我们的Sysinterals系列已经结束，现在是时候通过讨论我们在前九课中没有涵盖的所有小实用程序来总结所有内容了。这个工具包里肯定有很多工具。

我们了解了如何使用Process Explorer来排除系统上不受控制的进程的故障，以及如何使用Process Monitor来查看它们在幕后做什么。我们了解了Autoruns，这是处理恶意软件感染的最强大的工具之一，以及从命令行控制其他PC的PsTools。

今天，我们将介绍工具包中的其余实用程序，它们可以用于各种目的，从查看网络连接到查看文件系统对象的有效权限。

但首先，我们将演练一个假想的示例场景，看看您如何结合使用多个工具来解决问题，并对正在发生的事情进行一些研究。

您应该使用哪种工具？

这项工作并不总是只有一种工具--最好一起使用它们。下面是一个示例场景，让您了解如何处理调查，不过值得注意的是，有很多方法可以弄清楚正在发生的事情。这只是一个帮助说明的快速示例，并不是要遵循的确切步骤列表。

情景：系统运行缓慢，疑似恶意软件

您应该做的第一件事是打开process Explorer并查看哪些进程正在使用系统上的资源。一旦确定了进程，您就应该使用Process Explorer中的内置工具来验证进程的实际内容，确保其合法，并可以选择使用内置的VirusTotal集成扫描该进程中的病毒。

注意：如果您真的认为可能存在恶意软件，在故障排除时拔下或禁用该计算机上的互联网访问通常是有帮助的，尽管您可能希望首先执行VirusTotal查找。否则，该恶意软件可能会下载更多恶意软件，或者传输更多您的信息。

如果该过程是完全合法的，则终止或重新启动该违规过程，并祈祷这只是一次侥幸。如果您不想再启动该进程，您可以卸载它，或者使用Autoruns在启动时停止加载该进程。

如果这还不能解决问题，那么可能是时候退出process Monitor并分析您已经识别的进程，并找出它们试图访问的是什么。这可以为您提供实际情况的线索-可能进程正在尝试访问不存在的注册表项或文件，或者它没有访问权限，或者它可能只是试图劫持您的所有文件，并执行许多粗略的操作，如访问可能不应该访问的信息，或者毫无理由地扫描整个驱动器。

此外，如果您怀疑应用程序正在连接到它不应该连接的东西(这在间谍软件情况下非常常见)，您可以拉出TCPView实用程序来验证是否是这种情况。

此时，您可能已经确定该进程是恶意软件或crapware。无论哪种方式，你都不想要它。如果它们列在控制面板的卸载程序列表中，你可以运行卸载过程，但很多时候它们没有列出，或者没有正确清理。这是当你拉出Autoruns，找到应用程序连接到启动程序的每个位置，并从那里对它们进行核化，然后对所有文件进行核化的时候。

TCPView

此实用程序是查看计算机上的哪些应用程序通过网络连接到哪些服务的好方法。您可以使用netstat在命令提示符上看到大多数信息，或者隐藏在process Explorer/Monitor界面中，但是只需打开TCPView并查看连接到什么要容易得多。

列表中的颜色非常简单，与其他实用程序类似-亮绿色表示连接刚刚出现，红色表示连接正在关闭，黄色表示连接已更改。

您还可以查看流程属性、结束流程、关闭连接或拉出WHIS报告。它简单、实用，而且非常有用。

注意：*当您第一次加载TCPView时，您可能会看到从[系统进程]到各种互联网地址的大量连接，但这通常不是问题。如果所有连接都处于TIME_WAIT状态，这意味着连接正在关闭，并且没有要分配连接的进程，因此它们应该被分配给PID 0，因为没有PID可以分配给它。

这通常发生在您连接到一大堆东西之后加载TCPView时，但是在所有连接关闭并保持TCPView打开之后，它应该会消失。

核心信息

显示有关系统CPU和所有功能的信息。有没有想过您的CPU是64位还是支持基于硬件的虚拟化？您可以使用coreinfo实用程序查看所有这些内容以及更多内容。如果您想要查看较旧的计算机是否可以运行64位版本的Windows，这真的很有用。

柄 / 手感 / 把手 / 口实

此实用程序执行与Process Explorer相同的操作-您可以快速搜索哪个进程具有阻止访问资源或阻止删除资源的打开句柄。语法非常简单：

如果您想关闭句柄，可以使用列表中的十六进制句柄码(带有-c)和进程ID(-p开关)来关闭它。

使用Process Explorer执行此任务可能要容易得多。

ListDlls

就像Process Explorer一样，此实用程序列出作为进程的一部分加载的DLL。当然，使用Process Explorer要容易得多。

RAMMap

该实用程序分析您的物理内存使用情况，加载不同的可视化内存的方法，包括按物理页面，您可以在其中看到每个可执行文件加载到RAM中的位置。

字符串在应用程序和DLL中查找人类可读的文本

如果你在某个软件包中看到一个奇怪的URL作为字符串，那就该担心了。你会如何看待这个奇怪的字符串呢？从命令提示符下使用字符串实用程序(或改用Process Explorer中的函数)。

有许多命令行开关可用于自定义输出和您正在查看的内容，但我们建议您在大多数情况下使用process Explorer版本，因为它很简单。

注册表跳转

此命令行实用程序打开注册表编辑器，并向下导航到您在命令行上指定为参数的项。不再手动单击树…。如果你用它的话。语法：

十六进制解码器

这将在命令行上将数字从十六进制转换为十进制，并以另一种方式进行转换。

自动登录

此实用程序可以非常快速地启用您的帐户的自动登录。只需输入您的密码，单击Enable，即可完成。如果启用了自动登录，并且您不想知道如何将其切换回来，您也可以使用它来禁用自动登录。

值得注意的是，在Windows中启用自动登录首先非常简单。

访问检查

这个简单的实用程序报告文件和文件夹…的有效权限。和注册表键、进程以及很多其他东西。基本上，权限可能非常复杂，因此此实用程序显示帐户实际有权对对象执行哪些操作。

AccessEnum

此实用程序非常有用，因为您可以完全审核权限以及谁有权访问系统上的文件、文件夹和注册表项。如果您有一个非常复杂的安全设置，此工具将让您找出谁有访问权限，并查看您是否在某个地方犯了错误。

ShellRunAs

该实用程序实际上是一个shell扩展，它允许您以不同的用户身份快速运行应用程序，这在XP时代非常有用，当时如果您拥有标准用户，没有以管理员身份运行应用程序的好方法。它在企业环境中仍然非常有用(对于较旧的计算机)。

注：此功能内置于Windows 7和8中，但隐藏在Shift+右键单击菜单后面。

安装很简单，只需从命令行使用以下命令：

卸载也同样简单：

要在安装后使用，只需右键单击任何可执行文件，然后选择Run as Different User选项。

然后输入备用用户的用户名和密码。

RegDelNull

查找并删除名称中包含空字符的注册表项。可能不是你想做的事。

Ctrl2Cap

该工具将您的Caps Lock键重新映射为Ctrl键。

蓝屏屏幕保护程序

是啊。但是这个很有趣-只需右击并选择Install来安装它，然后你就可以一直享受一个有趣的BSOD了。

这就是本课“极客学校”的全部内容。下周请继续关注更多精彩的教程。