PsExec流量日志分析以及实现

前言 psexec是sysinternals的一款强大的软件，通过它可以提权和执行远程命令，对于批量大范围的远程运维能起到很好的效果，尤其是在域环境下。今天主要从流量数据包、本地安全日志、demo源码三个角度分析。 正文 本文环境: Win10 Win Server 2016 先模拟一下PsExec的使用。

psexec的基本原理是：通过管道在远程目标机器上创建一个psexec服务，并在本地磁盘中生成一个名为"PSEXESVC"的二进制文件。然后，通过psexec服务运行命令，运行结束后删除服务。

PSExec的使用条件:

• 对方主机开启了 admin共享，如果关闭了admin共享，会提示：找不到网络名
• 如果是工作组环境，则必须使用administrator用户连接，使用普通用户连接会提示：登录失败: 未授予用户在此计算机上的请求登录类型。
• 如果是域环境，连接普通域主机可以用普通域用户，连接域控需要域管理员。
• 这里用非域管，就提示登录失败