Windows Sysinternals：高级系统实用程序和技术信息

Sysinternals 网站由 Mark Russinovich 于 1996 年创建，用于托管他的高级系统实用程序和技术信息。无论您是 IT 专业人员还是开发人员，您都会找到 Sysinternals 实用程序来帮助您管理、排除故障和诊断您的 Windows 系统和应用程序。阅读 Mark 的博客，其中重点介绍了使用工具解决实际问题的方法 Sysinternals Live 是一项服务，可让您直接从 Web 执行 Sysinternals 工具，而无需寻找和手动下载它们。只需将工具的 Sysinternals Live 路径输入到 Windows 资源管理器或命令提示符中，如 live.sysinternals.com/<toolname> 或 \\live.sysinternals.com\tools\<toolname>。 RDCMan v2.8RDCMan 是一个用于管理多个远程桌面连接的实用程序，现在是 Sysinternals 工具系列的一部分！ Process Monitor v3.80Process Monitor 是与新的 Sysinternals 主题引擎集成的最新工具，为其提供暗模式支持。 Sysmon v13.20 Sysmon 这一高级系统安全监控器的更新添加了“不以”和“不以”过滤条件，并修复了规则包含/排除逻辑的回归。 TCPView v4.10 此次更新是 TCP/UDP 端点查询工具 TCPView，增加了按状态过滤连接的功能。

Process Explorer v16.40 此更新 Process Explorer，一个高级进程、DLL 和句柄查看实用程序，向主显示和报告进程 CET（影子堆栈）支持添加了进程过滤支持。 Process Monitor v3.70 Process Monitor 的此更新允许根据请求的分钟数和/或事件数据的大小限制事件数量，以便在必要时删除旧事件。它还修复了一个错误，即删除过滤事件选项并不总是受到尊重，并包含其他小错误修复和改进。 Sysmon v13.10 Sysmon 的此更新添加了 FileDeleteDetected 规则，该规则在文件被删除但不存档时记录，如果事件被排除，则删除剪贴板存档并修复 ImageLoad 事件错误。主题引擎本次更新的主题引擎在深色模式下使用自定义标题栏，类似于 MS Office 黑色主题。 WinObj 和 TCPView 已更新。期待在不久的将来更多使用主题引擎的工具！ TCPView v4.0 TCPView 的这次重大更新增加了灵活的过滤、对搜索的支持，现在可以显示拥有端点的 Windows 服务。它也是第二个具有暗模式的新主题引擎的 Sysinternals 工具。 WinObj v3.0 本次对WinObj 的重大更新添加了动态更新、快速搜索、完整搜索、更多对象类型的属性以及性能改进。它也是第一个具有深色主题的 Sysinternals 工具。 Sysmon v13.00 Sysmon 的此更新添加了一个进程映像篡改事件，该事件在进程的映射映像与磁盘映像文件不匹配或映像文件被锁定以进行独占访问时报告。这些指标由进程挖空和进程herpaderping触发。此版本还包括几个错误修复，包括对轻微内存泄漏的修复。

Process Monitor v3.61 Process Monitor 的此更新添加了对 RegSaveKey、RegLoadKey 和 RegRestoreKey API 的监控，并修复了某些类型的目录查询的详细信息输出中的错误。 AdExplorer v1.50 此版本的 AdExplorer（一种 Active Directory (AD) 查看器和编辑器）添加了对从“比较”对话框导出数据的支持，现在可用于 x64 和 ARM64。磁盘使用情况 (DU) v1.62 此版本的磁盘使用情况 (DU) 是查看磁盘使用情况信息的工具，现在还考虑了 MFT（主文件表），删除了 MAX_PATH 限制，现在可用于 ARM64。 VMMap v3.30VMMap 的此更新，这是一个报告进程虚拟内存布局的实用程序，可识别 .NET Core 3.0 托管堆。 RAMMap v1.60 此版本 RAMMap 是一种分析和显示物理内存使用情况的实用程序，添加了可自定义的地图颜色和新的命令行选项 -e，以清空不同类型的系统工作集。 Sysmon v12.0 除了几个错误修复之外，Sysmon 的这一重大更新增加了对捕获剪贴板操作的支持，以帮助事件响应者检索攻击者 RDP 文件和命令删除，包括原始远程机器 IP 地址。 Process Monitor v3.60 此更新 Process Monitor，一个记录进程文件、网络和注册表活动的实用程序，增加了对多个过滤器项目选择的支持，以及对新文件系统控制操作和错误状态代码的解码。

Procdump v10.0 此版本的 Procdump 是一种灵活的手动和基于触发器的进程转储生成工具，增加了对转储取消和 CoreCLR 进程的支持。 ARM64 移植此外，一些工具已被新移植到 ARM64，现在可用于 ARM64。其中包括：AdInsight v1.2、AutoLogon v3.1、Autoruns v13.98、ClockRes v2.1、DebugView v4.9、DiskExt v1.2、FindLinks v1.1、Handle v4.22、Hex2Dec v1.1、Junction v1 .07、PendMoves v1.02、PipeList v1.02、Procdump v10.0、Process Explorer v16.32、RegDelNull v1.11、RU v1.2、Sigcheck v2.8、Streams v1.6、Sync v2.2、VMMap v3.26、WhoIs v1.21 和 ZoomIt v4.52。使用适用于 ARM64 的 Sysinternals 套件，在一次下载中下载所有 ARM64 工具。 Sysmon v11.10 Sysmon 的此更新现在将备用数据流的流内容捕获到记录的事件中，这对于调查带有“Web 标记”(MOTW) 流标记的下载非常有用，引入了“is-any”过滤条件，并修复了几个错误。 Sigcheck v2.80Sigcheck 是一种用于显示文件版本、文件签名和证书存储的灵活工具，引入了一个 -p 选项来指定用于签名验证的信任 GUID，现在即使链中的证书不受信任，它也会显示证书签名链. Sysinternals 6 月 24 日更新 VideoMark Russinovich 介绍了此更新中的新功能，演示了 Sysmon 的备用数据流内容捕获和 Sigcheck 中的新功能。