编辑推荐

Windows Sysinternals实战指南》是《WindowsSysinternalsAdministrator'sReference》一书的全新升级。微软zi深网络安全架构师、企业应用程序兼容性专家、人称“AppCompatGuy”的ChrisJackson写序推荐!

Windows Sysinternals实战指南》首先介绍Sysinternals各种工具的功能,帮助你快速上手。随后深入介绍每个主要工具,让你全面了解从ProcessExplorer和ProcessMonitor,到Sysinternals的安全工具和文件工具等各种工具的使用。最后介绍如何使用这些工具解决现实世界中遇到的各种错误信息、程序挂起、卡顿、恶意软件感染等问题。

WindowsSysinternals工具开发者MarkRussinovich和AaronMargosis将教会你:

●使用ProcessExplorer显示有关进程和系统信息的细节;
●使用ProcessMonitor捕获底层系统事件,对输出结果进行快速筛选,缩小问题根源的可能范围;
●罗列、分类和管理计算机启动或登录时以及运行MicrosoftOffice或InternetExplorer时自动运行的软件;
●验证文件、运行中的程序以及这些程序所加载模块的数字签名;
●使用Autoruns、ProcessExplorer、Sigcheck和ProcessMonitor的各种功能检测并清理感染的恶意软件;
●检查文件、注册表键、服务、共享以及其他对象的权限;
●使用Sysmon监视网络中与安全有关的事件;
●当进程满足特定条件时生成内存转储;
●远程执行进程,远程关闭已经打开的文件;
●管理ActiveDirectory对象并追踪LDAPAPI调用;
●捕获有关处理器、内存和系统时钟的细节数据;
●对设备无法启动、文件正在使用、莫名其妙的通信以及其他各种问题进行排错;
●理解鲜为人知的Windows核心概念。

内容简介

内容提要
WindowsSysinternals工具已被很多IT专家和高级用户用作在Windows平台上进行问题诊断和排错,以及深入理解Windows系统的全功能“瑞士军刀”。这本由Sysinternals创始人MarkRussinovich与Windows专家AaronMargosis联手编著的实战指南图书详细介绍了Sysinternals每款工具的独到功能,并用较多篇幅深入介绍了如何通过几款重量级工具优化Windows系统的可靠性、执行效率、性能以及安全性。最后,还通过大量现实案例介绍了通过这些工具解决程序出错、停止响应、卡顿、恶意软件感染等问题的思路、方法以及完整过程。

作者简介

关于作者
MarkRussinovich是Sysinternals工具的共同开发者,目前担任MicrosoftAzure的首xi技术官,还负责持续更新这套工具。在操作系统、分布式系统、安全等技术领域,Markussinovich是公认的专家,并与他人合作出版了广受欢迎的《WindowsInternals》系列图书。

AaronMargosis在微软CybersecurityServices部门担任首xi顾问,从1999年开始帮助客户处理与安全有关的问题,尤其擅长处理锁定环境中的安全和应用程序兼容性问题。

关于译者
刘晖,IT技术和Windows操作系统爱好者,热衷于研究Windows客户端和服务器技术,多次当选微软zui有价值专家(MVP)称号,曾出版过多本有关微软技术的原创和翻译图书。

目录

目录
第1部分入门
第1章Sysinternals工具入门3
工具概述3
WindowsSysinternals网站6
下载工具6
直接通过网络运行工具8
单一可执行映像9
WindowsSysinternals论坛9
WindowsSysinternals网站博客10
Mark的博客10
Mark的网络广播11
Sysinternals许可信息11
最终用户许可协议以及/accepteula参数11
有关Sysinternals许可的常见问题12
第2章Windows核心概念13
管理权利14
进程、线程和作业16
用户模式和内核模式17
句柄18
应用程序隔离19
应用容器20
受保护进程24
调用栈和符号26
调用栈是什么?26
符号是什么?27
符号的配置29
会话、窗口站、桌面和窗口消息30
远程桌面服务会话31
窗口站32
桌面33
窗口消息34
第3章ProcessExplorer36
Procexp概述36
度量CPU的使用情况38
管理权利39
主窗口40
进程列表40
定制可显示的列49
保存显示的数据60
工具栏参考60
找出窗口对应的进程61
状态栏62
DLL和句柄63
查找DLL或句柄63
DLL视图64
句柄视图67
进程详情71
Image选项卡71
Performance选项卡73
PerformanceGraph选项卡74
GPUGraph选项卡74
Threads选项卡75
TCP/IP选项卡75
Security选项卡76
Environment选项卡77
Strings选项卡78
Services选项卡79
.NET选项卡79
Job选项卡80
线程详情81
验证映像签名83
VirusTotal分析84
系统信息86
CPU选项卡88
Memory(内存)选项卡88
I/O选项卡89
GPU选项卡89
显示选项91
用Procexp取代任务管理器92
通过Procexp启动进程93
其他用户的会话93
其他功能93
关机选项93
命令行参数94
恢复Procexp的默认值94
键盘快捷键参考94
第4章Autoruns95
Autoruns基础知识96
禁用或删除自动启动项98
Autoruns和管理权利99
验证代码签名99
VirusTotal分析100
隐藏自动启动项101
进一步了解某个自动启动项103
查看其他用户的自动启动项104
查看脱机系统的ASEP104
更改字体105
不同类型的自动启动105
Logon105
Explorer107
InternetExplorer109
ScheduledTasks109
Services110
Drivers110
Codecs111
BootExecute111
Imagehijacks112
AppInit113
KnownDLLs113
Winlogon114
WinsockProviders114
Printmonitors115
LSAproviders115
Networkproviders116
WMI116
Sidebargadgets116
Office116
保存并对比结果117
保存为制表符分隔的文本117
保存为二进制(.arn)格式118
查看并对比保存的结果118
AutorunsC118
Autoruns和恶意软件121
第2部分使用指导
第5章ProcessMonitor125
Procmon概述126
事件127
理解默认显示的列128
定制要显示的列130
事件属性对话框132
查看Profiling事件135
查找事件137
复制事件数据137
跳转至注册表或文件位置138
联机搜索138
筛选、强调和收藏138
配置筛选器139
配置强调141
收藏141
高级输出142
保存筛选器以待后用143
进程树143
保存并打开Procmon的追踪记录145
保存Procmon的追踪记录145
Procmon的XML架构147
打开保存的Procmon追踪记录149
记录启动、注销后及关机活动150
记录启动过程150
让Procmon在账户注销后继续运行151
长时间运行追踪以及日志文件体积的控制152
丢弃筛选掉的事件152
历史深度153
备份文件153
配置设置的导入和导出154
Procmon的自动化操作:命令行选项154
分析工具156
ProcessActivitySummary157
FileSummary157
RegistrySummary159
StackSummary160
NetworkSummary161
CrossReferenceSummary161
CountOccurrences161
将自定义调试输出注入Procmon追踪162
工具栏参考163
第6章ProcDump165
命令行语法167
指定要监视的进程168
附加至现有进程169
启动目标进程170
监视通用Windows平台应用程序170
通过AeDebug注册自动启用调试172
指定转储文件路径173
指定创建转储的条件174
监视异常178
转储文件选项179
Miniplus转储181
ProcDump和Procmon:配合使用效果更好183
以非交互方式运行ProcDump185
在调试器中查看转储185
第7章PsTools187
通用功能188
远程操作188
远程PsTools连接排错190
PsExec191
远程进程的退出192
重定向控制台输出193
PsExec的备用凭据194
PsExec的命令行选项194
进程性能选项195
远程连接选项196
运行时环境选项196
PsFile199
PsGetSid200
PsInfo201
PsKill203
PsList204
PsLoggedOn205
PsLogList206
PsPasswd210
PsService211
Query211
Config213
Depend214
Security214
Find215
SetConfig215
启动、停止、重启动、暂停、恢复215
PsShutdown215
PsSuspend218
PsTools的命令行语法218
PsExec218
PsFile219
PsGetSid219
PsInfo219
PsKill219
PsList219
PsLoggedOn219
PsLogList219
PsPasswd219
PsService219
PsShutdown220
PsSuspend220
PsTools系统要求220
第8章进程和诊断工具221
VMMap221
启动VMMap并选择进程222
VMMap窗口224
内存类型225
内存信息226
时间线和快照227
查看内存区域中包含的文本229
查找并复制文本229
查看已安排进程的分配229
地址空间碎片232
保存并加载快照结果233
VMMap的命令行选项233
恢复VMMap的默认值234
DebugView234
调试输出是什么?234
DebugView显示的内容235
捕获用户模式的调试输出237
捕获内核模式调试输出237
输出结果的搜索、筛选和强调238
保存、日志和打印241
远程监视242
LiveKd244
LiveKd的前提需求245
运行LiveKd245
内核调试器的目标类型246
输出至调试器或转储文件247
内容转储248
Hyper-V来宾调试249
符号249
LiveKd使用范例250
ListDLLs251
Handle254
显示和搜索句柄255
句柄数257
关闭句柄258
第9章安全工具259
SigCheck259
指定要扫描的文件262
签名验证263
VirusTotal分析265
有关文件的其他信息267
输出格式268
杂项269
AccessChk270
“有效权限”是什么?271
AccessChk的使用271
对象类型273
搜索访问权利276
输出选项277
Sysmon279
Sysmon可记录的事件280
Sysmon的安装和配置287
提取Sysmon事件数据291
AccessEnum293
ShareEnum295
ShellRunAs296
Autologon297
LogonSessions298
SDelete301
SDelete的使用302
SDelete的工作原理302
第10章ActiveDirectory工具304
AdExplorer304
连接到域304
AdExplorer显示的内容305
对象306
特性307
搜索308
快照309
AdExplorer的配置310
AdInsight310
AdInsight的数据捕获311
显示选项313
查找感兴趣的信息314
筛选结果316
保存和导出AdInsight的数据317
命令行选项318
AdRestore319
第11章桌面工具320
BgInfo320
配置要显示的数据321
外观选项324
保存BgInfo配置以供后用325
其他输出选项325
更新其他桌面327
Desktops327
ZoomIt329
ZoomIt的使用329
放大模式330
绘图模式330
键入模式331
休息计时器331
LiveZoom331
第12章文件工具333
Strings333
Streams334
NTFS链接工具335
Junction336
FindLinks338
DiskUsage(DU)338
重启后文件操作工具341
PendMoves341
MoveFile341
第13章磁盘工具343
Disk2Vhd343
Sync349
DiskView350
Contig352
整理现有文件的碎片353
分析现有文件的碎片化程度354
分析可用空间的碎片程度355
创建连续的文件355
DiskExt356
LDMDump357
VolumeID359
第14章网络和通信工具360
PsPing360
ICMPPing361
TCPPing362
PsPing服务器模式363
TCP/UDP延迟测试364
TCP/UDP带宽测试366
PsPing直方图367
TCPView368
Whois369
第15章系统信息工具371
RAMMap371
UseCounts372
Processes374
PrioritySummary374
PhysicalPages375
PhysicalRanges376
FileSummary376
FileDetails377
清理物理内存378
保存和加载快照378
RegistryUsage(RU)379
CoreInfo381
-c:有关内核的信息382
-f:内核功能信息382
-g:有关处理器组的信息384
-l:有关缓存的信息384
-m:NUMA访问成本385
-n:有关NUMA节点的信息386
-s:有关插槽的信息386
-v:与虚拟化有关的功能386
WinObj386
LoadOrder388
PipeList389
ClockRes390
第16章其他工具391
RegJump391
Hex2Dec392
RegDelNull392
BluescreenScreenSaver393
Ctrl2Cap394
第3部分排错——“难解之谜”
第17章错误信息397
错误信息排错397
案例:文件夹被锁定399
案例:文件正在使用中错误400
案例:照片查看器的未知错误401
案例:ActiveX注册失败402
案例:“播放到”失败404
案例:安装失败404
排错405
具体分析407
案例:不可读取的文本文件409
案例:文件夹关联丢失410
案例:临时注册表配置文件412
案例:OfficeRMS错误416
案例:林功能级别提升失败417
第18章崩溃419
崩溃故障的排错419
案例:反病毒软件更新失败422
案例:Proksi工具的崩溃423
案例:网络位置感知服务的故障424
案例:EMET升级失败425
案例:崩溃转储丢失426
案例:无规律卡顿427
第19章挂起和性能迟钝429
挂起和性能迟钝问题的排错429
案例:IExplore耗尽CPU431
案例:失控的网站432
案例:ReadyBoost造成的问题434
案例:笔记本蓝光播放器卡顿436
案例:公司内网长达15分钟的登录438
案例:PayPal邮件挂起439
案例:财务软件挂起441
案例:缓慢的主题演讲演示442
案例:Project文件打开缓慢446
复合案例:Outlook挂起450
第20章恶意软件455
恶意软件排错456
Stuxnet(震网)458
恶意软件和Sysinternals工具459
Stuxnet的传播介质459
WindowsXP上的Stuxnet460
深入调查463
通过筛选查找相关事件463
Stuxnet对系统的改动465
.PNF文件469
Windows7中的特权提升471
借助Sysinternals工具发现的Stuxnet473
案例:奇怪的重启动474
案例:假冒的Java更新程序477
案例:Winwebsec恐吓软件480
案例:失控的GPU487
案例:莫名其妙的FTP连接488
案例:服务的错误配置491
案例:阻止Sysinternals的恶意软件494
案例:杀进程的恶意软件496
案例:假冒系统组件498
案例:神秘的ASEP499
第21章理解系统行为502
案例:Q:盘502
案例:莫名其妙的网络连接505
案例:短命的进程506
案例:应用安装记录器510
案例:未知的NTLM通信516
第22章开发者排错521
案例:被破坏的Kerberos委派521
案例:ProcDump内存泄漏522

精彩书摘

  《WindowsSysinternals实战指南》:
  选择或启动进程后,VMMap会分析进程,显示虚拟和物理内存分配情况图形,并显示表格形式的摘要和详细信息视图。上述每类信息中不同类型的内存会显示为不同颜色,SummaryView(摘要视图)也会显示不同颜色的信息。
  VMMap窗口(如图8—1所示)中第一个柱状图是Committed(已提交)摘要。不同颜色的区域代表了该进程地址空间内不同类型已提交内存的相对比例。同时这里的信息也是另外两个图形等比缩放的依据和基础。图标右侧边缘顶部显示的总数并非所有已分配内存总数,而是该进程“可访问”的内存数。已预留但暂时不可访问的内存区域,以及不可用区域并不会包含在该图表中。换句话说,这里显示的是RAM、分页文件或映射文件所支撑的内存。
  VMMap窗口中的第二个柱状图是PrivateBytes(专用字节)摘要。这是指不与其他进程共享,由物理RAM或分页文件支撑的进程内存。其中包含栈、堆、原始虚拟内存、页面表,以及映像中的可读写部分及文件映射。该图表右侧边缘上方的数字对应了该进程专用内存的总数。柱状图中的彩色区域代表不同类型内存分配中,专用字节的用量比例。
  ……

其他推荐