PowerShell Get进程按其句柄 - 腾讯云开发者社区

文章/答案/技术大牛

发布

connect failed error 10055 由于系统缓冲区空间不足……

MaxUserPort并不是最大用户端口号，而是最大用户端口数，其算法是tcp动态端口范围包含的端口数+1024。...No, needs to be added. ②核实句柄泄漏，解决句柄泄漏后方可彻底解决如何确认是句柄泄漏？...powershell执行get-process|Measure-Object -Property Handles -Sum可以看句柄数建议执行get-process|select -Property...）级别句柄数有无特别高的，另一方面是看按进程名汇聚后看句柄数有无特别高的，一般情况下，浏览器的句柄数都比较高可以忽略，主要看浏览器之外的要看具体某个进程的句柄数的话，加个进程名，例如get-process...chrome|Measure-Object -Property Handles -Sum 如果确认了是某个进程存在句柄泄漏，找开发这个程序的人来健壮代码

5.7K2 0

Windows 句柄数

句柄数很高的话一般是有问题的，单个进程句柄数超过3000一般是有异常的(浏览器进程除外) 操作系统本身的进程的句柄数一般是几百到几千不等，很少超过1万关于句柄泄露，官方说法是认为单个进程超过3000个句柄就可能是罪魁祸首...https://docs.microsoft.com/en-us/windows/client-management/troubleshoot-tcpip-port-exhaust 管理员身份 powershell...执行 get-process|Measure-Object -Property Handles -Sum 可以看总句柄数要看某个进程比如wetool的句柄数，加个进程名，例如wetool这个进程 get-process...wetool*|Measure-Object -Property Handles -Sum system进程本身的句柄数一般在1万以下 get-process system|Measure-Object...system*|Measure-Object -Property Handles -Sum 图片.png 图片.png 浏览器程序的句柄数一般较高 get-process chrome*|Measure-Object

5.3K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

如何查看系统资源的实时占用情况？

打开任务管理器按下 Ctrl + Shift + Esc 或右键点击任务栏并选择“任务管理器”。查看资源占用切换到“性能”选项卡。查看以下资源的实时图表：CPU：显示当前的使用率和频率。...切换到“进程”选项卡，按资源占用排序，找出异常进程。2. 使用资源监视器资源监视器提供了更详细的资源使用信息。打开资源监视器resmon查看详细资源占用在“概述”选项卡中查看整体资源使用情况。...使用PowerShell脚本PowerShell可以快速查询系统资源的实时占用情况。...查看CPU和内存占用Get-Process | Sort-Object CPU -Descending | Select-Object Name, CPU, WorkingSet -First 10该命令会列出占用...查看每个进程的详细资源占用情况，包括句柄、线程和I/O活动。6. 生成性能报告通过命令行工具生成系统性能报告，分析资源占用趋势。

2.9K1 0

`sc delete MyService DeleteService FAILED 1072:

Windows 服务控制管理器（SCM）已将其标记为“待删除”，但它还没有真正被清除，因为仍有某个进程或句柄在引用它。这通常是正常现象，尤其是在你之前已经运行过 sc delete 命令之后。...✅ 方法 3：使用 PowerShell 查看并清理 Get-Service | Where-Object { $_.Name -eq "MyService" } 如果服务仍显示，但状态异常，说明系统还未清理...按 Win + R，输入 regedit，以管理员身份运行注册表编辑器。...重复删除不会加快进程，反而可能引发更多句柄问题。 ✅ 总结问题解决方案 The specified service has been marked for deletion....服务已删除但未清理原因句柄未释放，服务处于“待删除”状态最佳解决重启电脑次选方案结束相关进程（如知道 PID）高级操作注册表手动删除（不推荐）

4631 0

Alternative Process Injection

关闭目标进程句柄。...----来着@伍默（红队学院星球）注入步骤为： 1.获取目标进程中加载目标DLL的基址：通过获取句柄，然后列出目标进程加载的所有DLL Get-Process -name powershell #...获取目标句柄 (Get-Process -name powershell).Modules #获取目标进程加载的所有DLL 获取DLL的基址 $addr = $Modules.BaseAddress...powershell demo $process_name = ""; $dll_name = @(""); $process_id = (Get-Process -name $process_name...)[0].Id; #获取进程加载的dll $Modules = (Get-Process -name $process_name).Modules; if ($Modules.moduleName.ToLower

1.3K4 0

【解析向】腾讯云的Windows Server日志配置收集工具是个什么鬼？(3)

作为Windows Server的脚本大当家——PowerShell，就是最具代表性的脚本语言，其功能在微软系架构（Exchange/AD/SystemCenter/Azure）上杀伤力不是大蟒蛇（Python...1、GetProcess，进程，一个Windows与Linux均有的概念，与Linux一样，Windows的进程可以拥有多个子进程或者线程，而在腾讯云的日志收集工具里的收集是采来实现： get-process...WS2K8R2（Windows Server 2008R2）的句柄默认上限为10000（腾讯云/阿里云默认未作任何调整），最高上限可以调到18000，这里要根据自身的内存情况，理论上2Gb RAM以上的系统句柄调整为...18000并不会有问题，作为腾讯云的运维，笔者曾经见过一个木马程序（其实就是勒索病毒）伪装的svchost竟然多达9000+句柄，后来在反编译后发现该伪装进程有个BUG，就是申请VM（虚拟内存，后面讲到...，如果可以的话，应该输出其关系（站在Windows Server运维者角度来说，这个逻辑确实比较复杂，而且在PowerShell 2.0版本中并没有直接命令，如果要到这种级别的映射，只能通过前面一篇所讲的

3.1K13 0

Cobaltstrike4.0——记一次上头的powershell上线分析

，都能保证其能正常运行是怎么做的呢？...最后我们再回到上面cs ，powershell上线里面：上文分析其相关逻辑，发现就是实现了一个shellcodeloader，shellcode加载器。...，传入的两个关键参数，远程进程的句柄和线程执行的过程以及该执行过程的参数，这个参数就是dll文件的字符串。...注入思路没啥区别，就不结合代码来看了，和上面的普通dll注入差不多，唯一的区别在于下面第3步： 1.1、使用OpenProcess拿到宿主进程的句柄。...（整个过程宿主进程就是本身执行powershell这个进程，就变成了宿主进程自己加载自己。。。。。。）

1.7K1 0

Windows Server运维实战：服务依赖、注册表残留与环境一致性治理策略

一句话回答：建议摒弃高风险的手动注册表清理，转而使用具备内核级进程管理能力的自动化工具（如金山毒霸软件管家），通过“强力卸载”模式强制释放文件句柄并深度清洗注册表残留，快速恢复环境的一致性。...二、方案A：基于PowerShell的手动清理（HardWay）对于追求精细化控制的运维人员，可以通过原生命令进行清理。...1.强制移除服务如果服务卡在“停止”或“禁用”状态，可用管理员权限运行PowerShell：codePowershell#获取服务状态Get-Service-Name"MySQL"#查找服务PID并强制结束进程...1.内核级进程管理（解决文件占用）针对死锁进程，工具层调用内核API（KernelAPI）挂起相关进程树，解除文件句柄的锁定状态。应用场景：无法停止的数据库守护进程、被占用的.dll文件。...3.存储空间热迁移（解决磁盘告急）对于C盘空间不足的服务器，利用其“软件搬家”功能，可以在保持注册表路径映射（SymbolicLink原理）的前提下，将大型中间件迁移至数据盘，避免重装配置的繁琐。

2941 0

痕迹清除-Windows日志清除绕过

PID Get-WmiObject -Class win32_service -Filter "name = 'eventlog'" #kill掉对应PID taskkill /F /PID 1792...获取最近十条日志 wevtutil.exe qe Security /f:text /rd:true /c:10 日志导出过滤 wevtutil.exe epl Security 1.evtx 过滤分两种：按日志号过滤...3、释放日志文件句柄 4、替换日志文件 5、重启日志服务运行完成后把删除处理后的日志重新导入安全日志，但会留下7034的系统日志 EventLogMaster 这是一款用于日志清除的Cobalt...Phant0m以事件日志服务为目标，找到负责事件日志服务的进程，它会检测并终止负责事件日志服务的线程。...项目地址：https://github.com/hlldz/Phant0m 可以通过编译后的exe程序或者项目的cs插件运行或通过Powershell分别执行以下三条命令 1、powershell

5K2 0

再探勒索病毒之删除卷影副本的方法

Sodinokibi作为一个子进程运行PowerShell，命令行参数为base64编码，解码为： Get-WmiObject Win32_Shadowcopy| ForEach-Object { $...PowerShell cmdlets 也支持别名。有些是内置的，比如Get-WmiObject的gwmi，或者Get-CimInstance的gcim。...与其使用已知的主机进程作为PowerShell核心，不如使用.NET框架从自己的进程中执行PowerShell脚本。比如UnmanagedPowerShell和SharpPick。...一些默认的系统二进制文件具有意想不到的副作用，这可能会让攻击者在利用后隐藏其活动。 2....5.打开备份卷的句柄（即C:，影子副本属性中的 “原始卷”）。

3.8K4 0

如何查看系统中的开放端口？

方法一：通过命令提示符查看开放端口步骤：打开“命令提示符”：按下Win + R键，输入cmd，然后按回车。...方法二：通过 PowerShell 查看开放端口步骤：打开“PowerShell”：按下Win + X键，选择“Windows PowerShell”。...输入以下命令以列出所有开放端口及其相关进程：Get-NetTCPConnection | Select-Object LocalAddress, LocalPort, State, OwningProcess...如果需要查找特定端口的进程，可以使用以下命令：Get-NetTCPConnection -LocalPort 端口号 | Select-Object LocalAddress, LocalPort, State...查找允许特定端口的规则，确认其状态和配置。

10.1K2 0

原创 Paper | 利用 SSPI 数据报上下文 bypassUAC

此外，执行 explorer.exe 也通过标准令牌来显示桌面，而 explorer.exe 是父进程，所有其他用户启动的进程都从中继承其访问令牌。...我们以 Rpcss 服务为目标，因为它也作为网络服务运行并且具有很多高权限的令牌句柄，最重要的是，Rpcss 是第一个以 Network Service 运行的进程。如图20，图21所示。...图20 查询Rpcss服务的Pid 图21 Rpcss服务相关句柄在开始验证之前，我们需要先取得一个 Network Service 的 PowerShell 环境。...Import-Module C:\NtObjectManager $sess = Get-NtToken -Session $token = Get-NtToken -Service NetworkService...图27 查询令牌组列表 0x04 数据报式身份验证的令牌参考资料我们可以通过代码来模拟一个数据报式身份验证的过程，然后观察其过程生成的相关令牌。

8951 0

Windows API攻防全解析

-在运行时，当程序加载时，Windows加载器会负责解析导入表中声明的API函数，并填充其在当前进程地址空间中的实际地址，形成一个跳转表或直接修改调用指令，从而解决ASLR的问题。...可用于确定自身路径或查找其他进程模块。GetStartupInfoA/GetStartupInfoW获取进程的STARTUPINFO结构内容（如窗口站、桌面、标准句柄、进程启动时的外观设置）。...可用于进程创建时的精细控制或信息收集。GetModuleHandleA/GetModuleHandleW如果指定模块已映射到调用进程的地址空间，则返回该模块的句柄。...CreateProcessA/CreateProcessW创建一个新进程及其主线程。恶意软件可能用其启动其他恶意程序或合法工具执行恶意命令。...-`hMod`:包含钩子过程的DLL句柄。如果钩子是全局的并且在DLL中，则这是DLL的句柄。如果钩子是线程特定的并且在当前进程代码中，则为`NULL`。

2982 0

浅谈 windows 命名管道

命名管道的所有实例拥有相同的名称，但是每个实例都有其自己的缓冲区和句柄，用来为不同客户端提供独立的管道。...V3 及以上版本的 powershell 还可以使用： Get-ChildItem \.\pipe\ ? b、chrome 使用 chrome 查看管道列表，只需在地址栏输入file://....函数成功返回后，服务器进程得到一个指向一个命名管道实例的句柄。...（三）在已经建立了连接的命名管道实例中，服务端进程就会得到一个指向该管道实例的句柄，这个句柄称之为服务端句柄。...，客户进程就得到了一个指向已经建立连接的命名管道实例的句柄，到这里，服务器进程的 ConnectNamedPipe 也就完成了其建立连接的任务。

10.9K3 0

如何获得PowerShell命令的历史记录

/powershell/module/Microsoft.PowerShell.Core/Get-History?...view=powershell-3.0 默认Powershell v2及以上支持能够记录当前会话中输入的命令，多个PowerShell的进程之间不共享，Powershell的进程退出后自动清除所有记录。...删除所有历史记录： Clear-History 按ID号删除命令： Clear-History -Id 3 2.利用思路获得了一台视窗系统的权限，发现后台有PowerShell的进程，想要读取PowerShell...（1）Powershell的进程无法接收键盘输入命令例如PowerShell的加载了一个在后台运行的脚本：Powershell -ep bypass -f 1.ps1 此时无法向Powershell的进程发送键盘消息...PID的进程，向进程发送键盘消息，内容为：Get-History|export-csv $env:temp”\history.csv” 3.补充：查看cmd.exe的历史记录命令如下： doskey

14.9K3 0

PowerShell到底是个啥？跟CMD比起来强在哪里？看完这篇你就懂了

Get-Process（别名：ps, gps）获取进程信息，这个我用得特别多： # 获取所有进程 Get-Process # 获取特定进程 Get-Process notepad # 按内存使用量排序...用来排序： # 按文件大小排序 Get-ChildItem | Sort-Object Length # 按进程名排序 Get-Process | Sort-Object Name Group-Object...用来分组统计： # 按文件扩展名分组 Get-ChildItem | Group-Object Extension # 统计进程数量 Get-Process | Group-Object ProcessName...Tab补全 PowerShell的Tab补全功能非常强大，不仅可以补全命令名，还能补全参数名和文件路径： # 输入Get-Proc然后按Tab，会自动补全为Get-Process # 输入Get-Process...-然后按Tab，会循环显示所有可用参数历史命令 PowerShell会记录你执行过的命令，可以用以下方式查看和使用： # 查看命令历史 Get-History # 执行历史中的特定命令 Invoke-History

2.8K1 0

某些程序运行时占用过多资源，如何限制？

方法一：使用任务管理器限制CPU使用率步骤：打开任务管理器：按下Ctrl + Shift + Esc组合键。找到目标程序：在“进程”选项卡中找到占用资源过多的程序。...选择较低的优先级（如“低于标准”或“低”）以减少其对系统资源的影响。...方法二：使用PowerShell限制CPU使用率步骤：打开PowerShell（管理员权限）：按下Win + X键，选择“Windows PowerShell（管理员）”。...获取目标进程的ID：输入以下命令并按回车：Get-Process | Sort-Object CPU -Descending记录下目标进程的ID（PID）。...方法五：使用组策略限制资源使用（适用于Windows专业版及以上）步骤：打开“本地组策略编辑器”：按下Win + R键，输入gpedit.msc ，然后按回车。

5.4K1 0

Windows 终端命令详解：PowerShell 初学者指南

如何打开PowerShell？有以下几种方法可以打开PowerShell：按==Win+R键==，输入==powershell==，然后按回车。在任务栏搜索框输入“PowerShell”，点击打开。...ps或gps(查看进程)功能：列出当前正在运行的程序（进程）（PowerShell中实际命令是Get-Process）。tasklist是传统CMD命令，在PowerShell中也能用。...#查找名为notepad的进程C:\Users\userC>Get-Process-Namenotepad#(输出类似上面notepad那一行)kill或spps(结束进程)功能：终止指定的进程（PowerShell...)Get-Process|Sort-ObjectWS-Descending(按内存使用量从高到低排序)展开代码语言：PowerShellAI代码解释#按CPU使用时间降序显示进程(只显示名字和CPU时间...Tab自动补全：输入命令或路径的一部分，然后按Tab键，PowerShell会尝试自动补全。连续按Tab可以循环浏览可能的选项。这是提高效率的关键！

2351 1

如何查看系统中的活动进程？

方法一：通过任务管理器查看活动进程步骤：打开任务管理器：按下Ctrl + Shift + Esc键。或者按下Ctrl + Alt + Delete键，选择“任务管理器”。...方法二：通过命令提示符查看活动进程步骤：打开“命令提示符”：按下Win + R键，输入cmd，然后按回车。...方法三：通过 PowerShell 查看活动进程步骤：打开“PowerShell”：按下Win + X键，选择“Windows PowerShell”。...输入以下命令以列出所有活动进程： Get-Process如果需要查看特定进程的详细信息，可以使用以下命令： Get-Process -Name 进程名将“进程名”替换为实际值。...方法四：通过资源监视器查看活动进程步骤：打开“资源监视器”：按下Win + R键，输入resmon，然后按回车。切换到“CPU”选项卡，查看所有正在运行的进程。

1.5K2 0

Powershell与威胁狩猎

PowerShell v3采用新的cmdlet让管理员能够更深入到系统进程中，这些进程可以制作成可执行的文件或脚本（script）。...Cmdlet包括显示当前目录的Get-Location，访问文件内容的Get-Content和结束运行进程的Stop-Process。...Powershell版本特性 PowerShell V2 PowerShell V2提供事件记录能力，可以协助蓝队进行相关的攻击事件推断和关联性分析，但是其日志记录单一，相关Post-Exploitation...按Win+R打开Windows运行窗口,在输入框里输入gepdit.msc,打开Windows本地组策略编辑器; 2....模拟执行Get-process获取系统进程信息，然后观察Powershell日志能否记录此次测试行为。

3.1K2 0

点击加载更多

connect failed error 10055 由于系统缓冲区空间不足……

Windows 句柄数

如何查看系统资源的实时占用情况？

`sc delete MyService DeleteService FAILED 1072:

Alternative Process Injection

【解析向】腾讯云的Windows Server日志配置收集工具是个什么鬼？(3)

Cobaltstrike4.0——记一次上头的powershell上线分析

Windows Server运维实战：服务依赖、注册表残留与环境一致性治理策略

痕迹清除-Windows日志清除绕过

再探勒索病毒之删除卷影副本的方法

如何查看系统中的开放端口？

原创 Paper | 利用 SSPI 数据报上下文 bypassUAC

Windows API攻防全解析

浅谈 windows 命名管道

如何获得PowerShell命令的历史记录

PowerShell到底是个啥？跟CMD比起来强在哪里？看完这篇你就懂了

某些程序运行时占用过多资源，如何限制？

Windows 终端命令详解：PowerShell 初学者指南

如何查看系统中的活动进程？

Powershell与威胁狩猎

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐