 |
-- 會員 / 註冊 --
|
 |
|
|
|
Windows Sysinternals實戰指南 ( 簡體 字) |
| 作者:[美]Mark Russinovich(馬克·拉西諾維),Aaron Margo | 類別:1. -> 程式設計 -> 綜合 |
| 譯者: |
| 出版社:人民郵電出版社 |  3dWoo書號: 47694
詢問書籍請說出此書號!【缺書】
NT售價: 590 元 |
| 出版日:10/1/2017 |
| 頁數:525 |
| 光碟數:0 |
|
站長推薦:   |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
加入購物車  │加到我的最愛
(請先登入會員) |
| ISBN:9787115463654 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
| 前言: |
內容簡介:微軟官方著作新版 Windows內核技術專家 微軟Azure首xi技術官力作 Windows系統管理員 愛好者案頭工具書 Windows平臺排錯和維護利器
Windows Sysinternals工具已被很多IT專家和高級用戶用作在Windows平臺上進行問題診斷和排錯,以及深入理解Windows系統的全功能“瑞士軍刀”。這本由Sysinternals創始人Mark Russinovich與Windows專家Aaron Margosis聯手編著的實戰指南圖書詳細介紹了Sysinternals每款工具的獨到功能,並用較多篇幅深入介紹了如何通過幾款重量級工具優化Windows系統的可靠性、執行效率、性能以及安全性。最後,還通過大量現實案例介紹了通過這些工具解決程式出錯、停止回應、卡頓、惡意軟體感染等問題的思路、方法以及完整過程。
|
目錄:第1部分 入門
第1章 Sysinternals工具入門 3
工具概述 3
Windows Sysinternals網站 6
下載工具 6
直接通過網路運行工具 8
單一可執行映射 9
Windows Sysinternals論壇 9
Windows Sysinternals網站博客 10
Mark的博客 10
Mark的網路廣播 11
Sysinternals許可資訊 11
使用者授權合約以及/accepteula參數 11
有關Sysinternals許可的常見問題 12
第2章 Windows核心概念 13
管理權利 14
進程、執行緒和作業 16
使用者模式和核心模式 17
控制碼 18
應用程式隔離 19
應用容器 20
受保護進程 24
調用棧和符號 26
調用棧是什麼? 26
符號是什麼? 27
符號的配置 29
會話、視窗站、桌面和視窗消息 30
遠端桌面服務會話 31
窗口站 32
桌面 33
視窗消息 34
第3章 Process Explorer 36
Procexp概述 36
度量CPU的使用情況 38
管理權利 39
主窗口 40
進程清單 40
定制可顯示的列 49
保存顯示的資料 60
工具列參考 60
找出視窗對應的進程 61
狀態列 62
DLL和控制碼 63
查找DLL或控制碼 63
DLL視圖 64
控制碼視圖 67
進程詳情 71
Image選項卡 71
Performance選項卡 73
Performance Graph選項卡 74
GPU Graph選項卡 74
Threads選項卡 75
TCP/IP選項卡 75
Security選項卡 76
Environment選項卡 77
Strings選項卡 78
Services選項卡 79
.NET選項卡 79
Job選項卡 80
執行緒詳情 81
驗證映射簽名 83
VirusTotal分析 84
系統資訊 86
CPU選項卡 88
Memory(記憶體)選項卡 88
I/O選項卡 89
GPU選項卡 89
顯示選項 91
用Procexp取代工作管理員 92
通過Procexp啟動進程 93
其他用戶的會話 93
其他功能 93
關機選項 93
命令列參數 94
恢復Procexp的預設值 94
鍵盤快速鍵參考 94
第4章 Autoruns 95
Autoruns基礎知識 96
禁用或刪除自動啟動項 98
Autoruns和管理權利 99
驗證代碼簽名 99
VirusTotal分析 100
隱藏自動啟動項 101
進一步瞭解某個自動啟動項 103
查看其他用戶的自動啟動項 104
查看離線系統的ASEP 104
更改字體 105
不同類型的自動啟動 105
Logon 105
Explorer 107
Internet Explorer 109
Scheduled Tasks 109
Services 110
Drivers 110
Codecs 111
Boot Execute 111
Image hijacks 112
AppInit 113
KnownDLLs 113
Winlogon 114
Winsock Providers 114
Print monitors 115
LSA providers 115
Network providers 116
WMI 116
Sidebar gadgets 116
Office 116
保存並對比結果 117
保存為定位字元分隔的文本 117
保存為二進位(.arn)格式 118
查看並對比保存的結果 118
AutorunsC 118
Autoruns和惡意軟體 121
第2部分 使用指導
第5章 Process Monitor 125
Procmon概述 126
事件 127
理解預設顯示的列 128
定制要顯示的列 130
事件屬性對話方塊 132
查看Profiling事件 135
查找事件 137
複製事件資料 137
跳轉至註冊表或檔位置 138
連線搜索 138
篩選、強調和收藏 138
配置篩選器 139
配置強調 141
收藏 141
高級輸出 142
保存篩選器以待後用 143
進程樹 143
保存並打開Procmon的追蹤記錄 145
保存Procmon的追蹤記錄 145
Procmon的XML架構 147
打開保存的Procmon追蹤記錄 149
記錄啟動、登出後及關機活動 150
記錄啟動過程 150
讓Procmon在帳戶註銷後繼續運行 151
長時間運行追蹤以及日誌檔體積的控制 152
丟棄篩選掉的事件 152
歷史深度 153
備份檔案 153
配置設置的導入和匯出 154
Procmon的自動化操作:命令列選項 154
分析工具 156
Process Activity Summary 157
File Summary 157
Registry Summary 159
Stack Summary 160
Network Summary 161
Cross Reference Summary 161
Count Occurrences 161
將自訂調試輸出注入Procmon追蹤 162
工具列參考 163
第6章 ProcDump 165
命令列語法 167
指定要監視的進程 168
附加至現有進程 169
啟動目標進程 170
監視通用Windows平臺應用程式 170
通過AeDebug註冊自動啟用調試 172
指定轉儲檔路徑 173
指定創建轉儲的條件 174
監視異常 178
轉儲檔選項 179
Miniplus轉儲 181
ProcDump和Procmon:配合使用效果更好 183
以非對話模式運行ProcDump 185
在調試器中查看轉儲 185
第7章 PsTools 187
通用功能 188
遠程操作 188
遠端PsTools連接排錯 190
PsExec 191
遠端進程的退出 192
重定向控制台輸出 193
PsExec的備用憑據 194
PsExec的命令列選項 194
進程性能選項 195
遠端連接選項 196
運行時環境選項 196
PsFile 199
PsGetSid 200
PsInfo 201
PsKill 203
PsList 204
PsLoggedOn 205
PsLogList 206
PsPasswd 210
PsService 211
Query 211
Config 213
Depend 214
Security 214
Find 215
SetConfig 215
啟動、停止、重啟動、暫停、恢復 215
PsShutdown 215
PsSuspend 218
PsTools的命令列語法 218
PsExec 218
PsFile 219
PsGetSid 219
PsInfo 219
PsKill 219
PsList 219
PsLoggedOn 219
PsLogList 219
PsPasswd 219
PsService 219
PsShutdown 220
PsSuspend 220
PsTools系統要求 220
第8章 進程和診斷工具 221
VMMap 221
啟動VMMap並選擇進程 222
VMMap窗口 224
記憶體類型 225
記憶體資訊 226
時間線和快照 227
查看記憶體區域中包含的文本 229
查找並複製文本 229
查看已安排進程的分配 229
位址空間碎片 232
保存並載入快照結果 233
VMMap的命令列選項 233
恢復VMMap的預設值 234
DebugView 234
調試輸出是什麼? 234
DebugView顯示的內容 235
捕獲使用者模式的調試輸出 237
捕獲核心模式調試輸出 237
輸出結果的搜索、篩選和強調 238
保存、日誌和列印 241
遠端監視 242
LiveKd 244
LiveKd的前提需求 245
運行LiveKd 245
內核調試器的目標類型 246
輸出至調試器或轉儲檔 247
內容轉儲 248
Hyper-V來賓調試 249
符號 249
LiveKd使用範例 250
ListDLLs 251
Handle 254
顯示和搜索控制碼 255
控制碼數 257
關閉控制碼 258
第9章 安全工具 259
SigCheck 259
指定要掃描的檔 262
簽名驗證 263
VirusTotal分析 265
有關檔的其他資訊 267
輸出格式 268
雜項 269
AccessChk 270
“有效許可權”是什麼? 271
AccessChk的使用 271
對象類型 273
搜索訪問權利 276
輸出選項 277
Sysmon 279
Sysmon可記錄的事件 280
Sysmon的安裝和配置 287
提取Sysmon事件資料 291
AccessEnum 293
ShareEnum 295
ShellRunAs 296
Autologon 297
LogonSessions 298
SDelete 301
SDelete的使用 302
SDelete的工作原理 302
第10章 Active Directory工具 304
AdExplorer 304
連接到域 304
AdExplorer顯示的內容 305
對象 306
特性 307
搜索 308
快照 309
AdExplorer的配置 310
AdInsight 310
AdInsight的數據捕獲 311
顯示選項 313
查找感興趣的資訊 314
篩選結果 316
保存和匯出AdInsight的資料 317
命令列選項 318
AdRestore 319
第11章 桌面工具 320
BgInfo 320
配置要顯示的資料 321
外觀選項 324
保存BgInfo配置以供後用 325
其他輸出選項 325
更新其他桌面 327
Desktops 327
ZoomIt 329
ZoomIt的使用 329
放大模式 330
繪圖模式 330
鍵入模式 331
休息計時器 331
LiveZoom 331
第12章 文件工具 333
Strings 333
Streams 334
NTFS連結工具 335
Junction 336
FindLinks 338
Disk Usage (DU) 338
重啟後檔操作工具 341
PendMoves 341
MoveFile 341
第13章 磁片工具 343
Disk2Vhd 343
Sync 349
DiskView 350
Contig 352
整理現有文件的碎片 353
分析現有文件的碎片化程度 354
分析可用空間的碎片程度 355
創建連續的文件 355
DiskExt 356
LDMDump 357
VolumeID 359
第14章 網路和通信工具 360
PsPing 360
ICMP Ping 361
TCP Ping 362
PsPing伺服器模式 363
TCP/UDP延遲測試 364
TCP/UDP頻寬測試 366
PsPing長條圖 367
TCPView 368
Whois 369
第15章 系統資訊工具 371
RAMMap 371
Use Counts 372
Processes 374
Priority Summary 374
Physical Pages 375
Physical Ranges 376
File Summary 376
File Details 377
清理實體記憶體 378
保存和載入快照 378
Registry Usage(RU) 379
CoreInfo 381
-c:有關內核的信息 382
-f:內核功能資訊 382
-g:有關處理器組的資訊 384
-l:有關緩存的資訊 384
-m:NUMA訪問成本 385
-n:有關NUMA節點的資訊 386
-s:有關插槽的資訊 386
-v:與虛擬化有關的功能 386
WinObj 386
LoadOrder 388
PipeList 389
ClockRes 390
第16章 其他工具 391
RegJump 391
Hex2Dec 392
RegDelNull 392
Bluescreen Screen Saver 393
Ctrl2Cap 394
第3部分 排錯——“難解之謎”
第17章 錯誤資訊 397
錯誤資訊排錯 397
案例:資料夾被鎖定 399
案例:檔正在使用中錯誤 400
案例:照片檢視器的未知錯誤 401
案例:ActiveX註冊失敗 402
案例:“播放到”失敗 404
案例:安裝失敗 404
排錯 405
具體分析 407
案例:不可讀取的文字檔 409
案例:資料夾關聯丟失 410
案例:臨時註冊表設定檔 412
案例:Office RMS錯誤 416
案例:林功能級別提升失敗 417
第18章 崩潰 419
崩潰故障的排錯 419
案例:反病毒軟體更新失敗 422
案例:Proksi工具的崩潰 423
案例:網路位置感知服務的故障 424
案例:EMET升級失敗 425
案例:崩潰轉儲丟失 426
案例:無規律卡頓 427
第19章 掛起和性能遲鈍 429
掛起和性能遲鈍問題的排錯 429
案例:IExplore耗盡CPU 431
案例:失控的網站 432
案例:ReadyBoost造成的問題 434
案例:筆記本藍光播放機卡頓 436
案例:公司內網長達15分鐘的登錄 438
案例:PayPal郵件掛起 439
案例:財務軟體掛起 441
案例:緩慢的主題演講演示 442
案例:Project文件打開緩慢 446
複合案例:Outlook掛起 450
第20章 惡意軟體 455
惡意軟體排錯 456
Stuxnet(震網) 458
惡意軟體和Sysinternals工具 459
Stuxnet的傳播介質 459
Windows XP上的Stuxnet 460
深入調查 463
通過篩選查找相關事件 463
Stuxnet對系統的改動 465
.PNF文件 469
Windows 7中的權限提高 471
借助Sysinternals工具發現的Stuxnet 473
案例:奇怪的重啟動 474
案例:假冒的Java更新程式 477
案例:Winwebsec恐嚇軟體 480
案例:失控的GPU 487
案例:莫名其妙的FTP連接 488
案例:服務的錯誤配置 491
案例:阻止Sysinternals的惡意軟體 494
案例:殺進程的惡意軟體 496
案例:假冒系統元件 498
案例:神秘的ASEP 499
第21章 理解系統行為 502
案例:Q:盤 502
案例:莫名其妙的網路連接 505
案例:短命的進程 506
案例:應用安裝記錄器 510
案例:未知的NTLM通信 516
第22章 開發者排錯 521
案例:被破壞的Kerberos委派 521
案例:ProcDump記憶體洩漏 522
|
| 序: |
|
