- PsList navodi procese u Windows s detaljima o CPU-u, memoriji, nitima i hijerarhiji, lokalno ili udaljeno.
- Ključni parametri: -t (stablo), -m (memorija), -x (potpuni prikaz), -s/-r (uzorkovanje), filteri po imenu/PID-u.
- Integrira se s PsKillom i PsExecom za poduzimanje radnji: lociranje, prekidanje i ponovno pokretanje procesa na daljinu.
Ako upravljate Windows sustavima i želite brz i pouzdan pregled onoga što se događa s vašim procesima, PsList je jedan od onih uslužnih programa koji vas mogu izvući iz problema.Dio je PsTools paketa tvrtke Sysinternals i, uz nekoliko naredbe, omogućuje detaljan pregled CPU-a, memorije, niti i hijerarhija procesa, oboje lokalno i daljinski.
Osim popisivanja procesa, PsList je izvrstan kada želite vidjeti stablo procesa, osvježavajte podatke u intervalima kao da je riječ o minijaturnom Guverner tareasa u konzoli ili filtrirajte po imenu ili PID-u. A kada ga kombinirate s PsKill i PsExec, sada možete prijeći s promatranja na djelovanje: locirajte problematični proces, sigurno ga prekinite i ponovno pokrenite u sekundama, čak i na ovlaštenim udaljenim računalima.
Što je PsList i što može prikazati?
PsList je uslužni program naredbenog retka tvrtke Sysinternals dizajniran za popis procesa i njihove ključne telemetrijeJednostavnom naredbom dobivate stupce poput prioriteta, broja niti i identifikatora, virtualna memorija i radni skup, plus kumulativno vrijeme procesora i izvršavanja za svaki proces.
Alat može raditi protiv lokalnog sustava ili protiv pristupačna udaljena opremaU potonjem slučaju, eksplicitne vjerodajnice su dopuštene ako vaša trenutna dopuštenja nisu dovoljna za čitanje brojača performansi na drugom sustavu. Dakle, s PsListom možete pokriti oboje. interaktivna dijagnoza kao automatizacija putem skripti.
pslist
pslist exp
pslist -t
pslist \\EQUIPO-REMOTO -u DOMINIO\Usuario -p Contraseña
PsList također ima specifične poglede: možete pitati detalji niti procesom, fokus na potrošnju memorija ili aktivirajte kombinirani prikaz sa svime odjednom. Kada vam je potrebna potpuna fotografija, desni prekidač štedi vam korake i briše sliku.
Instalacija, podržane verzije i kako funkcionira unutra
PsList je dio PsTools, skup konzolnih uslužnih programa tvrtke Sysinternals. Ne zahtijeva nikakvu složenu instalaciju: samo kopirajte izvršnu datoteku u mapu u vašem PATH-u ili je pozovite prema putanji. Paket je lagan i idealno za administratore koji preferiraju alate prenosiv.
Kompatibilnost: U modernim okruženjima, PsList radi na Windows 8.1 i noviji na klijentu, i u Windows Server 2012 i noviji na poslužitelju. Ove verzije jamče podršku i API-je potrebne za prikupljanje informacija koje alat otkriva.
Odakle dobiva podatke? PsList koristi brojači performansi Windows (isti oni koji pokreću PerfMon). Zahvaljujući tome, informacije su u skladu s onim što biste vidjeli u Monitor performansi samog sustava. Ova integracija također objašnjava zašto ćete u udaljenim scenarijima možda trebati autentificirati se pomoću ima privilegije prikladan.
Praktična napomena: sve vrijednosti memorije koje prikazuje PsList pojavljuju se u kilobajti (KB)Ako uspoređujete s drugim alatima koji izvještavaju u MB, imajte to na umu kako ne biste pomiješali veličine.
Sintaksa i bitni parametri
Osnovna sintaksa je fleksibilna i pokriva i jednostavne i napredne slučajeve. To su ključni parametri koje treba savladati kako bi se iskoristile prednosti:
| Parametar | Što čini |
|---|---|
pslist exp |
Filtriraj i prikazuje procese čije ime počinje s "exp" (na primjer, Istraživač). |
-d |
uzorak detalji niti procesa. |
-m |
Usredotočite se na izlaz statistika memorije. |
-x |
Kombinirani prikaz s procesi, memorija i niti. |
-t |
Pokaži stablo procesa (hijerarhija). |
-s [n] |
Pokreni u načinu rada za tipkanje Guverner tareasa n sekundi (Escape za otkazivanje). |
-r n |
Postavi brzina osvježavanja u sekundama u prethodnom načinu rada (zadano 1). |
\\equipo |
Umjesto lokalnog sustava, dobiva informacije iz udaljeni tim naznačeno (NT/Win2K+; današnji moderni Windows). |
-u |
Omogućuje vam da odredite a korisnik za prijavu na daljinski upravljač. |
-p |
Označava lozinka u naredbenom retku. Ako izostavite -p Nakon što unesete svoj račun, PsList će vas interaktivno pitati za to. |
nombre |
Filtrira i prikazuje procese koji počni s tim imenom. |
-e |
Prisilite to točno podudaranje iz naziva procesa. |
pid |
Ograničava izlaz na proces s tim PID beton (npr. pslist 53). |
S ovom bazom možete pokriti sve, od brzih filtera po imenu do Revizije specifične za PIDA ako želite obogaćenu globalnu viziju, aktivirajte -x i imat ćete podatke o procesima, memoriji i nitima u jednom prolazu.
pslist -x
pslist -m chrome
pslist -t -e explorer.exe
pslist 1234
Za udaljene scenarije, imajte na umu da su putanje domena i korisnici napisani pomoću tipične Windows sintakse: \\RAČUNALO ili DOMENA\KorisnikPrilagodite prema topologiji vaše organizacije.
Čitanje izlaza: kratice i polja
Izlaz PsLista koristi standardne kratice za sažimanje informacija. To su ključevi koje biste trebali znati za tumačenje stupaca i metrika:
| Stupac | smisao |
|---|---|
| pri | prioritet procesa u planeru. |
| Thd | Broj teme u procesu. |
| Hnd | Broj ručke otvoren. |
| VM | Virtualna memorija dodijeljen. |
| WS | Radni set (Radni skup) u fizičkoj memoriji. |
| privatni | Privatna virtualna memorija procesa. |
| Privatni park | Pico dosegnuta privatna virtualna memorija. |
| Greške | Broj greške stranice (greške na stranici). |
| Ne-P | Veličina nestranični bazen udruženi. |
| Stranica | Veličina paginirani bazen. |
| Prekidač | Promjene konteksta koje je doživjelo. |
Također ćete vidjeti podatke iz CPU vrijeme y Proteklo vrijeme, korisno za saznanje koliko je CPU vremena proces potrošio i koliko dugo se izvršava. Ova polja su ključna za pronalaženje procesa koji ostali su visjeti ili koje troše više resursa nego što je potrebno.
Način rada Upravitelja zadataka i kontinuirano osvježavanje
Ako želite pratiti jedan ili više procesa tijekom određenog vremenskog razdoblja bez potrebe da pritisnete bilo što, koristite način uzorkovanja s PsListe s -sOvaj način rada osvježava izlaz i ostaje aktivan. el tiempo koje navedete (ili dok ne pritisnete Escape). S -r definirate svakih koliko sekundi se ažurira.
pslist -s 15 -r 2
Gornji primjer pokreće PsList za 15 sekundi s osvježavanje od dvije sekundeVrlo je praktično za hvatanje kratkotrajnih skokova na CPU-u ili memoriji koje možda nećete uhvatiti u jednom pokretanju.
Rad s udaljenim timovima: vjerodajnice i sigurnost
Jedna od PsListovih snaga je njegova sposobnost da procesi upita na udaljenim računalima s kojim imate povezivost i dopuštenja. Sintaksa je jednostavna: nazivu računala ili IP adresi dodajete prefiks \\ i, ako je potrebno, navode se vjerodajnice.
pslist \\MAQUINA -u DOMINIO\Administrador -p
Ako navedete korisnik ali izostavljaš opciju -p, PsList će vas pitati za interaktivno lozinkaTo je praktično prilikom ručnog tipkanja i sprječava pohranjivanje lozinke u povijest konzole. Za pokretanje u skripta, preporučljivo ga je proslijediti kao parametar ili koristiti siguran mehanizam injekcija vjerodajnica.
Imajte na umu da na nekim mrežama trebate dopuštenje za čitanje brojači performansi udaljenog tima. Ako ih vaš račun nema, kombinacija -u y -p s privilegiranim korisnikom rješava problem i dopušta PsList pristupiti podacima.
Praktični primjeri
Da biste pronašli sve procese čije ime počinje određenim nizom znakova, filtrirajte po prefiksu i prilagodite ono što vas zanima vidjeti:
pslist svchost
Ako vas zanima određeni proces s poznatim PID-om, ograničava izlaz na taj identifikator:
pslist 888
Za potpuni snimak (procesi + memorija + niti) u jednoj naredbi, aktivirajte kombinirani prikaz:
pslist -x
A kada želite razumjeti odnos između roditeljskih i podređenih procesa, ništa ne može nadmašiti Arbol razotkriti hijerarhiju i locirati tko je koga lansirao:
pslist -t
Kombinirajte PsList s drugim PsTools alatima za djelovanje (PsKill i PsExec)
Nakon što ste locirali proces koji uzrokuje probleme, možete prijeći s promatranja na poduzmite akciju s PsKillomTipičan tok je: popisati stablo na udaljenom računalu, zabilježiti ime ili PID i kontrolirano ga zaustaviti.
pslist -t \\[EquipoRemoto o IP]
pskill -t \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] [NombreProceso o PID]
Modifikator -t u PsKillu osigurava da je konačna verzija dovršena proces i njegovi potomci (korisno kada postoje teme koje vise). Ako vam zatreba, s PsExec-om možete ponovno pokrenite binarni fajl simulirati "ponovno pokretanje" pogođene usluge ili aplikacije.
psexec \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] "C:\\Ruta\\Programa\\app.exe"
S ovom kombinacijom, u poslovnim okruženjima je lako testirati, usluge oporavka bez udaljene radne površine ili automatizirati zadatke održavanja na temelju pravila i prozora usluga.
PsList u analizi memorije (Volatilnost): dio forenzičke slagalice
U području odgovora na incidente, koncept "psliste" također se pojavljuje u Nestalnost, analitička platforma od odlagališta memorijeOvdje je ideja drugačija: ne pregledavate aktivni Windows, već snimanje RAM-a rekonstruirati što se događalo.
U Volatilnosti 2, popis procesa se dobiva pomoću vol.py ... pslist, potraga za skrivenim procesima s psscan i hijerarhija s pstree. Nadalje, postoji psxview za kontrastiranje prikaza i otkrivanje zasjenjenja. U Volatility 3, naredbe se mijenjaju u notaciju s Prefiks za Windows (na primjer, windows.pslist, windows.psscan, windows.pstree) i ne postoji izravni ekvivalent za psxview.
# Volatility 2
vol.py -f "memdump.raw" --profile <perfil> pslist
vol.py -f "memdump.raw" --profile <perfil> psscan
vol.py -f "memdump.raw" --profile <perfil> pstree
# Volatility 3
vol.py -f "memdump.raw" windows.pslist
vol.py -f "memdump.raw" windows.psscan
vol.py -f "memdump.raw" windows.pstree
Mrežni moduli, usluge, kernel moduli i još mnogo toga također imaju svoje varijante. U V2 možete koristiti netscan, modules, svcscan, filescan, handles, dlllist, cmdline, hivescan y hivelistU V3, njihovi pandani imaju oblik windows.netscan, windows.modules, windows.svcscan, windows.filescan, ručke za prozore, windows.dlllist, windows.cmdline, windows.printkey, Itd
# Ejemplos de Volatility 3
vol.py -f "memdump.raw" windows.netscan
vol.py -f "memdump.raw" windows.modules
vol.py -f "memdump.raw" windows.svcscan
vol.py -f "memdump.raw" windows.filescan
vol.py -f "memdump.raw" windows.handles --pid <PID>
vol.py -f "memdump.raw" windows.dlllist --pid <PID>
vol.py -f "memdump.raw" windows.cmdline
Za ekstrakciju, u V2 koristite memdump o dumpfiles s izlazni direktoriji, a u V3 dodatak windows.dumpfiles dopušta odlaganje PID, virtualna ili fizička adresaOvi tokovi integriraju analizu procesa s mrežni artefakti, zapisivanje i moduli, formirajući cjelovit forenzički prikaz.
Ukratko, iako "pslist" u Volatilityju nije isti uslužni program kao Sysinternalsov PsList, oni dijele cilj rekonstruirati aktivnost procesaAko radite u DFIR-u, korisno je savladati oba svijeta: analizu uživo s PsToolsima i analizu offline s Volatility 2/3 i njihovim novim nazivima dodataka.
Povezani alati za dovršetak vizije
Osim PsLista, u Windows ekosustavima postoje i uslužni programi koji dodaju perspektivu. Imajte ih pri ruci To vam daje agilnost u različitim fazama dijagnoze.
- tlist.exe: iz MS Debugging Tools. Prikazuje stablo procesa (
-t) i prihvaća filtere prema PID-u ili izrazima za naziv. - pulist.exe: iz Windows 2000 kompleta. Vrlo jednostavno; navodi ime, PID i korisnički račun, a možete i upitati udaljeni timovi.
- cmdlineotkriva argumenti i zastavice s kojim je pokrenut proces, uz rutu slike.
- rukovati: popisi otvorene ručke po procesima, s opcijama za zatvaranje određenog.
- popis dlls-ova: popis DLL-ova koje su procesi učitali, s putanjom i verzioniran.
- pmdump: prazni memoriju procesa pomoću PID, korisno za naprednu analizu.
- Process Explorer: vrlo moćno grafičko sučelje koje objedinjuje većinu ovih funkcija, idealno kada ne treba ti skriptiranje.
Dobre prakse i operativne bilješke
Za udaljena okruženja, provjerite da vatrozidovi i pravila omogućite pristup brojačima performansi i potrebnoj usluzi. Izbjeći ćete pogreške odbijenog pristupa koje nisu uzrokovane PsList-om, već konfiguracija mreže.
Prilikom automatizacije pomoću skripti, razmislite o tome kako zaštititi vjerodajniceProsljeđivanje jasnih lozinki u naredbenom retku može ih otkriti u povijesti; opcije poput interaktivni upit ili škrinje s tajnama su poželjnije u proizvodnji.
Izlaz PsLista, budući da je običan tekst, dobro se integrira s cijevi i preusmjeravanjaMožete ga poslati u datoteku, filtrirati ga pomoću findstr ili ga pretvorite u CSV s malim naknadna obrada.
pslist -x > informe_pslist.txt
pslist -m | findstr /i "chrome firefox"
A kada radite s jako opterećene ekipe, izbjegavajte preagresivne intervale osvježavanja s -rOdgovorno uzorkovanje minimizira utjecaj promatranja na osjetljive sustave.
Gdje nabaviti PsList i zajednicu
PsList dolazi u PsTools paket od Sysinternalsa, dostupnog na službenim Microsoftovim stranicama. To je paket koji se redovito ažurira i dodaje alate kao što su PsExec, PsKill, PsService, PsLoggedOn i mnogi drugi dizajnirani za lokalnu i udaljenu administraciju.
Ako želite riješiti određene nedoumice ili podijeliti iskustva, Sysinternals zajednica i forumi o Windowsima nude praktične odgovore. Pregled službene dokumentacije o brojačima performansi također vam pomaže da shvatite kako se izračunavaju određene metrike i zašto se one mogu razlikovati od onoga što vidite u drugim uslužnim programima.
Pomoću PsLista možete brzo i detaljno razumjeti koji se procesi izvode, kako troše resurse i kako su međusobno povezani, i lokalno i udaljeno. Ako tome dodate PsKill i PsExec, dovršavate ciklus: identificirate, intervenirate i ponovno pokrenete uslugu, uz održavanje kontrole i bez oslanjanja na grafičke sesije ili složeni interaktivni pristup.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.