通常Windows terminal 遠端登入
就是登入一個帳號 session
那怎麼跟現有桌面session來連接呢?
用mstsc -v:servername -console這個指令來登入到主機console session.
(要先到MS下載mstsc.exe ,可參考:http://support.microsoft.com/default.aspx?scid=kb;en-us;278845 )
尤其好用在於可解決 terminal 管理模式時候
限制兩個session但又未正常登出
造成出現 連線已滿 而無法連線的問題
星期六, 8月 11, 2007
星期一, 5月 21, 2007
解決svchost 吃掉系統CPU 100% 資源問題
根據國外的討論,應該是M$ WindowsUpdate 所造成
http://blogs.technet.com/wsus/archive/2007/04/28/update-on.aspx
目前微軟已經為此釋放出修正程式,並有網友發現必須安裝下列兩程式才有真正效果
1. Windows Update Agent v3
程式下載位置
http://download.windowsupdate.com/v7/windowsupdate/redist/standalone/WindowsUpdateAgent30-x86.exe
2. KB927891 patch
說明網址
http://support.microsoft.com/kb/927891
程式下載網址
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=7a81b0cd-a0b9-497e-8a89-404327772e5a
http://blogs.technet.com/wsus/archive/2007/04/28/update-on.aspx
目前微軟已經為此釋放出修正程式,並有網友發現必須安裝下列兩程式才有真正效果
1. Windows Update Agent v3
程式下載位置
http://download.windowsupdate.com/v7/windowsupdate/redist/standalone/WindowsUpdateAgent30-x86.exe
2. KB927891 patch
說明網址
http://support.microsoft.com/kb/927891
程式下載網址
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=7a81b0cd-a0b9-497e-8a89-404327772e5a
Windows指令: Taskkill, 結束一個或數個處理程序
資料來源:
資安論壇,作者:Roy1103
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=12136&highlight=taskkill
-----------------------------------------------------------------------
TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
描述:
這個命令列工具可以用來結束一個或數個處理程序。
可以依處理程序識別碼或影像名稱來清除處理程序。
參數清單:
/S system 指定要連線的遠端系統。
/U [domain\]user 指定要執行命令的
使用者內容。
/P [password] 指定提供的使用者內容
的密碼。如果省略的話請提示輸入。
/F 指定要強制中止
的處理程序。
/FI filter 顯示符合篩選器指定條件
的工作組。
/PID process id 指定要中止的處理程序的
PID。
/IM image name 指定要中止的處理程序的
影像名稱。萬用字元 '*'
可以用來指定所有影像名稱。
/T Tree kill: 終止指定的處理程序
及由它啟動的任何子處理程序。
/? 顯示這個說明/使用方法。
篩選器:
篩選器名稱 正確的操作器 正確值
----------- --------------- --------------
STATUS eq, ne RUNNING | NOT RESPONDING
IMAGENAME eq, ne 影像名稱
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 工作階段數目
CPUTIME eq, ne, gt, lt, ge, le CPU 的時間格式
是 hh:mm:ss。
hh - 小時,
mm - 分鐘, ss - 秒數
MEMUSAGE eq, ne, gt, lt, ge, le 記憶體使用量單位 KB
USERNAME eq, ne [domain\]user 格式中的使用者
名稱
MODULES eq, ne DLL 名稱
SERVICES eq, ne 服務名稱
WINDOWTITLE eq, ne 視窗標題
注意: /IM 參數的萬用字元 '*' 只有在與篩選器並用時,才會被接受。
注意: 終結遠端處理程序永遠都是強制性執行的
不管 /F 選項是否已經指定。
範例:
TASKKILL /S system /F /IM notepad.exe /T
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
TASKKILL /F /IM notepad.exe /IM mspaint.exe
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
TASKKILL /S system /U domain\username /FI "USERNAME ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"
資安論壇,作者:Roy1103
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=12136&highlight=taskkill
-----------------------------------------------------------------------
TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
描述:
這個命令列工具可以用來結束一個或數個處理程序。
可以依處理程序識別碼或影像名稱來清除處理程序。
參數清單:
/S system 指定要連線的遠端系統。
/U [domain\]user 指定要執行命令的
使用者內容。
/P [password] 指定提供的使用者內容
的密碼。如果省略的話請提示輸入。
/F 指定要強制中止
的處理程序。
/FI filter 顯示符合篩選器指定條件
的工作組。
/PID process id 指定要中止的處理程序的
PID。
/IM image name 指定要中止的處理程序的
影像名稱。萬用字元 '*'
可以用來指定所有影像名稱。
/T Tree kill: 終止指定的處理程序
及由它啟動的任何子處理程序。
/? 顯示這個說明/使用方法。
篩選器:
篩選器名稱 正確的操作器 正確值
----------- --------------- --------------
STATUS eq, ne RUNNING | NOT RESPONDING
IMAGENAME eq, ne 影像名稱
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 工作階段數目
CPUTIME eq, ne, gt, lt, ge, le CPU 的時間格式
是 hh:mm:ss。
hh - 小時,
mm - 分鐘, ss - 秒數
MEMUSAGE eq, ne, gt, lt, ge, le 記憶體使用量單位 KB
USERNAME eq, ne [domain\]user 格式中的使用者
名稱
MODULES eq, ne DLL 名稱
SERVICES eq, ne 服務名稱
WINDOWTITLE eq, ne 視窗標題
注意: /IM 參數的萬用字元 '*' 只有在與篩選器並用時,才會被接受。
注意: 終結遠端處理程序永遠都是強制性執行的
不管 /F 選項是否已經指定。
範例:
TASKKILL /S system /F /IM notepad.exe /T
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
TASKKILL /F /IM notepad.exe /IM mspaint.exe
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
TASKKILL /S system /U domain\username /FI "USERNAME ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"
[技巧]使用tasklist看使用程序 svchot 服務實際內容與記錄方式
資料來源:
資安論壇, 作者:Roy1103
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=12136&highlight=taskkill
--------------------------------------------------------------------------
Run - cmd
tasklist /svc /fi "imagename eq svchost.exe"
輸出成 文件
tasklist /svc /fi "imagename eq svchost.exe" > c:\svchost.log
做個 Bat
新增 文件
svchosttasklistlog.bat
內容
tasklist /svc /fi "imagename eq svchost.exe" > c:\svchost.log
既可
或是 在 CMD
copy con c:\svchosttasklistlog.bat
tasklist /svc /fi "imagename eq svchost.exe" > c:\svchost.log
[然後 按 [F6]鍵]
會在 C: 產生 批次檔
log sample :
------------------------------------------------------
使用程序名義 PID 應該是 程序序號 吧 ?! 後續 是 說明其程序是甚麼 比如 TermService 是 鐘端機 Alerter 是 Sp2 ICF 防火牆
Image Name PID Services
========================= ====== =============================================
SVCHOST.EXE 964 DcomLaunch, TermService
SVCHOST.EXE 1040 RpcSs
SVCHOST.EXE 1160 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
EventSystem, FastUserSwitchingCompatibility,
lanmanserver, lanmanworkstation, Netman,
Nla, RasMan, Schedule, SENS, SharedAccess,
ShellHWDetection, TapiSrv, Themes, TrkWks,
W32Time, winmgmt, wuauserv, WZCSVC
SVCHOST.EXE 1220 Dnscache
SVCHOST.EXE 1340 Alerter, LmHosts, RemoteRegistry, SSDPSRV,
upnphost
-------------------------------------------------------
Tasklist 本身說明
------------------------------------------------------------
TASKLIST [/S system [/U username [/P [password]]]]
[/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]
描述:
這個命令列工具顯示了目前在本機或遠端
電腦上執行的應用程式和相關聯的
工作/處理程序。
參數清單:
/S system 指定要連線的遠端系統。
/U [domain\]user 指定要執行命令的
使用者內容。
/P [password] 指定提供的使用者內容
的密碼。如果省略的話請提示輸入。
/M [module] 列出所有已載入 DLL 模組,
符合模式名稱的工作。
如果沒有指定模組名稱,
則顯示每一工作所有已載入的模組。
/SVC 在每一處理程序中顯示服務。
/V 指定要顯示的
詳細資訊。
/FI filter 顯示符合篩選器指定條件
的工作組。
/FO format 指定輸出的格式。
有效值: TABLE、LIST 或 CSV。
/NH 指定 "Column Header"
不應該顯示在輸出。
只有對 TABLE 和 CSV 格式。
/? 顯示這個說明/使用方法。
篩選器:
篩選器名稱 正確的操作器 正確值
----------- --------------- --------------
STATUS eq, ne RUNNING | NOT RESPONDING
IMAGENAME eq, ne 影像名稱
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 工作階段數目
SESSIONNAME eq, ne 工作階段名稱
CPUTIME eq, ne, gt, lt, ge, le CPU 的時間格式
是 hh:mm:ss。
hh - 小時
mm - 分鐘, ss - 秒數
MEMUSAGE eq, ne, gt, lt, ge, le 記憶體使用量單位 KB
USERNAME eq, ne 格式中的使用者
名稱
SERVICES eq, ne 服務名稱
WINDOWTITLE eq, ne 視窗標題
MODULES eq, ne DLL 名稱
範例:
TASKLIST
TASKLIST /M
TASKLIST /V
TASKLIST /SVC
TASKLIST /M wbem*
TASKLIST /S system /FO LIST
TASKLIST /S system /U domain\username /FO CSV /NH
TASKLIST /S system /U username /P password /FO TABLE /NH
TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"
資安論壇, 作者:Roy1103
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=12136&highlight=taskkill
--------------------------------------------------------------------------
Run - cmd
tasklist /svc /fi "imagename eq svchost.exe"
輸出成 文件
tasklist /svc /fi "imagename eq svchost.exe" > c:\svchost.log
做個 Bat
新增 文件
svchosttasklistlog.bat
內容
tasklist /svc /fi "imagename eq svchost.exe" > c:\svchost.log
既可
或是 在 CMD
copy con c:\svchosttasklistlog.bat
tasklist /svc /fi "imagename eq svchost.exe" > c:\svchost.log
[然後 按 [F6]鍵]
會在 C: 產生 批次檔
log sample :
------------------------------------------------------
使用程序名義 PID 應該是 程序序號 吧 ?! 後續 是 說明其程序是甚麼 比如 TermService 是 鐘端機 Alerter 是 Sp2 ICF 防火牆
Image Name PID Services
========================= ====== =============================================
SVCHOST.EXE 964 DcomLaunch, TermService
SVCHOST.EXE 1040 RpcSs
SVCHOST.EXE 1160 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
EventSystem, FastUserSwitchingCompatibility,
lanmanserver, lanmanworkstation, Netman,
Nla, RasMan, Schedule, SENS, SharedAccess,
ShellHWDetection, TapiSrv, Themes, TrkWks,
W32Time, winmgmt, wuauserv, WZCSVC
SVCHOST.EXE 1220 Dnscache
SVCHOST.EXE 1340 Alerter, LmHosts, RemoteRegistry, SSDPSRV,
upnphost
-------------------------------------------------------
Tasklist 本身說明
------------------------------------------------------------
TASKLIST [/S system [/U username [/P [password]]]]
[/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]
描述:
這個命令列工具顯示了目前在本機或遠端
電腦上執行的應用程式和相關聯的
工作/處理程序。
參數清單:
/S system 指定要連線的遠端系統。
/U [domain\]user 指定要執行命令的
使用者內容。
/P [password] 指定提供的使用者內容
的密碼。如果省略的話請提示輸入。
/M [module] 列出所有已載入 DLL 模組,
符合模式名稱的工作。
如果沒有指定模組名稱,
則顯示每一工作所有已載入的模組。
/SVC 在每一處理程序中顯示服務。
/V 指定要顯示的
詳細資訊。
/FI filter 顯示符合篩選器指定條件
的工作組。
/FO format 指定輸出的格式。
有效值: TABLE、LIST 或 CSV。
/NH 指定 "Column Header"
不應該顯示在輸出。
只有對 TABLE 和 CSV 格式。
/? 顯示這個說明/使用方法。
篩選器:
篩選器名稱 正確的操作器 正確值
----------- --------------- --------------
STATUS eq, ne RUNNING | NOT RESPONDING
IMAGENAME eq, ne 影像名稱
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 工作階段數目
SESSIONNAME eq, ne 工作階段名稱
CPUTIME eq, ne, gt, lt, ge, le CPU 的時間格式
是 hh:mm:ss。
hh - 小時
mm - 分鐘, ss - 秒數
MEMUSAGE eq, ne, gt, lt, ge, le 記憶體使用量單位 KB
USERNAME eq, ne 格式中的使用者
名稱
SERVICES eq, ne 服務名稱
WINDOWTITLE eq, ne 視窗標題
MODULES eq, ne DLL 名稱
範例:
TASKLIST
TASKLIST /M
TASKLIST /V
TASKLIST /SVC
TASKLIST /M wbem*
TASKLIST /S system /FO LIST
TASKLIST /S system /U domain\username /FO CSV /NH
TASKLIST /S system /U username /P password /FO TABLE /NH
TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"
訂閱:
意見 (Atom)