The Sysinternals web site was created in 1996 by Mark Russinovich and Bryce Cogswell to host their advanced system utilities and technical information. Microsoft acquired Sysinternals in July, 2006. Whether you’re an IT Pro or a developer, you’ll find Sysinternals utilities to help you manage, troubleshoot and diagnose your Windows systems and applications. If you have a question about a tool or how to use them, please visit the Sysinternals Forum for answers and help from other users and our moderators.

Sysinternals Suite
　　一次下载 Sysinternals 整套实用工具。

AccessChk
v4.24（2010 年 1 月 11 日）
　　此更新修复了一个 Bug，该 Bug 有时会导致 AccessChk 不显示分配给用户帐户的权限和特权的完整列表。

AccessEnum
1.32（2006 年 11 月 1 日）
　　这一简单但强大的安全工具可以向您显示，谁可以用何种访问权限访问您系统中的目录、文件和注册表项。使用此工具可查找权限漏洞。

AdExplorer
v1.2（2009 年 4 月 22 日）
　　Active Directory Explorer 是一个高级的 Active Directory (AD) 查看器和编辑器。
　　AdInsight
v1.01（2007 年 11 月 20 日）
　　一种 LDAP（轻型目录访问协议）实时监视工具，旨在对 Active Directory 客户端应用程序进行故障排除。

AdRestore
v1.1（2006 年 11 月 1 日）
　　恢复已删除的 Server 2003 Active Directory 对象。

Autologon
v2.10（2006 年 11 月 1 日）
　　登录过程中跳过密码屏幕。

Autoruns
v9.57（2009 年 12 月 1 日）
　　查看哪些程序被配置为在系统启动和您登录时自动启动。Autoruns 还能够完整列出应用程序可以配置自动启动设置的注册表和文件位置。

BgInfo
v4.16（2009 年 10 月 1 日）
　　此完全可配置程序会自动生成桌面背景，其中包含有关系统的 IP 地址、计算机名称、网络适配器及更多内容的重要信息。

BlueScreen
v3.2（2006 年 11 月 1 日）
　　此屏幕保护程序不仅精确模拟“蓝屏”，而且也模拟重新启动（完成 CHKDSK），并可在 Windows NT 4、Windows 2000、Windows XP、Server 2003 和 Windows 9x 上工作。

CacheSet
v1.0（2006 年 11 月 1 日）
　　CacheSet 是一个允许您利用 NT 提供的功能来控制缓存管理器的工作集大小的程序。它与 NT 的所有版本都兼容。

ClockRes
v2.0（2009 年 6 月 4 日）
　　查看系统时钟的分辨率，亦即计时器最大分辨率。

Contig
v1.55（2008 年 9 月 30 日）
　　您是否希望迅速对您频繁使用的文件进行碎片整理？使用 Contig 优化单个的文件，或者创建连续的新文件。

Coreinfo
v2.0（2009 年 10 月 21 日）
　　Coreinfo 是一个新的命令行实用工具，可向您显示逻辑处理器与物理处理器之间的映射、NUMA 节点和它们所处的插槽，以及分配给每个逻辑处理器的缓存。

Ctrl2cap
v2.0（2006 年 11 月 1 日）
　　这是一个内核模式的驱动程序，可在键盘类驱动程序上演示键盘输入过滤，以便将 Caps-Lock 转变为控制键。在此级别过滤允许在 NT 刚好要“看到”键之前变换和隐藏键。Ctrl2cap 还显示如何使用 NtDisplayString() 打印初始化蓝屏的消息。

DebugView
v4.76（2008 年 10 月 16 日）
　　Sysinternals 的另一个优先程序：此程序截取设备驱动程序对 DbgPrint 的调用和 Win32 程序生成的 OutputDebugString。它允许在不使用活动的调试器的情况下，在本地计算机上或通过 Internet 查看和记录调试会话输出。

台式机
v1.02（2010 年 1 月 19 日）
　　使用这一新的实用工具可以创建最多四个虚拟桌面，使用任务栏界面或热键预览每个桌面上的内容并在这些桌面之间轻松地进行切换。

Disk2vhd
v1.4（2009 年 12 月 1 日）
　　Disk2vhd 可简化从物理系统到虚拟机 (p2v) 的迁移。

DiskExt
v1.1（2007 年 5 月 14 日）
　　显示卷磁盘映射。

Diskmon
v2.01（2006 年 11 月 1 日）
　　此实用工具会捕捉所有硬盘活动，或者在您的系统任务栏中象软件磁盘活动灯一样工作。

DiskView
v2.3（2010 年 1 月 19 日）
　　图形磁盘扇区实用工具。

Disk Usage (DU)
v1.33（2008 年 12 月 10 日）
　　按目录查看磁盘使用情况。

EFSDump
v1.02（2006 年 11 月 1 日）
　　查看加密文件的信息。

Handle
v3.42（2008 年 11 月 19 日）
　　此易用命令行实用工具将显示哪些进程打开了哪些文件，以及更多其他信息。

Hex2dec
v1.0（2006 年 11 月 1 日）
　　将十六进制数字转换为十进制及反向转换。

接合点
v1.05（2007 年 7 月 24 日）
　　创建 Win2K NTFS 符号链接。

LDMDump
v1.02（2006 年 11 月 1 日）
　　转储逻辑磁盘管理器在磁盘上的数据库内容，其中说明了 Windows 2000 动态磁盘的分区情况。

ListDLLs
v2.25（2006 年 11 月 1 日）
　　列出所有当前加载的 DLL，包括加载位置及其版本号。2.0 版将打印已加载模块的完整路径名。

LiveKd
v3.13（2010 年 1 月 11 日）
　　使用 Microsoft 内核调试程序检查真实系统。

LoadOrder
v1.0（2006 年 11 月 1 日）
　　查看设备加载到 WinNT/2K 系统中的顺序。

LogonSessions
v1.0（2006 年 11 月 1 日）
　　列出系统中的活动登录会话。

MoveFile
v1.0（2006 年 11 月 1 日）
　　使您可以安排在系统下一次重新启动时执行移动和删除命令。

NTFSInfo
v1.0（2006 年 11 月 1 日）
　　用 NTFSInfo 可以查看有关 NTFS 卷的详细信息，包括主文件表 (MFT) 和 MFT 区的大小和位置，以及 NTFS 元数据文件的大小。

PageDefrag
v2.32（2006 年 11 月 1 日）
　　对您的分页文件和注册表配置单元进行碎片整理。

PendMoves
v1.1（2006 年 11 月 1 日）
　　枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表。

PipeList
（2006 年 11 月 1 日）
　　显示系统上的命名管道，包括每个管道的最大实例数和活动实例数。

PortMon
v3.02（2006 年 11 月 1 日）
　　通过高级监视工具监视串行端口和并行端口的活动。它能识别所有的标准串行和并行 IOCTL，甚至可以显示部分正在发送和接收的数据。3.x 版具有强大的新 UI 增强功能和高级筛选功能。

ProcDump
v1.72（2010 年 1 月 19 日）
　　这一新的命令行实用工具旨在捕获其他方式难以隔离和重现 CPU 峰值的进程转储。该工具还可用作用于创建进程转储的一般实用工具，并可以在进程具有挂起的窗口或未处理的异常时监视和生成进程转储。

Process Explorer
v11.33（2009 年 2 月 4 日）
　　找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者。

Process Monitor
v2.8（2009 年 11 月 3 日）
　　实时监视文件系统、注册表、进程、线程和 DLL 活动。

ProcFeatures
v1.10（2006 年 11 月 1 日）
　　这一小程序会报告处理器和 Windows 对“物理地址扩展”和“无执行”缓冲区溢出保护的支持情况。

PsExec
v1.97（2009 年 12 月 1 日）
　　在远程系统上执行进程。

PsFile
v1.02（2006 年 12 月 4 日）
　　查看远程打开的文件。

PsGetSid
v1.43（2006 年 12 月 4 日）
　　显示计算机或用户的 SID。

PsInfo
v1.75（2007 年 7 月 9 日）
　　获取有关系统的信息。

PsKill
v1.13（2009 年 12 月 1 日）
　　终止本地或远程进程。

PsList
v1.28（2006 年 12 月 4 日）
　　显示有关进程和线程的信息。

PsLoggedOn
v1.33（2006 年 12 月 4 日）
　　显示登录到某个系统的用户。

PsLogList
v2.7（2009 年 5 月 7 日）
　　转储事件日志记录。

PsPasswd
v1.22（2006 年 12 月 4 日）
　　更改帐户密码。

PsService
v2.22（2008 年 1 月 11 日）
　　查看和控制服务。

PsShutdown
v2.52（2006 年 12 月 4 日）
　　关闭并重新启动（可选）计算机。

PsSuspend
v1.06（2006 年 12 月 4 日）
　　挂起和继续进程。

PsTools
（2009 年 7 月 1 日）
　　PsTools 套件包括一些命令行程序，可列出本地或远程计算机上运行的进程、远程运行进程、重新启动计算机、转储事件日志，以及执行其他任务。

RegDelNull
v1.10（2006 年 11 月 1 日）
　　扫描并删除包含嵌入空字符的注册表项，标准注册表编辑工具不能删除这种注册表项。

RegJump
v1.01（2006 年 11 月 1 日）
　　跳至 Regedit 中指定的注册表路径。

RootkitRevealer
v1.71（2006 年 11 月 1 日）
　　扫描系统以找出基于 Rootkit 的恶意软件。

SDelete
v1.51（2006 年 11 月 1 日）
　　安全地覆盖敏感文件，并使用此符合 DoD 的安全删除程序清理先前删除文件所在的可用空间。

ShareEnum
v1.6（2006 年 11 月 1 日）
　　扫描网络上的文件共享并查看其安全设置，以关闭安全漏洞。

ShellRunas
v1.01（2008 年 2 月 28 日）
　　通过方便的 shell 上下文菜单项，作为另一个用户启动程序。

Sigcheck
v1.65（2010 年 1 月 19 日）
　　转储文件版本信息并检查系统中的映像是否已进行数字签名。

Streams
v1.56（2007 年 4 月 27 日）
　　显示 NTFS 备用数据流。

Strings
v2.41（2009 年 3 月 2 日）
　　在二进制映像中搜索 ANSI 和 UNICODE 字符串。

Sync
v2.0（2006 年 11 月 1 日）
　　将缓存数据刷新到磁盘。

TCPView
v2.54（2009 年 3 月 17 日）
　　活动套接字命令行查看器。

VMMap
v2.5（2009 年 12 月 1 日）
　　VMMap 是进程虚拟和物理内存分析实用工具。

VolumeId
v2.0（2006 年 11 月 1 日）
　　设置 FAT 或 NTFS 驱动器的卷 ID。

Whois
v1.01（2006 年 11 月 1 日）
　　查看 Internet 地址的所有者。

WinObj
v2.15（2006 年 11 月 1 日）
　　基本对象管理器命名空间查看器。

ZoomIt
v4.1（2009 年 10 月 21 日）
　　在屏幕上进行缩放和绘图的演示实用工具。

不像其他的虚拟桌面实用工具，实现其桌面显示的窗口在桌面上是活跃的，而隐藏其余Sysinternals桌上型电脑使用Windows桌面对象，为每个桌面。在创建时绑定应用程序窗口到桌面的对象，所以Windows维护窗口和桌面之间的连接和，知道哪些表明，当您切换桌面。这使Sysinternals桌上型电脑非常轻巧和免费的错误，他们认为活动窗口变得不可见窗口的另一种方法是容易的。

台式机的依赖意味着它不能提供一些其他虚拟桌面实用程序的功能，但是Windows桌面上的对象。例如，Windows并没有提供一种方式，一个窗口移动到另一个从一个桌面对象，因为一个独立的Explorer进程必须运行在每个桌面上的任务栏和开始菜单提供，大部分的托盘上唯一可见的国内第一款桌面应用程序。另外，没有办法删除桌面对象，所以台式机不提供一种方式来关闭一个桌面，因为那样会导致在孤立的窗口和进程。推荐的方式退出桌面注销。

Unlike other virtual desktop utilities that implement their desktops by showing the windows that are active on a desktop and hiding the rest, Sysinternals Desktops uses a Windows desktop object for each desktop. Application windows are bound to a desktop object when they are created, so Windows maintains the connection between windows and desktops and knows which ones to show when you switch a desktop. That making Sysinternals Desktops very lightweight and free from bugs that the other approach is prone to where their view of active windows becomes inconsistent with the visible windows.

Desktops reliance on Windows desktop objects means that it cannot provide some of the functionality of other virtual desktop utilities, however. For example, Windows doesn't provide a way to move a window from one desktop object to another, and because a separate Explorer process must run on each desktop to provide a taskbar and start menu, most tray applications are only visible on the first desktop. Further, there is no way to delete a desktop object, so Desktops does not provide a way to close a desktop, because that would result in orphaned windows and processes. The recommended way to exit Desktops is therefore to logoff.

虽然基于Windows NT的系统采用灵活的安全模型允许完全控制安全性和文件的权限，管理权限，使用户有适当的访问文件，目录和注册表项可能很困难。有没有内置的方式快速查看用户访问目录或钥匙的树。 AccessEnum为您提供了一个完整的视图您的文件系统和注册表安全设置，在几秒钟内，它的理想工具帮助您安全漏洞，并在必要的情况下锁定权限。

While the flexible security model employed by Windows NT-based systems allows full control over security and file permissions, managing permissions so that users have appropriate access to files, directories and Registry keys can be difficult. There's no built-in way to quickly view user accesses to a tree of directories or keys. AccessEnum gives you a full view of your file system and Registry security settings in seconds, making it the ideal tool for helping you for security holes and lock down permissions where necessary.

您是否曾经想要了解某个程序打开了哪个特定文件或目录？现在您可以找到答案了。 Process Explorer 可显示有关进程已打开或加载哪些句柄和 DLL 的信息。

Process Explorer 的显示由两个子窗口组成。顶部窗口总是显示当前活动进程的列表（包括拥有它们的帐户的名称），而底部窗口中显示的信息取决于 Process Explorer 所处的模式：如果它处于句柄模式下，则可以看到顶部窗口中的所选进程打开的句柄；如果 Process Explorer 处于 DLL 模式下，则可以看到相应进程已经加载的 DLL 和内存映射文件。Process Explorer 还具有强大的搜索功能，可以快速显示哪些进程打开了哪些特定句柄或加载了哪些特定 DLL。

Process Explorer 的独特功能使其可用于跟踪 DLL 版本问题或句柄泄漏问题，还可以让用户深入了解 Windows 和应用程序的工作方式。

Process Explorer 可以在 Windows 9x/Me、Windows NT 4.0、Windows 2000、Windows XP、Server 2003、64 位版本的 Windows（用于 x64 和 IA64 处理器）和 Windows Vista 上运行。

用法：PROCDUMP [-64] [-C的CPU使用率] [-U] [-S秒]] [-n超过] [-E [1] [-B] [-F过滤器] [-G]] [ -H] [-L] [-M提交用法] [-MA |-MP] [-O] [-P计数器阈值] [-R] [-T] [-D ] <[-W ] <进程名称或pid> [转储文件] |我 |-X  [参数]> [ - ？ [-E]

-64默认PROCDUMP将捕捉一个32位的64位Windows上运行时，一个32位的进程转储。此选项将覆盖创建一个64位转储。

-B治疗调试断点异常（否则忽略）。

-C CPU阈值在创建转储过程。

-D调用指定的DLL名为MiniDumpCallbackRoutine的转储回调例程。

-E时写转储过程中遇到未处理的异常。包括：1，第一次机会异常创建转储。

-F过滤的第一次机会异常。支持通配符（*）。要倾倒的名字，而不只是显示，使用空白（“”）滤波器。

-G仅在管理的过程中捕获本机异常（互操作）。

-H写转储，如果过程中有悬窗（不响应窗口消息至少5秒钟）。

-i安装PROCDUMP的作为AEDebug文件事后调试。 -MA-MP-D支持选项。

-l显示的调试字符串记录的过程中。

-M内存提交阈值以MB为单位，在创建转储过程。

-MA写的所有进程的内存转储文件。缺省转储格式只包括线程和处理信息。

-MP写线程和处理信息，所有的读/写进程内存转储文件。为了最大限度地减少转储大小，大于512MB的内存区域搜索，如果发现，最大的区域被排除在外。内存区域是相同大小的内存分配领域的集合。去除（高速缓存）内存减少了超过90%的Exchange和SQL Server转储。

-N号码写在退出之前转储。

-o覆盖现有的转储文件。

-P指定的性能计数器超过阈值时触发。注：指定进程计数器，当有多个实例运行的进程，使用进程ID的语法如下：“\\过程（ _ ）\\计数器”

-R反映（克隆）转储，以最少的时间进程被挂起（Windows 7和更高版本）的过程。

-S连续秒前转储写入（默认为10）。

-T写转储当进程终止。

你对相对单核心的CPU使用率。

-w等待指定的进程启动，如果它没有运行。

-X启动与可选的参数指定的图像。如果它是一个现代的应用程序或包装，PROCDUMP将开始下一次激活（只）。

- ？使用 - ？ -E例如命令行。

如果你省略转储文件的名称，它默认为的_ <日期时间>。DMP。

使用ACCEPTEULA命令行选项来自动接受Sysinternals的许可协议。

示例

写一个小型转储名为'记事本'（只有一个匹配，可以存在）的过程：

C：\\> PROCDUMP记事本

写一个完整的转储过程与PID '4572'：

C：\\ PROCDUMP-MA 4572

写3个小型转储5秒名为“记事本”的过程：

C：\\> PROCDUMP-5-N 3记事本

写一个名为“'消费'，当它超过20%的CPU使用率五秒钟的过程长达3个小型转储：

C：\\> PROCDUMP-C 20-5-N消耗

编写小型转储名为'hang.exe'，当它的Windows是超过5秒没有反应过程：

C：\\> PROCDUMP-H hang.exe hungwindow.dmp

写一个小型转储名为“展望”时，整个系统的CPU使用率超过20%，持续10秒的一个过程：

C：\\> PROCDUMP前景-P“\\处理器（_Total）\\%处理器时间”20

写一个名为“展望”的过程，当Outlook的手柄计数超过10,000完全转储：

C：\\> PROCDUMP马展望-P“\\程序（如Outlook）\\句柄计数”10000

写MiniPlus Microsoft Exchange信息存储转储时，它有一个未处理的异常：

C：\\> PROCDUMP-MP-E STORE.EXE

显示不写转储，w3wp.exe的异常代码/名称：

C：\\> PROCDUMP-E 1-F“w3wp.exe的

写一个小型转储程序w3wp.exe如果异常的代码/名称中包含“NOTFOUND”：

C：\\> PROCDUMP-E-F NOTFOUND程序w3wp.exe

启动一个进程，然后监视它的例外情况：

C：\\> PROCDUMP-E 1-F“”-X C：\\转储consume.exe

注册发射，并尝试激活，一个现代化的'应用'。一个新的PROCDUMP实例启动时激活监测异常：

C：\\> PROCDUMP-E 1-F“

XC：\\的转储Microsoft.BingMaps_8wekyb3d8bbwe！AppexMaps

注册一个现代的“一揽子”的推出。一个新的PROCDUMP实例将启动，当它被激活（手动）监测异常：

C：\\> PROCDUMP-E 1-F“

XC：\\转储Microsoft.BingMaps_1.2.0.136_x64__8wekyb3d8bbwe

注册成为刚刚在的时间（AEDebug文件）调试。充分转储在c：\\转储。

C：\\> PROCDUMP-MA-I C：\\转储

看到一个列表，例如命令行（例子上面列出）：

C：\\> PROCDUMP - ？ -E

相关链接

Windows内部书

官方更新和勘误表Windows内部的权威书籍，由Mark Russinovich和David所罗门。

的Windows Sysinternals的管理员参考

Sysinternals的公用事业由Mark Russinovich和亚伦Margosis的的，包括描述的所有工具，其功能，如何使用它们进行故障排除，例如真实世界的情况下，其使用的官方指南。

usage: procdump [-64] [[-c CPU usage] [-u] [-s seconds]] [-n exceeds] [-e [1 [-b] [-f filter] [-g]]] [-h] [-l] [-m commit usage] [-ma | -mp] [-o] [-p counter threshold] [-r] [-t] [-d ] <[-w]  [dump file] | -i  |-x  [arguments]> [-? [ -e]]

-64By default ProcDump will capture a 32-bit dump of a 32-bit process when running on 64-bit Windows. This option overrides to create a 64-bit dump.

-bTreat debug breakpoints as exceptions (otherwise ignore them).

-cCPU threshold at which to create a dump of the process.

-dInvoke the minidump callback routine named MiniDumpCallbackRoutine of the specified DLL.

-eWrite a dump when the process encounters an unhandled exception. Include the 1 to create dump on first chance exceptions.

-fFilter the first chance exceptions. Wildcards (*) are supported. To just display the names without dumping, use a blank ("") filter.

-gOnly capture native exceptions in a managed process (no interop).

-hWrite dump if process has a hung window (does not respond to window messages for at least 5 seconds).

-iInstall ProcDump as the AeDebug postmortem debugger. Only -ma, -mp and -d are supported as options.

-lDisplay the debug string logging of the process.

-mMemory commit threshold in MB at which to create a dump of the process.

-maWrite a dump file with all process memory. The default dump format only includes thread and handle information.

-mpWrite a dump file with thread and handle information, and all read/write process memory. To minimize dump size, memory areas larger than 512MB are searched for, and if found, the largest area is excluded. A memory area is the collection of same sized memory allocation areas. The removal of this (cache) memory reduces Exchange and SQL Server dumps by over 90%.

-nNumber of dumps to write before exiting.

-oOverwrite an existing dump file.

-pTrigger on the specified performance counter when the threshold is exceeded. Note: to specify a process counter when there are multiple instances of the process running, use the process ID with the following syntax: "\\Process(_)\\counter"

-rReflect (clone) the process for the dump to minimize the time the process is suspended (Windows 7 and higher only).

-sConsecutive seconds before dump is written (default is 10).

-tWrite a dump when the process terminates.

-uTreat CPU usage relative to a single core.

-wWait for the specified process to launch if it's not running.

-xLaunch the specified image with optional arguments. If it is a Modern Application or Package, ProcDump will start on the next activation (only).

-?Use -? -e to see example command lines.

If you omit the dump file name, it defaults to _.dmp.

Use the -accepteula command line option to automatically accept the Sysinternals license agreement.

Examples

Write a mini dump of a process named 'notepad' (only one match can exist):

C:\\>procdump notepad

Write a full dump of a process with PID '4572':

C:\\>procdump -ma 4572

Write 3 mini dumps 5 seconds apart of a process named 'notepad':

C:\\>procdump -s 5 -n 3 notepad

Write up to 3 mini dumps of a process named 'consume' when it exceeds 20% CPU usage for five seconds:

C:\\>procdump -c 20 -s 5 -n 3 consume

Write a mini dump for a process named 'hang.exe' when one of it's Windows is unresponsive for more than 5 seconds:

C:\\>procdump -h hang.exe hungwindow.dmp

Write a mini dump of a process named 'outlook' when total system CPU usage exceeds 20% for 10 seconds:

C:\\>procdump outlook -p "\\Processor(_Total)\\% Processor Time" 20

Write a full dump of a process named 'outlook' when Outlook's handle count exceeds 10,000:

C:\\>procdump -ma outlook -p "\\Process(Outlook)\\Handle Count" 10000

Write a MiniPlus dump of the Microsoft Exchange Information Store when it has an unhandled exception:

C:\\>procdump -mp -e store.exe

Display without writing a dump, the exception codes/names of w3wp.exe:

C:\\>procdump -e 1 -f "" w3wp.exe

Write a mini dump of w3wp.exe if an exception's code/name contains 'NotFound':

C:\\>procdump -e 1 -f NotFound w3wp.exe

Launch a process and then monitor it for exceptions:

C:\\>procdump -e 1 -f "" -x c:\\dumps consume.exe

Register for launch, and attempt to activate, a modern 'application'. A new ProcDump instance will start when it activated to monitor for exceptions:

C:\\>procdump -e 1 -f ""

-x c:\\dumps Microsoft.BingMaps_8wekyb3d8bbwe!AppexMaps

Register for launch of a modern 'package'. A new ProcDump instance will start when it is (manually) activated to monitor for exceptions:

C:\\>procdump -e 1 -f ""

-x c:\\dumps Microsoft.BingMaps_1.2.0.136_x64__8wekyb3d8bbwe

Register as the Just-in-Time (AeDebug) debugger. Makes full dumps in c:\\dumps.

C:\\>procdump -ma -i c:\\dumps

See a list of example command lines (the examples are listed above):

C:\\>procdump -? -e

Related Links

Windows Internals Book

The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon.

Windows Sysinternals Administrator's Reference

The official guide to the Sysinternals utilities by Mark Russinovich and Aaron Margosis, including descriptions of all the tools, their features, how to use them for troubleshooting, and example real-world cases of their use.

在NT世界最可怕的颜色是蓝色的。臭名昭著的蓝屏死机（BSOD），会弹出一个NT系统上，每当出了可怕的错误。蓝屏是一个屏幕保护程序不仅能真实地模仿一个BSOD，但将模拟系统引导过程中看到启动画面。

NT 4.0上安装它模拟CHKDSK磁盘驱动器的错误！

Win2K和Windows 9x中，它提出了WIN2K启动闪屏，旋转进度乐队和进度控制更新完成！

在Windows XP和Windows Server2003在XP/ Server 2003的启动画面中的进度条！

不同的蓝色屏幕和模拟的靴子每15秒左右的的蓝屏周期之间。几乎所有的，蓝屏蓝屏和系统启动时屏幕上显示的信息是从您的系统配置 - 其准确性能骗过甚至先进NT开发。例如，NT内部版本号，处理器修改，加载的驱动程序和地址，磁盘驱动器特性，内存大小都取自系统蓝屏上运行。

使用蓝屏戏弄你的朋友，吓跑你的敌人！

One of the most feared colors in the NT world is blue. The infamous Blue Screen of Death (BSOD) will pop up on an NT system whenever something has gone terribly wrong. Bluescreen is a screen saver that not only authentically mimics a BSOD, but will simulate startup screens seen during a system boot.

On NT 4.0 installations it simulates chkdsk of disk drives with errors!

On Win2K and Windows 9x it presents the Win2K startup splash screen, complete with rotating progress band and progress control updates!

On Windows XP and Windows Server 2003 it presents the XP/Server 2003 startup splash screen with progress bar!

Bluescreen cycles between different Blue Screens and simulated boots every 15 seconds or so. Virtually all the information shown on Bluescreen's BSOD and system start screen is obtained from your system configuration - its accuracy will fool even advanced NT developers. For example, the NT build number, processor revision, loaded drivers and addresses, disk drive characteristics, and memory size are all taken from the system Bluescreen is running on.

Use Bluescreen to amaze your friends and scare your enemies!