一、产品概述
Sysinternals 是 Microsoft 提供的一套免费、轻量级但功能极深的 Windows/Linux 系统诊断、管理、排障和监控实用程序集。它由传奇工程师 Mark Russinovich 于 1996 年创建,2006 年被微软收购后持续维护至今,大部分工具最新版本更新于 2026-05-07。
Sysinternals 的核心理念是:以最少的依赖、最低的开销,暴露操作系统最底层的行为。单个 EXE 文件即开即用,无需安装、无需重启,却能够触及内核对象、进程句柄、注册表操作等 Windows 内部机制——这正是它二十余年来在 IT 运维和开发者社区中经久不衰的原因。
一句话定位: Sysinternals 是 Windows 生态中不可或缺的底层诊断工具箱,地位相当于 Linux 下的 strace + lsof + top + netstat 等工具的总和,但深度更甚。
二、工具全景图
Sysinternals Suite 目前包含 60+ 款独立工具,按功能领域可分为以下八大类。
2.1 排障「四巨头」
这是 Sysinternals 最负盛名的四款核心工具,是每一位 Windows 工程师的必修课。
| 工具 | 最新版本 | 一句话用途 |
|---|---|---|
| Process Explorer | v17.12 | 增强版任务管理器,显示每个进程打开了哪些文件/注册表/DLL,支持进程树状关系查看 |
| Process Monitor (ProcMon) | v4.02 | 实时监控文件系统、注册表、进程/线程/DLL 活动的全链路追踪工具 |
| ProcDump | v12.0 | 命令行工具,在 CPU 峰值、进程挂起或抛出异常时自动生成进程转储文件 |
| Autoruns | v14.2 | 管理所有系统启动时和登录时自动启动的程序、服务、驱动、计划任务 |
应用场景:
- 程序崩溃 / 挂起诊断 → ProcDump 捕获内存转储,Process Explorer 分析句柄与线程
- 谁在修改注册表或文件 → ProcMon 加过滤追踪
- 电脑开机慢 → Autoruns 一键禁用冗余启动项
- 恶意软件取证 → Autoruns + Process Explorer + ProcMon 组合排查
2.2 PsTools 套件(远程管理)
PsTools 是一组命令行工具,专为远程 Windows 系统管理设计。它们体积小巧(单个 100KB 左右),通过 SMB/RPC 协议与远端通信。
| 工具 | 用途 |
|---|---|
| PsExec | 远程执行进程(可交互、可提权) |
| PsKill | 按进程名或 PID 远程终止进程 |
| PsList | 列出远程或本地的进程信息 |
| PsInfo | 获取远程 Windows 版本、补丁、硬件信息 |
| PsService | 查看和控制远程服务 |
| PsLogList | 导出远程事件日志 |
| PsFile | 查看远程系统上被远程打开的文件 |
| PsPing | 带 ICMP/TCP/UDP 延迟与带宽测量的 ping |
| PsShutdown | 远程关机、重启、注销 |
| PsSuspend | 远程挂起/恢复进程 |
| PsPasswd | 远程修改账户密码 |
| PsGetSid | 获取本地或远程计算机/用户的 SID |
| PsLoggedOn | 查看本地和远程登录的用户 |
典型场景: 在几十台服务器上批量执行脚本或安装补丁,PsExec 一句命令即可完成,无需配置 WinRM 或额外代理。
2.3 内存与性能
| 工具 | 用途 |
|---|---|
| RAMMap | 全面分析物理内存分配(进程、驱动、缓存、页表) |
| VMMap | 可视化进程虚拟地址空间布局(堆、栈、镜像、映射文件) |
| Handle | 查看进程打开了哪些句柄(文件、注册表、事件、互斥体) |
| ListDLLs | 列出进程加载的所有 DLL 及其版本信息 |
| Coreinfo | 显示 CPU 拓扑(物理核/逻辑核/L1/L2/L3 缓存关系) |
| CacheSet | 调整系统文件缓存工作集大小 |
典型场景: 内存泄漏排查 → VMMap 查看进程堆增长趋势,RAMMap 分析系统物理内存分布。
2.4 安全与权限
| 工具 | 用途 |
|---|---|
| AccessChk | 查看文件、注册表、服务的有效权限(谁可以访问) |
| AccessEnum | 枚举目录和注册表的安全设置差异(发现权限配置问题) |
| Sigcheck | 验证文件数字签名、检查 VirusTotal 检测结果 |
| SDelete | 安全擦除文件/目录/磁盘空闲空间(符合 DoD 5220.22-M) |
| ShareEnum | 扫描网络共享及其权限 |
| Streams | 查看和删除 NTFS 备用数据流(ADS) |
| ShellRunas | 右键菜单「以其他用户身份运行」 |
| Sysmon | v15.2 — 安全审计核心组件,作为驱动记录进程创建、网络连接、文件变更等事件到 Windows 事件日志,是 SIEM 体系的关键数据源 |
特别关注——Sysmon: Sysmon 已从单一工具演变为企业安全基础设施的一环。它通过安装内核驱动将系统活动结构化记录到 EventLog,配合 Splunk、ELK 或 Azure Sentinel 可实现高级威胁检测。规则配置社区(如 SwiftOnSecurity 的 sysmon-config)使其部署标准化。
2.5 磁盘与文件系统
| 工具 | 用途 |
|---|---|
| Disk2vhd | 物理机到虚拟磁盘(VHD/VHDX)的 P2V 转换 |
| Contig | 对指定文件进行碎片整理 |
| DU (Disk Usage) | 命令行磁盘空间统计(类似 Linux du) |
| DiskMon | 实时监控磁盘读写操作 |
| DiskView | 可视化磁盘簇分配情况 |
| NTFSInfo | 查看 NTFS 分区详细信息(MFT 位置、簇大小等) |
| Sync | 强制刷新文件系统缓存(类似 Linux sync) |
| PendMoves / MoveFile | 查看和设置下次重启时的文件移动/删除操作 |
典型场景: P2V 迁移 → Disk2vhd 将物理机在线转换为 VHDX 直接挂载到 Hyper-V。
2.6 网络
| 工具 | 用途 |
|---|---|
| TCPView | 实时查看 TCP/UDP 端点及其关联进程(类似 netstat -b 的增强版) |
| PsPing | ICMP ping + TCP 端口连通性 + 延迟和带宽测量 |
| Whois | 域名/IP 归属查询 |
2.7 Active Directory
| 工具 | 用途 |
|---|---|
| AdExplorer | 高级 AD 浏览器,可离线查看快照和对比历史 |
| AdInsight | LDAP 调用实时监控,用于调试 AD 应用 |
| AdRestore | 恢复已删除的 AD 对象 |
2.8 实用工具
| 工具 | 用途 |
|---|---|
| ZoomIt | 屏幕缩放、画笔标注、倒计时(演示利器) |
| BgInfo | 桌面壁纸自动生成系统信息(IP、OS、内存、补丁等) |
| Desktops | 轻量级虚拟桌面管理器 |
| DebugView | 捕获内核和用户态调试输出 |
| LiveKd | 在运行系统中加载内核转储调试(配合 WinDbg) |
| RDCMan | 集中管理多个远程桌面连接 |
| Strings | 从二进制文件中提取可读字符串(类似 Linux strings) |
| WinObj | 以对象管理器视角浏览 Windows 内核命名空间 |
| BlueScreen | 模拟蓝屏(用于测试转储和调试配置) |
三、竞品对比
Sysinternals 面临两类竞品:Windows 内置工具和第三方商业工具。下表从多个维度进行了对比:
| 对比维度 | Sysinternals | Windows 内置工具 | 第三方商业工具 |
|---|---|---|---|
| 深度 | 内核对象级(句柄、IRP、对象管理器) | 进程/服务级 | 取决于产品(部分可达内核级) |
| 粒度 | 单个操作/单个句柄 | 聚合统计 | 中等聚合度 |
| 依赖 | 零依赖,单 EXE 即用 | 部分需特定 PowerShell 模块 | 通常需要安装框架/后台服务 |
| 性能开销 | 极低(ProcMon 除外——需谨慎过滤) | 低 | 中到高 |
| 学习曲线 | 中高(理解过滤器和概念需时间) | 低(基础命令) | 低到中(GUI 友好) |
| 远程能力 | PsExec 穿透防火墙能力强 | WinRM 受限 | 通常需部署 Agent |
| 价格 | 免费(含商业环境) | 系统自带 | $500~$5000+/年 |
| 更新频率 | 持续更新(2026 年仍在更新) | 跟随 OS 版本 | 按产品节奏 |
结论: 对于一线运维和开发者,Sysinternals 是性价比最高的选择。它补全了 Windows 内置工具的深度缺口,又提供了商业工具所需的底层可视性,且完全免费。
四、典型应用场景
4.1 程序崩溃 / 挂起诊断
procdump -ma -e -c 80 <进程名>
ProcDump 在进程 CPU 超过 80% 或抛出异常时自动生成完整转储,用 WinDbg 或 Visual Studio 后续分析。
4.2 文件/注册表被谁改写了
Process Monitor 启动后,快速设置过滤规则(Process Name = 目标程序,Operation = RegSetValue / WriteFile),即可精准追踪每一次写操作,定位调用栈。
4.3 开机慢 / 后台启动项过多
autoruns.exe
取消勾选不需要的第三方服务、计划任务、驱动和 Shell 扩展。结合 Sigcheck 验证文件是否签名可信。
4.4 远程批量管理
psexec \\server -s -d cmd /c "ipconfig /flushdns && ipconfig /registerdns"
无需 WinRM 配置,PsExec 在数十台服务器上并行执行命令。
4.5 恶意软件取证
- Autoruns — 检查异常启动项(无签名、路径可疑)
- Process Explorer — 查看进程签名、VirusTotal 积分、加载了哪些未签名 DLL
- Sysmon 日志 — 回溯进程创建链、网络连接历史
4.6 内存泄漏排查
- VMMap 连接目标进程,观察
Heap和Virtual Memory持续增长 - RAMMap 查看系统级物理内存分配(哪个驱动/进程占用了多少 NonPaged Pool)
4.7 P2V 迁移
disk2vhd.exe \\.\PhysicalDrive0 c:\vm\server.vhdx
在线将物理磁盘转为 VHDX,可直接挂载到 Hyper-V 启动。
五、项目地址与下载方式
Sysinternals 提供多种获取方式,适应不同使用习惯:
| 方式 | 链接 / 路径 | 说明 |
|---|---|---|
| 官方首页 | https://learn.microsoft.com/en-us/sysinternals/ | 浏览所有工具的详细介绍 |
| Suite 打包下载 | https://download.sysinternals.com/files/SysinternalsSuite.zip | 约 30MB,解压即用 |
| Microsoft Store | 搜索 “Sysinternals Suite” | 自动更新,后台保持最新 |
| Sysinternals Live | \\live.sysinternals.com\tools\ | 直接在文件资源管理器中打开,免下载直接运行 |
| 单工具下载 | 各工具独立 ZIP | 按需获取,更加轻量 |
注意: Sysinternals 所有工具完全免费,包括商业环境使用。Microsoft 不提供付费技术支持,但社区资源极其丰富。
六、总结与推荐
Sysinternals 是 Windows 生态中无可替代的底层诊断工具集。它的价值体现在三个方面:
- 深度——触及 Windows 内核对象和 I/O 子系统,这是 PowerShell 和 WMI 无法做到的。
- 广度——覆盖排障、安全、性能、磁盘、网络、AD 等全栈领域。
- 成本——零成本、零依赖、可移植,学习投入的回报极高。
推荐学习路径:
- 先从 Process Explorer 和 Process Monitor 入手,熟悉基本界面和过滤逻辑
- 掌握 ProcDump 的触发条件配置,配合 WinDbg 做 crash dump 分析
- 用 Autoruns 清理个人和运维机器的启动项
- 安全方向深入 Sysmon + Sigcheck + AccessChk
- 远程管理场景拥抱 PsExec
无论你是 Windows 开发者、运维工程师还是安全分析师,Sysinternals 都应该常驻 U 盘或 PATH 路径——它是你能找到的最好的免费诊断工具集,没有之一。
参考资料
- Microsoft Sysinternals 官方文档 — https://learn.microsoft.com/en-us/sysinternals/
- Sysinternals Suite 下载 — https://download.sysinternals.com/files/SysinternalsSuite.zip
- Sysinternals Live —
\\live.sysinternals.com\tools\ - Mark Russinovich, Windows Internals (7th Edition) — Microsoft Press
- SwiftOnSecurity, sysmon-config — https://github.com/SwiftOnSecurity/sysmon-config
- Sysinternals Microsoft Store App — https://www.microsoft.com/store/productId/9P7KNL5RMP25
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/tool/sysinternals.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)