微软免费极品小工具集 Sysinternals Suite – 70 多款实用绿色 Windows 系统维护软件

微软 Sysinternals Suite 作为一套无比经典免费系统小工具合集,能解决很多 PC 实际问题,甚至还有专门的《Windows Sysinternals 实战指南》之类的书籍发行。这套工具包含了譬如 Process Explorer (进程浏览器)、Autoruns (系统启动项管理)、Desktops (虚拟桌面) 等众多实用软件,每一款都有着非常实用的价值,绝对值得你去了解、收藏并学习使用它们。

微软 Windows Sysinternals Suite 软件合集

如果把 Windows 系统管理员比喻成战士的话,那么 Sysinternals 就是我们手中的良兵利器。熟悉并掌握这个“微软瑞士军刀”里的各款工具,将大幅提高你的电脑维护、分析、排查故障、应用技能。而且得益于微软系统优秀的兼容性,这些小工具就算在最新的 Windows 11 上也仍然能正常运行并起作用。

微软 Windows Sysinternals Suite 软件

重点是,虽然这套经典的工具发布至今已经十六年有余了,但微软还一直保持着更新!甚至还在推出新的工具以及更新版本。而且,除了 X86 和 X64 位架构外,现在 Sysinternals 还推出了 ARM 版,可以在 Windows ARM 上运行。

Windows Sysinternals Suite 套件的由来:

Sysinternals 原来是一家名为 Winternals 公司开发出来的免费工具合集,Winternals 原本是一间主力产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种运维问题,便开发出许多小工具,之后他们将这些工具集合起来称为 Sysinternals。

微软 Sysinternals Suite 工具

Microsoft 公司于 2006 年 7 月收购了 Sysinternals,将其系统化并且不断更新和优化,已经发展成为一套功能强大并且非常实用的专业系统维护工具。用好 Windows Sysinternals Suite 里的工具将更有能力处理 Windows 的各种问题,而且还不花一毛钱。

Windows Sysinternals 部分工具的简单介绍:

  • AccessChk: 显示指定用户或组对 注册表 文件 或服务的访问
  • AccessEnum: 简单强大的安全工具,显示哪些用户访问了哪些目录、文件及注册键。帮助找出权限策略中的漏洞。
  • AdExplorer: 活动目录浏览器.
  • AdInsight: LDAP 实时监控工具
  • AdRestore: Server 2003 活动目录对象反删除.
  • Autologon: 登录时跳过密码认证.
  • Autoruns: 显示开机自启动项的配置。 显示包括注册键和文件位置在内的全面列表
  • BgInfo: 可配置的桌面背景自动生成程序,可以生成含有重要系统信息的桌面背景,其中包括 IP 地址, 计算机名, 网络适配器, 等信息.
  • BlueScreen: 不但能精确模拟蓝屏还能重启 (完全借助 CHKDSK)
  • CacheSet:用于使用 NT 提供的函数控制缓存管理器的工作集大小。 它与所有版本的 NT 兼容
  • ClockRes: 查看系统时钟的分辨率,这也是最大计时器分辨率。
  • Contig: 快速对常用文件进行碎片整理? 使用 Contig 优化单个文件,或创建连续的新文件。
  • Coreinfo: 用于显示逻辑处理器与物理处理器、NUMA 节点和套接字之间的映射,以及分配给每个逻辑处理器的缓存。
  • DebugView: Sysinternals 的又一首创: 该程序可以拦截设备驱动对 DbgPrint 的调用和Win32程序对OutputDebugString 的调用. 程序可以浏览或记录本机或远程计算机上调试会话的输出,而无须激活调试器.
  • Desktops:创建虚拟桌面,使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。
  • DiskExt: 显示卷分区与磁盘的映射关系。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS)
  • Disk2Vhd:针对物理磁盘创建VHD映像
  • DiskView: 图形化磁盘扇区工具
  • Diskmon: 捕获硬盘的所有活动,或以硬盘活动指示灯的形式出现在托盘中
  • Du: (Disk Usage) 按目录浏览磁盘使用情况
  • EFSDump: 显示有关已加密文件的信息
  • Filemon: (可能已移除) 即时监视文件系统的活动 (监视文件读写,常配合RegMon判断某软件对电脑做了什么手脚)
  • FindLinks: 报告文件索引和硬链接数目。
  • Handle: 小巧的命令行工具,显示呢哪些文件被哪些进程打开,及相关更多信息。
  • Hex2dec: 16进制-10进制互相转换。
  • Junction: 创建 NTFS卷上的符号链接(类似Linux的符号链接,灵活运用的话相当实用)
  • LDMDump: 可以转储 Logical Disk Manager 在磁盘中的数据库
  • ListDLLs: 列出当前载入的所有 DLLs 及他们的位置和版本,以及已载入模组的完整路径名
  • LiveKd: 在live(CD) 系统中使用 Microsoft 内核调试器或MS 内核调试工具Windbg .
  • LoadOrder: 查看 WinNT/2K 中设备的载入顺序
  • LogonSessions:列出系统上的活动登录会话。
  • MoveFile: 为下次启动前安排文件的移动和删除操作
  • NotMyFault: 可用于在 Windows 系统上崩溃、挂起和导致内核内存泄漏。
  • NewSID: (可能被移除) 了解有关计算机SID的问题,这是一个 SID 更改程序,为你换一个新的SID.
  • NTFSInfo: 使用 NTFSInfo 查看有关 NTFS 卷的详细信息, 包括 主文件表 (MFT) 的大小位置和 MFT-zone, 以及 NTFS 元数据文件的大小.
  • PageDefrag: (可能被移除) 启动时为页面文件和注册表HIVE文件进行碎片整理.
  • PendMoves: 列出延迟到下次启动前执行的文件移动、删除操作
  • PipeList: 显示系统上的命名管道,包括每个管道的最大实例数和活动实例数。
  • PortMon: 监视串/并口的数据活动支持所有标准的串并口 IOCTLs 甚至可以显示一部分交换的数据.
  • ProcDump: 捕获其他难以隔离和重现 CPU 峰值的进程转储
  • Process Explorer: 能找出进程打开的文件,注册键,以及其他对象,载入的 DLLs和进程所有者等信息。
  • Process Monitor: 实时监视文件系统,注册表,进程,线程以及DLL的活动.
  • ProcFeatures: (可能被移除) 报告进程或窗口对PAE与NX缓冲区溢出保护的支持情况
  • PsExec: 在远程系统执行进程
  • PsFile: 查看本地被远程打开的文件
  • PsGetSid: 显示计算机或用户的 SID
  • PsInfo: 获取系统信息.
  • PsKill: 终止本地或远程进程.
  • PsList: 显示进程和线程有关的信息
  • PsLoggedOn: 显示已登陆系统的用户
  • PsLogList: 转储事件日志记录
  • PsPasswd: 更改账户密码
  • PsPing: 测量网络性能
  • PsService: 查看设置服务
  • PsShutdown: 关闭或重启电脑
  • PsSuspend: 冻结或恢复进程
  • PsTools: 该命令行工具包提供列出本地/远程计算机进程、远程运行进程、重启、转储事件日志、及更多功能.
  • RAMMap: 高级物理内存使用情况分析实用工具,它以不同的方式在其多个不同选项卡上呈现使用情况信息。
  • RDCMan: 管理多个远程桌面连接。
  • RegDelNull: 扫描并删除包含标准注册表编辑器无法删除的内嵌空字符的注册表键.
  • RegHide: (可能被移除) 使用内置 API 创建名为 "HKEY_LOCAL_MACHINESoftwareSysinternalsCan't touch me!0" 的注册键及在其中创建键值.
  • Regjump: 在Regedit中跳转至指定的注册键路径.
  • RU: 查看指定注册表项的注册表空间使用情况。
  • Regmon: (可能被移除) 实时监视所有注册表活动 (监视注册表变化,可以配合FileMon来判断某软件在电脑上做了什么手脚)
  • RootkitRevealer: (可能被移除)扫描系统中基于RootKit的恶意程序
  • SDelete: 兼容发国防部标准的安全删除程序,安全覆盖您的敏感文件并清理已删除文件留下的空闲空间.
  • ShareEnum: 扫描网络上的文件共享并浏览其安全设置,来发现漏洞
  • ShellRunas: 通过方便的 shell 上下文菜单条目以其他用户身份启动程序
  • Sigcheck: 转储文件版本信息并校验系统中的映像是否经过数字签名
  • Streams: 显示 NTFS 交换数据流
  • Strings: 在二进制映像内搜索 ANSI / UNICODE 字串
  • Sync: (释放磁盘写缓存),发送缓存中的数据至硬盘/移动磁盘
  • Sysmon: 是一种 Windows 系统服务和设备驱动程序,可在系统重新启动后仍保持驻留状态,以监视系统活动并将系统活动记录到 Windows 事件日志。 它提供有关进程创建、网络连接和文件创建时间更改的详细信息
  • TCPView: 活动 socket 的观察器. (可以方便查看什么软件占用了什么端口之类的)
  • VolumeId: 设置 FAT 或 NTFS 驱动器的卷ID
  • Whois: 查询域名的所有者
  • Winobj: 对象管理器命名空间的查看利器
  • ZoomIt: 辅助演示工具支持屏幕上进行和画图

值得使用的微软小工具 Top10 排行:

按照微软提供的数据,这些小工具被单独下载的次数,以及一些海外媒体的排行,可以挑选其中比较值得大家收藏下载的有如下:

  • PsList、PsKill
  • Process Explorer、Process Monitor
  • AutoRuns
  • ZoomIt
  • TcpView
  • PsLoggedOn
  • Contig
  • MoveFile
  • PSFile
  • Sync
  • BgInfo

写在后面:

目前微软 Sysinternals Suite 已经上架到 Windows 应用商店了,你可以更加方便地下载和更新这些小工具。但比较遗憾的是,这些应用程序基本上都是英文版界面,但由于这些软件的作用基本都是面向极客、运维、技术人员的,相信使用上没什么问题。

当然了,Sysinternals 算是一套“专业”工具合集,主要用于管理、排查、分析和诊断 Windows 各种问题而用的。如果你是普通个人用户,免费的 PowerToys 系列的工具集 将会更加适合,后者主要是用于增强 Windows 的功能和使用体验。

阅读剩余
THE END