作為市面上桌面操作系統(tǒng)市場份額占有第一的Windows，微軟近些年不斷聽取用戶建議，取長補短，經(jīng)過多年的發(fā)展，版本數(shù)次更迭，功能越加完善，可以說是目前桌面最優(yōu)秀的操作系統(tǒng)之一。

近些年，微軟也逐漸擁抱開源，先是大手筆收購全球第一的開源平臺Github，后又摒棄飽受詬病的IE瀏覽器，擁抱谷歌核心，更又針對WIndows 10推出了多款實用的增強小工具詳見阿剛之前介紹過的《微軟出的外掛小工具合集，有了它又可以少裝幾個工具了》，實際上除了這些工具之外，微軟早年發(fā)布過一個功能強大的軟件套件-Sysinternals。

Sysinternals，微軟發(fā)布的超強綠色工具合集

Sysinternals早先是由國外Mark Russinovich開發(fā)（2006被微軟收購），是套功能強大的Windows免費套件，主要幫助專業(yè)人士用于配置，優(yōu)化，測試，檢測操作系統(tǒng)，套件內(nèi)含多個綠色小工具，涵蓋了Windows系統(tǒng)中多個應用領(lǐng)域，目前主要包括：

正是因為Sysinternals小工具的強大，微軟才會收購，截至目前Sysinternals一直在維護更新，目前有將近100多個各式各樣的小工具。下面阿剛挑幾個我們可接觸使用的工具。

Autoruns，揪出自啟動的程序和服務的超牛利器

隨系統(tǒng)自啟動本是微軟方便用戶，讓人無奈甚至憤慨的是不少應用程序毫無節(jié)制不經(jīng)用戶同意偽裝成系統(tǒng)服務甚至使用映像劫持和 DLL 注入的方式強制自啟動各類服務，這類行徑早已屢見不鮮，不僅無恥更存在著安全隱患。

作為一般用戶，如何能簡單高效識別自啟動項顯然不是一件輕而易舉之事。而微軟的這款Autoruns自啟動管理工具能幫助用戶快速掃描系統(tǒng)自啟動項，讓偽裝隱藏的各類自啟程序、服務無所遁形。

Autoruns使用簡單，程序啟動后將自動掃描并羅列出當前系統(tǒng)上的自啟動項，主要包括了計劃任務、驅(qū)動程序、資源管理器、登陸等多個類目，可方便的切換至對應的選項卡查看類目下的啟動項。一般來說，我們主要查看這些類目即可大致分析出自啟狀況，為方便大家理解簡單的說明下主要的類目。

Autoruns使用不同的顏色對掃描的啟動項進行標記，其中粉紅色表示該啟動項對應的程序沒有數(shù)字簽名、簽名無法驗證，

黃色澤表示該啟動項對應的文件已不存在，通過顏色標記可以對啟動項有個快速了解，方便我們定位有問題的啟動項。

此外，對于具體的啟動項你可以右鍵執(zhí)行相關(guān)的操作，主要包括查找對應的注冊表、跳轉(zhuǎn)到文件所在路徑、調(diào)用Process Explorer、以及谷歌在線搜索對應程序的信息、或者使用VirusTotal在線多殺軟查毒，。這些操作均是方便用戶識別和判斷啟動項的程序信息。

對于我們不需要自啟的的條目，只需取消勾選即可。如果是不存在的啟動項，可以直接右鍵刪除。這里特別要提醒的是，除非你完全知道某個啟動項，否則一般只需禁用即可，不推薦刪除以免造成系統(tǒng)或者軟件崩潰。

小結(jié)：總的來說，Autoruns功能相當強大，使用也簡單，是目前自啟動管理中最有效的工具之一，同時也是Sysinternals最出名的工具，非常值得使用。

Process Explorer，自帶任務管理器的最佳替代品

Sysinternals套件中，鼎鼎大名的Process Explorer一直備受推崇，作為一款增強型的進程查看器，不僅使用簡單，功能更加強大，它可顯示有關(guān)進程的詳細信息，包括其圖標，命令行，完整映像路徑，內(nèi)存統(tǒng)計信息，用戶帳戶，安全屬性等。甚至還能列出相關(guān)進程已加載的DLL或它已打開的操作系統(tǒng)資源句柄等。

作為一款進程管理器，Process Explorer的樹形界面非常直觀，能夠條例清晰的羅列出各種進程以及相關(guān)父子進程關(guān)系。

并且與上面的Autoruns一樣，它也采用顏色標記相關(guān)進程信息，默認顏色代表如下：

當然，你也可以選擇是否啟用顏色標記項，也可以根據(jù)自己的喜好自定義相關(guān)的顏色配置。總的來說，通過顏色就能判斷此進程處于的狀態(tài)和類型，是掛起還是正在退出，是服務進程還是普通進程，一目了然。

針對選中的進程，可執(zhí)行停止、重啟、掛起等常規(guī)操作，也可設置程序優(yōu)先級以及使用virusTotal在線查毒等。而在屬性欄中，則更進一步顯示了進程的完整映像路徑，資源占用，所屬的用戶帳戶以及安全屬性等。

如果你是工程師，還能通過Process Explorer查看進程的DLLs，具體做法是視窗——>下拉窗口顯示內(nèi)容——>動態(tài)鏈接庫。這一功能還是相當實用的，比如能查看程序是不是被DLLs注入。

此外對于普通用戶，Process Explorer內(nèi)置了個進程查找器，通過鼠標移動到目標程序窗口就可以快速定位到相關(guān)進程，這個用來揪出不知名的廣告彈窗程序相當有效，比如下圖這樣：

總的來說Process Explorer用來查看進程以及相關(guān)的信息顯得更加的專業(yè)和詳細，即便是一般的用戶也能直觀的了解到進程，比Windows自帶的要好用不少。

SDelete安全刪除工具，讓數(shù)據(jù)恢復軟件去死吧

通常情況下，刪除文件只需右鍵刪除即可，即快速又方便。而且，這樣的刪除操作一般被刪文件是回到了回收站中，若是誤刪還能還原。就算是一般所謂的徹底刪除，通過數(shù)據(jù)恢復軟件也可以輕松恢復。那么，如果想不可恢復式的徹底刪除一個文件該如何操作呢。

Sysinternals中就內(nèi)置了一個SDelete小工具，通過簡單的命令就可以徹底刪除文件。首先他是個命令行工具，使用前需要配置環(huán)境變量。

方法很簡單，比如：

刪除的原理與大多數(shù)同類工具相同，比如在CCleaner中刪除文件也有一個覆蓋操作，都是通過刪除后多次寫入文件進行覆蓋，已達到數(shù)據(jù)不可逆，更詳細的原理微軟在文檔中有詳細說明，阿剛這里就不贅述了。

SDelete-Gui，將SDelete集成在右鍵中

上面說了SDelete是個命令行工具，刪東西就要速度快，讓你來不及多想瞬間刪除，命令行多麻煩呀。Github上有人專門為它寫了個gui界面并且集成在了右鍵菜單中。

使用時，只需要設置一下復寫的次數(shù)然后ENABLE按鈕即可完成配置，當你要刪除文件的的時候，直接右鍵選擇Secure Delete，會彈出窗口顯示你設置的復寫次數(shù)，之后文件就徹底沒了。

注意了，執(zhí)行這個操作是不可逆的，文件一旦被刪就無法恢復，包括所謂的數(shù)據(jù)恢復軟件也是回天乏力了，所以一定要慎用！

最后，SDelete這個工具似乎只對機械硬盤能起到徹底刪除的作用，固態(tài)因原理不同可能無法奏效，阿剛沒做過對比和測試，感興趣的同學可以自己試一下子。

Process Monitor，監(jiān)控進程都做了什么

Process Explorer是簡單易用的任務進程管理器，能夠幫助我們準確查看相關(guān)進程的信息，但要分析某個進程在系統(tǒng)中的所有操作，Process Monitor顯然是最佳的選擇。

Process Monitor是一款高級監(jiān)視工具，它結(jié)合了兩個舊的Sysinternals實用程序Filemon和Regmon的功能，并添加了更強大的增強功能，能夠顯示實時文件系統(tǒng)，注冊表和進程/線程活動，可根據(jù)事件屬性設定條件進行過濾，（例如會話ID和用戶名），同時還具有集成符號支持的完整線程堆棧，對于每個操作，可同時記錄到文件中。

在使用管理員身份運行程序后，Process Monitor運行后會立即開始監(jiān)視文件系統(tǒng)，注冊表和進程，具體而言：

篩選過濾可以根據(jù)各種條件作出精確的篩選，比如根據(jù)父進程ID、文件名，映像路徑、文件描述、公司名等多種條件設定僅顯示或排除。假設你要監(jiān)控QQ運行后做了什么，則可以通過QQ的進程ID進行篩選。

篩選之后列表中將僅顯示QQ進程相關(guān)的結(jié)果，能夠看到QQ運行后，寫入的注冊表、文件。并且右鍵還可以跳轉(zhuǎn)到修改的文件、注冊表的鍵值等

小結(jié)：一直以來Process Monitor獨特的強大功能將使其成為不少人系統(tǒng)故障排除和惡意軟件搜索的首選工具，對于一般的用戶而言，當發(fā)現(xiàn)可疑程序或想知道程序作了哪些更改，可以通過Process Monitor進行監(jiān)控，簡單高效。

寫在最后

Sysinternals套件其實是一個面向?qū)I(yè)人士的萬能工具包，里面的工具多是命令行工具，涉及到專業(yè)領(lǐng)域知識較多，一般用戶使用可能會有些門檻，它雖然被微軟收購，但目前一直在更新維護中。

此次阿剛在文章中給大家介紹的這幾款小工具，尤其是Process Explorer/Monitor和Autoruns，可以說是 Sysinternals中的精品同時他們的知名度也很高。阿剛這里算是拋磚引玉，一是篇幅所限，二是個人能力也有限，無法給大家詳盡的介紹每一個工具，畢竟有些工具很專業(yè)，如果感興趣可以在微軟Sysinternals官網(wǎng)中查看文檔，每一個工具都有非常詳盡的說明。