3.1
SysinternalsSuite:用于管理故障分析和诊断windows系统及应用程序
·TCP view可以查看网络连接情况
·PsExec可以在远程系统上启动交互式命令提示和IPconfig命令
·Autoruns可以对进程,服务,启动项进行检测
·使用procdump,可对内存进行获取
3.2
PcHunter/火绒剑/Powershell
·查看进程,驱动模块,内核,网络,注册表,文件等信息
3.3
Process Monitor:监控程序的文件系统注册表,进程,网络,分析
3.4
Event Log EXploer:是一个检测系统安全的工具,可以查看,监听和分析日志时事件
3.5
Full EventLog View:是日志检索工具
3.6
Log Parser:日志分析工具,功能强大,可分析基于文本,xml,csv格式文件以及各种系统数据,甚至可以展示以图标展示