PSTools使用说明大全.docx
- 文档编号:14230809
- 上传时间:2023-06-21
- 格式:DOCX
- 页数:23
- 大小:335.56KB
PSTools使用说明大全.docx
《PSTools使用说明大全.docx》由会员分享,可在线阅读,更多相关《PSTools使用说明大全.docx(23页珍藏版)》请在冰点文库上搜索。
PSTools使用说明大全
PSTools使用说明大全
在网络攻击中,经常用到一个工具系列叫pstools,它是由Sysinternals公司推出的一个功能强大的WindowsNT/2000远程管理工具包,包含系列工具如下:
PsExec-远程运行程序;
PsFile-显示远程翻开的文件;
PsGetSid-显示计算机或用户的SID;
PsKill-根据进程名或进程ID杀进程;
PsInfo-显示系统有关信息;
PsList-显示详细的进程信息;
PsLoggedOn-显示通过资源共享登陆到本地;
PsLogList-导出日志文件;
PsPasswd-更改用户密码;
PsService-查看和控制效劳;
PsShutdown-关闭或重启远程计算机;
PsSuspend-终止进程;
PsUptime-最后重启后系统运行的时间。
●PSTOOLS工具的特点包括:
1.可以运行在WINNTBASED操作系统〔NT/2000/XP/2003〕上,不用在本地安装,不用在远程计算机上安装客户端。
2.只要先建立了IPC$共享,在执行该工具中每个命令时,都会使用当前建立IPC$共享的这个账户身份来执行,而不必再使用-U、-P参数指定账户的用户名、密码。
netuse\\72.56.17.74\ipc$jck704zcy/user:
zcy
3.局部工具可以运行的前提条件是远程计算机必须开启ADMIN$管理共享和启动REMOTEREGISTRY效劳〔效劳名称是REMOTEREGISTRY〕。
4.允许用@FILE参数指定多个计算机。
即可以同时对多个计算机进行操作。
●PSEXEC:
远程运行程序。
是一个轻量级的TELNET替代工具,可以让你完全采用交互式的命令控制台在远程主机上执行命令,不用手工安装任何客户端。
最强大的用法是在远程计算机上启动交互式的命令提示符〔很像TELNET〕和远程使用一些没有远程功能的工具〔即远程执行一些远程主机上的命令,并将结果显示给本地主机;或者将本地主机的文件复制到远程主机上并执行〕。
psexec[\\computer[,computer2[,...]|@file][-uuser[-ppsswd]][-ns][-l][-s|-e][-x][-i[session]][-c[-f|-v]][-wdirectory][-d][-
参数
含义
-s
在系统账户〔SYSTEM账户〕下运行远程进程。
-e
加载指定账户的策略配置文件。
-i
运行程序以便该程序与远程操作系统中指定会话的桌面交互。
如果没有指定的会话,进程会运行在CONSOLE〔控制台〕会话中。
-l
以受限用户身份〔去除Administrators组的权限,并且只允许使用分配给Users组的权限〕运行进程。
在WindowsVista上,此进程将以“低完整性〞运行。
-c
复制指定的程序到远程计算机操作系统以便执行。
如果你省略了这个选项,那么指定的程序必须位于远程计算机操作系统的系统路径中。
-n
指定连接远程计算机的超时秒数。
〔超过即为超时〕
-f
强制复制指定的程序到远程系统,即使远程计算机上已经存在该文件。
-v
仅在指定文件具有更高版本号或该〔本地〕文件比远程系统上的文件新时,才复制该文件。
-d
不等待应用程序终止。
请只对非交互式应用程序使用此选项。
-w
设置进程的工作目录〔相对于远程计算机〕。
-x
在登录桌面上显示用户界面〔仅限于本地系统〕。
-priority
指定–low、-belownormal、-abovenormal、-high或-realtime,以便按不同优先级运行进程。
-a
用逗号分隔的可以运行应用程序的处理器,CPU编号最小为1。
例如,要在CPU2和CPU4上运行应用程序,请输入:
“-a2,4”
arguments
要传递的参数〔请注意,文件路径必须是目标系统中的绝对路径〕。
如果要运行的程序在远程系统中,但不在远程系统的系统路径中,请指定该程序的完整路径。
对于其名称中含有空格的应用程序,可以在其两侧加引号,例如,psexec\\marklap"c:
\longname\app.exe"。
按下Enter键时,仅将输入内容传递到远程系统。
键入Ctrl-C可终止远程进程。
如果省略用户名,那么远程进程将以执行PsExec时所使用的相同帐户运行,但由于远程进程以模仿方式运行,因此它无权访问远程系统上的网络资源。
指定用户名时,远程进程将以指定的帐户执行,并可访问该帐户有权访问的任何网络资源。
请注意,密码是以明文形式传递到远程系统的。
当目标系统是本地系统时,由于PsExec不需要您具有管理员权限,因此您可以使用当前版本的PsExec来取代Runas。
常用:
Psexec\\72.56.17.74cmd
启动远程计算机上的交互命令提示符〔就是一个SHELL〕。
在远程计算机上没有任何界面,这个提示符显示在本地计算机上。
这个命令最重要。
Psexec\\72.56.17.74cmd/cdirc:
\
要运行远程计算机上的DOS命令,只能以上述形式运行。
因为DOS命令没有对应的可执行文件。
Psexec\\72.56.17.74–i–dcalc
在远程计算机上启动计算器程序。
〔执行后,在本地该命令一直处于运行状态,直到远程计算机上计算器程序终止,本地命令才退出运行状态。
〕
测试中发现,使用-i参数执行交互程序时,只有等到远程计算机上退出该程序,本地才会退出运行界面。
当在远程计算机上执行calc、notepad等有交互界面的程序且不同时带-i-d参数时,该命令在远程计算机没有任何显示,在本地也一直不能退出。
直到在远程主机上在或在本地远程删除指定进程,该命令才退出。
当在远程计算机上执行calc、notepad等有交互界面的程序,且同时带-i-d参数时,该命令在远程计算机显示,在本地一直不能退出。
直到在远程主机上退出交互界面或删除指定进程,或在本地远程删除指定进程,该命令才退出。
PsExec-i-d-sCMD
以SYSTEM帐户身份翻开另一个CMD窗口。
这是得到SYSTME权限SHELL的两种方法之一,也是最快速的方法。
●PSFILE:
显示指定计算机上被远程系统翻开的文件列表,也可以关闭这些翻开的文件。
psfile[\\RemoteComputer[-uUsername[-pPassword]]][[Id|path][-c]]
ID
〔PSFILE分配的〕被远程翻开的文件的ID。
Path
被远程翻开的文件的全部或局部路径。
-c
按照ID或路径关闭被远程翻开的文件。
●PSGETSID:
得到本地或远程计算机中计算机和用户的SID〔平安标识符〕。
psgetsid[\\computer[,computer[,...]|@file[-uusername[-ppassword]]][account]
常用:
psgetsid\\72.56.17.74
得到远程计算机72.56.17.74的SID。
psgetsid\\72.56.17.74zcy
得到远程计算机72.56.17.74上zcy用户的SID。
●PSINFO查询本地和远程计算机系统信息。
psinfo[\\computer[,computer[,...]|@file[-uusername[-ppassword]]][-h][-s][-d][-c[-tdelimter]]
参数
含义
-h
增加显示已安装的补丁信息。
【控制面板】→【添加或删除程序】→启用【显示更新】,之后就可以查到。
-s
增加显示已安装的软件信息。
【控制面板】→【添加或删除程序】。
-d
增加显示磁盘信息。
【控制面板】→【计算机管理】→【存储】→【磁盘管理】。
-c
以CSV格式显示。
-t
设置其他符号为分隔符。
常用:
psinfo\\72.56.17.74
psinfo\\72.56.17.74–h
psinfo\\72.56.17.74–s
psinfo\\72.56.17.74–d
●PSLIST:
显示本地和远程计算机的进程信息。
pslist[-?
][-d][-m][-x][-t][-s[n][-rn][\\computer[-uusername][-ppassword]][[-e]name|pid]
-d
显示系统上所有活动线程的详细信息,包括组线程及其子进程。
-m
显示每个进程的内存方面的信息,而不是默认的CPU方面的信息。
-x
显示每个指定进程的CPU、内存、线程信息。
-t
显示进程树。
-s[n]
在指定的秒数内,以任务管理器模式运行。
按ESC退出。
-r
任务管理器模式更新率。
单位是秒,默认是1秒。
name
仅显示以指定名称开始的进程的相关信息。
-e
与进程名称精确匹配,而不是开头局部匹配。
常用:
pslist\\72.56.17.74
pslist\\72.56.17.74–d
pslist\\72.56.17.74-m
pslist\\72.56.17.74–x
pslist\\72.56.17.74-t
pslist\\72.56.17.74-s500
pslist\\72.56.17.74s
仅显示以s开始的进程的相关信息。
●PSKILL:
杀掉本地和远程计算机上指定的进程。
pskill[-t][\\computer[-uusername][-ppassword]]
-t
删除进程及其子进程。
Processid
指定进程的ID。
Processname
指定进程的名称。
常用:
pskill\\72.56.17.74-t1820
●PSLOGGEDON:
查看指定计算机的本地及远程登录的用户和登录时间。
psloggedon[-?
][-l][-x][\\computername|username]
-l
只显示本地登录情况。
如果不使用该参数那么同时显示本地登录和远程登录情况。
-x
不显示登录时间。
如果不使用该参数那么显示登录时间。
一般使用。
-username
指定一个用户名。
命令自动搜索该用户账户在哪个计算机上登录了。
一般不使用。
常用:
psloggedon\\72.56.17.74
psloggedon\\72.56.17.74-x
●PSLOGLIST:
事件日志转储及管理。
对于黑客来说,最大的用处是能在命令行下远程去除系统日志。
psloglist[\\computer[,computer2[,...]|@file][-uusername[-ppassword]]][-s[-tdelimiter]][-m#|-n#|-d#|-h#|-w][-c][-x][-r][-amm/dd/yy][-bmm/dd/yy][-ffilter][-iID,[ID,...]]|-eID,[ID,...]][-oeventsource[,eventsource[,...]]][-qeventsource[,eventsource[,...]]][[-g|-l]eventlogfile]
-a
仅转储指定日期之后的记录。
-b
仅转储指定日期之前的记录。
-c
显示记录后去除事件日志。
-d
仅显示近几天以内的记录。
-e
排除具有指定的一个或多个id(最多10个)记录。
-f
用过滤字符串过滤事件类型。
〔例如〞-fw〞过滤警告类型事件〕
-g
将事件记录输出为evt文件。
只能与-c参数配合使用。
-h
仅显示近几小时以内的记录。
-i
仅显示具有指定的一个或多个id〔最多10个〕的记录。
-l
从指定的事件记录文件转储记录。
-m
仅显示近几分钟以内的记录。
-n
仅显示近几个事件记录。
-o
仅显示来源于指定事件来源的记录。
〔例如〞-ocdrom〞〕
-q
排除来源于指定事件来源的记录。
-r
按照从最早到最近的顺序转储事件记录。
〔即颠倒顺序转储〕
-s
以“一行一条〞的方式显示记录,字段间用逗号分隔。
这种格式对于文本搜索很方便。
例如psloglist|findstr/Itext,也可以输出到空白表中。
-t
默认的分隔符是逗号,但是可以用该参数指定其他的分隔符。
-w
等待新事件,以便实时地转储新产生的事件记录。
-x
转储扩展数据。
eventlog
默认情况下显示的是system事件日志中的记录。
通过输入日志长名称〔application,system,security〕的前几个字符就可以指定不同的事件日志。
常用:
psloglist\\72.56.17.74application-c>nul
psloglist\\72.56.17.74system-c>nul
psloglist\\72.56.17.74security-c>nul
for%ain(applicationsystemsecurity)do@psloglist\\72.56.17.74%a-c>nul2>nul
for%ain(applicationsystemsecurity)do@psloglist%a-c>nul2>nul
上述语句可以同时去除多个日志〔且执行后没有任何显示〕。
●PSPASSWD:
修改本地或远程计算机任意用户账户的密码。
增强了NETUSER命令,NETUSER命令不能远程修改用户账户的密码。
pspasswd[\\computer[,computer[,...]|@file[-uusername[-ppassword]]]Username[NewPassword]]
username
指定要修改密码的用户账户的用户名。
newpassword
指定用户账户要修改的新密码。
如果省略该参数,那么新密码为空。
常用:
pspasswd\\72.56.17.74test888
●PSSERVICE:
管理效劳。
psservice[\\Computer[-uUsername[-pPassword]]]
query
查询效劳的相关信息。
config
查询效劳的配置信息。
setconfig
设置效劳的配置〔实际上就是启动类型,值有auto,demandanddisabled三种〕。
start
启动效劳。
stop
停止效劳。
restart
停止然后启动效劳。
pause
暂停效劳。
cont
恢复暂停的效劳。
depend
显示哪些效劳依赖于指定的效劳。
find
在网络中查找效劳的给定实例。
security
报告指定效劳的平安信息。
常用:
psservicequerymessenger
查询messenger效劳的相关信息。
最重要的工程是:
效劳名称、显示名称、效劳描述、效劳类型、效劳状态。
psserviceconfigmessenger
查询效劳的配置信息。
最重要的工程是:
效劳名称、效劳描述、效劳类型、效劳启动类型、效劳错误控制级别、可执行文件的路径等等。
●PSSHUTDOWN:
关机工具。
比系统自带的shutdown多一些关机功能。
psshutdown[\\computer[,computer[,...]|@file[-uusername[-ppassword]]]-s|-r|-h|-d|-k|-a|-l|-o[-f][-c][-ns][-tnn|h:
m][-e[u|p]:
xx:
yy][-m"message"]
-a
中止关机操作。
仅在倒计时过程中可以。
只能中止psshutdown所启动的关机操作,不能中止系统自带命令shutdown启动的关机操作。
反之亦然。
-c
允许交互用户中止关机操作。
操作界面多一个cancel按钮。
-d
使计算机待机。
关机方式。
Shutdown不具备此功能。
-e[u|p]:
xx:
yy
关机原因代码。
U用户原因代码;P方案关机原因代码。
XX主原因代码;YY次原因代码。
-f
在关机时强制退出所有正在运行的程序,不给保存数据的时间。
-h
使计算机休眠。
关机方式。
休眠用电源键恢复。
恢复后网络连不上了。
Shutdown不具备此功能。
-k
关闭电源。
〔如果不支持关闭电源那么重新启动〕
关机方式。
-l
锁定计算机。
就是回到登录界面。
关机方式。
-m"message"
在关机倒计时开始的时候,显示指定信息给当前登录账户。
-ns
指定连接到远程计算机的超时时限〔单位:
秒〕。
-o
注销控制台用户。
关机方式。
-r
关机后重新启动。
关机方式。
-s
关机但不关闭电源。
关机方式。
-tnn|h:
m
指定关机的倒计时时限〔单位:
秒,默认是20秒〕,或者关机的时间〔24小时格式〕。
-v
指定在关机前显示信息的时间长度〔单位:
秒〕。
如果忽略该参数,视为指定该值为0
常用:
psshutdown-s-t600
在10分钟之后关机但不关闭电源。
psshutdown-k-t600–c
在10分钟后关闭电源,但允许交互用户中止关机操作。
psshutdown-k-t600-m"这次关机是为了测试而进行的,希望你能理解"
在10分钟后关闭电源,同时向控制台用户显示指定信息。
待机〔Standby〕,将系统切换到该模式后,除了内存,电脑其他设备的供电都将中断,只有内存依靠电力维持着其中的数据〔因为内存是易失性的,只要断电,数据就没有了〕。
这样当希望恢复的时候,就可以直接恢复到待机前状态。
这种模式并非完全不耗电,因此如果在待机状态下供电发生异常〔例如停电〕,那么下一次就只能重新开机,所以待机前未保存的数据都会丧失。
但这种模式的恢复速度是最快的,一般五秒之内就可以恢复。
休眠〔Hibernate〕,将系统切换到该模式后,系统会自动将内存中的数据全部转存到硬盘上一个休眠文件中,然后切断对所有设备的供电。
这样当恢复的时候,系统会从硬盘上将休眠文件的内容直接读入内存,并恢复到休眠之前的状态。
这种模式完全不耗电,因此不怕休眠后供电异常,但代价是需要一块和物理内存一样大小的硬盘空间〔好在现在的硬盘已经跨越TB级别了,大容量硬盘越来越廉价〕。
而这种模式的恢复速度较慢,取决于内存大小和硬盘速度,一般都要1分钟左右,甚至更久。
●PSSUSPEND:
挂起或恢复进程。
pssuspend[-r][\\RemoteComputer[-uUsername[-pPassword]]]
-r
恢复进程。
processIdorname
进程ID或名称〔将终止包含该名称的全部进程〕。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PSTools 使用说明 大全
![提示](https://static.bingdoc.com/images/bang_tan.gif)