- PsList geeft een lijst van processen in Windows met details over CPU, geheugen, threads en hiërarchie, lokaal of op afstand.
- Belangrijkste parameters: -t (boom), -m (geheugen), -x (volledig overzicht), -s/-r (sampling), filters op naam/PID.
- Integreert met PsKill en PsExec om actie te ondernemen: processen op afstand lokaliseren, beëindigen en opnieuw starten.
Als u Windows-systemen beheert en snel en betrouwbaar inzicht wilt in wat er met uw processen gebeurt, PsList is een van die hulpprogramma's die u uit de problemen kunnen helpen.Het maakt deel uit van het PsTools-pakket van Sysinternals en met een handvol commando's, maakt gedetailleerde inspectie van CPU, geheugen, threads en proceshiërarchieën mogelijk, beide lokaal en op afstand.
Naast het opsommen van processen, blinkt PsList uit als u de procesboom, vernieuw de gegevens met tussenpozen alsof het een mini- Taakmanager in de console, of filter op naam of PID. En wanneer u het combineert met PsKill en PsExeckunt u nu van observeren naar handelen overgaan: een problematisch proces lokaliseren, het veilig beëindigen en het binnen enkele seconden opnieuw opstarten, zelfs op geautoriseerde externe computers.
Wat is PsList en wat kan het weergeven?
PsList is een opdrachtregelhulpprogramma van Sysinternals dat is ontworpen om lijstprocessen en hun belangrijkste telemetrieMet een eenvoudige opdracht krijgt u kolommen zoals prioriteit, aantal threads en identifiers, virtueel geheugen en werkende set, plus de totale CPU- en uitvoeringstijden voor elk proces.
De tool kan werken tegen het lokale systeem of tegen een toegankelijke apparatuur op afstandIn het laatste geval zijn expliciete referenties toegestaan als uw huidige rechten niet voldoende zijn om prestatiemeters op het andere systeem te lezen. Met PsList kunt u dus beide problemen oplossen. interactieve diagnose als automatisering via scripts.
pslist
pslist exp
pslist -t
pslist \\EQUIPO-REMOTO -u DOMINIO\Usuario -p Contraseña
PsList heeft ook specifieke weergaven: u kunt vragen draaddetails door middel van het proces, focus op de consumptie van geheugen of activeer een gecombineerde weergave met alles tegelijk. Wanneer u een complete foto nodig hebt, bespaart de rechterschakelaar u stappen en maakt het beeld duidelijk.
Installatie, ondersteunde versies en hoe het binnenin werkt
PsList is onderdeel van PsTools, een set consolehulpprogramma's van Sysinternals. Er is geen ingewikkelde installatie vereist: kopieer het uitvoerbare bestand gewoon naar een map in je PATH of roep het aan via het pad. Het pakket is lichtgewicht en ideaal voor beheerders die de voorkeur geven aan gereedschap portable.
Compatibiliteit: In moderne omgevingen draait PsList op Windows 8.1 en later op clienten in Windows Server 2012 en later op de server. Deze versies garanderen de ondersteuning en API's die nodig zijn om de informatie te verzamelen die de tool openbaar maakt.
Waar haalt het zijn gegevens vandaan? PsList gebruikt de prestatietellers Windows (dezelfde die PerfMon aandrijven). Hierdoor is de informatie consistent met wat u in de Prestatiemeter van het systeem zelf. Deze integratie verklaart ook waarom u zich in externe scenario's mogelijk moet authenticeren met een heeft privileges geschikt.
Een praktische opmerking: alle geheugenwaarden die door PsList worden weergegeven, verschijnen in kilobytes (KB)Houd hier rekening mee als u vergelijkt met andere tools die in MB rapporteren, zodat u de omvang niet door elkaar haalt.
Syntaxis en essentiële parameters
De basissyntaxis is flexibel en bestrijkt zowel eenvoudige als geavanceerde gevallen. Dit zijn de belangrijkste parameters die je moet beheersen om er je voordeel mee te kunnen doen:
| parameter | Wat doet |
|---|---|
pslist exp |
Filteren en geeft processen weer waarvan de naam begint met "exp" (bijvoorbeeld Explorer). |
-d |
monster draaddetails van proces. |
-m |
Richt de output op geheugenstatistieken. |
-x |
Gecombineerd uitzicht met processen, geheugen en threads. |
-t |
Toon de procesboom (hiërarchie). |
-s [n] |
Uitvoeren in typemodus Taakmanager gedurende n seconden (Escape om te annuleren). |
-r n |
Stel de verversingssnelheid in seconden in de vorige modus (standaard 1). |
\\equipo |
In plaats van het lokale systeem krijgt het de informatie van de afstandsbediening aangegeven (NT/Win2K+; het moderne Windows van vandaag). |
-u |
Hiermee kunt u een specificeren gebruiker om in te loggen op de afstandsbediening. |
-p |
geeft de aan wachtwoord op de opdrachtregel. Als u -p Nadat u uw account hebt ingevoerd, zal PsList u er interactief om vragen. |
nombre |
Filtert en geeft processen weer die beginnen met die naam. |
-e |
Forceer het exacte match van de procesnaam. |
pid |
Beperkt de uitvoer tot het proces met dat PID beton (bijv. pslist 53). |
Met deze basis kunt u alles dekken, van snelle filters op naam tot PID-specifieke auditsEn als u een verrijkte mondiale visie wilt, activeer dan -x en u beschikt in één keer over gegevens over processen, geheugen en threads.
pslist -x
pslist -m chrome
pslist -t -e explorer.exe
pslist 1234
Houd er bij externe scenario's rekening mee dat domeinpaden en gebruikers worden geschreven volgens de typische Windows-syntaxis: \\COMPUTER of DOMEIN\GebruikerPas het aan op basis van de topologie van uw organisatie.
Uitvoer lezen: afkortingen en velden
De uitvoer van PsList gebruikt standaardafkortingen om informatie te condenseren. Dit zijn de sleutels die je moet kennen kolommen en statistieken interpreteren:
| kolom | Betekenis |
|---|---|
| Pri | Prioriteit van het proces in de planner. |
| thd | Aantal threads in het proces. |
| Hand | Aantal handgrepen Open. |
| VM | Virtueel geheugen toegewezen. |
| WS | Werkset (Werkset) in het fysieke geheugen. |
| Priv | Privé virtueel geheugen van proces. |
| Privé Pk | Piek van het privé virtuele geheugen bereikt. |
| Storingen | Aantal paginafouten (paginafouten). |
| Niet-P | De grootte van niet-gepagineerde pool geassocieerd. |
| Pagina | De grootte van paginagewijs zwembad. |
| Cswtch | Contextveranderingen die heeft meegemaakt. |
U ziet ook gegevens van CPU-tijd y Verstreken tijd, handig om te weten hoeveel CPU-tijd het proces heeft verbruikt en hoe lang het al loopt. Deze velden zijn essentieel voor het opsporen van processen die ze blijven hangen of die meer hulpbronnen verbruiken dan nodig is.
Taakbeheertypemodus en continue vernieuwing
Als u een of meer processen gedurende een bepaalde tijd wilt bewaken zonder dat u ergens op hoeft te drukken, gebruik bemonsteringsmodus van PsList met -s. Deze modus ververst de uitvoer en blijft actief de tijd die u opgeeft (of totdat u op Escape drukt). Met -r U bepaalt hoeveel seconden deze wordt bijgewerkt.
pslist -s 15 -r 2
Het bovenstaande voorbeeld voert PsList uit voor 15 seconden met een twee seconden verversenDit is erg handig om kortdurende CPU- of geheugenpieken vast te leggen die u mogelijk niet in één keer opmerkt.
Werken met externe teams: referenties en beveiliging
Een van de sterke punten van PsList is het vermogen om queryprocessen op externe machines waarmee u connectiviteit en rechten hebt. De syntaxis is eenvoudig: u voegt de computernaam of het IP-adres toe met \\ en indien nodig worden de referenties vermeld.
pslist \\MAQUINA -u DOMINIO\Administrador -p
Als u specificeert gebruiker maar je laat de optie weg -p, PsList zal u vragen om de wachtwoord interactiefDit is handig bij het handmatig typen en voorkomt dat het wachtwoord in de consolegeschiedenis wordt opgeslagen. Om in te voeren scriptsis het raadzaam om het als parameter door te geven of een veilig mechanisme injectie van geloofsbrieven.
Houd er rekening mee dat u op sommige netwerken toestemming nodig hebt om te lezen prestatietellers van het externe team. Als uw account deze niet heeft, is de combinatie van -u y -p met een bevoorrechte gebruiker lost het probleem op en staat PsList toe toegang tot de gegevens.
Praktische voorbeelden
Om alle processen te vinden waarvan de naam begint met een specifieke tekenreeks, filtert u op voorvoegsel en verfijn wat je interesseert zien:
pslist svchost
Als u geïnteresseerd bent in een specifiek proces met een bekende PID, beperkt de output naar die identificatie:
pslist 888
Voor een volledige momentopname (processen + geheugen + threads) in één enkele opdracht activeert u de gecombineerde weergave:
pslist -x
En als je de relatie tussen ouder- en kindprocessen wilt begrijpen, is er niets beter dan de boom om de hiërarchie te ontrafelen en te achterhalen wie wie heeft gelanceerd:
pslist -t
Combineer PsList met andere PsTools om te handelen (PsKill en PsExec)
Zodra u het proces dat zich misdraagt heeft gelokaliseerd, kunt u van observeren naar onderneem actie met PsKillDe typische werkwijze is: maak een lijst van de boom op de externe machine, noteer de naam of PID en beëindig de boom op een gecontroleerde manier.
pslist -t \\[EquipoRemoto o IP]
pskill -t \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] [NombreProceso o PID]
De modificator -t in PsKill zorgt ervoor dat de definitieve versie wordt voltooid proces en zijn nakomelingen (handig als er threads hangen). Als je het nodig hebt, kun je met PsExec herstart het binaire bestand om een 'herstart' van de getroffen service of applicatie te simuleren.
psexec \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] "C:\\Ruta\\Programa\\app.exe"
Met deze combinatie is het in zakelijke omgevingen eenvoudig om te testen, diensten herstellen zonder extern bureaublad, of automatiseer onderhoudstaken op basis van beleid en servicevensters.
PsList in geheugenanalyse (Volatiliteit): een stukje van de forensische puzzel
Op het gebied van incidentrespons komt het concept 'pslist' ook voor in Volatiliteit, het analyseplatform van geheugendumpsHier is het idee anders: u inspecteert geen levend Windows, maar een RAM-opname om te reconstrueren wat er gebeurde.
In Volatiliteit 2 wordt de proceslijst verkregen met vol.py ... pslist, de zoektocht naar verborgen processen met psscan en de hiërarchie met pstree. Daarnaast is er psxview om weergaven te contrasteren en verduisteringen te detecteren. In Volatility 3 veranderen de commando's naar de notatie met Windows-voorvoegsel (bijvoorbeeld windows.pslist, windows.psscan, windows.pstree) en er is geen direct equivalent voor psxview.
# Volatility 2
vol.py -f "memdump.raw" --profile <perfil> pslist
vol.py -f "memdump.raw" --profile <perfil> psscan
vol.py -f "memdump.raw" --profile <perfil> pstree
# Volatility 3
vol.py -f "memdump.raw" windows.pslist
vol.py -f "memdump.raw" windows.psscan
vol.py -f "memdump.raw" windows.pstree
Netwerkmodules, services, kernelmodules en meer hebben ook hun varianten. In V2 kun je: netscan, modules, svcscan, filescan, handles, dlllist, cmdline, hivescan y hivelistIn V3 nemen hun tegenhangers de vorm aan windows.netscan, vensters.modules, windows.svcscan, windows.filescan, ramen.grepen, windows.dlllijst, windows.cmdline, windows.printkey, Etc.
# Ejemplos de Volatility 3
vol.py -f "memdump.raw" windows.netscan
vol.py -f "memdump.raw" windows.modules
vol.py -f "memdump.raw" windows.svcscan
vol.py -f "memdump.raw" windows.filescan
vol.py -f "memdump.raw" windows.handles --pid <PID>
vol.py -f "memdump.raw" windows.dlllist --pid <PID>
vol.py -f "memdump.raw" windows.cmdline
Voor extractie gebruikt u in V2 memdump o dumpfiles met uitvoermappen, en in V3 de plugin windows.dumpfiles staat dumping toe door PID, virtueel of fysiek adresDeze stromen integreren procesanalyse met netwerkartefacten, logging en modules, waardoor een compleet forensisch beeld ontstaat.
Kortom, hoewel "pslist" in Volatility niet hetzelfde nut heeft als Sysinternals' PsList, delen ze het doel van reconstrueer de procesactiviteitAls je in DFIR werkt, is het handig om beide werelden te beheersen: live analyse met PsTools en analyse offline met Volatility 2/3 en hun nieuwe pluginnamen.
Gerelateerde tools om de visie te voltooien
Naast PsList zijn er in Windows-ecosystemen hulpprogramma's die perspectief toevoegen. Houd ze bij de hand Het geeft u flexibiliteit in de verschillende fasen van de diagnose.
- tlist.exe: van MS Debugging Tools. Geeft de procesboom weer (
-t) en accepteert filters op PID of expressies voor de naam. - pulist.exe: uit de Windows 2000-kit. Heel eenvoudig; geeft naam, PID en gebruikersaccount weer, en u kunt query's uitvoeren teams op afstand.
- cmdlijn: onthult argumenten en vlaggen waarmee een proces werd opgestart, naast een beeldroute.
- handvat: lijsten open handgrepen per proces, met opties om een specifiek proces te sluiten.
- lijstdll's: lijst met DLL's die door processen zijn geladen, met pad en versieversie.
- pmdump: dumpt het geheugen van een proces door PID, nuttig voor geavanceerde analyses.
- Process Explorer: een zeer krachtige grafische interface die de meeste van deze functies samenbrengt, ideaal wanneer je hebt geen scripting nodig.
Goede praktijken en operationele notities
Zorg ervoor dat voor afgelegen omgevingen de firewalls en beleid Geef toegang tot de prestatiemeters en de benodigde service. U voorkomt fouten waarbij toegang wordt geweigerd en die niet te wijten zijn aan PsList, maar aan configuratie van het netwerk.
Houd bij het automatiseren met scripts rekening met hoe bescherming van referentiesHet doorgeven van duidelijke wachtwoorden op de opdrachtregel kan deze in de geschiedenis blootleggen; opties zoals de interactieve prompt of kisten met geheimen hebben de voorkeur bij de productie.
De uitvoer van PsList, die platte tekst is, integreert goed met pijpen en omleidingenJe kunt het naar een bestand sturen, filteren met findstr of converteer het naar CSV met een kleine nabewerking.
pslist -x > informe_pslist.txt
pslist -m | findstr /i "chrome firefox"
En als je met zwaar beladen teamsvermijd te agressieve vernieuwingsintervallen met -rVerantwoorde bemonstering minimaliseert de impact van observatie op gevoelige systemen.
Waar je PsList en community kunt vinden
PsList komt in de PsTools-pakket van Sysinternals, toegankelijk via de officiële websites van Microsoft. Het is een suite die regelmatig wordt bijgewerkt en tools toevoegt zoals PsExec, PsKill, PsService, PsLoggedOn en vele andere die ontworpen zijn voor lokaal en extern beheer.
Als u specifieke twijfels wilt oplossen of ervaringen wilt delen, Sysinternals-community en Windows-forums bieden praktische antwoorden. Het raadplegen van de officiële documentatie voor prestatiemeters helpt u ook om hoe ze worden berekend bepaalde statistieken en waarom deze mogelijk afwijken van wat u bij andere hulpprogramma's ziet.
Met PsList krijgt u snel en gedetailleerd inzicht in welke processen er worden uitgevoerd, hoe ze bronnen verbruiken en hoe ze zich tot elkaar verhouden, zowel lokaal als op afstand. Als je daar PsKill en PsExec aan toevoegtvoltooit u de cyclus: u identificeert, grijpt in en start een service opnieuw, terwijl u de controle behoudt en niet afhankelijk bent van grafische sessies of complexe interactieve toegang.
Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.