows核心概念。
內容簡介
內容提要
Windows Sysinternals工具已被很多IT專傢和高級用戶用作在Windows平颱上進行問題診斷和排錯,以及深入理解Windows係統的全功能“瑞士軍刀”。這本由Sysinternals創始人Mark Russinovich與Windows專傢Aaron Margosis聯手編著的實戰指南圖書詳細介紹瞭Sysinternals每款工具的獨到功能,並用較多篇幅深入介紹瞭如何通過幾款重量級工具優化Windows係統的可靠性、執行效率、性能以及安全性。最後,還通過大量現實案例介紹瞭通過這些工具解決程序齣錯、停止響應、卡頓、惡意軟件感染等問題的思路、方法以及完整過程。
作者簡介
關於作者
Mark Russinovich是Sysinternals工具的共同開發者,目前擔任Microsoft Azure的首xi技術官,還負責持續更新這套工具。在操作係統、分布式係統、安全等技術領域,Mark ussinovich是公認的專傢,並與他人閤作齣版瞭廣受歡迎的《Windows Internals》係列圖書。
Aaron Margosis在微軟Cybersecurity Services部門擔任首xi顧問,從1999年開始幫助客戶處理與安全有關的問題,尤其擅長處理鎖定環境中的安全和應用程序兼容性問題。
關於譯者
劉暉,IT技術和Windows操作係統愛好者,熱衷於研究Windows客戶端和服務器技術,多次當選微軟zui有價值專傢(MVP)稱號,曾齣版過多本有關微軟技術的原創和翻譯圖書。
目錄
目錄
第1部分 入門
第1章 Sysinternals工具入門 3
工具概述 3
Windows Sysinternals網站 6
下載工具 6
直接通過網絡運行工具 8
單一可執行映像 9
Windows Sysinternals論壇 9
Windows Sysinternals網站博客 10
Mark的博客 10
Mark的網絡廣播 11
Sysinternals許可信息 11
最終用戶許可協議以及/accepteula參數 11
有關Sysinternals許可的常見問題 12
第2章 Windows核心概念 13
管理權利 14
進程、綫程和作業 16
用戶模式和內核模式 17
句柄 18
應用程序隔離 19
應用容器 20
受保護進程 24
調用棧和符號 26
調用棧是什麼? 26
符號是什麼? 27
符號的配置 29
會話、窗口站、桌麵和窗口消息 30
遠程桌麵服務會話 31
窗口站 32
桌麵 33
窗口消息 34
第3章 Process Explorer 36
Procexp概述 36
度量CPU的使用情況 38
管理權利 39
主窗口 40
進程列錶 40
定製可顯示的列 49
保存顯示的數據 60
工具欄參考 60
找齣窗口對應的進程 61
狀態欄 62
DLL和句柄 63
查找DLL或句柄 63
DLL視圖 64
句柄視圖 67
進程詳情 71
Image選項卡 71
Performance選項卡 73
Performance Graph選項卡 74
GPU Graph選項卡 74
Threads選項卡 75
TCP/IP選項卡 75
Security選項卡 76
Environment選項卡 77
Strings選項卡 78
Services選項卡 79
.NET選項卡 79
Job選項卡 80
綫程詳情 81
驗證映像簽名 83
VirusTotal分析 84
係統信息 86
CPU選項卡 88
Memory(內存)選項卡 88
I/O選項卡 89
GPU選項卡 89
顯示選項 91
用Procexp取代任務管理器 92
通過Procexp啓動進程 93
其他用戶的會話 93
其他功能 93
關機選項 93
命令行參數 94
恢復Procexp的默認值 94
鍵盤快捷鍵參考 94
第4章 Autoruns 95
Autoruns基礎知識 96
禁用或刪除自動啓動項 98
Autoruns和管理權利 99
驗證代碼簽名 99
VirusTotal分析 100
隱藏自動啓動項 101
進一步瞭解某個自動啓動項 103
查看其他用戶的自動啓動項 104
查看脫機係統的ASEP 104
更改字體 105
不同類型的自動啓動 105
Logon 105
Explorer 107
Internet Explorer 109
Scheduled Tasks 109
Services 110
Drivers 110
Codecs 111
Boot Execute 111
Image hijacks 112
AppInit 113
KnownDLLs 113
Winlogon 114
Winsock Providers 114
Print monitors 115
LSA providers 115
Network providers 116
WMI 116
Sidebar gadgets 116
Office 116
保存並對比結果 117
保存為製錶符分隔的文本 117
保存為二進製(.arn)格式 118
查看並對比保存的結果 118
AutorunsC 118
Autoruns和惡意軟件 121
第2部分 使用指導
第5章 Process Monitor 125
Procmon概述 126
事件 127
理解默認顯示的列 128
定製要顯示的列 130
事件屬性對話框 132
查看Profiling事件 135
查找事件 137
復製事件數據 137
跳轉至注冊錶或文件位置 138
聯機搜索 138
篩選、強調和收藏 138
配置篩選器 139
配置強調 141
收藏 141
高級輸齣 142
保存篩選器以待後用 143
進程樹 143
保存並打開Procmon的追蹤記錄 145
保存Procmon的追蹤記錄 145
Procmon的XML架構 147
打開保存的Procmon追蹤記錄 149
記錄啓動、注銷後及關機活動 150
記錄啓動過程 150
讓Procmon在賬戶注銷後繼續運行 151
長時間運行追蹤以及日誌文件體積的控製 152
丟棄篩選掉的事件 152
曆史深度 153
備份文件 153
配置設置的導入和導齣 154
Procmon的自動化操作:命令行選項 154
分析工具 156
Process Activity Summary 157
File Summary 157
Registry Summary 159
Stack Summary 160
Network Summary 161
Cross Reference Summary 161
Count Occurrences 161
將自定義調試輸齣注入Procmon追蹤 162
工具欄參考 163
第6章 ProcDump 165
命令行語法 167
指定要監視的進程 168
附加至現有進程 169
啓動目標進程 170
監視通用Windows平颱應用程序 170
通過AeDebug注冊自動啓用調試 172
指定轉儲文件路徑 173
指定創建轉儲的條件 174
監視異常 178
轉儲文件選項 179
Miniplus轉儲 181
ProcDump和Procmon:配閤使用效果更好 183
以非交互方式運行ProcDump 185
在調試器中查看轉儲 185
第7章 PsTools 187
通用功能 188
遠程操作 188
遠程PsTools連接排錯 190
PsExec 191
遠程進程的退齣 192
重定嚮控製颱輸齣 193
PsExec的備用憑據 194
PsExec的命令行選項 194
進程性能選項 195
遠程連接選項 196
運行時環境選項 196
PsFile 199
PsGetSid 200
PsInfo 201
PsKill 203
PsList 204
PsLoggedOn 205
PsLogList 206
PsPasswd 210
PsService 211
Query 211
Config 213
Depend 214
Security 214
Find 215
SetConfig 215
啓動、停止、重啓動、暫停、恢復 215
PsShutdown 215
PsSuspend 218
PsTools的命令行語法 218
PsExec 218
PsFile 219
PsGetSid 219
PsInfo 219
PsKill 219
PsList 219
PsLoggedOn 219
PsLogList 219
PsPasswd 219
PsService 219
PsShutdown 220
PsSuspend 220
PsTools係統要求 220
第8章 進程和診斷工具 221
VMMap 221
啓動VMMap並選擇進程 222
VMMap窗口 224
內存類型 225
內存信息 226
時間綫和快照 227
查看內存區域中包含的文本 229
查找並復製文本 229
查看已安排進程的分配 229
地址空間碎片 232
保存並加載快照結果 233
VMMap的命令行選項 233
恢復VMMap的默認值 234
DebugView 234
調試輸齣是什麼? 234
DebugView顯示的內容 235
捕獲用戶模式的調試輸齣 237
捕獲內核模式調試輸齣 237
輸齣結果的搜索、篩選和強調 238
保存、日誌和打印 241
遠程監視 242
LiveKd 244
LiveKd的前提需求 245
運行LiveKd 245
內核調試器的目標類型 246
輸齣至調試器或轉儲文件 247
內容轉儲 248
Hyper-V來賓調試 249
符號 249
LiveKd使用範例 250
ListDLLs 251
Handle 254
顯示和搜索句柄 255
句柄數 257
關閉句柄 258
第9章 安全工具 259
SigCheck 259
指定要掃描的文件 262
簽名驗證 263
VirusTotal分析 265
有關文件的其他信息 267
輸齣格式 268
雜項 269
AccessChk 270
“有效權限”是什麼? 271
AccessChk的使用 271
對象類型 273
搜索訪問權利 276
輸齣選項 277
Sysmon 279
Sysmon可記錄的事件 280
Sysmon的安裝和配置 287
提取Sysmon事件數據 291
AccessEnum 293
ShareEnum 295
ShellRunAs 296
Autologon 297
LogonSessions 298
SDelete 301
SDelete的使用 302
SDelete的工作原理 302
第10章 Active Directory工具 304
AdExplorer 304
連接到域 304
AdExplorer顯示的內容 305
對象 306
特性 307
搜索 308
快照 309
AdExplorer的配置 310
AdInsight 310
AdInsight的數據捕獲 311
顯示選項 313
查找感興趣的信息 314
篩選結果 316
保存和導齣AdInsight的數據 317
命令行選項 318
AdRestore 319
第11章 桌麵工具 320
BgInfo 320
配置要顯示的數據 321
外觀選項 324
保存BgInfo配置以供後用 325
其他輸齣選項 325
更新其他桌麵 327
Desktops 327
ZoomIt 329
ZoomIt的使用 329
放大模式 330
繪圖模式 330
鍵入模式 331
休息計時器 331
LiveZoom 331
第12章 文件工具 333
Strings 333
Streams 334
NTFS鏈接工具 335
Junction 336
FindLinks 338
Disk Usage (DU) 338
重啓後文件操作工具 341
PendMoves 341
MoveFile 341
第13章 磁盤工具 343
Disk2Vhd 343
Sync 349
DiskView 350
Contig 352
整理現有文件的碎片 353
分析現有文件的碎片化程度 354
分析可用空間的碎片程度 355
創建連續的文件 355
DiskExt 356
LDMDump 357
VolumeID 359
第14章 網絡和通信工具 360
PsPing 360
ICMP Ping 361
TCP Ping 362
PsPing服務器模式 363
TCP/UDP延遲測試 364
TCP/UDP帶寬測試 366
PsPing直方圖 367
TCPView 368
Whois 369
第15章 係統信息工具 371
RAMMap 371
Use Counts 372
Processes 374
Priority Summary 374
Physical Pages 375
Physical Ranges 376
File Summary 376
File Details 377
清理物理內存 378
保存和加載快照 378
Registry Usage(RU) 379
CoreInfo 381
-c:有關內核的信息 382
-f:內核功能信息 382
-g:有關處理器組的信息 384
-l:有關緩存的信息 384
-m:NUMA訪問成本 385
-n:有關NUMA節點的信息 386
-s:有關插槽的信息 386
-v:與虛擬化有關的功能 386
WinObj 386
LoadOrder 388
PipeList 389
ClockRes 390
第16章 其他工具 391
RegJump 391
Hex2Dec 392
RegDelNull 392
Bluescreen Screen Saver 393
Ctrl2Cap 394
第3部分 排錯——“難解之謎”
第17章 錯誤信息 397
錯誤信息排錯 397
案例:文件夾被鎖定 399
案例:文件正在使用中錯誤 400
案例:照片查看器的未知錯誤 401
案例:ActiveX注冊失敗 402
案例:“播放到”失敗 404
案例:安裝失敗 404
排錯 405
具體分析 407
案例:不可讀取的文本文件 409
案例:文件夾關聯丟失 410
案例:臨時注冊錶配置文件 412
案例:Office
Windows Sysinternals實戰指南 下載 mobi epub pdf txt 電子書