问题标签 [sysinternals]

我对 powershell 非常陌生，并且编写了一个脚本，该脚本将转到 Windows 域中的每台计算机并获取用户配置文件的大小。我在下面的powershell脚本上尝试过

但在某些计算机上，它给出了以下错误。问题似乎是配置文件上的某些目录路径很长并且get-ChildItem失败

此时我尝试使用du.exe来自 SysInternals 的 (diskusage) 工作正常，但我不知道如何将输出du转换为变量。我的脚本上有以下内容

输出是

我希望输出是什么样的

因此，我正在开展一些项目以在我的网络中查找恶意软件。尝试自动化自动运行（sysinternals）以查找工作站上的启动异常或更改。为此，我想每天为多个工作站制作每日报告并检查对于以前报告的更改（发现差异）。所以我需要一些建议： 1.我应该使用 psexec(sysinternals) 远程执行脚本吗？使用高特权帐户似乎有风险..还有其他方法吗？2.任何用于在报告中查找差异的工作软件（xml、csv 或只是文本）（易于使用-免费和 windows）我已经尝试使用 c 来制作它，但它太费力了。我应该用 python 编写吗或其他语言，如 c#...

这个任务非常简单，但我似乎无法弄清楚（更令人沮丧的原因） - 我想查询 PsList 以获取特定进程并返回其常规输出的特定部分。例如，我只想从下面的 PsList 输出中返回“Elapsed Time”字段

这样伪代码和行为如下：

注意：“选择”实际上并不能以这种方式工作。

以下代码片段围绕所需的输出跳舞，尽管我似乎无法根据需要对其进行按摩，但它可能很有价值。

我试图找到 pslist 的源代码（运气不好），看看逆向工程是否可以启发，并使用pslist rdcman | Get-Member. 没有一个成员信息是容易提供信息的。

有什么建议吗？

我正在尝试通过 PSExec 在远程 PC 上运行批处理文件（在我刚刚编写的“记事本”的批处理文件中）。下面的 psexec 命令在我的笔记本电脑中运行，但无法在远程 PC 上执行任何操作。我什至没有看到在远程机器的进程列表上运行“记事本”。

任何人都可以帮助我这里哪里出错了？

谢谢，

我使用以下命令成功运行 psexec 以在远程 PC 上打开应用程序：

但是今天突然发现远程机器上没有打开“calc”。相反，它只是在任务管理器的进程列表中运行。

经过一些实验，当我将“-i 1”更改为“-i 2”时，我发现它又可以工作了。

谁能解释为什么会发生这种情况以及我如何决定需要更改会话号？

我需要为不同的用户构建自动化脚本，所以解决这个问题很重要。

谢谢。

我知道如果我们提供 Handle.exe 的绝对路径，它将列出锁定文件的所有进程。

视窗 7 64 位

正如 Handle.exe 所述，我的 sample.dll 被 6 个不同的进程锁定。我想知道哪一行代码实际上保存了每个进程的 sample.dll。我的任务是修复我庞大的应用程序中的句柄泄漏。所以我的问题并没有固定到程序的特定部分。任务是我必须生成包含句柄泄漏诊断谁创建它的报告。泄漏并非特定于文件，它扩展到所有系统资源，如文件、注册表项、事件、信号量、线程...等。

我已经使用 windbg 进行了转储，但我找不到如何诊断转储文件，尤其是处理泄漏。在我大约半天的搜索中，找不到适合我的问题的好的教程或解决方案。

是否有任何命令行工具或任何其他工具可以回答我的问题。

我们用fltmgr 注册了mini 文件系统过滤器驱动程序，即windows 中的过滤器管理器，并在其中注册了回调（操作前和操作后回调）的IRP。
好像我们知道要从过滤器管理器回调哪个 IRP 取决于我们自己。

所以我的问题是如何找出处理哪个 IRP 和哪个 IRP 没有处理的任何第三方过滤器驱动程序？

这是有史以来最奇怪的事情。我公司的产品使用Microsoft SQL Server 2008 R2 的数据库文件，假设它的名字是myDB.mdf. 我想删除该文件并将其替换为另一个系统中的同名数据库。所以我尝试删除它，当然我不能，因为它正在被某个进程使用。我专门重新启动以确保没有打开该文件的任何内容仍在运行，并且我仍然无法删除它（同样的原因）。我启动 Sysinternals ProcessExplorer 和 Find->Find Handle or DLL 并输入文件名。打开它的进程名为“系统”，PID 为 4。所以我转到控制面板 -> 程序和功能，然后一一卸载 Microsoft SQL Server 2008 R2 的所有组件。还是删不掉。哦，我已经安装了 MS SQL Server 2012……也许就是这样。卸载所有组件。还有一些来自微软的其他 SQL 东西，也卸载它。还是删不掉。重启。大学教师' 打开任何东西，仍然无法删除它。它给出了错误“文件正在使用：由于文件已在系统中打开，因此无法完成操作。关闭文件并重试。[重试] [取消]”。我再次打开控制面板-> 程序和功能，并确认没有剩余的 SQL-ish 东西。并且文件的图标现在是一张右上边缘折叠的白纸（即它没有文件关联）。

知道如何使“系统”不打开文件以便删除它吗？

有谁知道，如何在运行 PSExec 时禁用“版权标头”？Everutime 我运行“./psexec ...”命令我看到这条消息：

这真的很烦人，它会膨胀我的脚本的输出。

谢谢
马修

问题：在 Windows Server 2012 r2 机器上，我正在尝试使用 Chef 以编程方式替换 .dll 命令组件（也就是我使用 regsvr32.exe 在机器上注册的 vb 6 库）但是当我尝试复制该文件，该网站的应用程序池对其进行了锁定。我不确定这是否重要，但 w3wp 进程设置为通过 IIS 以 32 位运行。

我的解决方案（不起作用）：为了修复它，我正在考虑使用命令行工具来查找对 dll 的引用，然后回收正在使用它的应用程序池。不幸的是，虽然我可以让 SysInternals 的进程资源管理器找到 dll，但 Handles.exe（进程资源管理器的假定命令行版本）没有返回任何内容。我希望有人能告诉我我是如何错误地使用手柄的，或者是否有更好的工具。

Process Explorer - 它找到了我的 dll ComHelper.dll

通过命令行处理 - 它没有找到我的 dll ComHelper.dll

-- 编辑 -- 这是当我以管理员身份运行时将其指向 w3wp 时的句柄输出