sysinternals
sysinternal 进程资源管理器仅显示注册表事件
我在 Windows 机器(沙箱)上安装了进程资源管理器。我运行恶意软件,然后在进程资源管理器中捕获事件,5 分钟后,我停止捕获。令我惊讶的是,它只显示注册表打开/关闭/设置/获取活动,没有其他活动,如网络连接、文件创建、进程创建。我的进程资源管理器中是否存在任何错误配置?谢谢 ...
sysinternals
sysinternals
是否可以使用 procmon 来找出进程结束的原因?
假设我启动了记事本。在 PowerShell 窗口中,我运行ps notepad | Stop-Process -Force以终止所有记事本会话。我在这些操作期间捕获了 procmon 跟踪。是否有可能找出是 PowerShell 导致记事本退出?我试过了,但失败了。所有条目都成功了,似乎没有任何线索。我只是想知道这是否可能。谢谢。 ...
sysinternals
Sysinternals Handle 打印问号“?”而不是非 ASCII 符号
对于包含非 ASCII 符号的文件,Sysinternals 句柄实用程序用 打印文件名?。以下位置也报告了类似的问题: 处理编码问题 Handle.exe 中的俄语 关于 SysInternals 中的 Handle.exe 的问题 再现场景 在 Adobe Acrobat Reader 中打开一个文件C:\test\fileфайлファイル文件.pdf即可锁定它。 执行以下命令将cmd.exe导致打印的文件名为C:\test\file??????????.pdf: C:\> handle64 -nobanner C:\test\file...
sysinternals
无法通过任务计划程序运行 Sysinternals Process Explorer(通过 Win11 上的 winget 安装)
我无法通过任务计划程序将 Process Explorer 设置为在启动时运行。无论我是通过 Process Explorer 菜单“在启动时运行”创建任务还是手动创建任务,我都无法使其工作。 我已经通过 winget 安装了 Systeinternals: > winget list sysinternals Name Id Version Source ---------------------------------------------------- Sysinternals Suite...
sysinternals
PSExec -c 标志不适用于 powershell 脚本
我使用 PSExec 2.4 在多台计算机上运行命令。如果我想在目标计算机({machine}下面命名)上运行本地批处理脚本,这没有问题: psexec -i \\{machine} -nobanner -u {user} -p {pw} -c "C:\Users\Joe\Downloads\temp.bat" 但是,只要它是一个 powershell 脚本: psexec -i \\{machine} -nobanner -u {user} -p {pw} -c "C:\Users\Joe\Downloads\temp.ps1" 我收到此错误: PsExe...
sysinternals
Sysinternals procmon“进程活动摘要”缺少大多数进程
我正在尝试跟踪我们的构建脚本以及它为完成创建发布的任务而生成的所有进程的 CPU 使用率。我procmon64.exe在成功构建发布的过程中运行了一个(带有分析)会话并保存了生成的.pml文件。后来我启动procmon /noconnect并加载了该.pml文件以进行分析。 在工具菜单中,我选择process tree并找到运行我们脚本的 powershell.exe 的初始调用。选择该父进程后,我将其及其所有子进程 PID 添加到过滤器中。因此,我有一个仅由 PID 包含列表组成的过滤器。 这一切都运行正常,过滤后的进程事件正是我期望和想要的选择。现在我想...
sysinternals
在 Windows 上是否有任何本机方法或使用 sysinternals 来扫描进程正在访问的网站?
我一直在努力寻找一种方法来扫描 Windows 10 操作系统上特定进程正在访问的网站,而无需使用商业工具或没有像 wireshark 这样的完整包跟踪应用程序 我希望 systools 中的 ProcessExplorer 可以做到这一点,但它没有这样的功能。谢谢 ...
sysinternals
您可以将进程监视器设置为过滤多种文件类型而不是单一文件类型吗?或者所有声音?
我试图找出哪些程序发出了某些声音,而我遇到的唯一具有此功能的工具是 Syinternals Process Monitor。 筛选器 不幸的是,它似乎无法一次过滤多种文件类型。相反,我必须先过滤 .wav... 然后是 .mp3,等等... 我缺少一个选项来让我可以过滤多种文件类型或所有声音吗? 或者有一个程序(除了 Volume Mixer 之外)可以帮助完成这个任务? 谢谢! ...
sysinternals
我可以使用 ProcessExplorer 来跟踪未来运行进程的参数吗?
我希望能够跟踪所有MSBuild.exe对其参数的调用。看来我应该使用 sysinternals Process Explorer。我不知道如何实现这一点,或者我是否应该做其他事情。 重要的是,我尝试跟踪对 MSBuild.exe 的任何调用,而不是某个特定的正在运行的进程。 ...
sysinternals
如何从.net 控制台应用程序查看 Sysinternals Process Explorer 中的进程堆栈?
我正在尝试更深入地了解操作系统如何堆叠链式函数调用。因此,我创建了一个非常简单的 dotnet 控制台应用程序,请参阅下面的代码,我从 Main 方法调用“Call()”方法。运行 exe 并在进程资源管理器中搜索堆栈。 但我无法理解。我原本希望看到函数执行的堆栈。有没有更好的方法可以在进程资源管理器或其他 sysinternals 工具中找到此信息? public class StudyingStackExecution_B { public void Call() { Console.Re...
sysinternals
当 sysinternals 来自 MS Store 时,如何将 RDG 文件与 sysinternals 附带的 RDC 管理器关联起来?
我从Windows 商店。 其中包括 Microsoft 远程桌面管理器。 但是,此设置不会创建文件关联。 如何将 RDG 文件关联到此应用程序? 作为一种解决方法,我手动选择C:\Program Files\WindowsApps\Microsoft.SysinternalsSuite_1.1.0.0_x64__8wekyb3d8bbwe\Tools\RDCMan.exe关联应用程序,但我不确定它是否可靠(因为路径中的版本号)。 有沒有正确的方法? PS:适用于 W10 21H2 x64 ...
sysinternals
TCPView(Windows)不显示任何地址
我正在使用适用于 Windows 10 的 TCPView 4.16(从https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview)。几天前它还运行良好,但突然间它停止显示地址,而是显示 或::。::1它看起来如下: 我在网上搜索过,但遇到同样问题的人的资料很少,也没有解决方案。以管理员身份运行与否没有区别,无论哪种情况都会出现问题。我尝试从注册表中清除 TCPView 的每个条目(它没有安装,所以我无法卸载它),重新下载,我尝试使用旧版本(4.0),问题仍然存在 - 我根本无法让它再次工...
sysinternals
如何使用 SysInternals Process Explorer 捕获短暂执行的进程?(或任何标准工具)
例如,使用 SysInternals Process Explorer,我可以简要地看到一个进程弹出,我甚至可以在屏幕上看到该窗口半秒钟,但我无法弄清楚使用哪种工具或方法来捕获它并获取其进程信息。 这是针对课堂的,不是针对某种实际病毒的帮助。我们应该自己研究答案,但你可以想象,“弹出”的结果中挤满了针对一般用户的帮助文章。我正在寻找安全分析师的方法。我愿意使用 sysinternals 或 powershell。 当我向讲师询问如何系统地捕获进程时,他们告诉我只需查看进程列表并快速右键单击即可。这似乎是解决问题的业余方法。 ...
sysinternals
RamMap 清空待机列表,但不会释放它们
我的问题是:当我使用 RamMap 清空一些备用内存时,它会被清空并清零,但释放的内存不会添加到释放内存计数器。相反,它继续贡献 RAM 的占用百分比,因为没用过。 这里有一张截图来说明我的问题。这张图片是在“清空待命名单”订单后立即拍摄的。 我已经遭受过这种痛苦未使用内存现象由于 Razer Synapse 存在一些内存泄漏,据我所知,尽管它声称自己未被使用,但其他进程无法使用它。您如何让这些释放的内存完全可供其他进程使用? ...
sysinternals
为什么 Windows 可执行文件显示不正确的编译器时间戳?
我发现,当我在 PE Studio 中查看 Windows 可执行文件时,它们显示的时间戳不正确。 例如,此 Notepad.exe 文件显示编译器时间戳为0x86FCBD69(2041 年 10 月 7 日星期一 03:45:05 ) 为了验证这一点(2021 年 5 月 3 日),我将一个 Python 程序文件转换为 EXE,并在 PE Studio 中进行了检查。它还显示了错误的编译器时间戳0x5FFEC122 (2021 年 1 月 13 日星期三 15:15:06 )Python 可执行文件 为什么编译器时间戳不正确?据我了解,如果 Python...