PSTools使用说明大全.doc

PSTools使用阐明大全在网络袭击中，常常用到一种工具系列叫pstools，它是由Sysinternals公司推出的一种功能强大的Windows NT/远程管理工具包，涉及系列工具如下：PsExec - 远程运营程序； PsFile - 显示远程打开的文献； PsGetSid - 显示计算机或顾客的SID； PsKill - 根据进程名或进程ID杀进程； PsInfo - 显示系统有关信息； PsList - 显示具体的进程信息； PsLoggedOn - 显示通过资源共享登陆到本地； PsLogList - 导出日记文献； PsPasswd - 更改顾客密码； PsService - 查看和控制服务； PsShutdown - 关闭或重启远程计算机； PsSuspend - 终结进程； PsUptime - 最后重启后系统运营的时间 ●PSTOOLS工具的特点涉及：1．可以运营在WIN NT BASED操作系统（NT//XP/）上，不用在本地安装，不用在远程计算机上安装客户端2．只要先建立了IPC$共享，在执行该工具中每个命令时，都会使用目前建立IPC$共享的这个账户身份来执行，而不必再使用-U、-P参数指定账户的顾客名、密码。

net use \\72.56.17.74\ipc$ jck704zcy /user:zcy3．部分工具可以运营的前提条件是远程计算机必须启动ADMIN$管理共享和启动REMOTE REGISTRY服务（服务名称是REMOTEREGISTRY）4．容许用@FILE参数指定多种计算机即可以同步对多种计算机进行操作●PSEXEC：远程运营程序是一种轻量级的TELNET替代工具，可以让你完全采用交互式的命令控制台在远程主机上执行命令，不用手工安装任何客户端最强大的用法是在远程计算机上启动交互式的命令提示符（很像TELNET）和远程使用某些没有远程功能的工具（即远程执行某些远程主机上的命令，并将成果显示给本地主机；或者将本地主机的文献复制到远程主机上并执行）psexec [\\computer[,computer2[,...] | @file][-u user [-p psswd]][-n s][-l][-s|-e][-x][-i [session]][-c [-f|-v]][-w directory][-d][-][-a n,n,...] cmd [arguments]参数含义-s在系统账户（SYSTEM账户）下运营远程进程。

e加载指定账户的方略配备文献i运营程序以便该程序与远程操作系统中指定会话的桌面交互如果没有指定的会话，进程会运营在CONSOLE（控制台）会话中l以受限顾客身份（清除Administrators 组的权限，并且只容许使用分派给 Users 组的权限）运营进程在Windows Vista上，此进程将以“低完整性”运营c复制指定的程序到远程计算机操作系统以便执行如果你省略了这个选项，那么指定的程序必须位于远程计算机操作系统的系统途径中n指定连接远程计算机的超时秒数超过即为超时）-f强制复制指定的程序到远程系统，虽然远程计算机上已经存在该文献v仅在指定文献具有更高版本号或该（本地）文献比远程系统上的文献新时，才复制该文献d不等待应用程序终结请只对非交互式应用程序使用此选项w设立进程的工作目录（相对于远程计算机）x在登录桌面上显示顾客界面（仅限于本地系统）priority指定–low、-belownormal、-abovenormal、-high或-realtime，以便按不同优先级运营进程a用逗号分隔的可以运营应用程序的解决器，CPU 编号最小为 1例如，要在 CPU 2 和 CPU 4 上运营应用程序，请输入：“-a 2,4”arguments要传递的参数（请注意，文献途径必须是目的系统中的绝对途径）。

如果要运营的程序在远程系统中，但不在远程系统的系统途径中，请指定该程序的完整途径对于其名称中具有空格的应用程序，可以在其两侧加引号，例如，psexec \\marklap "c:\long name\app.exe"按下 Enter 键时，仅将输入内容传递到远程系统键入 Ctrl-C 可终结远程进程如果省略顾客名，则远程进程将以执行 PsExec 时所使用的相似帐户运营，但由于远程进程以模仿方式运营，因此它无权访问远程系统上的网络资源指定顾客名时，远程进程将以指定的帐户执行，并可访问该帐户有权访问的任何网络资源请注意，密码是以明文形式传递到远程系统的当目的系统是本地系统时，由于 PsExec 不需要您具有管理员权限，因此您可以使用目前版本的 PsExec 来取代 Runas常用：Psexec \\72.56.17.74 cmd启动远程计算机上的交互命令提示符（就是一种SHELL）在远程计算机上没有任何界面，这个提示符显示在本地计算机上这个命令最重要Psexec \\72.56.17.74 cmd /c dir c:\要运营远程计算机上的DOS命令，只能以上述形式运营由于DOS命令没有相应的可执行文献。

Psexec \\72.56.17.74 –i –d calc在远程计算机上启动计算器程序执行后，在本地该命令始终处在运营状态，直到远程计算机上计算器程序终结，本地命令才退出运营状态测试中发现，使用-i参数执行交互程序时，只有等到远程计算机上退出该程序，本地才会退出运营界面当在远程计算机上执行calc、notepad等有交互界面的程序且不同步带-i -d参数时，该命令在远程计算机没有任何显示，在本地也始终不能退出直到在远程主机上在或在本地远程删除指定进程，该命令才退出当在远程计算机上执行calc、notepad等有交互界面的程序，且同步带-i -d参数时，该命令在远程计算机显示，在本地始终不能退出直到在远程主机上退出交互界面或删除指定进程，或在本地远程删除指定进程，该命令才退出PsExec -i -d -s CMD以SYSTEM帐户身份打开另一种CMD窗口这是得到SYSTME 权限SHELL的两种措施之一，也是最迅速的措施●PSFILE：显示指定计算机上被远程系统打开的文献列表，也可以关闭这些打开的文献psfile [\\RemoteComputer [-u Username [-p Password]]] [[Id | path] [-c]]ID（PSFILE分派的）被远程打开的文献的ID。

Path被远程打开的文献的所有或部分途径c按照ID或途径关闭被远程打开的文献●PSGETSID：得到本地或远程计算机中计算机和顾客的SID（安全标记符）psgetsid [\\computer[,computer[,...] | @file [-u username [-p password]]] [account]常用：psgetsid \\72.56.17.74得到远程计算机72.56.17.74的SIDpsgetsid \\72.56.17.74 zcy得到远程计算机72.56.17.74上zcy顾客的SID●PSINFO查询本地和远程计算机系统信息psinfo [\\computer[,computer[,...] | @file [-u username [-p password]]] [-h] [-s] [-d] [-c [-t delimter]]参数含义-h增长显示已安装的补丁信息控制面板】→【添加或删除程序】→启用【显示更新】，之后就可以查到s增长显示已安装的软件信息控制面板】→【添加或删除程序】d增长显示磁盘信息控制面板】→【计算机管理】→【存储】→【磁盘管理】c以CSV格式显示。

t设立其她符号为分隔符常用：psinfo \\72.56.17.74psinfo \\72.56.17.74 –hpsinfo \\72.56.17.74 –spsinfo \\72.56.17.74 –d●PSLIST：显示本地和远程计算机的进程信息pslist [-?] [-d] [-m] [-x][-t][-s [n] [-r n] [\\computer [-u username] [-p password]] [[-e] name | pid]-d显示系统上所有活动线程的具体信息，涉及组线程及其子进程m显示每个进程的内存方面的信息，而不是默认的CPU方面的信息x显示每个指定进程的CPU、内存、线程信息t显示进程树s[n]在指定的秒数内，以任务管理器模式运营按ESC退出r任务管理器模式更新率单位是秒，默认是1秒name仅显示以指定名称开始的进程的有关信息e与进程名称精确匹配，而不是开头部分匹配常用：pslist \\72.56.17.74pslist \\72.56.17.74 –dpslist \\72.56.17.74 -mpslist \\72.56.17.74 –xpslist \\72.56.17.74 -tpslist \\72.56.17.74 -s 500pslist \\72.56.17.74 s仅显示以s开始的进程的有关信息。

●PSKILL：杀掉本地和远程计算机上指定的进程pskill [-t] [\\computer [-u username] [-p password]] -t删除进程及其子进程Process id指定进程的IDProcess name指定进程的名称常用：pskill \\72.56.17.74 -t 1820●PSLOGGEDON：查看指定计算机的本地及远程登录的顾客和登录时间psloggedon [-?] [-l] [-x] [\\computername | username]-l只显示本地登录状况如果不使用该参数则同步显示本地登录和远程登录状况x不显示登录时间如果不使用该参数则显示登录时间一般使用username指定一种顾客名命令自动搜索该顾客账户在哪个计算机上登录了一般不使用常用：psloggedon \\72.56.17.74psloggedon \\72.56.17.74 -x●PSLOGLIST：事件日记转储及管理对于黑客来说，最大的用处是能在命令行下远程清除系统日记psloglist [\\computer[,computer2[,...] | @file] [-u username [-p password]]] [-s [-t delimiter]] [-m #|-n #|-d #|-h #|-w][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy] [-f filter] [-i ID,[I。