我們知道管理員都很喜歡讓管理變得更容易的工具 – 尤其是當這些工具還免費的時候！以下列出了免費易用管理工具部分清單，請查收！

系統(tǒng)和網(wǎng)絡分析類

1. NTFS權(quán)限資源管理器

管理和監(jiān)視NTFS權(quán)限可能是一個麻煩和復雜的任務。如今的世界，數(shù)據(jù)日益豐富，確保數(shù)據(jù)安全變得從未有過的重要，為了防止不必要的訪問，這種基于軟件的解決方案幫用戶理解當前的權(quán)限，使用此MMC管理單元，可以以分層的方式快速查看本地或遠程文件夾或驅(qū)動器的用戶和組權(quán)限，以幫助用戶識別問題所在。

http://eprints.hud.ac.uk/9743/

2. Xirrus Wi-Fi 檢查器

Xirrus Wi-Fi檢查器是一個強大的Wi-Fi管理和故障排除工具，能夠查找和驗證Wi-Fi設備，檢測流氓接入點，排除連接故障并可搜索Wi-Fi。

Xirrus提供高達傳統(tǒng)802.11ac接入點8倍的容量，以滿足當今社會對高密度，高容量的需求。Xirrus Wi-Fi檢查器的界面設計相比早期的同類型工具而言更華麗，無線信號強度顯示非常個性，通過雷達掃描的方式，告訴用戶每個無線熱點的信號強度，越貼近雷達中心，信號越強。此外，用戶正在連接的無線熱點將通過不同顏色標出，讓用戶可以有更直觀的比較。

http://www.xirrus.com/library/wifitools.php

3. Whois

Whois可對給定IP地址或域名的注冊信息進行查找。簡單來說，就是一個用來查詢域名是否已經(jīng)被注冊，以及注冊域名的詳細信息的數(shù)據(jù)庫（如域名所有人、域名注冊商、域名注冊日期和過期日期等）。

http://technet.microsoft.com/en-gb/sysinternals/bb897435

4. ShareEnum

ShareEnum允許用戶在網(wǎng)絡上掃描和查看文件共享的安全設置。早期的Windows NT / 2000 / XP系統(tǒng)，網(wǎng)絡安全常常被忽略的一個方面就是文件共享。當用戶以寬松的安全性定義文件共享時，會發(fā)生常見的安全漏洞，允許未授權(quán)用戶查看敏感文件。當時，沒有內(nèi)置工具可以列出可在網(wǎng)絡上查看的共享文件及其安全設置，ShareEnum就填充了空白，并允許用戶鎖定網(wǎng)絡中的文件共享。

ShareEnum使用NetBIOS枚舉來掃描其可訪問的域中的所有計算機，顯示共享文件和打印及其安全設置。因為只有域管理員才能查看所有網(wǎng)絡資源，所以從域管理員帳戶運行ShareEnum時，ShareEnum是最有效的。

http://technet.microsoft.com/en-gb/sysinternals/bb897442

5. PipeList

很多人都知道，實現(xiàn)命名管道的設備驅(qū)動程序?qū)嶋H上是一個文件系統(tǒng)驅(qū)動程序。實際上，驅(qū)動程序的名稱是NPFS.SYS——命名管道文件系統(tǒng)。你也許會很驚訝，因為PipeList可顯示系統(tǒng)上命名管道的列表，包括活動實例數(shù)和實例閾值。但到目前為止，Win32 API沒提供任何可用來獲取系統(tǒng)中所有活動的命名管道。而此源代碼利用本地API 所包含的幾個函數(shù)獲取本地系統(tǒng)中的命名管道。http://technet.microsoft.com/en-gb/sysinternals/dd581625

6. TcpView

TCPView允許用戶以一個十分友好的方式查看詳細的TCP和UDP連接信息。換言之，TCPView是一個查看端口和線程的小工具，只要木馬在內(nèi)存中運行，一定會打開某個端口，只要黑客進入電腦，就會有新的線程，TcpView雖然是靜態(tài)表示端口和線程的，但它很方便，占用資源少!

http://technet.microsoft.com/en-gb/sysinternals/bb897437

7. The Dude

來自MikroTik的Dude可以自動掃描給定子網(wǎng)中的所有設備，然后繪制和布局用戶的網(wǎng)絡地圖，可大大提高用戶管理網(wǎng)絡環(huán)境的方式。它將自動掃描指定子網(wǎng)中的所有設備，繪制和布局用戶的網(wǎng)絡地圖，監(jiān)控設備服務，并在某些服務出現(xiàn)問題時及時提醒。

http://www.mikrotik.com/thedude

8. Microsoft Baseline Security Analyzer

MBSA是專為 IT 專業(yè)人員設計的一個簡單易用的工具，可幫助中小型企業(yè)根據(jù) Microsoft 安全建議確定其安全狀態(tài)，并根據(jù)結(jié)果提供具體的修正指南。使用 MBSA 檢測常見的安全性錯誤配置和計算機系統(tǒng)遺漏的安全性更新，改善用戶的安全性管理流程。

運行其最新的2.2版本時，使用脫機目錄（WSUSSCN2.CAB 文件）的客戶不再需要將目錄文件放到針對具體版本的路徑中，因為“2.1”緩存目錄已經(jīng)被刪除。該文件現(xiàn)在應該放到以下目錄中：C:Documents and Settings<username>Local SettingsApplication DataMicrosoftMBSACache.

同樣，默認情況下，MBSA 禁止將最新的 Windows Update Agent (WUA) 客戶端自動分發(fā)給使用 MBSA 進行掃描的客戶端計算機。這可能會阻止 MBSA 成功掃描沒有安裝最新 WUA 客戶端的計算機。管理員和安全性審核員可通過選擇“配置 Microsoft Update 計算機和掃描必備條件”選項增大安全掃描的成功機率，使 MBSA 能夠根據(jù)需要自動分發(fā)更新的 Windows Update Agent。

http://technet.microsoft.com/en-gb/security/cc184923

9. WireShark

Wireshark（前稱Ethereal）是一個網(wǎng)絡封包分析軟件，一個交互式網(wǎng)絡協(xié)議分析器。它對數(shù)百個協(xié)議提供深入檢查并可在多個平臺上運行。網(wǎng)絡封包分析軟件的功能是擷取網(wǎng)絡封包，并盡可能顯示出最為詳細的網(wǎng)絡封包資料。Wireshark使用WinPCAP作為接口，每個Windows包都帶有最新的穩(wěn)定版本的WinPcap，這是實時抓包所需的，可直接與網(wǎng)卡進行數(shù)據(jù)報文交換。

http://www.wireshark.org/download.html

10. Look@LAN

用戶只需要簡單點擊幾下，Look @ LAN就可以快速掃描網(wǎng)絡以查找活動節(jié)點。除此之外，還提供監(jiān)視，報告，日志和操作系統(tǒng)檢測功能。http://download.cnet.com/Look-LAN-Network-Monitor/3000-2085_4-10145550.html

11. RogueScanner

RogueScanner適用于PC平臺，運行時，它會立即進行網(wǎng)絡掃描,查找附屬在它上面的無線以及有線設備。對于每個設備，它都會列出獨立的物理地址、IP地址，當它能夠識別時還會列出制造商以及型號。它還能夠告訴你這種設備是哪種類型，例如路由器、打印機、PC等。它還會對任何發(fā)現(xiàn)的值得懷疑的設備作出標示，只需要將它所發(fā)現(xiàn)的信息與你對你的網(wǎng)絡所知道的信息進行比較，如果有任何連接進來的無線設備是你所不知道的，那么你的網(wǎng)絡中可能就存在入侵者了。

總之，RogueScanner可以掃描整個網(wǎng)絡，尋找流氓設備和接入點，對它們進行分類，以便能夠快速查看網(wǎng)絡上的設備。

http://www.gotomanage.com/open_source_tools/roguescanner

12. Capsa免費網(wǎng)絡分析儀

Capsa是一款便攜式網(wǎng)絡分析系統(tǒng)，支持有線和無線網(wǎng)絡抓包分析，使用此工具，可以監(jiān)控、診斷和解決網(wǎng)絡上的問題。它有一個類似Microsoft Office的用戶界面，十分便于網(wǎng)管人員安裝部署。它對網(wǎng)絡中所有傳輸?shù)臄?shù)據(jù)包進行解碼、檢測、分析、診斷，幫助管理人員排除網(wǎng)絡事故，規(guī)避安全風險，提高網(wǎng)絡性能，增大網(wǎng)絡可用性價值。

http://www.colasoft.com/capsa/capsa-free-edition.php

13. SuperScan

SuperScan是一個端口掃描工具，一個基于快速連接的TCP端口掃描器，pinger和主機名解析的工具。使用時需要注意的是，現(xiàn)在的木馬很多，沒多久就出現(xiàn)一個，因此，有必要時常注意最新出現(xiàn)的木馬和它們使用的端口，隨時更新木馬端口列表。

雖然SuperScan功能強大，但在掃描時，一定要考慮到網(wǎng)絡的承受能力和對目標計算機的影響。同時，無論目的任何，掃描必須在國家法律法規(guī)允許的范圍內(nèi)進行。

http://www.mcafee.com/us/downloads/free-tools/superscan3.aspx

14. Blast

Blast是一個輕量級的TCP服務壓力測試工具，可以幫助確定網(wǎng)絡中的弱點。

一些基本特性：

/ trial switch添加了在發(fā)送緩沖區(qū)前查看緩沖區(qū)外觀的能力

/ v開關(guān)添加verbose選項-默認關(guān)閉

/ nr開關(guān)關(guān)閉初始接收后初始連接-HTTP服務不發(fā)送和初始化響應，但有郵件服務

/ nr開關(guān)修復發(fā)送GET字符串時HTTP超時的影響

/ dr默認情況下關(guān)閉緩沖區(qū)（對GET請求有用）的雙LF / CR

http://www.mcafee.com/us/downloads/free-tools/blast.aspx

15. UDPFlood

UDPFlood是一個輕量級的UDP服務壓力測試工具，可發(fā)送數(shù)據(jù)包到指定的IP或端口。詳細地說，UDPFlood是UDP數(shù)據(jù)包發(fā)送者，它以可控速率向指定的IP和端口發(fā)送UDP數(shù)據(jù)包，分組可由類型化的文本字符串，給定數(shù)量的隨機字節(jié)或來自文件的數(shù)據(jù)構(gòu)成。

http://www.mcafee.com/us/downloads/free-tools/udpflood.aspx

16. IPplan

IPplan 是一個采用PHP開發(fā)基于Web的網(wǎng)絡IP地址管理和跟蹤系統(tǒng)，可快速，輕松地跟蹤和管理用戶網(wǎng)絡IP地址。

IPplan的功能包括DNS管理、配置文件管理、可定制的線路管理，以及硬件信息的儲存。該應用能處理單一網(wǎng)絡或多重網(wǎng)絡，以及重疊的地址空間。

17. NetStumbler

NetStumbler是Windows平臺下的無線網(wǎng)卡信號偵測軟件，是最有名的尋找無線接入點的工具之一，Netstumble支持pcmcia 無線網(wǎng)卡，同時支持全球GPS衛(wèi)星定位系統(tǒng)。

NetStumbler允許使用802.11a / b / g檢測無線網(wǎng)絡的存在。它可用于檢測流氓接入點，查找信號不佳的位置，驗證網(wǎng)絡配置以及確定無線干擾的原因。http://www.stumbler.net/

18. PingPlotter

PingPlotter是一個輕量級的tracert應用程序，它生成圖形以幫助用戶可視化從源到目標的數(shù)據(jù)包路由。界面簡單，它結(jié)合了數(shù)據(jù)與圖形兩種表達方式，與其它檢測分析工具相比，它的檢測分析結(jié)果更為直觀和易于理解。

PingPlotter的特點是一個多線性的跟蹤路由程序，它能最快地揭示當前網(wǎng)絡出現(xiàn)的瓶頸與問題。例如，與Windows中的TraceRT相比，它具有信息同時反饋的速度優(yōu)勢。

http://www.pingplotter.com/download.html

19. SolarWinds免費權(quán)限分析儀AD

使用此工具，可以即時查看用戶和組權(quán)限，以及特定NTFS文件夾或共享驅(qū)動器的有效權(quán)限和訪問權(quán)限的完整分層視圖。它還可以跟蹤共享級權(quán)限，提供共享級別和文件級權(quán)限的細目，并幫助識別為什么某些用戶會有這樣的權(quán)限，解開網(wǎng)絡共享，文件夾，Active Directory等文件權(quán)限混亂狀況。

http://www.solarwinds.com/products/freetools/permissions_analyzer_for_active_directory/

20. Angry IP掃描儀

Angry IP掃描器是一個快速獨立的IP地址和端口掃描器。利用它，可以獲得被掃描計算機的ping響應時間、主機名稱、計算機名稱、工作組、登錄用戶名、MAC地址、TTL、NetBios信息等，也可指定掃描端口，查看目標計算機開放端口的情況。對于活動主機，用戶可以執(zhí)行在資源管理器中打開、利用網(wǎng)頁瀏覽器瀏覽、FTP、telnet、ping、tracert 或利用網(wǎng)頁查找指定IP的地理位置等操作。只需一個網(wǎng)址或主機名稱，Angry IP掃描儀就能自動解析其IP地址并進行掃描。除此以外，Angry IP掃描儀還支持自動選取并掃描整個B 類和C類IP段，對常用IP進行收藏管理，導出掃描結(jié)果為多種文件格式等。由于采用多線程掃描，Angry IP掃描儀可同時對幾十個IP發(fā)起掃描，因此速度極快。如果覺得這些功能仍不夠用，還可以訪問主頁下載插件，以擴充Angry IP掃描儀的功能。

http://www.angryip.org/w/Download

21. WirelessNetView

WirelessNetView是一個小型實用程序，在后臺運行，用來監(jiān)視區(qū)域中無線網(wǎng)絡的活動，并顯示與它們相關(guān)的信息。對于每個檢測到的網(wǎng)絡，它顯示以下信息：SSID，最后信號質(zhì)量，平均信號質(zhì)量，檢測計數(shù)器，認證算法，密碼算法，MAC地址，RSSI，信道頻率，信道號等。

http://www.nirsoft.net/utils/wireless_network_view.html

22. BluetoothView

BluetoothView是一個很小的應用程序,可以在后臺運行,監(jiān)視該區(qū)域中藍牙設備的活動，并顯示與其相關(guān)的信息：設備名稱，藍牙地址，主要設備類型，小規(guī)模的設備類型，首次檢測時間，上次檢測時間以及更多。當檢測到新的藍牙裝置時，BluetoothView也會通知用戶，會在任務欄出現(xiàn)一個氣球圖標或者響鈴提醒。

http://www.nirsoft.net/utils/wireless_network_view.html

23. Vision

Vision，來自Foundstone的創(chuàng)新產(chǎn)品，Vision允許查看所有打開的TCP和UDP端口，顯示每個端口上活動的服務，并將端口映射到其相應的進程和應用程序。Vision允許用戶通過顯示詳細的系統(tǒng)信息，運行的應用程序以及正在使用的進程和端口來訪問大量的補充信息，這對確定主機狀態(tài)很有用。

http://www.mcafee.com/us/downloads/free-tools/vision.aspx

24. Attacker

Attacker是一個TCP / UDP端口偵聽器，允許用戶自定義希望偵聽的端口列表，它在這些端口上建立連接時會通知用戶，可以最小化到系統(tǒng)托盤并播放聲音警報。

Attacker不是為了保護計算機免受黑客任何形式的攻擊，但它絕不會降低計算機的安全性。不過，還是強烈建議你安裝一個良好的防病毒程序，并且不啟用文件和打印機通過互聯(lián)網(wǎng)使用共享。

http://www.mcafee.com/us/downloads/free-tools/attacker.aspx

25. Total Network Monitor

總網(wǎng)絡監(jiān)視器是一個全面的網(wǎng)絡監(jiān)視應用程序，允許用戶查看網(wǎng)絡狀態(tài)。同時，它可定制，并具有先進的警報功能，讓用戶知道什么時候出了問題。

Total Network Monitor 可不斷監(jiān)控本地網(wǎng)絡上的主機和服務，通過給出描述問題的詳細報告，通知用戶需要注意的問題。每次探測分析的結(jié)果用綠色、紅色或黑色加以分類，迅速表明探測分析是否成功、帶來負面結(jié)果，還是無法完成。

啟動 Total Network Monitor 后，進入到 Tools（工具） > Scan Wizard（掃描向?qū)В?，讓向?qū)ё詣訏呙柚付ǖ木W(wǎng)絡范圍，并將發(fā)現(xiàn)的主機分配給一個組。另外，可以手動創(chuàng)建一個新的組，逐個添加設備/主機。

http://www.softinventive.com/products/total-network-monitor/

26. IIS Logfile Analyser

此工具允許用戶分析IIS日志文件，以確定網(wǎng)站統(tǒng)計信息，如訪問者數(shù)量，下載次數(shù)等。

它將提供有關(guān)以下方面的統(tǒng)計/信息：

1、有多少個匹配用戶擁有的zip文件（或用戶指定的任何其他文件）

2、每天，每周，每小時有多少訪問者

3、訪問者在前往用戶網(wǎng)站之前訪問的網(wǎng)站或進入用戶網(wǎng)站的途徑（引薦來源網(wǎng)址）。

4、每個訪問者正在查看多少頁。

5、每個查詢值有多少個不同的值（對于ASP和其他）

http://www.nodesoft.com/iislogfileanalyser/

27. Ntop

Ntop是一種監(jiān)控網(wǎng)絡流量的工具，允許用戶監(jiān)控網(wǎng)絡流量和統(tǒng)計信息。用ntop顯示網(wǎng)絡的使用情況比其他一些網(wǎng)絡管理軟件更加直觀、詳細。Ntop甚至可以列出每個節(jié)點計算機的網(wǎng)絡帶寬利用率。尤其是當ntop與nprobe配合使用時，其功能更加顯著。它同時提供命令行輸入和web頁面，可應用于嵌入式web服務。由于ntop具有Web界面模式，因此無論是配置還是使用都很容易在短時間之內(nèi)快速上手。

http://www.ntop.org/get-started/download/

系統(tǒng)測試和故障排除工具

28. Pinkie

Pinkie是一個網(wǎng)絡故障排除實用程序的集合，允許同時連續(xù)ping多個主機，執(zhí)行正向和反向DNS查找，自動啟動跟蹤路由，ping掃描器和子網(wǎng)計算器。使用One Window，One App架構(gòu)以直觀，易于使用的用戶界面打包。

Pinkie的主要目的是減少桌面雜亂，以便網(wǎng)絡管理員不必同時打開5或10個窗口，占用寶貴的屏幕空間，從而使其更容易地在屏幕上導航，并有效地解決網(wǎng)絡問題。Pinkie的次要目的是減少網(wǎng)絡管理員必須在其計算機上安裝，維護和更新才能完成其工作的應用程序數(shù)量。Pinkie完成了這兩個目標，并且具有超過大多數(shù)其他工具的細節(jié)水平。

http://www.ipuptime.net/

29. VMWare Player

VMWare Player是一種多平臺虛擬化解決方案，可用于創(chuàng)建和運行多個32位或64位虛擬機，是測試或開發(fā)環(huán)境的理想選擇。VMware Player無需重新啟動即可在同一計算機上運行一個或多個操作系統(tǒng)。憑借其簡單的用戶界面、無可比擬的操作系統(tǒng)支持和移動性，用戶可以比以往更輕松地使用公司桌面投入工作。

http://downloads.vmware.com/d/info/desktop_downloads/vmware_player/3_0

30. Oracle VirtualBox

VirtualBox是一個免費的多平臺通用虛擬化解決方案，可用于創(chuàng)建和運行多個虛擬機，是Oracle公司自己出的虛擬機軟件，可讓你在windows操作系統(tǒng)下，利用虛擬機來安裝其他的系統(tǒng)，比如linux，這樣可以很好的學習其他系統(tǒng)以及軟件的知識。

http://www.virtualbox.org/wiki/Downloads

31. ADInsight

ADInsight是用于對LDAP（輕量級目錄訪問協(xié)議）客戶端進行故障排除的實時監(jiān)控工具，旨在對Active Directory客戶端應用程序進行故障排除。使用其詳細跟蹤Active Directory客戶端-服務器通信來解決Windows身份驗證，Exchange，DNS和其他問題。ADInsight使用DLL注入技術(shù)攔截應用程序在Wldap32.dll庫中調(diào)用，這是基于Active Directory API（如ldap和ADSI）的標準庫。與網(wǎng)絡監(jiān)視工具不同，ADInsight攔截所有客戶端API。ADInsight監(jiān)視可加載的跟蹤DLL的任何進程，這意味著它不需要管理權(quán)限，但是，如果使用管理權(quán)限運行，它還將監(jiān)視系統(tǒng)進程，包括Windows服務。

http://technet.microsoft.com/en-gb/sysinternals/bb897539

32. Process Monitor

Process Monitor是一款系統(tǒng)進程管理器，允許用戶實時監(jiān)視與進程，線程，DLL，注冊表和文件系統(tǒng)相關(guān)的活動。對于應用程序和系統(tǒng)相關(guān)問題的故障排除很有用?？傮w來說，Process Monitor相當于Filemon Regmon，其中的Filemon專門用來監(jiān)視系統(tǒng)中的所有文件操作過程，而Regmon用來監(jiān)視注冊表的讀寫操作過程。

有了Process Monitor，使用者就可以對系統(tǒng)中的所有文件和注冊表操作同時進行監(jiān)視和記錄，通過注冊表和文件讀寫的變化，對于幫助診斷系統(tǒng)故障或是發(fā)現(xiàn)惡意軟件、病毒或木馬來說，非常有用。

http://technet.microsoft.com/en-gb/sysinternals/bb896645

33. SpiceWorks Network Troubleshooting

SpiceWorks網(wǎng)絡故障排除是個一體化工具，允許用戶執(zhí)行常規(guī)故障排除任務，例如遠程殺死進程，遠程訪問設備，ping，tracert和nslookup，甚至可以比較兩個設備的狀態(tài)。

http://www.spiceworks.com/free-network-troubleshooting-tool/

34. RAMMap

RAMMap允許用戶分析系統(tǒng)中的物理內(nèi)存分配。用戶可以確定在RAM中緩存了多少文件數(shù)據(jù)，內(nèi)核和設備驅(qū)動程序使用了多少RAM等。使用RAMMap來了解Windows管理內(nèi)存的方式，分析應用程序內(nèi)存使用情況或回答有關(guān)如何分配RAM的具體問題。 RAMMap的刷新功能允許更新顯示，包括保存和加載內(nèi)存快照的支持。

http://technet.microsoft.com/en-gb/sysinternals/ff700229

35. Autoruns

Autoruns允許用戶查看哪些程序配置是在系統(tǒng)引導或登錄時運行的。此實用程序具有啟動監(jiān)視器的自動啟動位置最全面的知識，顯示用戶配置的在系統(tǒng)啟動或登錄期間運行的程序，以及當啟動各種內(nèi)置的Windows應用程序，如Internet Explorer，Explorer等，這些程序和驅(qū)動程序也會啟動文件夾中的Run，RunOnce和其他注冊表項。它可以自動運行隱藏簽名的Microsoft條目選項，可幫助用戶放大已添加到系統(tǒng)的第三方自啟動映像，并且支持查看系統(tǒng)上配置的其他帳戶的自啟動映像。http://technet.microsoft.com/en-gb/sysinternals/bb963902

36. LogFusion

使用LogFusion，用戶可實時查看和監(jiān)視日志文件。支持高亮，支持文體過濾，支持自定義列等功能。LogFusion可以加載任何text類型的日志記錄，包括服務器日志記錄，開發(fā)調(diào)試記錄和其他txt格式記錄。LogFusion甚至可以利用強大的文本過濾和行的高亮功能幫助找到具體的項目。用戶還可以查看本地和遠程Windows事件日志和事件通道，甚至從OutputDebugString捕獲文本函數(shù)調(diào)用方便應用程序調(diào)試。LogFusion使用了一個直觀的和熟悉的選項卡式界面,同時允許用戶將日志從主窗口到單獨窗口并排比較相關(guān)的日志。

http://www.logfusion.ca/

37. Microsoft Log Parser

使用Microsoft Log Parser，用戶可生成包含多個日志文件源（如XML，CSV，事件日志或注冊表）結(jié)果的自定義格式的輸出文件。Log Parser是一個功能強大的通用工具，它可對基于文本的數(shù)據(jù)以及 Windows 操作系統(tǒng)上的重要數(shù)據(jù)源（如事件日志、注冊表、文件系統(tǒng)和 Active Directory）進行通用查詢。只要告訴Log Parser你所需的信息以及你希望如何處理這些信息，它就能很好地完成任務。查詢結(jié)果可以是基于文本的自定義格式輸出，也可以針對特定的目標（如 SQL、SYSLOG 或圖表）進行保存。http://www.microsoft.com/downloads/en/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07

38. AppCrashView

AppCrashView是一個Windows Vista 和Windows 7 中使用的小工具，可以顯示系統(tǒng)中崩潰程序的詳細信息，允許用戶在簡單的用戶界面中查看Windows錯誤報告（* .WER）文件，然后將結(jié)果保存為TXT / CSV / HTML / XML文件格式。http://www.nirsoft.net/utils/app_crash_view.html

39. RootKitRevealer

很多人有一個誤解，認為rootkit是用作獲得系統(tǒng)root訪問權(quán)限的工具。實際上，rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。RooktKitRevealer是一款rootkit檢測工具，包含在微軟sysinternals工具集里。其輸出會列出注冊表和文件系統(tǒng)API 的差異，從而可以指出是否存在用戶模式或內(nèi)核模式Rootkit。

因為固留型rootkits通過改變API對explorer文件查詢結(jié)果來隱藏自己，所以RooktKitRevealer通過對上層windows API的調(diào)用結(jié)果與通過對底層文件系統(tǒng)信息和注冊表單元（Register Hive，一個hive文件是注冊表在硬盤上實際存儲的格式）查詢的結(jié)果進行對照來發(fā)現(xiàn)差異，正是通過這種差異來找到rootkits。

理論上，只要某一個rootkit可以截獲RooktKitRevealer對文件系統(tǒng)和注冊表等信息的讀取，就可以讓RooktKitRevealer無法發(fā)現(xiàn)。所以沒有一個萬能的rootkits掃描器。

http://technet.microsoft.com/en-gb/sysinternals/bb897445