微软极品Sysinternals Suite工具包使用指南

利用Sysinternals Suite加强Windows系统管理发布时间：2009-02-11 09:17:31 来源：友佳学院网友评论 0 条Sysinternals Suite是微软技术团队开发的一套功能强大的免费工具程序集，2009年2月4日微软发布了它的最新版本，其版本号为Build 20090204。

新版本的Sysinternals Suite包括72个相互独立的工具，这些工具囊括了文件、进程、磁盘、网络、安全等系统管理的方方面面，而Sysinternals Suite中的工具比系统中集成的类似工具功能更为强大，针对系统的可操作性更灵活。

系统管理员如果能够熟练、灵活使用这些工具，无疑将会极大地提升系统管理效率。

下面笔者基于系统管理的实际需要，实例演示其中某些工具的使用方法。

下载及其安装访问/zh-cn/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a6 93683(en-us).aspx可下载Sysinternals Suite包。

下载完毕后不需要安全，只需将其解压到某个目录即可。

1、用数字签名甄别可疑程序随着使用时间的增长，就会在系统中会汇集越来越多的文件。

这些文件大多数是正常的，但也有不少可疑文件，特别上网、安装软件等操作，很容易造成系统中毒、中马。

现在的病毒木马非常狡猾，它们往往将自己装扮成系统文件以逃避杀毒软件和用户的追杀。

这些可疑文件不仅与系统文件同名，而且其大小、文件属性都和系统文件一样。

系统管理员遇到这些此类情况，如何甄别呢?数字签名是我们分辨系统程序和可疑程序的依据。

大家知道，对于Windows系统来说重要的系统文件都有类似Verified: Signed、Signing date:12:14 2004-8-17、Publisher: Microsoft Corporation的微软的数字签名，而可疑程序则没有。

比如在笔者的C:/Windows 下有一个名为svchost.exe的程序，其大小及文件属性和系统中的svchost.exe的完全一样。

微软MSDaRT系统诊断和修复工具详解2011-08-17 13:53 佚名天极网我要评论(0)字号：T | TMSDaRT全称为MicrosoftDiagnosticsandRecoveryToolset，是微软的一套完整的系统诊断和修复工具，比Win7系统中自带的修复工具WinRE更全面，应用面更广，主要功能包括恢复系统密码、修复系统文件、清除恶意软件、还原删除文件和修复硬盘分区等，用于Win7的版本是MSDaRT6.5。

AD：用好微软MSDaRT，轻松完成系统诊断修复。

可能很多用户都不了解什么是MSDaRT，下文就如何使用MSDaRT 工具给出了详细的描述。

具体内容如下所述。

很多人比较熟悉微软的WinRE（WindowsRecoveryEnvironment），WinRE主要侧重于系统修复，但其他诸如恢复用户密码的、恢复误删除文件的和清除恶意软件等，WinRE都无能无力。

其实，对于这些常见问题，微软自有它的一整套解决方案，那就是MSDaRT。

准备工作打造全能恢复光盘MSDaRT全称为MicrosoftDiagnosticsandRecoveryToolset，是微软的一套完整的系统诊断和修复工具，比Win7系统中自带的修复工具WinRE更全面，应用面更广，主要功能包括恢复系统密码、修复系统文件、清除恶意软件、还原删除文件和修复硬盘分区等，用于win7的版本是MSDaRT6.5。

创建光盘MSDaRT体积很小，6MB不到，按提示安装即可，安装完成后，在开始菜单中就会出现“ERDCommander启动媒体向导”，启动它，一直按提示操作，操作过程中需要插入Win7安装光盘，在步骤“工具选择”根据需要选择集成工具(如图1所示)，选择的工具越多，生成的映像文件就越大，不需要的工具添加到左边的排除工具列表中。

董师傅提示：独立系统清扫程序用来清扫恶意程序，如果勾选，建议连上Internet，以便下载最新的恶意软件列表，一直按照提示操作即可创建MSDaRT的映像文件，如果将空白刻录光盘插入刻录机，按照提示操作可一站式创建MSDaRT光盘，不必再用到其他刻录软件。

win7封装工具sysprep的使用方法说明注意：经本人亲自实验，封装前请先卸载掉杀毒软件和360安全卫士这种安全类软件，否则可能会遇到GHOST到新机器上时启动无法完成配置的问题，详见：win7关于sysprep封装后无法完成配置的问题。

也注意不要把C:\Users目录移动到D盘（方法见：移动Win7用户文件夹（我的文档）默认位置至D盘），否则GHOST到新机器登录时会提示UsersProfile Service服务未能登录无法加载用户配置文件，造成无法登录系统（原因：在PE或其它系统下COPY到D:\Users的目录，Win7用户无权限读写操作，可如果不往D盘CopyUsers目录，因为C:\Users映射D:\Users也会造成登录失败）。

试了下载linkd.exe程序，进入PE，将C:\Users与D:\Users的软链接去掉（命令：linkdc:\Users/D），结果登录时还是提示无法加载用户配置文件，不得已进安全模式试下。

居然可以登录，开启administrator用户，重启正常启动，并用administrator用户登录。

修改c:\users 权限，让原用户完全控制，注销后结果还是不行。

只能用administrator账户登录后，删除掉原用户，重新建一个用户，并把原用户user目录下的桌面和appdata文件夹内容Copy 过来。

至此解决。

－－－－－－－－－－－－－－－－－－－－－－以下是转贴－－－－－－－－－－－－－－－－－－－－－－如图双击sysprep就可以了下面详细介绍各个选项，第一次听说这个工具的先别点击确定不然后果自负如图，软件运行后的界面先说”通用“勾选后会发生什么在安装系统的时候后会多一个硬件重新识别和安装的过程比如：如果是在ide模式下封装的系统要安装在开了ahci的系统上勾选这个就好。

其实这个通用就是让这次封装的系统能在其它不同硬件的计算机上运行。

所以微软的原版系统在封装的时候肯定是勾选了这个的。

此帖对"惠普"的评论Acronis Disk Director Suite 10 使用详解（补充版）我的笔记本买来的时候只有两个分区。

想再装两个系统，需要多一些分区。

看到网上有人评价ADDS 非常不错，就拿来玩玩。

有人也写了使用详解，个人在使用中遇到一些问题，使用详解中没有提到。

这里总结一下，便于后来人少花一些时间上网搜索，也可以避免不必要的杯具发生。

VISTA下分区详解（可任意划分C盘，保留一键还原区）Acronis.Disk.Director.Suite10，简称ADDS，是一套硬盘工具，可以在不损失资料的情况下对现有硬盘进行重新分区或者调整，可以对于损坏的分区进行修复，还可以轻松的实现多系统的安装和启动。

支持Windows 95 / 98 / Me / NT (包括服务器版)/ 2000 (包括服务器以及高级版) / XP/ 2003服务器以及 VISTA。

VISTA系统覆盖笔记本的年代导致出现了一个很郁闷的问题，利用VISTA自带的“磁盘管理”分区的话，C 盘通常分出来很大。

；例如，一般预装VISTA系统的140G的C盘，分出来后C盘还有70多G。

而以前的PQ还有其他分区软件几乎都不管用了。

这个时候我们用Acronis.Disk.Director.Suite（简称ADDS分区软件）这款软件可以随意分大小。

而且不破坏各品牌一键还原分区。

使用时间短，速度快！之前有篇利用一键还原F11分区的方法（实际是用diskpart这个DOS命令来分区）分VISTA 系统下的分区大小。

但是这个方法有两大缺点：一个是需要时间长，其次是更容易误操作删除一键还原恢复分区，再有就是操作复杂。

所以我马不停蹄的写了这个利用ADDS软件分区的方法，希望对网友大家有所帮助，中间图片无情转载了网上别人的图片啦，呵呵。

这里我采用的是Acronis.Disk.Director.Suite.v10.0.2160版本。

Neil B MartinT est Manager WSSC-Interop and T oolsMicrosoft CorporationMicrosoft Message Analyzer Packet Analysis at a Higher LevelContent•Packet Analyzer -review •Abstracting views of protocols •Alternative data sources •ETW•Remote Capture•Bluetooth•USB•Evtx•Logs filesMessage Analyzer –What is it?• A packet analyzer is a computer program or a piece of computer hardware that can intercept and log traffic passing over all or part of a network•Packet analyzers capture network packets in real time and display them in human-readable format•WireShark, Microsoft NetMon3.4•These tools are dissectors•If they recognize a packet they dissect it and display the inner fields of the packet•The parsers are written based on the protocol specifications or in some cases through reverse engineering of the protocols whenno specification is available•Dissection and Abstraction•We want to allow a higher level of abstraction view of protcols•Pattern Matching•Match up request/response pairs where possible•Called an operation•Different Viewers and Charts•Addressing many of the challenges of diagnosing modern networks •Protocol Validation•Identify packets that do not match the specification•Data capture from multiple sources•NDIS, Bluetooth, USB, Windows Firewall Layer, Web Proxy•Header only network capture•Reduce data in volume scenarios•Correlation of data across multiple data sources and logs•Load and display multiple data source•Message Analyzer captures ETW •ETW -Event Trace for Windows •Message Capture from:•Traditional NDIS traffic from the Network Adapter •Windows Filtering Platform 9aka Firewall)•Web proxy•USB ports•Bluetooth•Windows SMB Client•Windows SMB Server ……•E vent T racing for W indows ETW•High-resolution (<<100µs)logging infrastructure allows any component to tell the outside world what it is currently doing by firing ETW events.• A powerful diagnostic tool to log every methods/lines inside the code with reasonable performance fordebugging/troubleshooting.•MSDN on ETW/en-us/library/bb968803(VS.85).aspxAll Windows ETW Sources are available to Message Analyzer•Capability to perform remote capture •Select machine and give credentials•Collect data via ETW from NIC on remote machine•Powerful, extensible viewing and analysis •Browse, Select, View•Browse for messages from various sources (live, or stored)•Select a set of messages from those sources by characteristic(s)•View messages in a provided viewer, configure or build your own • A new high-level grid view•High level “Operations” view with automatic re-assembly•“Bubbling up” of errors in the stack to the top level•Ability to drill down the stack to underlying messages and/or packets•On the fly grouping, filtering, finding, or sorting by any message property •Payload rendering•V alidation of message structures, behavior, and architecture•Does the protocol comply with the specifications?•Over 450 published specifications for Windows Protocols(as of Windows 8.1)(/en-us/library/gg685446.aspx)Available online and as PDFContinue to publish new documents with each release of Windows •Continue to develop tools and technology to aid with the development of protocol documents, parsers and test technologyHow to get MA: /en-us/download/details.aspx?id=40308 How to get help: Blog,Operating Guide, T echnet Forum for Message Analyzer •We invite you to Explore Message Analyzer•Connect Community•https:///site216/。

【教程】InstallShield使⽤完全教程InstallShieldInstallshield是⼀个强⼤和易于使⽤，⽤于解决Windows软件安装包开发的制作⼯具。

⽤它可以以传统MSI⽅式和虚拟格式，⾃动化地封装、捆绑和包装你的产品。

IntallShield能使你的⽤户在决定何时何地何⽅式管理和部署你的应⽤程序时，得到⼀个最时尚舒畅的安装体验。

是Microsoft Windows平台上应⽤程序安装打包领域，使⽤最⼴泛和市场认可度最⾼的⼀款安装打包⼯具软件，⽀持Windows（客户版本及服务器版本），Web服务和移动设备。

对于软件开发⼈员来说，Installshield是⼀个⾮常优秀的⼯具，⽤来打包⾃⼰的应该程序，刚好今天想打包⾃⼰的⽹络电视，所以写个使⽤教程。

①下载Installshield⽹上下载的也⽐较多，破解版的也多，如果有需要的，可以留下邮箱②新建⼯程打开Installshield 2010 Premier Edition，新建⼀个Installscript MSI Project，这种被称之为半脚本程序，因为兼具Basic Project基本类型和Installscript Project全脚本类型两者的优点，我⽐较喜欢⽤。

像我这样需求的，既要⽤到Wizard的便利，⼜想写⼀点脚本来实现⼀点⾃定义操作的，就⽐较适合⽤这种类型啦。

选择类型为Windows Installer | InstallScript MSI Projcet，输⼊⼯程名，指定⼯程所在的⽂件夹。

③配置⼯程界⾯会切换到Project Assistant，我们先从这⾥开始把⼯程的基本组件和基本⽂件建⽴好。

在Project Assistant界⾯的底部，会有⼀个引导动作条，在建⽴该⼯程的基本结构和⽂件时，我们都将在此界⾯进⾏操作，下⽂都将以“引导条”来指代这个引导动作条。

❶点击引导条上的Application Information这⾥输⼊：公司名，公司名将会出现在Setup.exe的注解中软件名，将会出现在安装过程的左上⾓标题栏上版本号，⾃⼰⽐较⽅便地知道⾃⼰在编译哪个版本的软件公司⽹址，如果该公司没有⽹址呢？⽽且这⾥有点bug，好像默认的值总是会报⼀个String_ID1为空的错误，⾃⼰输⼊⼀个⽹址就不会报错。

用户手册1.2（C#版）目录前言 (1)本章提要 (1)欢迎使用Hprose (2)体例 (3)菜单描述 (3)屏幕截图 (3)代码范例 (3)运行结果 (3)获取帮助 (3)电子文档 (3)在线支持 (3)升级 (3)联系我们 (4)报告漏洞与需求 (4)第一章快速入门 (5)本章提要 (5)安装Hprose for C# (6)安装方法 (6)二进制方式 (6)源码方式 (6)创建Hprose的Hello服务器 (7)创建Hprose的Hello客户端 (10)通过Invoke方法动态调用 (10)通过接口方式调用 (11)第二章类型映射 (13)本章提要 (13)基本类型 (14)值类型 (14)引用类型 (14)基本类型的映射 (15)序列化类型映射 (15)反序列化默认类型映射 (15)反序列化有效类型映射 (16)容器类型 (17)列表类型 (17)序列化类型映射 (17)反序列化类型映射 (17)字典类型 (18)序列化类型映射 (18)反序列化类型映射 (18)对象类型 (18)通过ClassManager来注册自定义类型 (18)第三章服务器 (19)本章提要 (19)通过独立服务器方式发布服务 (20)发布实例方法 (20)Methods属性 (25)AddMethod方法 (25)AddMethods方法 (25)AddInstanceMethods方法 (25)AddStaticMethods方法 (25)AddMissingMethod方法 (25)隐藏发布列表 (26)调试开关 (26)对象序列化模式 (26)P3P开关 (27)跨域开关 (27)服务器事件 (28)OnBeforeInvoke事件 (28)OnAfterInvoke事件 (28)OnSendHeader事件 (28)OnSendError事件 (28)存取环境上下文 (29)通过aspx方式发布服务 (29)按全局发布方法 (29)按会话发布方法 (31)按请求发布方法 (32)存取环境上下文 (33)通过自定义HTTP处理程序来发布服务 (33)第四章客户端 (35)本章提要 (35)同步调用 (36)通过Invoke方法进行同步调用 (36)带名称空间（别名前缀）方法 (36)可变的参数和结果类型 (36)引用参数传递 (37)自定义类型的传输 (38)通过代理接口进行同步调用 (39)接口定义 (39)带名称空间（别名前缀）方法 (40)可变的参数和结果类型 (40)泛型参数和引用参数传递 (41)自定义类型 (41)异步调用 (42)通过Invoke方法进行异步调用 (42)通过代理接口进行异步调用 (43)异常处理 (45)同步调用异常处理 (45)异步调用异常处理 (46)超时设置 (47)HTTP参数设置 (47)代理服务器 (47)持久连接 (47)HTTP标头 (47)前言在开始使用Hprose开发应用程序前，您需要先了解一些相关信息。

Sysinternals工具实验手册写在前面的话 (1)Sysinternlas工具简介 (1)Autoruns (2)Filemon (26)高手进阶——FileMon使用实例之一 (26)Filemon说明书 (35)Regmon (38)强大的注册表监视器——Regmon (38)注册表监视器RegMon使用详解 (40)Process Explorer (43)进程管理好帮手Process Explorer (43)Process Explorer 使用指南 (57)NewSID (64)NewSID 4.10 版 (64)工具系列之NewSID (64)SID和NewSID的详细说明 (66)PsTools (72)PsTools——网管员的好帮手 (72)PsTools帮助Windows管理(表)-电脑教程 (74)TCPView (78)Tcpview使用教程 (78)tcpview使用指南 (80)BGInfo (82)BGinfo的使用 (82)实用工具特别推荐 BGInfo (84)ZoomIt (86)ZoomIt使用指南 (86)whois (90)whois使用指南 (90)volumeid (91)volumeid使用指南 (91)Sdelete (92)sdelete介绍 (92)小工具sdelete帮你彻底删除文件 (92)RootkitRevealer (94)RootkitRevealer 1.71 版 (94)对付HackerDefender 新招－RootkitRevealer (94)Autologon (96)适用于 Windows 的 Autologon 2.10 版 (96)电话：(0371) 65706336 65706337 传真：（0371）65706367 1写在前面的话在做咨询培训工作时，我经常向客户推荐一些sysinternals的小工具。