黑客力量学习笔记PSTOOLS工具Word格式文档下载.docx

黑客力量学习笔记PSTOOLS工具Word格式文档下载.docx

《黑客力量学习笔记PSTOOLS工具Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《黑客力量学习笔记PSTOOLS工具Word格式文档下载.docx（23页珍藏版）》请在冰点文库上搜索。

-n

指定连接远程计算机的超时秒数。

（超过即为超时）

-f

强制复制指定的程序到远程系统，即使远程计算机上已经存在该文件。

-v

仅在指定文件具有更高版本号或该（本地）文件比远程系统上的文件新时，才复制该文件。

-d

不等待应用程序终止。

请只对非交互式应用程序使用此选项。

-w

设置进程的工作目录（相对于远程计算机）。

-x

在登录桌面上显示用户界面（仅限于本地系统）。

-priority

指定–low、-belownormal、-abovenormal、-high或-realtime，以便按不同优先级运行进程。

-a

用逗号分隔的可以运行应用程序的处理器，CPU编号最小为1。

例如，要在CPU2和CPU4上运行应用程序，请输入：

“-a2,4”

arguments

要传递的参数（请注意，文件路径必须是目标系统中的绝对路径）。

如果要运行的程序在远程系统中，但不在远程系统的系统路径中，请指定该程序的完整路径。

对于其名称中含有空格的应用程序，可以在其两侧加引号，例如，psexec\\marklap"

c:

\longname\app.exe"

。

按下Enter键时，仅将输入内容传递到远程系统。

键入Ctrl-C可终止远程进程。

如果省略用户名，则远程进程将以执行PsExec时所使用的相同帐户运行，但由于远程进程以模仿方式运行，因此它无权访问远程系统上的网络资源。

指定用户名时，远程进程将以指定的帐户执行，并可访问该帐户有权访问的任何网络资源。

请注意，密码是以明文形式传递到远程系统的。

当目标系统是本地系统时，由于PsExec不需要您具有管理员权限，因此您可以使用当前版本的PsExec来取代Runas。

常用：

Psexec\\72.56.17.74cmd

启动远程计算机上的交互命令提示符（就是一个SHELL）。

在远程计算机上没有任何界面，这个提示符显示在本地计算机上。

这个命令最重要。

Psexec\\72.56.17.74cmd/cdirc:

\

要运行远程计算机上的DOS命令，只能以上述形式运行。

因为DOS命令没有对应的可执行文件。

Psexec\\72.56.17.74–i–dcalc

在远程计算机上启动计算器程序。

（执行后，在本地该命令一直处于运行状态，直到远程计算机上计算器程序终止，本地命令才退出运行状态。

）

测试中发现，使用-i参数执行交互程序时，只有等到远程计算机上退出该程序，本地才会退出运行界面。

当在远程计算机上执行calc、notepad等有交互界面的程序且不同时带-i-d参数时，该命令在远程计算机没有任何显示，在本地也一直不能退出。

直到在远程主机上在或在本地远程删除指定进程，该命令才退出。

当在远程计算机上执行calc、notepad等有交互界面的程序，且同时带-i-d参数时，该命令在远程计算机显示，在本地一直不能退出。

直到在远程主机上退出交互界面或删除指定进程，或在本地远程删除指定进程，该命令才退出。

PsExec-i-d-sCMD

以SYSTEM帐户身份打开另一个CMD窗口。

这是得到SYSTME权限SHELL的两种方法之一，也是最快速的方法。

●PSFILE：

显示指定计算机上被远程系统打开的文件列表，也可以关闭这些打开的文件。

psfile[\\RemoteComputer[-uUsername[-pPassword]]][[Id|path][-c]]

ID

（PSFILE分配的）被远程打开的文件的ID。

Path

被远程打开的文件的全部或部分路径。

按照ID或路径关闭被远程打开的文件。

●PSGETSID：

得到本地或远程计算机中计算机和用户的SID（安全标识符）。

psgetsid[\\computer[,computer[,...]|@file[-uusername[-ppassword]]][account]

psgetsid\\72.56.17.74

得到远程计算机72.56.17.74的SID。

psgetsid\\72.56.17.74zcy

得到远程计算机72.56.17.74上zcy用户的SID。

●PSINFO查询本地和远程计算机系统信息。

psinfo[\\computer[,computer[,...]|@file[-uusername[-ppassword]]][-h][-s][-d][-c[-tdelimter]]

-h

增加显示已安装的补丁信息。

【控制面板】→【添加或删除程序】→启用【显示更新】，之后就可以查到。

增加显示已安装的软件信息。

【控制面板】→【添加或删除程序】。

增加显示磁盘信息。

【控制面板】→【计算机管理】→【存储】→【磁盘管理】。

以CSV格式显示。

-t

设置其他符号为分隔符。

psinfo\\72.56.17.74

psinfo\\72.56.17.74–h

psinfo\\72.56.17.74–s

psinfo\\72.56.17.74–d

●PSLIST：

显示本地和远程计算机的进程信息。

pslist[-?

][-d][-m][-x][-t][-s[n][-rn][\\computer[-uusername][-ppassword]][[-e]name|pid]

显示系统上所有活动线程的详细信息，包括组线程及其子进程。

-m

显示每个进程的内存方面的信息，而不是默认的CPU方面的信息。

显示每个指定进程的CPU、内存、线程信息。

显示进程树。

-s[n]

在指定的秒数内，以任务管理器模式运行。

按ESC退出。

-r

任务管理器模式更新率。

单位是秒，默认是1秒。

name

仅显示以指定名称开始的进程的相关信息。

与进程名称精确匹配，而不是开头部分匹配。

pslist\\72.56.17.74

pslist\\72.56.17.74–d

pslist\\72.56.17.74-m

pslist\\72.56.17.74–x

pslist\\72.56.17.74-t

pslist\\72.56.17.74-s500

pslist\\72.56.17.74s

仅显示以s开始的进程的相关信息。

●PSKILL：

杀掉本地和远程计算机上指定的进程。

pskill[-t][\\computer[-uusername][-ppassword]]<

processname|processid>

删除进程及其子进程。

Processid

指定进程的ID。

Processname

指定进程的名称。

pskill\\72.56.17.74-t1820

●PSLOGGEDON：

查看指定计算机的本地及远程登录的用户和登录时间。

psloggedon[-?

][-l][-x][\\computername|username]

只显示本地登录情况。

如果不使用该参数则同时显示本地登录和远程登录情况。

不显示登录时间。

如果不使用该参数则显示登录时间。

一般使用。

-username

指定一个用户名。

命令自动搜索该用户账户在哪个计算机上登录了。

一般不使用。

psloggedon\\72.56.17.74

psloggedon\\72.56.17.74-x

●PSLOGLIST：

事件日志转储及管理。

对于黑客来说，最大的用处是能在命令行下远程清除系统日志。

psloglist[\\computer[,computer2[,...]|@file][-uusername[-ppassword]]][-s[-tdelimiter]][-m#|-n#|-d#|-h#|-w][-c][-x][-r][-amm/dd/yy][-bmm/dd/yy][-ffilter][-iID,[ID,...]]|-eID,[ID,...]][-oeventsource[,eventsource[,...]]][-qeventsource[,eventsource[,...]]][[-g|-l]eventlogfile]<

eventlog>

仅转储指定日期之后的记录。

-b

仅转储指定日期之前的记录。

显示记录后清除事件日志。

仅显示近几天以内的记录。

排除具有指定的一个或多个id（最多10个）记录。

用过滤字符串过滤事件类型。

（例如”-fw”过滤警告类型事件）

-g

将事件记录输出为evt文件。

只能与-c参数配合使用。

仅显示近几小时以内的记录。

仅显示具有指定的一个或多个id（最多10个）的记录。

从指定的事件记录文件转储记录。

仅显示近几分钟以内的记录。

仅显示近几个事件记录。

-o

仅显示来源于指定事件来源的记录。

（例如”-ocdrom”）

-q

排除来源于指定事件来源的记录。

按照从最早到最近的顺序转储事件记录。

（即颠倒顺序转储）

以“一行一条”的方式显示记录，字段间用逗号分隔。

这种格式对于文本搜索很方便。

例如psloglist|findstr/Itext，也可以输出到空白表中。

默认的分隔符是逗号，但是可以用该参数指定其他的分隔符。

等待新事件，以便实时地转储新产生的事件记录。

转储扩展数据。

eventlog

默认情况下显示的是system事件日志中的记录。

通过输入日志长名称（application,system,security）的前几个字符就可以指定不同的事件日志。

psloglist\\72.56.17.74application-c>

nul

psloglist\\72.56.17.74system-c>

psloglist\\72.56.17.74security-c>

for%ain（applicationsystemsecurity）do@psloglist\\72.56.17.74%a-c>

nul2>

nul

for%ain（applicationsystemsecurity）do@psloglist%a-c>

上述语句可以同时清除多个日志（且执行后没有任何显示）。

●PSPASSWD：

修改本地或远程计算机任意用户账户的密码。

增强了NETUSER命令，NETUSER命令不能远程修改用户账户的密码。

pspasswd[\\computer[,computer[,...]|@file[-uusername[-ppassword]]]Username[NewPassword]]

username

指定要修改密码的用户账户的用户名。

newpassword

指定用户账户要修改的新密码。

如果省略该参数，则新密码为空。

pspasswd\\72.56.17.74test888

●PSSERVICE：

管理服务。

psservice[\\Computer[-uUsername[-pPassword]]]<

cmd>

<

optns>

query

查询服务的相关信息。

config

查询服务的配置信息。

setconfig

设置服务的配置（实际上就是启动类型，值有auto,demandanddisabled三种）。

start

启动服务。

stop

停止服务。

restart

停止然后启动服务。

pause

暂停服务。

cont

恢复暂停的服务。

depend

显示哪些服务依赖于指定的服务。

find

在网络中查找服务的给定实例。

security

报告指定服务的安全信息。

psservicequerymessenger

查询messenger服务的相关信息。

最重要的项目是：

服务名称、显示名称、服务描述、服务类型、服务状态。

psserviceconfigmessenger

服务名称、服务描述、服务类型、服务启动类型、服务错误控制级别、可执行文件的路径等等。

●PSSHUTDOWN：

关机工具。

比系统自带的shutdown多一些关机功能。

psshutdown[\\computer[,computer[,...]|@file[-uusername[-ppassword]]]-s|-r|-h|-d|-k|-a|-l|-o[-f][-c][-ns][-tnn|h:

m][-e[u|p]:

xx:

yy][-m"

message"

]

中止关机操作。

仅在倒计时过程中可以。

只能中止psshutdown所启动的关机操作，不能中止系统自带命令shutdown启动的关机操作。

反之亦然。

允许交互用户中止关机操作。

操作界面多一个cancel按钮。

使计算机待机。

关机方式。

Shutdown不具备此功能。

-e[u|p]:

yy

关机原因代码。

U用户原因代码；

P计划关机原因代码。

XX主原因代码；

YY次原因代码。

在关机时强制退出所有正在运行的程序，不给保存数据的时间。

使计算机休眠。

休眠用电源键恢复。

恢复后网络连不上了。

-k

关闭电源。

（如果不支持关闭电源则重新启动）

锁定计算机。

就是回到登录界面。

-m"

在关机倒计时开始的时候，显示指定信息给当前登录账户。

-ns

指定连接到远程计算机的超时时限（单位：

秒）。

注销控制台用户。

关机后重新启动。

关机但不关闭电源。

-tnn|h:

m

指定关机的倒计时时限（单位：

秒，默认是20秒），或者关机的时间（24小时格式）。

指定在关机前显示信息的时间长度（单位：

如果忽略该参数，视为指定该值为0

psshutdown-s-t600

在10分钟之后关机但不关闭电源。

psshutdown-k-t600–c

在10分钟后关闭电源，但允许交互用户中止关机操作。

psshutdown-k-t600-m"

这次关机是为了测试而进行的，希望你能理解"

在10分钟后关闭电源，同时向控制台用户显示指定信息。

待机（Standby），将系统切换到该模式后，除了内存，电脑其他设备的供电都将中断，只有内存依靠电力维持着其中的数据（因为内存是易失性的，只要断电，数据就没有了）。

这样当希望恢复的时候，就可以直接恢复到待机前状态。

这种模式并非完全不耗电，因此如果在待机状态下供电发生异常（例如停电），那么下一次就只能重新开机，所以待机前未保存的数据都会丢失。

但这种模式的恢复速度是最快的，一般五秒之内就可以恢复。

休眠（Hibernate），将系统切换到该模式后，系统会自动将内存中的数据全部转存到硬盘上一个休眠文件中，然后切断对所有设备的供电。

这样当恢复的时候，系统会从硬盘上将休眠文件的内容直接读入内存，并恢复到休眠之前的状态。

这种模式完全不耗电，因此不怕休眠后供电异常，但代价是需要一块和物理内存一样大小的硬盘空间（好在现在的硬盘已经跨越TB级别了，大容量硬盘越来越便宜）。

而这种模式的恢复速度较慢，取决于内存大小和硬盘速度，一般都要1分钟左右，甚至更久。

●PSSUSPEND:

挂起或恢复进程。

pssuspend[-r][\\RemoteComputer[-uUsername[-pPassword]]]<

processIdorname>

恢复进程。

processIdorname

进程ID或名称（将终止包含该名称的全部进程）。