Windows应急响应的命令使用和安全检查分析

1、获取IP地址:

  ·ipconfig /all,获取Windows主机IP地址信息;

  ·ipconfig /release,释放网络IP位置;

  ·ipconfig /flushdns,更新网络IP位置;

  ·ipconfig /renew,更新网络IP等消息获取DNS服务器的IP地址等。

2、获取端口信息:

  ·neystat -an,获取主机所有端口的开放情况和网络连接情况;

  ·-o,显示与每个连接相关的所属进程ID;

  ·netstat -ano 获取TCP/UDP协议信息、端口和进程号;

  ·netstat -anvb,获取进程名,对应进程PID、端口所用协议、调用的可执行组件、相应的组件和第三方进程;

  ·-n 不执行IP和域名的解析过程;

  ·-p protocol,列出进程/组件所使用的的协议;

  ·netstat -n -p tcp | find ":3389" ,查询远程登录本机的所有IP

3、获取服务信息:

  ·Windows很多第三发程序通过服务运行。如果攻击者从服务信息中获得了第三方程序的名称,即可利用相关的漏洞进行提权,服务信息的获取,还可以用于关闭杀毒软件和防火墙以及关闭某些防护的进程;

  ·net start命令,可查看开启的所有服务;

  ·net stop service_name 停止服务;

  ·net start service_name 开启服务。

4、获取进程信息:

  ·通过 tasklist /svc命令获取运行的进程名称、服务和PID;

  ·通过msinfo32命令获取更多详细的进程信息;

    <1>.start /wait msinfo32.exe /report c:\windows\list.txt /categoriesswenv+SWEnvRunningTasks --> 打印报告名称为list.txt文件存放在c:\windows目录下。  

    <2>.获取环境变量的信息(Environment Variables、Software Environment):

      start /wait msinfo32.exe /report c:\windows\temp/Startup.txt /categoriesswenv+SWEnvEnvVars

    <3>.获取目标服务器所安装的软件信息,获取程序组信息:

      start /wait msinfo32.exe /report c:\windows\temp\programs.txt /categoriesswenv+SWEnvStartupPrograms

    <4>.获取启动程序相关信息:

      start /wait msinfo32.exe /report c:\windows\temp/Startup2.txt /categoriesswenv+SWEnvStartupPrograms

5、用户管理命令:

  ·windows操作系统,系统访问一般通过用户口令实现。大多漏洞利用和提权,获取system权限,再添加管理员账号到系统中,接着开启3389端口登录系统。

  ·用户管理:

    <1>.添加用户x为管理员,命令:

      net user x root /add & net localgroup Administrators x /add

    <2>.查看系统管理员用户组:

      net Localgroup Administrators

    <3>.加入远程桌面用户组:

      net localgroup “Remote Desktop Users” x /add

    <4>.查看用户信息:

      net user x

    <5>.激活用户:

      net user x /active:yes

    <6>.修改用户密码:

      net user x 1234

    <7>.管理和查看全部的用户状况:

      net usr

6.查看操作系统进情况:

   ·tasklist:显示本机的所有进程,显示包括:进程名(Image Name)、PID、会话名(Session Name)、会话#(Session Name)、内存使用(Mem Usage)情况;

     <1>.查看本地系统中某进程调用了某DLL某木偶快的具体信息:

      tasklist /m shell32.dll

     <2>.查看远程系统中某进程调用了某DLL模块文件的具体信息:

      tasklist /m rundll32.dll /s X /u administrator /p root

   ·taskkill:Windows自带的终止进程的程序

      ·taskkill /im  /f   强制终止X程序

      ·taskkill /pid 终止pid为x的程序

7.查看操作系统详细配置信息:

  ·systeminfo 显示本地计算机及其操作系统的详细配置信息,包括:操作系统配置、安全信息、产品ID和硬件属性,如RAM、磁盘空间、网卡和KB不定信息等。

  ·ver 查看内核版本信息

  ·whoami 、whoami /all 查看到当前用户的所有权限和角色的信息

  ·arp -a、arp /a 局域网内所有连接的主机

  ·query user 查询登录本机的所有用户

8.Windows管理工具包和组件的常用应急响应命令:

  ·compmgmt.msc 计算机管理

  ·gpedit.msc 组策略

  ·services.msc 管理和查看本地服务设置情况

  ·control 控制面板

  ·eventvwr 打开事件查看器(含日志)

  ·taskmgr 任务管理器

  ·secpol.msc 本地安全策略

  ·regedt32/regedit 注册表编辑器

  ·certmgr.msc 证书管理实用程序

  ·lusrmgr.msc 本地用户和用户组管理器

  ·taskschd.msc 计划任务管理器

  ·

Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析的更多相关文章

  1. Windwos应急响应和系统加固(1)——Windwos操作系统版本介绍

    Windwos操作系统版本介绍 1. Micorsoft  Windows XP  ·Microsoft官方发布时间以及终止提供服务时间:2001.10.25-2014.4.8   产生漏洞:MS08 ...

  2. Windows Server 2008 系统加固

    账号安全:更改管理员账号 更改管理员账户名来避免攻击,提高系统安全性. 以Administrator账户登录本地计算机,开始->运行->compmgmt.msc(计算机管理)->本地 ...

  3. 深入解析Windows操作系统笔记——CH3系统机制

    3.系统机制 微软提供了一些基本组件让内核模式的组件使用: 1.陷阱分发,包括终端,延迟的过程调用(DPC),异步过程调用(APC),异常分发以及系统服务分发 2.执行体对象管理器 3.同步,包括自旋 ...

  4. 在UEFI下安装windows和Ubuntu双系统目前不可行

    UEFI是BIOS的升级,未来将取代BIOS,说白了,就是跟BISO差不多的作用.但是目前比较新的主板兼容两种设置就比较坑了,默认是UEFI,UEFI下只能安装win8以上的版本,和linux64位系 ...

  5. IBM X3850 Windows 无法安装到这个磁盘。选中的磁盘具有MBR分区表。在 EFI 系统上,Windows 只能安装到 GPT 磁盘

    以前安装的是window2003 32位, 改装为2012 64位的时候.出现 Windows 无法安装到这个磁盘.选中的磁盘具有MBR分区表.在 EFI 系统上,Windows 只能安装到 GPT ...

  6. kali linux 、 windows、ubuntu三系统的引导问题

    '小飞机'是一个学生,所以接触的东西,虽广泛,但并不精通,在此利用随笔,记录自己的一些学习过程,以及自己的想法,既可以有时间自己复习,也可以顺便帮助别人. 近期由于同学的引诱以及男生天生对于破解的好奇 ...

  7. Windows与Linux/Mac系统时间不一致的解决方法

    Windows与Linux/Mac系统时间不一致的解决方法 分类: linux2012-02-12 14:25 1691人阅读 评论(1) 收藏 举报 windowsubuntusystemlinux ...

  8. Windows Phone 离主流系统还很远

    调查机构 Kantar Worldpanel 在本月发布全球智能手机份额报告.报告显示,五月份除德国和澳大利亚出现下滑,Windows Phone 的市场份额在不少国家都实现增长. 英国,4.1% 升 ...

  9. 双系统下,Windows如何正确删除Linux系统

    一般电脑装了双系统,特别是Windows加Linux的电脑,不可以在Windows中直接删了linux,因为一般安装linux的时候,grub都写进了mbr,直接删了Windows就进不了了,除非原来 ...

随机推荐

  1. ASP.NET Core下Ocelot的简单使用

    一.创建demo项目 1.新建webapi项目,命名为“DemoProject”,去掉HTTPS勾选 using Microsoft.AspNetCore.Mvc; using System.Coll ...

  2. keras模型可视化

    #keras.utils.vis_utils模块提供了画出Keras模型的函数(keras版本2.0.2以上)pip install graphviz pip install pydotplus im ...

  3. Linux测试环境简单使用教程

    0. 本blog 简单说明一下 Linux测试环境尤其是 CentOS测试环境的开发测试使用, 教程可能不会很长, 主要是入门. 0.1 Linux简介: Linux 的历史基本上不用阐述, linu ...

  4. 这个菜鸟花几个小时写的 DEMO 被码云推荐上首页 ?

    写在最前     没有接触过 AntV 的诸位看客可通过这篇不成文的文章稍作了解.最近 病毒猖獗,遂抽空做了一个相关小 DEMO.数据可视化方面的使用的是 AntV F2,前端框架使用 Vue 快速成 ...

  5. 简单看看读写锁ReentantReadWriteLock

    前面我们看了可重入锁ReentrantLock,其实这个锁只适用于写多读少的情况,就是多个线程去修改一个数据的时候,适合用这个锁,但是如果多个线程都去读一个数据,还用这个锁的话会降低效率,因为同一时刻 ...

  6. 用Java实现一个简单的DBMS(总结)

    时间:2020/1/16 写这个DBMS(说DBMS夸张了,应该是一个控制台程序)的起因是数据库实践老师布置的一个大作业,先贴上GitHub地址: https://github.com/machi12 ...

  7. node使用art-template的过滤器

    引言 art-template过滤器在我看来,其实就是定义一个函数,模板字符串通过调用该函数处理相关的数据,得到相应的返回结果,显示在页面上.因此我们可以注册一个过滤器,处理相关的数据.这里使用nod ...

  8. oracle和mysql区别

    1.本质的区别.oracle是对象关系数据库管理系统,简称ordbms.mysql是开源关系数据库关系系统,简称rdbms.Oracle是收费的.mysql是开源.免费的. 2.数据库安全性.myql ...

  9. 实验16:ACL

    实验13-1:标准ACL Ø    实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试 Ø    拓扑结构 本实验拒绝PC1 所在网 ...

  10. Netty学习(1):IO模型之BIO

    概述 Netty其实就是一个异步的.基于事件驱动的框架,其作用是用来开发高性能.高可靠的IO程序. 因此下面就让我们从Java的IO模型来逐步深入学习Netty. IO模型 IO模型简单来说,就是采用 ...