Windows Sysinternals实战指南
¥
183
九品
仅1件
作者 刘晖 译
出版社 人民邮电出版社
出版时间 2017-10
版次 1
装帧 平装
上书时间 2024-05-14
商品详情
品相描述:九品
图书标准信息
作者
刘晖 译
出版社
人民邮电出版社
出版时间
2017-10
版次
1
ISBN
9787115463654
定价
118.00元
装帧
平装
开本
16开
纸张
胶版纸
页数
525页
正文语种
简体中文
【内容简介】
内容提要 Windows Sysinternals工具已被很多IT专家和高级用户用作在Windows平台上进行问题诊断和排错,以及深入理解Windows系统的全功能“瑞士军刀”。这本由Sysinternals创始人Mark Russinovich与Windows专家Aaron Margosis联手编著的实战指南图书详细介绍了Sysinternals每款工具的独到功能,并用较多篇幅深入介绍了如何通过几款重量级工具优化Windows系统的可靠性、执行效率、性能以及安全性。最后,还通过大量现实案例介绍了通过这些工具解决程序出错、停止响应、卡顿、恶意软件感染等问题的思路、方法以及完整过程。
【作者简介】
关于作者 Mark Russinovich是Sysinternals工具的共同开发者,目前担任Microsoft Azure的首xi技术官,还负责持续更新这套工具。在操作系统、分布式系统、安全等技术领域,Mark ussinovich是公认的专家,并与他人合作出版了广受欢迎的《Windows Internals》系列图书。 Aaron Margosis在微软Cybersecurity Services部门担任首xi顾问,从1999年开始帮助客户处理与安全有关的问题,尤其擅长处理锁定环境中的安全和应用程序兼容性问题。 关于译者 刘晖,IT技术和Windows操作系统爱好者,热衷于研究Windows客户端和服务器技术,多次当选微软zui有价值专家(MVP)称号,曾出版过多本有关微软技术的原创和翻译图书。
【目录】
目录 第1部分 入门 第1章 Sysinternals工具入门 3 工具概述 3 Windows Sysinternals网站 6 下载工具 6 直接通过网络运行工具 8 单一可执行映像 9 Windows Sysinternals论坛 9 Windows Sysinternals网站博客 10 Mark的博客 10 Mark的网络广播 11 Sysinternals许可信息 11 最终用户许可协议以及/accepteula参数 11 有关Sysinternals许可的常见问题 12 第2章 Windows核心概念 13 管理权利 14 进程、线程和作业 16 用户模式和内核模式 17 句柄 18 应用程序隔离 19 应用容器 20 受保护进程 24 调用栈和符号 26 调用栈是什么? 26 符号是什么? 27 符号的配置 29 会话、窗口站、桌面和窗口消息 30 远程桌面服务会话 31 窗口站 32 桌面 33 窗口消息 34 第3章 Process Explorer 36 Procexp概述 36 度量CPU的使用情况 38 管理权利 39 主窗口 40 进程列表 40 定制可显示的列 49 保存显示的数据 60 工具栏参考 60 找出窗口对应的进程 61 状态栏 62 DLL和句柄 63 查找DLL或句柄 63 DLL视图 64 句柄视图 67 进程详情 71 Image选项卡 71 Performance选项卡 73 Performance Graph选项卡 74 GPU Graph选项卡 74 Threads选项卡 75 TCP/IP选项卡 75 Security选项卡 76 Environment选项卡 77 Strings选项卡 78 Services选项卡 79 .NET选项卡 79 Job选项卡 80 线程详情 81 验证映像签名 83 VirusTotal分析 84 系统信息 86 CPU选项卡 88 Memory(内存)选项卡 88 I/O选项卡 89 GPU选项卡 89 显示选项 91 用Procexp取代任务管理器 92 通过Procexp启动进程 93 其他用户的会话 93 其他功能 93 关机选项 93 命令行参数 94 恢复Procexp的默认值 94 键盘快捷键参考 94 第4章 Autoruns 95 Autoruns基础知识 96 禁用或删除自动启动项 98 Autoruns和管理权利 99 验证代码签名 99 VirusTotal分析 100 隐藏自动启动项 101 进一步了解某个自动启动项 103 查看其他用户的自动启动项 104 查看脱机系统的ASEP 104 更改字体 105 不同类型的自动启动 105 Logon 105 Explorer 107 Internet Explorer 109 Scheduled Tasks 109 Services 110 Drivers 110 Codecs 111 Boot Execute 111 Image hijacks 112 AppInit 113 KnownDLLs 113 Winlogon 114 Winsock Providers 114 Print monitors 115 LSA providers 115 Network providers 116 WMI 116 Sidebar gadgets 116 Office 116 保存并对比结果 117 保存为制表符分隔的文本 117 保存为二进制(.arn)格式 118 查看并对比保存的结果 118 AutorunsC 118 Autoruns和恶意软件 121 第2部分 使用指导 第5章 Process Monitor 125 Procmon概述 126 事件 127 理解默认显示的列 128 定制要显示的列 130 事件属性对话框 132 查看Profiling事件 135 查找事件 137 复制事件数据 137 跳转至注册表或文件位置 138 联机搜索 138 筛选、强调和收藏 138 配置筛选器 139 配置强调 141 收藏 141 高级输出 142 保存筛选器以待后用 143 进程树 143 保存并打开Procmon的追踪记录 145 保存Procmon的追踪记录 145 Procmon的XML架构 147 打开保存的Procmon追踪记录 149 记录启动、注销后及关机活动 150 记录启动过程 150 让Procmon在账户注销后继续运行 151 长时间运行追踪以及日志文件体积的控制 152 丢弃筛选掉的事件 152 历史深度 153 备份文件 153 配置设置的导入和导出 154 Procmon的自动化操作:命令行选项 154 分析工具 156 Process Activity Summary 157 File Summary 157 Registry Summary 159 Stack Summary 160 Network Summary 161 Cross Reference Summary 161 Count Occurrences 161 将自定义调试输出注入Procmon追踪 162 工具栏参考 163 第6章 ProcDump 165 命令行语法 167 指定要监视的进程 168 附加至现有进程 169 启动目标进程 170 监视通用Windows平台应用程序 170 通过AeDebug注册自动启用调试 172 指定转储文件路径 173 指定创建转储的条件 174 监视异常 178 转储文件选项 179 Miniplus转储 181 ProcDump和Procmon:配合使用效果更好 183 以非交互方式运行ProcDump 185 在调试器中查看转储 185 第7章 PsTools 187 通用功能 188 远程操作 188 远程PsTools连接排错 190 PsExec 191 远程进程的退出 192 重定向控制台输出 193 PsExec的备用凭据 194 PsExec的命令行选项 194 进程性能选项 195 远程连接选项 196 运行时环境选项 196 PsFile 199 PsGetSid 200 PsInfo 201 PsKill 203 PsList 204 PsLoggedOn 205 PsLogList 206 PsPasswd 210 PsService 211 Query 211 Config 213 Depend 214 Security 214 Find 215 SetConfig 215 启动、停止、重启动、暂停、恢复 215 PsShutdown 215 PsSuspend 218 PsTools的命令行语法 218 PsExec 218 PsFile 219 PsGetSid 219 PsInfo 219 PsKill 219 PsList 219 PsLoggedOn 219 PsLogList 219 PsPasswd 219 PsService 219 PsShutdown 220 PsSuspend 220 PsTools系统要求 220 第8章 进程和诊断工具 221 VMMap 221 启动VMMap并选择进程 222 VMMap窗口 224 内存类型 225 内存信息 226 时间线和快照 227 查看内存区域中包含的文本 229 查找并复制文本 229 查看已安排进程的分配 229 地址空间碎片 232 保存并加载快照结果 233 VMMap的命令行选项 233 恢复VMMap的默认值 234 DebugView 234 调试输出是什么? 234 DebugView显示的内容 235 捕获用户模式的调试输出 237 捕获内核模式调试输出 237 输出结果的搜索、筛选和强调 238 保存、日志和打印 241 远程监视 242 LiveKd 244 LiveKd的前提需求 245 运行LiveKd 245 内核调试器的目标类型 246 输出至调试器或转储文件 247 内容转储 248 Hyper-V来宾调试 249 符号 249 LiveKd使用范例 250 ListDLLs 251 Handle 254 显示和搜索句柄 255 句柄数 257 关闭句柄 258 第9章 安全工具 259 SigCheck 259 指定要扫描的文件 262 签名验证 263 VirusTotal分析 265 有关文件的其他信息 267 输出格式 268 杂项 269 AccessChk 270 “有效权限”是什么? 271 AccessChk的使用 271 对象类型 273 搜索访问权利 276 输出选项 277 Sysmon 279 Sysmon可记录的事件 280 Sysmon的安装和配置 287 提取Sysmon事件数据 291 AccessEnum 293 ShareEnum 295 ShellRunAs 296 Autologon 297 LogonSessions 298 SDelete 301 SDelete的使用 302 SDelete的工作原理 302 第10章 Active Directory工具 304 AdExplorer 304 连接到域 304 AdExplorer显示的内容 305 对象 306 特性 307 搜索 308 快照 309 AdExplorer的配置 310 AdInsight 310 AdInsight的数据捕获 311 显示选项 313 查找感兴趣的信息 314 筛选结果 316 保存和导出AdInsight的数据 317 命令行选项 318 AdRestore 319 第11章 桌面工具 320 BgInfo 320 配置要显示的数据 321 外观选项 324 保存BgInfo配置以供后用 325 其他输出选项 325 更新其他桌面 327 Desktops 327 ZoomIt 329 ZoomIt的使用 329 放大模式 330 绘图模式 330 键入模式 331 休息计时器 331 LiveZoom 331 第12章 文件工具 333 Strings 333 Streams 334 NTFS链接工具 335 Junction 336 FindLinks 338 Disk Usage (DU) 338 重启后文件操作工具 341 PendMoves 341 MoveFile 341 第13章 磁盘工具 343 Disk2Vhd 343 Sync 349 DiskView 350 Contig 352 整理现有文件的碎片 353 分析现有文件的碎片化程度 354 分析可用空间的碎片程度 355 创建连续的文件 355 DiskExt 356 LDMDump 357 VolumeID 359 第14章 网络和通信工具 360 PsPing 360 ICMP Ping 361 TCP Ping 362 PsPing服务器模式 363 TCP/UDP延迟测试 364 TCP/UDP带宽测试 366 PsPing直方图 367 TCPView 368 Whois 369 第15章 系统信息工具 371 RAMMap 371 Use Counts 372 Processes 374 Priority Summary 374 Physical Pages 375 Physical Ranges 376 File Summary 376 File Details 377 清理物理内存 378 保存和加载快照 378 Registry Usage(RU) 379 CoreInfo 381 -c:有关内核的信息 382 -f:内核功能信息 382 -g:有关处理器组的信息 384 -l:有关缓存的信息 384 -m:NUMA访问成本 385 -n:有关NUMA节点的信息 386 -s:有关插槽的信息 386 -v:与虚拟化有关的功能 386 WinObj 386 LoadOrder 388 PipeList 389 ClockRes 390 第16章 其他工具 391 RegJump 391 Hex2Dec 392 RegDelNull 392 Bluescreen Screen Saver 393 Ctrl2Cap 394 第3部分 排错——“难解之谜” 第17章 错误信息 397 错误信息排错 397 案例:文件夹被锁定 399 案例:文件正在使用中错误 400 案例:照片查看器的未知错误 401 案例:ActiveX注册失败 402 案例:“播放到”失败 404 案例:安装失败 404 排错 405 具体分析 407 案例:不可读取的文本文件 409 案例:文件夹关联丢失 410 案例:临时注册表配置文件 412 案例:Office RMS错误 416 案例:林功能级别提升失败 417 第18章 崩溃 419 崩溃故障的排错 419 案例:反病毒软件更新失败 422 案例:Proksi工具的崩溃 423 案例:网络位置感知服务的故障 424 案例:EMET升级失败 425 案例:崩溃转储丢失 426 案例:无规律卡顿 427 第19章 挂起和性能迟钝 429 挂起和性能迟钝问题的排错 429 案例:IExplore耗尽CPU 431 案例:失控的网站 432 案例:ReadyBoost造成的问题 434 案例:笔记本蓝光播放器卡顿 436 案例:公司内网长达15分钟的登录 438 案例:PayPal邮件挂起 439 案例:财务软件挂起 441 案例:缓慢的主题演讲演示 442 案例:Project文件打开缓慢 446 复合案例:Outlook挂起 450 第20章 恶意软件 455 恶意软件排错 456 Stuxnet(震网) 458 恶意软件和Sysinternals工具 459 Stuxnet的传播介质 459 Windows XP上的Stuxnet 460 深入调查 463 通过筛选查找相关事件 463 Stuxnet对系统的改动 465 .PNF文件 469 Windows 7中的特权提升 471 借助Sysinternals工具发现的Stuxnet 473 案例:奇怪的重启动 474 案例:假冒的Java更新程序 477 案例:Winwebsec恐吓软件 480 案例:失控的GPU 487 案例:莫名其妙的FTP连接 488 案例:服务的错误配置 491 案例:阻止Sysinternals的恶意软件 494 案例:杀进程的恶意软件 496 案例:假冒系统组件 498 案例:神秘的ASEP 499 第21章 理解系统行为 502 案例:Q:盘 502 案例:莫名其妙的网络连接 505 案例:短命的进程 506 案例:应用安装记录器 510 案例:未知的NTLM通信 516 第22章 开发者排错 521 案例:被破坏的Kerberos委派 521 案例:ProcDump内存泄漏 522
点击展开
点击收起
— 没有更多了 —
本店暂时无法向该地区发货
以下为对购买帮助不大的评价