Kako koristiti alat pslist u sustavu Windows

  • PsList ispisuje procese, niti i memoriju iz konzole, također i daljinski.
  • Podržava prikaze stabla, kontinuirano uzorkovanje i filtriranje po imenu ili PID-u.
  • Integrira se s PsKillom i PsExecom za intervenciju i ponovno pokretanje procesa.
  • U DFIR-u, "pslist" je također ključni dodatak u Volatility 2/3.
Lorena Figueredo

11 minuta

Kako koristiti pslist u sustavu Windows

Ako ste zaduženi za upravljanje Windows računalima ili je na vama red dijagnosticiranje problema s performansama, PsList je jedan od onih uslužnih programa koje je zgodno uvijek imati pri ruci.Dio je Sysinternalsovog PsTools paketa i, iz jednostavne konzole, omogućuje vam skeniranje procesa, niti, memorije i hijerarhija lokalno i udaljeno.

Osim popisivanja procesa, PsList se može ponašati kao "mini upravitelj zadataka" iz naredbenog retka, Kontinuirano osvježavanje informacija, prikaz stabala procesa i filtriranje po imenu ili PID-uA ako ga kombinirate s PsKillom i PsExecom, prelazite s promatranja na djelovanje: lociranje, prekidanje i ponovno pokretanje procesa na kontroliran način.

Što je PsList i čemu služi?

PsList je konzolni alat tvrtke Sysinternals dizajniran za popis procesa s njihovom najkorisnijom telemetrijomU jednom izlazu vidjet ćete stupce kao što su prioritet, broj niti, otvoreni ručni podaci i statistika memorije (virtualna memorija, radni skup, privatna memorija), zajedno s CPU-om i vremenom izvršavanja.

Velika prednost je što možete konzultirati i lokalnu opremu i dostupnu udaljenu destinaciju. Ako vaše vjerodajnice nisu dovoljne za čitanje brojača performansi udaljenog računala, možete navesti eksplicitno korisničko ime i lozinku. za autentifikaciju i pristup podacima na ciljnom sustavu.

Kako dobivaju svoje podatke (i zašto im možete vjerovati)

Poput Performance Monitora (PerfMon), PsList čita informacije iz Brojači performansi sustava WindowsTo osigurava dosljednost s onim što biste vidjeli u grafičkim alatima sustava i objašnjava zašto će vam u udaljenim okruženjima trebati odgovarajuće privilegije za njihov pregled.

Važan detalj: Sve vrijednosti memorije koje prikazuje PsList su u kilobajtima (KB)Ako uspoređujete s alatima koji izvještavaju u MB, ne zaboravite prilagoditi skalu kako biste izbjegli pogrešno tumačenje magnituda.

Kompatibilnost, verzija i preuzimanje

PsList je dio paketa PsTools, koji se preuzima kao lagana ZIP datoteka (veličine otprilike 5 MB). Ne zahtijeva instalaciju: jednostavno raspakirajte i pokrenite iz bilo koje mape u vašem PATH-u ili unosom pune putanje.

Na trenutnim platformama, Podržano na klijentu: Windows 8.1 i noviji; poslužitelju: Windows Server 2012 i novijiPovijesno se koristio i u sustavima Windows Vista/Server 2008, a unutar paketa spominje se podrška za Nano Server 2016+, iako je preporučljivo provesti validaciju u svakom okruženju. Uslužni program klasificiran je kao "Procesni uslužni programi", a stranica Sysinternals prikazuje objavljene verzije i datume ažuriranja (npr. v1.4 s najnovijim ažuriranjem 29.06.2016.), dok stariji izlazi mogu prikazivati ​​oznake poput „PsList 126”, što je normalno s obzirom na razvoj projekta.

Sintaksa i bitni parametri

Sintaksa PsLista je fleksibilna, u rasponu od jednostavnih filtera imena do naprednih prikaza memorije i niti. Ovo su ključni modifikatori i što oni rade u praksi.

Parametar Što čini
pslist exp Navedite procese čije ime počinje tim prefiksom (na primjer, „exp” bi uključivao Explorer).
-d uzorak detalji niti procesom.
-m Centriraj izlaz na statistika memorije.
-x Aktivira kombinirani prikaz procesi, memorija i niti.
-t Pokaži stablo procesa (odnos oca i sina).
-s Izvođenje u načinu rada kontinuirano uzorkovanje n sekundi (pritisnite Escape za otkazivanje).
-r n Definirajte interval ažuriranja uzorkovanja u sekundama (zadano 1).
\\equipo Ispitati udaljeni tim umjesto lokalnog sustava.
-u Određuje korisnik za prijavu na daljinski upravljač.
-p Proporcionalno lozinka u naredbenom retku; ako navedete račun i izostavite -p, PsList će to interaktivno tražiti.
nombre Filtriraj za prikaz procesa koji počni s tim imenom.
-e Prisilite to točno podudaranje s nazivom procesa.
pid Ograničava izlaz na proces s tim PID-om beton (npr. pslist 53).
  Windows 11 uvodi dijeljenje zvuka putem Bluetootha s dva uređaja

Pomoću ove tablice možete na prvi pogled obuhvatiti najčešće slučajeve: Filtriranje po prefiksu, zumiranje memorije ili niti, pregled hijerarhija i revizija po PID-u, uz izvršavanje na udaljenim računalima u vašoj mreži.

Kratice i čitanje stupaca

Kako koristiti alat pslist u sustavu Windows

Za sažimanje informacija, PsList koristi standardne kratice. Poznavanje istih olakšava interpretaciju rezultata i donositi brze odluke.

Stupac smisao
pri Prioritet procesa u planeru.
Thd Broj teme imovina.
Hnd Broj ručke (identifikatori) otvoreni.
VM Virtualna memorija dodijeljen.
WS Radni set ili radni skup u RAM-u.
privatni Privatna virtualna memorija procesa.
Privatni park Vrhunac privatnog sjećanja postignut.
Greške Conteo de greške stranice.
Ne-P Veličina nestranični bazen.
Stranica Veličina paginirani bazen.
Prekidač Broj promjene konteksta.

Uz ove kratice, izlaz pokazuje CPU vrijeme y Proteklo vrijeme, što vam pomaže u otkrivanju zaglavljenih procesa ili procesa s abnormalnom potrošnjom resursa koji se predugo izvode.

Praktični primjeri korištenja

Za početak s najjednostavnijim, možete filtrirati procese čije ime počinje određenim nizom znakova. To je najbrži način da suzite ono što tražite. kada se ne sjećate PID-a.

pslist svchost

Ako već znate identifikator, ograničava izlaz na jedan proces po PID-u i provjerite svoju nit i korištenje memorije bez vizualne buke.

pslist 888

Kada tražite najpotpuniju moguću fotografiju, aktivirajte kombinirani prikaz za pregled procesa, memorije i niti u jednom prolazu.

pslist -x

Da bi se razumio odnos između roditelja i potomstva, prikaz stabla To je najbolji saveznik u razotkrivanju hijerarhija i lociranju tko je koga prizvao.

pslist -t

Način uzorkovanja: kontinuirano osvježavanje u stilu "Upravitelja zadataka"

Trebate vidjeti kako CPU i memorija fluktuiraju tijekom nekoliko sekundi? Koristite način uzorkovanja i prilagodite brzinu osvježavanja ako želite. Ovaj način rada ostaje na zaslonu dok ne istekne vrijeme ili dok ne pritisnete Escape..

pslist -s 15 -r 2

U prethodnom primjeru, PsList ostaje aktivan 15 sekundi. ažuriranje izlaza svake dvije sekundeSavršen je za lov na prolazne vrhove koje besprijekorna izvedba ne bi otkrila.

Rad na daljinu: vjerodajnice i sigurnost

Jedna od najkorisnijih funkcija je upit o procesi na udaljenim računalimaJednostavno ispred odredišta stavite dvostruku obrnutu kosu crtu i, ako je potrebno, unesite korisničko ime i lozinku koristeći sintaksu domene.

pslist \\EQUIPO-REMOTO -u DOMINIO\Administrador -p

Ako navedete korisničko ime, ali izostavite lozinku, PsList će interaktivno zatražiti lozinku., idealno kada ga pokrećete ručno i ne želite ga izložiti u povijesti konzole. U skriptama razmislite o korištenju mehanizama tajnosti za skrivanje vjerodajnica.

Imajte na umu da u mnogim organizacijama postoje pravila i zaštitni zidovi koji ograničavaju pristup brojači performansi daljinski; ako vidite poruke „pristup odbijen“, pregledajte dopuštenja i pravila prije nego što okrivite alat.

Tipičan izlaz i brzo čitanje

Kada pokrenete PsList na računalu, dobit ćete tablicu s nazivom procesa, PID-om, prioritetom, nitima, ručke, memorijski i vremenski indikatoriZa ilustraciju, ovo je uobičajeni format (vidjet ćete varijacije ovisno o verziji i lokalizaciji):

Name         Pid  Pri  Thd  Hnd   Priv      CPU Time     Elapsed Time
System         4    8   74  378      0   0:00:10.765   0:00:00.000
explorer.exe 1000  13   25  500  123456   0:01:05.234   0:39:55.421

Na nekim starim snimkama zaslona možete vidjeti oznake poput "PsList 1.26" u zaglavlju; Ne brinite ako se razlikuje od trenutnog broja verzije., budući da format stupca ostaje vrlo sličan tijekom vremena.

  Potpuni vodič za izbjegavanje prijevara s jeftinim USB pogonima i tvrdim diskovima

Kombiniranje PsLista s PsKillom i PsExecom

Nakon što ste pronašli problematični proces, možete intervenirati s drugim PsTools alatima. Tipičan tok je: popis, završetak i ponovno pokretanje. (ako je primjenjivo) na istom lokalnom ili udaljenom računalu.

pslist -t \\
pskill -t \\ -u EQUIPO\UsuarioAdmin -p  
psexec \\ -u EQUIPO\UsuarioAdmin -p  "C:\\Ruta\\Programa\\app.exe"

Modifikator -t iz PsKilla ubija proces i njegove potomke, što je ključno kada postoje zaglavljene niti. Zatim, pomoću PsExeca, možete ponovno pokrenuti izvršnu datoteku i simulirati "ponovno pokretanje" usluge ili aplikacije.

PsTools: Što je još uključeno u paket?

PsList Windows

PsList je nastao kao prvi alat većeg skupa koji danas poznajemo kao PsToolsSvi su usmjereni na lokalnu i udaljenu administraciju bez instalacije na ciljno računalo, što ih čini posebno praktičnima.

  • PsExec: pokreće procese na daljinu.
  • PsFiles: prikazuje datoteke otvorene na daljinu.
  • PsGetSid: Dobiva SID računala ili korisnika.
  • PsInfo: Navodi informacije o sustavu (uključuje vrijeme rada).
  • PsPing: mjeri performanse mreže.
  • PsKillZavršava procese prema PID-u ili imenu.
  • PsLoggedOn: : provjeri tko je prijavljen (lokalni i dijeljeni resursi).
  • PsLogList: ispisuje zapisnike događaja.
  • PsPasswd: promjena lozinki računa.
  • PsServicePregled i upravljanje uslugama.
  • PsShutdown: Isključite i ponovno pokrenite računala.
  • PsSuspend: obustavlja procese.

Nijedan ne zahtijeva posebnu instalaciju i Izvršavaju se iz konzole sa svojim opcijamaZa detaljnu pomoć za svaki od njih, dodajte modifikator -? na poziv.

PsList i DFIR: Kada "pslist" označava analizu memorije

U forenzici odgovora na incidente i memorije, termin "pslist" pojavljuje se u Nestalnost, platforma za analizu RAM dumpova. Iako je cilj drugačiji (ne analizirate aktivno računalo, već snimku stanja), Uobičajena ideja je rekonstruirati aktivnost procesa.

U Volatilnosti 2, kotacija se dobiva s pslist, skeniranje skrivenih procesa pomoću psscan i hijerarhija s pstree. Postoji također psxview suprotstaviti stavove i otkriti skrivene aspekte koji se ne mogu vidjeti jednom metodom.

# Volatility 2
vol.py -f memdump.raw --profile <perfil> pslist
vol.py -f memdump.raw --profile <perfil> psscan
vol.py -f memdump.raw --profile <perfil> pstree
vol.py -f memdump.raw --profile <perfil> psxview

Volatilnost 3 usvaja sintaksu s prefiksom platforme, tako da ćete vidjeti windows.pslist, windows.psscan o windows.pstree. Ne postoji izravni ekvivalent za psxview. u V3, iako su druga područja pokrivena specifičnim dodacima.

# Volatility 3
vol.py -f memdump.raw windows.pslist
vol.py -f memdump.raw windows.psscan
vol.py -f memdump.raw windows.pstree

Ekosustav volatilnosti upotpunjen je modulima za mreža (windows.netscan), moduli jezgre (windows.modules), usluge (windows.svcscan), datoteke (windows.filescan, windows.dumpfiles), ručke (windows.handles), DLL-ovi (windows.dlllist), naredbene linije (windows.cmdline) y registar (windows.printkey), Među ostalima.

Povezani alati koji proširuju vašu perspektivu

Ponekad je potrebno pogledati dalje od popisa procesa. Ovi uslužni programi nadopunjuju PsList kada je u pitanju dublje zalaženje.

  • tlist.exe: iz Alata za otklanjanje pogrešaka; podržava stablo (-t) i filtrira prema PID-u ili izrazima.
  • pulist.exe: iz starog Windows 2000 kompleta; vrlo osnovno, navodi ime, PID i korisnika; možete konzultirati udaljeni timovi.
  • cmdline: pokazuje komandna linija i zastavice s kojim je pokrenut proces.
  • rukovati: popisi otvorene ručke i omogućuje vam zatvaranje određenog.
  • popis dlls-ova: popisi Učitane DLL datoteke za svaki proces i njegove rute.
  • pmdumpprevrće se pamćenje procesa pomoću PID-a za naprednu analizu.
  • Process Explorer: vrlo kompletno grafičko sučelje, idealno kada ne treba ti skriptiranje.
  Simulatori tipkanja za starinske Windowse

Korisne naredbe za nestabilne dokaze u sustavu Windows

U brzom postupku prikupljanja dokaza, uz PsList, postoje i naredbe koje pomažu u bilježenju statusa sustava i mreže. Možete ih povezati u lanac u skripti da sve dobijem odjednom.

  • Pokretanje procesa uz prihvaćanje EULA-e: pslist.exe /accepteula >> Procesos.txt
  • Procesi i opća potrošnja: tasklist.exe >> Procesos_en_uso.txt
  • Stablo procesa: pslist.exe -t /accepteula >> procesos_arbol.txt
  • DLL ovisnosti po procesu: listdlls.exe /accepteula >> Procesos_dependencias.txt
  • Otvorene ručke: Handle.exe /accepteula >> Procesos_manejadores.txt
  • Aktivne veze: netstat -an | findstr /i estado listening established >> Conexiones_activas.txt
  • IP adrese i DNS: ipconfig /all y ipconfig /displaydns za konfiguracija i predmemorija.
  • ARP predmemorija: arp -a >> arp-cache.txt
  • Popis aplikacija i portova: netstat -anob > Aplicaciones_PuertosAbiertos.txt
  • Tablica ruta: netstat -r >> Tabla_rutas.txt
  • NetBIOS sesije: nbtstat -s i NetBIOS predmemorija: nbtstat -c
  • Mapirane jedinice: net use > UnidadesMapeadas.txt
  • Zajednički resursi: net share > CarpetasCompartidas.txt
  • Otvorene (udaljene) datoteke: psfile.exe /accepteula >> Ficheros_remotos_abiertos.txt
  • Sesije i prijave: net sessions, logonsessions.exe /accepteula, psloggedon.exe /accepteula
  • Tekuće usluge: sc query >> servicios_ejecucion.txt
  • Međuspremnik: pclip.exe >> Contenido_portapapeles.txt ili InsideClipboard u tekstualnom načinu rada.
  • Povijest konzole: doskey /history >> HistoricoCMD.txt

Imajte na umu da ove naredbe, poput PsList, mora se provoditi uz dužne mjere oprezaIdealno ih je savladati prije pravog forenzičkog slučaja kako se ne bi nepotrebno kontaminirao sustav.

Operativni savjeti i najbolje prakse

Ako ćete uzorkovati s -s y -r u prepunima timovima, izbjegavajte preagresivne intervale koji dodaju šum izvedbi. Prilagodite kadencu onome što želite snimiti.

U automatizaciji, razmislite o tome da ne prosljeđujete jasne lozinke; interaktivni upit ili škrinja tajni minimizirajte izloženost zapisnicima i povijesti. A kada ste zainteresirani za reviziju izlaza PsLista, preusmjerite ga u datoteku ili ga povežite s filterima.

pslist -x > informe_pslist.txt
pslist -m | findstr /i "chrome firefox"

Ako pronađete neslaganja u prijevodima ili sekundarnoj dokumentaciji, pogledajte službeni izvorni kod Sysinternalsa. PsTools zajednica i forum su vrijedni resursi. razriješiti nedoumice i pregledati stvarne slučajeve.

Vodič za brzu instalaciju i pokretanje

Na udaljeno računalo ne treba ništa instalirati: Raspakirajte PsTools na računalu i pokrenite ga iz konzoleUključite direktorij u PATH ili pozovite binarne datoteke prema njihovoj putanji. Za pomoć za PsList, dodajte -? na prizivanje.

pslist -?

Ako vaša tvrtka ima interne repozitorije ili skripte za implementaciju, Redovito ažurirajte verziju svog PsToolsaPaket uključuje HTML datoteku pomoći sa svim naredbama i opcijama, korisnu za brzo izvanmrežno korištenje.

Uobičajeni slučajevi upotrebe

Udaljeno održavanje: iz konzole, popis procesa na računalu, Ubij sve što se zaglavi s PsKillom i ponovno pokreni s PsExec-om bez otvaranja udaljene radne površine ili naglog dodirivanja osjetljivih servisa.

Revizija i skriptiranje: generiranje periodičnih izvješća pomoću izlaz u CSV ili tekst, filtrira sumnjive procese pomoću findstr-a i arhivira ih u centralnom repozitoriju za vremenske usporedbe.

PsList pruža jasan uvid u status procesa i njihovu potrošnju u stvarnom vremenu, Radi lokalno i udaljeno te se savršeno integrira s ostatkom PsToolsa.Kada također kontrolirate njegovo čitanje stupaca, kontinuirano uzorkovanje i filtriranje po imenu ili PID-u, postaje švicarski nožić za administraciju, rješavanje problema i brzu forenziku na Windowsima.

Otkrivanje rootkitova i skrivenih procesa u sustavu Windows 11
Povezani članak:
Kako otkriti rootkitove i skrivene procese u sustavu Windows 11