文章来自于果核剥壳公众号首发:https://mp.weixin.qq.com/s/6ciGZ4Fri6AdqkMk-UCByw
Windows发展至今,诞生了许多针对系统本身的工具,好用的工具可以用来调试系统和修改系统行为,一些底层的工具,还可以获取系统运行时的数据,用于排除系统错误和发现软件运行缺陷等,而在微软官方旗下也推出有自己的工具集套件——Sysinternals。
Sysinternals创建于1996年,虽然这个工具集有些历史了,但是在23年3月9号还在更新。
工具原本的完整名字是Systemlnternals,是由作者Mark Russinovich开发的一套用于命令行控制台的工具,需要一些知识才能用上,后来2006年与微软结合之后,才给一些工具加上了界面。
至于这个Systemlnternals有多牛,从侧面给大家说说这个工具集的作者吧,作者Mark Russinovich有卡内基梅隆大学博士学位,是Windows内核技术专家、微软AzureCTO,他以前还根据自己真实的从业经验,写了一本剧情跌宕起伏的《黑客的代码》小说。
不只拥有乌黑的秀发,还技术和文艺并行发展,根据微软科技官方账号透露,微软甚至都为他一人收购了一家公司!微软高层也对他青睐有加……啊这,这不就是小说的主角吗?这种经历也是大多码农羡慕的事情吧,软件写着写着就被大公司挖走,走向了人生巅峰。
现在对这个工具是不是也有一种光环效应?牛就完事了。
关于这个工具集还出有自己的书,用得上的人都给出了不错评价,不过这个工具集大家对它的看法大多是:“让你不花一分钱,让你有能力处理Windows的各种问题。”但如果买了书的话也不算是免费了吧,有一种特殊的幽默感。
这些工具一共有160个(包括32和64位),解压出来有一百多兆,这些工具涵盖了:文件磁盘工具、网络与系统工具、系统信息和进程与安全等等的工具,虽然每个文件都比较小,但是蕴含的能量可不少,一些网络安全攻防团队直到现在,也会用到这些工具。
之前也有人拿这个来分析驱动人生,在Windows下是比较可靠的工具。
这些工具在官方站点有对应的中文解释,一些需要用到命令参数的,也可以来这里查找。
想要一下就全面了解这些工具是非常困难的,我们来看几个大家平常能用上的工具。
一、Autoruns
这个工具可以帮你扫描开机时启动的任务和文件,比一些管家类型的工具扫描出来的结果还丰富,而有些恶意程序与病毒喜欢通过悄悄启动来潜伏。
可以通过这个工具,看看自己电脑里都有些什么东西被悄无声息地启动了,如果有你觉得“诡异”的项目,这个工具还集成了之前介绍过的在线恶意文件检测平台VirusTotal的服务,右键点击一下扫描,就能得到文件被多少杀毒引擎标记成了危险,点击数量可以查看具体的扫描结果。
Autoruns可以扫描Office相关的加载项、计划任务、引导和动态库、资源管理器以及驱动文件等等的内容,可以用来辅助清除一些失效和恶意文件,丢失的文件会有黄色的标记,而一些无法验证签名的文件会用红色标记,这时候就可以扫一下看看是不是“大宝贝”。
二、ZoomIt
这是一个用于演示的工具,可帮你放大屏幕跟随鼠标移动,在屏幕上涂涂写写、在屏幕上显示倒计时以及录屏等等,这个工具由于比较出色,被大家单独拿出去宣传了,ZoomIt的名声可能比Systemlnternals这个工具集本身的名气还高。
它的完整功能如下图:
三、AccessEnum
这个小工具可以帮你扫描哪个文件夹是谁创建的,并且被哪些用户读取过,如果你的电脑上有多个账户,你是管理员的话,那么这个工具能帮你检查文件被访问过没有,可以查看指定的文件夹,速度快。
四、Autologon
在使用一些自动化工具的时候,需要机器循环重启执行任务的时候,可以使用这个工具自动登录Windows,不需要再去配置各种复杂的权限设置,直接打开软件,填写密码即可。
五、TcpView
使用这个小工具来查看软件实时的联网状态,TCP/UDP协议、远程地址与占用的端口号、IPV4/6状态等信息。
六、Procmon
使用这个工具能很直观地看出软件在后台悄悄做了什么,像是创建了什么文件、创建的文件名字与执行结果、读取对比了哪些文件、动了哪些注册表、以及通过文件管理器访问了哪些文件等等、一举一动都可以很详细列出来。
如果担心软件在后台搞小动作,用这个“照妖镜看看就知道了”。
更多内容大家可以自行下载玩一下,有了这些工具,让玩机又多了不少姿势,有的工具也存在一定门槛,建议配合官方文档一起使用。
最后,附上软件的体验地址。
在 果核剥壳 公众号
回复20230315获取最新链接
微信扫一扫 
支付宝扫一扫 