Windows Sysinternals实战指南PDF|Epub|txt|kindle电子书版本网盘下载

Windows Sysinternals实战指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1部分 入门3

第1章 Sysinternals工具入门3

工具概述3

Windows Sysinternals网站6

下载工具6

直接通过网络运行工具8

单一可执行映像9

Windows Sysinternals论坛9

Windows Sysinternals网站博客10

Mark的博客10

Mark的网络广播11

Sysinternals许可信息11

最终用户许可协议以及/accepteula参数11

有关Sysinternals许可的常见问题12

第2章 Windows核心概念13

管理权利14

进程、线程和作业16

用户模式和内核模式17

句柄18

应用程序隔离19

应用容器20

受保护进程24

调用栈和符号26

调用栈是什么？26

符号是什么？27

符号的配置29

会话、窗口站、桌面和窗口消息30

远程桌面服务会话31

窗口站32

桌面33

窗口消息34

第3章 Process Explorer36

Procexp概述36

度量CPU的使用情况38

管理权利39

主窗口40

进程列表40

定制可显示的列49

保存显示的数据60

工具栏参考60

找出窗口对应的进程61

状态栏62

DLL和句柄63

查找DLL或句柄63

DLL视图64

句柄视图67

进程详情71

Image选项卡71

Performance选项卡73

Performance Graph选项卡74

GPU Graph选项卡74

Threads选项卡75

TCP/IP选项卡75

Security选项卡76

Environment选项卡77

Strings选项卡78

Services选项卡79

NET选项卡79

Job选项卡80

线程详情81

验证映像签名83

VirusTotal分析84

系统信息86

CPU选项卡88

Memory（内存）选项卡88

I/O选项卡89

GPU选项卡89

显示选项91

用Procexp取代任务管理器92

通过Procexp启动进程93

其他用户的会话93

其他功能93

关机选项93

命令行参数94

恢复Procexp的默认值94

键盘快捷键参考94

第4章 Autoruns95

Autoruns基础知识96

禁用或删除自动启动项98

Autoruns和管理权利99

验证代码签名99

VirusTotal分析100

隐藏自动启动项101

进一步了解某个自动启动项103

查看其他用户的自动启动项104

查看脱机系统的ASEP104

更改字体105

不同类型的自动启动105

Logon105

Explorer107

Internet Explorer109

Scheduled Tasks109

Services110

Drivers110

Codecs111

Boot Execute111

Image hijacks112

AppInit113

KnownDLLs113

Winlogon114

Winsock Providers114

Print monitors115

LSA providers115

Network providers116

WMI116

Sidebar gadgets116

Office116

保存并对比结果117

保存为制表符分隔的文本117

保存为二进制（.arn）格式118

查看并对比保存的结果118

AutorunsC118

Autoruns和恶意软件121

第2部分 使用指导125

第5章 Process Monitor125

Procmon概述126

事件127

理解默认显示的列128

定制要显示的列130

事件属性对话框132

查看Profiling事件135

查找事件137

复制事件数据137

跳转至注册表或文件位置138

联机搜索138

筛选、强调和收藏138

配置筛选器139

配置强调141

收藏141

高级输出142

保存筛选器以待后用143

进程树143

保存并打开Procmon的追踪记录145

保存Procmon的追踪记录145

Procmon的XML架构147

打开保存的Procmon追踪记录149

记录启动、注销后及关机活动150

记录启动过程150

让Procmon在账户注销后继续运行151

长时间运行追踪以及日志文件体积的控制152

丢弃筛选掉的事件152

历史深度153

备份文件153

配置设置的导入和导出154

Procmon的自动化操作：命令行选项154

分析工具156

Process Activity Summary157

File Summary157

Registry Summary159

Stack Summary160

Network Summary161

Cross Reference Summary161

Count Occurrences161

将自定义调试输出注入Procmon追踪162

工具栏参考163

第6章 ProcDump165

命令行语法167

指定要监视的进程168

附加至现有进程169

启动目标进程170

监视通用Windows平台应用程序170

通过AeDebug注册自动启用调试172

指定转储文件路径173

指定创建转储的条件174

监视异常178

转储文件选项179

Miniplus转储181

ProcDump和Procmon：配合使用效果更好183

以非交互方式运行ProcDump185

在调试器中查看转储185

第7章 PsTools187

通用功能188

远程操作188

远程PsTools连接排错190

PsExec191

远程进程的退出192

重定向控制台输出193

PsExec的备用凭据194

PsExec的命令行选项194

进程性能选项195

远程连接选项196

运行时环境选项196

PsFile199

PsGetSid200

PsInfo201

PsKill203

PsList204

PsLoggedOn205

PsLogList206

PsPasswd210

PsService211

Query211

Config213

Depend214

Security214

Find215

SetConfig215

启动、停止、重启动、暂停、恢复215

PsShutdown215

PsSuspend218

PsTools的命令行语法218

PsExec218

PsFile219

PsGetSid219

PsInfo219

PsKill219

PsList219

PsLoggedOn219

PsLogList219

PsPasswd219

PsService219

PsShutdown220

PsSuspend220

PsTools系统要求220

第8章 进程和诊断工具221

VMMap221

启动VMMap并选择进程222

VMMap窗口224

内存类型225

内存信息226

时间线和快照227

查看内存区域中包含的文本229

查找并复制文本229

查看已安排进程的分配229

地址空间碎片232

保存并加载快照结果233

VMMap的命令行选项233

恢复VMMap的默认值234

DebugView234

调试输出是什么？234

DebugView显示的内容235

捕获用户模式的调试输出237

捕获内核模式调试输出237

输出结果的搜索、筛选和强调238

保存、日志和打印241

远程监视242

LiveKd244

LiveKd的前提需求245

运行LiveKd245

内核调试器的目标类型246

输出至调试器或转储文件247

内容转储248

Hyper-V来宾调试249

符号249

LiveKd使用范例250

ListDLLs251

Handle254

显示和搜索句柄255

句柄数257

关闭句柄258

第9章 安全工具259

SigCheck259

指定要扫描的文件262

签名验证263

VirusTotal分析265

有关文件的其他信息267

输出格式268

杂项269

AccessChk270

“有效权限”是什么？271

AccessChk的使用271

对象类型273

搜索访问权利276

输出选项277

Sysmon279

Sysmon可记录的事件280

Sysmon的安装和配置287

提取Sysmon事件数据291

AccessEnum293

ShareEnum295

ShellRunAs296

Autologon297

LogonSessions298

SDelete301

SDelete的使用302

SDelete的工作原理302

第10章 Active Directory工具304

AdExplorer304

连接到域304

AdExplorer显示的内容305

对象306

特性307

搜索308

快照309

AdExplorer的配置310

AdInsight310

AdInsight的数据捕获311

显示选项313

查找感兴趣的信息314

筛选结果316

保存和导出AdInsight的数据317

命令行选项318

AdRestore319

第11章 桌面工具320

BgInfo320

配置要显示的数据321

外观选项324

保存BgInfo配置以供后用325

其他输出选项325

更新其他桌面327

Desktops327

ZoomIt329

ZoomIt的使用329

放大模式330

绘图模式330

键入模式331

休息计时器331

LiveZoom331

第12章 文件工具333

Strings333

Streams334

NTF S链接工具335

Junction336

FindLinks338

Disk Usage （DU）338

重启后文件操作工具341

PendMoves341

MoveFile341

第13章 磁盘工具343

Disk2Vhd343

Sync349

DiskView350

Contig352

整理现有文件的碎片353

分析现有文件的碎片化程度354

分析可用空间的碎片程度355

创建连续的文件355

DiskExt356

LDMDump357

VolumeID359

第14章 网络和通信工具360

PsPing360

ICMP Ping361

TCP Ping362

PsPing服务器模式363

TCP/UDP延迟测试364

TCP/UDP带宽测试366

PsPing直方图367

TCPView368

Whois369

第15章 系统信息工具371

RAMMap371

Use Counts372

Processes374

Priority Summary374

Physical Pages375

Physical Ranges376

File Summary376

File Details377

清理物理内存378

保存和加载快照378

Registry Usage （RU）379

CoreInfo381

-c：有关内核的信息382

-f：内核功能信息382

-g：有关处理器组的信息384

-l：有关缓存的信息384

-m： NUMA访问成本385

-n：有关NUMA节点的信息386

-s：有关插槽的信息386

-v：与虚拟化有关的功能386

WinObj386

LoadOrder388

PipeList389

ClockRes390

第16章 其他工具391

RegJump391

Hex2Dec392

RegDelNull392

Bluescreen Screen Saver393

Ctrl2Cap394

第3部分 排错——“难解之谜”397

第17章 错误信息397

错误信息排错397

案例：文件夹被锁定399

案例：文件正在使用中错误400

案例：照片查看器的未知错误401

案例：ActiveX注册失败402

案例：“播放到”失败404

案例：安装失败404

排错405

具体分析407

案例：不可读取的文本文件409

案例：文件夹关联丢失410

案例：临时注册表配置文件412

案例：Office RMS错误416

案例：林功能级别提升失败417

第18章 崩溃419

崩溃故障的排错419

案例：反病毒软件更新失败422

案例：Proksi工具的崩溃423

案例：网络位置感知服务的故障424

案例：EMET升级失败425

案例：崩溃转储丢失426

案例：无规律卡顿427

第19章 挂起和性能迟钝429

挂起和性能迟钝问题的排错429

案例：IExplore耗尽CPU431

案例：失控的网站432

案例：ReadyBoost造成的问题434

案例：笔记本蓝光播放器卡顿436

案例：公司内网长达15分钟的登录438

案例：PayPal邮件挂起439

案例：财务软件挂起441

案例：缓慢的主题演讲演示442

案例：Project文件打开缓慢446

复合案例：Outlook挂起450

第20章 恶意软件455

恶意软件排错456

Stuxnet（震网）458

恶意软件和Sysinternals工具459

Stuxnet的传播介质459

Windows XP上的Stuxnet460

深入调查463

通过筛选查找相关事件463

Stuxnet对系统的改动465

PNF文件469

Windows 7中的特权提升471

借助Sysinternals工具发现的Stuxnet473

案例：奇怪的重启动474

案例：假冒的Java更新程序477

案例：Winwebsec恐吓软件480

案例：失控的GPU487

案例：莫名其妙的FTP连接488

案例：服务的错误配置491

案例：阻止Sysinternals的恶意软件494

案例：杀进程的恶意软件496

案例：假冒系统组件498

案例：神秘的ASEP499

第21章 理解系统行为502

案例：Q：盘502

案例：莫名其妙的网络连接505

案例：短命的进程506

案例：应用安装记录器510

案例：未知的NTLM通信516

第22章 开发者排错521

案例：被破坏的Kerberos委派521

案例：ProcDump内存泄漏522