简介
PsTools是Sysinternals Suite中一款排名靠前的一个安全管理工具套件。现在被微软收购。目前pstools中含各式各样的小工具。如果将它们灵活的运用,将会在渗透中收到奇效。
所有的pstool第一次运行时都会弹框。可以用–accepteula这个参数绕过。
PsTools包括如下工具:
- PsSuspend 挂起进程
- PsShutdown 关闭重启计算机等
- PsExec 执行进程
- PsFile 查询本地系统上被远程系统打开的文件。
- PsGetSid 读取计算机的SID
- PsInfo 用于收集有关本地或远程系统的关键信息
- PsLogList 系统事件日志查询
- PsPasswd 更改帐户密码的工具
- PsKill 进程终止实用工具
- PsList 进程信息查询
工具下载地址:PsTools - Sysinternals | Microsoft Learn
环境
使用工具注意:
-
工具支持对远程系统的操作,并且远程系统不需要安装任何软件。
-
远程计算机必须可通过 NT 网络社区进行访问。一般只要远程共享可访问即支持,但是需要注意是否安装杀毒软件。
-
要将文件夹共享关闭,并调用如下命令。否则出现:不允许一个用户使用一个以上用户名与服务器或共享资源的多重连接。中断与此服务器或共享资源的所有连接,然后再试一次
net use * /del /y
PsSuspend
PsSuspend 允许在本地或远程系统上挂起进程,在进程消耗资源 ((例如网络、CPU 或磁盘) )时,可能需要使用这些进程。 暂停可让你在稍后的某个时间点继续操作,而不是终止消耗资源的进程。
PsSuspend 用法:
pssuspend [- ] [-r] [\\computer [-u username] [-p password]] <进程名称|进程 ID>
# 示例
pssuspend \\10.125.17.32 -u Administrator -p 123456 VdSession
| 参数 | 说明 |
|---|---|
| - | 显示支持的选项。 |
| -r | 恢复指定的进程(如果挂起)。 |
| \computer | 指定要在其中挂起或恢复的进程正在执行的计算机。 远程计算机必须可通过 NT 网络社区进行访问。 |
| -u 用户名 | 如果要在远程系统上挂起进程,并且您正在执行的帐户对远程系统没有管理权限,则必须使用此命令行选项以管理员身份登录。 如果未将密码包含在 -p 选项中, PsSuspend 将提示输入,而不会将输入回显到显示器。 |
| -p 密码 | 此选项允许你在命令行上指定登录密码,以便可以从批处理文件使用 PsSuspend 。 如果指定帐户名称并省略 -p 选项 PsSuspend 以交互方式提示输入密码。 |
| 进程 ID | 指定要挂起或恢复的进程的进程 ID。 |
| 进程名称 | 指定要暂停或恢复的进程的进程的名称。 |
PsShutdown
PsShutdown 是一个命令行实用工具,类似于 Windows 2000 资源工具包中的关闭实用工具,但能够执行更多操作。 除了支持关闭或重新启动本地或远程计算机的相同选项外, PsShutdown 还可以注销主机用户或锁定主机 (锁定需要 Windows 2000 或更高版本) 。 PsShutdown 不需要手动安装客户端软件。
PsShutdown 用法:
psshutdown [[\\computer[,computer[,..] | @file [-u 用户 [-p psswd]]]-s|-r|-h|-d|-k|-a|-l|-o [-f] [-c] [-t nn|h:m] [-n s] [-v nn] [-e [u|p]:xx:yy] [-m “message”]
psshutdown \\10.125.17.32 -u Administrator -p 123456 -r
| 参数 | 说明 |
|---|---|
| - | 显示支持的选项。 |
| \computer | 对指定的远程计算机或计算机执行命令。 如果省略该命令在本地系统上运行的计算机名称,并且如果指定通配符 (\*) ,该命令将在当前域中的所有计算机上运行。 |
| @file | 在指定的文本文件中列出的每台计算机上运行该命令。 |
| -u | 指定用于登录到远程计算机的可选用户名。 |
| -p | 指定用户名的可选密码。 如果省略此内容,系统会提示输入隐藏的密码。 |
| -a | 在倒计时中止关闭 。 |
| -c | 允许由交互式用户中止关闭。 |
| -d | 挂起计算机。 |
| -e | 关闭原因代码。 |
| 为用户原因代码指定“u”,并为计划关闭原因代码指定“p”。 | |
| xx 是代码 (必须小于 256) 的主要原因。 | |
| yy 是 (必须小于 65536) 的次要原因代码。 | |
| -f | 强制所有正在运行的应用程序在关闭期间退出,而不是让他们有机会正常保存其数据。 |
| -h | 休眠计算机。 |
| -k |

PsTools是一系列命令行工具,包括PsSuspend、PsShutdown、PsExec等,用于挂起进程、关闭/重启计算机、执行远程进程等系统管理任务。这些工具支持远程操作,无需在目标计算机上安装额外软件,但在某些情况下可能需要管理员权限。它们在系统监控、故障排查和渗透测试中非常有用。
4105

被折叠的 条评论
为什么被折叠?



