[TOC] ## Sysintehttps://www.kancloud.cn/book/user1157546548/hw_tips/dashboardrnalsSuite 是一个工具集合，其中的工具可以用于管理、故障分析和诊断windows系统及应用程序 ## PCHunter/火绒剑/PowerTool PCHunter是一个强大的内核级监控工具，可以查看进程、驱动模块、内核、网络、注册表、文件等信息与PCHunter功能相似的有火绒剑、PowerTool等 ## Process Monitor（系统进程监视工具） Process Monitor一款系统进程监视软件，总体来说，Process Monitor相当于Filemon+Regmon，其中的Filemon专门用来监视系统 中的任何文件操作过程，而Regmon用来监视注册表的读写操作过程。有了Process Monitor，使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录，通过注册表和文件读写的变化， 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说，非常 有用。这是一个高级的 Windows 系统和应用程序监视工具，由优秀的 Sysinternals 开发，并且已并入微软旗下，可靠性自不用说。 **Process Monitor 可以监控程序的各种操作，主要监控程序的文件系统、注册表、进程、网络、分析 ** ## Event Log Explorer Event Log Explorer 是一个检测系统安全的工具，可以查看、监视和分析日志事件，包括安全、系统、应用程序和其它windows系统记录事件 ## FullEventLogView 是一个轻量级的日志检索工具，能够显示并查看 Windows 系统事件日志的详细信息，可以查看本地计算机的事件，也可以查看远程计算机的事件，可以将事件导出为 text、csv、html、xml等格式 ## Log Parser 是微软公司的日志分析工具，使用简单，可以分析基于文本的日志文件、xml格式文件、csv（逗号分隔符）格式文件，以及操作系统事件日志、注册表、文件系统、Active Directory，可以像使用SQL语句一样查询、分析这些数据，甚至可以把分析结果以各种图标形式展示出来 ## ThreatHunting 是观星实验室开发的工具，可以对日志、进程、Webshell等进行检测 ## WinPrefetchView 是一个预读文件（Prefetch文件）查看器，用于读取储存在系统的预读文件 ## WifiHistoryView 是一个自动读取系统里无线网络连接记录的工具，运行后可以查看连接的时间、事件发生的类型、所用到的网卡、连接上的网络SSID名称、加密类型等信息