微软官方Sysinternals Suite系统故障排除实用工具免费下载（含单独工具文件160个和帮助说明）[2023/03/09]

Sysinternals 故障排除实用工具已汇总到单个工具套件中。 此文件包含单独的故障排除工具和帮助文件。 它不包含非故障排除工具，如 BSOD 屏幕保护程序。

By Mark Russinovich
更新时间：2023 年 3 月 9 日
下载 Sysinternals Suite (44.8 MB)
下载 Sysinternals Suite for Nano Server (8.8 MB)
下载 Sysinternals Suite for ARM64 (13.2 MB)
从 Microsoft Store 安装 Sysinternals Suite

套件是以下选定的 Sysinternals 实用工具的捆绑： AccessChk、 AccessEnum、 AdExplorer、 AdInsight、 AdRestore、 Autologon、 Autoruns、 BgInfo、 BlueScreen、 CacheSet、 ClockRes、 Contig、 Coreinfo、 Ctrl2Cap、 DebugView、 Desktops、 Disk2vhd、 DiskExt、 DiskMon、 DiskView、 磁盘使用情况 (DU) 、 EFSDump、 FindLinks、 Handle、 Hex2dec、 Junction、 LDMDump、 ListDLLs、 LiveKd、 LoadOrder、 LogonSessions、 MoveFile、 NotMyFault、 NTFSInfo、 PendMoves、 PipeList、 PortMon、 ProcDump、 进程资源管理器、 进程监视器、 PsExec、 PsFile、 PsGetSid、 PsInfo、 PsKill、 PsList、 PsLoggedOn、 PsLogList、 PsPasswd、 PsPing、 PsService、 PsShutdown、 PsSuspend、 PsTools、 RAMMap、 RDCMan、 RegDelNull、 RegHide、 RegJump、 注册表使用情况 (RU) 、 SDelete、 ShareEnum、 ShellRunas、 Sigcheck、 流、 字符串、 同步、 Sysmon、 TCPView、 VMMap、 VolumeID、 WhoIs、 WinObj、 ZoomIt

具体功能如下：
Windows Sysinternals 部分工具的简单介绍：
AccessChk: 显示指定用户或组对 注册表 文件 或服务的访问
AccessEnum: 简单强大的安全工具，显示哪些用户访问了哪些目录、文件及注册键。帮助找出权限策略中的漏洞。
AdExplorer: 活动目录浏览器.
AdInsight: LDAP 实时监控工具
AdRestore: Server 2003 活动目录对象反删除.
Autologon: 登录时跳过密码认证.
Autoruns: 显示开机自启动项的配置。 显示包括注册键和文件位置在内的全面列表
BgInfo: 可配置的桌面背景自动生成程序，可以生成含有重要系统信息的桌面背景，其中包括 IP 地址, 计算机名, 网络适配器, 等信息.
BlueScreen: 不但能精确模拟蓝屏还能重启 (完全借助 CHKDSK)
CacheSet:用于使用 NT 提供的函数控制缓存管理器的工作集大小。 它与所有版本的 NT 兼容
ClockRes: 查看系统时钟的分辨率，这也是最大计时器分辨率。
Contig: 快速对常用文件进行碎片整理？ 使用 Contig 优化单个文件，或创建连续的新文件。
Coreinfo: 用于显示逻辑处理器与物理处理器、NUMA 节点和套接字之间的映射，以及分配给每个逻辑处理器的缓存。
DebugView: Sysinternals 的又一首创: 该程序可以拦截设备驱动对 DbgPrint 的调用和Win32程序对OutputDebugString 的调用. 程序可以浏览或记录本机或远程计算机上调试会话的输出，而无须激活调试器.
Desktops：创建虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。
DiskExt: 显示卷分区与磁盘的映射关系。(IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS)
Disk2Vhd：针对物理磁盘创建VHD映像
DiskView: 图形化磁盘扇区工具
Diskmon: 捕获硬盘的所有活动，或以硬盘活动指示灯的形式出现在托盘中
Du: (Disk Usage) 按目录浏览磁盘使用情况
EFSDump: 显示有关已加密文件的信息
Filemon: (可能已移除) 即时监视文件系统的活动 (监视文件读写，常配合RegMon判断某软件对电脑做了什么手脚)
FindLinks: 报告文件索引和硬链接数目。
Handle: 小巧的命令行工具，显示呢哪些文件被哪些进程打开，及相关更多信息。
Hex2dec: 16进制-10进制互相转换。
Junction: 创建 NTFS卷上的符号链接（类似Linux的符号链接，灵活运用的话相当实用）
LDMDump: 可以转储 Logical Disk Manager 在磁盘中的数据库
ListDLLs: 列出当前载入的所有 DLLs 及他们的位置和版本，以及已载入模组的完整路径名
LiveKd: 在live(CD) 系统中使用 Microsoft 内核调试器或MS 内核调试工具Windbg .
LoadOrder: 查看 WinNT/2K 中设备的载入顺序
LogonSessions：列出系统上的活动登录会话。
MoveFile: 为下次启动前安排文件的移动和删除操作
NotMyFault: 可用于在 Windows 系统上崩溃、挂起和导致内核内存泄漏。
NewSID: (可能被移除) 了解有关计算机SID的问题，这是一个 SID 更改程序，为你换一个新的SID.
NTFSInfo: 使用 NTFSInfo 查看有关 NTFS 卷的详细信息, 包括 主文件表 (MFT) 的大小位置和 MFT-zone, 以及 NTFS 元数据文件的大小.
PageDefrag: (可能被移除) 启动时为页面文件和注册表HIVE文件进行碎片整理.
PendMoves: 列出延迟到下次启动前执行的文件移动、删除操作
PipeList: 显示系统上的命名管道，包括每个管道的最大实例数和活动实例数。
PortMon: 监视串/并口的数据活动支持所有标准的串并口 IOCTLs 甚至可以显示一部分交换的数据.
ProcDump: 捕获其他难以隔离和重现 CPU 峰值的进程转储
Process Explorer: 能找出进程打开的文件，注册键，以及其他对象,载入的 DLLs和进程所有者等信息。
Process Monitor: 实时监视文件系统，注册表，进程，线程以及DLL的活动.
ProcFeatures: (可能被移除) 报告进程或窗口对PAE与NX缓冲区溢出保护的支持情况
PsExec: 在远程系统执行进程
PsFile: 查看本地被远程打开的文件
PsGetSid: 显示计算机或用户的 SID
PsInfo: 获取系统信息.
PsKill: 终止本地或远程进程.
PsList: 显示进程和线程有关的信息
PsLoggedOn: 显示已登陆系统的用户
PsLogList: 转储事件日志记录
PsPasswd: 更改账户密码
PsPing: 测量网络性能
PsService: 查看设置服务
PsShutdown: 关闭或重启电脑
PsSuspend: 冻结或恢复进程
PsTools: 该命令行工具包提供列出本地/远程计算机进程、远程运行进程、重启、转储事件日志、及更多功能.
RAMMap: 高级物理内存使用情况分析实用工具，它以不同的方式在其多个不同选项卡上呈现使用情况信息。
RDCMan: 管理多个远程桌面连接。
RegDelNull: 扫描并删除包含标准注册表编辑器无法删除的内嵌空字符的注册表键.
RegHide: (可能被移除) 使用内置 API 创建名为 “HKEY_LOCAL_MACHINESoftwareSysinternalsCan’t touch me!0” 的注册键及在其中创建键值.
Regjump: 在Regedit中跳转至指定的注册键路径.
RU: 查看指定注册表项的注册表空间使用情况。
Regmon: (可能被移除) 实时监视所有注册表活动 (监视注册表变化，可以配合FileMon来判断某软件在电脑上做了什么手脚)
RootkitRevealer: (可能被移除)扫描系统中基于RootKit的恶意程序
SDelete: 兼容发国防部标准的安全删除程序，安全覆盖您的敏感文件并清理已删除文件留下的空闲空间.
ShareEnum: 扫描网络上的文件共享并浏览其安全设置，来发现漏洞
ShellRunas: 通过方便的 shell 上下文菜单条目以其他用户身份启动程序
Sigcheck: 转储文件版本信息并校验系统中的映像是否经过数字签名
Streams: 显示 NTFS 交换数据流
Strings: 在二进制映像内搜索 ANSI / UNICODE 字串
Sync: (释放磁盘写缓存)，发送缓存中的数据至硬盘/移动磁盘
Sysmon: 是一种 Windows 系统服务和设备驱动程序，可在系统重新启动后仍保持驻留状态，以监视系统活动并将系统活动记录到 Windows 事件日志。 它提供有关进程创建、网络连接和文件创建时间更改的详细信息
TCPView: 活动 socket 的观察器. (可以方便查看什么软件占用了什么端口之类的)
VolumeId: 设置 FAT 或 NTFS 驱动器的卷ID
Whois: 查询域名的所有者
Winobj: 对象管理器命名空间的查看利器
ZoomIt: 辅助演示工具支持屏幕上进行和画图

官方每个套件的说明和链接如下：

AccessChk
v6.15 (2022 年 5 月 11 日)
AccessChk 是一个命令行工具，用于查看对文件、注册表项、服务、进程、内核对象等的有效权限。

AccessEnum
v1.35 (2022 年 9 月 29 日)
这个简单但功能强大的安全工具显示谁有权访问系统上的目录、文件和注册表项。 使用它来查找权限中的漏洞。

AdExplorer
v1.52 (2022 年 11 月 28 日)
Active Directory 资源管理器是高级 Active Directory (AD) 查看器和编辑器。

AdInsight
v1.2 (2015 年 10 月 26 日)
LDAP (轻型目录访问协议) 实时监视工具，旨在对 Active Directory 客户端应用程序进行故障排除。

AdRestore
v1.2 (2020 年 11 月 25 日)
取消删除 Server 2003 Active Directory 对象。

自动登录
v3.10 (2016 年 8 月 29 日)
在登录期间绕过密码屏幕。

Autoruns
v14.09 (2022 年 2 月 16 日)
查看哪些程序配置为在系统启动和登录时自动启动。 自动运行还会显示注册表和文件位置的完整列表，应用程序可在其中配置自动启动设置。

BgInfo
v4.32 (2022 年 9 月 29 日)
此完全可配置的程序自动生成桌面背景，其中包含有关系统的重要信息，包括 IP 地址、计算机名称、网络适配器等。

BlueScreen
v3.2 (2006 年 11 月 1 日)
此屏幕保护程序不仅能准确模拟蓝屏，还模拟重启， (CHKDSK) 完成，适用于 Windows NT 4、Windows 2000、Windows XP、Server 2003 以及 Windows 95 和 98。

CacheSet
v1.02 (2021 年 12 月 16 日)
CacheSet 是一个程序，可用于使用 NT 提供的函数控制缓存管理器的工作集大小。 它与 NT 的所有版本兼容。

ClockRes
v2.1 (2016 年 7 月 4 日)
查看系统时钟的分辨率，这也是最大计时器分辨率。

Contig
v1.83 (2023 年 3 月 9 日)
希望你能够快速对常用文件进行碎片整理？ 使用 Contig 优化单个文件，或创建连续的新文件。

Coreinfo
v3.6 (2022 年 9 月 29 日)
Coreinfo 是一个新的命令行实用工具，它显示逻辑处理器与物理处理器、NUMA 节点和它们所在的套接字之间的映射，以及分配给每个逻辑处理器的缓存。

Ctrl2cap
v2.0 (2006 年 11 月 1 日)
这是一个内核模式驱动程序，它演示键盘类驱动程序上方的键盘输入筛选，以便将 caps-lock 转换为控制键。 在此级别筛选允许在 NT 甚至“看到”密钥之前转换和隐藏密钥。 Ctrl2cap 还演示如何使用 NtDisplayString () 将消息打印到初始化蓝屏。

DebugView
v4.90 (2019 年 4 月 23 日)
Sysinternals 的另一个第一个：此程序截获由设备驱动程序和 Win32 程序发出的 OutputDebugString 对 DbgPrint 的调用。 它允许在没有活动调试器的情况下查看和记录本地计算机或 Internet 上的调试会话输出。

台式机
v2.01 (2021 年 10 月 12 日)
使用此新实用工具，可以创建最多四个虚拟桌面，并使用托盘界面或热键预览每个桌面上的内容，并在它们之间轻松切换。

Disk2vhd
v2.02 (2021 年 10 月 12 日)
Disk2vhd 简化了将物理系统迁移到虚拟机 (p2v.md) 。

DiskExt
v1.2 (2016 年 7 月 4 日)
显示卷磁盘映射。

Diskmon
v2.02 (2021 年 10 月 12 日)
此实用工具捕获所有硬盘活动，或充当系统托盘中的软件磁盘活动灯。

DiskView
v2.41 (2020 年 10 月 15 日)
图形磁盘扇区实用工具。

磁盘使用情况 (DU)
v1.62 (2020 年 11 月 4 日)
按目录查看磁盘使用情况。

EFSDump
v1.03 (2021 年 10 月 12 日)
查看加密文件的信息。

FindLinks
v1.1 (2016 年 7 月 4 日)
FindLinks 报告指定文件存在的同一 volume.md) 上的文件索引和任何硬链接 (备用文件路径。  只要文件至少有一个引用它的文件名，文件的数据将保持分配状态。

Handle
v5.0 (2022 年 10 月 26 日)
这个方便的命令行实用工具将显示哪些文件由哪些进程打开，等等。

Hex2dec
v1.1 (2016 年 7 月 4 日)
将十六进制数转换为十进制数，反之亦然。

交接点
v1.07 (2016 年 7 月 4 日)
创建 Win2K NTFS 符号链接。

LDMDump
v1.02 (2006 年 11 月 1 日)
转储逻辑磁盘管理器的磁盘上数据库的内容，该数据库描述 Windows 2000 动态磁盘的分区。

ListDL
v3.2 (2016 年 7 月 4 日)
列出当前加载的所有 DLL，包括其加载位置及其版本号。

LiveKd
v5.62 (2017 年 5 月 16 日)
使用 Microsoft 内核调试器检查实时系统。

LoadOrder
v1.02 (2021 年 10 月 12 日)
查看设备在 WinNT/2K 系统上的加载顺序。

LogonSessions
v1.41 (2020 年 11 月 25 日)
列出系统上的活动登录会话。

MoveFile
v1.02 (2020 年 9 月 17 日)
允许计划下一次重新启动的移动和删除命令。

NotMyFault
v4.21 (2022 年 9 月 29 日)
Notmyfault 是一种工具，可用于在 Windows 系统上崩溃、挂起和导致内核内存泄漏。

NTFSInfo
v1.2 (2016 年 7 月 4 日)
使用 NTFSInfo 查看有关 NTFS 卷的详细信息，包括主文件表的大小和位置 (MFT) 和 MFT 区域，以及 NTFS 元数据文件的大小。

PendMoves
v1.3 (2020 年 9 月 17 日)
枚举将在下一次启动时执行的文件重命名和删除命令的列表。

PipeList
v1.02 (2016 年 7 月 4 日)
显示系统上的命名管道，包括每个管道的最大实例和活动实例数。

PortMon
v3.03 (2012 年 1 月 12 日)
使用此高级监视工具监视串行和并行端口活动。 它了解所有标准串行和并行 IOCTL，甚至显示发送和接收的一部分数据。 版本 3.x 具有强大的新 UI 增强功能和高级筛选功能。

ProcDump
v11.0 (2022 年 11 月 3 日)
此命令行实用工具旨在捕获其他情况下难以隔离和重现 CPU 峰值的进程转储。 它还充当常规进程转储创建实用工具，还可以在进程具有挂起窗口或未经处理的异常时监视和生成进程转储。

进程资源管理器
v17.02 (2022 年 11 月 10 日)
了解哪些文件、注册表项和其他对象进程已打开，哪些 DLL 已加载，等等。 这个独特强大的实用工具甚至会向你显示谁拥有每个进程。

进程监视器
v3.93 (2023 年 3 月 9 日)
实时监视文件系统、注册表、进程、线程和 DLL 活动。

PsExec
v2.40 (2022 年 7 月 19 日)
在远程系统上执行进程。

PsFile
v1.03 (2016 年 6 月 29 日)
查看远程打开的文件。

PsGetSid
v1.45 (2016 年 6 月 29 日)
显示计算机或用户的 SID。

PsInfo
v1.78 (2016 年 6 月 29 日)
获取有关系统的信息。

PsKill
v1.16 (2016 年 6 月 29 日)
终止本地或远程进程。

PsPing
v2.01 (2014 年 1 月 29 日)
衡量网络性能。

PsList
v1.4 (2016 年 6 月 29 日)
显示有关进程和线程的信息。

PsLoggedOn
v1.35 (2016 年 6 月 29 日)
显示登录到系统的用户。

PsLogList
v2.8 (2016 年 6 月 29 日)
转储事件日志记录。

PsPasswd
v1.24 (2016 年 6 月 29 日)
更改帐户密码。

PsService
v2.25 (2016 年 6 月 29 日)
查看和控制服务。

PsShutdown
v2.53 (2021 年 10 月 12 日)
关闭计算机，并选择性地重启计算机。

PsSuspend
v1.07 (2016 年 6 月 29 日)
暂停和恢复进程。

PsTools
v2.48 (2021 年 10 月 12 日)
PsTools 套件包括命令行实用工具，用于列出在本地或远程计算机上运行的进程、远程运行进程、重启计算机、转储事件日志等。

RAMMap
v1.61 (2022 年 5 月 11 日)
高级物理内存使用情况分析实用工具，可在多个不同的选项卡上以不同方式显示使用情况信息。

RDCMan
v2.92 (2023 年 1 月 25 日)
管理多个远程桌面连接。

RegDelNull
v1.11 (2016 年 7 月 4 日)
扫描并删除包含嵌入的 null 字符的注册表项，这些字符本来可由标准注册表编辑工具取消删除。

注册表使用情况 (RU)
v1.2 (2016 年 7 月 4 日)
查看指定注册表项的注册表空间使用情况。

RegJump
v1.11 (2021 年 10 月 12 日)
跳转到在 Regedit 中指定的注册表路径。

SDelete
v2.04 (2020 年 11 月 25 日)
使用此符合 DoD 标准的安全删除程序安全地覆盖敏感文件并清理以前删除的文件的可用空间。

ShareEnum
v1.61 (2021 年 10 月 12 日)
扫描网络上的文件共享并查看其安全设置以关闭安全漏洞。

ShellRunas
v1.02 (2021 年 10 月 12 日)
通过方便的 shell 上下文菜单条目以其他用户身份启动程序。

Sigcheck
v2.90 (2022 年 7 月 19 日)
转储文件版本信息，并验证系统上的映像是否已进行数字签名。

流
v1.6 (2016 年 7 月 4 日)
显示 NTFS 备用流。

字符串
v2.54 (2021 年 6 月 22 日)
在二进制图像中搜索 ANSI 和 UNICODE 字符串。

同步
v2.2 (2016 年 7 月 4 日)
将缓存的数据刷新到磁盘。

Sysmon
v14.14 (2023 年 1 月 25 日)
通过 Windows 事件日志监视和报告关键系统活动。

TCPView
v4.17 (2022 年 1 月 27 日)
活动套接字查看器。

VMMap
v3.32 (2022 年 1 月 27 日)
VMMap 是进程虚拟和物理内存分析实用工具。

VolumeId
v2.1 (2016 年 7 月 4 日)
设置 FAT 或 NTFS 驱动器的卷 ID。

Whois
v1.20 (2019 年 12 月 11 日)
查看谁拥有 Internet 地址。

WinObj
v3.14 (2022 年 1 月 27 日)
此处提供了最终对象管理器命名空间查看器。

ZoomIt
v6.12 (2023 年 1 月 25 日)
用于在屏幕上缩放和绘图的演示文稿实用工具。

原文地址：https://learn.microsoft.com/zh-cn/sysinternals/downloads/?source=recommendations