1、Process Explorer:这个工具比较有名,不单可以结束、挂起某个进程,还可以中止进程对一些文件的调用,比如你有某个文件被某个进程调用,你就可以按Ctrl+F在ProE里面搜索这个文件,然后close handle即可(有个Unlocker的工具也能达到同样的效果:( );现在也有很多病毒,在系统进程里面植入某个线程,windows自带的进程管理器是拿这类病毒没有办法,但是有了ProE之后,你双击这个进程,在threads页面kill掉即可。所以,有了ProE之后,你就不要愁什么文件删除不掉了,你可以删文件删到非法关机为止,个人觉得这比killbox有效多了:(
介绍:
http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx下载:
http://download.sysinternals.com/Files/ProcessExplorer.zip2、Autoruns:一个和Hijackthis等效的工具,分类比较清晰,文件信息描述的比较全,一目了然。
介绍:
http://www.microsoft.com/technet/sysinternals/Utilities/Autoruns.mspx下载:
http://download.sysinternals.com/Files/Autoruns.zip3、TcpView:相当于命令netstat -anob,用于察看哪个进程对外开放了哪些端口,要特别注意状态为Established的进程,这表示双方已经建立好了承载,可以传送数据了。
介绍:
http://www.microsoft.com/technet/sysinternals/Networking/TcpView.mspx下载:
http://download.sysinternals.com/Files/TcpView.zip4、Regmon:注册表监视工具,可以过滤查找某些字段,对查找反复操作注册表的进程很有效。
介绍:
http://www.microsoft.com/technet/sysinternals/SystemInformation/Regmon.mspx下载:
http://download.sysinternals.com/Files/Regmon.zip5、Filemon:文件监视工具,同样可以过滤查找某些字段,这对那些开多个进程工作的病毒很有效,比如你删除了一个文件,但是它过一会又自动生成了,你就可以用这个工具找出是哪个进程生成了它。
介绍:
http://www.microsoft.com/technet/sysinternals/Utilities/Filemon.mspx下载:
http://download.sysinternals.com/Files/Filemon.zip 
