Windows Sysinternals实战指南

目录
第1部分 入门
第1章 Sysinternals工具入门\t3
工具概述\t3
Windows Sysinternals网站\t6
下载工具\t6
直接通过网络运行工具\t8
单一可执行映像\t9
Windows Sysinternals论坛\t9
Windows Sysinternals网站博客\t10
Mark的博客\t10
Mark的网络广播\t11
Sysinternals许可信息\t11
最终用户许可协议以及/accepteula参数\t11
有关Sysinternals许可的常见问题\t12
第2章 Windows核心概念\t13
管理权利\t14
进程、线程和作业\t16
用户模式和内核模式\t17
句柄\t\t18
应用程序隔离\t19
应用容器\t20
受保护进程\t24
调用栈和符号\t26
调用栈是什么？\t26
符号是什么？\t27
符号的配置\t29
会话、窗口站、桌面和窗口消息\t30
远程桌面服务会话\t31
窗口站\t\t32
桌面\t\t33
窗口消息\t34
第3章 Process Explorer\t36
Procexp概述\t36
度量CPU的使用情况\t38
管理权利\t39
主窗口\t40
进程列表\t40
定制可显示的列\t49
保存显示的数据\t60
工具栏参考\t60
找出窗口对应的进程\t61
状态栏\t\t62
DLL和句柄\t63
查找DLL或句柄\t63
DLL视图\t64
句柄视图\t67
进程详情\t71
Image选项卡\t71
Performance选项卡\t73
Performance Graph选项卡\t74
GPU Graph选项卡\t74
Threads选项卡\t75
TCP/IP选项卡\t75
Security选项卡\t76
Environment选项卡\t77
Strings选项卡\t78
Services选项卡\t79
．NET选项卡\t79
Job选项卡\t80
线程详情\t81
验证映像签名\t83
VirusTotal分析\t84
系统信息\t86
CPU选项卡\t88
Memory（内存）选项卡\t88
I/O选项卡\t89
GPU选项卡\t89
显示选项\t91
用Procexp取代任务管理器\t92
通过Procexp启动进程\t93
其他用户的会话\t93
其他功能\t93
关机选项\t93
命令行参数\t94
恢复Procexp的默认值\t94
键盘快捷键参考\t94
第4章 Autoruns\t95
Autoruns基础知识\t96
禁用或删除自动启动项\t98
Autoruns和管理权利\t99
验证代码签名\t99
VirusTotal分析\t100
隐藏自动启动项\t101
进一步了解某个自动启动项\t103
查看其他用户的自动启动项\t104
查看脱机系统的ASEP\t104
更改字体\t105
不同类型的自动启动\t105
Logon\t\t105
Explorer\t107
Internet Explorer\t109
Scheduled Tasks\t109
Services\t110
Drivers\t\t110
Codecs\t\t111
Boot Execute\t111
Image hijacks\t112
AppInit\t\t113
KnownDLLs\t113
Winlogon\t114
Winsock Providers\t114
Print monitors\t115
LSA providers\t115
Network providers\t116
WMI\t\t116
Sidebar gadgets\t116
Office\t\t116
保存并对比结果\t117
保存为制表符分隔的文本\t117
保存为二进制（．arn）格式\t118
查看并对比保存的结果\t118
AutorunsC\t118
Autoruns和恶意软件\t121
第2部分 使用指导
第5章 Process Monitor\t125
Procmon概述\t126
事件\t\t127
理解默认显示的列\t128
定制要显示的列\t130
事件属性对话框\t132
查看Profiling事件\t135
查找事件\t137
复制事件数据\t137
跳转至注册表或文件位置\t138
联机搜索\t138
筛选、强调和收藏\t138
配置筛选器\t139
配置强调\t141
收藏\t\t141
高级输出\t142
保存筛选器以待后用\t143
进程树\t143
保存并打开Procmon的追踪记录\t145
保存Procmon的追踪记录\t145
Procmon的XML架构\t147
打开保存的Procmon追踪记录\t149
记录启动、注销后及关机活动\t150
记录启动过程\t150
让Procmon在账户注销后继续运行\t151
长时间运行追踪以及日志文件体积的控制\t152
丢弃筛选掉的事件\t152
历史深度\t153
备份文件\t153
配置设置的导入和导出\t154
Procmon的自动化操作：命令行选项\t154
分析工具\t156
Process Activity Summary\t157
File Summary\t157
Registry Summary\t159
Stack Summary\t160
Network Summary\t161
Cross Reference Summary\t161
Count Occurrences\t161
将自定义调试输出注入Procmon追踪\t162
工具栏参考\t163
第6章 ProcDump\t165
命令行语法\t167
指定要监视的进程\t168
附加至现有进程\t169
启动目标进程\t170
监视通用Windows平台应用程序\t170
通过AeDebug注册自动启用调试\t172
指定转储文件路径\t173
指定创建转储的条件\t174
监视异常\t178
转储文件选项\t179
Miniplus转储\t181
ProcDump和Procmon：配合使用效果更好\t183
以非交互方式运行ProcDump\t185
在调试器中查看转储\t185
第7章 PsTools\t187
通用功能\t188
远程操作\t188
远程PsTools连接排错\t190
PsExec\t191
远程进程的退出\t192
重定向控制台输出\t193
PsExec的备用凭据\t194
PsExec的命令行选项\t194
进程性能选项\t195
远程连接选项\t196
运行时环境选项\t196
PsFile\t199
PsGetSid\t200
PsInfo\t201
PsKill\t203
PsList\t204
PsLoggedOn\t205
PsLogList\t206
PsPasswd\t210
PsService\t211
Query\t\t211
Config\t\t213
Depend\t\t214
Security\t214
Find\t\t215
SetConfig\t215
启动、停止、重启动、暂停、恢复\t215
PsShutdown\t215
PsSuspend\t218
PsTools的命令行语法\t218
PsExec\t\t218
PsFile\t\t219
PsGetSid\t219
PsInfo\t\t219
PsKill\t\t219
PsList\t\t219
PsLoggedOn\t219
PsLogList\t219
PsPasswd\t219
PsService\t219
PsShutdown\t220
PsSuspend\t220
PsTools系统要求\t220
第8章 进程和诊断工具\t221
VMMap\t221
启动VMMap并选择进程\t222
VMMap窗口\t224
内存类型\t225
内存信息\t226
时间线和快照\t227
查看内存区域中包含的文本\t229
查找并复制文本\t229
查看已安排进程的分配\t229
地址空间碎片\t232
保存并加载快照结果\t233
VMMap的命令行选项\t233
恢复VMMap的默认值\t234
DebugView\t234
调试输出是什么？\t234
DebugView显示的内容\t235
捕获用户模式的调试输出\t237
捕获内核模式调试输出\t237
输出结果的搜索、筛选和强调\t238
保存、日志和打印\t241
远程监视\t242
LiveKd\t244
LiveKd的前提需求\t245
运行LiveKd\t245
内核调试器的目标类型\t246
输出至调试器或转储文件\t247
内容转储\t248
Hyper-V来宾调试\t249
符号\t\t249
LiveKd使用范例\t250
ListDLLs\t251
Handle\t254
显示和搜索句柄\t255
句柄数\t\t257
关闭句柄\t258
第9章 安全工具\t259
SigCheck\t259
指定要扫描的文件\t262
签名验证\t263
VirusTotal分析\t265
有关文件的其他信息\t267
输出格式\t268
杂项\t\t269
AccessChk\t270
“有效权限”是什么？\t271
AccessChk的使用\t271
对象类型\t273
搜索访问权利\t276
输出选项\t277
Sysmon\t279
Sysmon可记录的事件\t280
Sysmon的安装和配置\t287
提取Sysmon事件数据\t291
AccessEnum\t293
ShareEnum\t295
ShellRunAs\t296
Autologon\t297
LogonSessions\t298
SDelete\t301
SDelete的使用\t302
SDelete的工作原理\t302
第10章 Active Directory工具\t304
AdExplorer\t304
连接到域\t304
AdExplorer显示的内容\t305
对象\t\t306
特性\t\t307
搜索\t\t308
快照\t\t309
AdExplorer的配置\t310
AdInsight\t310
AdInsight的数据捕获\t311
显示选项\t313
查找感兴趣的信息\t314
筛选结果\t316
保存和导出AdInsight的数据\t317
命令行选项\t318
AdRestore\t319
第11章 桌面工具\t320
BgInfo\t320
配置要显示的数据\t321
外观选项\t324
保存BgInfo配置以供后用\t325
其他输出选项\t325
更新其他桌面\t327
Desktops\t327
ZoomIt\t329
ZoomIt的使用\t329
放大模式\t330
绘图模式\t330
键入模式\t331
休息计时器\t331
LiveZoom\t331
第12章 文件工具\t333
Strings\t333
Streams\t334
NTFS链接工具\t335
Junction\t336
FindLinks\t338
Disk Usage (DU)\t338
重启后文件操作工具\t341
PendMoves\t341
MoveFile\t341
第13章 磁盘工具\t343
Disk2Vhd\t343
Sync\t\t349
DiskView\t350
Contig\t352
整理现有文件的碎片\t353
分析现有文件的碎片化程度\t354
分析可用空间的碎片程度\t355
创建连续的文件\t355
DiskExt\t356
LDMDump\t357
VolumeID\t359
第14章 网络和通信工具\t360
PsPing\t360
ICMP Ping\t361
TCP Ping\t362
PsPing服务器模式\t363
TCP/UDP延迟测试\t364
TCP/UDP带宽测试\t366
PsPing直方图\t367
TCPView\t368
Whois\t369
第15章 系统信息工具\t371
RAMMap\t371
Use Counts\t372
Processes\t374
Priority Summary\t374
Physical Pages\t375
Physical Ranges\t376
File Summary\t376
File Details\t377
清理物理内存\t378
保存和加载快照\t378
Registry Usage（RU）\t379
CoreInfo\t381
-c：有关内核的信息\t382
-f：内核功能信息\t382
-g：有关处理器组的信息\t384
-l：有关缓存的信息\t384
-m：NUMA访问成本\t385
-n：有关NUMA节点的信息\t386
-s：有关插槽的信息\t386
-v：与虚拟化有关的功能\t386
WinObj\t386
LoadOrder\t388
PipeList\t389
ClockRes\t390
第16章 其他工具\t391
RegJump\t391
Hex2Dec\t392
RegDelNull\t392
Bluescreen Screen Saver\t393
Ctrl2Cap\t394
第3部分 排错——“难解之谜”
第17章 错误信息\t397
错误信息排错\t397
案例：文件夹被锁定\t399
案例：文件正在使用中错误\t400
案例：照片查看器的未知错误\t401
案例：ActiveX注册失败\t402
案例：“播放到”失败\t404
案例：安装失败\t404
排错\t\t405
具体分析\t407
案例：不可读取的文本文件\t409
案例：文件夹关联丢失\t410
案例：临时注册表配置文件\t412
案例：Office RMS错误\t416
案例：林功能级别提升失败\t417
第18章 崩溃\t419
崩溃故障的排错\t419
案例：反病毒软件更新失败\t422
案例：Proksi工具的崩溃\t423
案例：网络位置感知服务的故障\t424
案例：EMET升级失败\t425
案例：崩溃转储丢失\t426
案例：无规律卡顿\t427
第19章 挂起和性能迟钝\t429
挂起和性能迟钝问题的排错\t429
案例：IExplore耗尽CPU\t431
案例：失控的网站\t432
案例：ReadyBoost造成的问题\t434
案例：笔记本蓝光播放器卡顿\t436
案例：公司内网长达15分钟的登录\t438
案例：PayPal邮件挂起\t439
案例：财务软件挂起\t441
案例：缓慢的主题演讲演示\t442
案例：Project文件打开缓慢\t446
复合案例：Outlook挂起\t450
第20章 恶意软件\t455
恶意软件排错\t456
Stuxnet（震网）\t458
恶意软件和Sysinternals工具\t459
Stuxnet的传播介质\t459
Windows XP上的Stuxnet\t460
深入调查\t463
通过筛选查找相关事件\t463
Stuxnet对系统的改动\t465
．PNF文件\t469
Windows 7中的特权提升\t471
借助Sysinternals工具发现的Stuxnet\t473
案例：奇怪的重启动\t474
案例：假冒的Java更新程序\t477
案例：Winwebsec恐吓软件\t480
案例：失控的GPU\t487
案例：莫名其妙的FTP连接\t488
案例：服务的错误配置\t491
案例：阻止Sysinternals的恶意软件\t494
案例：杀进程的恶意软件\t496
案例：假冒系统组件\t498
案例：神秘的ASEP\t499
第21章 理解系统行为\t502
案例：Q：盘\t502
案例：莫名其妙的网络连接\t505
案例：短命的进程\t506
案例：应用安装记录器\t510
案例：未知的NTLM通信\t516
第22章 开发者排错\t521
案例：被破坏的Kerberos委派\t521
案例：ProcDump内存泄漏\t522