Sysinternals 实用程序可帮助您管理、解决和诊断 Windows 系统和应用程序,在 Sysinternals 的 2016 年 11 月更新中,微软增强 在 sysmon 对注册表和文件事件的监控并对 Procexp、Procdump 和 LiveKd 进行了功能改进。
Sysinternals 2016年11月更新汇总
此次 Sysmon 更新的后台监控器可以将「活动」(文件创建和注册表修改日志)记录到事件日志当中,以用于安全事件检测和取证,这些事件类型让配置筛选器能够捕获关键系统配置的变更和恶意软件对自启动入口点的更改。
此次更新的 Process Explorer 版本新增了进程控制流保护 (CFG) 状态和反映进程数据执行保护 (DEP) 配置变更的动态更新功能,让其成为更强大的进程管理和诊断实用程序。
Procdump 是一款根据需要或基于(包括内存、CPU、异常和性能计数器阈值)触发器生成进程转储的命令行工具。此更新版本增加了一个 -kill 参数,可在转储完成后直接终止进程,而不将异常传递到 Windows Error Reporting (WER) 再用 -wer 开关将 dump 复制到 WER 队列。
LiveKd 是一个能够对实时系统或虚拟机进行交互式内核调试分析的工具,其为脚本分析而设计的批处理模式选项,可在 debugger 会话中止后省略重新执行 LiveKD 的提示。
如果你对该套工具不了解,可以先从 SysInternals 工具集是什么开始。老鸟用户可以直接官方下载 11 月更新包,或者配置 SysInternals 自动更新。
https://www.sysgeek.cn/sysinternals-2016-november-update/