PsList na Windowsu: Potpuni vodič za parametre, upotrebu i primjere

  • PsList popisuje i analizira lokalne ili udaljene procese s metrikama memorije, niti i stabla.
  • Radi bez instalacije, podržava akreditive i način rada "Upravitelj zadataka" s osvježavanjem.
  • Ključne skraćenice (Pri, Thd, WS, Priv, Faults, Cswtch) olakšavaju dijagnozu.
  • Dopunjuje ostale PsTools i Volatility alate za naprednu analizu.
Daniel Terrasa

7 minuta

Alat PSList u Windowsu

Ako upravljate Windows sistemima i volite ići dalje od Upravitelja zadataka, PsList je švicarski nožić za rendgensko snimanje. na lokalnim i udaljenim računarima. Dio je Sysinternals PsTools paketa (kojeg je kreirao Mark Russinovich) i omogućava vam da pretražujete sve, od broja niti do memorije i stabla procesa, s besprijekornom brzinom i tačnošću.

Pored osnovnog popisa, PsList koristi prednosti brojača performansi Windows za prikaz metrika koje vam pomažu da shvatite šta se dešava "ispod haube". Također ne zahtijeva instalaciju, pokreće se putem komandne linije i može se autentificirati na drugim računarima, što ga čini vrlo laganom opcijom za podršku, rješavanje problema i automatizaciju.

Šta je PsList i čemu služi?

PsList je konzolni uslužni program uključen u paket. PsTools od Sysinternals-aNjegova glavna funkcija je da navede detaljne informacije o procesima u Windowsu: prioritet, niti, identifikatore, potrošnju memorije (virtualni i radni skup), greške stranica, promjene konteksta i još mnogo toga, s mogućnošću prikaza... stablo procesa i proširiti se na nivou niti ili memorije po procesu.

Jedna od njegovih velikih prednosti je što se može pokrenuti lokalno ili ciljati udaljeni računar koristeći ime hosta ili IP adresu. Uz prave opcije, PsList pruža detaljan uvid u status sistema bez potrebe za otvaranjem grafičkih interfejsa ili instaliranjem agenata, idealno za okruženja sa strogim pravilima ili sesijama udaljene konzole.

Korištenje PsLista za procese u Windowsu

Preuzimanje, instalacija i kompatibilnost

PsTools alati se distribuiraju kao kompaktni paket od otprilike Preuzimanje od 5 MBNe zahtijevaju instalaciju: samo ih raspakujte i pokrenite iz konzole sa željenim parametrima. Ako želite vidjeti kompletnu pomoć za bilo koji uslužni program, dodajte modifikator -? za prikaz sintakse i opcija.

Što se tiče kompatibilnosti, PsTools paket pokazuje podršku za Windows 8.1 i noviji (klijent), Windows Server 2012 i noviji (server) i Nano Server 2016+. Historijski gledano, PsList v1.4 se pojavljuje s referencama na Windows Vista/Server 2008 i novije verzije, a njegovo posljednje ažuriranje datirano je 29.06.2016. u prevedenim karticama; Stranica PsTools paketa prikazuje revizije iz 2023., održavajući opštu kompatibilnost na modernim sistemima.

Još jedna dobra vijest: nije potrebno instalirati dodatni softver na ciljnim računarima; Autentifikacija se vrši pomoću Windows vjerodajnica i PsList upituje sistemske brojače. Međutim, za udaljena okruženja, preporučljivo je pokrenuti konzolu "kao administrator" i imati odgovarajuće dozvole.

Kako PsList funkcioniše u nastavku

PsList koristi Brojači performansi Windowsa (iste one na koje se PerfMon oslanja) za dobijanje statistike procesa i niti. Ovaj pristup čini očitanja konzistentnim s drugim alatima u Windows ekosistemu i izbjegava egzotične zavisnosti.

Ovaj pristup datira odavno (Windows NT/2000), ali je i dalje u potpunosti koristan. Zahvaljujući tome, Izlaz PsLista je stabilan i pouzdan, i omogućava vam unakrsno referenciranje podataka s drugim uslužnim programima komandne linije ili skriptama za automatizaciju.

Alat PSList u Windowsu

Skraćenice i metrike ključne memorije

Sve vrijednosti memorije su prikazane u kilobajti (KB)Da biste pravilno interpretirali izlaz, dobro je biti upoznat sa skraćenicama koje ćete vidjeti na ekranu.

  • pri: prioritet procesa.
  • Thd: broj niti povezanih s procesom.
  • Hnd: broj otvorenih ručki.
  • VM: ukupna virtuelna memorija procesa.
  • WS: radni set (aktivno korištena RAM memorija).
  • Priv: privatna virtuelna memorija procesa.
  • Privatni parkDostignut je vrhunac privatne virtuelne memorije.
  • SmetnjeZabilježene su greške na stranici.
  • Ne-P: korištenje memorije nestraničnog bazena.
  • strana: korištenje memorije straničnog bazena.
  • Prekidačbroj promjena konteksta.

S ovim definicijama, brzo ćete pročitati izlaz PsLista i moći ćete identificirati vršne vrijednosti potrošnje, curenja ili abnormalno ponašanje u sekundi.

Najkorisnija sintaksa i parametri

U najjednostavnijem obliku, jednostavno pokrenite binarni fajl bez parametara da biste sve izlistali. Odatle, Magija je u modifikatorima, koji vam omogućavaju filtriranje po imenu, PID-u, stablu, nitima, memoriji, načinu rada "Upravitelj zadataka" i još mnogo toga.

Naredba/parametar Šta radi
pslist exp Navodi procese čije ime počinje sa "exp"; korisno za lociranje, na primjer explorer.exe.
-d Prikazuje detalje na nivou niti procesa.
-m Proširite izlaz sa detaljna statistika memorije.
-x Prošireni izlaz: kombinuje proces, memorija i niti u jednom prikazu.
-t Pokaži stablo procesa (odnos roditelj-dijete).
-s Režim „Upravitelj zadataka“ u trajanju od n sekundi (ako se n izostavi, ostaje aktivan). Esc za izlaz.
-r n U režimu „Upravitelj zadataka“ postavite interval osvježavanja u sekundama (zadano 1).
\\equipo Konsultujte a udaljeni tim umjesto lokalnog. Kombinujte ga sa -u y -p ako su vam potrebni akreditivi.
-u Korisnik s kojim se treba autentificirati na udaljenom računaru. Format domena/korisnik ako je primjenjivo.
-p Lozinka za udaljenog korisnika. Ako je ne proslijedite, PsList će to interaktivno tražiti.
nombre Filtriraj po procesima čiji naziv počinje sa naznačeni tekst.
-e Snaga koju ime samo po sebi nosi tačno odgovaraju.
pid Ograničava izlaz na proces sa tim identifikator (PID), npr., pslist 53.

Pomoću ove tabele kao vodiča, lako je kreirati upite koji odgovaraju na ono što vam je potrebno u bilo kojem trenutku, od brzog pregleda do temeljitiju istragu po nitima ili potrošnji i drugima komande za dijagnostiku sistema.

Režim "Upravitelj zadataka" i učestalost ažuriranja

Kada želite kontinuirano čitanje bez otvaranja grafičkog interfejsa, aktivirajte interaktivni način rada pomoću -sOvaj način rada ažurira metrike kao što bi to učinio Upravitelj zadataka i ostaje aktivan sve dok se ne pritisne Esc (ili dok ne prođe broj sekundi koji odredite).

Ako vam se čini prebrzim ili presporim, prilagodite ga pomoću -r n interval osvježavanja. Na primjer, pslist -s -r 2 Prikazivat će ažuriranja svake dvije sekunde, u ugodnom ritmu kako vas ne bi preopteretilo promjenama.

Udaljena upotreba i autentifikacija

Da biste konsultovali drugi tim, unesite prefiks odredišta: pslist \\SERVIDORAko vaši trenutni podaci za prijavu nisu dovoljni, dodajte korisničko ime i lozinku sa -u y -p.

Tipičan primjer s akreditacijama:

pslist \\EQUIPO-REMOTO -u DOMINIO\usuario

Nakon pokretanja, ako niste unijeli lozinku, bit će zatraženo interaktivnoNakon uspješne autentifikacije, vidjet ćete listu sa kolonama kao što su ime, PID, prioritet, niti, identifikatori, korištenje i vrijeme CPU-a/izvršavanja.

Reprezentativni izlazni isječak mogao bi izgledati ovako (parafrazirano):

Name      Pid  Pri  Thd  Hnd   Priv      CPU Time     Elapsed
Idle        0    0    2    0      0   1:15:30.953   0:00:00.000
System      4    8   70  350      0   0:00:10.700   0:00:00.000
explorer 1234   13   25  500  75000   0:01:05.200   0:40:00.000

Ovako možete otkriti procese sa abnormalna potrošnja ili procijenite status udaljenog sistema na prvi pogled.

PsList unutar PsTools paketa

PsList je dio veće porodice uslužnih programa s prefiksom "Ps", inspirisanih naredbom UNIX ps i usmjeren na lokalnu i udaljenu administraciju. Među najkorisnijima:

  • psexec: pokretanje procesa na daljinu.
  • PsFile: : prikaži datoteke otvorene daljinski.
  • PsGetSid: : upit za SID računara ili korisnika.
  • psinfoinventar sistema.
  • PsPing: mjerenja mreže.
  • PsKill: završiti procese pomoću PID ili naziv.
  • PsLoggedOnSesije započete lokalno ili putem dijeljenih resursa.
  • PsLogList: izbacivanje zapisnika događaja.
  • PsPasswd: promjena lozinki računa.
  • PsService: pregled/kontrola usluga.
  • PsShutdown: : isključite ili ponovo pokrenite računare.
  • PsSuspend: obustaviti procese.

Uobičajeni tok je kombinovanje PsList + PsKillLocirate krivca i, ako je primjenjivo, eliminirate ga po imenu ili PID-u pomoću alata za prekid procesa i uslugaPaket uključuje HTML datoteku pomoći s potpunim uputama za korištenje svakog alata i funkcija. Forumi za podršku Sysinternals-a za pitanja ili probleme.

Kompatibilnost, verzija i dodatne napomene

U nekim prevedenim karticama vidjet ćete da se PsList pojavljuje u kategoriji "Uslužni programi za procese", sa verzijom 1.4 i "Posljednje ažuriranje: 29.06.2016." Paralelno s tim, stranica PsTools paketa ističe novije revizije (npr. 2023) i moderno okruženje za izvršavanje klijent/server.

Ako otkrijete bilo kakve greške u dokumentaciji ili prijevodima, neke stranice preporučuju prijavi to putem e-maila (na primjer, support@ehack.mx). Na službenoj strani, uvijek ćete pronaći novosti i bilješke u Sysinternals forumi, kao i članke u časopisu TechNet s pregledima PsToolsa.

Imati PsList u svom setu alata znači jednostavan i jednostavan način da vidite šta je važno: koji procesi se izvršavaju, koliko troše i kako su povezaniSa svojim filterima, interaktivnim načinom rada i udaljenom podrškom, savršen je za brzu dijagnostiku i podršku produkciji. A ako vaš slučaj zahtijeva ispitivanje memorijskih dumpova, most prema Volatilityju će vam omogućiti da upotpunite sliku forenzičkim tehnikama.

otkrivač rootkitova
Vezani članak:
RootkitRevealer: Ultimativni vodič za otkrivanje krađe u Windowsu