Nella prima parte abbiamo visto alcuni comandi per vedere chi è connesso ad un PC, e come connessioni possano avvenire in modi diversi (da remoto, a file o cartelle che condividiamo, etc.) Vediamo altri esempi:

PsFile ci consente di vedere chi è connesso ai file sul nostro PC, ed in che modo (Read, Write, etc.). Può essere usato anche per vedere quali file sono aperti su un altro PC in rete locale, con la sintassi

PsFile \\RemoteComputer -u Username -p Password

openfiles (Sysinternals) ci consente di disconnettere un file aperto sul nostro sistema o su sistema remoto.

C:\Windows\system32>openfiles /Query /S 10.0.0.252

ID Accessed By Type Open File (Path\executable)
======== ==================== ========== ====================================
305 max Windows D:\folder\
347 max Windows D:\folder\
377 max Windows \srvsvc

Per terminare la connessione ad una risorsa remota, di cui abbiamo ricavato l’ID dal comando precedente (il 305 in grassetto), possiamo eseguire

C:\Windows\system32>openfiles /Disconnect /S 10.0.0.252 /ID 305

SUCCESS: The connection to the open file "D:\folder\" has been terminated.

Avuta un’idea di chi è connesso, vediamo cosa il PC sta facendo.

Tasklist utilità nativa, presente da windows XP Pro in poi, fornisce la lista di tutte le applicazioni ed i processi (con nome e PID) che vengono eseguiti sul proprio pc o su pc remoto.
ad esempio:

tasktlist /s 192.168.1.254

fornisce la lista dei task eseguiti sul pc di cui è stato dato l’ip address. Ha diverse opzioni utili:
tasklist /fo csv fornisce in formato csv la lista dei task in esecuzione sul pc locale.

Pslist (Sysinternals), ci consente anche di avere un quadro delle gerarchie dei processi, oltre ad altre info interessanti:

Volete saperne di più? handle restituisce informazioni su tutti gli handle aperti per tutti i processi di sistema (armatevi di pazienza, ma se c’è qualcosa di strano abbiamo una possibilità che venga fuori).