- PsList mencantumkan proses di Windows dengan rincian CPU, memori, thread dan hierarki, secara lokal atau jarak jauh.
- Parameter utama: -t (pohon), -m (memori), -x (tampilan penuh), -s/-r (pengambilan sampel), filter berdasarkan nama/PID.
- Terintegrasi dengan PsKill dan PsExec untuk mengambil tindakan: menemukan, menghentikan, dan memulai ulang proses dari jarak jauh.
Jika Anda mengelola sistem Windows dan menginginkan tampilan cepat dan andal tentang apa yang terjadi dengan proses Anda, PsList adalah salah satu utilitas yang dapat membantu Anda keluar dari masalah.Ini adalah bagian dari paket PsTools dari Sysinternals dan, dengan beberapa perintah, memungkinkan pemeriksaan terperinci CPU, memori, utas, dan hierarki proses, keduanya secara lokal dan jarak jauh.
Selain proses pencatatan, PsList bersinar ketika Anda ingin melihat pohon proses, menyegarkan data secara berkala seolah-olah itu adalah mini Manajer Tugas di konsol, atau filter berdasarkan nama atau PID. Dan ketika Anda menggabungkannya dengan PsKill dan PsExec, Anda sekarang dapat beralih dari mengamati ke bertindak: menemukan proses yang bermasalah, menghentikannya dengan aman, dan memulainya kembali dalam hitungan detik, bahkan pada komputer jarak jauh yang sah.
Apa itu PsList dan apa yang dapat ditampilkannya?
PsList adalah utilitas baris perintah dari Sysinternals yang dirancang untuk daftar proses dan telemetri utamanyaDengan perintah sederhana, Anda mendapatkan kolom seperti prioritas, jumlah utas, dan pengidentifikasi, memori virtual dan perangkat kerja, ditambah akumulasi CPU dan waktu eksekusi untuk setiap proses.
Alat ini dapat bekerja melawan sistem lokal atau melawan peralatan jarak jauh yang dapat diaksesDalam kasus terakhir, kredensial eksplisit diperbolehkan jika izin Anda saat ini tidak cukup untuk membaca penghitung kinerja di sistem lain. Dengan demikian, dengan PsList Anda dapat mencakup keduanya diagnosis interaktif sebagai otomatisasi melalui skrip.
pslist
pslist exp
pslist -t
pslist \\EQUIPO-REMOTO -u DOMINIO\Usuario -p Contraseña
PsList juga memiliki pandangan khusus: Anda dapat bertanya detail benang berdasarkan proses, fokus pada konsumsi memori atau aktifkan tampilan gabungan dengan semuanya sekaligus. Saat Anda membutuhkan foto lengkap, tombol yang tepat menghemat langkah dan membersihkan gambar.
Instalasi, versi yang didukung, dan cara kerjanya di dalam
PsList adalah bagian dari PsTools, satu set utilitas konsol dari Sysinternals. Tidak memerlukan instalasi yang rumit: cukup salin file yang dapat dieksekusi ke folder di PATH Anda atau panggil dengan path-nya. Paket ini ringan dan ideal untuk administrator yang lebih suka alat laptop.
Kompatibilitas: Di lingkungan modern, PsList berjalan pada Windows 8.1 dan yang lebih baru pada klien, dan dalam Windows Server 2012 dan yang lebih baru di server. Versi-versi ini menjamin dukungan dan API yang diperlukan untuk mengumpulkan informasi yang diekspos oleh alat tersebut.
Dari mana ia mendapatkan datanya? PsList menggunakan penghitung kinerja Windows (yang sama yang mendukung PerfMon). Berkat ini, informasinya konsisten dengan apa yang akan Anda lihat di Monitor kinerja dari sistem itu sendiri. Integrasi ini juga menjelaskan mengapa, dalam skenario jarak jauh, Anda mungkin perlu mengautentikasi dengan memiliki hak istimewa cocok.
Catatan praktis: semua nilai memori yang ditampilkan oleh PsList muncul di kilobyte (KB)Jika Anda membandingkan dengan alat lain yang melaporkan dalam MB, ingatlah hal ini agar Anda tidak bingung dengan besarannya.
Sintaksis dan parameter penting
Sintaks dasarnya fleksibel dan mencakup kasus sederhana maupun lanjutan. Berikut adalah parameter kunci yang harus dikuasai untuk memanfaatkannya:
| Parameter | apa |
|---|---|
pslist exp |
Saring dan menampilkan proses yang namanya dimulai dengan "exp" (misalnya, Explorer). |
-d |
Sampel detail benang proses. |
-m |
Fokuskan output pada statistik memori. |
-x |
Tampilan gabungan dengan proses, memori, dan utas. |
-t |
Tunjukkan pohon proses (hirarki). |
-s [n] |
Jalankan dalam mode tipe Manajer Tugas selama n detik (Escape untuk membatalkan). |
-r n |
Mengatur tingkat penyegaran dalam hitungan detik pada mode sebelumnya (default 1). |
\\equipo |
Alih-alih sistem lokal, ia mendapatkan informasi dari peralatan jarak jauh ditunjukkan (NT/Win2K+; Windows modern saat ini). |
-u |
Memungkinkan Anda untuk menentukan a pemakai untuk masuk ke remote. |
-p |
Menunjukkan kata sandi pada baris perintah. Jika Anda menghilangkan -p Setelah memasukkan akun Anda, PsList akan menanyakannya secara interaktif. |
nombre |
Filter dan menampilkan proses yang dimulai dengan nama itu. |
-e |
Paksa itu kecocokan persis dari nama proses. |
pid |
Membatasi keluaran ke proses dengan itu PID beton (misalnya, pslist 53). |
Dengan basis ini, Anda dapat mencakup semuanya mulai dari filter cepat berdasarkan nama hingga Audit khusus PIDDan jika yang Anda inginkan adalah visi global yang diperkaya, aktifkan -x dan Anda akan memiliki data pada proses, memori, dan thread dalam satu lintasan.
pslist -x
pslist -m chrome
pslist -t -e explorer.exe
pslist 1234
Untuk skenario jarak jauh, ingatlah bahwa jalur domain dan pengguna ditulis menggunakan sintaksis Windows yang umum: \\KOMPUTER atau DOMAIN\PenggunaSesuaikan dengan topologi organisasi Anda.
Membaca output: singkatan dan bidang
Output PsList menggunakan singkatan standar untuk meringkas informasi. Ini adalah kunci yang harus Anda ketahui untuk menafsirkan kolom dan metrik:
| Kolom | Arti |
|---|---|
| Pri | Prioritas dari proses dalam perencana. |
| Td | Jumlah dari utas dalam proses. |
| Hnd | Hitungan pegangan Buka. |
| VM | Memori virtual ditugaskan. |
| WS | Set kerja (Set Kerja) dalam memori fisik. |
| priv | Memori virtual pribadi proses. |
| Priv Pk | Pico memori virtual pribadi tercapai. |
| Kesalahan | Jumlah dari kesalahan halaman (kesalahan halaman). |
| NonP | Ukuran dari kolam renang tanpa halaman terkait. |
| Halaman | Ukuran dari kumpulan halaman. |
| Cswtch | Perubahan konteks yang telah mengalami. |
Anda juga akan melihat data dari Waktu CPU y Waktu berlalu, berguna untuk mengetahui berapa banyak waktu CPU yang telah dikonsumsi proses dan berapa lama proses tersebut telah berjalan. Kolom-kolom ini penting untuk memburu proses yang mereka dibiarkan tergantung atau yang menghabiskan lebih banyak sumber daya daripada yang diperlukan.
Mode tipe Pengelola Tugas dan penyegaran berkelanjutan
Jika Anda ingin memantau satu atau lebih proses selama jangka waktu tertentu tanpa harus menekan apa pun, gunakan mode pengambilan sampel dari PsList dengan -sMode ini menyegarkan output dan tetap aktif el tiempo yang Anda tentukan (atau sampai Anda menekan Escape). Dengan -r Anda menentukan berapa detik pembaruannya.
pslist -s 15 -r 2
Contoh di atas menjalankan PsList untuk 15 detik dengan penyegaran dua detikSangat berguna untuk menangkap lonjakan CPU atau memori jangka pendek yang mungkin tidak dapat Anda tangkap dalam satu kali pengujian.
Bekerja dengan tim jarak jauh: kredensial dan keamanan
Salah satu kekuatan PsList adalah kemampuannya untuk proses kueri pada mesin jarak jauh yang dengannya Anda memiliki konektivitas dan izin. Sintaksnya sederhana: Anda mengawali nama komputer atau IP dengan \\ dan, jika perlu, kredensial ditunjukkan.
pslist \\MAQUINA -u DOMINIO\Administrador -p
Jika Anda menentukan pemakai tapi Anda menghilangkan opsi tersebut -p, PsList akan menanyakan Anda untuk kata sandi interaktifIni nyaman saat mengetik dengan tangan, dan mencegah kata sandi disimpan dalam riwayat konsol. Untuk menjalankannya di script, disarankan untuk meneruskannya sebagai parameter atau menggunakan mekanisme aman injeksi kredensial.
Ingatlah bahwa di beberapa jaringan Anda memerlukan izin untuk membaca penghitung kinerja dari tim jarak jauh. Jika akun Anda tidak memilikinya, kombinasi -u y -p dengan pengguna istimewa memecahkan masalah dan memungkinkan PsList mengakses data.
Contoh praktis
Untuk menemukan semua proses yang namanya dimulai dengan string tertentu, filter berdasarkan awalan dan menyempurnakan apa yang menarik minat Anda untuk melihat:
pslist svchost
Jika Anda tertarik pada proses tertentu dengan PID yang diketahui, membatasi keluaran ke pengenal itu:
pslist 888
Untuk snapshot lengkap (proses + memori + thread) dalam satu perintah, aktifkan tampilan gabungan:
pslist -x
Dan ketika Anda ingin memahami hubungan antara proses induk dan anak, tidak ada yang mengalahkan árbol untuk mengungkap hierarki dan menemukan siapa yang meluncurkan siapa:
pslist -t
Gabungkan PsList dengan PsTools lain untuk bertindak (PsKill dan PsExec)
Setelah Anda menemukan proses yang berperilaku tidak semestinya, Anda dapat beralih dari mengamati ke ambil tindakan dengan PsKillAlur umumnya adalah: daftarkan pohon pada mesin jarak jauh, catat nama atau PID, dan akhiri dengan cara yang terkendali.
pslist -t \\[EquipoRemoto o IP]
pskill -t \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] [NombreProceso o PID]
Pengubah -t di PsKill memastikan versi finalnya selesai proses dan keturunannya (berguna ketika ada utas yang menggantung). Jika Anda membutuhkannya, dengan PsExec Anda dapat luncurkan kembali biner untuk mensimulasikan “reboot” layanan atau aplikasi yang terpengaruh.
psexec \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] "C:\\Ruta\\Programa\\app.exe"
Dengan kombinasi ini, dalam lingkungan bisnis mudah untuk diuji, memulihkan layanan tanpa desktop jarak jauh, atau mengotomatiskan tugas pemeliharaan berdasarkan kebijakan dan jendela layanan.
Analisis memori PsList (Volatilitas): sepotong teka-teki forensik
Dalam bidang respon insiden, konsep "pslist" juga muncul di Votalitas, platform analitik dari dump memoriDi sini, idenya berbeda: Anda tidak memeriksa Windows secara langsung, tetapi Penangkapan RAM untuk merekonstruksi apa yang terjadi.
Dalam Volatilitas 2, daftar proses diperoleh dengan vol.py ... pslist, pencarian proses tersembunyi dengan psscan dan hierarki dengan pstree. Selain itu, ada psxview untuk membandingkan tampilan dan mendeteksi pengaburan. Dalam Volatility 3, perintah berubah menjadi notasi dengan Awalan Windows (misalnya, windows.pslist, windows.psscan, windows.pstree) dan tidak ada padanan langsung untuk psxview.
# Volatility 2
vol.py -f "memdump.raw" --profile <perfil> pslist
vol.py -f "memdump.raw" --profile <perfil> psscan
vol.py -f "memdump.raw" --profile <perfil> pstree
# Volatility 3
vol.py -f "memdump.raw" windows.pslist
vol.py -f "memdump.raw" windows.psscan
vol.py -f "memdump.raw" windows.pstree
Modul jaringan, layanan, modul kernel, dan lainnya juga memiliki variannya masing-masing. Di V2, Anda dapat menggunakan netscan, modules, svcscan, filescan, handles, dlllist, cmdline, hivescan y hivelistDi V3, rekan mereka mengambil bentuk windows.netscan, modul windows, windows.svcscan, pemindaian file windows, pegangan windows, daftar windows.dll, windows.cmdline, tombol cetak windows, Dll
# Ejemplos de Volatility 3
vol.py -f "memdump.raw" windows.netscan
vol.py -f "memdump.raw" windows.modules
vol.py -f "memdump.raw" windows.svcscan
vol.py -f "memdump.raw" windows.filescan
vol.py -f "memdump.raw" windows.handles --pid <PID>
vol.py -f "memdump.raw" windows.dlllist --pid <PID>
vol.py -f "memdump.raw" windows.cmdline
Untuk ekstraksi, di V2 Anda menggunakan memdump o dumpfiles dengan direktori keluaran, dan di V3 pluginnya windows.dumpfiles memungkinkan pembuangan oleh PID, alamat virtual atau fisikAlur ini mengintegrasikan analisis proses dengan artefak jaringan, pencatatan, dan modul, membentuk pandangan forensik yang lengkap.
Singkatnya, meskipun "pslist" di Volatility bukanlah utilitas yang sama dengan PsList Sysinternals, keduanya memiliki tujuan yang sama merekonstruksi aktivitas prosesJika Anda bekerja di DFIR, ada baiknya menguasai kedua dunia: analisis langsung dengan PsTools dan analisis Pengunjung dengan Volatility 2/3 dan nama plugin baru mereka.
Alat terkait untuk melengkapi visi
Selain PsList, ada utilitas dalam ekosistem Windows yang menambah perspektif. Siapkan saja Memberikan Anda kelincahan dalam berbagai fase diagnosis.
- tlist.exe: dari Alat Debugging MS. Menampilkan pohon proses (
-t) dan menerima filter berdasarkan PID atau ekspresi untuk nama tersebut. - pulist.exe: dari kit Windows 2000. Sangat sederhana; mencantumkan nama, PID, dan akun pengguna, dan Anda dapat menanyakan tim jarak jauh.
- cmdline: mengungkapkan argumen dan bendera yang digunakan untuk meluncurkan suatu proses, selain rute gambar.
- menangani: daftar pegangan terbuka berdasarkan proses, dengan opsi untuk menutup proses tertentu.
- daftar dll: daftar DLL yang dimuat oleh proses, dengan jalur dan berversi.
- pmdump: membuang memori suatu proses dengan PID, berguna untuk analisis tingkat lanjut.
- Process Explorer: : antarmuka grafis yang sangat kuat yang menyatukan sebagian besar fungsi ini, ideal ketika kamu tidak butuh skrip.
Praktik baik dan catatan operasional
Untuk lingkungan terpencil, pastikan bahwa firewall dan kebijakan memungkinkan akses ke penghitung kinerja dan layanan yang diperlukan. Anda akan menghindari kesalahan akses ditolak yang bukan disebabkan oleh PsList, melainkan oleh konfigurasi dari jaringan.
Saat melakukan otomatisasi dengan skrip, pertimbangkan bagaimana melindungi kredensialMelewati kata sandi yang jelas pada baris perintah dapat mengeksposnya dalam riwayat; opsi seperti perintah interaktif atau peti rahasia lebih disukai dalam produksi.
Output dari PsList, yang berupa teks biasa, terintegrasi dengan baik dengan pipa dan pengalihanAnda dapat mengirimkannya ke file, memfilternya dengan findstr atau mengubahnya menjadi CSV dengan yang kecil pengolahan pasca.
pslist -x > informe_pslist.txt
pslist -m | findstr /i "chrome firefox"
Dan ketika Anda bekerja dengan tim yang sangat terbebani, hindari interval penyegaran yang terlalu agresif dengan -rPengambilan sampel yang bertanggung jawab meminimalkan dampak pengamatan pada sistem yang sensitif.
Dimana mendapatkan PsList dan komunitas
PsList hadir di Paket PsTools dari Sysinternals, dapat diakses dari situs web resmi Microsoft. Ini adalah rangkaian yang diperbarui secara berkala dan menambahkan alat-alat seperti PsExec, PsKill, PsService, PsLoggedOn dan banyak lainnya yang dirancang untuk administrasi lokal dan jarak jauh.
Jika Anda ingin menyelesaikan keraguan tertentu atau berbagi pengalaman, Komunitas Sysinternals dan forum bertema Windows menawarkan jawaban praktis. Meninjau dokumentasi penghitung kinerja resmi juga membantu Anda memahami bagaimana cara menghitungnya metrik tertentu dan mengapa metrik tersebut mungkin berbeda dari apa yang Anda lihat di utilitas lain.
Dengan PsList, Anda memiliki cara cepat untuk memahami secara rinci proses apa yang sedang berjalan, bagaimana proses tersebut mengonsumsi sumber daya, dan bagaimana proses tersebut saling berhubungan, baik secara lokal maupun jarak jauh. Jika Anda menambahkan PsKill dan PsExec ke dalamnya, Anda menyelesaikan siklus: mengidentifikasi, mengintervensi, dan memulai kembali layanan, sambil tetap mempertahankan kontrol dan tanpa bergantung pada sesi grafis atau akses interaktif yang rumit.
Penulis yang bersemangat tentang dunia byte dan teknologi secara umum. Saya suka berbagi ilmu melalui tulisan, dan itulah yang akan saya lakukan di blog ini, menunjukkan kepada Anda semua hal paling menarik tentang gadget, perangkat lunak, perangkat keras, tren teknologi, dan banyak lagi. Tujuan saya adalah membantu Anda menavigasi dunia digital dengan cara yang sederhana dan menghibur.