1.SysinternalsSuite

SysinternalsSuite是微软发布的一套非常强大的免费工具程序集。

其中包含：（只列举部分）

AccessChk

为了确保创建安全的环境，Windows管理员通常需要了解特定用户或用户组对文件、目录、注册表项和Windows服务等资源具有哪种访问权限。AccessChk能够通过直观的界面和输出快速回答这些问题。

AccessEnum

这一简单但强大的安全工具可以向您显示，谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。

Ctrl2cap

这是一个内核模式的驱动程序，可在键盘类驱动程序上演示键盘输入过滤，以便将Caps-Lock转变为控制键。在此级别过滤允许在NT刚好要“看到”键之前变换和隐藏键。Ctrl2cap还显示如何使用NtDisplayString()打印初始化蓝屏的消息。

DebugView

Sysinternals的另一个优先程序：此程序截取设备驱动程序对DbgPrint的调用和Win32程序生成的OutputDebugString。它允许在不使用活动的调试器的情况下，在本地计算机上或通过Internet查看和记录调试会话输出。

Desktops

使用这一新的实用工具可以创建最多四个虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。

NTFSInfo

用NTFSInfo可以查看有关NTFS卷的详细信息，包括主文件表(MFT)和MFT区的大小和位置，以及NTFS元数据文件的大小。

PortMon

通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行IOCTL，甚至可以显示部分正在发送和接收的数据。3.x版具有强大的新UI增强功能和高级筛选功能。

ProcDump

这一新的命令行实用工具旨在捕获其他方式难以隔离和重现CPU峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具，并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。

ProcessExplorer

找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些DLL等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。

2.PCHunter

PCHunter是一款系统增强工具，可以对系统内核等实现修改以及系统其他功能微调，相当专业的功能。

本工具目前初步实现如下功能：

进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能

内核驱动模块查看，支持内核驱动模块的内存拷贝

SSDT、ShadowSSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdthook和inlinehook

CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等NotifyRoutine信息查看，并支持对这些NotifyRoutine的删除

端口信息查看，目前不支持2000系统

查看消息钩子

内核模块的iat、eat、inlinehook、patches检测和恢复

磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除

进程iat、eat、inlinehook、patches检测和恢复

文件系统查看，支持基本的文件操作

查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME

ObjectTypeHook检测和恢复

DPC定时器检测和删除

MBRRootkit检测和修复

内核对象劫持检测

WorkerThread枚举

Ndis中一些回调信息枚举

硬件调试寄存器、调试相关API检测

枚举SFilter/Fltmgr的回调

系统用户名检测

3.火绒剑

火绒剑-互联网安全分析软件（HRSword），它是火绒安全软件里的高级工具，适用Windows系统的安全分析辅助工具，具有系统动作监控、文件管理、进程管理、启动项管理、注册表管理、服务管理、驱动模块、网络管理、系统内核查看、钩子扫描等功能。用它可以查看各类系统信息，通过监控分析系统各种行为。

4.ProcessMonitor

ProcessMonitor是一种用于Windows的高级监控工具，它显示实时文件系统、注册表和进程/线程活动。它结合了两个遗留Sysinternals实用程序的功能，Filemon和Regmon，并添加了广泛的增强功能列表，包括丰富和无损过滤，会话等综合事件属性ID和用户名、可靠的进程信息、完整的线程堆栈为每个操作提供集成符号支持，同时记录到一个文件，等等。其独特的强大功能将使ProcessMonitor是系统故障排除中的核心实用程序恶意软件搜寻工具包。

ProcessMonitor包括强大的监控和过滤功能，包含：

为操作输入和输出参数捕获更多数据

无损过滤器允许您设置过滤器而不会丢失数据

为每个操作捕获线程堆栈使得它在许多确定操作根本原因的案例

可靠捕获进程详细信息，包括图像路径、命令线路、用户和会话ID

任何事件属性的可配置和可移动列

可以为任何数据字段设置过滤器，包括未设置的字段配置为列

高级日志架构可扩展到数千万捕获事件和千兆字节的日志数据

进程树工具显示所有进程的关系一个痕迹

本机日志格式保留所有数据，以便以不同的方式加载进程监视器实例

用于轻松查看过程映像信息的过程工具提示

详细工具提示允许方便地访问格式化数据，不适合列

可取消的搜索

所有操作的启动时间记录

5.PowerTool

PowerTool一款免费强大的进程管理器，支持进程强制结束，可以Unlock占用文件的进程，查看文件/文件夹被占用的情况，内核模块和驱动的查看和管理，进程模块的内存的dump等功能。

主要功能：

所有进程的枚举（包括内核中隐藏的进程）

所有文件的枚举（包括内核中隐藏的文件）

进程中所有模块的枚举（包括内核中隐藏的模块）

进程的强制结束

进程中模块的强制卸载

模块被哪些进程加载的检索

查看文件/文件夹被占用的情况

可以Unlock占用文件的进程

文件/文件夹的粉碎（可强删/金山/超级巡警文件粉碎机无法删除的顽固文件）

阻止文件粉碎后用还原软件还原（采用美国国防部标准阻止文件还原）

用磁盘解析技术检索硬盘数据

内核模块和驱动的查看和管理

启动项的查看和管理

14.系统服务的查看和管理

集成文件粉碎功能到系统右键菜单

16.消息钩子的查看和卸载

SSDT/ShadowSSDT钩子的查看和卸载

各种内核回调的查看和卸载

多国语言版本的对应（中文和英文）

暂停进程运行和恢复进程运行

进程模块的内存的dump

进程的线程的查看和结束

进程的窗口的查看和控制

进程的定时器的查看和摘除（该功能还没对应Windows2003）

25.内核定时器的查看和摘除

上传文件在线扫描病毒

查看和摘除用户层的钩子

查看和结束内核线程

关机回调的清除

查看和摘除mini文件驱动

系统恢复功能（检测项目包括注册表关键部位，已安装的杀毒软件，AutoRun文件，Windows漏洞检测，共享文件夹）

流氓快捷方式的检测和删除

33.镜像劫持的检测和删除

文件关联的检测和删除

IE相关的检测和删除

FSDHook的检测和删除

ObjectHook的检测和删除

部分CPU/硬盘/显卡/主板的温度检测

部分硬件信息的确认

修复漏洞功能，可以下载和安装Windows补丁

IDT钩子的检测和恢复

禁止进程创建，新建文件，注册表修改等配置

注册表功能，几乎可以无视一切隐藏注册表的钩子

SPI的检测

通过磁盘解析进行文件浏览

通过磁盘解析取得和拷贝ADS流文件

添加和查看文件重启删除信息

Disk/Atapi驱动钩子的检测和恢复

进程权限的枚举和摘除

检测键盘侦听软件

检测被监视的文件

IO定时器的检测和停止

工作列线程的检测和暂停

FAT32格式的磁盘解析

新增MBR的检测和修复(可对抗鬼影等Bootkit和MBRRootkit)

新增检测被替换的或被感染的内核文件（内核文件劫持）

支持多硬盘的MBR检测和恢复

新增可疑设备的检测和清除

支持离线的启动项和服务的检测和删除

注册表和服务的强删功能

启动项和服务里新增PT注册表和文件浏览器的跳转

简易的防止关机和重启功能(不一定可以阻止病毒的强制重启)

IME输入法的管理

内存条(目前只支持DDR2/DDR3)的检测(频率，大小，厂商，生产日期等)

显示器的检测(尺寸，厂商，生产日期等)

67.电池信息的检测

拷贝驱动模块内存和卸载驱动的功能

AMDCPU(K8/K10)温度的检测

可动态显示中/英文名硬件制造厂商

识别奸商

网络连接查看

内核IAT/EAT钩子检测

对文件/文件夹重命名(包括被其他进程占用的文件)

75.隐藏账户或/隆账户的管理查看功能

对鬼影3的MBR的检测和自动恢复功能

进程的回调表钩子检测

增加了硬盘读写过程的检测

查看调试寄存器钩子

查看内核入口点的钩子

检测并可恢复系统驱动感染

检测BMW/Mebromi等Award的BIOSrootkit，并显示一些BIOS信息

检测VBRbootkit，并可上传到VirusTotal检测

检测rootkit的内存欺骗/内核调试器

6.EventLogExplorer

EventLogExplorer是一款免费软件，用于查看、监控和分析MicrosoftWindowsNT/2000/XP/2003操作系统的安全、系统、应用程序和其他日志中记录的事件。

EventLogExplorer主要特点：

多文档用户界面(MDI)一次查看多个事件日志

收藏夹计算机及其日志被分组到树中

查看事件日志和事件日志文件

归档事件日志

事件描述在日志窗口中

事件列表可按任意列、任意方向排序

按任何标准（包括事件描述文本）进行高级过滤

按任何标准快速搜索

将事件日志发送到打印机

将日志导出为不同格式

7.FullEventLogView

FullEventLogView是一个Windows事件日志查看工具，能够显示并查看所有的Windows事件日志的详细信息，包括事件描述，支持查看本地计算机的事件、也可以查看远程计算机的事件，并可以将事件导出为text、csv、tab-delimited、html、xml等类型的文件。

8.LogParser

LogParser是一个强大的通用工具，它提供对基于文本的数据（如日志文件、XML文件和CSV文件）以及Windows®操作系统上的关键数据源（如事件日志、注册表、文件系统和ActiveDirectory®。

9.WinPrefetchView

WinPrefetchView是一个小型进程管理实用程序，用于读取存储在系统中的预取文件并显示存储在其中的信息。

每次在系统中运行应用程序时，Windows操作系统都会创建一个Prefetch文件，其中包含有关应用程序加载的文件的信息。通过查看这些文件，您可以了解应用程序使用了哪些文件以及在Windows启动时加载了哪些文件。预取文件中的信息用于在您下次运行应用程序时优化应用程序的加载时间。

10.WifiHistoryView

WifiHistoryView是适用于Windows10/8/7/Vista的简单工具，可显示计算机上无线网络的连接历史记录。对于计算机连接或断开无线网络的每个事件，都会显示以下信息：事件发生的日期/时间、网络名称(SSID)、配置文件名称、网络适配器名称、路由器/接入点的BSSID，以及更多…

WifiHistoryView可以从正在运行的系统或另一台计算机的外部事件日志文件中读取wifi历史信息。

只要您以管理员身份连接远程计算机，您还可以查看网络上远程计算机的wifi历史记录。