- PsList listet Prozesse in Windows mit Details zu CPU, Speicher, Threads und Hierarchie, lokal oder remote.
- Wichtige Parameter: -t (Baum), -m (Speicher), -x (Vollansicht), -s/-r (Sampling), Filter nach Name/PID.
- Integriert sich mit PsKill und PsExec, um Maßnahmen zu ergreifen: Prozesse aus der Ferne lokalisieren, beenden und neu starten.
Wenn Sie Windows-Systeme verwalten und einen schnellen und zuverlässigen Überblick über die Vorgänge in Ihren Prozessen wünschen, PsList ist eines dieser Dienstprogramme, die Ihnen aus der Patsche helfen können.. Es ist Teil des PsTools-Pakets von Sysinternals und mit einer Handvoll Befehle, ermöglicht eine detaillierte Überprüfung von CPU, Speicher, Threads und Prozesshierarchien, sowohl lokal und remote.
Neben der Auflistung von Prozessen glänzt PsList, wenn Sie die Prozessbaum, aktualisieren Sie die Daten in Intervallen, als wäre es ein Mini Task-Manager in der Konsole oder Filter nach Name oder PID. Und wenn Sie es kombinieren mit PsKill und PsExeckönnen Sie jetzt vom Beobachten zum Handeln übergehen: Suchen Sie einen problematischen Prozess, beenden Sie ihn sicher und starten Sie ihn in Sekundenschnelle neu, sogar auf autorisierten Remotecomputern.
Was ist PsList und was kann es anzeigen?
PsList ist ein Kommandozeilenprogramm von Sysinternals, das entwickelt wurde, um Listen Sie Prozesse und ihre wichtigsten Telemetriedaten auf. Mit einem einfachen Befehl erhalten Sie Spalten wie Priorität, Anzahl der Threads und Kennungen, virtueller Speicher und Arbeitssatz sowie kumulierte CPU- und Ausführungszeiten für jeden Prozess.
Das Tool kann gegen das lokale System oder gegen ein zugängliche Remote-Geräte. Im letzteren Fall sind explizite Anmeldeinformationen zulässig, wenn Ihre aktuellen Berechtigungen nicht ausreichen, um Leistungsindikatoren auf dem anderen System zu lesen. Mit PsList können Sie also beides abdecken interaktive Diagnose als Automatisierung über Skripte.
pslist
pslist exp
pslist -t
pslist \\EQUIPO-REMOTO -u DOMINIO\Usuario -p Contraseña
PsList hat auch spezifische Ansichten: Sie können fragen Threaddetails nach Prozess, Fokus auf den Verbrauch von Speicher oder aktivieren Sie eine kombinierte Ansicht mit allem auf einmal. Wenn Sie ein komplettes Foto benötigen, spart Ihnen der rechte Schalter Schritte und löscht das Bild.
Installation, unterstützte Versionen und Funktionsweise im Inneren
PsList ist Teil von PsTools, eine Reihe von Konsolen-Dienstprogrammen von Sysinternals. Es erfordert keine komplexe Installation: Kopieren Sie die ausführbare Datei einfach in einen Ordner in Ihrem PATH oder rufen Sie sie über ihren Pfad auf. Das Paket ist leicht und ideal für Administratoren die Werkzeuge bevorzugen portátiles.
Kompatibilität: In modernen Umgebungen läuft PsList auf Windows 8.1 und höher auf dem ClientUnd in Windows Server 2012 und höher auf dem Server. Diese Versionen garantieren die Unterstützung und APIs, die zum Sammeln der vom Tool bereitgestellten Informationen erforderlich sind.
Woher bezieht es seine Daten? PsList verwendet die Leistungsindikatoren Windows (die gleichen, die PerfMon betreiben). Dank dessen stimmen die Informationen mit dem überein, was Sie in der Leistungsüberwachung des Systems selbst. Diese Integration erklärt auch, warum Sie in Remote-Szenarien möglicherweise mit einem hat Privilegien ausreichend.
Ein praktischer Hinweis: Alle von PsList angezeigten Speicherwerte erscheinen in Kilobyte (KB)Wenn Sie mit anderen Tools vergleichen, die in MB berichten, denken Sie daran, damit Sie die Größenordnungen nicht verwechseln.
Syntax und wesentliche Parameter
Die grundlegende Syntax ist flexibel und deckt sowohl einfache als auch fortgeschrittene Fälle ab. Dies sind die Schlüsselparameter die man beherrschen sollte, um davon zu profitieren:
| Parameter | Was macht |
|---|---|
pslist exp |
Filter und zeigt Prozesse an, deren Name mit „exp“ beginnt (zum Beispiel Explorer). |
-d |
Probe Threaddetails des Prozesses. |
-m |
Konzentrieren Sie die Ausgabe auf Speicherstatistiken. |
-x |
Kombinierte Ansicht mit Prozesse, Speicher und Threads. |
-t |
Zeige den Prozessbaum (Hierarchie). |
-s [n] |
Im Typmodus ausführen Task-Manager für n Sekunden (Escape zum Abbrechen). |
-r n |
Legen Sie die Bildwiederholfrequenz in Sekunden im vorherigen Modus (Standard 1). |
\\equipo |
Statt des lokalen Systems erhält es die Informationen vom Fernausrüstung angegeben (NT/Win2K+; modernes Windows von heute). |
-u |
Ermöglicht Ihnen die Angabe eines Benutzer um sich bei der Fernbedienung anzumelden. |
-p |
Zeigt die an Kennwort in der Befehlszeile. Wenn Sie -p Nachdem Sie Ihr Konto eingegeben haben, werden Sie von PsList interaktiv danach gefragt. |
nombre |
Filtert und zeigt Prozesse an, die beginnen mit diesem Namen. |
-e |
Erzwingen genaue Übereinstimmung aus dem Prozessnamen. |
pid |
Beschränkt die Ausgabe auf den Prozess mit diesem PID Beton (z. B. pslist 53). |
Mit dieser Basis können Sie alles abdecken, von Schnellfiltern nach Namen bis hin zu PID-spezifische AuditsUnd wenn Sie eine erweiterte globale Vision wünschen, aktivieren Sie -x und Sie erhalten Daten zu Prozessen, Speicher und Threads in einem Durchgang.
pslist -x
pslist -m chrome
pslist -t -e explorer.exe
pslist 1234
Denken Sie bei Remote-Szenarien daran, dass Domänenpfade und Benutzer mit der typischen Windows-Syntax geschrieben werden: \\COMPUTER oder DOMÄNE\Benutzer. Passen Sie es entsprechend der Topologie Ihrer Organisation an.
Lesen der Ausgabe: Abkürzungen und Felder
Die PsList-Ausgabe verwendet Standardabkürzungen, um Informationen zu verdichten. Dies sind die Schlüssel, die Sie kennen sollten So interpretieren Sie Spalten und Metriken:
| Spalte | Bedeutung |
|---|---|
| Pri | Priorität des Prozesses im Planer. |
| Thd | Anzahl der Drahtlos in dem Prozess. |
| Hnd | Anzahl der Griffe öffnen. |
| VM | Virtueller Speicher zugewiesen. |
| WS | Arbeitssatz (Arbeitssatz) im physischen Speicher. |
| priv | Privater virtueller Speicher des Prozesses. |
| Priv Pk | Pico des privaten virtuellen Speichers erreicht. |
| Fehler | Anzahl der Seitenfehler (Seitenfehler). |
| NichtP | Größe nicht ausgelagerter Pool verbunden. |
| Seite | Größe paginierter Pool. |
| Cswtch | Kontextänderungen das hat erlebt. |
Sie sehen auch Daten von CPU-Zeit y Verstrichene Zeit, nützlich, um zu wissen, wie viel CPU-Zeit der Prozess verbraucht hat und wie lange er läuft. Diese Felder sind wichtig, um Prozesse aufzuspüren, die sie bleiben hängen oder die mehr Ressourcen verbrauchen als nötig.
Task-Manager-Modus und kontinuierliche Aktualisierung
Wenn Sie einen oder mehrere Prozesse über einen bestimmten Zeitraum hinweg überwachen möchten, ohne etwas drücken zu müssen, Sampling-Modus verwenden von PsList mit -sDieser Modus aktualisiert die Ausgabe und bleibt aktiv die zeit die Sie angeben (oder bis Sie die Escape-Taste drücken). Mit -r Sie legen fest, alle wie viele Sekunden es aktualisiert wird.
pslist -s 15 -r 2
Das obige Beispiel führt PsList für 15 Sekunden mit einem Zwei-Sekunden-AktualisierungEs ist sehr praktisch, um kurzzeitige CPU- oder Speicherspitzen zu erfassen, die Sie bei einem einzigen Durchlauf möglicherweise nicht erfassen.
Arbeiten mit Remote-Teams: Anmeldeinformationen und Sicherheit
Eine der Stärken von PsList ist die Fähigkeit, Abfrageprozesse auf Remote-Rechnern mit dem Sie Konnektivität und Berechtigungen haben. Die Syntax ist einfach: Sie stellen dem Computernamen oder der IP-Adresse \\ und ggf. Anmeldeinformationen angegeben.
pslist \\MAQUINA -u DOMINIO\Administrador -p
Wenn Sie angeben Benutzer aber Sie lassen die Option weg -p, PsList wird Sie nach dem Passwort interaktiv. Dies ist praktisch, wenn Sie von Hand tippen, und verhindert, dass das Passwort im Konsolenverlauf gespeichert wird. Zum Ausführen in Skripte, ist es ratsam, es als Parameter zu übergeben oder ein sicherer Mechanismus Anmeldeinformationseinfügung.
Beachten Sie, dass Sie in manchen Netzwerken eine Leseberechtigung benötigen. Leistungsindikatoren des Remote-Teams. Wenn Ihr Konto nicht über sie verfügt, die Kombination aus -u y -p mit einem privilegierten Benutzer löst das Problem und ermöglicht PsList auf die Daten zugreifen.
Praktische Beispiele
Um alle Prozesse zu finden, deren Name mit einer bestimmten Zeichenfolge beginnt, filtern Sie nach Präfix und Optimieren Sie, was Sie interessiert finden Sie unter:
pslist svchost
Wenn Sie an einem bestimmten Prozess mit bekannter PID interessiert sind, begrenzt die Ausgabe zu dieser Kennung:
pslist 888
Für einen vollständigen Snapshot (Prozesse + Speicher + Threads) in einem einzigen Befehl aktivieren Sie die kombinierte Ansicht:
pslist -x
Und wenn Sie die Beziehung zwischen übergeordneten und untergeordneten Prozessen verstehen möchten, gibt es nichts Besseres als die Baum um die Hierarchie aufzudecken und herauszufinden, wer wen ins Leben gerufen hat:
pslist -t
Kombinieren Sie PsList mit anderen PsTools, um zu agieren (PsKill und PsExec).
Sobald Sie den fehlerhaften Prozess lokalisiert haben, können Sie von der Beobachtung zur Handeln Sie mit PsKillDer typische Ablauf ist: Listen Sie den Baum auf dem Remotecomputer auf, notieren Sie sich den Namen oder die PID und beenden Sie ihn auf kontrollierte Weise.
pslist -t \\[EquipoRemoto o IP]
pskill -t \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] [NombreProceso o PID]
Der Modifikator -t in PsKill stellt sicher, dass die endgültige Version fertiggestellt ist Prozess und seine Nachkommen (nützlich, wenn Threads hängen). Wenn Sie es brauchen, können Sie mit PsExec Starten Sie die Binärdatei neu um einen „Neustart“ des betroffenen Dienstes oder der betroffenen Anwendung zu simulieren.
psexec \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] "C:\\Ruta\\Programa\\app.exe"
Mit dieser Kombination ist es in Geschäftsumgebungen einfach zu testen, Dienste wiederherstellen ohne Remote-Desktop oder automatisieren Sie Wartungsaufgaben basierend auf Richtlinien und Servicefenstern.
PsList in der Speicheranalyse (Volatilität): ein Teil des forensischen Puzzles
Im Bereich der Incident Response taucht das Konzept der „pslist“ auch in Flüchtigkeit, die Analyseplattform von Speicherauszüge. Hier ist die Idee anders: Sie untersuchen kein Live-Windows, sondern ein RAM-Erfassung um zu rekonstruieren, was passiert ist.
In Volatility 2 erhält man die Prozessliste mit vol.py ... pslist, die Suche nach verborgenen Prozessen mit psscan und die Hierarchie mit pstree. Darüber hinaus gibt es psxview um Ansichten zu kontrastieren und Verdeckungen zu erkennen. In Volatility 3 ändern sich die Befehle in die Notation mit Windows-Präfix (zum Beispiel, windows.pslist, windows.psscan, windows.pstree) und es gibt kein direktes Äquivalent zu psxview.
# Volatility 2
vol.py -f "memdump.raw" --profile <perfil> pslist
vol.py -f "memdump.raw" --profile <perfil> psscan
vol.py -f "memdump.raw" --profile <perfil> pstree
# Volatility 3
vol.py -f "memdump.raw" windows.pslist
vol.py -f "memdump.raw" windows.psscan
vol.py -f "memdump.raw" windows.pstree
Netzwerkmodule, Dienste, Kernelmodule und mehr haben ebenfalls ihre Varianten. In V2 können Sie netscan, modules, svcscan, filescan, handles, dlllist, cmdline, hivescan y hivelistIn V3 haben ihre Gegenstücke die Form windows.netscan, windows.modules, windows.svcscan, windows.filescan, windows.handles, windows.dlllist, windows.cmdline, windows.printkey, usw.
# Ejemplos de Volatility 3
vol.py -f "memdump.raw" windows.netscan
vol.py -f "memdump.raw" windows.modules
vol.py -f "memdump.raw" windows.svcscan
vol.py -f "memdump.raw" windows.filescan
vol.py -f "memdump.raw" windows.handles --pid <PID>
vol.py -f "memdump.raw" windows.dlllist --pid <PID>
vol.py -f "memdump.raw" windows.cmdline
Zur Extraktion verwenden Sie in V2 memdump o dumpfiles mit Ausgabeverzeichnisse, und in V3 das Plugin windows.dumpfiles ermöglicht das Dumping durch PID, virtuelle oder physikalische AdresseDiese Abläufe integrieren die Prozessanalyse mit Netzwerkartefakte, Protokollierung und Module, wodurch eine vollständige forensische Ansicht entsteht.
Kurz gesagt, obwohl "pslist" in Volatility nicht dasselbe Dienstprogramm ist wie Sysinternals' PsList, teilen sie das Ziel von Rekonstruieren Sie die ProzessaktivitätWenn Sie im DFIR-Bereich arbeiten, ist es sinnvoll, beide Welten zu beherrschen: Live-Analyse mit PsTools und Analyse Offline-Bereich. mit Volatility 2/3 und ihren neuen Plugin-Namen.
Zugehörige Tools zur Vervollständigung der Vision
Zusätzlich zu PsList gibt es in Windows-Ökosystemen Dienstprogramme, die Perspektive hinzufügen. Halten Sie sie bereit Es gibt Ihnen Flexibilität in verschiedenen Phasen der Diagnose.
- tlist.exe: von MS Debugging Tools. Zeigt den Prozessbaum an (
-t) und akzeptiert Filter nach PID oder Ausdrücken für den Namen. - pulist.exe: aus dem Windows 2000-Kit. Sehr einfach; listet Name, PID und Benutzerkonto auf, und Sie können abfragen Remote-Teams.
- Befehlszeile: enthüllt Argumente und Flags mit dem ein Prozess gestartet wurde, sowie eine Image-Route.
- Griff: Listen offene Griffe nach Prozessen, mit Optionen zum Schließen eines bestimmten Prozesses.
- DLL-Listen: Liste der von Prozessen geladenen DLLs mit Pfad und versioniert.
- pmdump: erstellt einen Speicherauszug eines Prozesses durch PID, nützlich für erweiterte Analysen.
- Process Explorer: eine sehr leistungsstarke grafische Oberfläche, die die meisten dieser Funktionen vereint, ideal, wenn Sie brauchen kein Skripting.
Gute Praktiken und Betriebshinweise
Stellen Sie bei Remote-Umgebungen sicher, dass die Firewalls und Richtlinien Zugriff auf die Leistungsindikatoren und den erforderlichen Dienst ermöglichen. Sie vermeiden Zugriffsverweigerungsfehler, die nicht auf PsList zurückzuführen sind, sondern auf Konfiguration des Netzwerks.
Berücksichtigen Sie bei der Automatisierung mit Skripten, wie Anmeldeinformationen schützen. Die Eingabe eindeutiger Passwörter in der Befehlszeile kann dazu führen, dass diese im Verlauf angezeigt werden. Optionen wie die interaktive Eingabeaufforderung oder Truhen mit Geheimnissen sind in der Produktion vorzuziehen.
Die Ausgabe von PsList ist einfacher Text und lässt sich gut integrieren mit Pipes und Weiterleitungen. Sie können es in eine Datei senden, filtern mit findstr oder konvertieren Sie es mit einem kleinen Nachbearbeitung.
pslist -x > informe_pslist.txt
pslist -m | findstr /i "chrome firefox"
Und wenn Sie mit stark besetzte Teams, vermeiden Sie zu aggressive Aktualisierungsintervalle mit -rDurch verantwortungsvolles Probenehmen werden die Auswirkungen der Beobachtung auf empfindliche Systeme minimiert.
Wo Sie PsList und Community erhalten
PsList kommt in der PsTools-Paket von Sysinternals, zugänglich über die offiziellen Websites von Microsoft. Es handelt sich um eine Suite, die regelmäßig aktualisiert wird und Tools wie PsExec, PsKill, PsService, PsLoggedOn und viele andere, die für die lokale und Remote-Verwaltung konzipiert sind.
Wenn Sie bestimmte Zweifel ausräumen oder Erfahrungen austauschen möchten, Sysinternals-Community und Windows-Foren bieten praktische Antworten. Die Überprüfung der offiziellen Leistungsindikatordokumentation hilft Ihnen auch zu verstehen wie sie berechnet werden bestimmte Messwerte und warum sie sich möglicherweise von denen anderer Dienstprogramme unterscheiden.
Mit PsList können Sie schnell und detailliert nachvollziehen, welche Prozesse ausgeführt werden, wie sie Ressourcen verbrauchen und in welcher Beziehung sie zueinander stehen, sowohl lokal als auch remote. Wenn Sie PsKill und PsExec hinzufügen,, schließen Sie den Zyklus ab: Identifizieren, Eingreifen und Neustarten eines Dienstes, während Sie die Kontrolle behalten und ohne auf grafische Sitzungen oder komplexen interaktiven Zugriff angewiesen zu sein.
Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.