PSTools使用說(shuō)明大全

/ＰＳToolｓ使用說(shuō)明大全在網(wǎng)絡(luò)攻擊中,經(jīng)常用到一個(gè)工具系列叫pｓtooｌs，它是由Sysinｔerｎals公司推出的一個(gè)功能強(qiáng)大的WｉｎdoｗｓＮT/2000遠(yuǎn)程管理工具包，包含系列工具如下：PｓExec－遠(yuǎn)程運(yùn)行程序；PsFile—顯示遠(yuǎn)程打開(kāi)的文件；PsGetSid－顯示計(jì)算機(jī)或用戶的ＳＩD;PsKｉll-根據(jù)進(jìn)程名或進(jìn)程ID殺進(jìn)程；ＰsＩnfo-顯示系統(tǒng)有關(guān)信息;ＰｓＬist—顯示詳細(xì)的進(jìn)程信息；PsLｏｇｇedOｎ-顯示通過(guò)資源共享登陸到本地；ＰsLｏｇLisｔ-導(dǎo)出日志文件；PsPasswd-更改用戶密碼；PsService－查看和控制服務(wù)；ＰｓSｈｕtdown－關(guān)閉或重啟遠(yuǎn)程計(jì)算機(jī)；ＰsＳuspenｄ－終止進(jìn)程；ＰｓUptiｍｅ—最后重啟后系統(tǒng)運(yùn)行的時(shí)間。

●PＳTOOLS工具的特點(diǎn)包括:1?？梢赃\(yùn)行在WINNTBAＳED操作系統(tǒng)（NT/20０0／XP/２0０3）上，不用在本地安裝，不用在遠(yuǎn)程計(jì)算機(jī)上安裝客戶端.2.只要先建立了IPC＄共享，在執(zhí)行該工具中每個(gè)命令時(shí),都會(huì)使用當(dāng)前建立IＰC＄共享的這個(gè)賬戶身份來(lái)執(zhí)行,而不必再使用-U、－P參數(shù)指定賬戶的用戶名、密碼。ｎetuse＼＼72。56.１7.74\ipｃ$jcｋ７04zcｙ/user：zｃy３。部分工具可以運(yùn)行的前提條件是遠(yuǎn)程計(jì)算機(jī)必須開(kāi)啟AＤMIN＄管理共享和啟動(dòng)REMOTEREＧISＴRY服務(wù)（服務(wù)名稱是REMOTEREGＩSTRY）。4。允許用@FILＥ參數(shù)指定多個(gè)計(jì)算機(jī)。即可以同時(shí)對(duì)多個(gè)計(jì)算機(jī)進(jìn)行操作?！瘢校覧XEC：遠(yuǎn)程運(yùn)行程序。是一個(gè)輕量級(jí)的TEＬN(yùn)ET替代工具,可以讓你完全采用交互式的命令控制臺(tái)在遠(yuǎn)程主機(jī)上執(zhí)行命令，不用手工安裝任何客戶端。最強(qiáng)大的用法是在遠(yuǎn)程計(jì)算機(jī)上啟動(dòng)交互式的命令提示符（很像TELＮET)和遠(yuǎn)程使用一些沒(méi)有遠(yuǎn)程功能的工具（即遠(yuǎn)程執(zhí)行一些遠(yuǎn)程主機(jī)上的命令，并將結(jié)果顯示給本地主機(jī)；或者將本地主機(jī)的文件復(fù)制到遠(yuǎn)程主機(jī)上并執(zhí)行）。pｓexｅc［\\coｍｐuter[,comｐｕtｅr２[,..。］|@filｅ］［－uｕｓer［—ppsｓwd]]［-ｎｓ］［—l]［-s|—e］[－x]［－i[seｓsiｏn］］[-c[-f|－v］］[—wdｉｒｅctory][-d][—〈priority〉］［－ａn,n，.．．］cｍd[ａrｇｕmeｎｔs]參數(shù)含義-s在系統(tǒng)賬戶(SYＳTEM賬戶)下運(yùn)行遠(yuǎn)程進(jìn)程。－ｅ加載指定賬戶的策略配置文件.-ｉ運(yùn)行程序以便該程序與遠(yuǎn)程操作系統(tǒng)中指定會(huì)話的桌面交互。如果沒(méi)有指定的會(huì)話，進(jìn)程會(huì)運(yùn)行在CＯNＳOＬE（控制臺(tái))會(huì)話中。－l以受限用戶身份（去除Aｄministrａt(yī)orｓ組的權(quán)限,并且只允許使用分配給Users組的權(quán)限）運(yùn)行進(jìn)程。在WindowｓVｉsta上，此進(jìn)程將以“低完整性”運(yùn)行.－c復(fù)制指定的程序到遠(yuǎn)程計(jì)算機(jī)操作系統(tǒng)以便執(zhí)行。如果你省略了這個(gè)選項(xiàng)，那么指定的程序必須位于遠(yuǎn)程計(jì)算機(jī)操作系統(tǒng)的系統(tǒng)路徑中.—n指定連接遠(yuǎn)程計(jì)算機(jī)的超時(shí)秒數(shù).(超過(guò)即為超時(shí)）－ｆ強(qiáng)制復(fù)制指定的程序到遠(yuǎn)程系統(tǒng)，即使遠(yuǎn)程計(jì)算機(jī)上已經(jīng)存在該文件。—ｖ僅在指定文件具有更高版本號(hào)或該（本地）文件比遠(yuǎn)程系統(tǒng)上的文件新時(shí),才復(fù)制該文件。—d不等待應(yīng)用程序終止。請(qǐng)只對(duì)非交互式應(yīng)用程序使用此選項(xiàng)。－ｗ設(shè)置進(jìn)程的工作目錄（相對(duì)于遠(yuǎn)程計(jì)算機(jī)）。-x在登錄桌面上顯示用戶界面(僅限于本地系統(tǒng)）.—pｒioriｔy指定–loｗ、—belownｏrｍａｌ、—abovenormal、－ｈigh或－ｒealｔime，以便按不同優(yōu)先級(jí)運(yùn)行進(jìn)程。-a用逗號(hào)分隔的可以運(yùn)行應(yīng)用程序的處理器，ＣPＵ編號(hào)最小為1。例如,要在CPU２和CPU４上運(yùn)行應(yīng)用程序，請(qǐng)輸入：“-a2，4ａrｇumentｓ要傳遞的參數(shù)（請(qǐng)注意，文件路徑必須是目標(biāo)系統(tǒng)中的絕對(duì)路徑）。如果要運(yùn)行的程序在遠(yuǎn)程系統(tǒng)中,但不在遠(yuǎn)程系統(tǒng)的系統(tǒng)路徑中，請(qǐng)指定該程序的完整路徑.對(duì)于其名稱中含有空格的應(yīng)用程序,可以在其兩側(cè)加引號(hào)，例如，pseｘｅc\＼mａrklaｐ”c：\longnａme\aｐp。exe"。按下Eｎter鍵時(shí),僅將輸入內(nèi)容傳遞到遠(yuǎn)程系統(tǒng)。鍵入Ctrl-Ｃ可終止遠(yuǎn)程進(jìn)程。如果省略用戶名，則遠(yuǎn)程進(jìn)程將以執(zhí)行PsExec時(shí)所使用的相同帳戶運(yùn)行，但由于遠(yuǎn)程進(jìn)程以模仿方式運(yùn)行,因此它無(wú)權(quán)訪問(wèn)遠(yuǎn)程系統(tǒng)上的網(wǎng)絡(luò)資源。指定用戶名時(shí),遠(yuǎn)程進(jìn)程將以指定的帳戶執(zhí)行，并可訪問(wèn)該帳戶有權(quán)訪問(wèn)的任何網(wǎng)絡(luò)資源。請(qǐng)注意,密碼是以明文形式傳遞到遠(yuǎn)程系統(tǒng)的。當(dāng)目標(biāo)系統(tǒng)是本地系統(tǒng)時(shí)，由于PsExec不需要您具有管理員權(quán)限，因此您可以使用當(dāng)前版本的ＰｓＥxec來(lái)取代Runas。常用：Pseｘec\\72.56.17。74cｍd啟動(dòng)遠(yuǎn)程計(jì)算機(jī)上的交互命令提示符(就是一個(gè)ＳＨEＬＬ）。在遠(yuǎn)程計(jì)算機(jī)上沒(méi)有任何界面，這個(gè)提示符顯示在本地計(jì)算機(jī)上。這個(gè)命令最重要。Pseｘec＼＼72。56．17.７4cmd／cdirc：\要運(yùn)行遠(yuǎn)程計(jì)算機(jī)上的ＤＯS命令,只能以上述形式運(yùn)行。因?yàn)镈OS命令沒(méi)有對(duì)應(yīng)的可執(zhí)行文件。Pｓｅxec\\72。56。17.7４–i–dｃalc在遠(yuǎn)程計(jì)算機(jī)上啟動(dòng)計(jì)算器程序。（執(zhí)行后，在本地該命令一直處于運(yùn)行狀態(tài)，直到遠(yuǎn)程計(jì)算機(jī)上計(jì)算器程序終止,本地命令才退出運(yùn)行狀態(tài)。)測(cè)試中發(fā)現(xiàn)，使用-ｉ參數(shù)執(zhí)行交互程序時(shí)，只有等到遠(yuǎn)程計(jì)算機(jī)上退出該程序,本地才會(huì)退出運(yùn)行界面.當(dāng)在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行calc、notｅpad等有交互界面的程序且不同時(shí)帶-i—d參數(shù)時(shí)，該命令在遠(yuǎn)程計(jì)算機(jī)沒(méi)有任何顯示，在本地也一直不能退出.直到在遠(yuǎn)程主機(jī)上在或在本地遠(yuǎn)程刪除指定進(jìn)程,該命令才退出.當(dāng)在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行cａlｃ、notepaｄ等有交互界面的程序，且同時(shí)帶-i-ｄ參數(shù)時(shí),該命令在遠(yuǎn)程計(jì)算機(jī)顯示，在本地一直不能退出.直到在遠(yuǎn)程主機(jī)上退出交互界面或刪除指定進(jìn)程,或在本地遠(yuǎn)程刪除指定進(jìn)程,該命令才退出.PsExec—i－d-sCMD以SYSTEＭ帳戶身份打開(kāi)另一個(gè)CMＤ窗口。這是得到SＹSTME權(quán)限ＳＨＥLL的兩種方法之一，也是最快速的方法.●ＰＳFILE：顯示指定計(jì)算機(jī)上被遠(yuǎn)程系統(tǒng)打開(kāi)的文件列表，也可以關(guān)閉這些打開(kāi)的文件。ｐｓfｉle[\\RemｏteCｏmpuｔer[-uUseｒｎame［-pＰassｗoｒd]］][［Iｄ｜path]［-c］］ID(PSFＩLE分配的）被遠(yuǎn)程打開(kāi)的文件的ID。Path被遠(yuǎn)程打開(kāi)的文件的全部或部分路徑。－c按照ID或路徑關(guān)閉被遠(yuǎn)程打開(kāi)的文件?！馪SGＥTＳＩD：得到本地或遠(yuǎn)程計(jì)算機(jī)中計(jì)算機(jī)和用戶的SID（安全標(biāo)識(shí)符）。psgetsｉd［\\compｕteｒ［，ｃompｕtｅr［，.。．]｜＠filｅ[－uusｅｒname［-ppasswoｒd]]］［aｃｃｏunt]常用：psgetｓid\\７2.56.17。７４得到遠(yuǎn)程計(jì)算機(jī)７2．5６。１7．74的SＩD。psgｅtsid\＼72.56。17．74zcy得到遠(yuǎn)程計(jì)算機(jī)72.56。17.74上zｃｙ用戶的SID。●PSＩNFO查詢本地和遠(yuǎn)程計(jì)算機(jī)系統(tǒng)信息。psinｆo［\\compuｔer[,computer［，。。．］｜＠filｅ[—uｕsernａme[－ｐｐassword］］］[—ｈ］[－ｓ][—d］[—c［-ｔdeｌimter]]參數(shù)含義-ｈ增加顯示已安裝的補(bǔ)丁信息?！究刂泼姘濉俊咎砑踊騽h除程序】→啟用【顯示更新】，之后就可以查到.-s增加顯示已安裝的軟件信息。【控制面板】→【添加或刪除程序】。－d增加顯示磁盤信息。【控制面板】→【計(jì)算機(jī)管理】→【存儲(chǔ)】→【磁盤管理】。－c以ＣSＶ格式顯示。-t設(shè)置其他符號(hào)為分隔符.常用：psｉnfo＼\７２．５6.１7。7４psinfo\\７２.56．１7。74–ｈｐsinfｏ＼＼72.56。17。74–spsiｎｆo\\72。56。17．74–d●ＰＳLＩＳT：顯示本地和遠(yuǎn)程計(jì)算機(jī)的進(jìn)程信息。ｐslist［—？］［—ｄ］［-m］［－x]［-t］［-s[n］［—rn］［\\cｏmputer[-uｕsernａme］[—ppassｗord]］［[—e］name｜pｉd］-ｄ顯示系統(tǒng)上所有活動(dòng)線程的詳細(xì)信息，包括組線程及其子進(jìn)程。-m顯示每個(gè)進(jìn)程的內(nèi)存方面的信息,而不是默認(rèn)的CPU方面的信息.-ｘ顯示每個(gè)指定進(jìn)程的CPU、內(nèi)存、線程信息。－t顯示進(jìn)程樹(shù)。-s［ｎ］在指定的秒數(shù)內(nèi)，以任務(wù)管理器模式運(yùn)行。按EＳC退出.—ｒ任務(wù)管理器模式更新率。單位是秒,默認(rèn)是1秒。name僅顯示以指定名稱開(kāi)始的進(jìn)程的相關(guān)信息。－ｅ與進(jìn)程名稱精確匹配，而不是開(kāi)頭部分匹配。常用：ｐｓｌｉｓｔ\\72。５６．17.74psliｓｔ\\７2．56。17.7４–ｄpsliｓt\＼72。56。17。74—mｐslｉｓｔ\\72。56。１７。７4–xpslｉst\＼72.５6.17。74—tｐslisｔ＼\72。５6.17.７４—s500pslist\\72．5６。１7。7４ｓ僅顯示以ｓ開(kāi)始的進(jìn)程的相關(guān)信息.●ＰSＫＩLＬ：殺掉本地和遠(yuǎn)程計(jì)算機(jī)上指定的進(jìn)程.ｐskill［－t][\\coｍpuｔｅｒ[—uusｅrname］［—ｐpasswｏrd］］<ｐrocesｓnａme|proceｓｓid＞—t刪除進(jìn)程及其子進(jìn)程。Processiｄ指定進(jìn)程的ＩD.Proｃeｓsnamｅ指定進(jìn)程的名稱。常用:pskill\\７２.56。17。74－t1820●ＰＳＬOGGＥDＯN：查看指定計(jì)算機(jī)的本地及遠(yuǎn)程登錄的用戶和登錄時(shí)間。psｌoｇgedoｎ［-?][-l]［－x]［＼\cｏｍputerｎaｍe|usｅｒnaｍe］-l只顯示本地登錄情況.如果不使用該參數(shù)則同時(shí)顯示本地登錄和遠(yuǎn)程登錄情況。－x不顯示登錄時(shí)間.如果不使用該參數(shù)則顯示登錄時(shí)間。一般使用。-username指定一個(gè)用戶名。命令自動(dòng)搜索該用戶賬戶在哪個(gè)計(jì)算機(jī)上登錄了。一般不使用.常用：psloggedon\\72.56．17.７4psloggedｏn\\72．56。1７。74-x●PSLOGLＩST:事件日志轉(zhuǎn)儲(chǔ)及管理。對(duì)于黑客來(lái)說(shuō)，最大的用處是能在命令行下遠(yuǎn)程清除系統(tǒng)日志。pｓｌoglist［\\cｏｍputｅr［，ｃomputｅr２［，．..］|＠fiｌe][－ｕuｓerｎaｍe［－ｐpaｓsworｄ]］]［—s[—tdeliｍitｅr]］［－m#|—n＃|—d#|－h(huán)＃｜-w］[-c］[－x］［-ｒ］［—aｍｍ／dd／yy]［-bｍｍ/dd/yy］[－ｆfｉｌter]［—ｉＩD，［IＤ，..。]］|—eＩD,［IＤ，。．.]］[－oeｖｅntsource［，eveｎtｓoｕrcｅ[，.．.］]］［—qeｖeｎtsouｒｃｅ[,eventｓource[，．。。］]］［［—ｇ｜－l]eventlｏgfｉle］〈ｅｖentlog>-a僅轉(zhuǎn)儲(chǔ)指定日期之后的記錄。－ｂ僅轉(zhuǎn)儲(chǔ)指定日期之前的記錄.—ｃ顯示記錄后清除事件日志。－d僅顯示近幾天以內(nèi)的記錄。－ｅ排除具有指定的一個(gè)或多個(gè)id（最多10個(gè)）記錄。－f用過(guò)濾字符串過(guò)濾事件類型。(例如"-fw”過(guò)濾警告類型事件）—g將事件記錄輸出為evt文件。只能與-c參數(shù)配合使用.—h僅顯示近幾小時(shí)以內(nèi)的記錄?！猧僅顯示具有指定的一個(gè)或多個(gè)ｉｄ(最多10個(gè)）的記錄.-ｌ從指定的事件記錄文件轉(zhuǎn)儲(chǔ)記錄。-m僅顯示近幾分鐘以內(nèi)的記錄。-n僅顯示近幾個(gè)事件記錄?！飪H顯示來(lái)源于指定事件來(lái)源的記錄。(例如”—ocｄrom”)—q排除來(lái)源于指定事件來(lái)源的記錄.—r按照從最早到最近的順序轉(zhuǎn)儲(chǔ)事件記錄.（即顛倒順序轉(zhuǎn)儲(chǔ)）-s以“一行一條”的方式顯示記錄，字段間用逗號(hào)分隔.這種格式對(duì)于文本搜索很方便。例如pslogｌist|fiｎdsｔr/Iｔexｔ，也可以輸出到空白表中。-t默認(rèn)的分隔符是逗號(hào)，但是可以用該參數(shù)指定其他的分隔符。-w等待新事件,以便實(shí)時(shí)地轉(zhuǎn)儲(chǔ)新產(chǎn)生的事件記錄?！獂轉(zhuǎn)儲(chǔ)擴(kuò)展數(shù)據(jù)。evｅｎtloｇ默認(rèn)情況下顯示的是ｓystｅｍ事件日志中的記錄。通過(guò)輸入日志長(zhǎng)名稱（applicatiｏn，ｓysteｍ，secｕrity)的前幾個(gè)字符就可以指定不同的事件日志.常用:pslogｌist\\72。56.１7.74appｌicａｔiｏn－c>ｎｕｌpsloglｉst\＼72．56。17.74sｙｓtem－c>nulｐsloglist＼\7２.56。1７．74ｓｅｃuｒity—c＞nｕlfor%aｉｎ（applicａｔiｏnｓystemsecuｒity)do@pslｏglist\\7２．56.17。74%a-ｃ＞ｎul2＞nuｌfor％ａｉｎ（ａｐplicationsyｓtｅｍsecuｒiｔy）ｄo@pｓloglｉｓｔ％ａ—ｃ>ｎul2〉nｕl上述語(yǔ)句可以同時(shí)清除多個(gè)日志（且執(zhí)行后沒(méi)有任何顯示）?！馪ＳPASSＷD:修改本地或遠(yuǎn)程計(jì)算機(jī)任意用戶賬戶的密碼。增強(qiáng)了ＮEＴUSＥR命令，ＮＥTUＳER命令不能遠(yuǎn)程修改用戶賬戶的密碼。ｐspａsｓｗd[\\computer［，ｃｏｍpｕter［,。.．]|@file［-uusernａmｅ［-ppaｓsworｄ]]]Uｓerｎａmｅ［NewPassｗorｄ]]usernａme指定要修改密碼的用戶賬戶的用戶名。newpaｓswｏｒd指定用戶賬戶要修改的新密碼。如果省略該參數(shù)，則新密碼為空。常用：pspａｓswd\\７2．56.１7.７４test888●ＰSSＥRVＩCE:管理服務(wù)。pｓｓeｒvice［＼\Ｃｏｍpｕteｒ[-ｕUsｅrnamｅ[-ｐPasswoｒｄ]]］<cmd＞<optnｓ>query查詢服務(wù)的相關(guān)信息。cｏｎfig查詢服務(wù)的配置信息。setｃoｎfig設(shè)置服務(wù)的配置(實(shí)際上就是啟動(dòng)類型，值有ａｕto,ｄemandanddisabｌed三種）.start啟動(dòng)服務(wù)。stoｐ停止服務(wù)。resｔart停止然后啟動(dòng)服務(wù).pａuse暫停服務(wù).cont恢復(fù)暫停的服務(wù)。ｄepend顯示哪些服務(wù)依賴于指定的服務(wù)。find在網(wǎng)絡(luò)中查找服務(wù)的給定實(shí)例。seｃuｒitｙ報(bào)告指定服務(wù)的安全信息。常用：pｓｓerｖｉｃeｑueryｍesｓenger查詢messengｅｒ服務(wù)的相關(guān)信息。最重要的項(xiàng)目是：服務(wù)名稱、顯示名稱、服務(wù)描述、服務(wù)類型、服務(wù)狀態(tài)。ｐsserviｃecｏnｆigmｅsｓｅnｇeｒ查詢服務(wù)的配置信息。最重要的項(xiàng)目是：服務(wù)名稱、服務(wù)描述、服務(wù)類型、服務(wù)啟動(dòng)類型、服務(wù)錯(cuò)誤控制級(jí)別、可執(zhí)行文件的路徑等等?！馪SSＨUＴDOＷN：關(guān)機(jī)工具。比系統(tǒng)自帶的sｈutｄown多一些關(guān)機(jī)功能。pｓshuｔdoｗn［＼＼computer［,compuｔer［,.。。]|＠fｉlｅ［—uｕsername［－pｐassword］］］—s|—r|－ｈ｜-d｜—k|-a|—ｌ|—ｏ[-f］[-c］［—ns］［－ｔnｎ｜h：ｍ][-e［u｜ｐ]:xx：yｙ][－m"meｓsaｇｅ"］－ａ中止關(guān)機(jī)操作。僅在倒計(jì)時(shí)過(guò)程中可以。只能中止pｓshｕtdown所啟動(dòng)的關(guān)機(jī)操作,不能中止系統(tǒng)自帶命令shutdowｎ啟動(dòng)的關(guān)機(jī)操作。反之亦然。－c允許交互用戶中止關(guān)機(jī)操作。操作界面多一個(gè)ｃancel按鈕。-d使計(jì)算機(jī)待機(jī)。關(guān)機(jī)方式.Sｈutdｏwn不具備此功能。-e[u|ｐ]：xx：yｙ關(guān)機(jī)原因代碼。U用戶原因代碼；P計(jì)劃關(guān)機(jī)原因代碼.XＸ主原因代碼;ＹY次原因代碼.-f在關(guān)機(jī)時(shí)強(qiáng)制退出所有正在運(yùn)行的程序，不給保存數(shù)據(jù)的時(shí)間.-h使計(jì)算機(jī)休眠.關(guān)機(jī)方式。休眠用電源鍵恢復(fù)?；謴?fù)后網(wǎng)絡(luò)連不上了。Shuｔｄown不具備此功能?！猭關(guān)閉電源。(如果不支持關(guān)閉電源則重新啟動(dòng)）關(guān)機(jī)方式。-l鎖定計(jì)算機(jī)。就是回到登錄界面。關(guān)機(jī)方式。-m＂mｅｓsage”在關(guān)機(jī)倒計(jì)時(shí)開(kāi)始的時(shí)候，顯示指定信息給當(dāng)前登錄賬戶。-ns指定連接到遠(yuǎn)程計(jì)算機(jī)的超時(shí)時(shí)限（單位：秒).—o注銷控制臺(tái)用戶。關(guān)機(jī)方式?！猺關(guān)機(jī)后重新啟動(dòng).關(guān)機(jī)方式?！猻關(guān)機(jī)但不關(guān)閉電源。關(guān)機(jī)方式。-tnn｜h:m指定關(guān)機(jī)的倒計(jì)時(shí)時(shí)限（單位:秒，默認(rèn)是20秒）,或者關(guān)機(jī)的時(shí)間（24小時(shí)格式）。