搶救Windows疑難雜症Windows Sysinternals Suite

隨著Windows版本推陳出新，系統日益穩定，看似友善的視窗圖形介面看起來讓人放心，然而背後卻可能隱藏著使用者、系統管理者與開發者均無法發現的問題。例如未經使用者許可的應用程式執行與網路存取，這就不是一般個人端系統調校工具能夠做到的；即便是商業應用領域上，也很少IT廠商專門針對Windows系統大量提供這類用途的工具，Sysinternals卻做到了！而且在系統維護的領域中，Sysinternals是目前重所公認最好的工具之一。

2006年微軟併購 Sysinternals的母公司Winternals後，微軟在TechEd 2007中特別說明企業使用 Sysinternals該注意的事項。他們表示，將繼續讓 Sysinternals維持免費下載，一般企業可以在公司內部自行使用，不限授權數量，但如果是服務提供廠商要使用至些工具，就需要向微軟申請授權。因為 Sysinternals是無償使用，不論是企業或個人，均無法從微軟得到協助，但因為使用設群很廣大，微軟傾向讓使用者向設群求助、諮詢。

讓你精通Windows系統管理、網路管理或程式開發的免費工具
不同於高貴的系統管理平臺和IT原廠顧問，學會使用Windows Sysinternals Suite，你將更有能力處理Windows的各種問題，而且不花一毛錢。

善用工具，才能藥到病除
Sysinternals這套工具在還未併入微軟TechNet之前，在網路及系統管理界就已經受到廣泛使用了。既然Sysinternals在系統工具上已占有一席之地，那IT人平時又是如何使用這些工具的？

常用的Sysinternals處理程序管理工具
可遠端查詢與管理系統的PsTools
PsTools包含12種遠端管理工具，可解決系統、磁碟、檔案或網路等問題，較特別的是PsTools內的所有工具使用上，都必須以在命令列搭配參數的方式執行，使用上比圖形介面來得更直接。

常用的Sysinternals系統資訊查詢工具
全面監控系統狀態的Process Monitor
利用單一程式，便能即時監控Windows系統的檔案、登錄機碼與程序，能協助IT人員尋找系統漏洞、後門程式或進行錯誤檢測。

常用的Sysinternals網路工具
透視Windows TCP/UDP連線的TCPView
檢視電腦的TCP及UDP端點連線資訊、所使用的連接埠，以及連線狀態，幫助你處理網路相關的衝突事件或找出異常連線。讓你精通Windows系統管理、網路管理或程式開發的免費工具

IT人員處理問題就如同醫師看病問診，技術精良的醫師往往看一眼就知道如何處置病例，但有時我們總會遇到罕見的疑難雜症，當沒有前例可尋時，還是要透過斷層掃描、超音波或內視鏡等高科技器材輔助，才能找出病因。

Sysinternals Suite裡的工具，就像是這些器材，但不需要花錢即可下載使用，如果懂得如何運用這些器材的IT人員，必然能比只用「聽診器」的人了解更深入。不同於高貴的系統管理平臺和IT原廠顧問，學會使用Windows Sysinternals Suite，你將更有能力處理Windows的各種問題，而且不花一毛錢。

Sysinternals能深入Windows核心
Sysinternals到底是何方神聖？

Sysinternals之前為Winternals公司提供的免費工具，Winternals原本是一間主力產品為系統復原與資料保護的公司，為了解決工程師平常在工作上遇到的各種問題，便開發出許多小工具。之後他們將這些工具集合起來稱為Sysinternals，並放在網路供人免費下載，其中也包含部分工具的原始碼，一直以來都頗受IT專家社群的好評。

2006年7月18日，微軟宣布併購Winternals公司，不但將熟知Windows系統的Winternals公司共同創辦人──Mark Russinovich 以及 Bryce Cogswell──納入旗下，同時也將Sysinternals這套工具收編至TechNet網站。

現任職於微軟平臺及服務部門的Mark Russinovich，是大家較常耳聞的傳奇人物，他對Windows核心程式碼有極深入的認識，曾在1996年發現Windows NT Server和Workstation版具有相同的核心程式，只要更動兩個登錄機碼，就能將版本變更。而在2005年，Mark發現讀取Sony BMG的音樂CD時，Windows系統會遭隱藏在CD中的rookit防盜程式竄改，且使用者完全不知情。這個發現不但使得Sony吃上官司，Mark也因而聲名大噪。

由於Mark本身的技術知識豐富，因此他們所開發的軟體，包含Sysinternals在內的許多應用程式，也成為使用Windows系統的IT人員，解決問題與尋找惡意程式的主要工具。在臺灣微軟TechNet討論區中，亦有不少MVP（Most Valuable Professional，最有價值專家）表示十分欣賞Mark的專業，以及勇於揭露事實的行為。

連微軟技術人員都推薦使用
Sysinternals這套工具在還未併入微軟TechNet之前，在網路及系統管理界就已經受到廣泛使用了。

長期擔任技術顧問、目前任職於某金融服務業的微軟TechNet MVP李明儒表示，由於他本身一直以來便對程式開發，以及系統除錯保持高度的興趣，因此也經常利用多種能深入觀察問題，並分析系統核心運作過程的工具。而在這些常用的重要工具當中，便有幾項是出自Sysinternals。

李明儒說，一開始接觸到這套工具，他是以本身遇到的問題做為關鍵字，透過搜尋引擎才發現的，同時也注意到許多業界人士都相當推崇Sysinternals。後來在工作上處理到有關Windows系統的問題而無法解決時，求助微軟技術人員支援的過程中，也有多次被推薦使用Sysinternals的經驗。

至於風禹科技驗證的系統工程師鄭子璉也有類似經驗。當初鄭子璉是在程式開發時，遇到一些Windows程序錯誤的問題無法解決，便向微軟求助，而微軟的技術支援人員建議他使用當時仍屬於Winternals公司，版本較早期的ProcessExplorer工具，微軟希望鄭子璉能利用此工具，將程序錯誤的歷程完整地記錄下來，再由他們的技術人員提供對症下藥的修正支援。

此外，目前專職於寫作及翻譯原文書的微軟TechNet MVP賴榮樞，也因早期曾使用過Winternals公司的產品NTFSDOS，拯救了損壞硬碟中的資料，而開始注意到了Winternals公司的創辦人Mark ，同時開始研究這間公司的產品，當然，其中也包含了Windows Sysinternals Suite。

併購後，更新及維護不會停止
Mark在加入微軟後，首先將病毒及間諜軟體研究人員，經常使用的Regmon和Filemon兩項工具，整合至新工具Process Monitor中，同時也在這項新工具中加入部分的Process Explorer功能，讓IT管理人員不用在許多視窗間切換，便能偵測惡意程式的活動行為。此外，雖然不再更新PsUptime這項工具，但微軟在PsInfo中加入原本PsUptime的功能，再將一系列的Ps工具匯集後重新命名為PsTools，且釋出支援Vista作業系統的版本。

微軟併購Winternals之後，許多的使用者不免擔心，原本免費的工具會變成收費軟體，或是工具的更新速度不如以往，甚至不再更新等。

事實上，Windows Sysinternals Suite不但增加了Process Monitor、PsTools等新工具，像Process Explorer或TCPView等實用工具也陸續推出新版本，因此這套工具的更新速度，並未因換了招牌而有影響。

在臺灣，相關的資訊則很有限。目前臺灣微軟TechNet網站上，關於Sysinternals單一工具的說明仍有許多為英文資料，不過臺灣微軟伺服器平臺事業部行銷副理，同時也是TechNet的負責人廖浩志，本身也具有Sysinternals的使用經驗，他表示微軟將會優先處理相關網頁的翻譯工作，以協助IT人員更加了解Sysinternals Suite的使用方式。

從下載排行看IT人最愛用的Sysinternals工具 這是一份由微軟公布的Sysinternals下載次數排行榜，統計時間為2007年第一季。我們可以發現，與資安、處理程序管理相關的工具明顯受使用者青睞，特別是Process Explorer的下載次數，已遠遠超越同系列的所有軟體。

善用工具，才能藥到病除

Sysinternals在系統工具上已占有一席之地，IT人平時又是如何使用這些工具的？

在Sysinternals尚未整併到TechNet之前，李明儒最常使用的工具，當屬Regmon和Filemon了。因Regmon可以用來觀察應用程式使用登錄機碼的過程，再配合Filemon查詢，便能快速發現因檔案不存在，或權限不足無法使用造成的錯誤。李明儒表示，若File Monitor的過濾關鍵字下得精準，不用兩分鐘就能找出問題，那種遇到挑戰而又能快速解決的成就感，也是讓他始終樂此不疲的主因。

然而Regmon和Filemon先前是分開的兩個工具，過去使用時經常需開啟兩個視窗，再以肉眼交叉比對，可以說相當不方便。微軟後來新推出了整合這兩者功能的新工具Process Monitor，對李明儒而言，可說是完全切中要害，也成為目前他工作上使用率最高的一個工具。

除了Process Monitor之外，李明儒也經常使用Process Explorer，它可說是進階版工作管理員，不但能用來刪除工作管理員無法刪除的程序，也可詳細檢查程序使用到的DLL檔、開啟的檔案及網路使用狀況等詳細資訊。而有時刪除檔案時會發生檔案已被鎖定的情形，此時利用Process Explorer也能找出元兇。

以往曾為了電腦開機愈來愈慢的問題，而感到十分困擾的賴榮樞也談到對Sysinternals的想法，他說雖然利用Windows的msconfig指令，或是到登錄機碼中檢查，也可以發現在開機過程中有哪些會自動執行的程式，可能是造成系統效率降低的元兇，但功能卻過於陽春。而Sysinternals AutoRuns不但具有快速分類查詢功能，亦可直接修改執行檔和登錄機碼的值，同時圖形介面操作起來也不困難，是相當實用的工具。

早期為了瞭解系統I/O的運作，賴榮樞也曾利用Regmon監控登錄機碼的存取情形。當時的Regmon在執行前需先掛載一個SYS檔，使用上並不方便。而Winternals被微軟併購後所新推出的Process Monitor，單單利用一個工具，便能觀察各種類型的檔案或機碼存取狀況，節省不少程式開發或系統除錯的時間。

經常需處理電腦中毒等資安問題的鄭子璉則表示，無論工作或日常生活中，在眾多工具裡他最常使用的，便是監控程式ProcessExplorer及TCPView。他常利用程序運行狀況，以及網路通訊埠的使用情形，來判斷是否遭受木馬或後門程式攻擊，再利用網路資源上所通報的資訊，或本身所學將威脅排除。

鄭子璉提到，Sysinternals補足了Windwos系統本身的不足。在Windows XP之前的版本，作業系統內建的「工作管理員」，並沒有顯示運行程序的原始路徑。IT人員雖然可以檢查目前運行的程序狀況，一旦發現有問題的程序時，卻無法立刻得知程序的所在位置，如此當程序名稱經過偽造時，便很難判斷是由何種應用程式啟動了該程序。此時利用ProcessExplorer提供的完整絕對路徑，便能快速找到在系統內作怪的始作俑者。同理，利用TCPView則可抓出非經允許，而利用特定網路與外界通訊的後門程式。這些操作簡單而功能強大的工具，一直以來都是他用來解決撰寫程式問題的重要武器。

充實自身所學才能用對工具
由於這些工具的功能都相當強大，有些甚至可以直接管理系統的重要檔案，因此IT人員在使用之前，應該要先徹底了解這些工具的功能，並詳讀說明文件。賴榮樞認為Sysinternals Suite也比較適合專業IT人員使用，沒有經驗的使用者較不宜隨便嘗試，以免對系統產生不良的影響。因為Sysinternals Suite包含的工具數量相當多，IT人員最好能夠先清楚了解所遇到問題的脈絡，再藉由Sysinternals Suite網站上的分類，才能以最少時間挑到符合需求的工具。

平常除了使用工具外，Sysinternals釋出的源碼也是一項好的教材。藉由研究這些工具的源碼，賴榮樞認為可以解析程式是如何將資料從Windows的許多資訊中擷取出來，也能對Windows整個系統的運作過程更加熟悉。

提供整合式平臺應能降低使用門檻
雖然Sysinternals目前包含六十多個小工具，幾乎可以解決任何IT人員在軟體開發、網路防駭或系統維修等問題，但它們彼此未經完整的分類或系統化，在使用上仍嫌過於複雜。

舉例來說，小程式在執行上速度較快，但有許多同質性的工具，其實都有類似的功能。然而操作介面不同，若IT人員使用起來，可能仍要從頭學習，即使這兩套工具的功能差異並不是太大。因此若能將功能類似的工具，整合成較大型的單一程式，將有助於新進人員快速提升解決問題的能力。此外一些命令列式的小工具，若能提供圖形介面，也可使IT人員更充分了解各參數所提供的功能，並縮短閱讀說明文件的時間。

目前Windows Sysinternals Suite僅是將各工具集合成壓縮檔，微軟或許可依程式的使用率或下載次數，列出Top 10之類的推薦名單，鄭子璉認為如此IT人員在選擇工具時，不致於無所適從。

雖然Windows內建的系統工具功能較少，但並不是每臺電腦中都需要安裝Sysinternals Suite工具，而且過於零散的小程式也不易儲存於隨身碟中使用，因此賴榮樞也提醒IT人員不宜過度依賴這套工具，最好還是要具備以Windows工具解決問題的能力。由於Windows Sysinternals Suite裡包含的眾多工具只是集結，實際上在釋出新版本時仍需個別更新，以目前的情況雖名為Suite，但實際上仍是由許多獨立的小程式包裝而成，並不是單一的整合性產品，因此反而會造成使用者更新上的困擾。賴榮樞也建議微軟，未來若能為Sysinternals建立一個共通性的平臺，或提供更精細的分類與說明，或許當IT人員遇到問題上網尋找工具時，會更便利。

網頁監控功能較缺乏
Sysinternals Suite提供的工具，主要是針對Windows核心系統設計，因此監控工具顯示的資料也較底層，對於像HTTP網頁訊息，或是API（應用程式介面）存取情形等資訊的檢視與匯整就略顯不足。

然而從微軟併購Winternals後的這一年多來看，我們可以大膽推測，未來Sysinternals Suite的許多功能，必會陸續整合至作業系統，或Windows Server System的IT管理平臺System Center內，並發展為更有效的系統管理工具，進一步擴充與Windwos PowerShell相關的功能；亦或是成為Windows SDK（Software Development Kit，軟體發展套件）的一員。

無論是近程的防駭除錯，或是為了往後能更了解Windows系統的運作情形， Windows Sysinternals Suite雖然不夠完美，但人手一套熟悉它，絕對可以幫助你擺平很多難搞的小問題。文⊙李世平可遠端查詢與管理系統的PsTools

PsTools內總共包含了12種工具，可協助IT人員解決系統、網路、磁碟檔案或程序等不同問題。較特別的是PsTools內的所有工具使用上，都必須以在命令列搭配參數的方式執行，使用上比圖形介面來得更直接。

PsExec：執行遠端電腦上的指令
PsExec最主要的功能就是啟動遠端電腦上的命令式批次指令，或是Regedit等特定的系統工具程式。舉例來說，若我們欲在名稱為iThome的遠端電腦上，執行test.exe程式，則可鍵入「psexec \iThome -u user -p passwd -c c:\test.exe」，其中user與passwd為系統管理員帳號及密碼，而這兩個也是PsTools的公用參數；至於-c則代表先將應用程式test.exe，複製到遠端電腦後再執行。值得注意的是，若使用者未指定欲執行的應用程式路徑，則會使用預設的原始目錄，亦即Windows根目錄（％SystemRoot％）。

利用PsExec的特定參數「-i」，可以互動方式在遠端系統上執行應用程式，便於讓使用者檢視應用程式的使用者介面；此外參數「-f」，則是強制將本機的應用程式複製到遠端系統後再執行，無論遠端系統是否已具備此應用程式，以確保使用者執行的程式為最新（或特定）版本。

PsFile：查詢檔案資詢
PsFile它主要是用來查詢遠端電腦上已經開啟的檔案，以及開啟檔案的使用者名稱。例如在重新啟動伺服器之前，只要利用PsFile指令就能快速追縱所有正處於開啟狀態的檔案，同時也能了解有哪些檔案已被鎖定，以便於通知遠端用戶手動關閉。透過PsFile的特定參數「path」，可顯示應用程式的完整或部分路徑。而「-c」參數則能依ID或路徑關閉被標示的程式。

PsGetSid：查詢SID
PsGetSid與PsFile十分類似，也是用來顯示特定資訊的工具。PsGetSid指令能查詢有關電腦、使用者及使用者群組的安全識別項（SID）。PsGetSid並沒有特別的獨立參數，不過使用者仍能利用像是「psgetsid \iThome user」這種指令，查詢位於遠端iThome電腦上user使用者的SID訊息。

PsInfo：查詢硬體資訊與開機時間
PsInfo可提供本機或遠端電腦的系統資訊，其中包含安裝類型、核心版本、註冊公司及所有人、處理器數量及類型、顯示卡型號、實體記憶體總量、系統的安裝日期，以及試用版本的到期日等資訊。PsInfo預設值為顯示本機的系統資訊，如同PsTools的其他工具一樣，可查詢遠端電腦，不過使用者需具備存取遠端電腦機碼中HKLM\System項目的權限。

最新的PsInfo版本為1.74版，也整合了之前用於顯示系統上次重開機時間的工具PsUptime。

PsInfo的特定參數「-s」，可顯示系統上安裝的所有應用程式；「-d」則可顯示有關系統的磁碟／磁區資訊。

PsKill：終止特定處理程序
PsKill作用與「Windows工作管理員」中的「結束處理程序」相同，但PsKill可利用指定程序ID的方式終止，也可以在遠端執行。

PsList：查詢系統程序資訊
PsList與Process Explorer以及Process Monitor的許多功能相同，但它特別之處在於可支援遠端管理，因此當用戶需在遠端電腦管理一個或多個程序時，便得要利用PsList。PsList的功能類似「Windows工作管理員」中的「處理程序」列表，能顯示本機或遠端電腦執行中程序的名稱、PID或占用的虛擬記憶體等資訊。

PsList可使用的參數中較特別的有「-d」，可顯示各處理程序執行緒層級的資訊；「name」可以顯示特定名稱開頭的程序相關資訊；「-t」則可以類似Process Explorer的樹狀結構顯示資訊。

PsLoggedOn：查詢登入狀態
從名稱即可看出，PsLoggedOn是用來查詢使用者登入情形的工具。PsLoggedOn不但能顯示本機登入的用戶，從遠端網路登入的用戶也可選擇性地列出。利用這個工具很容易就能辨識正在使用伺服器的用戶，而不用開啟一堆視窗來交叉比對。執行PsLoggedOn時，可透過「-l」參數將網路使用者排除，僅顯示本機登入的使用者。

PsLogList：查詢特定事件記錄
PsLogList的功能與Windows系統管理工具內的事件記錄器相同，可以顯示系統、應用程式及安全性等事件記錄。它不僅能顯示本機記錄，也能查詢遠端特定電腦，甚至是網域內所有電腦的事件。這個工具還能將事件記錄檔項目，從原本的二進位格式，轉換成其他格式。

PsLogList可使用的參數相當多，例如「-e」可排除包含指定事件識別碼的事件，最多可指定10個；而「-m」是只顯示指定分鐘數內的資訊等。

PsPasswd：更改使用者帳號與密碼
PsPasswd可用來更改本機或遠端電腦的使用者名稱及密碼。對於需周期性更換密碼的網域內電腦，利用這個指令便能快速達成目的。

PsService：檢視和設定系統服務
PsService是Windows服務項的檢視和編輯器，亦可當做「系統設定公用程式」中「服務」欄目的加強版。除了能管理遠端電腦的服務程序外，也可啟動、終止、暫停、繼續和重新啟動Windows服務項，同時還能針對特定的服務項，指定列出與其相關的其他服務。

PsService的參數使用方式與其他工具略有不同，每個參數都有不同的控制語法，使用者可在參數後加「－」字元查詢。

透過「query」參數，可查詢指定的服務；而「find」可在網路中尋找正在執行指定服務的電腦；「security」參數則可提供指定服務的安全性資訊。

PsShutdown：強化關機功能
雖然照字面意思看來，PsShutdown的功能和Windows內建的shutdown.exe似乎一樣，都是用來關閉電腦。但PsShutdown還具有遠端管理、重新啟動電腦，以及指定電腦進入休眠或待機模式等功能；甚至還能鎖定電腦，或先顯示一段訊息後，再於一定時間後重新啟動電腦。

使用者利用參數「-a」可中止由PsShutdown啟動，且正在進行中的關機作業，而過去曾因疾風病毒泛濫，造成很多電腦經常自動關機，許多IT管理人員也會利用這個參數來終止關機程序；此外參數「-v」可讓使用者輸入特定訊息，以在關機前向遠端用戶顯示。

PsSuspend：暫停執行中的特定程序
當某個應用程式占用很大比例的處理器資源，用戶想暫緩執行，卻又不願遺失與該應用程式相關的資料或內容時，這個工具便能派上用場。雖然Process Explorer也有提供類似的功能，不過卻僅能在本機執行。而PsSuspend使用的特定參數僅有「-r」，用來重新啟動暫停中的程序。文⊙李世平全面監控系統狀態的Process Monitor

Process Monitor是微軟併購了Winternals後所新增的工具之一，目前版本為1.12版，支援Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1、Windows Vista，以及64位元的Windows XP、Windows Server 2003 SP1和Windows Vista。

使用者可自訂欄位

Process Monitor是結合了Filemon、Regmon、Process Explorer與Pslist等工具的程式，雖然對於處理程序監控的功能選項，不如Process Explorer來得多，但任何檔案或登錄機碼的存取，都能透過Process Monitor即時顯示。主視窗的左下方的數字，表示目前Process Explorer記錄的事件數、系統總共產生了多少事件，以及被記錄的事件占總事件的比例等。

而使用者也可利用Process Monitor Column Selection自訂欄位，選擇想要查詢的項目。Column Selection將欄位分為Application Details、Event Details及Process Management三大類，顯示的資訊包含順序、讀寫的時間、行程的 ID、類型、路徑、程式製作公司、版本，以及運行時間等22種不同項目。

提供事件過濾器以簡化記錄
Process Monitor的事件記錄預設為自動捲動，由於一般電腦在運作時存取的記錄資料量相當龐大，因此訊息跳動的頻率相當快。雖然使用者可以將自動捲動關閉以利搜尋，但一開始要找到指定的項目，難度等同於大海撈針。

此時用戶可利用位於主操作視窗右上方的快速工具列，在執行程序、檔案存取和登錄機碼三種類型中，選擇要顯示何種資訊。舉例來說，若只按下「Show Process and Thread Activity」工具鈕，那麼事件記錄中就只會顯示與執行程序有關的資料，如程序開始、結束時間，以及DLL檔載入等。

至於Process Monitor Filter則提供更進階的過濾功能，用戶可選擇在程序名稱、路徑、程序註冊公司或時間等不同項目自訂關鍵字，決定顯示的記錄中是否要包含、排除或完全符合該關鍵字。由於系統產生的事件數量相當龐大，Process Monitor的預設值中便已經執行了許多過濾原則。

此外用戶也可利用Process Monitor Highlighting，自由選擇以不同顏色標註符合某個條件的事件，不過符合同一種條件的事件，僅能以一種顏色標註。而在Process Monitor已顯示的資料中，用戶透過Ctrl﹢F的組合鍵便能快速尋找特定的資料；但若是該資料屬於隱藏欄位，則需先至Column Selection中將設定為顯示欄位後，才可搜尋。

Process Monitor的圖形介面操作雖然簡單，記錄的資料量卻相當驚人，因此也能協助IT人員尋找系統漏洞、後門程式或進行錯誤檢測；但由於資料型態複雜，在使用前應詳讀使用手冊，並了解系統運作方式，才容易找到問題點。文⊙李世平透視Windows TCP/UDP連線的TCPView

TCPView for Windows v2.4是一套可以用圖形介面完整觀察Windows目前連線的工具，你可以用它檢視電腦上的網路資訊，監看TCP/UDP的封包流向的網路IP位址、所使用的連接埠，以及連線狀態。

圖形化介面的即時監控
執行之後，TCPView會以清單的方式，顯示電腦上目前所有使用TCP/UDP網路協定的端點連接資訊，這些資訊包含了啟動連結的程式、通訊協定、本機位址、目的位址以及狀態等。相較於Windows套件內的Netstat指令，使用者可以藉由簡單的視窗畫面，更直接地監控自己的電腦系統內的網路存取，觀察目前正透過網路連結其他主機的程式。

這套工具的圖形介面使用起來，預設字型很小，在我們使用1280×1024的螢幕解析度下，字型幾乎小到難以辨視，所以使用者一開始執行時，最好先設定字型，調整成合適的字體大小，方便我們以後使用TCPView。字型的設定可以從下拉式選單的選項（Options）選取字型（Font），就能調整TCPView所顯示的字型大小。

TCPView在預設上是顯示連線節點的網域名稱和連接埠號，使用者可以依照需求，在選項中勾選解析位址（Resolve Addresses），將網域名稱的部份改成以IP位址顯示，亦可在選項中顯示非連線中的端點（Show Unconnected Endpoints），隱藏／顯示非使用中的端點連線。

執行時，TCPView會依照設定的頻率自動更新監控資訊，預設值為1秒，使用者可以依據需求，在檢視（View）中的更新速度（Update Speed），調整為2秒或3秒，也可以手動執行重新整理（Refresh）或暫停更新（Paused），方便使用者檢視資料列。連結資訊如有更新，會在更新的資料列上以顏色突顯出來，綠色表示目前產生新的連結，紅色表示連結中斷，黃色則是表示端點連結內容有異動。

除了檢視連線狀態及開啟連結的程式外，TCPView亦可檢視程式所在的目錄位置，只要點選下拉式選單，或是右鍵選單中點選程式屬性（Process Properties），就可以看到程式所在的路徑。如果要中斷該連線，則可以用關閉連線（Close Connection）來中斷連線，若是要結束連線中的程式，則可以在下拉式選單或右鍵功能表內使用結束程式（End Process）功能，直接結束該程式。

解決網路問題
TCPView可以協助我們在Windows平臺上解決許多網路問題，像是木馬或病毒這類惡意程式，可能會在未經允許的情況下，擅自進行網路連線，影響資訊安全。而透過TCPView，可以協助我們檢視目前是否有程式正在進行未經允許的連線，接著即可查出這些惡意程式的所在位置，以維護系統正常運作。

另外，TCPView也可以協助我們處理網路埠號衝突的問題。有時網管人員啟動某些程式時，會因為埠號衝突而導致連線失敗，影響系統運作，像是IIS（Internet Information Service）的埠號衝突，一時之間，我們可能不清楚是哪個程式所引起的，這時候就可以藉由TCPView找出造成埠號衝突的程式，並尋求最適切的解決方案。

TCPView可以在Windows 9×／Me／NT／2000／XP等版本上面運作，但若要在Windows 95上執行，作業系統本身的網路元件則需要更新至Winsock 2 Update才能順利運作。文⊙林郁翔