pstoosl工具介绍

*waa%@%{2dm,u/W*~0(1)psloglist★黑基空间★(Dpx^2[E)G.o%@ g
psloglist是一个查看系统事件记录的程序。
M?$Pg8Y5av0它的使用格式为：
%[{%t1{E sK#E0psloglist [\\远程机器ip [-u username [-p password]]] [-s [-t delimiter]] [-n # |★黑基空间★+Ld:j-|!}$WP
-d #][-c][-x][-r][-a mm/dd/yy][-b mm/dd/yy][-f filter] [-l event log file] <event
!k$E
m6z0c'pa0log>
u7G7Sxn.z;Z3m'p0-u 后面跟用户名 -p后面是跟密码的,如果建立ipc连接后这两个参数则不需要。
vI~]p9r P$X9EN0-c:显示事件之后清理事件记录★黑基空间★eC]`9MUR6l'ewk
-l <事件记录文件名>:用于查看事件记录文件
6[Ni%W$~9l.Se%b6T0-n <n>：只显示最近的n条系统事件记录。★黑基空间★hv2U([R:PatRz
-d <n>：只显示n天以前的系统事件记录
~ lR_
sMm8[x0-a mm/dd/yy:显示mm/dd/yy以后的系统事件记录
7_%KAv(J0-b mm/dd/yy:显示mm/dd/yy以前的系统事件记录
1rSgfC#lf7~%]?0-f <事件类型>：只显示指定的事件类型的系统事件记录。
wSIs{_Q0-x：显示事件数据代码★黑基空间★6Z;]Q8U&iM A
-r：从旧到新排列（如不加则默认是从新到旧排列）★黑基空间★3z'Nz P)J)e
-s:以一个事件为一行的格式显示，中间默认以逗号格开各个信息。★黑基空间★%wM{H V+h
-t <字符>:这个参数和-s连用，以来改变-s中默认的逗号。
q8~6Y0[j*sf0假设我在远程机器ip有一个账号，账号名是：abc 密码是：123★黑基空间★.D8n%Y.^*Q
如果我想看它的系统事件记录只用打：★黑基空间★$Zn,aR'LY
psloglist \\远程机器ip -u abc -p 123
O+C6ld4jf*V0比如我想看最近的10条error类型的记录可以打：

b7JS(rX1y EB0psloglist \\远程机器ip -u abc -p 123 -n 10 -f error

 ★黑基空间★x/h'v7x4t

+t^)SK0Q:x2p |!x0pskill是一个杀除进程的程序。
6O(\B,ZaX%?Zw0它的使用格式为：★黑基空间★"{xp*gHguX$Zf
pskill [\\远程机器ip [-u username] [-p password]] <process name | process id>★黑基空间★fe1k:N rC
假设我在远程机器ip有一个账号，账号名是：abc 密码是：123
gy2cg u}~Y2l#H0比如要杀除一个pid号为999,名称为srm.exe的进程可以打：★黑基空间★ B2zJA?9z
pskill \\远程机器ip -u abc -p 123 999 或 pskill \\远程机器ip -u abc -p 123 srm★黑基空间★xi$O)e9Y

 ★黑基空间★e@9Vq'q9\(F(DeT

pslist是一个查看进程的程序。
$o!Ncd
A*D/I D0它的使用格式为：★黑基空间★:e-Y/`Iz*J5Qi }
pslist [-?] [-d] [-m] [-x][-t][-s [n] [-r n] [\\远程机器ip [-u username] [-p pass
\%?0i+~TKCP0word]] [name | pid]★黑基空间★!C.F*CTu~
-u 后面跟用户名 -p后面是跟密码的,如果建立ipc连接后这两个参数则不需要。（如果没有-★黑基空间★PB]!oBvPo ~
p参数，则输入命令后会要求你输入密码）★黑基空间★ W.y&svk/\u)c~9w
-s：是使用任务管理器模式实时查看进程，可以按ESC键退出。★黑基空间★!k[npW R
-r <秒数>：是和-s连用的一个参数，它用来指定任务管理器模式是的刷新间隔。（默认的刷
%BTh+|-T6gX;E4k3d0新间隔为1秒）
_*dZff"kv/h'X0-d：示各个进程的cpu使用信息。★黑基空间★4tr7U3{N%R8G'~
-m：显示各个进程的存储器使用信息。★黑基空间★KkP*^q
-x：非常详细显示进程的所有信息。
Gm7wp.X*h }@H`0-t：以树型方式显示进程。★黑基空间★$sG.s B}
假设我在远程机器ip有一个账号，账号名是：abc 密码是：123
k*Gk.O H f p0比如要查看远程机器ip上的进程的cpu使用信息可以打:★黑基空间★k2]!r`\
a#^[+Cte:E3D
pslist -d \\远程机器ip -u abc -p 123
Hn z0X\t4o0比如要查看一个pid号为999,名称为srm.exe进程的存储器使用信息可以打：
AN n)X2fub0pslist -m \\远程机器ip -u abc -p 123 999 或 pslist -m \\远程机器ip -u abc -p 123
,w'fJ+P,Ti+w.O b0srm
q;pq{X,i.i3d0比如要以任务管理器模式实时查看61.12.23.4上进程情况，并且刷新间隔为3秒可以打：
%R|K(o&t[0pslist -s -n 3 \\远程机器ip -u abc -p 123★黑基空间★'|Zf-M(j'z7a

 ★黑基空间★ WW`q*W ]5}

g pq4o `2mnx0psservice是一个服务管理程序。
-mx7awW zs0它的使用格式为：
\LZ(t
?*tI%T^(_*Rh0psservice [\\远程机器ip [-u username] [-p password]] <command> <options>★黑基空间★Elr4GjX+u#u:n9?
它的参数只有：★黑基空间★9~NXG8~%F'`E
-u 后面跟用户名 -p后面是跟密码的,如果建立ipc连接后这两个参数则不需要。（如果没有-★黑基空间★UC!m(H/{
p参数，则输入命令后会要求你输入密码）★黑基空间★)`ClAs u%W
它的command有：★黑基空间★w;~ ezU
query [服务名]:显示某一服务的状态，如不填服务名则显示所有服务的状态。★黑基空间★{3V8sZ"U$yb"c!@l
config <服务名>：显示某一服务的配置。★黑基空间★1_E'm1Jcq
v
start <服务名>：启动某一服务。
J|%f;pzf0stop <服务名>：停止某一服务。
O[^
G-Z1N.w;b(^8[q0testart <服务名>：停止某一服务并重新启动它。★黑基空间★0\mL'rp
pause <服务名>：暂停某一服务。★黑基空间★CN4X-RMCg%tB
cont <服务名>：恢复暂停的服务。★黑基空间★3WF&e Lt
depend <服务名>：显示某一服务依存关系。
0~-P(dE J6Rs]D$O1O0find <服务名>：在网络种搜寻指定的服务。★黑基空间★PZ[ bl5v X0~~
比如你想查看在远程机器上的telnet服务的状态可以打：
'O4F%NRcm$Je.i0psservice \\远程机器ip query tlntsvr （tlntsvr为telnet服务的服务名）
)U7HqX,^0比如你查看远程机器上的telnet服务的配置可以打：
S7Y,g3F?$K-^"R*p0psservice \\远程机器ip config tlntsvr★黑基空间★2w7GSau
比如你想启动远程机器上的telnet服务可以打：
_*v3q+M\'u1I0^9l&~0psservice \\远程机器ip start tlntsvr★黑基空间★'I4o%uuV
a d@
其他用法以此类推。

N0\.b%vQ A(At wC7t0 

 ★黑基空间★Y3zF5`3pY4W"l0J

pssuspend是一个暂时停止进程的软件
9nP b:E9CI6l0它的使用格式为：
i5LL\J2E#llo'F0pssuspend [-r] [\\远程机器ip [-u username] [-p password]] <process name | process
@'[7}}+FLpYA ?0 id>
[7N0~3e4M6`I||9H0它有三个参数：
do*W1I*mOr0-u 后面跟用户名 -p后面是跟密码的,如果建立ipc连接后这两个参数则不需要。（如果没有-★黑基空间★,v#Q [l&x
p参数，则输入命令后会要求你输入密码）★黑基空间★ }{h.T7V
-r恢复进程。
1}RFR?
pS0假设我在远程机器ip有一个账号，账号名是：abc 密码是：123★黑基空间★5|OVQ&t-^h
比如要暂时停止一个pid号为999,名称为srm.exe的进程可以打：
LG9oEy-R0pssuspend \\远程机器ip -u abc -p 123 999 或 pssuspend \\远程机器ip -u abc -p 123
H+nq4["|0srm★黑基空间★t0N,B
o~#Xlb
如果想要恢复它就可以打pssuspend -r \\远程机器ip -u abc -p 123 999 或 pssuspend -r
*?,`Y)q$f0 \\远程机器ip -u abc -p 123 srm★黑基空间★k1q@`p(^

 ★黑基空间★8Xo ivO0Op

psexec是一个远程执行工具，你可以像使用telnet一样使用它。★黑基空间★J]'?D0Fb
它的使用格式为：
v(S6ML
NS,@_0psexec \\远程机器ip [-u username [-p password]] [-c [-f]] [-i][-d] program [argum★黑基空间★2E7|4o:Yz ezT%l
ents]★黑基空间★4F6Frh1w|M;r,KI
它的参数有：★黑基空间★dPX'} W5x^/o
-c <[路径]文件名>:拷贝文件到远程机器并运行（注意：运行结束后文件会自动删除）★黑基空间★J3b{M$}7`~?
-d 不等待程序执行完就返回，（比如要让远程机器运行tftp服务端的时候使用，不然psexec★黑基空间★)Fuf,o"q5Ksr_!S"{&v4A
命令会一直等待tftp程序结束才会返回）★黑基空间★p"ZR%{*h%V5g3UU*g
-i 在远程机器上运行一个名为psexesvc进程，(到底什么用弄不明白）
5rqu+qj.v)O)b i.G}*A0假设我在远程机器ip有一个账号，账号名是：abc 密码是：123
2n[-us@`0比如想要用telnet一样在远程系统上执行命令可以打：
2prZ:wG0psexec \\远程机器ip -u abc -p 123 cmd
.ng h*AZ _(be&VB'i3FA0如果想要远程机器执行本地c:\srm.exe文件可以打：★黑基空间★2JGD8h
Q2L
psexec \\远程机器ip -u abc -p 123 -c c:\srm.exe★黑基空间★'NJ-b9s1j\(^LtP7f
如果想要让远程机器执行本地上tftp服务端，(假设tftp服务端在本地c:\tftp32.exe)，可以★黑基空间★7N+[xx
K
?"R.n_
打：
0yM[ES Ol,u0psexec \\远程机器ip -u abc -p 123 -c c:\tftp32.exe -d

#\V?Mqx0★黑基空间★5|dP(ba EF
psinfo是一个搜集机器软硬件信息的工具，它可以获得操作系统信息，硬件信息和软件信息。★黑基空间★'e#fsWGe-GEB

它的使用格式为：
Kx$lx0W T0psinfo [-h] [-s] [-d] [-c] [\\远程机器ip [-u username [-p password]]]
,R,AVm4bRL
o/@0它的用法很简单，它只有三个参数。一个h和一个s一个d,加-h是显示它安装了哪些补丁包，而★黑基空间★:L-F m+C[T,g
加-s是显示它装了哪些软件,-d是显示磁盘信息。
-I,C7K Ekf(k4y0比如我只想看远程机器的软硬件信息和只用打:
sl1\Kve0psinfo \\远程机器ip★黑基空间★1aP3]$x:yZ6{2k
假如我还想看看它装了哪些补丁包可以打
8h?/D;_b8`0psinfo -h \\远程机器ip★黑基空间★ EvA r0[/Y Hy
假如我还想看看它磁盘信息可以打：
3F7CP2c/x2u0psinfo -d \\远程机器ip
u:M_'_:C5T3d7ID0如果我想看它装了哪些软件可以打：
}:h?a qz0psinfo -s \\远程机器ip★黑基空间★0t[%B jA2O
简单吧.

:_|\y
}!@0psgetsid是一个远程获取账号sid信息的工具。
bYb/mM~mx0它的参数只有-u和-p,-u后面跟用户名 ，如果建立ipc连接后这两个参数则不需要。
(];U|*TU1O0比如我有远程机器的一个账号，账号名是：abc 密码是：123则使用方法是:
3IU0H'Bh0psgetsid \\远程机器ip -u abc -p 123 要看sid的账号★黑基空间★V~0Q t\k a/\

★黑基空间★}p(_[:r
psuptime是一个了解远程机器运行了多久的命令。
6H3g1Sp]}s"f0使用它只需要打：psuptime \\远程机器ip★黑基空间★AOsj7R
N/P_

)]v{ Z9Y\u9n0psshutdown是一个远程关机命令。★黑基空间★"`/B&C#~Og
y#_2k
它的参数有：-a 取消以前执行的关机指令，-t离关机还有多少秒（默认是20秒），-s关闭机★黑基空间★ clE];E@3j
器，-m是要显示的信息，-f是关机是不保存运行的程序，-r表示重启，-l表示锁定电脑，-o
^3lh1zoH"Q0表示注销用户。
#_6Z,@O5p:Qy,k0比如我想让远程机器30秒后关闭并显示(要关机了，请保存文件)则打：★黑基空间★(A ?B.b$lS;\L$kp
psshutdown -t 30 -s -m "要关机了，请保存文件" \\远程机器ip
F Fu8DDq0如果是要重起的话打：★黑基空间★4y nT0O3Q%^nFcV
psshutdown -t 30 -m "要关机了，请保存文件" -r \\远程机器ip
9T+`cbE9h0如果要取消刚才的指令可以打：★黑基空间★ D+yGQt pP
psshutdown -a \\远程机器ip★黑基空间★/rn p;z N1C R+u2A[
其他参数以此类推。

UCbBZGb9E\4m0
3}__2u,YQ(Il$AYC0psloggedon是一个显示目前谁登陆的机器的命令。★黑基空间★ Qv1g@:s@Jk7f7m2t*c7l
它的参数只有:★黑基空间★G |p6^(_R2N w?
-l只显示本地登陆用户而不显示其它的网络登陆用户
:w;? TX8mA0-x不显示登陆时间★黑基空间★C(i] ^)y4fh
比如说要显示远程机器现在登陆的用户可以打：
'nGv/M_*B|PY9X0psloggedon \\远程机器ip★黑基空间★kh,V iv[

[6crjIZ0 

psfile是一个显示机器上的会话和有什么文件被网络中的用户的打开的命令。
Zs0GZ!P0它的使用格式为：★黑基空间★Cx }A1[e
psfile [\\远程机器ip [-u Username [-p Password]]] [[Id | path] [-c]]
$NsU,x.T&A~ ?-?
]0它的参数只有:★黑基空间★$VJcF Vg$R
-c：关闭会话或文件
NC o2ff5NJ%n0比如我想看看远程机器上的会话和被远程用户打开的文件可以打：★黑基空间★q?,T8_ D;J+Py+U
psfile \\远程机器ip★黑基空间★SDr:g(S HR
接着就会显示
2?}v9V#|Ef*]s0[33] C:\WINNT★黑基空间★a)V P.T.?[y~
User: ADMINISTRATOR★黑基空间★jfr6R#k } R
Locks: 0★黑基空间★ Di;\l Y7^p
Access: Read
N,C.~?`K0[63] \PIPE\srvsvc
t1y"YyP!z:Nd0User: ADMINISTRATOR★黑基空间★3NGaY#P
Locks: 0
!x eg"zy%T;U0Access: Read Write
-iGx#s/} Z q0接着我想关闭id为33，路径为c:\winnt的这个会话可以打★黑基空间★(\!K6NsP3u4f,r_
psfile \\远程机器ip 33 -c 或 psfile \\远程机器ip c:\winnt -c★黑基空间★6y6PN1KV [
★黑基空间★ x y]&yl)MQ;B&?