提前内置一些排障工具到Windows系统大有好处
比如www.nirsoft.net的提权工具和日志分析工具、抓包工具、微软的windows performance toolkit和sysinternals工具等
代码语言:javascript复制一、www.nirsoft.net的提权工具、日志分析工具等
用AdvancedRun提权
https://cloud.tencent.com/developer/article/2285183
wget http://www.nirsoft.net/utils/advancedrun-x64.zip -Outfile r:downloadsadvancedrun-x64.zip
用FullEventLogView分析日志
https://cloud.tencent.com/developer/article/1866711
wget http://www.nirsoft.net/utils/fulleventlogview-x64.zip -Outfile r:downloadsfulleventlogview-x64.zip
二、微软sysinternals工具
http://live.sysinternals.com/accesschk.exe
http://live.sysinternals.com/accesschk64.exe
http://live.sysinternals.com/Procmon.exe
http://live.sysinternals.com/Procmon64.exe
http://live.sysinternals.com/PsExec.exe
http://live.sysinternals.com/PsExec64.exe
http://live.sysinternals.com/Autoruns.exe
http://live.sysinternals.com/Autoruns64.exe
http://live.sysinternals.com/procexp.exe
http://live.sysinternals.com/procexp64.exe
wget http://live.sysinternals.com/accesschk.exe -Outfile r:downloadsaccesschk.exe
wget http://live.sysinternals.com/accesschk64.exe -Outfile r:downloadsaccesschk64.exe
wget http://live.sysinternals.com/Procmon.exe -Outfile r:downloadsProcmon.exe
wget http://live.sysinternals.com/Procmon64.exe -Outfile r:downloadsProcmon64.exe
wget http://live.sysinternals.com/PsExec.exe -Outfile r:downloadsPsExec.exe
wget http://live.sysinternals.com/PsExec64.exe -Outfile r:downloadsPsExec64.exe
wget http://live.sysinternals.com/Autoruns.exe -Outfile r:downloadsAutoruns.exe
wget http://live.sysinternals.com/Autoruns64.exe -Outfile r:downloadsAutoruns64.exe
wget http://live.sysinternals.com/procexp.exe -Outfile r:downloadsprocexp.exe
wget http://live.sysinternals.com/procexp64.exe -Outfile r:downloadsprocexp64.exe
如何确认系统或业务进程加载了哪些.sys驱动和.dll文件?用procmon
左侧选System进程或业务进程,选择后点“view → Lower Pane View → Dlls (Ctrl D)”,在下方会显示.sys、.dll
procexp查看Privileges稍显麻烦,用accesschk查看很方便
https://learn.microsoft.com/en-us/sysinternals/downloads/accesschk
示例:
-p表示process name or PID
accesschk64.exe -p -f -v powershell
accesschk64.exe -p -f -v 5688
三、杀毒防护软件
火绒、赛门铁克、360系统急救箱
360系统急救箱:http://www.360.cn/jijiuxiang/guide.html
四、抓包工具
1、wireshark
https://2.na.dl.wireshark.org/win64/all-versions/
2、微软的Network Monitor
针对网络挂盘explorer hang的问题,需要提前内置Network Monitor
首先,问题发生时尝试收集explorer的dump日志(任务管理器 → 详细信息 → 找到未响应的explorer.exe右击点"创建转储文件")以及网络报文,如果资源管理器卡到不足以收集转储文件和网络报文,想办法收集内存转储文件(①需提前配置pagefile 30G,太小可能不足以生成充分信息的.dmp文件;②收集时,需要在母机上注入nmi中断,触发Windows系统主动蓝屏并生成dump文件,过程中耐心等待不要人为干预机器状态直到恢复正常,把c:windowsmemory.dmp的.7z压缩包提供过来)
其次,需要收集网络报文,步骤:
Step1:从微软网站上下载Network Monitor(确认选取目标机器对应平台的安装包),并安装(使用默认选项即可),提前安装到系统里
http://www.microsoft.com/en-us/download/details.aspx?id=4865 (目前最新版是3.4)
https://download.microsoft.com/download/7/1/0/7105C7FF-768E-4472-AFD5-F29108D1E383/NM34_x64.exe
Step2:以管理员运行cmd窗口,并且输入以下命令
nmcap.exe /Network * /useprofile 3 /Capture /File c:network.cap:1024M
nmcap.exe的路径:C:Program FilesMicrosoft Network Monitor 3nmcap.exe,如果不能直接执行nmcap.exe,建议添加环境变量C:Program FilesMicrosoft Network Monitor 3
Step3:访问资源管理器复现hang死的问题(我的电脑/计算机、文件管理器、网络挂盘的盘符等凡是能触发访问资源管理器的都行)
Step4:回到刚刚的命令行界面按CTRL C停止网络报文收集,压缩c:network.cap成为.7z格式,c:network.cap.7z就是排查问题需要的抓包
另外,也需要把这个wget.exe文件放到C:Windows目录
$client = new-object System.Net.WebClient
$client.DownloadFile('http://windows-1251783334.cos.ap-shanghai.myzijiebao.com/wget64.exe',' c:windowswget.exe')
用法:
wget.exe url -O c:mubiao.xxx
区别于powershell的wget,powershell的wget实际是这个命令的简写invoke-webrequest
因为出现问题的时候powershell用不了,所以得准备一个cmd命令能用的下载工具,就是wget.exe
五、微软的windows performance toolkit (WPT=WPR WPA=Recorder Analyzer)
Win10出来后,WPT兼容Win8/2012后的系统,不再兼容Win7/2008R2
1、Win7/2008R2要用WPT,只能用Windows 8.1 SDK
2、Win10版(≥win10 2004)的winsdksetup.exe和adksetup.exe不适用2008R2和2012R2系统。
使用winsdksetup.exe和adksetup.exe(<win10 2004的)都能在≥2012R2系统上安装Windows Performance Toolkit(含wpr.exe命令)。
2008R2或Win7只能使用Windows 8.1 SDK,云服务器上WPT(wpr和wpa)跟实体物理机上的表现可能会有差异。
3、需要特别强调的是,win8.1/2012R2不要使用适用Win10/Win11的ADK和SDK
我在2012R2上用[ADK for Windows 10 版本 2004]安装WPT后,执行WPR会报错,Windows8.1/2012R2的WPT最好用下面的
老版Windows 8.1 SDK如下
https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive/
https://go.microsoft.com/fwlink/p/?LinkId=323507
https://download.microsoft.com/download/B/0/C/B0C80BA3-8AD6-4958-810B-6882485230B5/standalonesdk/sdksetup.exe
4、如果安装windows performance toolkit (WPT=WPR WPA=Recorder Analyzer) 报错无法定位程序输入点,参考我这篇文档
https://cloud.tencent.com/developer/article/2059673
六、虚拟化驱动安装文件
腾讯云定制版 Virtio 下载地址如下,请对应实际网络环境下载
公网下载地址:
http://mirrors.tencent.com/install/windows/virtio_64_1.0.9.exe
内网下载地址:
http://mirrors.tencentyun.com/install/windows/virtio_64_1.0.9.exe
阿里云Virtio跟腾讯云不兼容,如果迁移到腾讯云,需要在winpe中用dism命令先删掉阿里云的驱动再安装腾讯云的驱动。
这个压缩包里的脚本可实现替换虚拟化驱动为腾讯云的:
http://windows-1251783334.cos.ap-shanghai.myzijiebao.com/Install_QCloudVirtIO_new.zip