Sysinternals Suite包含一系列免费的系统工具，其中有大名鼎鼎的Process Explorer、FileMon、RegMon等，如果把系统管理员比喻成战士的话，那幺Sysinternals Suite就是我们手中的良兵利器。熟悉和掌握这些工具，并且对Windows的体系有一定的了解，将大幅度的提高日常的诊断和排错能力。

微软在2006年7月收购了Winternals，更重要的是，微软藉由此一併购网罗了该公司的两位创办人Mark Russinovich及Bryce Cogswell，其中，Mark Russinovich曾因为利用自己开发的Rootkit Revealer侦测到Sony光碟中採用Rootkit程式而声名大噪。 下面简要介绍一下工具包里一些很有特色的小工具。

Windows管理员往往需要知道什幺样的访问特定的用户或团体的资源，包括档案，目录，注册表项 和Windows服务。 AccessChk将回答这些问题的一个直观的界面和输出。

AccessEnum可以让你在数秒的时间内了解目录、档案以及注册表的许可权设定情况，快速找到安全漏洞并锁定需要保护的许可权。对于虚拟主机管理者来讲帮助会更大。

CacheSet 允许您处理系统档案快取中的工作集参数。CacheSet 可以在所有版本的 NT 上运行，而且在不对新 Service Pack 版本进行修改的情况下也可运行。除了使您能够控制工作集大小的最小值和最大值，它还允许您重置快取的工作集，强制它在必要时从一个最小的起点开始增长。CacheSet 的更改会对快取的大小立即产生影响。注意：要在 NT 4.0 Service Pack 4 上使用 CacheSet，您必须拥有“增加配额”的许可权（管理员账户默认拥有此许可权）。CacheSet 已经获得更新可启用此许可权，因此它可以在 SP4 上运行。

一个基于命令行的小程式，能够快速有效的整理硬碟上的档案碎片，可以使档案变的连续，提高访问速度。Power Defragmenter是一个高手编写的Contig的GUI版本，带有一个图形界面，用起来更方便，更直观。可以大大提高碎片整理速度。使用前需要把Contig与Power Defragmenter放在同一资料夹下。

DiskExt 展示了对 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 命令的使用，该命令返回有关某卷的分区位于哪个磁碟（多分区磁碟可以驻留在多个磁碟上），以及分区位于磁碟上的什幺位置等信息。

Diskmon是一硬碟数据存取实时监控软体，能够将 Windows NT/2000/XP 作业系统的硬碟数据存取时间滴水不漏地纪录下来，您还可以将纪录档案储存成 LOG 文字档案。

DiskView 该软体集成于微软的Windows作业系统的资源管理器以显示一个直观的磁碟空间使用情况。该软体的Visualizer面板在一个图形图表中提供关于当前资料夹的详细使用情况信息。档案和资料夹空间占用情况以及在Windows 作业系统的资源管理器中的Details view 的Relative Size能够使用DiskView's Size On Disk进行观看。

Filemon 是一款出色的档案系统监视软体，它可以监视应用程式进行的档案读写操作。它将所有与档案一切相关操作(如读取、修改、出错信息等)全部记录下来以供用户参考，并允许用户对记录的信息进行保存、过滤、查找等处理，这就为用户对系统的维护提供了极大的便利。

怎样得到你自己个人的NTFS volumes呢？比如扇区的数量，簇的大小，以及其它有趣的NTFS 的信息？在一些细节方面，NTFSInfo会为你提供如下信息：

主档案基于簇的位置

主档案镜像的启动簇

主档案的大小

卷的大小

簇和分区的总数量

可用的自由空间

分区和簇的位元组数

标準的碎片整理程式既无法向您显示分页档案和注册表配置单元的碎片化情况，也无法对它们进行碎片整理。分页和注册表档案碎片化可能是系统因档案碎片化而导致性能下降的首要原因之一。

PageDefrag 使用先进的技术向您提供商业碎片整理程式无法提供的服务：即查看分页档案和注册表配置单元的碎片化情况，并且对它们进行碎片整理的能力。此外，它还对事件日誌和 Windows 2000/XP 休眠档案（当休眠笔记本电脑时保存系统记忆体的地方）进行碎片整理。

进程监视器,这是一个高级的Windows监视工具,不但可以监视进程/执行绪,还可以关注到档案系统,注册表的变化.它包含2个Sysinternals遗留组件:Filemon 和 Regmon,并添加了大量功能。

PsFile是一个显示机器上的会话和有什幺档案被网路中的用户打开的命令。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsTools是Sysinternals公司推出的一个功能强大的远程管理工具包，一共由12个命令组成，可以用来远程管理Windows NT/2000/XP系统。可以远程整理硬碟、关闭远程计算机上运行的信使服务、查看伺服器硬碟空间、查看远程计算机上的进程，并结束可疑进程、传送讯息并快速关闭远程计算机等。

当作业系统处于非活动状态时，可以使用原始磁碟编辑程式和恢复工具查看和恢复作业系统已取消分配的数据。即使使用 Win2K 的加密档案系统(EFS) 加密档案，档案的原始未加密档案数据在创建该档案的新的加密版本后仍然保留在磁碟上。

要确保使用 EFS 加密的档案以及已删除的档案无法恢复，唯一的方法是使用安全删除应用程式。安全删除应用程式使用能够使磁碟数据无法恢复的技术，甚至使用可以读取磁性媒体中揭示弱删除档案的模式的恢复技术来覆盖已删除档案的磁碟数据。SDelete（安全删除）就是这样一个应用程式。您既可以使用 SDelete 安全地删除现有档案，也可以安全地擦除存在于磁碟的未分配部分中的任意档案数据（包括您已经删除或加密的档案）。SDelete 实施了美国国防部资料摧毁标準 (Clearing and Sanitizing Standard) DOD 5220.22-M，以使您确信在使用 SDelete 删除档案数据后，这些数据将彻底消失。

Windows NT/2000/XP 网路安全中经常被忽略的方面是档案共享。当用户以宽鬆的安全标準定义档案共享时，通常会出现安全缺陷，从而使得未经授权的用户可以查看敏感档案。没有任何一款内置工具可以列出网路中可见的共享及其安全设定，但 ShareEnum 填补了这一空白，使您可以锁定网路上的档案共享。

运行 ShareEnum 时，它将使用 NetBIOS 枚举功能来扫描可以访问的域中的所有计算机，从而显示档案和列印共享及其安全设定。由于只有域管理员具有查看所有网路资源的许可权，所以在您以域管理员帐户运行 ShareEnum 时，它才最有效。

验证映像进行了数字签名并使用这一简单的命令行实用工具转储版本信息。

NTFS 档案系统为应用程式提供创建信息备用数据流的能力。默认情况下，所有数据都存储在档案的主要未命名数据流中，但通过使用“file:stream”语法，您就能读取和写入备用数据流。不是所有应用程式都编写为能够访问备用数据流，但您可以非常简单地演示数据流。首先，在命令提示符中，更改到 NTFS 驱动器上的一个目录。然后，键入“echo hello > test:stream”。您刚刚创建了一个与档案“'test”相关联的数据流，名为“stream”。请注意，在查看 test 的大小时，它报告为 0，并且在用任何文本编辑器打开时，档案看上去是空的。要查看您的数据流，请输入“more < test:stream”（type 命令不接受数据流语法，因此您需要用 more）。

Streams 将检查您指定的档案和目录（注意目录也可以有备用数据流），通知您在那些档案中遇到的任何命名数据流的名称和大小。

用法：streams [-s] [-d] <档案或目录>

-s

对子目录执行递归操作。

-d

删除流。

Streams 接受通配符，如“streams *.txt”

可以实现自动登录系统，无需手动输入帐户、域名和密码。其实就是在系统注册表中添加帐户信息和登录信息的键值。不过由软体来实现更加简单了，如同简单的脚本。

如果您认为在登录系统时只有一个活动的登录会话，那幺这个实用程式会让您大吃一惊。会列出当前活动的登录会话，而如果您指定了 -p 选项，它还会列出正在每个会话中运行的进程。LogonSessions 可以在 Windows 2000 和更高版本上运行。

NewSID ，顾名思义，就是可以利用它来为计算机重新生成新的SID号。为什幺要重新定义新SID？如果用Ghost的镜像批量的来安装系统，那幺它们的SID号必然相同。若内部网路上计算机SID相同就会造成许多冲突，加入域也会有很大问题，甚至造成客户机无法加入到域。

Windows 安装光碟不是已经提供了Sysprep吗？什幺还要用NewSID呢？

1、 凡用过Sysprep的朋友都应该知道，如果用Sysprep来重新封装系统，在重启之后会要求我们重新输入产品序列号和重新添加用户，对于企业来说很多时候是不希望员工得到产品ID的，让非IT职员来完成系统任务也很有可能造成一些不必要的麻烦。

2、 正是基于我们这些迫切需求，NewSID可谓是一个完美的解决方案。它提供三种方式来让我们重新生成SID：a.随机产生 b.从其它计算机複製 c.手工输入 ，以上这三种方式可以满足大多数用户的需求。我们还可以选择是否重新给计算机更名，最后也可以手工指定在SID重定义完成后是否重启计算机。

3、 计算机重启之后不会让我们再次输入产品序列号，也不会让我们重新添加用户，这为我们减少了很多不必要的麻烦。

PsExec 是一个轻型的 telnet 替代工具，它使您无需手动安装客户端软体即可执行其他系统上的进程，并且可以获得与控制台应用程式相当的完全互动性。PsExec 最强大的功能之一是在远程系统和远程支持工具（如 IpConfig）中启动互动式命令提示视窗，以便显示无法通过其他方式显示的有关远程系统的信息。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsLogList是一个查看系统事件记录的程式。它也是 Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

RootkitRevealer 是一种高级 Rootkit 检测实用工具。它可以在 Windows NT 4 和更高版本上运行，而且其输出会列出注册表和档案系统 API 的差异，从而可以指出是否存在用户模式或核心模式 Rootkit。RootkitRevealer 可以成功检测出在 www rootkitcom 上发布的所有永久性 Rootkit，包括 AFX、Vanquish 和 HackerDefender（注意：RootkitRevealer 不会有意检测那些不试图隐藏其档案或注册表项的 Rootkit，如 Fu）。

Active Directory Explorer (AD Explorer) ,是先进的Active Directory ( AD )的查看器和编辑器。 使用AD Explorer，用户可以快捷地浏览AD资料库，自定义快速入口，无需打开对话框即可查看对象属性、编辑许可权、浏览一个对象的模式、 进行精确搜寻等。

Server 2003 引入了还原已删除（“已逻辑删除的”）对象的功能。这一简单的命令行工具可以列出域内的已删除对象，并允许您选择还原这些对象。

一个很好的检测连线埠的软体，很小很好用。

强大、完整的启动项扫描工具！

用于显示系统时钟解析度以及应用程式可以获得的最大计时器解析度。

这个小程式可以向您展示 Windows NT 或 Windows 2000 系统载入设备驱动程式的顺序。请注意，Windows 2000 即插即用驱动程式的实际载入顺序可能与计算的顺序有所不同，因为即插即用驱动程式是在设备检测和枚举期间根据需要载入的。

ProcessorFeatures使用 Windows IsProcessorFeaturePresent API 来确定处理器和 Windows 是否支持无执行页面、物理地址扩展(PAE) 及实时时钟周期计数器等各种功能。其主要用途是确定系统运行 PAE 版本的核心以及支持无执行缓冲区溢出保护。

这一小程式可以显示本地登录的用户和通过本地计算机或远程计算机的资源登录的用户。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

Regmon 是一款出色的注册表数据监视软体,它将与注册表数据相关的一切操作(如读取、修改、出错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。

Portmon 是用于监视和显示系统中所有串列连线埠和并行连线埠活动的实用工具。它具有高级筛选和搜寻功能，使其处理以下操作的功能强大的工具：探索 Windows 工作的方式、查看应用程式如何使用连线埠，或跟蹤系统中或应用程式档案配置中的问题。

很不错的进程管理工具，可以设定为完全取代系统自带任务管理器taskmgr，成为系统默认的“任务管理器”。里头的各种监视器非常直观地监视或者记录着系统当前的状态，而且易用性非常高。支持XP及以上系统，支持Win2003及以上系统。

PsGetSid是一个远程获取账号sid信息的工具。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

Windows NT/2000 没有附带命令行终止实用工具。您可以从 Windows NT 或 Win2K 资源工具包中找到终止实用工具，但资源工具包中的实用工具只能终止本地计算机上的程式。PsKill 是一个终止实用工具，它不仅具有资源工具包所具有的功能，而且可以终止远程系统上的进程。您甚至不必在目标计算机上安装客户端，就可以使用 PsKill 终止远程进程。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

该程式用于列出本地或远程NT主机进程相关信息的工具，适于配合PsKill使用。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsService 是一个用于 Windows 的服务查看器和控制器。与 Windows NT 和 Windows 2000 资源工具包附带的 SC 实用工具类似，PsService 可显示服务的状态、配置和相关性，并允许您启动、停止、暂停、恢复和重新启动这些服务。但与 SC 实用工具不同，对于您所运行的帐户在远程系统中没有必需的许可权时，PsService 使您可以使用不同的帐户登录远程系统。PsService 包含一个独特的服务搜寻功能，该功能可标识您的网路中某一服务的活动实例。例如，如果要定位运行 DHCP 伺服器的系统，您可以使用此搜寻功能。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

PsSuspend 使您可以挂起本地或远程系统中的进程，如果您希望让其他进程使用某个进程正在占用的资源（例如，网路、CP或磁碟）时，它非常有用。挂起功能允许您让占用资源的进程在以后的某个时间点继续操作，而不必终止该进程。它是Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分。

在桌面上列表显示计算机软、硬体信息,包括CPU主频、网路信息、作业系统版本、IP位址、硬碟信息等等。

Bluescreen是一个屏保，安装之后，它的画面会随着作业系统的不同而有所差异：

在NT4.0里，Bluescreen 会模拟执行 chkdsk 的画面－而且会有硬碟错误的讯息出现！

在 Win2K、9x 之下，它会出现 Win2K 的错误讯息，还有重新开机的画面！

Desktops 可以让你的windows同时扩展出4个虚拟桌面。你可以在一个上面阅读邮件，在第二个上面浏览网页，在第三个上面上网...你可以通过点击托盘的图示来切换它们，当然也支持快捷键。

这个命令行程式可以搜寻并删除包括内嵌 Null 字元的注册表项目。这种注册表项目使用标準的注册表编辑工具则无法被删除。

ZoomIt有萤幕放大、在萤幕上进行注释、计时提醒三大功能。