Comment utiliser l'outil pslist sous Windows

  • PsList répertorie les processus, les threads et la mémoire depuis la console, également à distance.
  • Prend en charge les vues arborescentes, l'échantillonnage continu et les filtres par nom ou PID.
  • S'intègre à PsKill et PsExec pour intervenir et redémarrer les processus.
  • Dans DFIR, « pslist » est également un plugin clé dans Volatility 2/3.
Lorena Figueredo

Minutes 11

Comment utiliser pslist sous Windows

Si vous êtes en charge de la gestion des ordinateurs Windows ou si c'est votre tour diagnostiquer les problèmes de performances, PsList est l’un de ces utilitaires qu’il est pratique d’avoir toujours à portée de main.Il fait partie de la suite PsTools de Sysinternals et, à partir d'une simple console, vous permet d'analyser les processus, les threads, la mémoire et les hiérarchies localement et à distance.

Au-delà du listage des processus, PsList peut se comporter comme un « mini gestionnaire de tâches » depuis la ligne de commande, Actualisation continue des informations, affichage des arborescences de processus et filtrage par nom ou PIDEt si vous le combinez avec PsKill et PsExec, vous passez de l'observation à l'action : localiser, terminer et relancer un processus de manière contrôlée.

Qu'est-ce que PsList et à quoi sert-il ?

PsList est un outil de console Sysinternals conçu pour lister les processus avec leur télémétrie la plus utileDans une seule sortie, vous verrez des colonnes telles que la priorité, le nombre de threads, les handles ouverts et les statistiques de mémoire (mémoire virtuelle, ensemble de travail, mémoire privée), ainsi que les temps de processeur et d'exécution.

Le grand avantage est que vous pouvez consulter à la fois l’équipement local et une destination distante accessible. Si vos informations d’identification ne sont pas suffisantes pour lire les compteurs de performances d’un ordinateur distant, vous pouvez spécifier un nom d’utilisateur et un mot de passe explicites. pour l'authentification et l'accès aux données sur le système cible.

Comment ils obtiennent leurs données (et pourquoi vous pouvez leur faire confiance)

Comme Performance Monitor (PerfMon), PsList lit les informations du Compteurs de performances WindowsCela garantit la cohérence avec ce que vous verriez dans les propres outils graphiques du système et explique pourquoi, dans les environnements distants, vous aurez besoin de privilèges appropriés pour les visualiser.

Un détail important: Toutes les valeurs de mémoire affichées par PsList sont en kilo-octets (Ko)Si vous comparez avec des outils qui rapportent en Mo, pensez à ajuster l'échelle pour éviter une mauvaise interprétation des grandeurs.

Compatibilité, version et téléchargement

PsList fait partie du package PsTools, téléchargeable sous forme de fichier ZIP léger (environ 5 Mo). Aucune installation n'est requise : il suffit de le décompresser et de l'exécuter depuis n'importe quel dossier de votre chemin d'accès, ou en saisissant le chemin complet.

Sur les plateformes actuelles, Il est pris en charge sur Client : Windows 8.1 et versions ultérieures ; Serveur : Windows Server 2012 et versions ultérieures. Il a également été historiquement utilisé dans Windows Vista/Server 2008 et, au sein de la suite, un support est mentionné pour Nano Server 2016+, bien qu'il soit conseillé de valider dans chaque environnement. L'utilitaire est classé dans la catégorie « Utilitaires de processus » et la page Sysinternals indique les versions publiées et les dates de mise à jour (par exemple, v1.4 avec la dernière mise à jour du 29/06/2016), tandis que les sorties plus anciennes peuvent afficher des étiquettes telles que « PsList 1.26”, ce qui est normal compte tenu de l’évolution du projet.

Syntaxe et paramètres essentiels

La syntaxe de PsList est flexible, allant des filtres de noms simples aux vues avancées de mémoire et de thread. Voici les principaux modificateurs et ce qu'ils font dans la pratique.

Paramètre Que fais-tu
pslist exp Lister les processus dont le nom commence par ce préfixe (par exemple, « exp » inclurait Explorer).
-d Échantillon détails du fil par processus.
-m Centrer la sortie sur statistiques de mémoire.
-x Active une vue combinée de processus, mémoire et threads.
-t Montrez le arbre de processus (relation père-fils).
-s Mode d'exécution échantillonnage continu pendant n secondes (appuyez sur Échap pour annuler).
-r n Définir la intervalle de mise à jour d'échantillonnage en secondes (par défaut 1).
\\equipo Interroger un équipement à distance au lieu du système local.
-u Spécifie le utilisateur pour se connecter à la télécommande.
-p Proportionnel à mot de passe sur la ligne de commande ; si vous spécifiez un compte et omettez -p, PsList le demandera de manière interactive.
nombre Filtrer pour afficher les processus qui commencer par ce nom.
-e Forcez-le correspondance exacte avec le nom du processus.
pid Restreint la sortie à processus avec ce PID béton (par exemple, pslist 53).
  Comment empêcher Office d'enregistrer des fichiers sur OneDrive par défaut

Avec ce tableau, vous pouvez couvrir en un coup d’œil les cas les plus courants : Filtrer par préfixe, zoomer sur la mémoire ou les threads, afficher les hiérarchies et auditer par PID, en plus de l'exécution sur des ordinateurs distants sur votre réseau.

Abréviations et lecture des colonnes

Comment utiliser l'outil pslist sous Windows

Pour condenser les informations, PsList utilise des abréviations standard. Les connaître facilite l'interprétation du résultat et prendre des décisions rapides.

Colonne Sens
Pri Priorité du processus dans le planificateur.
Thd Numéro de fils les atouts.
Main Comte de poignées (identifiants) ouvert.
VM Mémoire virtuelle attribué.
WS Ensemble de travail ou ensemble de travail dans la RAM.
Priv Mémoire virtuelle privée de processus.
Parc privé Le sommet de la mémoire privée atteint.
Défauts Comptage de défauts de page.
NonP La taille pool non paginé.
Page La taille pool paginé.
Cswtch Numéro de changements de contexte.

En plus de ces abréviations, la sortie affiche Temps de processeur y Temps écoulé, qui vous aide à détecter les processus bloqués ou les processus avec une consommation de ressources anormale qui fonctionnent depuis trop longtemps.

Exemples pratiques d'utilisation

Pour commencer par le plus simple, vous pouvez filtrer les processus dont le nom commence par une chaîne spécifique. C'est le moyen le plus rapide de déterminer ce que vous recherchez. quand tu ne te souviens pas du PID.

pslist svchost

Si vous connaissez déjà l'identifiant, limite la sortie à un seul processus par PID et vérifiez votre thread et l'utilisation de la mémoire sans bruit visuel.

pslist 888

Lorsque vous recherchez la photo la plus complète possible, activez l'option vue combinée pour afficher les processus, la mémoire et les threads en un seul passage.

pslist -x

Pour comprendre la relation entre les parents et la progéniture, l'arborescence C'est le meilleur allié pour démêler les hiérarchies et localiser qui a invoqué qui.

pslist -t

Mode d'échantillonnage : rafraîchissement continu dans le style « Gestionnaire de tâches »

Besoin de voir les fluctuations du processeur et de la mémoire sur quelques secondes ? Utilisez le mode d'échantillonnage et ajustez la fréquence de rafraîchissement si nécessaire. Ce mode reste à l'écran jusqu'à ce que le temps soit écoulé ou que vous appuyiez sur Échap..

pslist -s 15 -r 2

Dans l'exemple précédent, PsList reste actif pendant 15 secondes. mise à jour de la sortie toutes les deux secondesIl est parfait pour chasser des pics fugaces qu'une exécution précise ne révélerait pas.

Travail à distance : identifiants et sécurité

L’une des fonctions les plus utiles est la requête de processus sur des machines distantesFaites simplement précéder la destination d'une double barre oblique inverse et, si nécessaire, saisissez le nom d'utilisateur et le mot de passe en utilisant la syntaxe de domaine.

pslist \\EQUIPO-REMOTO -u DOMINIO\Administrador -p

Si vous fournissez le nom d'utilisateur mais omettez le mot de passe, PsList demandera le mot de passe de manière interactive., idéal lorsque vous l'exécutez manuellement et que vous ne souhaitez pas l'afficher dans l'historique de la console. Dans les scripts, pensez à utiliser des mécanismes de confidentialité pour masquer les identifiants.

Gardez à l’esprit que dans de nombreuses organisations, il existe des politiques et des pare-feu qui restreignent l’accès aux compteurs de performance à distance ; si vous voyez des messages « accès refusé », vérifiez les autorisations et les règles avant de blâmer l'outil.

Sortie typique et lecture rapide

Lorsque vous exécutez PsList sur un ordinateur, vous obtenez un tableau avec le nom du processus, le PID, la priorité, les threads, poignées, indicateurs de mémoire et de tempsÀ titre d'illustration, voici le format habituel (vous verrez des variations selon la version et la localisation) :

Name         Pid  Pri  Thd  Hnd   Priv      CPU Time     Elapsed Time
System         4    8   74  378      0   0:00:10.765   0:00:00.000
explorer.exe 1000  13   25  500  123456   0:01:05.234   0:39:55.421

Dans certaines anciennes captures d’écran, vous pouvez voir des étiquettes telles que « PsList 1.26 » dans l’en-tête ; Ne vous inquiétez pas si cela diffère du numéro de version actuel., car le format des colonnes reste très similaire au fil du temps.

  Changer le dossier de téléchargement dans votre navigateur Web

Combinaison de PsList avec PsKill et PsExec

Une fois que vous avez localisé le processus problématique, vous pouvez intervenir avec d’autres outils PsTools. Le flux typique est le suivant : lister, terminer et relancer. (le cas échéant) sur le même ordinateur local ou distant.

pslist -t \\
pskill -t \\ -u EQUIPO\UsuarioAdmin -p  
psexec \\ -u EQUIPO\UsuarioAdmin -p  "C:\\Ruta\\Programa\\app.exe"

le modificateur -t de PsKill tue le processus et sa progéniture, ce qui est crucial en cas de blocage de threads. Ensuite, avec PsExec, vous pouvez relancer l'exécutable et simuler un redémarrage du service ou de l'application.

PsTools : Qu'est-ce qui est inclus d'autre dans le package ?

Fenêtres PsList

PsList est né comme le premier outil d'un ensemble plus large que nous connaissons aujourd'hui sous le nom de PsToolsIls sont tous orientés vers l'administration locale et à distance sans installation sur l'ordinateur cible, ce qui les rend particulièrement pratiques.

  • PsExec: exécute des processus à distance.
  • Fichier Ps: affiche les fichiers ouverts à distance.
  • PsGetSid: Obtient le SID d'un ordinateur ou d'un utilisateur.
  • PsInfo: Répertorie les informations système (inclut le temps de disponibilité).
  • PsPing:mesure les performances du réseau.
  • PsKill: Termine les processus par PID ou par nom.
  • PsLoggedOn: : vérifier qui est connecté (ressources locales et partagées).
  • PsLogList: vide les journaux d'événements.
  • PsPasswd: changer les mots de passe des comptes.
  • PsService: Afficher et contrôler les services.
  • PsShutdown: : Éteignez et redémarrez les ordinateurs.
  • PsSuspend: suspend les processus.

Aucun ne nécessite d’installation spéciale et Ils sont exécutés depuis la console avec leurs options. Pour voir l'aide détaillée sur chacun d'eux, ajoutez le modificateur -? à l'appel.

PsList et DFIR : Quand « pslist » signifie analyse de mémoire

Dans la réponse aux incidents et l'analyse de la mémoire, le terme « pslist » apparaît dans Volatilité, la plateforme d'analyse des vidages de RAM. Bien que l'objectif soit différent (il ne s'agit pas d'analyser un ordinateur en direct, mais un instantané), L’idée commune est de reconstruire l’activité du processus.

Dans Volatility 2, la cotation est obtenue avec pslist, en analysant les processus cachés avec psscan et la hiérarchie avec pstree. Il y a aussi psxview pour contraster les points de vue et découvrir des aspects cachés qui ne peuvent être vus par une seule méthode.

# Volatility 2
vol.py -f memdump.raw --profile <perfil> pslist
vol.py -f memdump.raw --profile <perfil> psscan
vol.py -f memdump.raw --profile <perfil> pstree
vol.py -f memdump.raw --profile <perfil> psxview

Volatility 3 adopte une syntaxe préfixée par la plate-forme, vous verrez donc windows.pslist, windows.psscan o windows.pstree. Il n'y a pas d'équivalent direct de psxview en V3, bien que d'autres fronts soient couverts avec des plugins spécifiques.

# Volatility 3
vol.py -f memdump.raw windows.pslist
vol.py -f memdump.raw windows.psscan
vol.py -f memdump.raw windows.pstree

L'écosystème Volatility est complété par des modules pour réseau (windows.netscan), modules du noyau (windows.modules), services (windows.svcscan), fichiers (windows.filescan, windows.dumpfiles), poignées (windows.handles), DLL (windows.dlllist), lignes de commande (windows.cmdline) y registre (windows.printkey), entre autres.

Outils connexes qui élargissent votre perspective

Parfois, vous devez regarder au-delà de la liste des processus. Ces utilitaires complètent PsList quand il s'agit d'aller plus en profondeur.

  • tlist.exe: à partir des outils de débogage ; prend en charge l'arborescence (-t) et filtre par PID ou expressions.
  • pulist.exe: de l'ancien kit Windows 2000 ; très basique, liste le nom, le PID et l'utilisateur ; vous pouvez consulter équipes à distance.
  • cmdline: montre le ligne de commande et indicateurs avec lequel un processus a été lancé.
  • manipuler: listes poignées ouvertes et vous permet de fermer un dossier spécifique.
  • listedlls: listes DLL chargées pour chaque processus et ses itinéraires.
  • pmdump: renverse mémoire d'un processus par PID pour une analyse avancée.
  • Process Explorer:interface graphique très complète, idéale lorsque vous n'avez pas besoin de script.
  Comment configurer Windows 11 pour les utilisateurs ayant des problèmes de vision

Commandes utiles pour les preuves volatiles sous Windows

Dans un exercice d'acquisition rapide de preuves, en plus de PsList, il existe des commandes qui aident à capturer l'état du système et du réseau. Vous pouvez les enchaîner dans un script pour tout obtenir en une seule fois.

  • Exécution de processus avec acceptation du CLUF : pslist.exe /accepteula >> Procesos.txt
  • Processus et consommation générale : tasklist.exe >> Procesos_en_uso.txt
  • Arbre de processus : pslist.exe -t /accepteula >> procesos_arbol.txt
  • Dépendances DLL par processus : listdlls.exe /accepteula >> Procesos_dependencias.txt
  • Poignées ouvertes : Handle.exe /accepteula >> Procesos_manejadores.txt
  • Connexions actives : netstat -an | findstr /i estado listening established >> Conexiones_activas.txt
  • IP et DNS : ipconfig /all y ipconfig /displaydns pour configuration et cache.
  • Cache ARP : arp -a >> arp-cache.txt
  • Liste des applications et des ports : netstat -anob > Aplicaciones_PuertosAbiertos.txt
  • Tableau des itinéraires : netstat -r >> Tabla_rutas.txt
  • Sessions NetBIOS : nbtstat -s et cache NetBIOS : nbtstat -c
  • Unités cartographiées : net use > UnidadesMapeadas.txt
  • Ressources partagées : net share > CarpetasCompartidas.txt
  • Ouvrir des fichiers (distants) : psfile.exe /accepteula >> Ficheros_remotos_abiertos.txt
  • Sessions et connexions : net sessions, logonsessions.exe /accepteula, psloggedon.exe /accepteula
  • Services en cours d'exécution : sc query >> servicios_ejecucion.txt
  • Presse-papiers : pclip.exe >> Contenido_portapapeles.txt ou InsideClipboard en mode texte.
  • Historique de la console : doskey /history >> HistoricoCMD.txt

N'oubliez pas que ces commandes, comme PsList, doit être effectuée avec les précautions nécessaires; il est idéal de les maîtriser avant un véritable cas forensique afin de ne pas contaminer inutilement le système.

Conseils opérationnels et bonnes pratiques

Si vous envisagez de faire un échantillonnage avec -s y -r en équipes chargées, éviter les intervalles trop agressifs qui ajoutent du bruit à la performance. Ajustez la cadence selon ce que vous souhaitez capturer.

En matière d’automatisation, pensez à ne pas transmettre de mots de passe clairs ; l'invite interactive ou un coffre aux secrets Réduisez l'exposition aux journaux et à l'historique. Si vous souhaitez auditer la sortie de PsList, redirigez-la vers un fichier ou filtrez-la.

pslist -x > informe_pslist.txt
pslist -m | findstr /i "chrome firefox"

Si vous trouvez des divergences dans les traductions ou la documentation secondaire, veuillez vous référer à la source officielle Sysinternals. La communauté et le forum PsTools sont des ressources précieuses. pour résoudre les doutes et examiner des cas réels.

Guide d'installation et de lancement rapide

Rien ne doit être installé sur l'ordinateur distant : Décompressez PsTools sur votre ordinateur et exécutez-le depuis la consoleInclure le répertoire dans le chemin d'accès ou appeler les binaires par leur chemin. Pour consulter l'aide de PsList, ajoutez -? à l'invocation.

pslist -?

Si votre entreprise dispose de référentiels internes ou de scripts de déploiement, maintenez votre version de PsTools à jourLe package comprend un fichier d'aide HTML avec toutes les commandes et options, utile pour une référence rapide hors ligne.

Cas d'utilisation courants

Maintenance à distance : depuis votre console, listez les processus sur une machine, tuez tout ce qui traîne avec PsKill et relancez avec PsExec sans ouvrir le bureau à distance ni toucher brusquement aux services sensibles.

Audit et scripting : générer des rapports périodiques avec sortie au format CSV ou texte, filtre les processus suspects avec findstr et les archive dans un référentiel central pour les comparaisons temporelles.

PsList fournit une fenêtre claire sur l'état des processus et leur consommation en temps réel, Il fonctionne localement et à distance et s'intègre comme un gant avec le reste de PsTools.Lorsque vous contrôlez également la lecture de ses colonnes, l'échantillonnage continu et les filtres par nom ou PID, il devient un couteau suisse pour l'administration, le dépannage et l'analyse médico-légale rapide sous Windows.

Détecter les rootkits et les processus cachés dans Windows 11
Article connexe:
Comment détecter les rootkits et les processus cachés dans Windows 11