真TM好用!微软的这套神器简直万能!快来盘它!

作为市面上桌面操作系统市场份额占有第一的Windows,微软近些年不断听取用户建议,取长补短,经过多年的发展,版本数次更迭,功能越加完善,可以说是目前桌面最优秀的操作系统之一。

近些年,微软也逐渐拥抱开源,先是大手笔收购全球第一的开源平台Github,后又摒弃饱受诟病的IE浏览器,拥抱谷歌核心,更又针对WIndows 10推出了多款实用的增强小工具详见阿刚之前介绍过的《微软出的外挂小工具合集,有了它又可以少装几个工具了》,实际上除了这些工具之外,微软早年发布过一个功能强大的软件套件-Sysinternals。

Sysinternals,微软发布的超强绿色工具合集

Sysinternals早先是由国外Mark Russinovich开发(2006被微软收购),是套功能强大的Windows免费套件,主要帮助专业人士用于配置,优化,测试,检测操作系统,套件内含多个绿色小工具,涵盖了Windows系统中多个应用领域,目前主要包括:

  • 文件和磁盘工具

  • 网络工具

  • 进程工具

  • 安全工具

  • 系统信息工具

  • 其它类型工具

正是因为Sysinternals小工具的强大,微软才会收购,截至目前Sysinternals一直在维护更新,目前有将近100多个各式各样的小工具。下面阿刚挑几个我们可接触使用的工具。

Autoruns,揪出自启动的程序和服务的超牛利器

随系统自启动本是微软方便用户,让人无奈甚至愤慨的是不少应用程序毫无节制不经用户同意伪装成系统服务甚至使用映像劫持和 DLL 注入的方式强制自启动各类服务,这类行径早已屡见不鲜,不仅无耻更存在着安全隐患。

作为一般用户,如何能简单高效识别自启动项显然不是一件轻而易举之事。而微软的这款Autoruns自启动管理工具能帮助用户快速扫描系统自启动项,让伪装隐藏的各类自启程序、服务无所遁形。

Autoruns使用简单,程序启动后将自动扫描并罗列出当前系统上的自启动项,主要包括了计划任务、驱动程序、资源管理器、登陆等多个类目,可方便的切换至对应的选项卡查看类目下的启动项。一般来说,我们主要查看这些类目即可大致分析出自启状况,为方便大家理解简单的说明下主要的类目。

  • 登陆:用户登录 Windows 时加载的启动项

  • 资源管理器:加载到资源管理器的一些条目

  • IE浏览器:挂载到随 IE 启动的一些条目

  • 计划任务:任务计划中的启动项

  • 服务:随系统启动的各类服务

  • Office:随 Microsoft Office 启动的条目、加载项

Autoruns启动后默认是罗列出了所有的启动项目,包括微软系统本身的启动项,这个在设置选项中可以隐藏关闭。大家可以根据需要分类查看,比如在登陆中,可以看到随系统登录后启动的程序。

Autoruns使用不同的颜色对扫描的启动项进行标记,其中粉红色表示该启动项对应的程序没有数字签名、签名无法验证,

黄色泽表示该启动项对应的文件已不存在,通过颜色标记可以对启动项有个快速了解,方便我们定位有问题的启动项。

此外,对于具体的启动项你可以右键执行相关的操作,主要包括查找对应的注册表、跳转到文件所在路径、调用Process Explorer、以及谷歌在线搜索对应程序的信息、或者使用VirusTotal在线多杀软查毒,。这些操作均是方便用户识别和判断启动项的程序信息。

对于我们不需要自启的的条目,只需取消勾选即可。如果是不存在的启动项,可以直接右键删除。这里特别要提醒的是,除非你完全知道某个启动项,否则一般只需禁用即可,不推荐删除以免造成系统或者软件崩溃。

小结:总的来说,Autoruns功能相当强大,使用也简单,是目前自启动管理中最有效的工具之一,同时也是Sysinternals最出名的工具,非常值得使用。

Process Explorer,自带任务管理器的最佳替代品

Sysinternals套件中,鼎鼎大名的Process Explorer一直备受推崇,作为一款增强型的进程查看器,不仅使用简单,功能更加强大,它可显示有关进程的详细信息,包括其图标,命令行,完整映像路径,内存统计信息,用户帐户,安全属性等。甚至还能列出相关进程已加载的DLL或它已打开的操作系统资源句柄等。

作为一款进程管理器,Process Explorer的树形界面非常直观,能够条例清晰的罗列出各种进程以及相关父子进程关系。

并且与上面的Autoruns一样,它也采用颜色标记相关进程信息,默认颜色代表如下:

当然,你也可以选择是否启用颜色标记项,也可以根据自己的喜好自定义相关的颜色配置。总的来说,通过颜色就能判断此进程处于的状态和类型,是挂起还是正在退出,是服务进程还是普通进程,一目了然。

针对选中的进程,可执行停止、重启、挂起等常规操作,也可设置程序优先级以及使用virusTotal在线查毒等。而在属性栏中,则更进一步显示了进程的完整映像路径,资源占用,所属的用户帐户以及安全属性等。

如果你是工程师,还能通过Process Explorer查看进程的DLLs,具体做法是视窗——>下拉窗口显示内容——>动态链接库。这一功能还是相当实用的,比如能查看程序是不是被DLLs注入。

此外对于普通用户,Process Explorer内置了个进程查找器,通过鼠标移动到目标程序窗口就可以快速定位到相关进程,这个用来揪出不知名的广告弹窗程序相当有效,比如下图这样:

总的来说Process Explorer用来查看进程以及相关的信息显得更加的专业和详细,即便是一般的用户也能直观的了解到进程,比Windows自带的要好用不少。

SDelete安全删除工具,让数据恢复软件去死吧

通常情况下,删除文件只需右键删除即可,即快速又方便。而且,这样的删除操作一般被删文件是回到了回收站中,若是误删还能还原。就算是一般所谓的彻底删除,通过数据恢复软件也可以轻松恢复。那么,如果想不可恢复式的彻底删除一个文件该如何操作呢。

Sysinternals中就内置了一个SDelete小工具,通过简单的命令就可以彻底删除文件。首先他是个命令行工具,使用前需要配置环境变量。

方法很简单,比如:

sdelete64  阿刚的自拍.avi 直接删除此文件
sdelete64.exe -p 5 阿刚的自拍.avi 直接删除阿刚的自拍.avi文件,并且进行 5 次覆盖
sdelete64.exe -s E:\AV 删除 E:\AV以及子文件夹

删除的原理与大多数同类工具相同,比如在CCleaner中删除文件也有一个覆盖操作,都是通过删除后多次写入文件进行覆盖,已达到数据不可逆,更详细的原理微软在文档中有详细说明,阿刚这里就不赘述了。

SDelete-Gui,将SDelete集成在右键中

上面说了SDelete是个命令行工具,删东西就要速度快,让你来不及多想瞬间删除,命令行多麻烦呀。Github上有人专门为它写了个gui界面并且集成在了右键菜单中。

使用时,只需要设置一下复写的次数然后ENABLE按钮即可完成配置,当你要删除文件的的时候,直接右键选择Secure Delete,会弹出窗口显示你设置的复写次数,之后文件就彻底没了。

注意了,执行这个操作是不可逆的,文件一旦被删就无法恢复,包括所谓的数据恢复软件也是回天乏力了,所以一定要慎用!

最后,SDelete这个工具似乎只对机械硬盘能起到彻底删除的作用,固态因原理不同可能无法奏效,阿刚没做过对比和测试,感兴趣的同学可以自己试一下子。

Process Monitor,监控进程都做了什么

Process Explorer是简单易用的任务进程管理器,能够帮助我们准确查看相关进程的信息,但要分析某个进程在系统中的所有操作,Process Monitor显然是最佳的选择。

Process Monitor是一款高级监视工具,它结合了两个旧的Sysinternals实用程序Filemon和Regmon的功能,并添加了更强大的增强功能,能够显示实时文件系统,注册表和进程/线程活动,可根据事件属性设定条件进行过滤,(例如会话ID和用户名),同时还具有集成符号支持的完整线程堆栈,对于每个操作,可同时记录到文件中。

在使用管理员身份运行程序后,Process Monitor运行后会立即开始监视文件系统,注册表和进程,具体而言:

  • 文件系统:记录并显示所有Windows文件系统的活动,包括本地存储和远程文件系统。

  • 注册表:记录所有注册表操作并使用注册表根键的常规缩写显示注册表路径(例如,HKEY_LOCAL_MACHINE表示为HKLM)。

  • 进程:在进程/线程监视子系统中,Process Monitor跟踪所有进程和线程的创建和退出操作以及DLL和设备驱动程序加载操作。

简单来说,Process Monitor可以监控进程及其对系统做出的更改,主要包括文件写入、注册表以及加载的DLL和设备等多种信息,并且能根据条件筛选。

筛选过滤可以根据各种条件作出精确的筛选,比如根据父进程ID、文件名,映像路径、文件描述、公司名等多种条件设定仅显示或排除。假设你要监控QQ运行后做了什么,则可以通过QQ的进程ID进行筛选。

筛选之后列表中将仅显示QQ进程相关的结果,能够看到QQ运行后,写入的注册表、文件。并且右键还可以跳转到修改的文件、注册表的键值等

小结一直以来Process Monitor独特的强大功能将使其成为不少人系统故障排除和恶意软件搜索的首选工具,对于一般的用户而言,当发现可疑程序或想知道程序作了哪些更改,可以通过Process Monitor进行监控,简单高效。

写在最后

Sysinternals套件其实是一个面向专业人士的万能工具包,里面的工具多是命令行工具,涉及到专业领域知识较多,一般用户使用可能会有些门槛,它虽然被微软收购,但目前一直在更新维护中。

此次阿刚在文章中给大家介绍的这几款小工具,尤其是Process Explorer/Monitor和Autoruns,可以说是 Sysinternals中的精品同时他们的知名度也很高。阿刚这里算是抛砖引玉,一是篇幅所限,二是个人能力也有限,无法给大家详尽的介绍每一个工具,毕竟有些工具很专业,如果感兴趣可以在微软Sysinternals官网中查看文档,每一个工具都有非常详尽的说明。

(0)

相关推荐

  • 揪出弹广告窗口的程序,专业的人用专业的工具!

    前两天我在在我的头条中发了一条发现"联想电脑管家"在监守自盗的弹广告窗口的动态,很多鹏友都想知道我是怎么发现是"联想电脑管家"在弹广告窗口的,这次就实现给大家的 ...

  • Process Explorer操作手册

    Process Explorer出现的背景 Process Explorer可以看成是一个加强版的任务管理器.在较早的Windows版本中,任务管理器提供的功能是非常简单的(比如查看CPU.内存的使用 ...

  • Process Explorer  v16.32简介

    Process Explorer是一款进程管理神器,我们的这个软件主要就是系统和应用程序监视的工具,用户们可以使用它方便地管理你的程序进程,其中就能够监视.挂起.重启以及强行终止任何程序,其中就包括系 ...

  • 田朴珺真会玩!蕾丝长裙套秋裤,弃高跟鞋选运动鞋放弃不了大厚底

    说起"地产大亨"王石的小娇妻,田朴珺的人生绝对算是惹人羡慕的存在,如今虽已年近40,但田朴珺的气质和身材依旧保持着十分出彩的状态,一举一动都尽显风姿绰约的魅力感,丝毫没有收到&qu ...

  • 出图真没那么难,毕竟这套图集很强大!【606期】

    对于大多数人来说,生活中接触到的几乎都是家装,公装似乎距离我们太过遥远.其实不然,固然有各类大型公装项目,但离我们比较近的例如服装店.餐饮店等各个商铺等都属于公装行列. 那你印象中的服装店还是这样的吗 ...

  • 《向日葵》真TM是一款牛逼的APP!

    前段时间刷微博,刷到这么一条话题: 两位老人因为不会使用手机通道,一位冒雨去交医保,被柜台拒收现金,只能无助地坐在那儿.另一位94岁高龄,行动不便,为了激活社保卡,被抬到银行进行视频认证. 多么令人揪 ...

  • 痒哪,痒,真TM痒

    今天下午10手多单就在盈利46-49.5万元区间反复折腾,始终不去碰50万,就在边上摩擦,来回地摩擦,好象故意寻我开心似的.那个痒哪,实在是痒,啥意思嘛,逗我玩么?不带这样的哦. 我近阶段以来一直就在 ...

  • 离婚冷静期成效是真TM明显

    今年一月,杭州832对夫妻因离婚冷静期放弃离婚.杭州市民政局最新离婚数据显示:今年1月,杭州市共受理离婚申请2186对.在30天的冷静期内主动撤回离婚申请的16对.自离婚冷静期届满后30天内,也就是截 ...

  • 正确交接班,你真懂吗?给你一套班组交接班管理制度大全

    明日开幕! 一.目的 为规范生产班组交接班管理,清晰.明确交接班的方法.内容和双方责任和权利,提高员工的工作效率和工作责任心,养成良好的职业习惯,确保生产稳定.连续.安全运行,特制定本制度. 二.适用 ...

  • 电脑版终于等来了!真TM太爽了

    定期清理电脑可以避免电脑的卡顿死机,延长电脑的使用寿命,这是众所周知的小技巧,但是如何正确的清理和维护电脑你知道吗? 难不成大家还用什么360,腾讯管家? 今天汤汤给大家分享一款比360好用N倍的电脑 ...

  • 真TM服,这种软件都被开发出来了!!

    真TM服,这种软件都被开发出来了!!

  • 百度网盘TV版,用后直呼“卧槽”!真TM......

    软件盘点 50篇原创内容 公众号 此刻正在阅读的你,今天过得好吗? 段子    没人喜欢听从聪明的穷人,而都愿意相信有钱的笨蛋. 百度网盘一直是大家又爱又恨的网盘了,由于其资源众多,一时半会儿真的离不 ...