分享一些微软出品的实用小工具,希望对大家有所帮助。
微软系统工具套件-SysinternalsSuite
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集,一共包括74个Windows工具,通过Sysinternals Suite能够帮助我们快速进行配置,优化,测试,检测和修复Windows操作系统故障。
Sysinternals Suite集合了来自 Windows Sysinternals 的大部分实用工具,全部为免费软件,涵盖文件管理、磁盘管理、网络管理、进程管理、安全管理、系统底层信息查看等多个方面。
下载地址
http://download.sysinternals.com/files/SysinternalsSuite.zip
https://learn.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite
https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite
功能简介
进程管理工具Process Explorer
Process Explorer提供了比任务管理器更加强大进程管理的功能。Process Explorer也提供直接替换任务管理器的功能,可以在用户触发打开任务管理器的操作的时候可以直接打开Process Explorer。
设置方法:Options→Replace Task Manager
进程监视器 Process Monitor
微软出品的进程监视类的小工具。和 Process Explorer 不同,这款 Process Monitor 更倾向于监视系统动作,它可以监控系统中运行着什么进程、这些进程又都在干些什么活儿,应急利器。
AccessChk
此工具将显示您指定的用户或组对文件、注册表项或 Windows 服务的访问。
简介
作为确保他们创建安全环境Windows管理员通常需要知道特定用户或组对资源(包括文件、目录、注册表项、全局对象和Windows服务)拥有哪些类型的访问权限。 AccessChk 使用直观的界面和输出快速回答这些问题。
安装
AccessChk 是控制台程序。 将 AccessChk 复制到可执行文件路径。 键入accesschk
会显示其用法语法。
使用 AccessChk
用法:
Windows Command Prompt复制
accesschk [-s][-e][-u][-r][-w][-n][-v]-[f <account>,...][[-a]|[-k]|[-p [-f] [-t]]|[-h][-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <file, directory, registry key, process, service, object>
参数 | 说明 |
---|---|
-a | 名称是Windows帐户权限。 指定 "*" 为显示分配给用户的所有权限的名称。 请注意,指定特定权限时,仅显示直接分配给右侧的组和帐户。 |
-c | 名称是Windows服务,例如。 ssdpsrv 指定 "*" 为显示所有服务的名称,并 scmanager 检查服务控制管理器的安全性。 |
-d | 仅处理目录或顶级密钥 |
-e | 仅显示 (Windows Vista 及更高级别的显式设置完整性级别) |
-f | 如果如下所示 -p ,则显示完整的进程令牌信息,包括组和特权。 否则为要从输出中筛选的逗号分隔帐户的列表。 |
-h | 名称是文件或打印机共享。 指定 "*" 为显示所有共享的名称。 |
-i | 在转储完全访问控制列表时,仅忽略仅继承 ACE 的对象。 |
-k | 名称是注册表项,例如 hklm\software |
-l | 显示完整的安全描述符。 添加 -i 以忽略继承的 ACE。 |
-n | 仅显示没有访问权限的对象 |
-o | 名称是对象管理器命名空间中的对象, (默认值为根) 。 若要查看目录的内容,请使用尾随反斜杠或添加 -s 指定名称。 添加 -t 和对象类型 (,例如节) 仅查看特定类型的对象。 |
-p | 名称是进程名称或 PID,例如 cmd.exe , (指定 "*" 为显示所有进程) 的名称。 添加 -f 以显示完整的进程令牌信息,包括组和特权。 添加 -t 以显示线程。 |
-q | 省略横幅 |
-r | 仅显示具有读取访问权限的对象 |
-s | Recurse |
-t | 对象类型筛选器,例如 "section" |
-u | 禁止显示错误 |
-v | 详细 (包括Windows Vista 完整性级别) |
-w | 仅显示具有写入访问权限的对象 |
如果指定用户或组名称和路径,AccessChk 将报告该帐户的有效权限;否则,它将显示安全描述符中引用的帐户的有效访问。
默认情况下,路径名称解释为文件系统路径, (使用 "\pipe\"
前缀指定命名管道路径) 。 对于每个对象,AccessChk 会打印帐户是否具有读取访问权限、W
写入访问权限,如果帐户没有读取访问权限,则不打印R
任何内容。 该 -v
交换机具有 AccessChk 转储授予给帐户的特定访问权限。
示例
以下命令报告 Power Users 帐户对文件和目录 \Windows\System32
的访问权限:
Windows Command Prompt复制
accesschk "power users" c:\windows\system32
此命令显示用户组的哪些服务成员具有写入访问权限Windows:
Windows Command Prompt复制
accesschk users -cw *
若要查看特定帐户下的 HKLM\CurrentUser
注册表项无权访问:
Windows Command Prompt复制
accesschk -kns austin\mruss hklm\software
若要查看 HKLM\Software 密钥的安全性:
Windows Command Prompt复制
accesschk -k hklm\software
若要查看 Vista 上具有显式完整性级别的所有文件 \Users\Mark
,
Windows Command Prompt复制
accesschk -e -s c:\users\mark
若要查看每个人都可以修改的所有全局对象:
Windows Command Prompt复制
accesschk -wuo everyone \basednamedobjects
Autoruns
启动项目管理工具,功能十分强大,不仅可以对各启动项目进行管理,还能直接控制注册表。可查看、删除注册表及Win.ini文件等处的自启动项目。
PsTools
PsTools 套件包括一些命令行程序,可列出本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志,以及执行其他任务。
AccessEnum
Windows NT 系统采用的灵活安全模式允许完全控制安全和文件权限,但管理权限以便用户能够适当访问文件、目录和注册表密钥可能很困难。没有内置的方法可以快速查看用户访问目录或密钥树。AccessEnum可在几秒钟内全面查看您的文件系统和注册表安全设置,使其成为帮助您查找安全漏洞并在必要时锁定权限的理想工具。
AdExplorer
活动目录资源管理器 (AD 资源管理器) 是高级活动目录 (AD) 查看器和编辑器。您可以使用 AD 资源管理器轻松浏览 AD 数据库、定义收藏的位置、查看对象属性和属性,而无需打开对话框、编辑权限、查看对象的模式以及执行可以保存和重新执行的复杂搜索。
AD 资源管理器还包括保存 AD 数据库快照以进行离线查看和比较的能力。加载已保存的快照时,您可以像实时数据库一样导航和浏览快照。如果您有两个 AD 数据库的快照,您可以使用 AD Explorer 的比较功能来查看它们之间更改了哪些对象、属性和安全权限。
AdInsight
ADInsight 是一种 LDAP(轻量级目录访问协议)实时监控工具,旨在排除活动目录客户端应用程序的故障。使用其对活动目录客户端服务器通信的详细跟踪来解决 Windows 身份验证、交换、DNS 和其他问题。
ADInsight 使用 DLL 注入技术拦截应用程序在 Wldap32 .dll库中发出的呼叫,该库是活动目录 API(如 ldap 和 ADSI)的基础标准库。与网络监控工具不同,ADInsight 拦截并解释所有客户端 API,包括那些不会导致传输到服务器的 API。ADInsight 监控其可以加载其跟踪 DLL 的任何过程,这意味着它不需要行政许可,但是,如果运行具有行政权利,它还将监控系统流程,包括窗口服务。
AdRestore
此工具是命令行程序,程序列举了域中已删除的对象,并提供了恢复对象的选项。ADRestore.exe工具恢复用户账号后,用户的相关属性会被清除,只保留用户的SID。
Autologon
此工具是用来配置系统开机自动登录系统的账户,开启后无需输入密码,自动登录系统。
BgInfo
此完全可配置程序会自动生成桌面背景,其中包含有关系统的 IP 地址、计算机名称、网络适配器及更多内容的重要信息。
BlueScreen
此屏幕保护程序不仅精确模拟“蓝屏”,而且也模拟重新启动(完成 CHKDSK),并可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。
Cacheset
CacheSet 是一个允许您利用NT提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。
Clockres
查看系统时钟的分辨率,亦即计时器最大分辨率。
Contig
您是否希望迅速对您频繁使用的文件进行碎片整理?使用 Contig 优化单个的文件,或者创建连续的新文件。
Coreinfo
Coreinfo是一个新的命令行实用工具,可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽,以及分配给每个逻辑处理器的缓存。
Ctrl2cap
Ctrl2cap是一个内核模式的驱动程序,可在键盘类驱动程序上演示键盘输入过滤,以便将 Caps-Lock 转变为控制键。在此级别过滤允许在 NT 刚好要“看到”键之前变换和隐藏键。Ctrl2cap 还显示如何使用 NtDisplayString() 打印初始化蓝屏的消息。
Dbgview
debugview可以监视本地系统的调试输出,也可以监视任何网络上的计算机(通过tcp/ip)的调试输出。它可以捕获内核模式和win32的调试输出,并且无需调试器,也无需对应用程序或驱动做修改,使用标准的调试API即可
Desktops
使用这一新的实用工具可以创建最多四个虚拟桌面,使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。
Disk2vhd
disk2vhd是一款用于将逻辑磁盘转换为 vhd 格式虚拟磁盘的实用工具。利用该工具我们可以轻松地将当前系统中的分区生成为一个 vhd 文件,便于挂载到虚拟平台。
Diskext
把文件系统格式化成格式化成EXT3
Diskmon
Diskmon是一硬盘数据存取实时监控软件,能够将 Windows NT/2000/XP 操作系统的硬盘数据存取时间滴水不漏地纪录下来,您还可以将纪录文件储存成 LOG 文字文件。
DiskView
图形磁盘扇区实用工具。
该软件集成于微软的Windows操作系统的资源管理器以显示一个直观的磁盘空间使用情况。该软件的Visualizer面板在一个图形图表中提供关于当前文件夹的详细使用情况信息。文件和文件夹空间占用情况以及在Windows 操作系统的资源管理器中的Detailsview 的Relative Size能够使用DiskView’s Size On Disk进行观看。
Disk Usage (DU)
按目录查看磁盘使用情况。
Efsdump
查看加密文件的信息。
FindLinks
FindLinks报告文件索引和硬链接数目。
Handle
此易用命令行实用工具将显示哪些进程打开了哪些文件,以及更多其他信息。
Hex2dec
把字符串表示的16进制数转换成一个十进制数。
Junction
给文件夹建立硬链接,给文件建立硬链接是DOS命令fsutil。
Ldmdump
转储逻辑磁盘管理器在磁盘上的数据库内容,其中说明了 Windows 2000 动态磁盘的分区情况。
Listdlls
列出所有当前加载的 DLL,包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。
Livekd
内核调试工具
LoadOrd
查看驱动加载信息
Logonsessions
列出服务器登录会话
Movefile
使您可以安排在系统下一次重新启动时执行移动和删除命令。
NTFSInfo
用 NTFSInfo 可以查看有关 NTFS 卷的详细信息,包括主文件表 (MFT) 和 MFT 区的大小和位置,以及 NTFS 元数据文件的大小。
Pagedfrg
Pagedfrg 标准的碎片整理程序既无法向您显示分页文件和注册表配置单元的碎片化情况,也无法对它们进行碎片整理。分页和注册表文件碎片化可能是系统因文件碎片化而导致性能下降的首要原因之一。 PageDefrag 使用先进的技术向您提供商业碎片整理程序无法提供的服务:即查看分页文件和注册表配置单元的碎片化情况,并且对它们进行碎片整理的能力。此外,它还对事件日志和 Windows 2000/XP 休眠文件(当休眠笔记本电脑时保存系统内存的地方)进行碎片整理。
新版本已删除
PendMoves
枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表。
PipeList
显示系统上的命名管道,包括每个管道的最大实例数和活动实例数。
PortMon
通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL,甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。
ProcDump
这一新的命令行实用工具旨在捕获其他方式难以隔离和重现CPU峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具,并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。
功能强悍的脱壳工具,支持多达28类、几十种加壳工具生成的压缩加密文件,是修改文件资源前进行脱壳处理,汉化爱好者的不可多得的利器!
Process Explorer(ProcExp)
找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。
有一般进程管理软件的功能之外,还能搜索dll结束线程,比如网际快车线程数,结束dll文件加载,这对查杀木马非常有用。
Process Monitor(Procmon)
Procmon 进程监视器,这是一个高级的Windows监视工具,不但可以监视进程/线程,还可以关注到文件系统,注册表的变化.它包含2个Sysinternals遗留组件:Filemon 和 Regmon,并添加了大量功能。
ProcFeatures
这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。
PsExec
在远程系统上执行进程。
PsFile
PsFile是一个显示机器上的会话和有什么文件被网络中的用户打开的命令。它是Sysinternals 命令行工具不断完善的PsTools工具包的一部分。
PsGetSid
显示计算机或用户的 SID。
PsInfo
获取有关系统的信息。
PsKill
v1.13(2009 年 12 月 1 日)
终止本地或远程进程。
PsList
显示有关进程和线程的信息。
PsLoggedOn
显示目前谁登陆的机器的命令
PsLogList
查看系统事件记录的程序
PsPasswd
用来更改WinNT/2K用户密码的程序
Psping
扩展的Ping,可以选择ICMP、TCP、UDP
PsService
查看和控制服务。
PsShutdown
关闭并重新启动(可选)计算机。
PsSuspend
挂起和继续进程。
RAMMap
用于展示系统和进程内存状态和利用率。
RegDelNull
扫描并删除包含嵌入空字符的注册表项,标准注册表编辑工具不能删除这种注册表项。
RegJump
跳至 Regedit 中指定的注册表路径。
Ru
报告注册表中某一键值的使用情况
Sdelete
安全地覆盖敏感文件,并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。
ShareEnum
WindowsNT/2000/XP 网络安全中经常被忽略的方面是文件共享。当用户以宽松的安全标准定义文件共享时,通常会出现安全缺陷,从而使得未经授权的用户可以查看敏感文件。没有任何一款内置工具可以列出网络中可见的共享及其安全设置,但 ShareEnum 填补了这一空白,使您可以锁定网络上的文件共享。
扫描网络上的文件共享并查看其安全设置,以关闭安全漏洞。
ShellRunas
通过方便的 shell 上下文菜单项,作为另一个用户启动程序。
Sigcheck
转储文件版本信息并检查系统中的映像是否已进行数字签名。
Streams
显示 NTFS 备用数据流。
Strings
在二进制映像中搜索 ANSI 和 UNICODE 字符串。
Sync
把内存中的数据写进硬盘里。-e可以弹出光驱。
Tcpvcon
这个工具和tcpview的功能是一样的,不过这个最适合在dos下使用,能指定显示的内容,估计在服务器端,你能用到。
Tcpview
活动套接字命令行查看器。
Vmmap
是进程虚拟和物理内存分析实用工具。
Volumeid
设置FAT或NTFS驱动器的卷ID
Whois
查询域名的IP以及所有者等信息
Winobj
WinObj是一个32位Windows NT程序,使用本机Windows NT的API(由NTDLL.DLL中提供)来访问和显示在NT对象管理器的名称空间的信息。
ZoomIt
在屏幕上进行缩放和绘图的演示实用工具
PowerToys
1、PowerToys介绍
PowerToys是一款来自微软官方出品的效率工具集合,就像是一个神奇的系统外挂,该软件功能主要包括:屏幕取色器、桌面窗口分布、快速预览插件、批量图片缩放器、键盘映射器、批量重命名工具、软件快速启动器(类似于MacOS Spotlight或Listary)。
2、PowerToys官网下载
大家可以通过官网直接获取该软件,具体下载地址如下:
官网地址:https://docs.microsoft.com/zh-cn/windows/powertoys/
微软AI识图
这是一款微信小程序,是的,微软也做过微信小程序类的产品,而且不止这一款。就如名字所示,微软 AI 识图的卖点在于识别图片,它提供了识别文字、识别表格、识别图片并转换成 PDF 等实用功能。
Office Plus
Office Plus 是微软官方运营的 Office 模版资源站,从中你可以免费下载到各种主题各种用途的 Word、PPT 和 Excel 模版。
在 Office Plus 中下载模版是免费的,只需要登录微软账号,就能够享用其中的各种模版资源,完全不需要付费开会员或者付费下载。如果你需要什么模版,在网站都可以直接搜索到。
数据恢复神器 Windows File Recovery
商店页面:https://www.microsoft.com/store/productId/9N26S50LN705
我们知道,通常文件被删除后,数据还会残留在硬盘中一段时间,用数据恢复工具就有概率能够恢复文件。而微软就出品了一款数据恢复相关的工具 Windows File Recovery,相当不错!
Windows File Recovery 提供三种恢复模式,分别是 Windows File Recovery 普通、分段(segment mode)、签名(signature mode),各模式使用场景如下:
- 1) 普通模式:用于最近删除过的文件恢复,支持文件格式为NTFS;
- 2) 分段模式(segment mode):用于恢复已删除一段时间的文件,或者对已经格式化过的磁盘执行恢复操作;
- 3) 签名模式(signature mode):针对FAT、exFAT、ReFS等文件系统恢复,此外如果其他恢复模式不顺利,也可用这个模式试一试。
需要注意的是,Windows File Recovery 没有图形界面,需要通过命令行使用,但并不难。它的命令语法是:
winfr [被删文件所在盘符] [恢复文件对应盘符] [/开关] 文件详细路径
例如,我们要将E:\test\下一个名为“XX.txt”的文件找回来,具体命令就是:winfr e: d: /n \test\XX.txt。
微软数据恢复工具
而通过各种命令,Windows File Recovery 还可以实现其他功能,例如支持通配符、恢复整个文件夹等等。关于各种命令,微软专门提供了一个命令说明网页,以便新手熟悉。网址如下:
https://support.microsoft.com/zh-cn/help/4538642/windows-10-restore-lost-files
简单来说,Windows File Recovery 的功能和效果都相当不错。如果你实在不想用命令行,那么也可以使用基于 Windows File Recovery 打造的软件