1. Tasklist /M — показывает все библиотеки, загруженные каждым процессом.

2. Посмотрим файлы, открытые процессом:
1) openfiles /local on — включаем режим в ядре (жрет кучу ресурсов!);
2) Перезагружаемся;
3) openfiles — список процессов и открытых ими файлов;
openfiles /query /v — список юзеров, запустивших процессы.

3. qwinsta — список юзеров, зарегистрированных в системе, параметр /server:servername позволяет опрашивать удаленных юзеров, работающих с Terminal Services или XP. 

4. qprocess — список процессов, запущенных каждым зарегистрированным юзером; также позволяет посылать запросы.

5. Запуск команд при наличии какого-либо события в журнале:
eventtriggers /create /l security /eid 529 /tr «сообщение» /tk <сценарий.cmd> /ru administrator
— запускает <сценарий.cmd> с правами пользователя из /ru (здесь — administrator).

Оставить мнение

Check Also

Используй, свободно! Как работает уязвимость use-after-free в почтовике Exim

В самом популярном на сегодняшний день почтовом сервере Exim был обнаружен опасный баг: ес…