Sysinternals为Windows低级入侵提供很多非常有用的小工具。其中一部分是免费的，有些还附有源代码，其它是需要付费使用的。受访者最喜欢此集合中的以下工具：ProcessExplorer 监视所有进程打开的所有文件和目录（类似Unix上的LSoF）。PsTools 管理（执行、挂起、杀死、查看）本地和远程进程。Autoruns 发现系统启动和登陆时加载了哪些可执行程序。RootkitRevealer 检测注册表和文件系统API异常，用以发现用户模式或内核模式的rootkit工具。点击下载