- PsList prikazuje detaljne statistike za lokalne i udaljene procese i niti, na temelju brojača performansi sustava Windows.
- Za udaljene upite potrebne su administratorske privilegije i aktivni udaljeni registar; podržava -accepteula i predregistraciju licence.
- Ključni parametri: -m (memorija), -d (niti), -t (stablo), -x (potpuni prikaz), -sy (stream način rada), -r (kontinuirani način rada), filteri po imenu, -ey (PID).
- Integrira se s PsToolsima poput PsKill i PsExec te ima ekvivalente poput TASKLIST, Get-Process ili naredbe ps u Linuxu.
PsList je uslužni program iz Sysinternalsovog PsTools paketa dizajniran za kiruršku preciznost revizije procesa na Windows sustavima, i lokalnim i udaljenim. Njegova velika prednost je prikaz detaljne statistike CPU-a, memorije i niti., s opcijama za pregled stabla procesa, filtriranje po imenu ili PID-u i rad na način sličan Upravitelju zadataka.
Ono što PsList čini zaista atraktivnim jest to što se može koristiti bez instalacije, a također i na drugim Windows računalima ako imamo administratorske dozvole. U kombinaciji s drugim PsToolsima kao što su PsKill ili PsExec, postaje džoker za udaljenu dijagnostiku i administraciju., i zato se nalazi u gotovo svakom sistemskom alatnom paketu.
Što je PsList i čemu služi?
PsList je dio PsTools paketa, kolekcije uslužnih programa naredbenog retka koje su stvorili Mark Russinovich i Bryce Cogswell, a koje je Microsoft uključio nakon akvizicije Sysinternalsa. Prefiks Ps poštuje UNIX naredbu ps, a PsList vam posebno omogućuje pregled detaljnih informacija o pokrenutim procesima i nitima.
Alat prema zadanim postavkama prikazuje metrike za vrijeme procesora i fizičku memoriju koju je operativni sustav dodijelio svakom procesu. Možemo ga fokusirati na memoriju s opcijom -m ili ga proširiti na niti s -d i -t, čime se pokrivaju forenzički scenariji ili rješavanje incidenata performansi.
Ključna prednost je što PsList ne zahtijeva udaljene agente ili složene instalacije: pokreće se odmah nakon instalacije. Za udaljena računala dovoljne su administratorske ovlasti i aktivna usluga udaljenog registra., što ćemo vidjeti kako započeti u primjerima.
Kompatibilnost, zahtjevi i prethodna razmatranja
Prema najnovijoj dokumentaciji tvrtke Sysinternals, paket PsTools radi u modernim okruženjima: klijentskim od sustava Windows 8.1 i novijih, te poslužiteljskim od sustava Windows Server 2012 i novijih, uključujući Nano Server 2016 i novije. Drugi povijesni zapisi navode prethodnu kompatibilnost sa sustavima Windows Vista i Server 2008U praksi, PsList se široko koristi u više generacija Windowsa.
Za upite procesima na udaljenom računalu trebat će nam administratorska prava na tom hostu i da se pokrene usluga udaljenog registra. Bez aktivne ove usluge, PsList neće moći daljinski čitati brojače performansi., nešto bitno za oporavak metrike koju prikazuje.
Prilikom prvog pokretanja PsLista pojavljuje se dijalog za licencu Sysinternals. Može se potisnuti dodavanjem parametra -accepteula ili prethodnim prihvaćanjem ključa registra. u profilu korisnika koji pokreće alat.
PsList se može smjestiti u bilo koju mapu uključenu u varijablu okruženja PATH ili pokrenuti iz trenutnog direktorija. Nije potrebna instalacija ili ovisnosti o lokalnoj ili udaljenoj opremi, što pojednostavljuje njegovu upotrebu u skriptama i ad hoc sesijama.
Sintaksa i glavni parametri
Opća sintaksa PsLista podržava lokalne i udaljene upite, filtriranje po imenu ili PID-u i proširene načine izlaza. Ovo su ključne opcije koje trebate imati pri ruci:
PsLIST [-?] [-t] [-m] [-x] [\\računalo [-u korisnik] [-p lozinka]] [ime | pid] [-d] [-e] [-rn] [-s [n]] [-prihvaćeno]
Kratko objašnjenje svakog parametra. Opisi su objedinjeni iz službenih referenci i praktičnih vodiča.:
| Parametar | opis |
|---|---|
| pslist izraz | Prikazuje statistiku za procese čije ime počinje s exp, na primjer Explorer. Idealno za filtriranje po prefiksu. |
| -d | Uključuje detalje o nitima po procesu. Korisno za dijagnosticiranje izoliranih blokova ili šiljaka. |
| -m | Mijenja zadani prikaz CPU-a u prikaz usmjeren na memoriju. Prikazuje metrike usmjerene na korištenje memorije. |
| -x | Prošireni izlaz: CPU, memorija i niti u istom prikazu. Potpuni pregled u jednoj naredbi. |
| -t | Stablo procesa sa statistikom svih aktivnih niti, grupiranih prema njihovom vlasniku. Vizualizirajte hijerarhiju i odnose. |
| -s [n] | Način rada Upravitelja zadataka na opcionalnih n sekundi. Pritisnite Escape za prekid. Neprekidno osvježavanje na konzoli. |
| -rn | Interval osvježavanja načina rada Upravitelja zadataka u sekundama; zadano 1. Prilagodite brzinu ažuriranja. |
| \\oprema | Upitajte udaljeni Windows sustav umjesto lokalnog. Zahtijeva važeće vjerodajnice i udaljeni registar. |
| -u korisnik | Korisničko ime za prijavu na udaljeno računalo. Može uključivati domenu ako je primjenjivo. |
| -p lozinka | Korisnička lozinka. Prenosi se u čistom tekstu; ako se izostavi, bit će zatražena u skrivenom obliku. Koristite s oprezom u skriptama. |
| ime | Filtriraj procese koji počinju navedenim imenom. Brzi fokus po prefiksu. |
| -e | Prisiljava točno podudaranje naziva procesa. Izbjegavajte lažno pozitivne rezultate zbog sličnih prefiksa. |
| pid | Umjesto popisa svega, prikazuje statistiku za proces s navedenim PID-om. Točna dijagnoza pomoću identifikatora. |
| -? | Prikazuje pomoć za opcije i mjerne jedinice. Podsjetnik na korištenje s linije. |
| -accepteula | Prvi put izbrišite obavijest o licenci. Olakšava neinteraktivno izvršavanje. |
Koje informacije prikazuje i kratice memorije
Prema zadanim postavkama, vidjet ćete ukupno vrijeme izvršavanja procesa, vrijeme u kernel modu i korisničkom modu, kao i dodijeljenu fizičku memoriju. S -m dajete prioritet informacijama o memoriji umjesto informacijama o procesoru., a s -x kombinirate CPU, memoriju i niti.
PsList koristi brojače performansi sustava Windows za dobivanje podataka koje prikazuje, baš kao što to čini i PerfMon. Ovaj pristup osigurava metrike u skladu sa samim sustavom i izbjegavajte oslanjanje na nestabilne API-je.
Memorijske jedinice izražavaju se u kilobajtima. Kratice koje se pojavljuju u izlazu su sljedeće:
- pri: prioritet procesa.
- Thd: broj niti.
- Hnd: broj identifikatora.
- VM: virtualna memorija.
- WS: radni set.
- privatni: privatna virtualna memorija.
- Privatni park: vrh privatne virtualne memorije.
- Greške: pogreške na stranici.
- Ne-Pnestranični bazen.
- Stranica: paginirani bazen.
- Prekidač: promjene konteksta.
Razumijevanje ovih oznaka ključno je za istraživanje neuobičajene upotrebe memorije, curenja resursa ili oluja promjene konteksta. Pomoću njih možete razlikovati je li problem s radnim skupom, privatnom memorijom ili upravljanjem straničenjem..
Praktični primjeri i slučajevi upotrebe
Za popisivanje procesa na udaljenom računalu pod nazivom workstation64 potrebno je da usluga Remote Registry bude aktivna. Možemo ga pokrenuti i ispitivati procese ovim naredbama:
C:\> SC \\workstation64 pokrenite RemoteRegistry
C:\> pslist.exe \\workstation64
Filtriranje po prefiksu imena jednostavno je kao korištenje djelomičnog imena. Ovaj primjer prikazuje procese čije ime počinje s exp:
pslist izraz
Da biste vidjeli samo informacije za točan proces, upotrijebite -e za točno podudaranje. Na ovaj način izbjegavate hvatanje kolateralnih procesa koji dijele prefiks.:
pslist -e explorer
Ako znate PID, možete se usredotočiti na jedan proces. Sljedeća naredba ispisuje statistiku za proces 53:
popis datoteka 53
Udaljena autentifikacija s interaktivnim upitom za lozinku, izbjegavajući njezino izlaganje u obliku čistog teksta u naredbenom retku. PsList će tražiti tajnu tajnu:
pslist \\MAQUINA -u MAQUINALOGIN
Primjer skraćenog izlaza u udaljenom upitu gdje PsList traži lozinku, prikazuje zaglavlje i glavne stupce. Imajte na umu da su memorijska polja u KB:
PsList - Popisivač informacija o procesu
Informacije o procesu za STROJ:
Naziv Pid Pri Thd Hnd Priv Vrijeme procesora Proteklo vrijeme
Mirovanje 0 0 2 0 0 1:15:30.953 0:00:00.000
Sustav 4 8 74 378 0 0:00:10.765 0:00:00.000
Kada trebate pratiti više metrika u stvarnom vremenu, način rada Upravitelj zadataka dobro dođe. S -s aktivirate kontinuirani prikaz, a s -r podešavate interval.:
pslist -s 30 -r 2
Detalji stabla procesa i niti
Opcija -t generira stablo koje grupira niti pod njihovim vlasnicima, što olakšava pregled hijerarhija, roditelja i djece. U scenarijima ubrizgavanja ili osirotelim procesima, ovaj prikaz čini razliku.
Ako vam je potrebna i granularnost niti, dodajte -d da biste dobili metrike po niti. U kombinaciji s -x, vidjet ćete CPU, memoriju i niti u jednom rezultatu., pojednostavljujući složenu analizu bez lančanog povezivanja više naredbi.
Instalacija, licenciranje i početak rada
Nije potrebna instalacija alata PsTools. Stavite pslist.exe u mapu u vašem PATH-u ili u trenutni direktorij i pokrenite ga.Za detaljnu pomoć možete pozvati opciju -?.
Prvo pokretanje prikazuje Sysinternals EULA. Za automatizirana okruženja postoji prekidač -accepteula ili predregistracija prihvaćanja. dodavanje ovog ključa korisničkom profilu:
Set-ItemProperty -Putanja 'Registry::HKEY_CURRENT_USER\Software\Sysinternals' -Naziv 'EulaAccepted' -Vrijednost 1
Ako radite na daljinu, provjerite imate li administratorske ovlasti na ciljnom računalu i omogućite uslugu Udaljeni registar. Inače se brojači performansi udaljenog sustava ne mogu pročitati. i upit neće uspjeti.
Kako PsList funkcionira u nastavku
PsList dobiva svoje podatke iz brojača performansi sustava Windows, baš kao što to čini PerfMon konzola. Ovaj mehanizam je dostupan od Windowsa NT i 2000. i održava se u trenutnim verzijama, što objašnjava dosljednost njegovih metrika tijekom vremena.
Oslanjajući se na podsustav brojača, PsList ne zahtijeva invazivne tehnike ili kuke niske razine. To smanjuje rizik od nestabilnosti i osigurava pouzdane podatke za CPU, memoriju i niti., usklađeno s onim što biste vidjeli u izvornim alatima sustava Windows.
PsTools Suite: Sestrinski uslužni programi i tijek rada
PsList još više blista u kombinaciji s drugim uslužnim programima iz PsTools paketa. Ovo su alati uključeni u set prema dokumentaciji:
- PsExec: izvršavanje procesa na daljinu.
- PsFiles: : prikaži datoteke otvorene daljinski.
- PsGetSid: prikazati SID računala ili korisnika.
- PsInfo: popis informacija o sustavu.
- PsPing: mjeriti performanse mreže.
- PsKillZavrši procese po imenu ili PID-u.
- PsList: navedite detaljne informacije o procesu.
- PsLoggedOn: Pogledajte tko je prijavljen lokalno ili putem dijeljenih resursa.
- PsLogList: izbacivanje zapisnika događaja.
- PsPasswd: promjena lozinki računa.
- PsServiceusluge pregleda i upravljanja.
- PsShutdown: Isključite ili ponovno pokrenite računalo.
- PsSuspend: obustaviti procese.
Tipičan tok je lociranje procesa pomoću PsLista (filtriranje po točnom imenu s prefiksom -eo), procjena njegove potrošnje i, ako je potrebno, prekid s PsKillom. Također možete izdvojiti inventar sustava pomoću PsInfo prije donošenja odluka..
Jedinice, izlaz i načini prikaza
Prema zadanim postavkama, PsList daje prioritet metrikama CPU-a i vremena. Ako vam je fokus memorija, ne zaboravite uključiti -m kako biste vidjeli radni skup, privatnu memoriju i vrhove. s većom istaknutošću.
Kontinuirani način rada s -s je savršen za snimanje rafala potrošnje koji se gube na jednoj fotografiji. Postavite -r za smanjenje šuma ili povećanje granularnosti ovisno o količini procesa i opterećenju sustava.
Ekvivalenti i srodne naredbe
U Windows ekosustavu imate alternative ovisno o kontekstu. Upravitelj zadataka je vizualna referenca, a TASKLIST nudi osnovni popis iz CMD-a; TLIST u nekim verzijama pruža pune putanje.
U PowerShellu, Get-Process obavlja slične funkcije, iako s drugačijom dubinom i formatom. Za Linux ili WSL scenarije, prirodna analogija je naredba ps, koji je izvorno inspirirao ovu obitelj alata.
Za forenzičke i performansne zadatke, PsList možete kombinirati s ProcDumpom za snimanje dumpova tijekom vršnih opterećenja ili s OPENFILESom za istraživanje otvorenih datoteka. Sysinternals ekosustav pokriva sve, od dijagnostike do udaljenog upravljanja. s minimalnim trenjem.
Sigurnost, vjerodajnice i dobre prakse
Opcija -p prenosi lozinku u čistom tekstu, što nije idealno u skriptama ili dijeljenim sesijama. Poželjno je izostaviti -py kako bi PsList skriveno tražio lozinku. kad je to moguće.
Za kontroliranu automatizaciju, -accepteula i predregistracija s EULA-om izbjegavaju interaktivne pauze. Ne zaboravite pokrenuti s korisnikom koji ima dovoljne privilegije i na lokalnom i na udaljenom računalu.
Ako udaljeni upit ne uspije, provjerite povezivost, privilegije i je li pokrenuta usluga udaljenog registra. Brzo pokretanje SC \\teama pomoću RemoteRegistry obično otključava očitavanje brojila kada je sve ostalo u redu.
Verzije, kategorija i povijesne bilješke
PsList se razvijao tijekom godina i spominje se u raznim tehničkim listovima i katalozima. U povijesnim materijalima vidjet ćete spominjanja verzija poput 1.26 ili v1.4., zajedno sa starijim najnovijim bilješkama o ažuriranjima iz repozitorija ili tehničkih portala.
U najnovijoj dokumentaciji za Sysinternals, PsList i ostatak PsToolsa predstavljeni su kao dio jedinstvenog paketa. Uobičajena kategorija su procesni uslužni programi a službeno preuzimanje objedinjuje sve alate s njihovom HTML pomoći.
Napredne integracije i obogaćivanje rezultata
Iako PsList ne izračunava hashove niti provjerava potpise samostalno, može se integrirati u veće tijekove rada gdje se mogu dodati metapodaci poput izvršnih hashova ili provjere Authenticode. U ovim integracijama uobičajeno je križanje PID-a, binarne putanje, komandne linije i korisnika. s informacijama o tokenu ili digitalnom potpisu.
Postoje playbookovi koji odabiru procese prema regularnim izrazima u nazivu, PID-u, izvršnoj putanji ili naredbenom retku i filtriraju nepouzdane binarne datoteke na temelju Authenticodea. Ova vrsta obogaćivanja korisna je za određivanje prioriteta rizika. i usredotočiti odgovor na incidente.
Instalacija i podrška paketa
PsTools paket distribuira se u jednom paketu koji uključuje datoteku pomoći s uputama za korištenje svakog alata. Ne zahtijeva nikakve komponente na udaljenim računalima i radi izravno s odgovarajućim prekidačima.Ako trebate odgovore na bilo kakva pitanja, forumi Sysinternalsa su oduvijek bili mjerilo za podršku zajednice.
Zanimljivo je da je PsList bio jedan od prvih alata u paketu i oblikovao je filozofiju udaljene administracije bez agenata koja karakterizira PsTools. Ovaj pristup ostaje valjan i danas zahvaljujući niskim operativnim troškovima i pouzdanosti..
PsList je etabliran kao lagan i moćan alat za razumijevanje što se događa u memoriji i CPU-u u stvarnom vremenu, lokalno ili udaljeno. Kontroliranje parametara -m, -d, -t, -x, -s i -r te briga o zahtjevima za dopuštenja i udaljenom registru, možete brzo dijagnosticirati, podržati odluke i automatizirati kritične provjere u sustavu Windows.