Windows Sysinternals實戰(zhàn)指南

目錄
第1部分 入門
第1章 Sysinternals工具入門\t3
工具概述\t3
Windows Sysinternals網(wǎng)站\t6
下載工具\t6
直接通過網(wǎng)絡(luò)運行工具\t8
單一可執(zhí)行映像\t9
Windows Sysinternals論壇\t9
Windows Sysinternals網(wǎng)站博客\t10
Mark的博客\t10
Mark的網(wǎng)絡(luò)廣播\t11
Sysinternals許可信息\t11
最終用戶許可協(xié)議以及/accepteula參數(shù)\t11
有關(guān)Sysinternals許可的常見問題\t12
第2章 Windows核心概念\t13
管理權(quán)利\t14
進(jìn)程、線程和作業(yè)\t16
用戶模式和內(nèi)核模式\t17
句柄\t\t18
應(yīng)用程序隔離\t19
應(yīng)用容器\t20
受保護(hù)進(jìn)程\t24
調(diào)用棧和符號\t26
調(diào)用棧是什么？\t26
符號是什么？\t27
符號的配置\t29
會話、窗口站、桌面和窗口消息\t30
遠(yuǎn)程桌面服務(wù)會話\t31
窗口站\t\t32
桌面\t\t33
窗口消息\t34
第3章 Process Explorer\t36
Procexp概述\t36
度量CPU的使用情況\t38
管理權(quán)利\t39
主窗口\t40
進(jìn)程列表\t40
定制可顯示的列\(zhòng)t49
保存顯示的數(shù)據(jù)\t60
工具欄參考\t60
找出窗口對應(yīng)的進(jìn)程\t61
狀態(tài)欄\t\t62
DLL和句柄\t63
查找DLL或句柄\t63
DLL視圖\t64
句柄視圖\t67
進(jìn)程詳情\t71
Image選項卡\t71
Performance選項卡\t73
Performance Graph選項卡\t74
GPU Graph選項卡\t74
Threads選項卡\t75
TCP/IP選項卡\t75
Security選項卡\t76
Environment選項卡\t77
Strings選項卡\t78
Services選項卡\t79
．NET選項卡\t79
Job選項卡\t80
線程詳情\t81
驗證映像簽名\t83
VirusTotal分析\t84
系統(tǒng)信息\t86
CPU選項卡\t88
Memory（內(nèi)存）選項卡\t88
I/O選項卡\t89
GPU選項卡\t89
顯示選項\t91
用Procexp取代任務(wù)管理器\t92
通過Procexp啟動進(jìn)程\t93
其他用戶的會話\t93
其他功能\t93
關(guān)機(jī)選項\t93
命令行參數(shù)\t94
恢復(fù)Procexp的默認(rèn)值\t94
鍵盤快捷鍵參考\t94
第4章 Autoruns\t95
Autoruns基礎(chǔ)知識\t96
禁用或刪除自動啟動項\t98
Autoruns和管理權(quán)利\t99
驗證代碼簽名\t99
VirusTotal分析\t100
隱藏自動啟動項\t101
進(jìn)一步了解某個自動啟動項\t103
查看其他用戶的自動啟動項\t104
查看脫機(jī)系統(tǒng)的ASEP\t104
更改字體\t105
不同類型的自動啟動\t105
Logon\t\t105
Explorer\t107
Internet Explorer\t109
Scheduled Tasks\t109
Services\t110
Drivers\t\t110
Codecs\t\t111
Boot Execute\t111
Image hijacks\t112
AppInit\t\t113
KnownDLLs\t113
Winlogon\t114
Winsock Providers\t114
Print monitors\t115
LSA providers\t115
Network providers\t116
WMI\t\t116
Sidebar gadgets\t116
Office\t\t116
保存并對比結(jié)果\t117
保存為制表符分隔的文本\t117
保存為二進(jìn)制（．a(chǎn)rn）格式\t118
查看并對比保存的結(jié)果\t118
AutorunsC\t118
Autoruns和惡意軟件\t121
第2部分 使用指導(dǎo)
第5章 Process Monitor\t125
Procmon概述\t126
事件\t\t127
理解默認(rèn)顯示的列\(zhòng)t128
定制要顯示的列\(zhòng)t130
事件屬性對話框\t132
查看Profiling事件\t135
查找事件\t137
復(fù)制事件數(shù)據(jù)\t137
跳轉(zhuǎn)至注冊表或文件位置\t138
聯(lián)機(jī)搜索\t138
篩選、強(qiáng)調(diào)和收藏\t138
配置篩選器\t139
配置強(qiáng)調(diào)\t141
收藏\t\t141
高級輸出\t142
保存篩選器以待后用\t143
進(jìn)程樹\t143
保存并打開Procmon的追蹤記錄\t145
保存Procmon的追蹤記錄\t145
Procmon的XML架構(gòu)\t147
打開保存的Procmon追蹤記錄\t149
記錄啟動、注銷后及關(guān)機(jī)活動\t150
記錄啟動過程\t150
讓Procmon在賬戶注銷后繼續(xù)運行\(zhòng)t151
長時間運行追蹤以及日志文件體積的控制\t152
丟棄篩選掉的事件\t152
歷史深度\t153
備份文件\t153
配置設(shè)置的導(dǎo)入和導(dǎo)出\t154
Procmon的自動化操作：命令行選項\t154
分析工具\t156
Process Activity Summary\t157
File Summary\t157
Registry Summary\t159
Stack Summary\t160
Network Summary\t161
Cross Reference Summary\t161
Count Occurrences\t161
將自定義調(diào)試輸出注入Procmon追蹤\t162
工具欄參考\t163
第6章 ProcDump\t165
命令行語法\t167
指定要監(jiān)視的進(jìn)程\t168
附加至現(xiàn)有進(jìn)程\t169
啟動目標(biāo)進(jìn)程\t170
監(jiān)視通用Windows平臺應(yīng)用程序\t170
通過AeDebug注冊自動啟用調(diào)試\t172
指定轉(zhuǎn)儲文件路徑\t173
指定創(chuàng)建轉(zhuǎn)儲的條件\t174
監(jiān)視異常\t178
轉(zhuǎn)儲文件選項\t179
Miniplus轉(zhuǎn)儲\t181
ProcDump和Procmon：配合使用效果更好\t183
以非交互方式運行ProcDump\t185
在調(diào)試器中查看轉(zhuǎn)儲\t185
第7章 PsTools\t187
通用功能\t188
遠(yuǎn)程操作\t188
遠(yuǎn)程PsTools連接排錯\t190
PsExec\t191
遠(yuǎn)程進(jìn)程的退出\t192
重定向控制臺輸出\t193
PsExec的備用憑據(jù)\t194
PsExec的命令行選項\t194
進(jìn)程性能選項\t195
遠(yuǎn)程連接選項\t196
運行時環(huán)境選項\t196
PsFile\t199
PsGetSid\t200
PsInfo\t201
PsKill\t203
PsList\t204
PsLoggedOn\t205
PsLogList\t206
PsPasswd\t210
PsService\t211
Query\t\t211
Config\t\t213
Depend\t\t214
Security\t214
Find\t\t215
SetConfig\t215
啟動、停止、重啟動、暫停、恢復(fù)\t215
PsShutdown\t215
PsSuspend\t218
PsTools的命令行語法\t218
PsExec\t\t218
PsFile\t\t219
PsGetSid\t219
PsInfo\t\t219
PsKill\t\t219
PsList\t\t219
PsLoggedOn\t219
PsLogList\t219
PsPasswd\t219
PsService\t219
PsShutdown\t220
PsSuspend\t220
PsTools系統(tǒng)要求\t220
第8章 進(jìn)程和診斷工具\t221
VMMap\t221
啟動VMMap并選擇進(jìn)程\t222
VMMap窗口\t224
內(nèi)存類型\t225
內(nèi)存信息\t226
時間線和快照\t227
查看內(nèi)存區(qū)域中包含的文本\t229
查找并復(fù)制文本\t229
查看已安排進(jìn)程的分配\t229
地址空間碎片\t232
保存并加載快照結(jié)果\t233
VMMap的命令行選項\t233
恢復(fù)VMMap的默認(rèn)值\t234
DebugView\t234
調(diào)試輸出是什么？\t234
DebugView顯示的內(nèi)容\t235
捕獲用戶模式的調(diào)試輸出\t237
捕獲內(nèi)核模式調(diào)試輸出\t237
輸出結(jié)果的搜索、篩選和強(qiáng)調(diào)\t238
保存、日志和打印\t241
遠(yuǎn)程監(jiān)視\t242
LiveKd\t244
LiveKd的前提需求\t245
運行LiveKd\t245
內(nèi)核調(diào)試器的目標(biāo)類型\t246
輸出至調(diào)試器或轉(zhuǎn)儲文件\t247
內(nèi)容轉(zhuǎn)儲\t248
Hyper-V來賓調(diào)試\t249
符號\t\t249
LiveKd使用范例\t250
ListDLLs\t251
Handle\t254
顯示和搜索句柄\t255
句柄數(shù)\t\t257
關(guān)閉句柄\t258
第9章 安全工具\t259
SigCheck\t259
指定要掃描的文件\t262
簽名驗證\t263
VirusTotal分析\t265
有關(guān)文件的其他信息\t267
輸出格式\t268
雜項\t\t269
AccessChk\t270
“有效權(quán)限”是什么？\t271
AccessChk的使用\t271
對象類型\t273
搜索訪問權(quán)利\t276
輸出選項\t277
Sysmon\t279
Sysmon可記錄的事件\t280
Sysmon的安裝和配置\t287
提取Sysmon事件數(shù)據(jù)\t291
AccessEnum\t293
ShareEnum\t295
ShellRunAs\t296
Autologon\t297
LogonSessions\t298
SDelete\t301
SDelete的使用\t302
SDelete的工作原理\t302
第10章 Active Directory工具\t304
AdExplorer\t304
連接到域\t304
AdExplorer顯示的內(nèi)容\t305
對象\t\t306
特性\t\t307
搜索\t\t308
快照\t\t309
AdExplorer的配置\t310
AdInsight\t310
AdInsight的數(shù)據(jù)捕獲\t311
顯示選項\t313
查找感興趣的信息\t314
篩選結(jié)果\t316
保存和導(dǎo)出AdInsight的數(shù)據(jù)\t317
命令行選項\t318
AdRestore\t319
第11章 桌面工具\t320
BgInfo\t320
配置要顯示的數(shù)據(jù)\t321
外觀選項\t324
保存BgInfo配置以供后用\t325
其他輸出選項\t325
更新其他桌面\t327
Desktops\t327
ZoomIt\t329
ZoomIt的使用\t329
放大模式\t330
繪圖模式\t330
鍵入模式\t331
休息計時器\t331
LiveZoom\t331
第12章 文件工具\t333
Strings\t333
Streams\t334
NTFS鏈接工具\t335
Junction\t336
FindLinks\t338
Disk Usage (DU)\t338
重啟后文件操作工具\t341
PendMoves\t341
MoveFile\t341
第13章 磁盤工具\t343
Disk2Vhd\t343
Sync\t\t349
DiskView\t350
Contig\t352
整理現(xiàn)有文件的碎片\t353
分析現(xiàn)有文件的碎片化程度\t354
分析可用空間的碎片程度\t355
創(chuàng)建連續(xù)的文件\t355
DiskExt\t356
LDMDump\t357
VolumeID\t359
第14章 網(wǎng)絡(luò)和通信工具\t360
PsPing\t360
ICMP Ping\t361
TCP Ping\t362
PsPing服務(wù)器模式\t363
TCP/UDP延遲測試\t364
TCP/UDP帶寬測試\t366
PsPing直方圖\t367
TCPView\t368
Whois\t369
第15章 系統(tǒng)信息工具\t371
RAMMap\t371
Use Counts\t372
Processes\t374
Priority Summary\t374
Physical Pages\t375
Physical Ranges\t376
File Summary\t376
File Details\t377
清理物理內(nèi)存\t378
保存和加載快照\t378
Registry Usage（RU）\t379
CoreInfo\t381
-c：有關(guān)內(nèi)核的信息\t382
-f：內(nèi)核功能信息\t382
-g：有關(guān)處理器組的信息\t384
-l：有關(guān)緩存的信息\t384
-m：NUMA訪問成本\t385
-n：有關(guān)NUMA節(jié)點的信息\t386
-s：有關(guān)插槽的信息\t386
-v：與虛擬化有關(guān)的功能\t386
WinObj\t386
LoadOrder\t388
PipeList\t389
ClockRes\t390
第16章 其他工具\t391
RegJump\t391
Hex2Dec\t392
RegDelNull\t392
Bluescreen Screen Saver\t393
Ctrl2Cap\t394
第3部分 排錯——“難解之謎”
第17章 錯誤信息\t397
錯誤信息排錯\t397
案例：文件夾被鎖定\t399
案例：文件正在使用中錯誤\t400
案例：照片查看器的未知錯誤\t401
案例：ActiveX注冊失敗\t402
案例：“播放到”失敗\t404
案例：安裝失敗\t404
排錯\t\t405
具體分析\t407
案例：不可讀取的文本文件\t409
案例：文件夾關(guān)聯(lián)丟失\t410
案例：臨時注冊表配置文件\t412
案例：Office RMS錯誤\t416
案例：林功能級別提升失敗\t417
第18章 崩潰\t419
崩潰故障的排錯\t419
案例：反病毒軟件更新失敗\t422
案例：Proksi工具的崩潰\t423
案例：網(wǎng)絡(luò)位置感知服務(wù)的故障\t424
案例：EMET升級失敗\t425
案例：崩潰轉(zhuǎn)儲丟失\t426
案例：無規(guī)律卡頓\t427
第19章 掛起和性能遲鈍\t429
掛起和性能遲鈍問題的排錯\t429
案例：IExplore耗盡CPU\t431
案例：失控的網(wǎng)站\t432
案例：ReadyBoost造成的問題\t434
案例：筆記本藍(lán)光播放器卡頓\t436
案例：公司內(nèi)網(wǎng)長達(dá)15分鐘的登錄\t438
案例：PayPal郵件掛起\t439
案例：財務(wù)軟件掛起\t441
案例：緩慢的主題演講演示\t442
案例：Project文件打開緩慢\t446
復(fù)合案例：Outlook掛起\t450
第20章 惡意軟件\t455
惡意軟件排錯\t456
Stuxnet（震網(wǎng)）\t458
惡意軟件和Sysinternals工具\t459
Stuxnet的傳播介質(zhì)\t459
Windows XP上的Stuxnet\t460
深入調(diào)查\t463
通過篩選查找相關(guān)事件\t463
Stuxnet對系統(tǒng)的改動\t465
．PNF文件\t469
Windows 7中的特權(quán)提升\t471
借助Sysinternals工具發(fā)現(xiàn)的Stuxnet\t473
案例：奇怪的重啟動\t474
案例：假冒的Java更新程序\t477
案例：Winwebsec恐嚇軟件\t480
案例：失控的GPU\t487
案例：莫名其妙的FTP連接\t488
案例：服務(wù)的錯誤配置\t491
案例：阻止Sysinternals的惡意軟件\t494
案例：殺進(jìn)程的惡意軟件\t496
案例：假冒系統(tǒng)組件\t498
案例：神秘的ASEP\t499
第21章 理解系統(tǒng)行為\t502
案例：Q：盤\t502
案例：莫名其妙的網(wǎng)絡(luò)連接\t505
案例：短命的進(jìn)程\t506
案例：應(yīng)用安裝記錄器\t510
案例：未知的NTLM通信\t516
第22章 開發(fā)者排錯\t521
案例：被破壞的Kerberos委派\t521
案例：ProcDump內(nèi)存泄漏\t522