Sysinternals Suite

Sysinternals 實(shí)用工具索引

Sysinternals Suite 　　一次下載 Sysinternals 整套實(shí)用工具。

AccessChk 　　 　　此更新修復(fù)了一個(gè) Bug，該 Bug 有時(shí)會(huì)導(dǎo)致 AccessChk 不顯示分配給用戶帳戶的權(quán)限和特權(quán)的完整列表。

AccessEnum 　　 　　這一簡(jiǎn)單但強(qiáng)大的安全工具可以向您顯示，誰可以用何種訪問權(quán)限訪問您系統(tǒng)中的目錄、文件和注冊(cè)表項(xiàng)。使用此工具可查找權(quán)限漏洞。

AdExplorer 　　 　　Active Directory Explorer 是一個(gè)高級(jí)的 Active Directory (AD) 查看器和編輯器。 　　AdInsight 　　 　　一種 LDAP（輕型目錄訪問協(xié)議）實(shí)時(shí)監(jiān)視工具，旨在對(duì) Active Directory 客戶端應(yīng)用程序進(jìn)行故障排除。

AdRestore 　　 　　恢復(fù)已刪除的 Server 2003 Active Directory 對(duì)象。

Autologon 　　 　　登錄過程中跳過密碼屏幕。（原理是自動(dòng)登錄，需要知道原密碼）

Autoruns 　　 　　查看哪些程序被配置為在系統(tǒng)啟動(dòng)和您登錄時(shí)自動(dòng)啟動(dòng)。Autoruns 還能夠完整列出應(yīng)用程序可以配置自動(dòng)啟動(dòng)設(shè)置的注冊(cè)表和文件位置。

BgInfo 　　 　　此完全可配置程序會(huì)自動(dòng)生成桌面背景，其中包含有關(guān)系統(tǒng)的 IP 地址、計(jì)算機(jī)名稱、網(wǎng)絡(luò)適配器及更多內(nèi)容的重要信息。

BlueScreen 　　 　　此屏幕保護(hù)程序不僅精確模擬“藍(lán)屏”，而且也模擬重新啟動(dòng)（完成 CHKDSK），并可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。

CacheSet 　　 　　CacheSet 是一個(gè)允許您利用 NT 提供的功能來控制緩存管理器的工作集大小的程序。它與 NT 的所有版本都兼容。

ClockRes 　　 　　查看系統(tǒng)時(shí)鐘的分辨率，亦即計(jì)時(shí)器最大分辨率。

Contig 　　 　　您是否希望迅速對(duì)您頻繁使用的文件進(jìn)行碎片整理？使用 Contig 優(yōu)化單個(gè)的文件，或者創(chuàng)建連續(xù)的新文件。

Coreinfo 　　 　　Coreinfo 是一個(gè)新的命令行實(shí)用工具，可向您顯示邏輯處理器與物理處理器之間的映射、NUMA 節(jié)點(diǎn)和它們所處的插槽，以及分配給每個(gè)邏輯處理器的緩存。

Ctrl2cap 　　 　　這是一個(gè)內(nèi)核模式的驅(qū)動(dòng)程序，可在鍵盤類驅(qū)動(dòng)程序上演示鍵盤輸入過濾，以便將 Caps-Lock 轉(zhuǎn)變?yōu)榭刂奇I。在此級(jí)別過濾允許在 NT 剛好要“看到”鍵之前變換和隱藏鍵。Ctrl2cap 還顯示如何使用 NtDisplayString() 打印初始化藍(lán)屏的消息。

DebugView 　　 　　Sysinternals 的另一個(gè)優(yōu)先程序：此程序截取設(shè)備驅(qū)動(dòng)程序?qū)?DbgPrint 的調(diào)用和 Win32 程序生成的 OutputDebugString。它允許在不使用活動(dòng)的調(diào)試器的情況下，在本地計(jì)算機(jī)上或通過 Internet 查看和記錄調(diào)試會(huì)話輸出。

臺(tái)式機(jī) 　　 　　使用這一新的實(shí)用工具可以創(chuàng)建最多四個(gè)虛擬桌面，使用任務(wù)欄界面或熱鍵預(yù)覽每個(gè)桌面上的內(nèi)容并在這些桌面之間輕松地進(jìn)行切換。

Disk2vhd 　　 　　Disk2vhd 可簡(jiǎn)化從物理系統(tǒng)到虛擬機(jī) (p2v) 的遷移。

DiskExt 　　 　　顯示卷磁盤映射。

Diskmon 　　 　　此實(shí)用工具會(huì)捕捉所有硬盤活動(dòng)，或者在您的系統(tǒng)任務(wù)欄中象軟件磁盤活動(dòng)燈一樣工作。

DiskView 　　 ） 　　圖形磁盤扇區(qū)實(shí)用工具。

Disk Usage (DU) 　　 　　按目錄查看磁盤使用情況。

EFSDump 　　 　　查看加密文件的信息。

Handle 　　 　　此易用命令行實(shí)用工具將顯示哪些進(jìn)程打開了哪些文件，以及更多其他信息。

Hex2dec 　　 　　將十六進(jìn)制數(shù)字轉(zhuǎn)換為十進(jìn)制及反向轉(zhuǎn)換。

接合點(diǎn) 　　 　　創(chuàng)建 Win2K NTFS 符號(hào)鏈接。

LDMDump 　　 　　轉(zhuǎn)儲(chǔ)邏輯磁盤管理器在磁盤上的數(shù)據(jù)庫(kù)內(nèi)容，其中說明了 Windows 2000 動(dòng)態(tài)磁盤的分區(qū)情況。

ListDLLs 　　 　　列出所有當(dāng)前加載的 DLL，包括加載位置及其版本號(hào)。2.0 版將打印已加載模塊的完整路徑名。

LiveKd 　　 　　使用 Microsoft 內(nèi)核調(diào)試程序檢查真實(shí)系統(tǒng)。

LoadOrder 　　 　　查看設(shè)備加載到 WinNT/2K 系統(tǒng)中的順序。

LogonSessions 　　 　　列出系統(tǒng)中的活動(dòng)登錄會(huì)話。

MoveFile 　　 　　使您可以安排在系統(tǒng)下一次重新啟動(dòng)時(shí)執(zhí)行移動(dòng)和刪除命令。

NTFSInfo 　　 　　用 NTFSInfo 可以查看有關(guān) NTFS 卷的詳細(xì)信息，包括主文件表 (MFT) 和 MFT 區(qū)的大小和位置，以及 NTFS 元數(shù)據(jù)文件的大小。

PageDefrag 　　 　　對(duì)您的分頁文件和注冊(cè)表配置單元進(jìn)行碎片整理。

PendMoves 　　 　　枚舉在系統(tǒng)下一次啟動(dòng)時(shí)所要執(zhí)行的文件重命名和刪除命令的列表。

PipeList 　　 　　顯示系統(tǒng)上的命名管道，包括每個(gè)管道的最大實(shí)例數(shù)和活動(dòng)實(shí)例數(shù)。

PortMon 　　 　　通過高級(jí)監(jiān)視工具監(jiān)視串行端口和并行端口的活動(dòng)。它能識(shí)別所有的標(biāo)準(zhǔn)串行和并行 IOCTL，甚至可以顯示部分正在發(fā)送和接收的數(shù)據(jù)。3.x 版具有強(qiáng)大的新 UI 增強(qiáng)功能和高級(jí)篩選功能。

ProcDump 　　 　　這一新的命令行實(shí)用工具旨在捕獲其他方式難以隔離和重現(xiàn) CPU 峰值的進(jìn)程轉(zhuǎn)儲(chǔ)。該工具還可用作用于創(chuàng)建進(jìn)程轉(zhuǎn)儲(chǔ)的一般實(shí)用工具，并可以在進(jìn)程具有掛起的窗口或未處理的異常時(shí)監(jiān)視和生成進(jìn)程轉(zhuǎn)儲(chǔ)。

Process Explorer 　　 　　找出進(jìn)程打開了哪些文件、注冊(cè)表項(xiàng)和其他對(duì)象以及已加載哪些 DLL 等信息。這個(gè)功能異常強(qiáng)大的實(shí)用工具甚至可以顯示每個(gè)進(jìn)程的所有者。

Process Monitor 　　 　　實(shí)時(shí)監(jiān)視文件系統(tǒng)、注冊(cè)表、進(jìn)程、線程和 DLL 活動(dòng)。

ProcFeatures 　　 　　這一小程序會(huì)報(bào)告處理器和 Windows 對(duì)“物理地址擴(kuò)展”和“無執(zhí)行”緩沖區(qū)溢出保護(hù)的支持情況。

PsExec 　　 　　在遠(yuǎn)程系統(tǒng)上執(zhí)行進(jìn)程。

PsFile 　　 　　查看遠(yuǎn)程打開的文件。

PsGetSid 　　 　　顯示計(jì)算機(jī)或用戶的 SID。

PsInfo 　　 　　獲取有關(guān)系統(tǒng)的信息。

PsKill 　　 　　終止本地或遠(yuǎn)程進(jìn)程。

PsList 　　 　　顯示有關(guān)進(jìn)程和線程的信息。

PsLoggedOn 　　 　　顯示登錄到某個(gè)系統(tǒng)的用戶。

PsLogList 　　 　　轉(zhuǎn)儲(chǔ)事件日志記錄。

PsPasswd 　　 　　更改帳戶密碼。

PsService 　　 　　查看和控制服務(wù)。

PsShutdown 　　 　　關(guān)閉并重新啟動(dòng)（可選）計(jì)算機(jī)。

PsSuspend 　　 　　掛起和繼續(xù)進(jìn)程。

PsTools 　　 　　PsTools 套件包括一些命令行程序，可列出本地或遠(yuǎn)程計(jì)算機(jī)上運(yùn)行的進(jìn)程、遠(yuǎn)程運(yùn)行進(jìn)程、重新啟動(dòng)計(jì)算機(jī)、轉(zhuǎn)儲(chǔ)事件日志，以及執(zhí)行其他任務(wù)。

RegDelNull 　　 　　掃描并刪除包含嵌入空字符的注冊(cè)表項(xiàng)，標(biāo)準(zhǔn)注冊(cè)表編輯工具不能刪除這種注冊(cè)表項(xiàng)。

RegJump 　　 　　跳至 Regedit 中指定的注冊(cè)表路徑。

RootkitRevealer 　　 　　掃描系統(tǒng)以找出基于 Rootkit 的惡意軟件。

SDelete 　　 　　安全地覆蓋敏感文件，并使用此符合 DoD 的安全刪除程序清理先前刪除文件所在的可用空間。

ShareEnum 　　 　　掃描網(wǎng)絡(luò)上的文件共享并查看其安全設(shè)置，以關(guān)閉安全漏洞。

ShellRunas 　　 　　通過方便的 shell 上下文菜單項(xiàng)，作為另一個(gè)用戶啟動(dòng)程序。

Sigcheck 　　 　　轉(zhuǎn)儲(chǔ)文件版本信息并檢查系統(tǒng)中的映像是否已進(jìn)行數(shù)字簽名。

Streams 　　 　　顯示 NTFS 備用數(shù)據(jù)流。

Strings 　　 　　在二進(jìn)制映像中搜索 ANSI 和 UNICODE 字符串。

Sync 　　 　　將緩存數(shù)據(jù)刷新到磁盤。

TCPView 　　 　　活動(dòng)套接字命令行查看器。

VMMap 　　 　　VMMap 是進(jìn)程虛擬和物理內(nèi)存分析實(shí)用工具。

VolumeId 　　 　　設(shè)置 FAT 或 NTFS 驅(qū)動(dòng)器的卷 ID。

Whois 　　 　　查看 Internet 地址的所有者。

WinObj 　　 　　基本對(duì)象管理器命名空間查看器。

ZoomIt 　　 　　在屏幕上進(jìn)行縮放和繪圖的演示實(shí)用工具。

Desktops v2.0

不像其他的虛擬桌面實(shí)用工具，實(shí)現(xiàn)其桌面顯示的窗口在桌面上是活躍的，而隱藏其余Sysinternals桌上型電腦使用Windows桌面對(duì)象，為每個(gè)桌面。在創(chuàng)建時(shí)綁定應(yīng)用程序窗口到桌面的對(duì)象，所以Windows維護(hù)窗口和桌面之間的連接和，知道哪些表明，當(dāng)您切換桌面。這使Sysinternals桌上型電腦非常輕巧和免費(fèi)的錯(cuò)誤，他們認(rèn)為活動(dòng)窗口變得不可見窗口的另一種方法是容易的。

臺(tái)式機(jī)的依賴意味著它不能提供一些其他虛擬桌面實(shí)用程序的功能，但是Windows桌面上的對(duì)象。例如，Windows并沒有提供一種方式，一個(gè)窗口移動(dòng)到另一個(gè)從一個(gè)桌面對(duì)象，因?yàn)橐粋€(gè)獨(dú)立的Explorer進(jìn)程必須運(yùn)行在每個(gè)桌面上的任務(wù)欄和開始菜單提供，大部分的托盤上唯一可見的國(guó)內(nèi)第一款桌面應(yīng)用程序。另外，沒有辦法刪除桌面對(duì)象，所以臺(tái)式機(jī)不提供一種方式來關(guān)閉一個(gè)桌面，因?yàn)槟菢訒?huì)導(dǎo)致在孤立的窗口和進(jìn)程。推薦的方式退出桌面注銷。

Unlike other virtual desktop utilities that implement their desktops by showing the windows that are active on a desktop and hiding the rest, Sysinternals Desktops uses a Windows desktop object for each desktop. Application windows are bound to a desktop object when they are created, so Windows maintains the connection between windows and desktops and knows which ones to show when you switch a desktop. That making Sysinternals Desktops very lightweight and free from bugs that the other approach is prone to where their view of active windows becomes inconsistent with the visible windows.

Desktops reliance on Windows desktop objects means that it cannot provide some of the functionality of other virtual desktop utilities, however. For example, Windows doesn't provide a way to move a window from one desktop object to another, and because a separate Explorer process must run on each desktop to provide a taskbar and start menu, most tray applications are only visible on the first desktop. Further, there is no way to delete a desktop object, so Desktops does not provide a way to close a desktop, because that would result in orphaned windows and processes. The recommended way to exit Desktops is therefore to logoff.

AccessEnum v1.32

雖然基于Windows NT的系統(tǒng)采用靈活的安全模型允許完全控制安全性和文件的權(quán)限，管理權(quán)限，使用戶有適當(dāng)?shù)脑L問文件，目錄和注冊(cè)表項(xiàng)可能很困難。有沒有內(nèi)置的方式快速查看用戶訪問目錄或鑰匙的樹。 AccessEnum為您提供了一個(gè)完整的視圖您的文件系統(tǒng)和注冊(cè)表安全設(shè)置，在幾秒鐘內(nèi)，它的理想工具幫助您安全漏洞，并在必要的情況下鎖定權(quán)限。

While the flexible security model employed by Windows NT-based systems allows full control over security and file permissions, managing permissions so that users have appropriate access to files, directories and Registry keys can be difficult. There's no built-in way to quickly view user accesses to a tree of directories or keys. AccessEnum gives you a full view of your file system and Registry security settings in seconds, making it the ideal tool for helping you for security holes and lock down permissions where necessary.

Process Explorer 10.21

您是否曾經(jīng)想要了解某個(gè)程序打開了哪個(gè)特定文件或目錄？現(xiàn)在您可以找到答案了。 可顯示有關(guān)進(jìn)程已打開或加載哪些句柄和 DLL 的信息。

的顯示由兩個(gè)子窗口組成。頂部窗口總是顯示當(dāng)前活動(dòng)進(jìn)程的列表（包括擁有它們的帳戶的名稱），而底部窗口中顯示的信息取決于 所處的模式：如果它處于句柄模式下，則可以看到頂部窗口中的所選進(jìn)程打開的句柄；如果 處于 DLL 模式下，則可以看到相應(yīng)進(jìn)程已經(jīng)加載的 DLL 和內(nèi)存映射文件。 還具有強(qiáng)大的搜索功能，可以快速顯示哪些進(jìn)程打開了哪些特定句柄或加載了哪些特定 DLL。

的獨(dú)特功能使其可用于跟蹤 DLL 版本問題或句柄泄漏問題，還可以讓用戶深入了解 Windows 和應(yīng)用程序的工作方式。

可以在 Windows 9x/Me、Windows NT 4.0、Windows 2000、Windows XP、Server 2003、64 位版本的 Windows（用于 x64 和 IA64 處理器）和 Windows Vista 上運(yùn)行。

ProcDump v5.14

用法：PROCDUMP [-64] [-C的CPU使用率] [-U] [-S秒]] [-n超過] [-E [-B] [-F過濾器] [-G]] [ -H] [-L] [-M提交用法] [-MA |-MP] [-O] [-P計(jì)數(shù)器閾值] [-R] [-T] [-D <callback DLL>] <[-W ] <進(jìn)程名稱或PID> [轉(zhuǎn)儲(chǔ)文件] |我<dump> |-X <dump FILE> <image> [參數(shù)]> [ - ？ [-E]

-64默認(rèn)PROCDUMP將捕捉一個(gè)32位的64位Windows上運(yùn)行時(shí)，一個(gè)32位的進(jìn)程轉(zhuǎn)儲(chǔ)。此選項(xiàng)將覆蓋創(chuàng)建一個(gè)64位轉(zhuǎn)儲(chǔ)。

-B治療調(diào)試斷點(diǎn)異常（否則忽略）。

-C CPU閾值在創(chuàng)建轉(zhuǎn)儲(chǔ)過程。

-D調(diào)用指定的DLL名為MiniDumpCallbackRoutine的轉(zhuǎn)儲(chǔ)回調(diào)例程。

-E時(shí)寫轉(zhuǎn)儲(chǔ)過程中遇到未處理的異常。包括：1，第一次機(jī)會(huì)異常創(chuàng)建轉(zhuǎn)儲(chǔ)。

-F過濾的第一次機(jī)會(huì)異常。支持通配符（*）。要傾倒的名字，而不只是顯示，使用空白（“”）濾波器。

-G僅在管理的過程中捕獲本機(jī)異常（互操作）。

-H寫轉(zhuǎn)儲(chǔ)，如果過程中有懸窗（不響應(yīng)窗口消息至少5秒鐘）。

-i安裝PROCDUMP的作為AEDebug文件事后調(diào)試。 -MA-MP-D支持選項(xiàng)。

-l顯示的調(diào)試字符串記錄的過程中。

-M內(nèi)存提交閾值以MB為單位，在創(chuàng)建轉(zhuǎn)儲(chǔ)過程。

-MA寫的所有進(jìn)程的內(nèi)存轉(zhuǎn)儲(chǔ)文件。缺省轉(zhuǎn)儲(chǔ)格式只包括線程和處理信息。

-MP寫線程和處理信息，所有的讀/寫進(jìn)程內(nèi)存轉(zhuǎn)儲(chǔ)文件。為了最大限度地減少轉(zhuǎn)儲(chǔ)大小，大于512MB的內(nèi)存區(qū)域搜索，如果發(fā)現(xiàn)，最大的區(qū)域被排除在外。內(nèi)存區(qū)域是相同大小的內(nèi)存分配領(lǐng)域的集合。去除（高速緩存）內(nèi)存減少了超過90%的Exchange和SQL Server轉(zhuǎn)儲(chǔ)。

-N號(hào)碼寫在退出之前轉(zhuǎn)儲(chǔ)。

-o覆蓋現(xiàn)有的轉(zhuǎn)儲(chǔ)文件。

-P指定的性能計(jì)數(shù)器超過閾值時(shí)觸發(fā)。注：指定進(jìn)程計(jì)數(shù)器，當(dāng)有多個(gè)實(shí)例運(yùn)行的進(jìn)程，使用進(jìn)程ID的語法如下：“\過程（<NAME> _ <PID>）\計(jì)數(shù)器”

-R反映（克?。┺D(zhuǎn)儲(chǔ)，以最少的時(shí)間進(jìn)程被掛起（Windows 7和更高版本）的過程。

-S連續(xù)秒前轉(zhuǎn)儲(chǔ)寫入（默認(rèn)為10）。

-T寫轉(zhuǎn)儲(chǔ)當(dāng)進(jìn)程終止。

你對(duì)相對(duì)單核心的CPU使用率。

-w等待指定的進(jìn)程啟動(dòng)，如果它沒有運(yùn)行。

-X啟動(dòng)與可選的參數(shù)指定的圖像。如果它是一個(gè)現(xiàn)代的應(yīng)用程序或包裝，PROCDUMP將開始下一次激活（只）。

- ？使用 - ？ -E例如命令行。

如果你省略轉(zhuǎn)儲(chǔ)文件的名稱，它默認(rèn)為<processname>的_ <日期時(shí)間>。DMP。

使用ACCEPTEULA命令行選項(xiàng)來自動(dòng)接受Sysinternals的許可協(xié)議。

示例

寫一個(gè)小型轉(zhuǎn)儲(chǔ)名為'記事本'（只有一個(gè)匹配，可以存在）的過程：

C：\> PROCDUMP記事本

寫一個(gè)完整的轉(zhuǎn)儲(chǔ)過程與PID '4572'：

C：\ PROCDUMP-MA 4572

寫3個(gè)小型轉(zhuǎn)儲(chǔ)5秒名為“記事本”的過程：

C：\> PROCDUMP-5-N 3記事本

寫一個(gè)名為“'消費(fèi)'，當(dāng)它超過20%的CPU使用率五秒鐘的過程長(zhǎng)達(dá)3個(gè)小型轉(zhuǎn)儲(chǔ)：

C：\> PROCDUMP-C 20-5-N消耗

編寫小型轉(zhuǎn)儲(chǔ)名為'hang.exe'，當(dāng)它的Windows是超過5秒沒有反應(yīng)過程：

C：\> PROCDUMP-H hang.exe hungwindow.dmp

寫一個(gè)小型轉(zhuǎn)儲(chǔ)名為“展望”時(shí)，整個(gè)系統(tǒng)的CPU使用率超過20%，持續(xù)10秒的一個(gè)過程：

C：\> PROCDUMP前景-P“\處理器（_Total）\%處理器時(shí)間”20

寫一個(gè)名為“展望”的過程，當(dāng)Outlook的手柄計(jì)數(shù)超過10,000完全轉(zhuǎn)儲(chǔ)：

C：\> PROCDUMP馬展望-P“\程序（如Outlook）\句柄計(jì)數(shù)”10000

寫MiniPlus Microsoft Exchange信息存儲(chǔ)轉(zhuǎn)儲(chǔ)時(shí)，它有一個(gè)未處理的異常：

C：\> PROCDUMP-MP-E STORE.EXE

顯示不寫轉(zhuǎn)儲(chǔ)，w3wp.exe的異常代碼/名稱：

C：\> PROCDUMP-E 1-F“w3wp.exe的

寫一個(gè)小型轉(zhuǎn)儲(chǔ)程序w3wp.exe如果異常的代碼/名稱中包含“NOTFOUND”：

C：\> PROCDUMP-E-F NOTFOUND程序w3wp.exe

啟動(dòng)一個(gè)進(jìn)程，然后監(jiān)視它的例外情況：

C：\> PROCDUMP-E 1-F“”-X C：\轉(zhuǎn)儲(chǔ)consume.exe

注冊(cè)發(fā)射，并嘗試激活，一個(gè)現(xiàn)代化的'應(yīng)用'。一個(gè)新的PROCDUMP實(shí)例啟動(dòng)時(shí)激活監(jiān)測(cè)異常：

C：\> PROCDUMP-E 1-F“

XC：\的轉(zhuǎn)儲(chǔ)Microsoft.BingMaps_8wekyb3d8bbwe！AppexMaps

注冊(cè)一個(gè)現(xiàn)代的“一攬子”的推出。一個(gè)新的PROCDUMP實(shí)例將啟動(dòng)，當(dāng)它被激活（手動(dòng)）監(jiān)測(cè)異常：

C：\> PROCDUMP-E 1-F“

XC：\轉(zhuǎn)儲(chǔ)Microsoft.BingMaps_1.2.0.136_x64__8wekyb3d8bbwe

注冊(cè)成為剛剛在的時(shí)間（AEDebug文件）調(diào)試。充分轉(zhuǎn)儲(chǔ)在c：\轉(zhuǎn)儲(chǔ)。

C：\> PROCDUMP-MA-I C：\轉(zhuǎn)儲(chǔ)

看到一個(gè)列表，例如命令行（例子上面列出）：

C：\> PROCDUMP - ？ -E

相關(guān)鏈接

Windows內(nèi)部書

官方更新和勘誤表Windows內(nèi)部的權(quán)威書籍，由Mark Russinovich和David所羅門。

的Windows Sysinternals的管理員參考

Sysinternals的公用事業(yè)由Mark Russinovich和亞倫Margosis的的，包括描述的所有工具，其功能，如何使用它們進(jìn)行故障排除，例如真實(shí)世界的情況下，其使用的官方指南。

usage: procdump [-64] [[-c CPU usage] [-u] [-s seconds]] [-n exceeds] [-e [1 [-b] [-f filter] [-g]]] [-h] [-l] [-m commit usage] [-ma | -mp] [-o] [-p counter threshold] [-r] [-t] [-d <callback DLL>] <[-w] <process name or PID> [dump file] | -i <dump file> |-x <dump file> <image file> [arguments]> [-? [ -e]]

-64By default ProcDump will capture a 32-bit dump of a 32-bit process when running on 64-bit Windows. This option overrides to create a 64-bit dump.

-bTreat debug breakpoints as exceptions (otherwise ignore them).

-cCPU threshold at which to create a dump of the process.

-dInvoke the minidump callback routine named MiniDumpCallbackRoutine of the specified DLL.

-eWrite a dump when the process encounters an unhandled exception. Include the 1 to create dump on first chance exceptions.

-fFilter the first chance exceptions. Wildcards (*) are supported. To just display the names without dumping, use a blank ("") filter.

-gOnly capture native exceptions in a managed process (no interop).

-hWrite dump if process has a hung window (does not respond to window messages for at least 5 seconds).

-iInstall ProcDump as the AeDebug postmortem debugger. Only -ma, -mp and -d are supported as options.

-lDisplay the debug string logging of the process.

-mMemory commit threshold in MB at which to create a dump of the process.

-maWrite a dump file with all process memory. The default dump format only includes thread and handle information.

-mpWrite a dump file with thread and handle information, and all read/write process memory. To minimize dump size, memory areas larger than 512MB are searched for, and if found, the largest area is excluded. A memory area is the collection of same sized memory allocation areas. The removal of this (cache) memory reduces Exchange and SQL Server dumps by over 90%.

-nNumber of dumps to write before exiting.

-oOverwrite an existing dump file.

-pTrigger on the specified performance counter when the threshold is exceeded. Note: to specify a process counter when there are multiple instances of the process running, use the process ID with the following syntax: "\Process(<name>_<pid>)\counter"

-rReflect (clone) the process for the dump to minimize the time the process is suspended (Windows 7 and higher only).

-sConsecutive seconds before dump is written (default is 10).

-tWrite a dump when the process terminates.

-uTreat CPU usage relative to a single core.

-wWait for the specified process to launch if it's not running.

-xLaunch the specified image with optional arguments. If it is a Modern Application or Package, ProcDump will start on the next activation (only).

-?Use -? -e to see example command lines.

If you omit the dump file name, it defaults to <processname>_<datetime>.dmp.

Use the -accepteula command line option to automatically accept the Sysinternals license agreement.

Examples

Write a mini dump of a process named 'notepad' (only one match can exist):

C:\>procdump notepad

Write a full dump of a process with PID '4572':

C:\>procdump -ma 4572

Write 3 mini dumps 5 seconds apart of a process named 'notepad':

C:\>procdump -s 5 -n 3 notepad

Write up to 3 mini dumps of a process named 'consume' when it exceeds 20% CPU usage for five seconds:

C:\>procdump -c 20 -s 5 -n 3 consume

Write a mini dump for a process named 'hang.exe' when one of it's Windows is unresponsive for more than 5 seconds:

C:\>procdump -h hang.exe hungwindow.dmp

Write a mini dump of a process named 'outlook' when total system CPU usage exceeds 20% for 10 seconds:

C:\>procdump outlook -p "\Processor(_Total)\% Processor Time" 20

Write a full dump of a process named 'outlook' when Outlook's handle count exceeds 10,000:

C:\>procdump -ma outlook -p "\Process(Outlook)\Handle Count" 10000

Write a MiniPlus dump of the Microsoft Exchange Information Store when it has an unhandled exception:

C:\>procdump -mp -e store.exe

Display without writing a dump, the exception codes/names of w3wp.exe:

C:\>procdump -e 1 -f "" w3wp.exe

Write a mini dump of w3wp.exe if an exception's code/name contains 'NotFound':

C:\>procdump -e 1 -f NotFound w3wp.exe

Launch a process and then monitor it for exceptions:

C:\>procdump -e 1 -f "" -x c:\dumps consume.exe

Register for launch, and attempt to activate, a modern 'application'. A new ProcDump instance will start when it activated to monitor for exceptions:

C:\>procdump -e 1 -f ""

-x c:\dumps Microsoft.BingMaps_8wekyb3d8bbwe!AppexMaps

Register for launch of a modern 'package'. A new ProcDump instance will start when it is (manually) activated to monitor for exceptions:

C:\>procdump -e 1 -f ""

-x c:\dumps Microsoft.BingMaps_1.2.0.136_x64__8wekyb3d8bbwe

Register as the Just-in-Time (AeDebug) debugger. Makes full dumps in c:\dumps.

C:\>procdump -ma -i c:\dumps

See a list of example command lines (the examples are listed above):

C:\>procdump -? -e

Related Links

Windows Internals Book

The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon.

Windows Sysinternals Administrator's Reference

The official guide to the Sysinternals utilities by Mark Russinovich and Aaron Margosis, including descriptions of all the tools, their features, how to use them for troubleshooting, and example real-world cases of their use.

BlueScreen Screen Saver v3.2

在NT世界最可怕的顏色是藍(lán)色的。臭名昭著的藍(lán)屏死機(jī)（BSOD），會(huì)彈出一個(gè)NT系統(tǒng)上，每當(dāng)出了可怕的錯(cuò)誤。藍(lán)屏是一個(gè)屏幕保護(hù)程序不僅能真實(shí)地模仿一個(gè)BSOD，但將模擬系統(tǒng)引導(dǎo)過程中看到啟動(dòng)畫面。

NT 4.0上安裝它模擬CHKDSK磁盤驅(qū)動(dòng)器的錯(cuò)誤！

Win2K和Windows 9x中，它提出了WIN2K啟動(dòng)閃屏，旋轉(zhuǎn)進(jìn)度樂隊(duì)和進(jìn)度控制更新完成！

在Windows XP和Windows Server2003在XP/ Server 2003的啟動(dòng)畫面中的進(jìn)度條！

不同的藍(lán)色屏幕和模擬的靴子每15秒左右的的藍(lán)屏周期之間。幾乎所有的，藍(lán)屏藍(lán)屏和系統(tǒng)啟動(dòng)時(shí)屏幕上顯示的信息是從您的系統(tǒng)配置 - 其準(zhǔn)確性能騙過甚至先進(jìn)NT開發(fā)。例如，NT內(nèi)部版本號(hào)，處理器修改，加載的驅(qū)動(dòng)程序和地址，磁盤驅(qū)動(dòng)器特性，內(nèi)存大小都取自系統(tǒng)藍(lán)屏上運(yùn)行。

使用藍(lán)屏戲弄你的朋友，嚇跑你的敵人！

One of the most feared colors in the NT world is blue. The infamous Blue Screen of Death (BSOD) will pop up on an NT system whenever something has gone terribly wrong. Bluescreen is a screen saver that not only authentically mimics a BSOD, but will simulate startup screens seen during a system boot.

On NT 4.0 installations it simulates chkdsk of disk drives with errors!

On Win2K and Windows 9x it presents the Win2K startup splash screen, complete with rotating progress band and progress control updates!

On Windows XP and Windows Server 2003 it presents the XP/Server 2003 startup splash screen with progress bar!

Bluescreen cycles between different Blue Screens and simulated boots every 15 seconds or so. Virtually all the information shown on Bluescreen's BSOD and system start screen is obtained from your system configuration - its accuracy will fool even advanced NT developers. For example, the NT build number, processor revision, loaded drivers and addresses, disk drive characteristics, and memory size are all taken from the system Bluescreen is running on.

Use Bluescreen to amaze your friends and scare your enemies!