Prozesse scanner, lokaler PCs im Intranet mit pslist und NMAP über eine Batchfile
22.11.2007
11:15:23 Uhr7963 Aufrufe
11:15:23 Uhr
Noch nicht bewertet
Damit ich weiß, das keine unerwünschten Programme / Dienste auf den Clients laufen, prüfe ich mit Hilfe von NMAP auf die Verfügbarkeit der PC's in einem Netz Bsp. 192.168.1.0/24.
Anschließend lasse ich pslist mit Administrativen Rechten (der Admin mit dem passenden Kennwort muss natürlich auf dem Client vorhanden sein) die gesamten Prozesse und Anwendungen, die gestartet sind Scannen.
Mit einem kleinen Filter prüfe ich dann auf unerwünschte Anwendungen, Beispielsweise torrent, Emule, etc.
Hier mein Batch-Script:
Das Filterprogram müsstet Ihr euch allerdings selbst schreiben 
Beispielresultat:
Anschließend lasse ich pslist mit Administrativen Rechten (der Admin mit dem passenden Kennwort muss natürlich auf dem Client vorhanden sein) die gesamten Prozesse und Anwendungen, die gestartet sind Scannen.
Mit einem kleinen Filter prüfe ich dann auf unerwünschte Anwendungen, Beispielsweise torrent, Emule, etc.
Hier mein Batch-Script:
01.
REM Remote-Process-Scan 02.
REM Zum scannen von Prozessen Lokaler Clients im Intranet 03.
REM Copyright 2007 - Author: #intuz# 04.
@echo off 05.
SET SUBNET=192.168.1.0/24 06.
SET IPFILE=iplist.txt 07.
SET RESULTFILE=NETWORK_PCS.TXT 08.
REM PSList Settings 09.
SET PSLISTCMD=..\SysinternalsSuite\pslist.exe 10.
SET USERNAME=Administrator 11.
SET PASSWORD=ziemlichGeheim 12.
REM ---------------------- 13.
REM Enable Delay Expansion 14.
SETLOCAL ENABLEDELAYEDEXPANSION 15.
REM Use Nmap to Scan Subnet for availible Clients 16.
nmap -n -sP %SUBNET% > %IPFILE% 17.
echo. > %RESULTFILE% 18.
for /F "tokens=1,2 delims= " %%A IN (%IPFILE%) DO ( 19.
if "%%A" == "Host" ( 20.
echo Scanning %%B now... 21.
echo Scanning %%B now... >> %RESULTFILE% 22.
REM Execute pslist 23.
%PSLISTCMD% -t \\%%B -u %USERNAME% -p %PASSWORD% >> %RESULTFILE% 24.
echo. >> %RESULTFILE% 25.
) 26.
) 27.
del %IPFILE% 28.
ENDLOCALBeispielresultat:
01.
[...] 02.
Scanning 192.168.1.2 now... 03.
Process information for 192.168.1.2: 04.
05.
Name Pid Pri Thd Hnd VM WS Priv 06.
Idle 0 0 1 0 0 16 0 07.
System 4 8 58 435 1904 48 0 08.
smss 584 11 2 28 3572 220 144 09.
csrss 640 13 12 329 25068 2072 1644 10.
winlogon 664 13 21 598 61544 6724 8848 11.
services 712 9 14 272 35632 1772 1824 12.
svchost 180 8 13 268 41292 2372 2508 13.
vmware-authd 332 8 5 112 31776 636 1200 14.
svchost 880 8 25 238 66248 2452 2804 15.
svchost 940 8 7 244 37036 1444 1612 16.
vmount2 1076 8 3 108 39120 3156 1252 17.
vmnat 1088 8 3 53 14872 276 540 18.
vmnetdhcp 1136 8 2 30 13384 160 472 19.
svchost 1264 8 46 1031 120700 12304 12164 20.
svchost 1312 8 4 67 29364 1096 1140 21.
spoolsv 1740 8 10 131 45344 3308 3356 22.
lsass 724 9 22 364 41852 2464 3732 23.
rdpclip 1680 8 4 102 35472 3076 1172 24.
winlogon 1852 13 10 142 41272 4048 2580 25.
logonui 520 8 6 166 36176 3564 3028 26.
logon.scr 2444 4 1 15 14924 1376 348 27.
csrss 2024 13 9 87 22336 1376 676 28.
explorer 760 8 11 525 90016 12448 12720 29.
ctfmon 1060 8 1 66 29748 776 764 30.
vmware 1692 8 5 365 91512 9444 18052 31.
vmware-vmx 1080 8 7 321 362684 268732 11068 32.
vmware-vmx 2876 8 9 335 308188 239504 13836 33.
[...]
