Sysinternals 学习笔记(15.0):系统信息工具总览------RAMMap、RU、CoreInfo 等一网打尽
- [Sysinternals 学习笔记(15.0):系统信息工具总览------RAMMap、RU、CoreInfo 等一网打尽](#Sysinternals 学习笔记(15.0):系统信息工具总览——RAMMap、RU、CoreInfo 等一网打尽)
-
- [一、适用人群 & 学完能做什么](#一、适用人群 & 学完能做什么)
- [二、15 章工具全家桶速览](#二、15 章工具全家桶速览)
- 三、和前面章节工具的关系:它们不"抓包",只"摸骨"
- [四、每个工具的核心定位(为后面 15.x 做铺垫)](#四、每个工具的核心定位(为后面 15.x 做铺垫))
-
- [1. RAMMap:内存去哪了,不再是哲学问题](#1. RAMMap:内存去哪了,不再是哲学问题)
- [2. Registry Usage (RU):注册表空间体检](#2. Registry Usage (RU):注册表空间体检)
- [3. CoreInfo:CPU 的"身份证 & 体检表"](#3. CoreInfo:CPU 的“身份证 & 体检表”)
- [4. WinObj:内核对象"地图"](#4. WinObj:内核对象“地图”)
- [5. LoadOrder:驱动谁先上车?](#5. LoadOrder:驱动谁先上车?)
- [6. PipeList:命名管道雷达](#6. PipeList:命名管道雷达)
- [7. ClockRes:计时器分辨率揭秘](#7. ClockRes:计时器分辨率揭秘)
- 五、学习顺序建议
- [六、和后续 15.x 文章的衔接](#六、和后续 15.x 文章的衔接)
Sysinternals 学习笔记(15.0):系统信息工具总览------RAMMap、RU、CoreInfo 等一网打尽
本章是"看系统底层"的望远镜与显微镜:内存怎么被用掉?CPU 支持哪些特性?注册表到底有多大?哪些驱动最先加载?所有答案都在这几个小工具里。
一、适用人群 & 学完能做什么
适合谁:
- Windows 运维 / SRE / 桌面工程师
- 做性能优化、内存排查的开发同学
- 做渗透测试 / 应急响应,需要了解系统内部状态的安全同学
学完你能干的事:
- 用 RAMMap 看清物理内存去哪了,而不是只盯着"内存占用 98%"
- 用 RU(Registry Usage) 统计注册表大小、定位"寄生"分支
- 用 CoreInfo 看 CPU 拓扑、虚拟化、指令集支持(比如是否支持 AVX2、虚拟化扩展)
- 用 WinObj 浏览内核对象命名空间,对驱动/句柄问题有感性理解
- 用 LoadOrder 确认驱动加载顺序,辅助启动阶段排错
- 用 PipeList 看系统里的命名管道,辅助排查 IPC / 恶意后门
- 用 ClockRes 了解系统计时器分辨率,解释"为什么你以为的 1ms sleep 其实不是 1ms"
二、15 章工具全家桶速览
先给一张"总览表",后面各节会逐个展开(15.1+)。
| 工具 | 作用一句话版 | 典型关键词 |
|---|---|---|
| RAMMap | 以多维视角分析物理内存使用情况,支持快照 | 物理内存、内存泄漏、缓存 |
| Registry Usage (RU) | 统计 注册表 hive 占用大小 | 注册表膨胀、配置清理 |
| CoreInfo | 展示 CPU 拓扑 & 特性支持情况 | NUMA、超线程、指令集 |
| WinObj | 浏览 内核对象管理器命名空间 | 句柄、命名管道、驱动对象 |
| LoadOrder | 显示 驱动与服务的加载顺序 | 启动顺序、依赖、排错 |
| PipeList | 枚举 命名管道 | 进程间通信、恶意后门 |
| ClockRes | 查看 系统计时器分辨率 | 性能计时、sleep 精度 |
这一章可以看成:"我想知道这台 Windows 的真实体质与内部结构,而不是只看任务管理器的表层数据"。
三、和前面章节工具的关系:它们不"抓包",只"摸骨"
前面几章的工具对比一下:
- Process Explorer / Process Monitor / PsTools:
更偏向"进程视角"、"事件视角"、"远程操作视角",关注的是"谁在干什么"。 - 本章系统信息工具:
更偏向"系统骨架视角",关注的是:- 这台机器的 硬件 & 内核特性(CoreInfo)
- 系统资源 分配结构(RAMMap、RU)
- 内核对象 & 驱动 & 管道这种 基础设施级状态(WinObj、LoadOrder、PipeList、ClockRes)
一句话:
前面几章是"抓行为",本章是"看体质"。
典型联动场景:
- 内存占用高:
- 先用 Process Explorer / RAMMap 看进程 & 物理内存分布
- 发现大量 Standby / Cache,可以用 RAMMap 的清理功能做实验
- 某个驱动影响启动:
- 用 Autoruns / LoadOrder 看是否有异常驱动在前面抢先加载
- 再配合事件日志/蓝屏分析
- 怀疑有恶意管道通讯:
- 用 PipeList 枚举管道名,再用 Process Explorer 结合句柄搜索
四、每个工具的核心定位(为后面 15.x 做铺垫)
下面是 15 章后续每一节(15.1--15.8)的"预告级"解释:
1. RAMMap:内存去哪了,不再是哲学问题
- 它不是任务管理器的翻版,而是把物理内存 拆成多种视图:
- Use Counts(用途统计)
- Processes(按进程)
- Priority / File Summary / File Details 等
- 可以做 快照对比 :
比如"开启某程序前后",看文件缓存、驱动占用是否异常膨胀。
15.1--15.3 会分别从"界面视图"、"时间线快照"、"清理实验"三个角度展开。
2. Registry Usage (RU):注册表空间体检
- 用命令行展示各个 hive(如 HKLM\SYSTEM、HKCU)的:
- 大小
- 负载
- 适合:
- 老系统"注册表越装越胖"的健康评估
- 大量应用卸载后,看看是否有异常巨大的残留 hive
15.4 会给 RU 命令示例 + 输出解读 + 清理建议。
3. CoreInfo:CPU 的"身份证 & 体检表"
- 输出 CPU 的:
- 拓扑(物理包 / 核 / 逻辑 CPU,NUMA 结构)
- 各种指令集支持情况(SSE、AVX、VT-x/AMD-V 等)
- 真用武之地:
- 判断是否适合某些虚拟化 / 加密 / 高性能计算场景
- 辅助性能调优(比如栈绑定到指定 NUMA 节点)
15.5 会结合 -c/-g/-l/-n 等参数做系统性梳理。
4. WinObj:内核对象"地图"
- Windows 内部有一个 Object Manager 命名空间(\Device、\Driver、\DosDevices 等)。
- WinObj 让你可以像浏览资源管理器一样:
- 看见驱动、设备对象、命名管道、互斥量等
- 价值:
- 做驱动/安全研究的人:看内核对象状态
- 做取证:有时可以发现某些奇怪的设备或管道对象
15.6 会挑几个典型路径讲:\Device、\BaseNamedObjects、\GLOBAL?? 等。
5. LoadOrder:驱动谁先上车?
- 输出:驱动 & 服务的 加载顺序 与分组(boot start、system start 等)。
- 场景:
- 启动阶段蓝屏/异常,怀疑是某驱动抢先加载;
- 分析"这台机子启动链路和标准系统哪里不同"。
15.7 会结合服务类型(BOOT / SYSTEM / AUTO)解释它如何反映启动阶段。
6. PipeList:命名管道雷达
- 列出系统中当前存在的 命名管道 :
- 管道名
- 对应进程(在新版中可以关联)
- 典型用途:
- 分析 IPC 交互模式(比如某服务与客户端通过哪个管道沟通)
- 安全场景:辨认可疑管道名(如随机名、含恶意工具关键字)
15.8 会配合 Process Explorer 的 Handle 搜索做联动示例。
7. ClockRes:计时器分辨率揭秘
- 展示系统计时器分辨率的:
- 最小/最大/当前值
- 用来解释:
- 为什么
Sleep(1)不一定就是真的 1ms - 为什么某些高帧率/高精度计时应用,会显著影响整机功耗/电池寿命(因为调高了全局计时器分辨率)
- 为什么
15.9 会结合实验代码:调用 timeBeginPeriod、看 ClockRes 的变化。
五、学习顺序建议
如果你是运维 / 桌面工程:
- RAMMap(15.1--15.3):解决"内存去哪了"的现实问题
- RU(15.4):为老系统/镜像做一次注册表体检
- LoadOrder + WinObj(15.6--15.7):做启动和驱动问题排查
- PipeList(15.8):日常可少用,但安全/取证时非常有价值
- CoreInfo + ClockRes(15.5 + 15.9):偏底层,更适合在性能调优/项目需要时深入
如果你偏安全 / 研发 / 内核方向:
- WinObj、CoreInfo、PipeList、ClockRes 可以重点啃,把系统当"操作系统实验教材"。
六、和后续 15.x 文章的衔接
本篇可以看成第 15 章的"地图页"。
接下来每一篇(15.1--15.9)都会:
- 用一两张示意图(RAMMap 界面、WinObj 树形结构、CoreInfo 输出片段)
- 结合 典型排错/性能/安全场景
- 给出可直接复制运行的命令 + 建议解释话术(比如给领导、给同事讲解)