微软官方都推荐的几款网吧维护工具集合，网吧手动去广告查进程的利器

绝地哎求生

下面这几款工具都是经典好用的网吧系统维护工具，都是非常实用的进程管理类的工具。
包括进程查看，监控，Dump，进程打开连接的端口等等，连微软官网上都收集推荐。截图如下：

现在整理过来，给有需要的网吧大佬！
本帖包括以下工具：

AutoRuns
Handle
ListDL
Portmon
ProcDump
进程资源管理器
进程监视器
PsExec
PsGetSid
PsKill
PsList
PsService
PsSuspend
PsTools
ShellRunas
VMMap

每一个楼层一个工具和相关介绍。
下面是简单的介绍：

Autoruns
查看在系统启动并登录时，哪些程序被配置为自动启动。 Autoruns.exe 还显示了应用程序可在其中配置自动启动设置的注册表和文件位置的完整列表。

Handle
这一方便的命令行实用程序将向你显示哪些进程打开了哪些文件，等等。

ListDLLs
列出当前加载的所有 Dll，包括加载它们的位置及其版本号。 版本2.0 打印已加载模块的完整路径名称。

PortMon
通过此高级监视工具监视串行和并行端口活动。 它了解了所有标准串行和并行 IOCTLs，甚至还显示了正在发送和接收的数据的一部分。 版本2.x 提供强大的新 UI 增强功能和高级筛选功能。

ProcDump
此新命令行实用工具旨在捕获进程转储，否则很难隔离和重现 CPU 峰值。 它还可用作一般的进程转储创建实用工具，还可以在进程出现挂起的窗口或未经处理的异常时监视和生成进程转储。

进程资源管理器
查明哪些文件、注册表项和其他对象进程已打开、已加载哪些 Dll 以及更多内容。 此功能独特的实用工具甚至会向你显示每个进程的所有者。

进程监视器
实时监视文件系统、注册表、进程、线程和 DLL 活动。

PsExec
远程执行进程。

PsGetSid
显示计算机或用户的 SID。

PsKill
终止本地或远程进程。

PsList
显示有关进程和线程的信息。

PsService
查看和控制服务。

PsSuspend
挂起和恢复进程。

PsTools
PsTools 套件包含命令行实用程序，用于列出本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志等。

ShellRunas
通过方便的 shell 上下文菜单项以其他用户身份启动程序。

VMMap
查看进程的已提交虚拟内存类型以及操作系统为这些类型分配的物理内存量 (工作集) 。 确定进程内存使用情况和应用程序功能的内存开销。

绝地哎求生

一、Autoruns：
简介查看系统所有自启动的进程和驱动，包括注册表里面的，系统开始菜单里面的自启动项目和其他所有的一切自启动进程或者驱动相关。

此实用工具最全面了解任何启动监视器的自动启动位置，可显示在系统启动或登录期间以及启动各种内置 Windows 应用程序（如 Internet Explorer、资源管理器和媒体播放器）时要运行的程序。 这些程序和驱动程序包括启动文件夹、Run、RunOnce 和其他注册表项中的程序和驱动程序。 自动运行 报告资源管理器 shell 扩展、工具栏、浏览器帮助程序对象、Winlogon 通知、自动启动服务等。 自动运行 远不止其他自动启动实用工具。

自动运行"隐藏已签名 的 Microsoft 条目 "选项有助于放大已添加到系统的第三方自动启动映像，并支持查看为系统配置的其他帐户配置的自动启动映像。 下载包中还包括一个命令行等效项，它可以以 CSV 格式 Autorunsc 输出。

你可能会对自动启动的可执行文件数感到意外！

屏幕快照

介绍：

只需 运行自动运行 ，它会显示当前配置的自动启动应用程序，以及可用于自动启动配置的注册表和文件系统位置的完整列表。 自动运行显示的自动启动位置包括登录条目、资源管理器加载项、Internet Explorer 加载项，包括浏览器帮助程序对象 (BHOS) 、Appinit DLL、映像劫持、启动执行映像、Winlogon 通知 DLL、Windows 服务和 Winsock 分层服务提供商、媒体编解码器等。 切换选项卡以查看不同类别中的自动启动。

若要查看配置为自动运行的可执行文件的属性，请选择它并使用" 属性"菜单项 或工具栏按钮。 如果[color=var(--theme-hyperlink)]进程资源管理器正在运行，并且有一个活动进程正在执行所选可执行文件，则"条目"菜单中的"进程资源管理器"菜单项将打开执行所选图像的进程的进程属性对话框。

导航到显示的注册表或文件系统位置或自动启动项的配置，方法为选择该项，然后使用"跳转条目"菜单项或工具栏按钮，并导航到自动启动图像的位置。

若要禁用自动启动项，请取消选中其复选框。 若要删除自动启动配置条目，请使用" 删除" 菜单项或工具栏按钮。

"选项"菜单包括多个显示筛选选项，例如仅显示非 Windows 条目，以及从中启用签名验证和病毒总计哈希和文件提交的扫描选项对话框的访问权限。

在"用户"菜单中 选择 条目以查看不同用户帐户的自动启动图像。

有关显示选项和其他信息的详细信息，请参阅在线帮助。

Autorunsc命令行参数介绍：

Autorunsc 是 Autoruns 的命令行版本。 其用法语法为：

用法：

1. autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] |[user]]]

复制代码

参数	说明
-a	自动启动项选择：
*	全部。
b	启动执行。
d	Appinit DLL。
e	资源管理器加载项。
g	边栏 (Vista 和更高版本)
h	映像劫持。
i	Internet Explorer加载项。
k	已知 DLL。
l	登录启动 (这是默认) 。
m	WMI 条目。
n	Winsock 协议和网络提供程序。
o	编 解码 器。
p	打印机监视器 DLL。
r	LSA 安全提供程序。
s	自动启动服务和未禁用的驱动程序。
t	计划任务。
w	Winlogon 条目。
-c	以 CSV 方式打印输出。
-ct	以制表符分隔值打印输出。
-h	显示文件哈希。
-m	如果与 -v (一起使用，隐藏已签名条目的 Microsoft) 。
-s	验证数字签名。
-t	以规范化 UTC 格式显示时间戳 (YYYYMMDD-hhmmss) 。
-u	如果启用了 VirusTotal 检查，则显示 VirusTotal 未知或检测非零的文件，否则只显示未签名的文件。
-x	以 XML 格式打印输出。
-v[rs]	根据 [color=var(--theme-hyperlink)]文件哈希查询 VirusTotal 中的恶意软件。 添加"r"以打开检测非零的文件的报表。 如果指定了"s"选项，则报告为以前未扫描的文件将上传到 VirusTotal。 请注意，扫描结果可能 5 分钟或 5 分钟以上不可用。
-vt	在使用 VirusTotal 功能之前，必须接受 VirusTotal [color=var(--theme-hyperlink)]服务条款。 如果尚未接受条款，并且省略此选项，系统会以交互方式提示你。
-z	指定要扫描Windows的脱机系统。
user	指定要显示其自动运行项的用户帐户的名称。 指定"*"以扫描所有用户配置文件。

下载：

绝地哎求生

进程资源管理器ProcessExplorer v16.43
项目
2022/04/03


由 Mark Russin进行标记

发布日期：2021 年 8 月 18 日


简介
曾经想知道哪个程序打开了特定的文件或目录？ 现在，你可以了解一下。 进程资源管理器 显示已打开或加载的句柄和 DLL 进程的信息。

进程 资源管理器显示 由两个子窗口组成。 顶部窗口始终显示当前活动进程的列表，包括其拥有帐户的名称，而底部窗口中显示的信息取决于进程资源管理器处于的模式：如果进程处于句柄模式，则会看到在顶部窗口中选择的进程已打开的句柄;如果进程资源管理器在 DLL 模式下，则会看到进程已加载的 DLL 和内存映射文件。 进程资源管理器 还具有强大的搜索功能，可快速显示哪些进程打开了特定句柄或加载了 DLL。

进程资源管理器的独特功能使得它可用于跟踪 DLL 版本问题或处理泄漏，并深入了解Windows和应用程序工作的方式。

Process Explorer screenshot

System Information screenshot

相关链接
Windows内部书籍 Mark Russin且 David 为有关内部机制的Windows正式更新和错误表页。
Windows Sysinternals 管理员参考 Mark Russin且 Aaron Marg以官方指南介绍了 Sysinternals 实用工具，包括所有工具的说明、其功能、如何使用它们进行故障排除，以及其使用的实际示例事例。
下载
Download下载进程资源管理器 (2.5 MB)
现在从Sysinternals Live 运行。

运行于：

客户端：Windows 8.1及更高版本。
服务器：Windows Server 2012及更高版本。
安装
只需运行 进程资源管理器 (procexp.exe) 。

帮助文件描述 进程资源管理器 操作和用法。 如果遇到问题，请访问 Microsoft QA& 上的进程资源管理器部分。

有关符号使用说明
在配置指向DBGHELP.DLL符号路径使用符号服务器时，DBGHELP.DLL的位置还必须包含支持SYMSRV.DLL路径的行。 请参阅 SymSrv 文档 ，或详细了解如何使用符号服务器。

绝地哎求生

进程监视器ProcessMonitor v3.89

• 项目
• 2022/04/03
  

通过 Mark Russinovich

发布日期：2022 年 2 月 16 日

简介

进程监视器是一种高级监视工具Windows，用于显示实时文件系统、注册表和进程/线程活动。 它结合了两个旧版 Sysinternals 实用工具 （Filemon 和 Regmon）的功能，并添加了广泛的增强功能列表，包括丰富的非破坏性筛选、全面的事件属性（例如会话 ID 和用户名、可靠的进程信息、具有针对每个操作集成符号支持的完整线程堆栈、同时记录到文件等）。 它独特的强大功能会使进程监视器成为系统故障排除和恶意软件搜寻工具包中的核心实用工具。

进程监视器功能概述

进程监视器包括强大的监视和筛选功能，包括：

• 为操作输入和输出参数捕获更多数据
• 使用非破坏性筛选器可以设置筛选器，而不会丢失数据
• 捕获每个操作线程堆栈在许多情况下都有可能确定操作的根本原因
• 可靠捕获进程详细信息，包括映像路径、命令行、用户和会话 ID
• 任何事件属性的可配置列和可移动列
• 可以针对任何数据字段（包括未配置为列的字段）设置筛选器
• 高级日志记录体系结构可扩展到数千万个捕获的事件和数千兆字节的日志数据
• 进程树工具显示跟踪中引用的所有进程的关系
• 本机日志格式保留所有数据，以在不同的进程监视器实例中加载
• 用于轻松查看进程图像信息的进程工具提示
• 通过详细信息工具提示，可以方便地访问列中不适合的格式化数据
• 可取消的搜索
• 所有操作启动时间日志记录
  

熟悉进程监视器功能的最佳方法就是通读帮助文件，然后访问实时系统上的每个菜单项和选项。

屏幕截图

绝地哎求生

Handle
Handle中文意思是句柄的意思。就是查看进程打开了哪些句柄，这个句柄包括文件，文件夹。下面是

简介

您是否想知道哪个程序打开了特定的文件或目录？ 现在，可以找到了。 句柄 是一个实用工具，用于显示有关系统中任何进程的打开句柄的信息。 您可以使用它来查看打开了文件的程序，或者查看程序的所有句柄的对象类型和名称。

你还可以在 Sysinternals 的此处获取此 程序的基于GUI 的版本。

安装

您可以通过键入 "句柄" 来运行 句柄 。 您必须具有管理权限才能运行 句柄。

使用情况

句柄 针对搜索打开的文件引用，因此，如果未指定任何命令行参数，它将列出系统中引用打开的文件和文件名称的所有句柄的值。 它还使用几个参数来修改此行为。

用法： handle [[-a] [-u] |[-c < handle > [-l] [-y]] |[-s]][-p < processname > | <pid >> [名称]

参数	说明
-a	转储有关所有类型的句柄的信息，而不仅仅是引用文件的句柄的信息。 其他类型包括端口、注册表项、同步基元、线程和进程。
-c	关闭指定的句柄 (解释为十六进制数) 。 必须按进程的 PID 指定进程。 警告： 关闭句柄可能会导致应用程序或系统不稳定。
-l	转储支持页面文件的部分的大小。
-y	不提示关闭句柄确认。
-s	打印每种打开的句柄的计数。
-u	搜索句柄时显示所有者的用户名。
-p	此参数会将句柄扫描范围缩小为以名称进程开头的进程，而不是检查系统中的所有句柄。 因此 句柄-p exp 将为以 "exp" 开头的所有进程（包括 "资源管理器"）转储打开的文件。
name	提供此参数是为了使您可以直接处理对具有特定名称的对象的引用。 例如，如果你想要知道哪个 () 有 "c:\windows\system32" 打开的进程，可以键入： 处理 windows\system 名称匹配不区分大小写，指定的片段可以位于感兴趣的路径中的任何位置。

处理输出

如果未处于搜索模式 (通过将名称片段指定为参数) 来启用，则句柄会将其输出划分为每个要打印的进程的部分。 虚线用作分隔符，紧靠其后你将看到进程名称及其进程 id (PID) 。 进程名称下面列出了 "句柄值" (以十六进制) 、与该句柄关联的对象的类型以及对象的名称（如果有）。

处于搜索模式时， 句柄 将在左侧列出进程名称和 id，并在右侧列出具有匹配项的对象的名称。

下载：

绝地哎求生

ListDLLs

作者： Mark Russinovich

发布日期：2016年7月4日

简介

ListDLLs 是一种实用程序，用于报告加载到进程中的 Dll。 您可以使用它来列出加载到所有进程中的所有 Dll、特定进程或列出已加载特定 DLL 的进程。 ListDLLs 还可以显示 Dll 的完整版本信息（包括其数字签名），并可用于扫描未签名 Dll 的进程。

使用情况

listdlls [-r] [-v |-u] [processname | pid]
listdlls [-r] [-v] [-d dllname]

[td]

参数	描述
processname	转储由进程加载的 Dll (部分名称接受) 。
pid	转储与指定进程 id 关联的 Dll。
dllname	仅显示已加载指定 DLL 的进程。
-r	标记重新定位的 Dll，因为它们未在其基址中加载。
-u	仅列出未签名的 Dll。
-v	显示 DLL 版本信息。

示例

列出加载到 Outlook.exe 中的 Dll，其中包括其版本信息：

listdlls-v outlook

列出任何加载到任何进程中的未签名 Dll：

listdlls-u

显示已加载 MSO.DLL 的进程：

listdlls-d mso.dll

运行于：

• 客户端： Windows Vista 和更高版本
• 服务器： Windows server 2008 及更高版本
• Nano Server：2016和更高版本
  

绝地哎求生

ProcDump v10.11
项目
2022/04/03


由 Mark Russin一和 Andrew Richards 提供

发布日期：2021/08/18


简介
ProcDump 是一个命令行实用工具，其主要用途是监视应用程序中的 CPU 峰值，并生成在高峰期间故障转储，管理员或开发人员可以使用该峰值来确定峰值的原因。 ProcDump 还包括挂起窗口监视 (使用与 Windows 和 任务管理器 使用) 、未经处理异常监视的相同窗口挂起定义，并可以基于系统性能计数器的值生成转储。 它还可以充当可嵌入其他脚本的常规进程转储实用工具。

使用 ProcDump
捕获使用情况：

cmd

复制
procdump.exe [-mm] [-ma] [-mp] [-mc Mask] [-md Callback_DLL] [-mk]
             [-n Count]
             [-s Seconds]
             [-c|-cl CPU_Usage [-u]]
             [-m|-ml Commit_Usage]
             [-p|-pl Counter_Threshold]
             [-h]
             [-e [1 [-g] [-b]]]
             [-l]
             [-t]
             [-f  Include_Filter, ...]
             [-fx Exclude_Filter, ...]
             [-o]
             [-r [1..5] [-a]]
             [-at Timeout]
             [-wer]
             [-64]
             {
                 {{[-w] Process_Name | Service_Name | PID} [Dump_File | Dump_Folder]}
             |
                 {-x Dump_Folder Image_File [Argument, ...]}
             }
安装使用情况：

cmd

复制
procdump.exe -i [Dump_Folder]
             [-mm] [-ma] [-mp] [-mc Mask] [-md Callback_DLL] [-mk]
             [-r]
             [-at Timeout]
             [-k]
             [-wer]
卸载使用情况：

cmd

复制
procdump.exe -u
参数        说明
-a        避免中断。 需要 -r。 如果触发器会导致目标因超出并发转储限制而长时间挂起，将跳过触发器。
-at        避免超时中断。 在 N 秒时取消触发器的集合。
-b        将调试断点视为异常 (否则忽略它们) 。
-c        CPU 阈值，用于创建进程的转储。
-cl        CPU 阈值，低于该阈值可创建进程的转储。
-d        调用指定 DLL 的名为 MiniDumpCallbackRoutine 的小型转储回调例程。
-e        当进程遇到未经处理异常时编写转储。 包括 1，以在出现第一机会异常时创建转储。
-f        筛选第一个可能异常。 支持通配符 (*) 通配符。 若要仅显示名称而不进行转储，请使用空白 ("") 筛选器。
-fx        筛选 (排除) 异常内容和调试日志记录。 支持通配符。
-g        在托管进程中作为本机调试器运行， (互操作) 。
-h        如果进程有挂起的窗口， (在至少 5 秒钟内未响应窗口消息，则写入) 。
-i        将 ProcDump 安装为 AeDebug 事后调试器。 仅支持使用 -ma、-mp、-d 和 -r 作为附加选项。
-k        在克隆 (-r) 或转储收集结束时终止进程
-l        显示进程的调试日志记录。
-m        内存提交阈值（以 MB 为单位）用于创建转储。
-ma        编写包含所有进程内存的转储文件。 默认转储格式仅包含线程和处理信息。
-mc        编写自定义转储文件。 包括由十六进制MINIDUMP_TYPE掩码 (的内存) 。
-md        编写回调转储文件。 包括由指定 DLL 的名为 MiniDumpCallbackRoutine 的 MiniDumpWriteDump 回调例程定义的内存。
-mk        同时编写内核转储文件。 包括进程中线程的内核堆栈。 使用克隆 (-r) 时，OS 不支持内核转储 (-mk) 。 使用多个转储大小时，会针对每个转储大小执行内核转储。
-ml        当内存提交低于指定的 MB 值时触发。
-mm        使用默认模式编写 (转储) 。
-mp        使用线程和句柄信息以及所有读/写进程内存编写转储文件。 为了最大程度地减小转储大小，将搜索大于 512MB 的内存区域，如果找到，则排除最大的区域。 内存区域是大小相同的内存分配区域的集合。 删除此内存 (缓存) 将Exchange和SQL Server转储减少 90% 以上。
-n        退出前要写入的转储数。
-o        覆盖现有的转储文件。
-p        超过阈值时，对指定性能计数器触发。 注意：若要在进程有多个实例运行时指定进程计数器，请使用具有以下语法的进程 ID："\Process (<name>_<pid>) \counter"
-pl        当性能计数器低于指定值时触发。
-r        使用克隆进行转储。 并发限制是可选的 (默认值 1，最多 5) 。
警告：高并发值可能会影响系统性能。
- Windows 7：使用反射。 OS 不支持 -e。
- Windows 8.0：使用反射。 OS 不支持 -e。
- Windows 8.1+：使用 PSS。 支持所有触发器类型。
-s        写入转储之前连续秒 (默认值为 10) 。
-t        在进程终止时写入转储。
-u        将 CPU 使用率视为与 -c (一) 。
作为唯一选项，卸载 ProcDump 作为事后调试器。
-w        等待指定的进程启动（如果该进程未运行）。
-wer        将 (的最大) 排队到Windows 错误报告。
-x        使用可选参数启动指定的映像。 如果是应用商店应用程序或包，ProcDump 将在下次激活时启动， () 。
-64        默认情况下，在 64 位进程上运行时，ProcDump 将捕获 32 位进程的 32 位Windows。 此选项将替代 以创建 64 位转储。 仅用于 WOW64 子系统调试。
-?        使用 -？ -e 查看示例命令行。
如果省略转储文件名，则默认为 <processname>_<datetime>.dmp。

-accepteula使用命令行选项自动接受 Sysinternals 许可协议。

自动终止：

使用名称设置事件 ProcDump-<PID> 与键入 Ctrl+C 以正常终止 ProcDump 相同

文件名：

默认转储文件名： PROCESSNAME_YYMMDD_HHMMSS.dmp

支持以下替换：

替换        说明
PROCESSNAME        进程名
进程 ID        PID
EXCEPTIONCODE        异常代码
YYMMDD        年/月/日
HHMMSS        小时/分钟/秒
示例

1. 编写名为"记事本"的进程的微型转储 (其中只能存在一个) ：
   
2. 
   
3. C：\>procdump 记事本
   
4. 
   
5. 编写 PID 为"4572"的进程的完整转储：
   
6. 
   
7. C：\>procdump -ma 4572
   
8. 
   
9. 除了名为"记事本"的进程之外，写入 3 个微型转储 5 秒：
   
10. 
    
11. C：\>procdump -s 5 -n 3 记事本
    
12. 
    
13. 当进程在 5 秒钟内 CPU 使用率超过 20% 时，最多写入 3 个名为"consume"的进程的微型转储：
    
14. 
    
15. C：\>procdump -c 20 -s 5 -n 3 consume
    
16. 
    
17. 为名为"hang.exe"的进程编写一个微型转储，Windows 5 秒以上无响应：
    
18. 
    
19. C：\>procdump -h hang.exe window.dmp
    
20. 
    
21. 当系统 CPU 总使用率超过 20% 10 秒时，编写名为"outlook"的进程的微型转储：
    
22. 
    
23. C：\>procdump outlook -p "\Processor (_Total) \% Processor Time" 20
    
24. 
    
25. 当进程的句柄计数超过 10，000 时Outlook名为"outlook"的进程的完整转储：
    
26. 
    
27. C：\>procdump -ma outlook -p "\Process (Outlook) \Handle Count" 10000
    
28. 
    
29. 当 Microsoft Exchange 信息存储出现未经处理异常时，请编写 MiniPlus 转储：
    
30. 
    
31. C：\>procdump -mp -e store.exe
    
32. 
    
33. 显示时不编写转储，异常代码/名称w3wp.exe：
    
34. 
    
35. C：\>procdump -e 1 -f "" w3wp.exe
    
36. 
    
37. 如果异常的代码/w3wp.exe包含"NotFound"，请编写一个小型转储：
    
38. 
    
39. C：\>procdump -e 1 -f NotFound w3wp.exe
    
40. 
    
41. 启动进程，然后监视其异常：
    
42. 
    
43. C：\>procdump -e 1 -f "" -x c：\dumps consume.exe
    
44. 
    
45. 注册启动并尝试激活新式"应用程序"。 新的 ProcDump 实例将在激活时启动，以监视异常：
    
46. 
    
47. C：\>procdump -e 1 -f "" -x c：\dumpsMicrosoft.BingMaps_8wekyb3d8bbwe！AppexMaps
    
48. 
    
49. 注册以启动新式"包"。 手动激活 ProcDump 实例时， (启动) 监视异常：
    
50. 
    
51. C：\>procdump -e 1 -f "" -x c：\dumps Microsoft.BingMaps_1.2.0.136_x64__8wekyb3d8bbwe
    
52. 
    
53. 在 AeDebug 调试器 (实时) 注册。 在 c：\dumps 中进行完全转储：
    
54. 
    
55. C：\>procdump -ma -i c：\dumps
    
56. 
    
57. 请参阅示例命令行列表 (上面列出的示例) ：
    
58. 
    
59. C：\>procdump -？ -E
    

复制代码

绝地哎求生

VMMap v 3.32
项目
2022/04/03


由 Mark Russinovich

发布日期：2022年1月27日

Download下载 VMMap (1.3 MB)
立即 从 Sysinternals 实时运行。

简介
VMMap 是一个进程虚拟和物理内存分析实用程序。 它显示了进程的已提交虚拟内存类型的细分，以及操作系统为这些类型分配的物理内存量 (工作集) 。 除了内存使用量的图形化表示形式以外，VMMap 还会显示摘要信息和详细的进程内存映射。 强大的筛选和刷新功能使你能够确定进程内存使用情况和应用程序功能的内存成本。

除了用于分析实时进程的灵活视图外，VMMap 还支持以多种形式导出数据，其中包括保留所有信息以便您可以在中重新加载的本机格式。 它还包括用于启用脚本方案的命令行选项。

VMMap 是一个理想的工具，可供开发人员了解和优化其应用程序的内存资源使用情况。

屏幕快照
Screenshot of VMMap showing Explorer.EXE memory analysis

shizhiyang

看不懂，还是谢谢大佬