- PsList выводит список процессов в Windows с подробной информацией о ЦП, памяти, потоках и иерархии, локально или удаленно.
- Ключевые параметры: -t (дерево), -m (память), -x (полный просмотр), -s/-r (выборка), фильтры по имени/PID.
- Интегрируется с PsKill и PsExec для выполнения действий: удаленного обнаружения, завершения и перезапуска процессов.
Если вы управляете системами Windows и хотите быстро и надежно видеть, что происходит с вашими процессами, PsList — одна из тех утилит, которая может избавить вас от неприятностей.. Он является частью пакета PsTools от Sysinternals и, с несколькими команды, позволяет детально проверять ЦП, память, потоки и иерархии процессов, как локально и удаленно.
Помимо перечисления процессов, PsList отлично подходит, когда вы хотите увидеть дерево процессов, обновлять данные через определенные интервалы, как если бы это был мини- Менеджер задач в консоли или фильтровать по имени или PID. И когда вы объединяете это с PsKill и PsExecтеперь вы можете перейти от наблюдения к действию: обнаружить проблемный процесс, безопасно завершить его и перезапустить за считанные секунды, даже на авторизованных удаленных компьютерах.
Что такое PsList и что он может показать?
PsList — это утилита командной строки от Sysinternals, предназначенная для список процессов и их ключевая телеметрияС помощью простой команды вы получаете такие столбцы, как приоритет, количество потоков и идентификаторы. виртуальная память и рабочий набор, а также накопленное время ЦП и время выполнения для каждого процесса.
Инструмент может работать против локальной системы или против доступное удаленное оборудованиеВ последнем случае, если ваших текущих прав недостаточно для чтения счётчиков производительности в другой системе, допускается указание явных учётных данных. Таким образом, с помощью PsList вы можете охватить оба варианта. интерактивная диагностика как автоматизация через скрипты.
pslist
pslist exp
pslist -t
pslist \\EQUIPO-REMOTO -u DOMINIO\Usuario -p Contraseña
PsList также имеет определенные представления: вы можете спросить детали потока по процессу, сосредоточьтесь на потреблении память Или активируйте комбинированный вид, где всё сразу. Когда вам нужно полное фото, правый переключатель экономит ваши шаги и очищает изображение.
Установка, поддерживаемые версии и как это работает внутри
PsList является частью PsTools, набор консольных утилит от Sysinternals. Он не требует сложной установки: просто скопируйте исполняемый файл в папку, указанную в переменной PATH, или вызовите его по указанному пути. Пакет лёгкий и идеально подходит для администраторов которые предпочитают инструменты портативный.
Совместимость: В современных средах PsList работает на Клиент Windows 8.1 и более поздние версии, А в Windows Server 2012 и более поздние версии на сервере. Эти версии гарантируют поддержку и API, необходимые для сбора информации, предоставляемой инструментом.
Откуда он берёт данные? PsList использует счетчики производительности Windows (те же, что и PerfMon). Благодаря этому информация соответствует тому, что вы видите в Монитор производительности самой системы. Эта интеграция также объясняет, почему в удалённых сценариях может потребоваться аутентификация с помощью имеет привилегии уместно.
Практическое замечание: все значения памяти, отображаемые PsList, появляются в килобайты (КБ)Если вы сравниваете с другими инструментами, которые отображают данные в МБ, имейте это в виду, чтобы не перепутать величины.
Синтаксис и основные параметры
Базовый синтаксис гибкий и охватывает как простые, так и сложные случаи. ключевые параметры которые следует освоить, чтобы воспользоваться этим:
| параметр | Что делает |
|---|---|
pslist exp |
Фильтр и отображает процессы, имя которых начинается с «exp» (например, Explorer). |
-d |
Образец детали потока процесса. |
-m |
Сосредоточьте вывод на статистика памяти. |
-x |
Совмещенный вид с процессы, память и потоки. |
-t |
Показать дерево процессов (иерархия). |
-s [n] |
Запустить в режиме типа Менеджер задач в течение n секунд (для отмены нажмите Escape). |
-r n |
установить частота обновления в секундах в предыдущем режиме (по умолчанию 1). |
\\equipo |
Вместо локальной системы он получает информацию из equipo remoto указано (NT/Win2K+; современная Windows). |
-u |
Позволяет указать пользователь для входа в удаленный режим. |
-p |
Указывает пароль в командной строке. Если вы пропустите -p После ввода учетной записи PsList запросит ее в интерактивном режиме. |
nombre |
Фильтрует и отображает процессы, которые начать с этого имени. |
-e |
Заставить это точное совпадение из названия процесса. |
pid |
Ограничивает вывод процессом с этим PID бетон (например, pslist 53). |
С помощью этой базы вы можете охватить все: от быстрых фильтров по имени до специальные аудиты PIDИ если то, что вам нужно, — это обогащенное глобальное видение, активируйте -x и вы получите данные о процессах, памяти и потоках за один проход.
pslist -x
pslist -m chrome
pslist -t -e explorer.exe
pslist 1234
Для удаленных сценариев помните, что пути домена и пользователи записываются с использованием типичного синтаксиса Windows: \\КОМПЬЮТЕР или ДОМЕН\Пользователь. Настройте в соответствии с топологией вашей организации.
Чтение вывода: сокращения и поля
В выводе PsList используются стандартные сокращения для сжатой информации. ключи, которые вы должны знать для интерпретации столбцов и показателей:
| колонка | Смысл |
|---|---|
| Pri | Приоритет процесса в планировщике. |
| тысяч | Количество темы в процессе. |
| Ручной | Количество ручки открытый. |
| VM | Виртуальная память назначенный. |
| WS | Рабочий набор (Рабочий набор) в физической памяти. |
| Приват | Частная виртуальная память процесса. |
| Частный парк | Пико достигнут объем частной виртуальной памяти. |
| Неисправности | Количество ошибки страниц (ошибки страниц). |
| NonP | Размер невыгружаемый пул связанный. |
| Страница | Размер постраничный пул. |
| Cswtch | Изменения контекста что испытал. |
Вы также увидите данные из Время процессора y Пройденное время, полезно для определения количества процессорного времени, потребленного процессом, и длительности его работы. Эти поля важны для поиска процессов, которые они остаются висеть или которые потребляют больше ресурсов, чем необходимо.
Режим типа «Диспетчер задач» и постоянное обновление
Если вы хотите отслеживать один или несколько процессов в течение определенного периода времени, не нажимая никаких кнопок, использовать режим выборки из PsList с -s. Этот режим обновляет вывод и остается активным. El Tiempo который вы укажете (или пока не нажмете Escape). -r вы определяете, каждые сколько секунд он будет обновляться.
pslist -s 15 -r 2
В приведенном выше примере PsList запускается для 15 секунд с двухсекундное обновлениеЭто очень удобно для фиксации кратковременных всплесков загрузки ЦП или памяти, которые невозможно обнаружить за один прогон.
Работа с удаленными командами: учетные данные и безопасность
Одной из сильных сторон PsList является его способность процессы запросов на удаленных машинах с которым у вас есть подключение и разрешения. Синтаксис прост: вы добавляете к имени компьютера или IP-адресу префикс \\ и, при необходимости, указываются учетные данные.
pslist \\MAQUINA -u DOMINIO\Administrador -p
Если вы укажете пользователь но вы упускаете вариант -p, PsList запросит у вас пароль интерактивноЭто удобно при вводе вручную и предотвращает сохранение пароля в истории консоли. Для запуска в скрипты, желательно передать его как параметр или использовать безопасный механизм инъекция учетных данных.
Имейте в виду, что в некоторых сетях вам необходимо разрешение на чтение. счетчики производительности удаленной команды. Если в вашей учетной записи их нет, комбинация -u y -p с привилегированным пользователем решает проблему и позволяет PsList доступ к данным.
Практические примеры
Чтобы найти все процессы, имя которых начинается с определенной строки, отфильтруйте по префиксу и точно настройте то, что вас интересует чтобы увидеть:
pslist svchost
Если вас интересует конкретный процесс с известным PID, ограничивает выход к этому идентификатору:
pslist 888
Для полного снимка (процессы + память + потоки) в одной команде активируйте комбинированный вид:
pslist -x
И когда вы хотите понять взаимосвязь между родительскими и дочерними процессами, ничто не сравнится с дерево чтобы распутать иерархию и выяснить, кто кого запустил:
pslist -t
Объедините PsList с другими PsTools для работы (PsKill и PsExec)
Как только вы обнаружили процесс неправильного поведения, вы можете перейти от наблюдения к действуйте с PsKillТипичный поток выглядит так: вывести список дерева на удаленной машине, записать имя или PID и завершить его контролируемым образом.
pslist -t \\[EquipoRemoto o IP]
pskill -t \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] [NombreProceso o PID]
Модификатор -t в PsKill гарантирует завершение финальной версии процесс и его потомство (полезно, когда есть зависшие потоки). Если вам это нужно, с помощью PsExec вы можете перезапустить двоичный файл для имитации «перезагрузки» затронутой службы или приложения.
psexec \\[EquipoRemoto o IP] -u [EQUIPO\UsuarioAdmin] -p [Password] "C:\\Ruta\\Programa\\app.exe"
Благодаря этой комбинации в бизнес-среде легко проводить тестирование, восстановить услуги без удаленного рабочего стола или автоматизировать задачи обслуживания на основе политик и окон обслуживания.
PsList в анализе памяти (волатильность): часть криминалистической головоломки
В области реагирования на инциденты понятие «pslist» также встречается в Изменчивость, аналитическая платформа дампы памяти. Здесь идея другая: вы проверяете не работающую Windows, а захват ОЗУ чтобы реконструировать то, что происходило.
В Volatility 2 список процессов получается с помощью vol.py ... pslist, поиск скрытых процессов с psscan и иерархия с pstree. Кроме того, существует psxview для контрастирования видов и обнаружения затенений. В Volatility 3 команды меняются на обозначения с префикс Windows (например, windows.pslist, windows.psscan, windows.pstree) и прямого эквивалента psxview не существует.
# Volatility 2
vol.py -f "memdump.raw" --profile <perfil> pslist
vol.py -f "memdump.raw" --profile <perfil> psscan
vol.py -f "memdump.raw" --profile <perfil> pstree
# Volatility 3
vol.py -f "memdump.raw" windows.pslist
vol.py -f "memdump.raw" windows.psscan
vol.py -f "memdump.raw" windows.pstree
Сетевые модули, сервисы, модули ядра и многое другое также имеют свои варианты. В версии 2 вы можете использовать netscan, modules, svcscan, filescan, handles, dlllist, cmdline, hivescan y hivelistВ V3 их аналоги принимают форму windows.netscan, windows.modules, windows.svcscan, windows.filescan, windows.handles, windows.dlllist, windows.cmdline, windows.printkey, и т.д.
# Ejemplos de Volatility 3
vol.py -f "memdump.raw" windows.netscan
vol.py -f "memdump.raw" windows.modules
vol.py -f "memdump.raw" windows.svcscan
vol.py -f "memdump.raw" windows.filescan
vol.py -f "memdump.raw" windows.handles --pid <PID>
vol.py -f "memdump.raw" windows.dlllist --pid <PID>
vol.py -f "memdump.raw" windows.cmdline
Для извлечения в V2 используется memdump o dumpfiles c выходные каталоги, а в V3 плагин windows.dumpfiles позволяет производить сброс PID, виртуальный или физический адресЭти потоки интегрируют анализ процесса с сетевые артефакты, ведение журнала и модули, формируя полное судебно-медицинское заключение.
Короче говоря, хотя "pslist" в Volatility не является той же утилитой, что и PsList в Sysinternals, у них общая цель реконструировать процесс деятельностиЕсли вы работаете в DFIR, полезно освоить оба мира: живой анализ с помощью PsTools и анализ оффлайн с Volatility 2/3 и их новыми названиями плагинов.
Сопутствующие инструменты для завершения видения
Помимо PsList, в экосистемах Windows есть утилиты, которые добавляют перспективу. Имейте их под рукой. Это обеспечивает вам гибкость на разных этапах диагностики.
- tlist.exe: из средств отладки MS. Отображает дерево процессов (
-t) и принимает фильтры по PID или выражениям для имени. - pulist.exe: из комплекта Windows 2000. Очень просто: выводит имя, PID и учетную запись пользователя, и вы можете запросить удаленные команды.
- командная строка: раскрывает аргументы и флаги с помощью которого был запущен процесс, в дополнение к маршруту изображения.
- обрабатывать: списки открытые ручки по процессам, с возможностью закрытия определенного из них.
- списокdlls: список DLL, загруженных процессами, с указанием пути и версионный.
- pmdump: сбрасывает память процесса PID, полезно для расширенного анализа.
- Process Explorer: очень мощный графический интерфейс, объединяющий большинство этих функций, идеально подходит, когда вам не нужно писать сценарии.
Передовая практика и оперативные заметки
Для удаленных сред убедитесь, что брандмауэры и политики разрешите доступ к счётчикам производительности и необходимым службам. Вы избежите ошибок доступа, связанных не с PsList, а с конфигурация сети.
При автоматизации с помощью скриптов учитывайте, как защитить учетные данные. Передача незашифрованных паролей в командной строке может привести к их появлению в истории; такие параметры, как интерактивная подсказка или сундуки с секретами предпочтительнее в производстве.
Вывод PsList, представляющий собой простой текст, хорошо интегрируется с трубы и перенаправления. Вы можете отправить его в файл, отфильтровать его с помощью findstr или конвертировать его в CSV с помощью небольшого Постобработка.
pslist -x > informe_pslist.txt
pslist -m | findstr /i "chrome firefox"
И когда вы работаете с сильно загруженные команды, избегайте слишком агрессивных интервалов обновления с -rОтветственный подход к выборке сводит к минимуму влияние наблюдения на чувствительные системы.
Где взять PsList и сообщество
PsList входит в Пакет PsTools от Sysinternals, доступного на официальных сайтах Microsoft. Это регулярно обновляемый пакет, включающий такие инструменты, как PsExec, PsKill, PsService, PsLoggedOn и многие другие, предназначенные для локального и удаленного администрирования.
Если вы хотите разрешить конкретные сомнения или поделиться опытом, Сообщество Sysinternals и форумы, посвященные Windows, предлагают практические ответы. Ознакомление с официальной документацией по счётчикам производительности также поможет вам понять как они рассчитываются некоторые показатели и почему они могут отличаться от тех, что вы видите в других утилитах.
С помощью PsList вы можете быстро и подробно узнать, какие процессы запущены, как они потребляют ресурсы и как они взаимодействуют друг с другом, как локально, так и удаленно. Если вы добавите к этому PsKill и PsExec, вы завершаете цикл: идентифицируете, вмешиваетесь и перезапускаете службу, сохраняя при этом контроль и не полагаясь на графические сеансы или сложный интерактивный доступ.
Страстный писатель о мире байтов и технологий в целом. Мне нравится делиться своими знаниями в письменной форме, и именно этим я и займусь в этом блоге: покажу вам все самое интересное о гаджетах, программном обеспечении, оборудовании, технологических тенденциях и многом другом. Моя цель — помочь вам ориентироваться в цифровом мире простым и интересным способом.