Windows Sysinternals实战指南PDF电子书下载

第1部分 入门 3

第1章 Sysinternals工具入门 3

工具概述 3

Windows Sysinternals网站 6

下载工具 6

直接通过网络运行工具 8

单一可执行映像 9

Windows Sysinternals论坛 9

Windows Sysinternals网站博客 10

Mark的博客 10

Mark的网络广播 11

Sysinternals许可信息 11

最终用户许可协议以及/accepteula参数 11

有关Sysinternals许可的常见问题 12

第2章 Windows核心概念 13

管理权利 14

进程、线程和作业 16

用户模式和内核模式 17

句柄 18

应用程序隔离 19

应用容器 20

受保护进程 24

调用栈和符号 26

调用栈是什么？ 26

符号是什么？ 27

符号的配置 29

会话、窗口站、桌面和窗口消息 30

远程桌面服务会话 31

窗口站 32

桌面 33

窗口消息 34

第3章 Process Explorer 36

Procexp概述 36

度量CPU的使用情况 38

管理权利 39

主窗口 40

进程列表 40

定制可显示的列 49

保存显示的数据 60

工具栏参考 60

找出窗口对应的进程 61

状态栏 62

DLL和句柄 63

查找DLL或句柄 63

DLL视图 64

句柄视图 67

进程详情 71

Image选项卡 71

Performance选项卡 73

Performance Graph选项卡 74

GPU Graph选项卡 74

Threads选项卡 75

TCP/IP选项卡 75

Security选项卡 76

Environment选项卡 77

Strings选项卡 78

Services选项卡 79

NET选项卡 79

Job选项卡 80

线程详情 81

验证映像签名 83

VirusTotal分析 84

系统信息 86

CPU选项卡 88

Memory（内存）选项卡 88

I/O选项卡 89

GPU选项卡 89

显示选项 91

用Procexp取代任务管理器 92

通过Procexp启动进程 93

其他用户的会话 93

其他功能 93

关机选项 93

命令行参数 94

恢复Procexp的默认值 94

键盘快捷键参考 94

第4章 Autoruns 95

Autoruns基础知识 96

禁用或删除自动启动项 98

Autoruns和管理权利 99

验证代码签名 99

VirusTotal分析 100

隐藏自动启动项 101

进一步了解某个自动启动项 103

查看其他用户的自动启动项 104

查看脱机系统的ASEP 104

更改字体 105

不同类型的自动启动 105

Logon 105

Explorer 107

Internet Explorer 109

Scheduled Tasks 109

Services 110

Drivers 110

Codecs 111

Boot Execute 111

Image hijacks 112

AppInit 113

KnownDLLs 113

Winlogon 114

Winsock Providers 114

Print monitors 115

LSA providers 115

Network providers 116

WMI 116

Sidebar gadgets 116

Office 116

保存并对比结果 117

保存为制表符分隔的文本 117

保存为二进制（.arn）格式 118

查看并对比保存的结果 118

AutorunsC 118

Autoruns和恶意软件 121

第2部分 使用指导 125

第5章 Process Monitor 125

Procmon概述 126

事件 127

理解默认显示的列 128

定制要显示的列 130

事件属性对话框 132

查看Profiling事件 135

查找事件 137

复制事件数据 137

跳转至注册表或文件位置 138

联机搜索 138

筛选、强调和收藏 138

配置筛选器 139

配置强调 141

收藏 141

高级输出 142

保存筛选器以待后用 143

进程树 143

保存并打开Procmon的追踪记录 145

保存Procmon的追踪记录 145

Procmon的XML架构 147

打开保存的Procmon追踪记录 149

记录启动、注销后及关机活动 150

记录启动过程 150

让Procmon在账户注销后继续运行 151

长时间运行追踪以及日志文件体积的控制 152

丢弃筛选掉的事件 152

历史深度 153

备份文件 153

配置设置的导入和导出 154

Procmon的自动化操作：命令行选项 154

分析工具 156

Process Activity Summary 157

File Summary 157

Registry Summary 159

Stack Summary 160

Network Summary 161

Cross Reference Summary 161

Count Occurrences 161

将自定义调试输出注入Procmon追踪 162

工具栏参考 163

第6章 ProcDump 165

命令行语法 167

指定要监视的进程 168

附加至现有进程 169

启动目标进程 170

监视通用Windows平台应用程序 170

通过AeDebug注册自动启用调试 172

指定转储文件路径 173

指定创建转储的条件 174

监视异常 178

转储文件选项 179

Miniplus转储 181

ProcDump和Procmon：配合使用效果更好 183

以非交互方式运行ProcDump 185

在调试器中查看转储 185

第7章 PsTools 187

通用功能 188

远程操作 188

远程PsTools连接排错 190

PsExec 191

远程进程的退出 192

重定向控制台输出 193

PsExec的备用凭据 194

PsExec的命令行选项 194

进程性能选项 195

远程连接选项 196

运行时环境选项 196

PsFile 199

PsGetSid 200

PsInfo 201

PsKill 203

PsList 204

PsLoggedOn 205

PsLogList 206

PsPasswd 210

PsService 211

Query 211

Config 213

Depend 214

Security 214

Find 215

SetConfig 215

启动、停止、重启动、暂停、恢复 215

PsShutdown 215

PsSuspend 218

PsTools的命令行语法 218

PsExec 218

PsFile 219

PsGetSid 219

PsInfo 219

PsKill 219

PsList 219

PsLoggedOn 219

PsLogList 219

PsPasswd 219

PsService 219

PsShutdown 220

PsSuspend 220

PsTools系统要求 220

第8章 进程和诊断工具 221

VMMap 221

启动VMMap并选择进程 222

VMMap窗口 224

内存类型 225

内存信息 226

时间线和快照 227

查看内存区域中包含的文本 229

查找并复制文本 229

查看已安排进程的分配 229

地址空间碎片 232

保存并加载快照结果 233

VMMap的命令行选项 233

恢复VMMap的默认值 234

DebugView 234

调试输出是什么？ 234

DebugView显示的内容 235

捕获用户模式的调试输出 237

捕获内核模式调试输出 237

输出结果的搜索、筛选和强调 238

保存、日志和打印 241

远程监视 242

LiveKd 244

LiveKd的前提需求 245

运行LiveKd 245

内核调试器的目标类型 246

输出至调试器或转储文件 247

内容转储 248

Hyper-V来宾调试 249

符号 249

LiveKd使用范例 250

ListDLLs 251

Handle 254

显示和搜索句柄 255

句柄数 257

关闭句柄 258

第9章 安全工具 259

SigCheck 259

指定要扫描的文件 262

签名验证 263

VirusTotal分析 265

有关文件的其他信息 267

输出格式 268

杂项 269

AccessChk 270

“有效权限”是什么？ 271

AccessChk的使用 271

对象类型 273

搜索访问权利 276

输出选项 277

Sysmon 279

Sysmon可记录的事件 280

Sysmon的安装和配置 287

提取Sysmon事件数据 291

AccessEnum 293

ShareEnum 295

ShellRunAs 296

Autologon 297

LogonSessions 298

SDelete 301

SDelete的使用 302

SDelete的工作原理 302

第10章 Active Directory工具 304

AdExplorer 304

连接到域 304

AdExplorer显示的内容 305

对象 306

特性 307

搜索 308

快照 309

AdExplorer的配置 310

AdInsight 310

AdInsight的数据捕获 311

显示选项 313

查找感兴趣的信息 314

筛选结果 316

保存和导出AdInsight的数据 317

命令行选项 318

AdRestore 319

第11章 桌面工具 320

BgInfo 320

配置要显示的数据 321

外观选项 324

保存BgInfo配置以供后用 325

其他输出选项 325

更新其他桌面 327

Desktops 327

ZoomIt 329

ZoomIt的使用 329

放大模式 330

绘图模式 330

键入模式 331

休息计时器 331

LiveZoom 331

第12章 文件工具 333

Strings 333

Streams 334

NTF S链接工具 335

Junction 336

FindLinks 338

Disk Usage （DU） 338

重启后文件操作工具 341

PendMoves 341

MoveFile 341

第13章 磁盘工具 343

Disk2Vhd 343

Sync 349

DiskView 350

Contig 352

整理现有文件的碎片 353

分析现有文件的碎片化程度 354

分析可用空间的碎片程度 355

创建连续的文件 355

DiskExt 356

LDMDump 357

VolumeID 359

第14章 网络和通信工具 360

PsPing 360

ICMP Ping 361

TCP Ping 362

PsPing服务器模式 363

TCP/UDP延迟测试 364

TCP/UDP带宽测试 366

PsPing直方图 367

TCPView 368

Whois 369

第15章 系统信息工具 371

RAMMap 371

Use Counts 372

Processes 374

Priority Summary 374

Physical Pages 375

Physical Ranges 376

File Summary 376

File Details 377

清理物理内存 378

保存和加载快照 378

Registry Usage （RU） 379

CoreInfo 381

-c：有关内核的信息 382

-f：内核功能信息 382

-g：有关处理器组的信息 384

-l：有关缓存的信息 384

-m： NUMA访问成本 385

-n：有关NUMA节点的信息 386

-s：有关插槽的信息 386

-v：与虚拟化有关的功能 386

WinObj 386

LoadOrder 388

PipeList 389

ClockRes 390

第16章 其他工具 391

RegJump 391

Hex2Dec 392

RegDelNull 392

Bluescreen Screen Saver 393

Ctrl2Cap 394

第3部分 排错——“难解之谜” 397

第17章 错误信息 397

错误信息排错 397

案例：文件夹被锁定 399

案例：文件正在使用中错误 400

案例：照片查看器的未知错误 401

案例：ActiveX注册失败 402

案例：“播放到”失败 404

案例：安装失败 404

排错 405

具体分析 407

案例：不可读取的文本文件 409

案例：文件夹关联丢失 410

案例：临时注册表配置文件 412

案例：Office RMS错误 416

案例：林功能级别提升失败 417

第18章 崩溃 419

崩溃故障的排错 419

案例：反病毒软件更新失败 422

案例：Proksi工具的崩溃 423

案例：网络位置感知服务的故障 424

案例：EMET升级失败 425

案例：崩溃转储丢失 426

案例：无规律卡顿 427

第19章 挂起和性能迟钝 429

挂起和性能迟钝问题的排错 429

案例：IExplore耗尽CPU 431

案例：失控的网站 432

案例：ReadyBoost造成的问题 434

案例：笔记本蓝光播放器卡顿 436

案例：公司内网长达15分钟的登录 438

案例：PayPal邮件挂起 439

案例：财务软件挂起 441

案例：缓慢的主题演讲演示 442

案例：Project文件打开缓慢 446

复合案例：Outlook挂起 450

第20章 恶意软件 455

恶意软件排错 456

Stuxnet（震网） 458

恶意软件和Sysinternals工具 459

Stuxnet的传播介质 459

Windows XP上的Stuxnet 460

深入调查 463

通过筛选查找相关事件 463

Stuxnet对系统的改动 465

PNF文件 469

Windows 7中的特权提升 471

借助Sysinternals工具发现的Stuxnet 473

案例：奇怪的重启动 474

案例：假冒的Java更新程序 477

案例：Winwebsec恐吓软件 480

案例：失控的GPU 487

案例：莫名其妙的FTP连接 488

案例：服务的错误配置 491

案例：阻止Sysinternals的恶意软件 494

案例：杀进程的恶意软件 496

案例：假冒系统组件 498

案例：神秘的ASEP 499

第21章 理解系统行为 502

案例：Q：盘 502

案例：莫名其妙的网络连接 505

案例：短命的进程 506

案例：应用安装记录器 510

案例：未知的NTLM通信 516

第22章 开发者排错 521

案例：被破坏的Kerberos委派 521

案例：ProcDump内存泄漏 522