利用process explorer和autoruns找异常

Windows sysinternals实用工具很多，我最常用的是process explorer和autoruns

举例：机器空载的时候，sysmon在不断监测系统并记录日志，因此有持续不断的IO，用Process Explorer可以清楚地观察到

访问 Process Explorer 的官方下载页面：https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

下载 Process Explorer 并解压缩文件。

双击 procexp.exe 或 procexp64.exe（取决于您的系统版本）以运行 Process Explorer。

单击菜单栏上的“查看”（View），然后选择“系统信息”（System Information）

机器空载的时候，sysmon也在不断监测系统并记录日志，因此有持续不断的IO

Windows蓝屏、死机很多时候跟第三方驱动有关，但是我们如何确认系统加载了哪些驱动？

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

如上图，只能选System进程，选择后点“view → Lower Pane View → Dlls (Ctrl+D)”，在下方有系统所有驱动，有4列：Name、Description、Company Name、Path，主要通过看“Company Name”这一列比较能容易分辨出哪些是新引入的。

也可以通过autoruns查看系统驱动、服务列表、计划任务来找异常。 https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns