Просмотр владельцев процессов при помощи PowerShell

Cкрытый процесс wsmprovhost.exe можно обнаружить тогда, когда кто-то удаленно работает с системой при помощи PowerShell Remoting. Функция Get-PSRemotingVisitor позволит локальном администратору получить список тех кто выполняет PowerShell Remoting на компьютере и с какого времени:

function Get-PSRemotingVisitor($computername='localhost') {
gwmi Win32_Process -Filter 'Name="wsmprovhost.exe"' -computername $computername | 
  Foreach-Object { 
    $o = $_.GetOwner()
    $o=$o.Domain + "\" + $o.User
    $obj = $_ |  Select-Object Name, CreationDate, Owner
    $obj.Owner = $o
    $obj.CreationDate = $_.ConvertToDateTime($_.CreationDate)
    $obj 
}
}
Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)