微软系统工具套件SysinternalsSuite各个工具功能说明

下载地址：http://download.sysinternals.com/files/SysinternalsSuite.zip

工具名    工具说明

Accesschk      Windows管理员往往需要知道什么样的访问特定的用户或团体的资源，包括文件，目录，注册表项和Windows服务。 AccessChk将回答这些问题的一个直观的界面和输出。

AccessEnum   AccessEnum可以让你在数秒的时间内了解目录、文件以及注册表的权限设置情况，快速找到安全漏洞并锁定需要保护的权限。对于虚拟主机管理者来讲帮助会更大。

ADExplorer    活动目录浏览器(ADExplorer),一款先进的活动目录(ActiveDirectory)查看软件。

ADInsight       一种LDAP(轻型目录访问协议)实时监视工具,旨在对Active Directory 客户端应用程序进行故障排除。

Adrestore       ADRestore.exe工具恢复用户账号后,用户的相关属性会被清除,只保留用户的SID。

Autologon       能在 Windows 登录时自动输入用户名密码

Autoruns 可查看、删除注册表及Win.ini文件等处的自启动项目

Autorunsc      上一个软件的命令行版本

Bginfo     一款用于设置墙纸背景文本显示的软件,此软件本身可以探测一些有用的系统信息并能把这些有用文字显示在墙纸上

Cacheset CacheSet允许您处理系统文件缓存中的工作集参数。CacheSet可以在所有版本的NT上运行，而且在不对新ServicePack版本进行修改的情况下也可运行。除了使您能够控制工作集大小的最小值和最大值，它还允许您重置缓存的工作集，强制它在必要时从一个最小的起点开始增长。CacheSet的更改会对缓存的大小立即产生影响。注意：要在NT 4.0 Service Pack 4上使用 CacheSet，您必须拥有“增加配额”的权限（管理员账户默认拥有此权限）。CacheSet已经获得更新可启用此权限，因此它可以在SP4上运行。

Clockres 是否曾经对于系统时钟的解析度为何感到纳闷，或是您的应用程式能够取得的最大计时器解析度为何而感到疑惑？答案就在一个名为 GetSystemTimeAdjustment 的简单功能上，而且 ClockRes 小应用程式执行此功能并为您揭晓。请参阅 Windows NT 中的高解析度计时器 取得增加解析度的相关资讯。ClockRes 只能在 WindowsNT/2K 中执行，而且不需要使用任何命令列引数。

Contig     一个基于命令行的小程序，能够快速有效的整理硬盘上的文件碎片，可以使文件变的连续，提高访问速度。Power Defragmenter是一个高手编写的Contig的GUI版本，带有一个图形界面，用起来更方便，更直观。可以大大提高碎片整理速度。使用前需要把Contig与Power Defragmenter放在同一文件夹下。

Coreinfo  命令行处理器信息查看工具(Coreinfo),这是一款在命令行下工作的小工具,他的作用就是显示CPU 功能、高速缓存大小和拓扑。

Ctrl2cap  Ctrl2cap是一种核心模式装置驱动程式，它会筛选系统的键盘类别驱动程式，才能将大写锁定字元转换成控制字元。其他像我一样将 UNIX 迁移至 NT 的人习惯使用控制键 (即标准 PC 键盘上的 Caps Lock 键)，所以这类型的公用程式对我们编辑的工作方面是必要的。

Dbgview debugview可以监视本地系统的调试输出，也可以监视任何网络上的计算机(通过tcp/ip)的调试输出。它可以捕获内核模式和win32的调试输出，并且无需调试器，也无需对应用程序或驱动做修改，使用标准的调试API即可

Defrag    Microsoft磁盘碎片整理程序

Desktops 使用这一新的实用工具可以创建最多四个虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。

Disk2vhd disk2vhd是一款用于将逻辑磁盘转换为 vhd 格式虚拟磁盘的实用工具。利用该工具我们可以轻松地将当前系统中的分区生成为一个 vhd 文件，便于挂载到虚拟平台。

Diskext   把文件系统格式化成格式化成EXT3

Diskmon Diskmon是一硬盘数据存取实时监控软件，能够将 Windows NT/2000/XP 操作系统的硬盘数据存取时间滴水不漏地纪录下来，您还可以将纪录文件储存成 LOG 文字文件。

DiskView 该软件集成于微软的Windows操作系统的资源管理器以显示一个直观的磁盘空间使用情况。该软件的Visualizer面板在一个图形图表中提供关于当前文件夹的详细使用情况信息。文件和文件夹空间占用情况以及在Windows 操作系统的资源管理器中的Detailsview 的Relative Size能够使用DiskView's Size On Disk进行观看。

Du   按目录查看磁盘使用情况。

Efsdump 查看加密文件的信息。

FindLinks       FindLinks报告文件索引和硬链接数目。

Handle     此易用命令行实用工具将显示哪些进程打开了哪些文件，以及更多其他信息。

Hex2dec  把字符串表示的16进制数转换成一个十进制数。

Junction  给文件夹建立硬链接，给文件建立硬链接是DOS命令fsutil。

Ldmdump       转储逻辑磁盘管理器在磁盘上的数据库内容,其中说明了 Windows 2000 动态磁盘的分区情况。

Listdlls    检测系统正在使用的DLL文件

Livekd     内核调试工具

LoadOrd  查看驱动加载信息

Logonsessions       列出服务器登录会话

Movefile  允许您安排下一次开机进行移动和删除命令。

Ntfsinfo  怎样得到你自己个人的NTFS volumes呢？比如扇区的数量，簇的大小，以及其它有趣的NTFS 的信息？在一些细节方面，NTFSInfo会为你提供如下信息：主文件基于簇的位置主文件镜像的启动簇主文件的大小卷的大小簇和分区的总数量可用的自由空间分区和簇的字节数

Pagedfrg 标准的碎片整理程序既无法向您显示分页文件和注册表配置单元的碎片化情况，也无法对它们进行碎片整理。分页和注册表文件碎片化可能是系统因文件碎片化而导致性能下降的首要原因之一。 PageDefrag 使用先进的技术向您提供商业碎片整理程序无法提供的服务：即查看分页文件和注册表配置单元的碎片化情况，并且对它们进行碎片整理的能力。此外，它还对事件日志和 Windows 2000/XP 休眠文件（当休眠笔记本电脑时保存系统内存的地方）进行碎片整理。

Pendmoves     在系统启动的时候对文件、文件夹进行移动、删除等操作

Pipelist    显示系统上的命名管道,包括每个管道的最大实例数和活动实例数。

Portmon  Portmon是用于监视和显示系统中所有串行端口和并行端口活动的实用工具。

Procdump      功能强悍的脱壳工具，支持多达28类、几十种加壳工具生成的压缩加密文件，是修改文件资源前进行脱壳处理，汉化爱好者的不可多得的利器！

Procexp  此软件非常强大，一般的进程管理软件只可以查看进程，结束进程，Procexp 可以在 2000 xp2003 下正常运行，有一般进程管理软件的功能之外，还能搜索dll 结束线程，比如网际快车线程数，结束dll文件加载，这对查杀木马非常有用。

Procmon 进程监视器,这是一个高级的Windows监视工具,不但可以监视进程/线程,还可以关注到文件系统,注册表的变化.它包含2个Sysinternals遗留组件:Filemon 和 Regmon,并添加了大量功能。

PsExec    远程执行进程

Psfile      PsFile是一个显示机器上的会话和有什么文件被网络中的用户打开的命令。它是Sysinternals 命令行工具不断完善的PsTools 工具包的一部分。

PsGetsid  显示SID

PsInfo     显示系统信息

Pskill       根据名字或PID杀死进程

Pslist       进程列表

PsLoggedon    显示目前谁登陆的机器的命令

Psloglist  查看系统事件记录的程序

Pspasswd       用来更改WinNT/2K用户密码的程序

Psping     扩展的Ping，可以选择ICMP、TCP、UDP

PsService       查看或启动服务

Psshutdown    关闭或重启系统

Pssuspend      挂起进程

RAMMap       用于展示系统和进程内存状态和利用率。

RegDelNull     在Windows注册表中有时会遇到用regedit等常规工具无法删除的键(key)，其主要原因是某些程序（或人？）故意在键中加入了空格（例如使用reghide程序）。这时就可以用regdelnull帮忙。

Reghide   建立名为 "HKEY_LOCAL_MACHINE\Software\Sysinternals\Can't touchme!\0" 并使用原生 API 的金钥，而且会在此金钥内建立一个值。

Regjump  跳至您在 Regedit 中指定的登录路径。

RootkitRevealer      一个流行的基于行为的 Rootkit 检查程序。

Ru   报告注册表中某一键值的使用情况

Sdelete    彻底删除数据，粉碎文件

ShareEnum     WindowsNT/2000/XP 网络安全中经常被忽略的方面是文件共享。当用户以宽松的安全标准定义文件共享时，通常会出现安全缺陷，从而使得未经授权的用户可以查看敏感文件。没有任何一款内置工具可以列出网络中可见的共享及其安全设置，但 ShareEnum 填补了这一空白，使您可以锁定网络上的文件共享。

ShellRunas      注册Shell用

Sigcheck 检查数字签名

Streams   NTFS文件系统为应用程序提供创建信息备用数据流的能力。

Strings    这个工具是为了对付那些木马，通过搜索这个文件内部是否含有某个字符。

Sync       把内存中的数据写进硬盘里。-e可以弹出光驱。

Tcpvcon  这个工具和tcpview的功能是一样的，不过这个最适合在dos下使用，能指定显示的内容，估计在服务器端，你能用到。

Tcpview  TCP连接查看器

Vmmap   用来分析应用程序使用虚拟和物理内存的情况

Volumeid 修改硬盘卷标

Whois     查询域名的IP以及所有者等信息

Winobj    WinObj是一个32位Windows NT程序，使用本机Windows NT的API（由NTDLL.DLL中提供）来访问和显示在NT对象管理器的名称空间的信息。

ZoomIt    一款非常实用的投影演示辅助软件

ZoomIt64       上一个软件的64位版本