SysInals Suite(微软工具包)

SysInals Suite(微软工具包)是一个由微软提供的一套广泛使用的系统内部工具集。助于用户了解系统资源的使用情况，诊断和解决性能问题，分析和监视进程、服务和网络活动。SysInals Suite(微软工具包)被广泛用于系统管理员、网络管理员、开发人员以及对系统内部工作原理感兴趣的技术爱好者之间！

SysInals Suite(微软工具包)功能

Windows Sysinternals部分工具的简单介绍：

AccessChk:显示指定用户或组对注册表文件或服务的访问

AccessEnum:简单强大的安全工具，显示哪些用户访问了哪些目录、文件及注册键。帮助找出权限策略中的漏洞。

AdExplorer:活动目录浏览器.

AdInsight:LDAP实时监控工具

AdRestore:Server 2003活动目录对象反删除.

Autologon:登录时跳过密码认证.

Autoruns:显示开机自启动项的配置。显示包括注册键和文件位置在内的全面列表

BgInfo:可配置的桌面背景自动生成程序，可以生成含有重要系统信息的桌面背景，其中包括IP地址,计算机名,网络适配器,等信息.

BlueScreen:不但能精确模拟蓝屏还能重启(完全借助CHKDSK)

CacheSet:用于使用NT提供的函数控制缓存管理器的工作集大小。它与所有版本的NT兼容

ClockRes:查看系统时钟的分辨率，这也是最大计时器分辨率。

Contig:快速对常用文件进行碎片整理？使用Contig优化单个文件，或创建连续的新文件。

Coreinfo:用于显示逻辑处理器与物理处理器、NUMA节点和套接字之间的映射，以及分配给每个逻辑处理器的缓存。

DebugView:Sysinternals的又一首创:该程序可以拦截设备驱动对DbgPrint的调用和Win32程序对OutputDebugString的调用.程序可以浏览或记录本机或远程计算机上调试会话的输出，而无须激活调试器.

Desktops：创建虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。

DiskExt:显示卷分区与磁盘的映射关系。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS)

Disk2Vhd：针对物理磁盘创建VHD映像

DiskView:图形化磁盘扇区工具

Diskmon:捕获硬盘的所有活动，或以硬盘活动指示灯的形式出现在托盘中

Du:(Disk Usage)按目录浏览磁盘使用情况

EFSDump:显示有关已加密文件的信息

Filemon:(可能已移除)即时监视文件系统的活动(监视文件读写，常配合RegMon判断某软件对电脑做了什么手脚)

FindLinks:报告文件索引和硬链接数目。

Handle:小巧的命令行工具，显示呢哪些文件被哪些进程打开，及相关更多信息。

Hex2dec:16进制-10进制互相转换。

Junction:创建NTFS卷上的符号链接（类似Linux的符号链接，灵活运用的话相当实用）

LDMDump:可以转储Logical Disk Manager在磁盘中的数据库

ListDLLs:列出当前载入的所有DLLs及他们的位置和版本，以及已载入模组的完整路径名

LiveKd:在live(CD)系统中使用Microsoft内核调试器或MS内核调试工具Windbg.

LoadOrder:查看WinNT/2K中设备的载入顺序

LogonSessions：列出系统上的活动登录会话。

MoveFile:为下次启动前安排文件的移动和删除操作

NotMyFault:可用于在Windows系统上崩溃、挂起和导致内核内存泄漏。

NewSID:(可能被移除)了解有关计算机SID的问题，这是一个SID更改程序，为你换一个新的SID.

NTFSInfo:使用NTFSInfo查看有关NTFS卷的详细信息,包括主文件表(MFT)的大小位置和MFT-zone,以及NTFS元数据文件的大小.

PageDefrag:(可能被移除)启动时为页面文件和注册表HIVE文件进行碎片整理.

PendMoves:列出延迟到下次启动前执行的文件移动、删除操作

PipeList:显示系统上的命名管道，包括每个管道的最大实例数和活动实例数。

PortMon:监视串/并口的数据活动支持所有标准的串并口IOCTLs甚至可以显示一部分交换的数据.

ProcDump:捕获其他难以隔离和重现CPU峰值的进程转储

Process Explorer:能找出进程打开的文件，注册键，以及其他对象,载入的DLLs和进程所有者等信息。

Process Monitor:实时监视文件系统，注册表，进程，线程以及DLL的活动.

ProcFeatures:(可能被移除)报告进程或窗口对PAE与NX缓冲区溢出保护的支持情况

PsExec:在远程系统执行进程

PsFile:查看本地被远程打开的文件

PsGetSid:显示计算机或用户的SID

PsInfo:获取系统信息.

PsKill:终止本地或远程进程.

PsList:显示进程和线程有关的信息

PsLoggedOn:显示已登录系统的用户

PsLogList:转储事件日志记录

PsPasswd:更改账户密码

PsPing:测量网络性能

PsService:查看设置服务

PsShutdown:关闭或重启电脑

PsSuspend:冻结或恢复进程

PsTools:该命令行工具包提供列出本地/远程计算机进程、远程运行进程、重启、转储事件日志、及更多功能.

RAMMap:高级物理内存使用情况分析实用工具，它以不同的方式在其多个不同选项卡上呈现使用情况信息。

RDCMan:管理多个远程桌面连接。

RegDelNull:扫描并删除包含标准注册表编辑器无法删除的内嵌空字符的注册表键.

RegHide:(可能被移除)使用内置API创建名为"HKEY_LOCAL_MACHINESoftwareSysinternalsCan't touch me!0"的注册键及在其中创建键值.

Regjump:在Regedit中跳转至指定的注册键路径.

RU:查看指定注册表项的注册表空间使用情况。

Regmon:(可能被移除)实时监视所有注册表活动(监视注册表变化，可以配合FileMon来判断某软件在电脑上做了什么手脚)

RootkitRevealer:(可能被移除)扫描系统中基于RootKit的恶意程序

SDelete:兼容发国防部标准的安全删除程序，安全覆盖您的敏感文件并清理已删除文件留下的空闲空间.

ShareEnum:扫描网络上的文件共享并浏览其安全设置，来发现漏洞

ShellRunas:通过方便的shell上下文菜单条目以其他用户身份启动程序

Sigcheck:转储文件版本信息并校验系统中的映像是否经过数字签名

Streams:显示NTFS交换数据流

Strings:在二进制映像内搜索ANSI/UNICODE字串

Sync:(释放磁盘写缓存)，发送缓存中的数据至硬盘/移动磁盘

Sysmon:是一种Windows系统服务和设备驱动程序，可在系统重新启动后仍保持驻留状态，以监视系统活动并将系统活动记录到Windows事件日志。它提供有关进程创建、网络连接和文件创建时间更改的详细信息

TCPView:活动socket的观察器.(可以方便查看什么软件占用了什么端口之类的)

VolumeId:设置FAT或NTFS驱动器的卷ID

Whois:查询域名的所有者

Winobj:对象管理器命名空间的查看利器

ZoomIt:辅助演示工具支持屏幕上进行和画图