PSTools使用说明大全.doc

PSTools使用说明大全在网络攻击中，经常用到一个工具系列叫pstools，它是由Sysinternals公司推出的一个功能强大的Windows NT/2000远程管理工具包，包含系列工具如下：PsExec - 远程运行程序； PsFile - 显示远程打开的文件； PsGetSid - 显示计算机或用户的SID； PsKill - 根据进程名或进程ID杀进程； PsInfo - 显示系统有关信息； PsList - 显示详细的进程信息； PsLoggedOn - 显示通过资源共享登陆到本地； PsLogList - 导出日志文件； PsPasswd - 更改用户密码； PsService - 查看和控制服务； PsShutdown - 关闭或重启远程计算机； PsSuspend - 终止进程； PsUptime - 最后重启后系统运行的时间。PSTOOLS工具的特点包括：1可以运行在WIN NT BASED操作系统（NT/2000/XP/2003）上，不用在本地安装，不用在远程计算机上安装客户端。2只要先建立了IPC$共享，在执行该工具中每个命令时，都会使用当前建立IPC$共享的这个账户身份来执行，而不必再使用-U、-P参数指定账户的用户名、密码。net use 72.56.17.74ipc$ jck704zcy /user:zcy3部分工具可以运行的前提条件是远程计算机必须开启ADMIN$管理共享和启动REMOTE REGISTRY服务（服务名称是REMOTEREGISTRY）。4允许用FILE参数指定多个计算机。即可以同时对多个计算机进行操作。PSEXEC：远程运行程序。是一个轻量级的TELNET替代工具，可以让你完全采用交互式的命令控制台在远程主机上执行命令，不用手工安装任何客户端。最强大的用法是在远程计算机上启动交互式的命令提示符（很像TELNET）和远程使用一些没有远程功能的工具（即远程执行一些远程主机上的命令，并将结果显示给本地主机；或者将本地主机的文件复制到远程主机上并执行）。psexec computer,computer2,. | file-u user -p psswd-n s-l-s|-e-x-i session-c -f|-v-w directory-d-a n,n,. cmd arguments参数含义-s在系统账户（SYSTEM账户）下运行远程进程。-e加载指定账户的策略配置文件。-i运行程序以便该程序与远程操作系统中指定会话的桌面交互。如果没有指定的会话，进程会运行在CONSOLE（控制台）会话中。-l以受限用户身份（去除Administrators 组的权限，并且只允许使用分配给 Users 组的权限）运行进程。在Windows Vista上，此进程将以“低完整性”运行。-c复制指定的程序到远程计算机操作系统以便执行。如果你省略了这个选项，那么指定的程序必须位于远程计算机操作系统的系统路径中。-n指定连接远程计算机的超时秒数。（超过即为超时）-f强制复制指定的程序到远程系统，即使远程计算机上已经存在该文件。-v仅在指定文件具有更高版本号或该（本地）文件比远程系统上的文件新时，才复制该文件。-d不等待应用程序终止。请只对非交互式应用程序使用此选项。-w设置进程的工作目录（相对于远程计算机）。-x在登录桌面上显示用户界面（仅限于本地系统）。-priority指定low、-belownormal、-abovenormal、-high或-realtime，以便按不同优先级运行进程。-a用逗号分隔的可以运行应用程序的处理器，CPU 编号最小为 1。例如，要在 CPU 2 和 CPU 4 上运行应用程序，请输入：“-a 2,4”arguments要传递的参数（请注意，文件路径必须是目标系统中的绝对路径）。如果要运行的程序在远程系统中，但不在远程系统的系统路径中，请指定该程序的完整路径。对于其名称中含有空格的应用程序，可以在其两侧加引号，例如，psexec marklap c:long nameapp.exe。按下 Enter 键时，仅将输入内容传递到远程系统。键入 Ctrl-C 可终止远程进程。如果省略用户名，则远程进程将以执行 PsExec 时所使用的相同帐户运行，但由于远程进程以模仿方式运行，因此它无权访问远程系统上的网络资源。指定用户名时，远程进程将以指定的帐户执行，并可访问该帐户有权访问的任何网络资源。请注意，密码是以明文形式传递到远程系统的。当目标系统是本地系统时，由于 PsExec 不需要您具有管理员权限，因此您可以使用当前版本的 PsExec 来取代 Runas。常用：Psexec 72.56.17.74 cmd启动远程计算机上的交互命令提示符（就是一个SHELL）。在远程计算机上没有任何界面，这个提示符显示在本地计算机上。这个命令最重要。Psexec 72.56.17.74 cmd /c dir c:要运行远程计算机上的DOS命令，只能以上述形式运行。因为DOS命令没有对应的可执行文件。Psexec 72.56.17.74 i d calc在远程计算机上启动计算器程序。（执行后，在本地该命令一直处于运行状态，直到远程计算机上计算器程序终止，本地命令才退出运行状态。）测试中发现，使用-i参数执行交互程序时，只有等到远程计算机上退出该程序，本地才会退出运行界面。当在远程计算机上执行calc、notepad等有交互界面的程序且不同时带-i -d参数时，该命令在远程计算机没有任何显示，在本地也一直不能退出。直到在远程主机上在或在本地远程删除指定进程，该命令才退出。当在远程计算机上执行calc、notepad等有交互界面的程序，且同时带-i -d参数时，该命令在远程计算机显示，在本地一直不能退出。直到在远程主机上退出交互界面或删除指定进程，或在本地远程删除指定进程，该命令才退出。PsExec -i -d -s CMD以SYSTEM帐户身份打开另一个CMD窗口。这是得到SYSTME 权限SHELL的两种方法之一，也是最快速的方法。PSFILE：显示指定计算机上被远程系统打开的文件列表，也可以关闭这些打开的文件。psfile RemoteComputer -u Username -p Password Id | path -cID（PSFILE分配的）被远程打开的文件的ID。Path被远程打开的文件的全部或部分路径。-c按照ID或路径关闭被远程打开的文件。PSGETSID：得到本地或远程计算机中计算机和用户的SID（安全标识符）。psgetsid computer,computer,. | file -u username -p password account常用：psgetsid 72.56.17.74得到远程计算机72.56.17.74的SID。psgetsid 72.56.17.74 zcy得到远程计算机72.56.17.74上zcy用户的SID。PSINFO查询本地和远程计算机系统信息。psinfo computer,computer,. | file -u username -p password -h -s -d -c -t delimter参数含义-h增加显示已安装的补丁信息。【控制面板】【添加或删除程序】启用【显示更新】，之后就可以查到。-s增加显示已安装的软件信息。【控制面板】【添加或删除程序】。-d增加显示磁盘信息。【控制面板】【计算机管理】【存储】【磁盘管理】。-c以CSV格式显示。-t设置其他符号为分隔符。常用：psinfo 72.56.17.74psinfo 72.56.17.74 hpsinfo 72.56.17.74 spsinfo 72.56.17.74 dPSLIST：显示本地和远程计算机的进程信息。pslist -? -d -m -x-t-s n -r n computer -u username -p password -e name | pid-d显示系统上所有活动线程的详细信息，包括组线程及其子进程。-m显示每个进程的内存方面的信息，而不是默认的CPU方面的信息。-x显示每个指定进程的CPU、内存、线程信息。-t显示进程树。-sn在指定的秒数内，以任务管理器模式运行。按ESC退出。-r任务管理器模式更新率。单位是秒，默认是1秒。name仅显示以指定名称开始的进程的相关信息。-e与进程名称精确匹配，而不是开头部分匹配。常用：pslist 72.56.17.74pslist 72.56.17.74 dpslist 72.56.17.74 -mpslist 72.56.17.74 xpslist 72.56.17.74 -tpslist 72.56.17.74 -s 500pslist 72.56.17.74 s仅显示以s开始的进程的相关信息。PSKILL：杀掉本地和远程计算机上指定的进程。pskill -t computer -u username -p password -t删除进程及其子进程。Process id指定进程的ID。Process name指定进程的名称。常用：pskill 72.56.17.74 -t 1820PSLOGGEDON：查看指定计算机的本地及远程登录的用户和登录时间。psloggedon -? -l -x computername | username-l只显示本地登录情况。如果不使用该参数则同时显示本地登录和远程登录情况。-x不显示登录时间。如果不使用该参数则显示登录时间。一般使用。-username指定一个用户名。命令自动搜索该用户账户在哪个计算机上登录了。一般不使用。常用：psloggedon 72.56.17.74psloggedon 72.56.17.74 -xPSLOGLIST：事件日志转储及管理。对于黑客来说，最大的用处是能在命令行下远程清除系统日志。psloglist computer,computer2,. | file -u username -p password -s -t delimiter -m #|-n #|-d #|-h #|-w-c-x-r-a mm/dd/yy-b mm/dd/yy -f filter -i ID,ID,. | -e ID,ID,. -o event source,event source,. -q event source,event source,. -g|-l event log file -a仅转储指定日期之后的记录。-b仅转储指定日期之前的记录。-c显示记录后清除事件日志。-d仅显示近几天以内的记录。-e排除具有指定的一个或多个id(最多10个)记录。-f用过滤字符串过滤事件类型。（例如”-f w”过滤警告类型事件）-g将事件记录输出为evt文件。只能与-c参数配合使用。-h仅显示近几小时以内的记录。-i仅显示具有指定的一个或多个id（最多10个）的记录。-l从指定的事件记录文件转储记录。-m仅显示近几分钟以内的记录。-n仅显示近几个事件记录。-o仅显示来源于指定事件来源的记录。（例如”-o cdrom”）-q排除来源于指定事件来源的记录。-r按照从最早到最近的顺序转储事件记录。（即颠倒顺序转储）-s以“一行一条”的方式显示记录，字段间用逗号分隔。这种格式对于文本搜索很方便。例如psloglist | findstr /I text，也可以输出到空白表中。-t默认的分隔符是逗号，但是可以用该参数指定其他的分隔符。-w等待新事件，以便实时地转储新产生的事件记录。-x转储扩展数据。eventlog默认情况下显示的是system事件日志中的记录。通过输入日志长名称（application,system,security）的前几个字符就可以指定不同的事件日志。常用：psloglist 72.56.17.74 application -c nulpsloglist 72.56.17.74 system -c nulpsloglist 72.56.17.74 security -c nulfor %a in (application system security) do psloglist 72.56.17.74 %a -c nul 2nulfor %a in (application system security) do psloglist %a -c nul 2nul上述语句可以同时清除多个日志（且执行后没有任何显示）。PSPASSWD：修改本地或远程计算机任意用户账户的密码。增强了NET USER命令，NET USER命令不能远程修改用户账户的密码。pspasswd computer,computer,. | file -u username -p password Username NewPasswordusername指定要修改密码的用户账户的用户名。newpassword指定用户账户要修改的新密码。如果省略该参数，则新密码为空。常用：pspasswd 72.56.17.74 test 888PSSERVICE：管理服务。psservice Computer -u Username -p Password query查询服务的相关信息。config查询服务的配置信息。setconfig设置服务的配置（实际上就是启动类型，值有auto, demand and disabled三种）。start启动服务。stop停止服务。restart停止然后启动服务。pause暂停服务。cont恢复暂停的服务。depend显示哪些服务依赖于指定的服务。find在网络中查找服务的给定实例。security报告指定服务的安全信息。常用：psservice query messenger查询messenger服务的相关信息。最重要的项目是：服务名称、显示名称、服务描述、服务类型、服务状态。psservice config messenger查询服务的配置信息。最重要的项目是：服务名称、服务描述、服务类型、服务启动类型、服务错误控制级别、可执行文件的路径等等。PSSHUTDOWN：关机工具。比系统自带的shutdown多一些关机功能。psshutdown computer,computer,. | file -u username -p password -s|-r|-h|-d|-k|-a|-l|-o -f -c -n s -t nn|h:m -e u|p:xx:yy -m message-a中止关机操作。仅在倒计时过程中可以。只能中止psshutdown所启动的关机操作，不能中止系统自带命令shutdown启动的关机操作。反之亦然。-c允许交互用户中止关机操作。操作界面多一个cancel按钮。-d使计算机待机。关机方式。Shutdown不具备此功能。-e u|p:xx:yy关机原因代码。U用户原因代码；P计划关机原因代码。XX主原因代码；YY次原因代码。-f在关机时强制退出所有正在运行的程序，不给保存数据的时间。-h使计算机休眠。关机方式。休眠用电源键恢复。恢复后网络连不上了。Shutdown不具备此功能。-k关闭电源。（如果不支持关闭电源则重新启动）关机方式。-l锁定计算机。就是回到登录界面。关机方式。-m message在关机倒计时开始的时候，显示指定信息给当前登录账户。-n s指定连接到远程计算机的超时时限（单位：秒）。-o注销控制台用户。关机方式。-r关机后重新启动。关机方式。-s关机但不关闭电源。关机方式。-t nn|h:m指定关机的倒计时时限（单位：秒，默认是20秒），或者关机的时间（24小时格式）。-v指定在关机前显示信息的