利用Sysinternals Suite加强Windows系统管理

核心提示：Sysinternals Suite是微软技术团队开发的一套功能强大的免费工具程序集，2009年2月4日微软发布了它的最新版本，利用Sysinternals Suite加强Windows系统管理，其版本号为Build 20090204，新版本的Sysinternals Suite包括72个相互独立的工具，毫无疑问，该s

Sysinternals Suite是微软技术团队开发的一套功能强大的免费工具程序集，2009年2月4日微软发布了它的最新版本，其版本号为Build 20090204。新版本的Sysinternals Suite包括72个相互独立的工具，这些工具囊括了文件、进程、磁盘、网络、安全等系统管理的方方面面，而Sysinternals Suite中的工具比系统中集成的类似工具功能更为强大，针对系统的可操作性更灵活。系统管理员如果能够熟练、灵活使用这些工具，无疑将会极大地提升系统管理效率。下面笔者基于系统管理的实际需要，实例演示其中某些工具的使用方法。

下载及其安装

访问http://technet.microsoft.com/zh-cn/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683(en-us).aspx可下载Sysinternals Suite包。下载完毕后不需要安全，只需将其解压到某个目录即可。

1、用数字签名甄别可疑程序

随着使用时间的增长，就会在系统中会汇集越来越多的文件。这些文件大多数是正常的，但也有不少可疑文件，特别上网、安装软件等操作，很容易造成系统中毒、中马。现在的病毒木马非常狡猾，它们往往将自己装扮成系统文件以逃避杀毒软件和用户的追杀。这些可疑文件不仅与系统文件同名，而且其大小、文件属性都和系统文件一样。系统管理员遇到这些此类情况，如何甄别呢?

数字签名是我们分辨系统程序和可疑程序的依据。大家知道，对于Windows系统来说重要的系统文件都有类似Verified: Signed、Signing date:12:14 2004-8-17、Publisher: Microsoft Corporation的微软的数字签名，而可疑程序则没有。比如在笔者的C:Windows下有一个名为svchost.exe的程序，其大小及文件属性和系统中的svchost.exe的完全一样。利用Sysinternals Suite工具集中的sigcheck.exe就可以查看程序的数字签名进行甄别。sigcheck.exe是命令行工具，需要在命令提示符下运行。打开命令提示符，进入Sysinternals Suite目录，然后执行“sigcheck.exe "c:windowssvchost.exe"”，如图1所示显示为：Publisher:????、Description:VPN???,???????,????????，毫无疑问，该svchost.exe绝对不是微软的程序，而企图装扮成系统程序行迹可疑直接删除即可。(图1)