Лабораторная работа Ревизия 3 2 История изменений

35
Работа программы
Для считывания информации из реестра системы программа PsInfo обращается к прикладному программному интерфейсу удаленного реестра, а чтобы выяснить, проведена ли активация ОС Windows XP, — к элементу WMI.
41. PsGetSid
PsGetSid позволяет переводить идентификаторы в их отображаемое имя и наоборот. Работает на встроенных учетных записей, учетных записей домена и локальных учетных записей.
Применение:
PsGetSid [\ \ компьютер [, компьютер [,...] | @ файл] [-U имя пользователя [-р пароль]]] [счет | SID]
Параметры PsGetSid позволяют транслировать имена учетных записей пользователей и компьютеров в соответствующие SID и наоборот.
Если PsGetSid запускается без параметров, она выводит SID, назначенный локальному компьютеру. Используя тот факт, что учетной записи Administrator всегда присваивается RID, равный 500, вы можете определить имя этой учетной записи (в тех случаях, когда системный администратор переименовал ее по соображениям безопасности), просто передав SID компьютера, дополненный «-500», как аргумент командной строки PsGetSid.
Чтобы получить SID доменной учетной записи, введите имя пользователя с указанием домена: с: \›psgetsid redmond\daryl
Вы можете выяснить SID домена, передав в PsGetSid его имя как аргумент: c: \›psgetsid Redmond
Наконец, изучив RID своей учетной записи, вы по крайней мере узнаете, сколько учетных записей защиты (security accounts), равное значению, полученному вычитанием 999 из вашего RID, было создано в вашем домене или на вашем локальном компьютере (в зависимости от используемой вами учетной записи — доменной или локальной). Чтобы определить, каким учетным записям были присвоены RID, передайте SID с интересующим вас RID. Если PsGetSid сообщит, что сопоставить SID с каким-либо именем учетной записи не удалось, и значение RID окажется меньше, чем у вашей учетной записи, значит, учетная запись, по которой был присвоен RID, уже удалена.
Например, чтобы выяснить имя учетной записи, по которой был назначен двадцать восьмой RID, передайте SID домена с добавлением «-1027»: c: \›psgetsid S-1-5-21-1787744166-3910675280-2727264193-1027 Account for S-
1-5-21-1787744166-3910675280-2727264193-1027: User: redmond\daryl
42. PsKill v1.13
Программа PsKill может выполнять не только все функции программы из комплекта Resource Kit, но еще и завершать процессы в удаленных системах.
При этом чтобы использовать программу PsKill для завершения удаленного процесса, на удаленный компьютер даже не нужно устанавливать клиентское программное обеспечение.
Установка
Скопируйте программу PsKill в папку для исполняемых файлов и введите команду «pskill», указав необходимые параметры.
Программа PsKill работает в ОС Windows NT 4.0 и более поздних версиях, в том числе в ОС Windows Vista.

36
Использование
Если при запуске PsKill указать идентификатор процесса, то программа завершит процесс с таким идентификатором на локальном компьютере. Если указать имя процесса, то программа PsKill завершит все процессы с таким именем.
Использование:
pskill [- ] [-t] [\\компьютер [-u имя_пользователя] [-p пароль]]
<имя_процесса | идентификатор_процесса>
- Выводится перечень допустимых параметров.
-t - завершает процесс и все процессы — его потомки.
\\компьютер - имя компьютера, где выполняется процесс, который нужно завершить. Удаленный компьютер должен быть виден в сетевом окружении ОС
NT.
-u имя_пользователя - если нужно завершить процесс, выполняемый в удаленной системе, но ваши учетные данные не содержат прав администратора для этой системы, то для входа в удаленную систему с правами администратора следует использовать этот параметр. Если пароль не задан с помощью параметра -p, то программа PsKill выдаст запрос на ввод пароля, при этом вводимый пароль не будет отображаться на экране.
-p пароль - этот параметр позволяет задать пароль в командной строке, что дает возможность вызывать программу PsKill из пакетного файла. Если указать имя учетной записи без параметра -p, то программа PsKill в процессе работы выдаст запрос на ввод пароля. идентификатор_процесса - идентификатор процесса, который нужно завершить. имя_процесса - имя одного или нескольких процессов, которые нужно завершить.
43. PsList v1.28
pslist exp - выводятся статистические данные для всех процессов, имя которых начинается с «exp», например, для процесса Explorer.
-d - выводятся сведения о потоке.
-m - выводятся сведения о памяти.
-x - выводится список процессов, сведения о памяти и потоках.
-t - выводится дерево процесса.
-s [n] - запускается режим диспетчера задач, дополнительно можно указать продолжительность использования режима в секундах. Для отмены режима нажмите клавишу Esc.
-r n - периодичность обновления сведений в окне диспетчера задача (значение по умолчанию — 1).
\\компьютер - вместо вывода информации о процессах на локальном компьютере программа PsList выводит сведения об указанной операционной системе Windows NT или 2000. Задайте параметр -u, указав имя и пароль пользователя, от имени которого следует войти в удаленную систему, если ваших прав недостаточно для получения информации о счетчиках производительности этой системы.
-u - имя пользователя. Если нужно прекратить процесс, выполняемый в удаленной системе, но ваша учетная запись не имеет прав администратора для этой системы, то для входа в удаленную систему с правами администратора следует использовать этот параметр. Если пароль не задан с помощью параметра -p, то программа PsList выдаст запрос на ввод пароля, при этом вводимый пароль не будет отображаться на экране.

37
-p - пароль. Этот параметр позволяет задать пароль в командной строке, что дает возможность вызывать программу PsList из пакетного файла. Если указать имя учетной записи без параметра -p, то программа PsList в процессе работы выдаст запрос на ввод пароля.
Имя – выводятся сведения о процессах, имена которых начинаются с заданной строки.
-e – выводятся сведения о процессе, имя которого точно соответствует введенной строке.
Pid - при указании этого параметра программа PsList вместо вывода списка всех выполняющихся в системе процессов производит поиск процесса с указанным идентификатором PID. Таким образом, если ввести команду pslist 53, то будут выведены статистические данные процесса, PID которого равен 53.
Работа программы
Так же как и встроенный монитор операционных систем Windows NT и 2000, программа PsList использует для получения данных системные счетчики производительности. Документацию по счетчикам производительности в ОС
Windows NT и 2000, в том числе исходный текст программы PerfMon — встроенного монитора ОС Windows NT, можно получить на веб-узле MSDN.
Обозначения, используемые при выводе сведений о памяти
Все числовые значения приводятся в килобайтах.
Pri: приоритет.
Thd: количество потоков.
Hnd: количество дескрипторов.
VM: виртуальная память.
WS: рабочий набор.
Priv: собственная виртуальная память.
Priv Pk: собственная виртуальная память (максимальный объем).
Faults: ошибки страниц.
NonP: невыгружаемый пул.
Page: выгружаемый пул.
Cswtch: переключения контекста.
44. PsLoggedOn (версия 1.33)
PsLoggedOn — это приложение, выводящее список пользователей, вошедших в систему как в локальном режиме, так и через ресурсы локального или удаленного компьютера. Если указать вместо имени компьютера имя пользователя, программа PsLoggedOn проведет поиск среди компьютеров в сетевом окружении и сообщит, вошел ли данный пользователь в одну из этих систем. В комплекте загружаемых файлов имеется полная версия исходного кода.
Вошедшим в локальную систему программа PsLoggedOn считает пользователя, профиль которого загружен в реестр; при составлении списка таких пользователей она проводит поиск среди элементов раздела реестра
HKEY_USERS. Обнаружив раздел, имя которого совпадает с идентификатором безопасности того или иного пользователя, программа PsLoggedOn определяет имя этого пользователя и выводит его. Для составления списка пользователей, вошедших в систему через общие ресурсы, программа PsLoggedOn обращается к прикладному программному интерфейсу NetSessionEnum. Следует иметь в виду, что среди пользователей, вошедших через общие ресурсы на искомые удаленные компьютеры, программа PsLoggedOn укажет и ваше собственное

38 имя — дело в том, что для доступа к реестру удаленной системы вы должны выполнить вход.
Установка
Скопируйте программу PsLoggedOn в папку для исполняемых файлов, а затем введите команду psloggedon.
Программа PsLoggedOn работает в ОС Windows Vista, NT 4.0, Win2K, Windows XP и Server 2003.
45. PsLogList (версия 2.71)
В состав комплекта Resource Kit входит программа elogdump, которая позволяет сохранить содержимое журнала событий локального или удаленного компьютера. Программа PsLogList является аналогом этой программы, с той лишь разницей, что PsLogList позволяет выполнить вход на удаленную систему и получить строки сообщений с компьютера, на котором расположен просматриваемый журнал, в случаях, если текущий набор учетных сведений не позволяет получить доступ к журналу событий.
Установка
Скопируйте программу PsLogList в любую из папок, в которых система ищет исполняемые файлы, а затем выполните команду psloglist.
Программа PsLogList работает в операционных системах Windows Vista, NT 3.51,
NT 4.0, Win2K, Windows XP и Server 2003.
Использование программы
По умолчанию программа PsLogList выводит в удобном формате содержимое системного журнала событий локального компьютера. С помощью параметров командной строки можно просматривать содержимое журналов на других компьютерах, осуществлять доступ к журналам с правами другой учетной записи, или выводить содержимое журналов в удобном для строкового поиска формате.
Синтаксис:
psloglist [- ] [\\имя_компьютера[,имя_компьютера[,...] | @файл [-u имя_пользователя [-p пароль]]] [-s [-t разделитель]] [-m #|-n #|-h #|-d #|- w][-c][-x][-r][-a мм/дд/гг][-b мм/дд/гг][-f фильтр] [-i ID[,ID[,...] | -e
ID[,ID[,...]]] [-o источник[,источник][,..]]] [-q источник[,источник][,..]]] [-l файл_журнала] <имя_журнала>
@файл
Выполнить команду для каждого из компьютеров, перечисленных в указанном текстовом файле.
-a
Вывести записи, созданные после указанной даты.
-b
Вывести записи, созданные до указанной даты.
-c
Очистить журнал после вывода содержимого.
-d
Вывести записи за предыдущие n дней.
-e
Исключить события с указанными кодом ID (до 10 шт).
-f
Применить к типам событий фильтр (например “-f w” для вывода только предупреждений).
-h
Вывести записи за предыдущие n часов.
-i
Вывести только события с указанными кодом ID (до 10 шт).
-l
Вывести записи, содержащиеся в указанном файле журнала

39 событий.
-m
Вывести записи за предыдущие n минут.
-n
Вывести только указанное количество последних событий.
-o
Вывести записи только от указанных источников (например
“-o cdrom”).
-p
Необязательный параметр, указывает пароль для пользователя. Если этот параметр опустить, то будет выдан запрос на ввод пароля, при этом пароль не будет отображаться на экране.
-q
Исключить из вывода записи от указанных источников
(например “-o cdrom”).
-r
Выводить события в порядке от наиболее давних к наиболее свежим.
-s
Указывает программе PsLogList выводить записи журнала событий по одной на строчку, разделяя поля запятыми. Этот формат удобен для текстового поиска, например можно выполнить команду psloglist | findstr /i текст_для_поиска.
Также этот формат удобен для импортирования результатов в электронные таблицы.
-t
По умолчанию разделителем полей является запятая, но с помощью этого параметра можно указать другой символ в качестве разделителя.
-u
Необязательный параметр. Указывает имя пользователя для выполнения входа на удаленную систему.
-w
Ожидать новых сообщений и выводить их по мере их появления в журнале (доступно только для локальной системы).
-x
Выводить расширенные данные.
имя_журнала
По умолчанию программа PsLogList выводит содержимое системного журнала событий. Можно указать другой журнал. Для этого достаточно ввести первые несколько букв имени журнала
(приложение, система или безопасность).
Работа программы
Аналогично штатному средству просмотру событий ОС Windows NT и 2000 или включенной в состав комплекта Resource Kit программе elogdump, программа
PsLogList использует для своей работы API-интерфейс журнала событий, который описан в пакете Windows Platform SDK. Для корректного отображения сообщений журнала событий программа PsLogList загружает модули источников сообщений на системе, на которой расположен считываемый журнал.
46. PsPasswd v1.22
PsPasswd позволяет изменить пароль локальной или доменной учетной записи на локальном или удаленном компьютере.
Использование:
PsPasswd \\computer -u username -p password Username Newpassword

40 computer выполнить команду на удаленном компьютере. Если опустить имя компьютера команда выполняется на локальной системе, и если указать шаблон (\ \ *), команда работает на всех компьютерах в текущем домене.
@ file Выполните команду на каждом компьютере, перечисленных в текстовом файле указан.
-u Определяет необязательное имя пользователя для того, чтоб войти на удаленный компьютер.
-р Определяет дополнительный пароль для имени пользователя. Если опустить этот параметр, то вам будет предложено ввести пароль.
Username – Указывает имя учетной записи для смены пароля.
NewPassword – новый пароль.
47. PsService v2.24
PsService – утилита командной строки для просмотра и управления службами
Windows. Подобно утилите SC, входящей в состав комплекта ресурсов для
Windows NT и Windows 2000 Resource Kits, программа PsService отображает состояние, конфигурацию и зависимости служб, а также позволяет запускать, приостанавливать, возобновлять и перезапускать их. Но, в отличие от SC,
PsService еще позволяет заходить на удаленный компьютер от имени другой учетной записи в тех случаях, когда текущая учетная запись не обладает разрешениями, необходимыми для доступа к удаленной системе. Утилита
PsService включает уникальную функцию поиска, позволяющую обнаружить активные экземпляры указанной службы в сети. Например, она может оказаться полезной, если нужно найти системы, на которых работает DHCP- сервер.
PsService работает в операционных системах NT 4, Windows 2000 и Windows
Vista, тогда как версия SC из «Windows 2000 Resource Kit» годится только для
Windows 2000, к тому же PsService не требует вручную вводить «индекс возобновления», чтобы получить полную информацию о службе.
Установка
Скопируйте программу PsService в любую из папок, в которых система ищет исполняемые файлы, и затем введите команду «psservice».
Порядок вызова
По умолчанию программа PsService выводит список всех сконфигурированных служб (работающих и остановленных) в локальной системе. Если при вызове указана команда, то вызывается соответствующая ей функция. Некоторые команды могут сопровождаться дополнительными параметрами. Если после команды ввести символ «-», на экран выводится информация о синтаксисе этой команды.
Применение: psservice [\\коммьютер [-u имя_пользователя] [-p пароль]]
<команда> <параметры>
query
Вывести текущее состояние службы.
config
Вывести конфигурацию службы.
setconfig
Задать способ запуска службы (отключена, автоматически, вручную).
start
Запустить службу.
stop
Остановить службу
restart
Остановить и снова запустить службу.

41
pause
Приостановить работу службы.
cont
Возобновить работу приостановленной службы.
depend
Вывести список служб, зависящих от указанной.
security
Вывести дескриптор безопасности службы.
find
Искать указанную службу в сети.
\\компьютер Задает имя компьютера с ОС NT или Win2K, к которому относится команда. Задайте параметр -u, указав имя и пароль пользователя, от имени которого следует зайти на удаленную систему, если ваших прав недостаточно для получения от нее информации о счетчиках производительности. Если задан только параметр -u, а параметр -p с указанием пароля опущен, то программа PsService попросит ввести пароль, но не будет отображать его на экране.
48. PsShutdown v2.52
PsShutdown это утилита командной строки, похожая на утилиту отключения компьютера от Windows 2000 Resource Kit, но с возможностью сделать гораздо больше. В дополнение к поддержке – те же параметры для выключения или перезагрузки локального или удаленного компьютера. PsShutdown может вылогинивать пользователя консоли или блокировать консоль (блокировка требует Windows 2000 или выше). PsShutdown не требует ручной установки клиентского программного обеспечения.
Установка
Скопируйте PsShutdown в папку для исполняемых файлов и введите
PsShutdown с нужными параметрами командной строки.
Использование:
psshutdown [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] -s|-r|-h|-d|- k|-a|-l|-o [-f] [-c] [-t nn|h:m] [-n s] [-v nn] [-e [u|p]:xx:yy] [-m "message"]
… – отображение поддерживаемых параметров.