Archive | septiembre 2009

Toolkit forense MIR-ROR

Leyendo SBD me encuentro con esta herramienta que es capaz de hacer las siguientes cosas:

Puertos TCP/UDP en uso

Software instalado

Servicios en ejecución,

Cuentas administrativas

Procesos en ejecución

Bueno así que lo he probado.

Para utilizar esta herramienta hay que descargar varias cosas.

Primero la suite Sysinternals.

Descargar

Luego nos tendremos que descargar el toolkit de MIR-ROR

Descargar

Y la aplicación que nos hará el volcado.

Descargar

Todo lo hemos de poner en una misma carpeta.

Por ejemplo yo lo he puesto todo en C:\Forense

Ahora vamos a ejecutar la herramienta de volcado.

haciendo_archivo

Ahora podemos ver el fichero desde consola por ejemplo:

resumen

Y ahora de manera gráfica,

manera_grafica

Y de esta manera ya tendremos un análisis de Windows.

Podéis ver la notícia de Security By Default desde aquí::

http://www.securitybydefault.com/2009/09/toolkit-forense-mir-ror.html

Saludos

2009/09/20

by Marc Rivero López
in Sistemas Operativos, Software, teoría, Windows, Windows Server
Dejar un comentario

RIS, haciendo deployment de Windows en red parte I

La informática se inventó para hacer la vida más comoda a las personas.

Disponemos de una red de 20 pc’s y en vez de instalar windows cada en cada uno de manera manual, lo haremos todo desde el servidor.

Requisitos

Necesitaremos un Windows Server. Yo he utilizado la versión Windows Server 2008 Enterprise R2.

Activando Servicio

Primero de todo activamos el servicio RIS.

agregando_roles

Ahora nos saldrá una ventanita para poder elegir que queremos activar.

agregando_rol

Ahora vamos a iniciar el software de implementación de Windows.

iniciando_software

Bueno después de iniciarlo nos vamos a configurar el Servidor.

configurando

Bueno ahora nos saldrán las pantallas de configuración de el Servicio RIS.

Nos tendremos que fijar en unas cuantas.

ruta_de_archivos

En esta pantalla nos preguntará donde queremos guardar la imagen que se va a distribuir a los clients de la red. Ha de ser una partición diferente que c:

Sigamos

clientes

Aquí marcamos que a quien responderemos. A todo el mundo, sólo a clientes conocidos. O a todo el mundo con un registro? Tenéis que escoger aquella opción que queráis.

Sigamos

archivos_y_servicios_necesarios

Esto iniciará los servicios oportunos.

Ahora nos preguntará si queremos guardar la imágen al servidor AHORA,

agregar_imagenes

Entonces iremos a buscar donde se encuentra el cd con la imagen de S.O que queramos instalar.

En mi caso yo voy ha hacer deployment de Windows Vista.

agregando_disco

Bueno haremos le ponemos un nombre a este grupo. Un nombre a esta “tarea” digamos.

nombre_del_grupo

Ahora nos hace un resumen.

resumen

Ahora empezará el proceso de creación de la imagen.

agregando_imagen

Una vez se haya agregado podemos ver que el servidor RIS está listo.

propiedades

Ahora desde la parte del cliente arrancamos con PXE.

Y podemos ver como empezará el proceso de copiado.

Cliente

cargando_imagen

Aqui vemos la IP desde donde está descargando los archivos que necesita.

Una vez los haya descargado podremos empezar con Vista

cargando_vista

Como veis ahora nos pone espere, asi que nada nos esperaremos hasta que salga esta ventanita.

Windows_instalación

Como veis aquí pone Servicio de Implementación de Windows. Le damos a siguiente

dominio

Ahora nos pedirá validacion contra el dominio. Después de eso, la máquina quedará en el dominio directamnete.

Seguimos

instalando

Una vez acabe el proceso de instalación se reiniciará.

reinicio

Y después del reinicio empezarán las configuraciones básicas de Vista

instalacion

Y hasta aquí la primera parte.

2009/09/15

by Marc Rivero López
in Sistemas Operativos, Software, Utilidades, Windows
Dejar un comentario

Fport, Sysinternals y PStools herramientas imprescindibles III-III

Fport, Sysinternals y PStools herramientas imprescindibles I-III

Y la segunda parte:

Fport, Sysinternals y PStools herramientas imprescindibles II-III

Continuemos…

PslogList

Que es y para que sirve?

El kit de recursos incluye una utilidad, elogdump, que le permite volcar el contenido de un registro de sucesos en el local o un equipo remoto. PsLogList es un clon de elogdump salvo que PsLogList le permite acceder a sistemas remotos en las situaciones de su actual conjunto de credenciales de seguridad no se permitirá el acceso al registro de sucesos, y PsLogList recupera cadenas de mensajes de la computadora en la que el registro de sucesos de ver reside.

Modo de uso:

uso: PsLogList [-] [\ \ equipo [, equipo [,...] | @ file [-U usuario [-p contraseña]]] [-s [-t delimiter]] [-m # | # n - |-h # |-D # |-w] [-c] [-x] [-r] [-a dd / mm / aa] [-b dd / mm / aa] [-f filtro] [-i ID [, ID [,...] | E-ID [, ID [,...]]] [Origen del suceso o [, origen de eventos ][,..]]] [Origen del suceso q [, evento fuente de ][,..]]] [l evento de archivo de registro] <eventlog>

@ archivo Ejecute el comando en cada uno de los equipos incluidos en el archivo.

-a Registros de sellos de tiempo de descarga después de la fecha especificada.

-b Volcado de registros con sellos de tiempo antes de la fecha especificada.

-c Borrar el registro de sucesos después de mostrar.

-d Sólo mostrar registros de n días anteriores.

-c Borrar el registro de sucesos después de mostrar.

-E Excluir los eventos con el ID especificado o ID (hasta 10).

-f Tipos de eventos de filtro con cadena de filtro (por ejemplo “-FW” a las advertencias de filtro).

-h Sólo mostrar registros de n horas anteriores.

-i Mostrar eventos sólo con el ID especificado o ID (hasta 10).

-l Volcado de los registros del archivo especificado de registro de eventos.

-m Sólo mostrar registros de n minutos anteriores.

-n Sólo mostrar el número de entradas más reciente especificado.

-O Mostrar sólo los registros del origen de eventos específicos (por ejemplo, \ “-CD-ROM o \”).

-p Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.

-q Omita los registros de la fuente o fuentes de evento concreto (por ejemplo, \ “-q-ROM \”).

-r SDump de registro de menos reciente a más recientes.

-s Este conmutador se ha PsLogList imprimir los registros de sucesos de un registro por línea, con campos delimitados por comas. Este formato es conveniente para las búsquedas de texto, por ejemplo, PsLogList | FINDSTR / i texto, y para importar el resultado en una hoja de cálculo.

-t El delimitador por defecto es una coma, pero puede ser anulado con el carácter especificado.

-U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.

-w Espere a que los nuevos eventos, como el dumping que generan (sistema local solamente).

-x Volcado de datos extendida

registro de eventos registro de eventos

Veamos un ejemplo:

psloglist

Sigamos

PsPasswd

Que es y para que sirve?

Los administradores de sistemas que gestionan las cuentas de gestión local en varios equipos regularmente necesidad de cambiar la contraseña de la cuenta como parte de las prácticas de seguridad estándar. PsPasswd es una herramienta que le permite cambiar una contraseña de la cuenta en los sistemas locales o remotos, permite a los administradores crear archivos de proceso por lotes que se ejecutan PsPasswd contra los equipos que gestionan con el fin de realizar un cambio de masa de la contraseña de administrador.

Modo de Uso:

uso: pspasswd [[\ \ equipo [, equipo [,..] | @ [archivo-u usuario [-p Alta Recordatorio]]] Usuario [nuevaContraseña]

ordenador Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.

@ archivo Ejecute el comando en cada equipo incluido en el archivo de texto especificado.

-U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.

-p Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.

Nombre de usuario Especifica el nombre de cuenta para cambiar la contraseña.

NuevaContraseña Nueva contraseña. Si se omite una contraseña nula es aplicada.

Veamos un ejemplo:

pspasswd

PsService

Que es y para que sirve?

PsService es un visor de servicios y controlador para Windows. Al igual que la utilidad de SC que está incluido en Windows NT y Windows 2000 kits de recursos, PsService muestra el estado, la configuración y las dependencias de un servicio, y le permite iniciar, detener, pausar, reanudar y reiniciar ellos. A diferencia de la utilidad de SC, PsService le permite iniciar sesión en un sistema remoto utilizando una cuenta diferente, para los casos en que la cuenta desde la que se ejecuta no tiene los permisos necesarios en el sistema remoto. PsService incluye un servicio único capacidad de búsqueda, que identifica las instancias activas de un servicio en su red. Usted podría utilizar la función de búsqueda si desea localizar los sistemas que ejecutan los servidores DHCP, por ejemplo.

Por último, PsService Funciona tanto en NT 4, Windows 2000 y Windows Vista, mientras que la versión de Windows 2000 Kit de recursos de la SC requiere Windows 2000, y la PsService no requiere que para introducir manualmente un “resume índice” para obtener una lista completa de información de servicio.>

Modo de uso:

Uso: PsService [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] <command> <options>

consulta Muestra el estado de un servicio.

config Muestra la configuración de un servicio.

setconfig Establece el tipo de partida (desactivado, automático, de la demanda) de un servicio.

iniciar Inicia un servicio.

parar Detiene un servicio.

reinicie Se detiene y se reinicia un servicio.

pausa Detiene un servicio de

cont El resumen de un servicio pausado.

depende Listas de los servicios dependientes de la especificada.

seguridad Vuelca descriptor de seguridad del servicio.

encontrar Busca en la red para el servicio especificado.

\ \ equipo Objetivos del sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto. Si se especifica la opción-u, pero no una contraseña con la opción-p, PsService le pedirá que introduzca la contraseña y no tendrá eco a la pantalla.

Veamos un ejemplo:

pssservice

Sigamos

PsShutdown

Que es y para que sirve?

PsShutdown es una utilidad de línea de comandos similar a la utilidad de apagado de Windows 2000 Resource Kit, pero con la capacidad de hacer mucho más. Además de apoyar las mismas opciones para apagar o reiniciar el local o un equipo remoto, PsShutdown puede cerrar la sesión en la consola de usuario o de bloqueo de la consola (bloqueo requiere Windows 2000 o superior). PsShutdown no requiere ningún manual de instalación de software de cliente.

Modo de uso:

Uso: psshutdown [[\ \ equipo [, equipo [,..] | @ file [-u usuario [-p Alta Recordatorio]]]-s |-r |-h |-d |-k |-a |-l |-o [-f] [-c] [-nn t | h: m] [-ns] [-nn v] [-e [u | p]: xx: yy] [-m "mensaje"]

– Muestra las opciones de apoyo.

ordenador Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.

@ archivo Ejecute el comando en cada equipo incluido en el archivo de texto especificado.

-U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.

-p Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.

-a Anula el apagado (sólo es posible mientras que una cuenta atrás está en marcha).

-c Permite que el cierre de ser cancelada por el usuario interactivo.

-d Suspender el equipo.

-E Código de razón de apagado.
Especifique ‘U’ para los códigos de usuario y la razón ‘p’ para los códigos de razón prevista de cierre.
xx es el código de las principales razones (debe ser inferior a 256).
yy es el código de razón menor de edad (debe ser inferior a 65536).

-f Fuerzas de todas las aplicaciones para salir durante el cierre en lugar de darles la oportunidad de guardar sus datos con gracia.

-h Hiberna el equipo.

-k Apagado el ordenador (reiniciar el sistema apagado si no se admite).

-l Bloqueo de la computadora.

-m Esta opción le permite especificar un mensaje para mostrar a los usuarios registrados cuando se inicie el cierre de la cuenta regresiva.

-n Especifica el tiempo de espera en segundos de conexión a ordenadores remotos.

-O Cierre de sesión del usuario de la consola.

-r Reinicie después de la parada.

-s Apaga el equipo sin alimentación.

-t Especifica la cuenta atrás en segundos hasta el cierre (por defecto: 20 segundos) o el tiempo de apagado (en notación de 24 horas).

-v Mensaje en pantalla el número especificado de segundos antes del apagado. Si se omite este parámetro de la notificación de cierre de diálogo muestra y especificar un valor de 0 resultados, en ningún cuadro de diálogo.

Veamos un ejemplo:

psshutdown

PsSuspend

PsSuspend le permite suspender los procesos en el sistema local o remoto, que es deseable en los casos en que un proceso está consumiendo un recurso (por ejemplo, red, CPU, o disco) que desea permitir que los diferentes procesos a utilizar. En lugar de matar el proceso que está consumiendo el recurso, la suspensión le permite dejar que sigan operando en algún momento posterior en el tiempo

Modo de uso:

Uso: PsSuspend [-] [-r] [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] nombre <process | proceso id>

– Muestra las opciones de apoyo.

-r CV de los procesos especificados especificado si se encuentran suspendidos.

\ \ equipo Especifica el equipo en el que el proceso que se desea suspender o reanudar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT.

-u nombre de usuario Si desea suspender un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsSuspend le pedirá la contraseña sin eco de sus aportaciones a la pantalla.

-p contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsSuspend de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsSuspend le pide una contraseña de forma interactiva.

identificador de proceso Especifica el ID del proceso del proceso que se desea suspender o reanudar.

Nombre del proceso Especifica

Veamos un ejemplo:

pssuspend

Sigamos

RegDellNull

Que es y para que sirve?

Este comando búsquedas de la utilidad de línea para y le permite borrar las claves del Registro que contienen caracteres nulos incrustados y que de otro modo undeleteable valiéndose del Registro de las herramientas de edición. Nota: eliminar las claves del Registro puede causar las aplicaciones que están asociados con un error.

Veamos un ejemplo:

regdellnull

Continuemos

RegJump

Que es y para que sirve?

Este comando pequeño applet línea toma una ruta del Registro y hace Regedit abierto a ese camino. Acepta claves principales de la norma (por ejemplo, HKEY_LOCAL_MACHINE) y de forma abreviada (por ejemplo, HKLM).

Veamos un ejemplo:

regjump

Sigamos

RegMon

Nota: Filemon y Regmon han sido sustituidos por Process Monitor en las versiones de Windows a partir de Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 y Windows Vista. Filemon y Regmon siendo el apoyo para el funcionamiento de los sistemas heredados, incluido Windows 9x.

RegMon es una utilidad de control del Registro que le mostrará qué aplicaciones tienen acceso a su registro, que las claves son el acceso y los datos del Registro que son de lectura y escritura – todo en tiempo real. Esta utilidad te lleva avanzado un paso más allá de lo estático herramientas de registro puede hacer, para que pueda ver y entender exactamente cómo utilizar los programas de la Secretaría. Con las herramientas de estática que podría ser capaz de ver lo que los valores del Registro y las claves cambiado. Con Regmon verá cómo los valores y las teclas cambiado ..

Veamos como funciona:

regmon

Sigamos

Rootkit revealer

Que es y para que sirve?

RootkitRevealer es una utilidad avanzada de detección de rootkit. Se ejecuta en Windows NT 4 y discrepancias sistema superior y sus listas de salida de registro y archivo de la API que pueden indicar la presencia de un usuario o de modo kernel-rootkit de modo. RootkitRevealer detecta correctamente muchos rootkits persistentes como AFX, Vanquish y HackerDefender (nota: RootkitRevealer no está destinado a detectar rootkits como Fu que no intentan ocultar sus archivos o claves de registro). Si lo usa para identificar la presencia de un rootkit, por favor háganoslo saber!

La razón de que ya no hay un comando versión en línea es que los autores de malware comenzaron a centrarse en el análisis de RootkitRevealer utilizando su nombre de archivo ejecutable. Lo tanto, hemos actualizado RootkitRevealer para ejecutar su análisis a partir de una copia con nombre aleatorio que se ejecuta como un servicio de Windows. Este tipo de ejecución no es favorable a una interfaz de línea de comandos. Tenga en cuenta que puede utilizar las opciones de línea de comandos para ejecutar un análisis automático con resultados registrados en un archivo, que es el equivalente de los comandos de la versión de línea de conducta.

Veamos un ejemplo:

ROOTKITREVEALER

Sigamos

SDelete

Que es y para que sirve?

SDelete es una utilidad de línea de comandos que toma un número de opciones. En cualquier uso determinado, que le permite borrar uno o más archivos y / o directorios, o para limpiar el espacio libre de un disco lógico. SDelete acepta caracteres comodín como parte del directorio o archivo de especificación.

Veamos un ejemplo:

sdelete

ShareEnum

Que es y para que sirve?

ShareEnum usos WNetEnumResource para enumerar los dominios y los equipos dentro de ellos y NetShareEnum para enumerar las acciones en las computadoras.

Veamos un ejemplo:

shareenum

ShellRunAs

Que es y para que sirve?

La línea de comando utilidad Runas es útil para poner en marcha programas en diferentes cuentas, pero no es conveniente si usted es un usuario de Explorer pesados. ShellRunas proporciona una funcionalidad similar a la de Runas para poner en marcha programas como un usuario diferente a través de un contexto de Shell conveniente la entrada de menú

Veamos un ejemplo:

shellrunAS

Sigamos

SigCheck

Que es y para que sirve?

Compruebe que las imágenes son firmados digitalmente y volcado de información de la versión con este comando sencilla utilidad de línea.

Veamos un ejemplo:

sigcheck

Streams

Que es y para que sirve?

El sistema de archivos NTFS ofrece aplicaciones de la capacidad de crear secuencias de datos alternativas de información. Por defecto, todos los datos se almacenan en un archivo principal de flujo de datos anónimos, pero usando la sintaxis de archivo ‘: Stream’, que son capaces de leer y escribir a los suplentes. No todas las aplicaciones están escritas para acceder a secuencias alternativas, pero se puede demostrar flujos de manera muy sencilla. En primer lugar, cambiar a un directorio en una unidad NTFS desde un símbolo del sistema. Echo en Siguiente, escriba “Hola> prueba: Stream ‘. Acaba de crear una corriente llamada ‘corriente’ que está asociado con la prueba en el archivo ‘. Tenga en cuenta que cuando usted mira el tamaño de la prueba, se reporta como 0, y el archivo parece estar vacío cuando se abre en cualquier editor de texto. Para ver la secuencia introduzca “más <prueba: Stream ‘(el comando no acepta escuchar la sintaxis de lo que tiene que utilizar más).

NT no vienen con herramientas que te permiten ver que los archivos NTFS tienen corrientes asociados con ellos, por lo que he escrito yo mismo. Streams examinará los archivos y directorios (tenga en cuenta que los directorios también pueden tener secuencias de datos alternativas) que especifique y le informará del nombre y el tamaño de las secuencias con nombre que encuentra dentro de esos archivos. Streams hace uso de una función nativa indocumentados para recuperar información del flujo de archivo.

Veamos un ejemplo:

streams

Strings

Que es y para que sirve?

Trabajo en NT y Win2K significa que los ejecutables y archivos de objetos que muchas veces han incrustado cadenas UNICODE que usted no puede ver fácilmente con una cadenas de caracteres estándar ASCII o programas de grep. Así que decidimos lanzar nuestra. Cuerdas sólo escanea el archivo se pasa por UNICODE (o ASCII) cuerdas de una longitud predeterminada de 3 o más UNICODE (o ASCII). Tenga en cuenta que funciona bajo Windows 95 también.

Veamos un ejemplo:

strings

Sync

Que es y para que sirve?

UNIX proporciona una utilidad estándar llamada Sync, que se puede utilizar para dirigir el sistema operativo a volcar todos los datos del sistema de archivos en el disco para asegurarse de que es estable y no se perderá en caso de fallo del sistema. De lo contrario, los datos modificados presentes en la memoria caché se perdería. Aquí hay un equivalente que escribí, llamado Sync, que funciona en todas las versiones de Windows. Úselo cuando quiera saber que el archivo de datos modificados se almacenan de forma segura en sus discos duros. Desafortunadamente, Sync requiere privilegios de administrador para ejecutarse. Esta versión también le permite lavar las unidades extraíbles como unidades ZIP.

Veamos un ejemplo:

sync

Sigamos

TcpView

Que es y para que sirve?

TCPView es un programa de Windows que le mostrará una lista detallada de todos los parámetros TCP y UDP en su sistema, incluyendo las direcciones locales y remotas y el estado de las conexiones TCP. En Windows Server 2008, Vista, NT, 2000 y XP TCPView también informa el nombre del proceso que posee el extremo. TCPView proporciona una más informativa y convenientemente presentada forma parte del Programa Netstat que se incluye con Windows. La descarga incluye TCPView Tcpvcon, una versión de línea de comandos con la misma funcionalidad.

Usted puede utilizar TCPView en Windows 95 si obtiene el Windows 95 Winsock 2 Update de Microsoft.

Veamos un ejemplo:

tcpview

VMap

Que es y para que sirve?¿

VMMap es un proceso físico y virtual de utilidad el análisis de la memoria. Se muestra un desglose de los cometidos de un proceso tipos de memoria virtual, así como la cantidad de memoria física (conjunto de trabajo) asignado por el sistema operativo a esos tipos. Además de representaciones gráficas de uso de memoria, VMMap también muestra información de resumen y un detallado mapa de memoria de proceso. Potente filtrado y la capacidad de actualización le permiten identificar las fuentes de uso de memoria de proceso y el costo de la memoria de las características de aplicación.

Además de visitas flexible para analizar los procesos vivos, VMMap apoya la exportación de datos en múltiples formas, incluyendo un formato nativo que preserva toda la información de modo que usted puede cargar de nuevo in También incluye opciones de línea de comandos que permiten a los escenarios de secuencias de comandos.

VMMap es la herramienta ideal para desarrolladores que deseen comprender y optimizar los recursos de su aplicación de uso de la memoria.

Veamos un ejemplo:

vmpa

Y hasta aqui, espero que os haya servido

2009/09/14

by Marc Rivero López
in Sistemas Operativos, Software, Utilidades, Windows
Dejar un comentario

Fport, Sysinternals y PStools herramientas imprescindibles II-III

Sigamos con la segunda parte si quieres ver la primera parte visita aqui

Fport, Sysinternals y PStools herramientas imprescindibles I-III

PendMoves and Moves Files

Que es y para que sirve?

Hay varias aplicaciones, como paquetes de servicio y las revisiones, que debe reemplazar un archivo que está en uso y no puede. Windows por lo tanto proporciona la API de MoveFileEx para renombrar o borrar un archivo y permite que la persona que llama para especificar que desea que la operación tenga lugar la próxima vez que arranque el sistema, antes de que se hace referencia a los archivos. Session Manager realiza esta tarea mediante la lectura del registro renombrar y borrar los comandos de la clave HKLM \ System \ CurrentControlSet \ Control Manager \ Session \ PendingFileRenameOperations valor.

En esta aplicación se vuelca el contenido de la espera de borrar el nombre o el valor y también informa de un error cuando el archivo de código fuente no es accesible. Esta es resultado de un ejemplo que muestra un archivo de instalación temporal calendario para su eliminación en el próximo reinicio del sistema:

Veamos un ejemplo.

C: \> pendmovesPendMove v1.02
Copyright (C) 2004 Mark Russinovich
Sysinternals – wwww.sysinternals.com

Fuente: C: \ Config.Msi \ 3ec7bbbf.rbf
Objetivo: DELETE

PipeList

Que es y para que sirve?

¿Sabía usted que el controlador de dispositivo que implementa las canalizaciones con nombre en realidad es un controlador de sistema de archivo “De hecho, el nombre del conductor es NPFS.SYS, por” canalización del sistema de archivos “. Lo que puede que encuentre sorprendente es que su posible obtener una lista de directorios de las canalizaciones con nombre definido en un sistema. Este hecho no está documentado, ni es posible hacer esto utilizando la API Win32. utilizando directamente NtQueryDirectoryFile, la función nativa que la API de Win32 FindFile confiar, permite a la lista de tuberías. NPH El listado de directorio devuelve también indica el número máximo de instancias de canalización establecido para cada tubo y el número de casos activos.

Para demostrar la lista de las canalizaciones con nombre que he escrito un programa llamado PipeList. PipeList muestra las canalizaciones con nombre en su sistema, incluyendo el número de casos máximo y los casos activos para cada tubo.

Veamos un ejemplo:

pipelist

Sigamos

Portmon

Que es y para que sirve?

Portmon es una utilidad que monitoriza y muestra toda la actividad del puerto serie y paralelo en un sistema. Se ha avanzado de filtrado y capacidades de búsqueda que la hacen una herramienta de gran alcance de Windows para explorar la forma en que funciona, ver cómo las aplicaciones utilizan los puertos, o localizar problemas en el sistema o configuraciones de aplicación.

Veamos un ejemplo:

portmon

Adelante con el siguiente:

ProcDump

ProcDump es una utilidad de línea de comandos cuya principal finalidad es el seguimiento de una solicitud de los picos de CPU y la generación de vertederos de accidente durante una espiga que un administrador o desarrollador puede utilizar para determinar la causa de la punta. ProcDump también incluye la supervisión de la ventana colgaba (utilizando la misma definición de una ventana de Windows que se bloquea y utilizar el Administrador de tareas) y la supervisión de excepción no controlada. También puede servir como un proceso general de volcado de utilidad que se puede integrar en otros scripts.

Modo de Uso:

Uso ProcDump

de uso: procdump [-64] [-c uso de la CPU [-u] [-s segundos] [-n superior]] [-h] [E] [MA] [-r] [-o] [[< nombre de proceso o PID> [archivo de volcado]] | [-x <image file> <dump file> [argumentos]]

-64 Por procdump defecto capturar un volcado de 32-bit de un proceso de 32 bits cuando se ejecuta en Windows 64-bit. Esta opción reemplaza la creación de un vertedero de 64 bits.

–c De umbral de la CPU en la que crear un volcado del proceso.

–E Escribir una descarga cuando el proceso se encuentra con una excepción no controlada.

–h Escribir volcado si el proceso se ha colgado de una ventana.

–ma Escribir un archivo de volcado de memoria con todos los procesos. El formato incluye defaultdump hilo y manejar la información.

-n Número de vertederos a escribir antes de salir.

-O Sobrescribir un archivo de volcado existente.

-r Reflexionar (clon) el proceso de volcado para minimizar el tiempo el proceso se ha suspendido (Windows 7 y superiores).

-s Consecutivos segundo umbral de la CPU debe ser golpeado por escrito antes de que se descarga (por defecto es 10).

-U Tratar el uso de CPU con respecto a un único núcleo.

-x Lanzamiento de la imagen especificada con argumentos opcionales.

Veamos un ejemplo:

Escribir hasta 3 vertederos de un proceso llamado “consumen” cuando se supera el 20% de uso de CPU durante tres segundos para el directoryc: \ Dump \ consumir con el consume.dmp nombre:

C: \> procdump C-20-N 3-o consumir c: \ Dump \ consumen

Escribir una descarga de un proceso llamado ‘hang.exe “cuando una de sus ventanas no responde por más de 5 segundos:

C: \>-procdump hungwindow.dmp hang.exe h

Iniciar un proceso y su seguimiento por el uso excesivo de CPU:

C: \> procdump C-30-s 10-X consume.dmp consume.exe

Escribir una descarga de un proceso llamado “iexplore” para descargar un archivo que tiene el iexplore.dmp nombre por defecto:

C: \> iexplore procdump

Siguiente herramienta

ProcesExplorer

Que es y para que Sirve?

Alguna vez se preguntó qué programa tiene un archivo o directorio abierto? Ahora puede averiguarlo. Process Explorer se muestra información acerca de que se ocupa de los procesos y DLLs han abierto o cargado.

El Process Explorer pantalla se compone de dos sub-ventanas. La ventana superior muestra siempre una lista de los procesos actualmente activos, incluyendo los nombres de las cuentas que poseen, mientras que la información que aparece en la ventana inferior depende del modo que Process Explorer está en: si está en el modo de manejar verá los identificadores que el proceso seleccionado en la ventana superior se ha abierto, y si Process Explorer está en modo de DLL verá los archivos DLL y los archivos asignados en memoria que el proceso se ha cargado. Process Explorer también tiene una potente capacidad de búsqueda que rápidamente le mostrará en qué procesos se han abierto o se ocupa en particular DLL cargado.

Las capacidades únicas de Process Explorer hacerlo útil para la localización de los problemas de la versión de DLL o pérdidas de identificadores, y proporcionar información sobre la manera de Windows y las aplicaciones de trabajo.

Veamos un ejemplo:

proces_explorer

Sigamos con otra herramienta:

ProcesMonitor

Process Monitor es una herramienta de monitorización avanzada para Windows que muestra real del sistema de archivos de tiempo, el registro y proceso / actividad hilo. Combina las características de dos utilidades de Sysinternals legado, Filemón y Regmon, Y añade una amplia lista de mejoras que incluyen rico y no destructivo de filtrado, propiedades integral de eventos como los identificadores de sesión y nombres de usuario, procesar la información fiable, completa pilas de subprocesos con el apoyo símbolo integrado para cada operación, registro simultáneo en un archivo, y mucho más . Sus características, única y poderosa hará Process Monitor una utilidad fundamental en su sistema de solución de problemas y kit de herramientas de caza de malware.

Veamos un ejemplo:

proces_monitor

Sigamos con otra herramienta

ProcFeatures

ProcessorFeatures es un no-applet de lujos que utiliza el IsProcessorFeaturePresent API de Windows para determinar si el procesador de Windows y soporta varias características como n º de páginas de ejecución, Extensiones de dirección física (PAE), y una real lucha contra el ciclo de tiempo. Su objetivo principal es identificar el sistema está ejecutando la versión del kernel de PAE y que el apoyo de no ejecutar la protección de desbordamiento de búfer.

Veamos un ejemplo:

proc_features

Sigamos con otra herramienta

PsExec

Que es y para que sirve?

Las utilidades como Telnet y programas de control remoto, como PC Anywhere de Symantec permiten ejecutar programas en sistemas remotos, pero puede ser un dolor de establecer y exigir que instalar software cliente en el sistema remoto que desea acceder. PsExec es una luz-telnet peso de reemplazo que le permite ejecutar procesos en otros sistemas, con la interactividad completa para aplicaciones de consola, sin tener que instalar manualmente el software de cliente. Usos más poderosos PsExec incluyen el lanzamiento de comandos interactivos de indicaciones que aparecen en sistemas remotos y distantes-como herramientas que permiten a IpConfig que de otro modo no tienen la capacidad de mostrar información sobre los sistemas remotos.

Nota: algunos exploradores antivirus informan de que uno o más de las herramientas están infectadas con el admin un “remoto” de virus. Ninguna de las PsTools contiene virus, pero que han sido utilizados por los virus, que es por eso que activar las notificaciones de virus.

Como funciona?

Uso: psexec [\ \ equipo [, computer2 [,...] | @ archivo] [-u usuario [-p Alta Recordatorio]] [-ns] [-l] [-s |-e] [-x] [ -i [reunión]] [-c [-f |-v]] [-w directorio] [-d] [- <priority>] [-an, n, ... ] Cmd [argumentos]

ordenador Directo PsExec para ejecutar la aplicación en el equipo o equipos especificados. Si se omite el nombre del equipo PsExec ejecuta la aplicación en el sistema local y si escribe un nombre de equipo de “\ \ *” PsExec ejecuta las aplicaciones en todos los equipos del dominio actual.

@ archivo Dirige PsExec para ejecutar el comando en cada equipo incluido en el archivo de texto especificado.

-a Procesadores separados en los que la aplicación se puede ejecutar con comas donde 1 es el número más bajo de la CPU. Por ejemplo, para ejecutar la aplicación en la CPU 2 y la CPU 4, escriba: “-a 2,4″

-c Copia el programa especificado en el sistema remoto para su ejecución. Si se omite esta opción, entonces la aplicación debe estar en la ruta del sistema en el sistema remoto.

-d No espere a que la aplicación termine. Sólo utilice esta opción para aplicaciones no interactivas.

-E No se carga el perfil de la cuenta especificada.

-f Copia el programa especificado en el sistema remoto, incluso si el archivo ya existe en el sistema remoto.

-i Ejecute el programa para que interactúe con el escritorio de la sesión especificada en el sistema remoto. Si no se especifica el período de sesiones proceso se ejecuta en la sesión de consola.

-l Proceso de ejecución como usuario limitado (las bandas del grupo Administradores y sólo permite que los privilegios asignados al grupo de usuarios). En Windows Vista, el proceso se ejecuta con baja Integridad.

-n Especifica el tiempo de espera en segundos de conexión a ordenadores remotos.

-p Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.

-s Proceso de ejecución remoto en la cuenta del sistema.

-U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.

-v Copia el archivo especificado sólo si tiene un número de versión mayor, o es más reciente en que el uno en el sistema remoto.

-w Establezca el directorio de trabajo del proceso (en relación con el equipo remoto).

-x Mostrar la interfaz de usuario en el escritorio de Winlogon (sistema local solamente).

prioridad Especifica-baja,-Debajo de lo normal,-Arriba de lo normal, alta o-en tiempo real para ejecutar el proceso en una prioridad distinta. Utilice fondo para ejecutar en poca memoria y E / S de prioridad en Vista.

programa Nombre del programa a ejecutar.

argumentos Argumentos para transmitir (nota que las rutas de archivo debe ser la ruta absoluta en el sistema de destino)

Veamos un ejemplo.

psexec-i-d-s c: \ windows \ regedit.exe

Sigamos con otra herramienta

PsFile

Que es y para que sirve?

El “archivo de red” comando muestra una lista de los archivos que otros equipos han abierto en el sistema sobre el cual se ejecuta el comando, sin embargo, trunca los nombres de ruta largos y no le permiten ver que la información de sistemas remotos. PsFile es una utilidad de línea de comando que muestra una lista de archivos en un sistema que se abren de forma remota, y también le permite cerrar los archivos abiertos por nombre o por un identificador de archivo.

Modo de uso

Uso: psfile [\ \ RemoteComputer [-u usuario [-p Contraseña]]] [[| Id. de ruta] [-c]]

-U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.

-p Especifica la contraseña para el nombre de usuario. Si se omite esto, se le pedirá que introduzca la contraseña sin que se hizo eco de la pantalla.

Id Identificador (que le asigne el PsFile) del archivo para el que se mostrará la información o para cerrar.

Ruta Ruta de acceso completa o parcial de los archivos a la altura de mostrar la información o cerrar.

-c Cierra los archivos de identificarse con DNI o ruta de acceso.

Veamos un ejemplo:

ps_file

Ahora sigamos con otra herramienta

PsGetSid

Que es y para que sirve?

¿Ha realizado un despliegue, sólo para descubrir que la red podría sufrir el problema de la duplicación SID? Con el fin de saber qué sistemas tienen que ser asignado un nuevo SID (con un actualizador SID como el nuestro NewSID), Usted tiene que saber qué máquina de un ordenador SID. Hasta ahora, no ha habido una manera de decirle a la máquina sin saber trucos SID Regedit y exactamente dónde buscar en el Registro. PsGetSid hace que la lectura de un ordenador SID fácil, y funciona a través de la red para que pueda DIM consulta a distancia. PsGetSid También te permite ver el SID de las cuentas de usuario y traducir un SID en el nombre que lo representa.

Modo de uso

Uso: PsGetSid [\ \ equipo [, equipo [,...] | @ archivo] [-U usuario [-p contraseña]]] [Cuenta | SID]

Veamos un ejemplo

psGetSid

Sigamos con otra herramienta

PsInfo

PsInfo es una herramienta de línea de comandos que obtiene información clave sobre el sistema Windows NT/2000 local o remoto, incluyendo el tipo de instalación, la construcción del kernel, la organización social y el propietario, el número de procesadores y su tipo, la cantidad de memoria física, la fecha de instalación del sistema, y si es una versión de prueba, la fecha de vencimiento.

Modo de Uso

Uso: psinfo [[\ \ equipo [, equipo [,..] | @ file [-u usuario
[Alta Recordatorio-p]]] [-h] [-s] [-d] [-c [-t delimiter]] [filtro]

\ \ equipo Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.

@ archivo Ejecute el comando en cada equipo incluido en el archivo de texto especificado.

-U Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.

-p Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.

-h Muestra la lista de las revisiones instaladas.

-s Mostrar la lista de aplicaciones instaladas.

-d Mostrar volumen de información en disco.

-c Imprimir en formato CSV.

-t El delimitador por defecto para la opción-c es una coma, pero puede ser anulado con el carácter especificado.

Filtro Psinfo sólo mostrará los datos para el campo coincidan con el filtro. por ejemplo, “El servicio psinfo” listas sólo el campo de Service Pack.

Veamos un ejemplo:

Obtenemos Informacion

psinfo

Información Obtenida

psinfo_2

Obteniendo informacion en remoto

psinfo_3

Informacion remota obtenida

psinfo_4

PSKill

Que es y para que sirve?

Windows NT/2000 no viene con una línea de comandos de utilidad de matar “. Usted puede obtener una en el de Windows NT o Win2K Kit de recursos, pero la utilidad del kit sólo puede poner fin a los procesos en el equipo local. PsKill es una utilidad de matar que no sólo la versión del Kit de recursos en sí, pero también puede matar procesos en sistemas remotos. Ni siquiera tiene que instalar un cliente en el equipo de destino para el uso PsKill a poner fin a un proceso remoto

Modo de uso

Uso: pskill [-] [-t] [\ \ [nombre de usuario de ordenador-u] [-p contraseña]] nombre <process | proceso id>

– Muestra las opciones de apoyo.

-t Matar el proceso y sus descendientes.

\ \ equipo Especifica el equipo en el que el proceso que desea terminar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT.

-u nombre de usuario Si desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsKill le pedirá la contraseña sin eco de sus aportaciones a la pantalla.

-p contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p-PsList le solicita una contraseña de forma interactiva.

identificador de proceso Especifica el ID del proceso del proceso que se quieren matar.

Nombre del proceso Especifica

Veamos un ejemplo:

Matamos proceso en local

pskill

Matamos proceso en remoto

pskill_2

Sigamos

PsList

Que es y para que sirve?

Al igual que Windows NT/2K ‘s integrado en la herramienta de seguimiento PerfMon, PsList utiliza los contadores de rendimiento de Windows NT/2K para obtener la información que muestra. Usted puede encontrar documentación de los contadores de rendimiento de Windows NT/2K, incluyendo el código fuente de Windows NT incorporado en el monitor de rendimiento, PerfMon, en MSDN.

Modo de uso

exp PsList se muestran las estadísticas de todos los procesos que comienzan con “CAD”, que incluiría Explorer.

-d Mostrar detalles hilo.

-m Mostrar los detalles de memoria.

-x Mostrar los procesos, información de la memoria y subprocesos.

-t Mostrar árbol de procesos.

-s [n] Ejecutar en modo de administrador de tareas, por segundo opcional especificado. Pulse Escape para cancelar.

-r n Tarea modo de Administrador de actualización en el segundo (por defecto es 1).

\ \ equipo En lugar de mostrar información de proceso para el sistema local, PsList mostrará la información para el sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto.

-U Si el usuario desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsList le pedirá la contraseña sin eco de sus aportaciones a la pantalla.

-p la contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsList le pide una contraseña de forma interactiva.

nombre Muestra información sobre los procesos que comienzan con el nombre especificado.

-E Exacta coincide con el nombre del proceso.

pid En lugar de una lista de todos los procesos que se ejecutan en el sistema, este parámetro se estrecha PsList’s escanear a lLa proceso que tiene el PID especificado. Así:
PsList 53
habría volcado de estadísticas para el proceso con el PID 53.

Veamos un ejemplo

En local

pslist

En remoto

pslist_2

Sigamos

PsLoggedOn

Que es y para que sirve?

Se puede determinar quién está utilizando los recursos en el equipo local con el comando “net” ( “net session”), sin embargo, no hay forma integrada para determinar quién está utilizando los recursos de un equipo remoto. Además, NT viene con ninguna herramienta para ver quién está conectado a un ordenador, ya sea local o remota. PsLoggedOn es un applet que muestra tanto la sesión iniciada localmente en los usuarios y usuarios conectados a través de los recursos para el equipo local, o un mando a distancia. Si se especifica un nombre de usuario en lugar de un ordenador, PsLoggedOn búsquedas de los ordenadores en el entorno de red y le indica si el usuario no está conectado.

PsLoggedOn‘s definición de un usuario con sesión iniciada localmente es uno que tiene su perfil cargado en el Registro, por lo que PsLoggedOn determina quién está conectado mediante el escaneo de las claves en la clave HKEY_USERS. Para cada clave que tiene un nombre que es un SID de usuario (identificador de seguridad), PsLoggedOn busca el nombre de usuario correspondiente y lo muestra. Para determinar quién está conectado a un ordenador a través de acciones de los recursos, PsLoggedOn utiliza la NetSessionEnum API. Tenga en cuenta que PsLoggedOn te mostrará como conectado a través de compartir recursos a los equipos remotos que se consulta, porque un inicio de sesión es necesaria para PsLoggedOn para acceder al Registro de un sistema remoto.

Como funciona

Uso: PsLoggedOn [-] [-l] [-x] [\ \ | nombreDeEquipo nombre de usuario]

– Muestra las opciones de apoyo y las unidades de medida utilizada para los valores de salida.

-l Muestra sólo los inicios de sesión local en lugar de los inicios de sesión tanto de los recursos locales y de red.

-x No mostrar los tiempos de inicio de sesión.

\ \ nombre de equipo Especifica el nombre del equipo para el que a la lista de información de inicio de sesión.

nombre de usuario Si se especifica un nombre de usuario PsLoggedOn busca en la red de computadoras para que dicho usuario inicia sesión. Esto es útil si desea asegurarse de que un usuario particular no está conectado cuando está a punto de cambiar su configuración de perfil de usuario.

Veamos un ejemplo

psloggedon

Bueno continuaremos en la tercera entrega

« Older Posts

L	M	X	J	V	S	D
« ago				oct »
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Caminando entre bits…

Toolkit forense MIR-ROR

RIS, haciendo deployment de Windows en red parte I

Fport, Sysinternals y PStools herramientas imprescindibles III-III

Fport, Sysinternals y PStools herramientas imprescindibles II-III

Buscador

Twitter

Entradas recientes

Categorías

Sigue el blog por Email

Artículos mas vistos:

Top Clicks

Spam Blocked

Calendario

Follow “Caminando entre bits...”

@ archivo	Ejecute el comando en cada uno de los equipos incluidos en el archivo.
-a	Registros de sellos de tiempo de descarga después de la fecha especificada.
-b	Volcado de registros con sellos de tiempo antes de la fecha especificada.
-c	Borrar el registro de sucesos después de mostrar.
-d	Sólo mostrar registros de n días anteriores.
-c	Borrar el registro de sucesos después de mostrar.
-E	Excluir los eventos con el ID especificado o ID (hasta 10).
-f	Tipos de eventos de filtro con cadena de filtro (por ejemplo “-FW” a las advertencias de filtro).
-h	Sólo mostrar registros de n horas anteriores.
-i	Mostrar eventos sólo con el ID especificado o ID (hasta 10).
-l	Volcado de los registros del archivo especificado de registro de eventos.
-m	Sólo mostrar registros de n minutos anteriores.
-n	Sólo mostrar el número de entradas más reciente especificado.
-O	Mostrar sólo los registros del origen de eventos específicos (por ejemplo, \ “-CD-ROM o \”).
-p	Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.
-q	Omita los registros de la fuente o fuentes de evento concreto (por ejemplo, \ “-q-ROM \”).
-r	SDump de registro de menos reciente a más recientes.
-s	Este conmutador se ha PsLogList imprimir los registros de sucesos de un registro por línea, con campos delimitados por comas. Este formato es conveniente para las búsquedas de texto, por ejemplo, PsLogList \| FINDSTR / i texto, y para importar el resultado en una hoja de cálculo.
-t	El delimitador por defecto es una coma, pero puede ser anulado con el carácter especificado.
-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-w	Espere a que los nuevos eventos, como el dumping que generan (sistema local solamente).
-x	Volcado de datos extendida
registro de eventos	registro de eventos

ordenador	Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.
@ archivo	Ejecute el comando en cada equipo incluido en el archivo de texto especificado.
-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-p	Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.
Nombre de usuario	Especifica el nombre de cuenta para cambiar la contraseña.
NuevaContraseña	Nueva contraseña. Si se omite una contraseña nula es aplicada.

consulta	Muestra el estado de un servicio.
config	Muestra la configuración de un servicio.
setconfig	Establece el tipo de partida (desactivado, automático, de la demanda) de un servicio.
iniciar	Inicia un servicio.
parar	Detiene un servicio.
reinicie	Se detiene y se reinicia un servicio.
pausa	Detiene un servicio de
cont	El resumen de un servicio pausado.
depende	Listas de los servicios dependientes de la especificada.
seguridad	Vuelca descriptor de seguridad del servicio.
encontrar	Busca en la red para el servicio especificado.
\ \ equipo	Objetivos del sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto. Si se especifica la opción-u, pero no una contraseña con la opción-p, PsService le pedirá que introduzca la contraseña y no tendrá eco a la pantalla.

–	Muestra las opciones de apoyo.
ordenador	Ejecutar el comando en el equipo remoto o equipos especificados. Si se omite el nombre del equipo el comando se ejecuta en el sistema local, y si se especifica un comodín (\ \ *), el comando se ejecuta en todos los equipos del dominio actual.
@ archivo	Ejecute el comando en cada equipo incluido en el archivo de texto especificado.
-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-p	Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.
-a	Anula el apagado (sólo es posible mientras que una cuenta atrás está en marcha).
-c	Permite que el cierre de ser cancelada por el usuario interactivo.
-d	Suspender el equipo.
-E	Código de razón de apagado. Especifique ‘U’ para los códigos de usuario y la razón ‘p’ para los códigos de razón prevista de cierre. xx es el código de las principales razones (debe ser inferior a 256). yy es el código de razón menor de edad (debe ser inferior a 65536).
-f	Fuerzas de todas las aplicaciones para salir durante el cierre en lugar de darles la oportunidad de guardar sus datos con gracia.
-h	Hiberna el equipo.
-k	Apagado el ordenador (reiniciar el sistema apagado si no se admite).
-l	Bloqueo de la computadora.
-m	Esta opción le permite especificar un mensaje para mostrar a los usuarios registrados cuando se inicie el cierre de la cuenta regresiva.
-n	Especifica el tiempo de espera en segundos de conexión a ordenadores remotos.
-O	Cierre de sesión del usuario de la consola.
-r	Reinicie después de la parada.
-s	Apaga el equipo sin alimentación.
-t	Especifica la cuenta atrás en segundos hasta el cierre (por defecto: 20 segundos) o el tiempo de apagado (en notación de 24 horas).
-v	Mensaje en pantalla el número especificado de segundos antes del apagado. Si se omite este parámetro de la notificación de cierre de diálogo muestra y especificar un valor de 0 resultados, en ningún cuadro de diálogo.

–	Muestra las opciones de apoyo.
-r	CV de los procesos especificados especificado si se encuentran suspendidos.
\ \ equipo	Especifica el equipo en el que el proceso que se desea suspender o reanudar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT.
-u nombre de usuario	Si desea suspender un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsSuspend le pedirá la contraseña sin eco de sus aportaciones a la pantalla.
-p contraseña	Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsSuspend de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsSuspend le pide una contraseña de forma interactiva.
identificador de proceso	Especifica el ID del proceso del proceso que se desea suspender o reanudar.
Nombre del proceso	Especifica

-64	Por procdump defecto capturar un volcado de 32-bit de un proceso de 32 bits cuando se ejecuta en Windows 64-bit. Esta opción reemplaza la creación de un vertedero de 64 bits.
–c	De umbral de la CPU en la que crear un volcado del proceso.
–E	Escribir una descarga cuando el proceso se encuentra con una excepción no controlada.
–h	Escribir volcado si el proceso se ha colgado de una ventana.
–ma	Escribir un archivo de volcado de memoria con todos los procesos. El formato incluye defaultdump hilo y manejar la información.
-n	Número de vertederos a escribir antes de salir.
-O	Sobrescribir un archivo de volcado existente.
-r	Reflexionar (clon) el proceso de volcado para minimizar el tiempo el proceso se ha suspendido (Windows 7 y superiores).
-s	Consecutivos segundo umbral de la CPU debe ser golpeado por escrito antes de que se descarga (por defecto es 10).
-U	Tratar el uso de CPU con respecto a un único núcleo.
-x	Lanzamiento de la imagen especificada con argumentos opcionales.

ordenador	Directo PsExec para ejecutar la aplicación en el equipo o equipos especificados. Si se omite el nombre del equipo PsExec ejecuta la aplicación en el sistema local y si escribe un nombre de equipo de “\ \ *” PsExec ejecuta las aplicaciones en todos los equipos del dominio actual.
@ archivo	Dirige PsExec para ejecutar el comando en cada equipo incluido en el archivo de texto especificado.
-a	Procesadores separados en los que la aplicación se puede ejecutar con comas donde 1 es el número más bajo de la CPU. Por ejemplo, para ejecutar la aplicación en la CPU 2 y la CPU 4, escriba: “-a 2,4″
-c	Copia el programa especificado en el sistema remoto para su ejecución. Si se omite esta opción, entonces la aplicación debe estar en la ruta del sistema en el sistema remoto.
-d	No espere a que la aplicación termine. Sólo utilice esta opción para aplicaciones no interactivas.
-E	No se carga el perfil de la cuenta especificada.
-f	Copia el programa especificado en el sistema remoto, incluso si el archivo ya existe en el sistema remoto.
-i	Ejecute el programa para que interactúe con el escritorio de la sesión especificada en el sistema remoto. Si no se especifica el período de sesiones proceso se ejecuta en la sesión de consola.
-l	Proceso de ejecución como usuario limitado (las bandas del grupo Administradores y sólo permite que los privilegios asignados al grupo de usuarios). En Windows Vista, el proceso se ejecuta con baja Integridad.
-n	Especifica el tiempo de espera en segundos de conexión a ordenadores remotos.
-p	Especifica la contraseña opcional del nombre de usuario. Si se omite este se le pedirá que introduzca una contraseña oculta.
-s	Proceso de ejecución remoto en la cuenta del sistema.
-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-v	Copia el archivo especificado sólo si tiene un número de versión mayor, o es más reciente en que el uno en el sistema remoto.
-w	Establezca el directorio de trabajo del proceso (en relación con el equipo remoto).
-x	Mostrar la interfaz de usuario en el escritorio de Winlogon (sistema local solamente).
prioridad	Especifica-baja,-Debajo de lo normal,-Arriba de lo normal, alta o-en tiempo real para ejecutar el proceso en una prioridad distinta. Utilice fondo para ejecutar en poca memoria y E / S de prioridad en Vista.
programa	Nombre del programa a ejecutar.
argumentos	Argumentos para transmitir (nota que las rutas de archivo debe ser la ruta absoluta en el sistema de destino)

-U	Especifica el nombre de usuario opcional para iniciar sesión en el equipo remoto.
-p	Especifica la contraseña para el nombre de usuario. Si se omite esto, se le pedirá que introduzca la contraseña sin que se hizo eco de la pantalla.
Id	Identificador (que le asigne el PsFile) del archivo para el que se mostrará la información o para cerrar.
Ruta	Ruta de acceso completa o parcial de los archivos a la altura de mostrar la información o cerrar.
-c	Cierra los archivos de identificarse con DNI o ruta de acceso.

–	Muestra las opciones de apoyo.
-t	Matar el proceso y sus descendientes.
\ \ equipo	Especifica el equipo en el que el proceso que desea terminar se está ejecutando. El equipo remoto debe ser accesible a través del entorno de red de NT.
-u nombre de usuario	Si desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsKill le pedirá la contraseña sin eco de sus aportaciones a la pantalla.
-p contraseña	Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p-PsList le solicita una contraseña de forma interactiva.
identificador de proceso	Especifica el ID del proceso del proceso que se quieren matar.
Nombre del proceso	Especifica

exp PsList	se muestran las estadísticas de todos los procesos que comienzan con “CAD”, que incluiría Explorer.
-d	Mostrar detalles hilo.
-m	Mostrar los detalles de memoria.
-x	Mostrar los procesos, información de la memoria y subprocesos.
-t	Mostrar árbol de procesos.
-s [n]	Ejecutar en modo de administrador de tareas, por segundo opcional especificado. Pulse Escape para cancelar.
-r n	Tarea modo de Administrador de actualización en el segundo (por defecto es 1).
\ \ equipo	En lugar de mostrar información de proceso para el sistema local, PsList mostrará la información para el sistema de NT/Win2K especificado. Incluya la opción-U con un nombre de usuario y contraseña para ingresar al sistema a distancia si sus credenciales de seguridad no le permiten obtener información de contadores de rendimiento del sistema remoto.
-U	Si el usuario desea eliminar un proceso en un sistema remoto y la cuenta que está en ejecución no tiene privilegios administrativos en el sistema remoto deberá iniciar la sesión como administrador usando esta opción de línea de comandos. Si no se incluye la contraseña con la opción-p, entonces PsList le pedirá la contraseña sin eco de sus aportaciones a la pantalla.
-p	la contraseña Esta opción le permite especificar la contraseña de acceso en la línea de comandos para que usted puede utilizar PsList de archivos por lotes. Si se especifica un nombre de cuenta y omite la opción-p PsList le pide una contraseña de forma interactiva.
nombre	Muestra información sobre los procesos que comienzan con el nombre especificado.
-E	Exacta coincide con el nombre del proceso.
pid	En lugar de una lista de todos los procesos que se ejecutan en el sistema, este parámetro se estrecha PsList’s escanear a lLa proceso que tiene el PID especificado. Así: PsList 53 habría volcado de estadísticas para el proceso con el PID 53.

–	Muestra las opciones de apoyo y las unidades de medida utilizada para los valores de salida.
-l	Muestra sólo los inicios de sesión local en lugar de los inicios de sesión tanto de los recursos locales y de red.
-x	No mostrar los tiempos de inicio de sesión.
\ \ nombre de equipo	Especifica el nombre del equipo para el que a la lista de información de inicio de sesión.
nombre de usuario	Si se especifica un nombre de usuario PsLoggedOn busca en la red de computadoras para que dicho usuario inicia sesión. Esto es útil si desea asegurarse de que un usuario particular no está conectado cuando está a punto de cambiar su configuración de perfil de usuario.