যদি আপনি উইন্ডোজ কম্পিউটার পরিচালনার দায়িত্বে থাকেন অথবা আপনার পালা কর্মক্ষমতা সমস্যা নির্ণয় করা, PsList হল সেইসব ইউটিলিটিগুলির মধ্যে একটি যা সবসময় হাতের কাছে রাখা সুবিধাজনক।এটি Sysinternals-এর PsTools স্যুটের অংশ এবং একটি সাধারণ কনসোল থেকে, আপনাকে স্থানীয়ভাবে এবং দূরবর্তীভাবে প্রক্রিয়া, থ্রেড, মেমরি এবং শ্রেণিবিন্যাস স্ক্যান করতে দেয়।
তালিকাভুক্তির প্রক্রিয়ার বাইরে, PsList কমান্ড লাইন থেকে একটি "মিনি টাস্ক ম্যানেজার" হিসেবে কাজ করতে পারে, ক্রমাগত তথ্য রিফ্রেশ করা, প্রক্রিয়া ট্রি প্রদর্শন করা এবং নাম বা PID দ্বারা ফিল্টার করাআর যদি আপনি এটিকে PsKill এবং PsExec এর সাথে একত্রিত করেন, তাহলে আপনি পর্যবেক্ষণ থেকে শুরু করে কাজ শুরু করবেন: নিয়ন্ত্রিত পদ্ধতিতে একটি প্রক্রিয়া সনাক্তকরণ, সমাপ্তি এবং পুনরায় চালু করা।
PsList কী এবং এটি কীসের জন্য?
PsList হল একটি Sysinternals কনসোল টুল যা ডিজাইন করা হয়েছে সবচেয়ে কার্যকর টেলিমেট্রি সহ প্রক্রিয়াগুলির তালিকা তৈরি করুনএকটি একক আউটপুটে, আপনি অগ্রাধিকার, থ্রেডের সংখ্যা, খোলা হ্যান্ডেল এবং মেমরি পরিসংখ্যান (ভার্চুয়াল মেমরি, ওয়ার্কিং সেট, প্রাইভেট মেমরি) এর মতো কলামগুলি দেখতে পাবেন, সাথে CPU এবং এক্সিকিউশন সময়ও দেখতে পাবেন।
এর বড় সুবিধা হল আপনি স্থানীয় সরঞ্জাম এবং একটি অ্যাক্সেসযোগ্য দূরবর্তী গন্তব্য উভয়ের সাথেই পরামর্শ করতে পারবেন। যদি আপনার শংসাপত্রগুলি একটি দূরবর্তী কম্পিউটারের কর্মক্ষমতা কাউন্টার পড়ার জন্য যথেষ্ট না হয়, তাহলে আপনি একটি স্পষ্ট ব্যবহারকারীর নাম এবং পাসওয়ার্ড নির্দিষ্ট করতে পারেন। লক্ষ্য সিস্টেমে প্রমাণীকরণ এবং ডেটা অ্যাক্সেসের জন্য।
তারা কীভাবে তাদের তথ্য পায় (এবং কেন আপনি তাদের বিশ্বাস করতে পারেন)
পারফরম্যান্স মনিটর (পারফমন) এর মতো, পিএসলিস্ট থেকে তথ্য পড়ে উইন্ডোজ পারফর্মেন্স কাউন্টারএটি সিস্টেমের নিজস্ব গ্রাফিকাল টুলগুলিতে আপনি যা দেখবেন তার সাথে সামঞ্জস্য নিশ্চিত করে এবং ব্যাখ্যা করে কেন, দূরবর্তী পরিবেশে, সেগুলি দেখার জন্য আপনার উপযুক্ত সুযোগ-সুবিধার প্রয়োজন হবে।
একটি গুরুত্বপূর্ণ বিশদ: PsList দ্বারা প্রদর্শিত সমস্ত মেমরি মান কিলোবাইট (KB) তে।যদি আপনি MB তে রিপোর্ট করা টুলের সাথে তুলনা করেন, তাহলে ভুল ব্যাখ্যা এড়াতে স্কেলটি সামঞ্জস্য করতে ভুলবেন না।
সামঞ্জস্যতা, সংস্করণ এবং ডাউনলোড
PsList প্যাকেজের অংশ pstools, যা হালকা ওজনের জিপ (প্রায় ৫ মেগাবাইট আকারের) হিসেবে ডাউনলোড হয়। এটি ইনস্টলেশনের প্রয়োজন হয় না: কেবল আপনার PATH-এর যেকোনো ফোল্ডার থেকে আনজিপ করে চালান, অথবা সম্পূর্ণ পথ প্রবেশ করে।
বর্তমান প্ল্যাটফর্মগুলিতে, এটি ক্লায়েন্ট: উইন্ডোজ ৮.১ এবং পরবর্তী সংস্করণে সমর্থিত; সার্ভার: উইন্ডোজ সার্ভার ২০১২ এবং পরবর্তী সংস্করণে। এটি ঐতিহাসিকভাবে উইন্ডোজ ভিস্তা/সার্ভার ২০০৮-এও ব্যবহৃত হয়েছে এবং স্যুটের মধ্যে, এর জন্য সমর্থন উল্লেখ করা হয়েছে ন্যানো সার্ভার ২০১৬+, যদিও প্রতিটি পরিবেশে যাচাই করা বাঞ্ছনীয়। ইউটিলিটিটিকে "প্রক্রিয়া ইউটিলিটি" হিসাবে শ্রেণীবদ্ধ করা হয়েছে এবং সিসেন্টার্নালস পৃষ্ঠাটি প্রকাশিত সংস্করণ এবং আপডেটের তারিখগুলি প্রতিফলিত করে (যেমন, v1.4 সর্বশেষ আপডেট সহ 06/29/2016), যদিও পুরোনো আউটপুটগুলিতে "PsList" এর মতো লেবেল দেখাতে পারে 1.২৬”, যা প্রকল্পের বিবর্তনের পরিপ্রেক্ষিতে স্বাভাবিক।
সিনট্যাক্স এবং প্রয়োজনীয় পরামিতি
PsList এর সিনট্যাক্স নমনীয়, সাধারণ নাম ফিল্টার থেকে শুরু করে উন্নত মেমরি এবং থ্রেড ভিউ পর্যন্ত। এগুলো হল মূল সংশোধক এবং তারা কী করে প্রস্তুতিতে.
| প্যারামিটার | কি করে |
|---|---|
pslist exp |
যেসব প্রক্রিয়ার নাম এই উপসর্গ দিয়ে শুরু হয় তাদের তালিকা তৈরি করুন। (উদাহরণস্বরূপ, "exp" এর মধ্যে Explorer অন্তর্ভুক্ত থাকবে)। |
-d |
নমুনা থ্রেডের বিবরণ প্রক্রিয়া দ্বারা। |
-m |
আউটপুট কেন্দ্রে রাখুন স্মৃতি পরিসংখ্যান. |
-x |
এর একটি সম্মিলিত দৃশ্য সক্রিয় করে প্রক্রিয়া, মেমরি এবং থ্রেড. |
-t |
দেখাও প্রক্রিয়া বৃক্ষ (পিতা-পুত্রের সম্পর্ক)। |
-s |
মোডে চালান ক্রমাগত নমুনা সংগ্রহ n সেকেন্ডের জন্য (বাতিল করতে Escape টিপুন)। |
-r n |
সংজ্ঞায়িত করুন আপডেট ব্যবধান সেকেন্ডে নমুনার পরিমাণ (ডিফল্ট ১)। |
\\equipo |
জিজ্ঞাসাবাদ করুন a দূরবর্তী দল স্থানীয় ব্যবস্থার পরিবর্তে। |
-u |
নির্দিষ্ট করে ব্যবহারকারী রিমোটে লগ ইন করতে। |
-p |
সমানুপাতিক পাসওয়ার্ড কমান্ড লাইনে; যদি আপনি অ্যাকাউন্ট নির্দিষ্ট করেন এবং বাদ দেন -p, PsList ইন্টারেক্টিভভাবে এটি চাইবে। |
nombre |
প্রক্রিয়াগুলি দেখানোর জন্য ফিল্টার করুন যা এই নাম দিয়ে শুরু করো. |
-e |
জোর করো। হুবহু মিল প্রক্রিয়ার নাম সহ। |
pid |
প্রস্থান সীমাবদ্ধ করে সেই PID দিয়ে প্রক্রিয়া করুন কংক্রিট (উদাহরণস্বরূপ, pslist 53). |
এই টেবিলের সাহায্যে আপনি এক নজরে সবচেয়ে সাধারণ ঘটনাগুলি কভার করতে পারবেন: প্রিফিক্স অনুসারে ফিল্টার করুন, মেমরি বা থ্রেডে জুম করুন, শ্রেণিবিন্যাস দেখুন এবং PID দ্বারা অডিট করুন, আপনার নেটওয়ার্কের দূরবর্তী কম্পিউটারগুলির বিরুদ্ধে কার্যকর করার পাশাপাশি।
সংক্ষিপ্ত রূপ এবং কলাম পাঠ
তথ্য সংকুচিত করার জন্য, PsList স্ট্যান্ডার্ড সংক্ষেপণ ব্যবহার করে। এগুলো জানা থাকলে ফলাফল ব্যাখ্যা করা সহজ হয় এবং দ্রুত সিদ্ধান্ত নিন।
| কলাম | অর্থ |
|---|---|
| pRI | প্রক্রিয়া অগ্রাধিকার পরিকল্পনাকারীতে। |
| থড | সংখ্যা থ্রেড সম্পদ |
| Hnd | সংখ্যা হ্যান্ডলগুলি (শনাক্তকারী) খোলা। |
| VM | ভার্চুয়াল স্মৃতি বরাদ্দ |
| WS | ওয়ার্কিং সেট অথবা RAM-তে সেট করা কাজ। |
| Priv | ব্যক্তিগত ভার্চুয়াল মেমরি প্রক্রিয়া |
| প্রাইভ পিকে | ব্যক্তিগত স্মৃতির শিখর পৌঁছেছেন। |
| ফল্ট | কনটেও ডি পৃষ্ঠা ত্রুটি. |
| নন-পি | আকার নন-পেজড পুল. |
| পৃষ্ঠা | আকার পৃষ্ঠাঙ্কিত পুল. |
| সিএসডব্লিউটিএইচ | সংখ্যা প্রেক্ষাপট পরিবর্তন. |
এই সংক্ষিপ্ত রূপগুলি ছাড়াও, আউটপুট দেখায় CPU সময় y ব্যায়িত সময়, যা আপনাকে ঝুলন্ত প্রক্রিয়া বা অস্বাভাবিক রিসোর্স খরচ সহ প্রক্রিয়াগুলি সনাক্ত করতে সাহায্য করে যা অনেক দিন ধরে চলছে।
ব্যবহারের ব্যবহারিক উদাহরণ
সবচেয়ে সহজ পদ্ধতি দিয়ে শুরু করতে, আপনি এমন প্রক্রিয়াগুলি ফিল্টার করতে পারেন যার নাম একটি নির্দিষ্ট স্ট্রিং দিয়ে শুরু হয়। আপনি যা খুঁজছেন তা সংকুচিত করার এটি দ্রুততম উপায়। যখন আপনার PID মনে থাকে না।
pslist svchostযদি আপনি ইতিমধ্যেই শনাক্তকারীটি জানেন, প্রতি PID-তে একটি একক প্রক্রিয়ার মধ্যে আউটপুট সীমাবদ্ধ করে এবং ভিজ্যুয়াল নয়েজ ছাড়াই আপনার থ্রেড এবং মেমরির ব্যবহার পরীক্ষা করুন।
pslist 888যখন আপনি সম্ভাব্য সবচেয়ে সম্পূর্ণ ছবি খুঁজছেন, তখন সক্রিয় করুন সম্মিলিত দৃশ্য এক পাসে প্রসেস, মেমরি এবং থ্রেড দেখার জন্য।
pslist -xপিতামাতা এবং সন্তানদের মধ্যে সম্পর্ক বোঝার জন্য, গাছের দৃশ্য শ্রেণিবিন্যাস উন্মোচন করতে এবং কে কাকে আহ্বান করেছে তা সনাক্ত করতে এটি সর্বোত্তম মিত্র।
pslist -tনমুনা মোড: "টাস্ক ম্যানেজার" স্টাইলে ক্রমাগত রিফ্রেশ
কয়েক সেকেন্ডের মধ্যে সিপিইউ এবং মেমোরি কীভাবে ওঠানামা করে তা দেখতে চান? স্যাম্পলিং মোড ব্যবহার করুন এবং ইচ্ছা করলে রিফ্রেশ রেট সামঞ্জস্য করুন। সময় শেষ না হওয়া পর্যন্ত অথবা আপনি Escape চাপ না দেওয়া পর্যন্ত এই মোডটি স্ক্রিনে থাকবে।.
pslist -s 15 -r 2পূর্ববর্তী উদাহরণে, PsList ১৫ সেকেন্ডের জন্য সক্রিয় থাকে। প্রতি দুই সেকেন্ডে আউটপুট আপডেট করা হচ্ছেএটি ক্ষণস্থায়ী শৃঙ্গ শিকারের জন্য উপযুক্ত, যা তাৎক্ষণিকভাবে কার্যকর করলে প্রকাশ পাবে না।
দূরবর্তী কাজ: শংসাপত্র এবং নিরাপত্তা
সবচেয়ে কার্যকর ফাংশনগুলির মধ্যে একটি হল কোয়েরি দূরবর্তী মেশিনে প্রক্রিয়াগুলি. গন্তব্যস্থলের আগে ডাবল ব্যাকস্ল্যাশ দিন এবং প্রয়োজনে ডোমেইন সিনট্যাক্স ব্যবহার করে ব্যবহারকারীর নাম এবং পাসওয়ার্ড লিখুন।
pslist \\EQUIPO-REMOTO -u DOMINIO\Administrador -pযদি আপনি ব্যবহারকারীর নাম প্রদান করেন কিন্তু পাসওয়ার্ড বাদ দেন, PsList ইন্টারেক্টিভভাবে পাসওয়ার্ডের জন্য অনুরোধ করবে।, যখন আপনি এটি ম্যানুয়ালি চালান এবং কনসোলের ইতিহাসে এটি প্রকাশ করতে চান না তখন আদর্শ। স্ক্রিপ্টগুলিতে, শংসাপত্র লুকানোর জন্য গোপনীয়তা প্রক্রিয়া ব্যবহার করার কথা বিবেচনা করুন।
মনে রাখবেন যে অনেক প্রতিষ্ঠানে এমন নীতি এবং ফায়ারওয়াল রয়েছে যা অ্যাক্সেসকে সীমাবদ্ধ করে পারফর্মেন্স কাউন্টার রিমোট; যদি আপনি "অ্যাক্সেস ডিনাইড" বার্তা দেখতে পান, তাহলে টুলটিকে দোষারোপ করার আগে অনুমতি এবং নিয়মগুলি পর্যালোচনা করুন।
সাধারণ আউটপুট এবং দ্রুত পঠন
যখন আপনি একটি কম্পিউটারের বিরুদ্ধে PsList চালাবেন, তখন আপনি প্রক্রিয়ার নাম, PID, অগ্রাধিকার, থ্রেড সহ একটি টেবিল পাবেন, হ্যান্ডেল, মেমরি এবং সময় সূচকউদাহরণস্বরূপ, এটি স্বাভাবিক বিন্যাস (আপনি সংস্করণ এবং স্থানীয়করণের উপর নির্ভর করে বিভিন্নতা দেখতে পাবেন):
Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time
System 4 8 74 378 0 0:00:10.765 0:00:00.000
explorer.exe 1000 13 25 500 123456 0:01:05.234 0:39:55.421কিছু পুরনো স্ক্রিনশটে আপনি হেডারে "PsList 1.26" এর মতো লেবেল দেখতে পাবেন; বর্তমান সংস্করণ নম্বর থেকে যদি এটি আলাদা হয় তবে চিন্তা করবেন না।, যেহেতু সময়ের সাথে সাথে কলামের ফর্ম্যাটটি খুব একই রকম থাকে।
PsKill এবং PsExec এর সাথে PsList এর সমন্বয়
একবার সমস্যাযুক্ত প্রক্রিয়াটি খুঁজে পেলে, আপনি অন্যান্য PsTools টুল দিয়ে হস্তক্ষেপ করতে পারেন। সাধারণ প্রবাহ হল: তালিকা, সমাপ্তি এবং পুনরায় চালু করা। (যদি প্রযোজ্য হয়) একই স্থানীয় বা দূরবর্তী কম্পিউটারে।
pslist -t \\
pskill -t \\ -u EQUIPO\UsuarioAdmin -p
psexec \\ -u EQUIPO\UsuarioAdmin -p "C:\\Ruta\\Programa\\app.exe"সংশোধক -t পিএসকিল থেকে প্রক্রিয়া এবং এর বংশধরদের হত্যা করে, যা হ্যাং থ্রেড থাকলে অত্যন্ত গুরুত্বপূর্ণ। তারপর, PsExec দিয়ে, আপনি এক্সিকিউটেবলটি আবার চালু করতে পারেন এবং পরিষেবা বা অ্যাপ্লিকেশনের "পুনরায় চালু" করতে পারেন।
PsTools: প্যাকেজে আর কী কী অন্তর্ভুক্ত রয়েছে?
PsList একটি বৃহত্তর সেটের প্রথম হাতিয়ার হিসেবে জন্মগ্রহণ করেছিল যা আমরা আজকে জানি pstoolsএগুলির সবকটিই স্থানীয় এবং দূরবর্তী প্রশাসনের জন্য তৈরি, লক্ষ্য কম্পিউটারে ইনস্টলেশন ছাড়াই, এগুলিকে বিশেষভাবে ব্যবহারিক করে তোলে।
- PSExec: দূরবর্তীভাবে প্রক্রিয়া চালায়।
- পিএসফাইল: দূরবর্তীভাবে খোলা ফাইলগুলি দেখায়।
- পিএসগেটসিড: একটি কম্পিউটার বা ব্যবহারকারীর SID পায়।
- psinfo: সিস্টেমের তথ্য তালিকাভুক্ত করে (আপটাইম সহ)।
- PsPing: নেটওয়ার্ক কর্মক্ষমতা পরিমাপ করে।
- পিএসকিল: PID বা নাম দ্বারা প্রক্রিয়াগুলি বন্ধ করে।
- পিএসলগডঅন: : কে লগ ইন করেছেন তা পরীক্ষা করুন (স্থানীয় এবং ভাগ করা সম্পদ)।
- PsLogList সম্পর্কে: ইভেন্ট লগ ডাম্প করে।
- PsPasswd সম্পর্কে: অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করুন।
- পিএস সার্ভিস: পরিষেবাগুলি দেখুন এবং নিয়ন্ত্রণ করুন।
- PsShutdown: : কম্পিউটার বন্ধ করে পুনরায় চালু করুন।
- @Suspend: প্রক্রিয়া স্থগিত করে।
কোনটিরই বিশেষ ইনস্টলেশনের প্রয়োজন হয় না এবং এগুলি তাদের বিকল্পগুলির সাথে কনসোল থেকে কার্যকর করা হয়. প্রতিটি বিষয়ে বিস্তারিত সাহায্য দেখতে, সংশোধক যোগ করুন -? কলে।
PsList এবং DFIR: যখন "pslist" বলতে মেমরি বিশ্লেষণ বোঝায়
ঘটনার প্রতিক্রিয়া এবং স্মৃতি ফরেনসিকে, "pslist" শব্দটি দেখা যায় অবিশ্বাস, RAM ডাম্প বিশ্লেষণের প্ল্যাটফর্ম। যদিও উদ্দেশ্য ভিন্ন (আপনি একটি লাইভ কম্পিউটার বিশ্লেষণ করছেন না, বরং একটি স্ন্যাপশট), সাধারণ ধারণা হল প্রক্রিয়া কার্যকলাপ পুনর্গঠন করা.
অস্থিরতা 2-এ, তালিকাটি এর সাথে পাওয়া যায় pslist, লুকানো প্রক্রিয়াগুলি স্ক্যান করা হচ্ছে psscan এবং অনুক্রমের সাথে pstree. এছাড়াও আছে psxview দৃষ্টিভঙ্গির বিপরীতে এবং এমন লুকানো দিকগুলি উন্মোচন করুন যা একক পদ্ধতিতে দেখা যায় না।
# Volatility 2
vol.py -f memdump.raw --profile <perfil> pslist
vol.py -f memdump.raw --profile <perfil> psscan
vol.py -f memdump.raw --profile <perfil> pstree
vol.py -f memdump.raw --profile <perfil> psxviewঅস্থিরতা 3 প্ল্যাটফর্ম-প্রিফিক্সড সিনট্যাক্স গ্রহণ করে, তাই আপনি দেখতে পাবেন windows.pslist, windows.psscan o windows.pstree. psxview এর সরাসরি কোন সমতুল্য নেই। V3 তে, যদিও অন্যান্য ফ্রন্টগুলি নির্দিষ্ট প্লাগইন দিয়ে আচ্ছাদিত।
# Volatility 3
vol.py -f memdump.raw windows.pslist
vol.py -f memdump.raw windows.psscan
vol.py -f memdump.raw windows.pstreeভোলাটিলিটি ইকোসিস্টেমটি মডিউল দিয়ে সম্পন্ন হয়েছে নেটওয়ার্ক (windows.netscan), কার্নেল মডিউল (windows.modules), পরিষেবা (windows.svcscan), ফাইল (windows.filescan, windows.dumpfiles), হাতল (জানালা। হাতল), DLL (windows.dlllist), কমান্ড লাইন (windows.cmdline) y রেজিস্ট্রি (windows.printkey), অন্যদের মধ্যে।
সম্পর্কিত সরঞ্জাম যা আপনার দৃষ্টিভঙ্গিকে প্রসারিত করে
কখনও কখনও আপনাকে প্রক্রিয়াগুলির তালিকার বাইরেও তাকাতে হবে। এই ইউটিলিটিগুলি PsList এর পরিপূরক। যখন আরও গভীরে যাওয়ার কথা আসে।
- tlist.exe সম্পর্কে: ডিবাগিং টুল থেকে; সাপোর্ট ট্রি (
-t) এবং PID বা এক্সপ্রেশন দ্বারা ফিল্টার। - pulist.exe সম্পর্কে: পুরানো উইন্ডোজ ২০০০ কিট থেকে; খুবই সাধারণ, নাম, পিআইডি এবং ব্যবহারকারীর তালিকা; আপনি পরামর্শ নিতে পারেন দূরবর্তী দল.
- cmdline- র: দেখায় কমান্ড লাইন এবং পতাকা যার মাধ্যমে একটি প্রক্রিয়া শুরু হয়েছিল।
- হাতল: তালিকা খোলা হাতল এবং আপনাকে একটি নির্দিষ্ট বন্ধ করার অনুমতি দেয়।
- লিস্টডিএলএস: তালিকা লোড করা DLL গুলি প্রতিটি প্রক্রিয়া এবং তার রুটের জন্য।
- পিএমডাম্প: উল্টে যায় PID দ্বারা একটি প্রক্রিয়ার স্মৃতি উন্নত বিশ্লেষণের জন্য।
- প্রসেস এক্সপ্লোরার: খুব সম্পূর্ণ গ্রাফিক্যাল ইন্টারফেস, আদর্শ যখন তোমার স্ক্রিপ্টিং এর দরকার নেই।.
উইন্ডোজে অস্থির প্রমাণের জন্য দরকারী কমান্ড
দ্রুত প্রমাণ অর্জনের অনুশীলনে, PsList ছাড়াও, এমন কমান্ড রয়েছে যা সিস্টেম এবং নেটওয়ার্কের অবস্থা ক্যাপচার করতে সহায়তা করে। তুমি এগুলোকে একটি স্ক্রিপ্টে শৃঙ্খলিত করতে পারো এক ঝটকায় সবকিছু পেতে।
- EULA গ্রহণযোগ্যতার সাথে চলমান প্রক্রিয়া:
pslist.exe /accepteula >> Procesos.txt - প্রক্রিয়া এবং সাধারণ ব্যবহার:
tasklist.exe >> Procesos_en_uso.txt - প্রক্রিয়া বৃক্ষ:
pslist.exe -t /accepteula >> procesos_arbol.txt - প্রতিটি প্রক্রিয়ার জন্য DLL নির্ভরতা:
listdlls.exe /accepteula >> Procesos_dependencias.txt - খোলা হ্যান্ডেল:
Handle.exe /accepteula >> Procesos_manejadores.txt - সক্রিয় সংযোগ:
netstat -an | findstr /i estado listening established >> Conexiones_activas.txt - আইপি এবং ডিএনএস:
ipconfig /allyipconfig /displaydnsজন্য কনফিগারেশন এবং ক্যাশে. - ARP ক্যাশে:
arp -a >> arp-cache.txt - অ্যাপ্লিকেশন এবং পোর্টের তালিকা:
netstat -anob > Aplicaciones_PuertosAbiertos.txt - রুট টেবিল:
netstat -r >> Tabla_rutas.txt - NetBIOS সেশন:
nbtstat -sএবং NetBIOS ক্যাশে:nbtstat -c - ম্যাপ করা ইউনিট:
net use > UnidadesMapeadas.txt - ভাগ করা সম্পদ:
net share > CarpetasCompartidas.txt - (দূরবর্তী) ফাইল খুলুন:
psfile.exe /accepteula >> Ficheros_remotos_abiertos.txt - সেশন এবং লগইন:
net sessions,logonsessions.exe /accepteula,psloggedon.exe /accepteula - চলমান পরিষেবা:
sc query >> servicios_ejecucion.txt - ক্লিপবোর্ড:
pclip.exe >> Contenido_portapapeles.txtঅথবা টেক্সট মোডে ইনসাইডক্লিপবোর্ড। - কনসোলের ইতিহাস:
doskey /history >> HistoricoCMD.txt
মনে রাখবেন যে এই কমান্ডগুলি, যেমন PsList, যথাযথ সতর্কতার সাথে সম্পন্ন করতে হবে; একটি বাস্তব ফরেনসিক মামলার আগে এগুলি আয়ত্ত করা আদর্শ যাতে সিস্টেমটি অপ্রয়োজনীয়ভাবে দূষিত না হয়।
পরিচালনা সংক্রান্ত টিপস এবং সর্বোত্তম অনুশীলন
যদি আপনি নমুনা নিতে যাচ্ছেন -s y -r লোডেড দলে, অতিরিক্ত আক্রমণাত্মক ব্যবধান এড়িয়ে চলুন যা পারফরম্যান্সে শব্দ যোগ করে। আপনি যা ক্যাপচার করতে চান তার সাথে ক্যাডেন্স সামঞ্জস্য করুন।
অটোমেশনে, স্পষ্ট পাসওয়ার্ড না দেওয়ার কথা বিবেচনা করুন; ইন্টারেক্টিভ প্রম্পট অথবা গোপন রহস্যের বাক্স লগ এবং ইতিহাসের সংস্পর্শ কমিয়ে আনুন। এবং যখন আপনি PsList আউটপুট অডিট করতে আগ্রহী হন, তখন এটিকে একটি ফাইলে পুনঃনির্দেশিত করুন অথবা ফিল্টার দিয়ে চেইন করুন।
pslist -x > informe_pslist.txt
pslist -m | findstr /i "chrome firefox"যদি আপনি অনুবাদ বা গৌণ ডকুমেন্টেশনে অসঙ্গতি খুঁজে পান, তাহলে অনুগ্রহ করে অফিসিয়াল Sysinternals উৎসটি দেখুন। PsTools কমিউনিটি এবং ফোরাম মূল্যবান সম্পদ। সন্দেহ দূর করতে এবং বাস্তব ঘটনাগুলি পর্যালোচনা করতে।
দ্রুত ইনস্টলেশন এবং লঞ্চ নির্দেশিকা
রিমোট কম্পিউটারে কিছুই ইনস্টল করার প্রয়োজন নেই: আপনার কম্পিউটারে PsTools আনজিপ করুন এবং কনসোল থেকে এটি চালান।. PATH-তে ডিরেক্টরিটি অন্তর্ভুক্ত করুন অথবা বাইনারিগুলিকে তাদের পথ অনুসারে কল করুন। PsList সহায়তা দেখতে, যোগ করুন -? আমন্ত্রণের জন্য।
pslist -?যদি আপনার কোম্পানির অভ্যন্তরীণ সংগ্রহস্থল বা স্থাপনার স্ক্রিপ্ট থাকে, আপনার PsTools সংস্করণটি আপ টু ডেট রাখুন।প্যাকেজটিতে সমস্ত কমান্ড এবং বিকল্প সহ একটি HTML সহায়তা ফাইল রয়েছে, যা দ্রুত অফলাইন রেফারেন্সের জন্য কার্যকর।
সাধারণ ব্যবহারের ক্ষেত্রে
দূরবর্তী রক্ষণাবেক্ষণ: আপনার কনসোল থেকে, একটি মেশিনে প্রক্রিয়া তালিকাভুক্ত করুন, PsKill দিয়ে যা ঝুলছে তা মেরে ফেলুন এবং PsExec দিয়ে পুনরায় চালু করুন রিমোট ডেস্কটপ না খুলে বা হঠাৎ সংবেদনশীল পরিষেবা স্পর্শ না করে।
নিরীক্ষা এবং স্ক্রিপ্টিং: পর্যায়ক্রমিক প্রতিবেদন তৈরি করুন CSV বা টেক্সটে আউটপুট, findstr দিয়ে সন্দেহজনক প্রক্রিয়াগুলি ফিল্টার করে এবং সময়ের তুলনার জন্য একটি কেন্দ্রীয় সংগ্রহস্থলে সংরক্ষণাগারভুক্ত করে।
পিএসলিস্ট রিয়েল টাইমে প্রক্রিয়াগুলির অবস্থা এবং তাদের ব্যবহারের একটি স্পষ্ট জানালা প্রদান করে, এটি স্থানীয়ভাবে এবং দূরবর্তীভাবে কাজ করে এবং বাকি PsTools-এর সাথে একটি গ্লাভসের মতো সংহত হয়।যখন আপনি এর কলাম রিডিং, ক্রমাগত নমুনা গ্রহণ এবং নাম বা PID দ্বারা ফিল্টার নিয়ন্ত্রণ করেন, তখন এটি উইন্ডোজে প্রশাসন, সমস্যা সমাধান এবং দ্রুত ফরেনসিকের জন্য একটি সুইস আর্মি ছুরি হয়ে ওঠে।
