Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

Windows应急响应的命令使用和安全检查分析

1、获取IP地址：

　　·ipconfig /all，获取Windows主机IP地址信息；

　　·ipconfig /release，释放网络IP位置；

　　·ipconfig /flushdns，更新网络IP位置；

　　·ipconfig /renew，更新网络IP等消息获取DNS服务器的IP地址等。

2、获取端口信息：

　　·neystat -an，获取主机所有端口的开放情况和网络连接情况；

　　·-o，显示与每个连接相关的所属进程ID；

　　·netstat -ano 获取TCP/UDP协议信息、端口和进程号；

　　·netstat -anvb，获取进程名，对应进程PID、端口所用协议、调用的可执行组件、相应的组件和第三方进程；

　　·-n 不执行IP和域名的解析过程；

　　·-p protocol，列出进程/组件所使用的的协议；

　　·netstat -n -p tcp | find ":3389" ,查询远程登录本机的所有IP

3、获取服务信息：

　　·Windows很多第三发程序通过服务运行。如果攻击者从服务信息中获得了第三方程序的名称，即可利用相关的漏洞进行提权，服务信息的获取，还可以用于关闭杀毒软件和防火墙以及关闭某些防护的进程；

　　·net start命令，可查看开启的所有服务；

　　·net stop service_name 停止服务；

　　·net start service_name 开启服务。

4、获取进程信息：

　　·通过 tasklist /svc命令获取运行的进程名称、服务和PID；

　　·通过msinfo32命令获取更多详细的进程信息；

　　　　<1>.start /wait msinfo32.exe /report c:\windows\list.txt /categoriesswenv+SWEnvRunningTasks --> 打印报告名称为list.txt文件存放在c:\windows目录下。　　

　　　　<2>.获取环境变量的信息(Environment Variables、Software Environment):

　　　　　　start /wait msinfo32.exe /report c:\windows\temp/Startup.txt /categoriesswenv+SWEnvEnvVars

　　　　<3>.获取目标服务器所安装的软件信息，获取程序组信息:

　　　　　　start /wait msinfo32.exe /report c:\windows\temp\programs.txt /categoriesswenv+SWEnvStartupPrograms

　　　　<4>.获取启动程序相关信息：

　　　　　　start /wait msinfo32.exe /report c:\windows\temp/Startup2.txt /categoriesswenv+SWEnvStartupPrograms

5、用户管理命令：

　　·windows操作系统，系统访问一般通过用户口令实现。大多漏洞利用和提权，获取system权限，再添加管理员账号到系统中，接着开启3389端口登录系统。

　　·用户管理：

　　　　<1>.添加用户x为管理员，命令：

　　　　　　net user x root /add & net localgroup Administrators x /add

　　　　<2>.查看系统管理员用户组：

　　　　　　net Localgroup Administrators

　　　　<3>.加入远程桌面用户组：

　　　　　　net localgroup “Remote Desktop Users” x /add

　　　　<4>.查看用户信息：

　　　　　　net user x

　　　　<5>.激活用户：

　　　　　　net user x /active:yes

　　　　<6>.修改用户密码：

　　　　　　net user x 1234

　　　　<7>.管理和查看全部的用户状况：

　　　　　　net usr

6.查看操作系统进情况：

　　　·tasklist：显示本机的所有进程，显示包括：进程名(Image Name)、PID、会话名(Session Name)、会话#(Session Name)、内存使用(Mem Usage)情况；

　　　　　<1>.查看本地系统中某进程调用了某DLL某木偶快的具体信息：

　　　　　　tasklist /m shell32.dll

　　　　　<2>.查看远程系统中某进程调用了某DLL模块文件的具体信息:

　　　　　　tasklist /m rundll32.dll /s X /u administrator /p root

　　　·taskkill：Windows自带的终止进程的程序

　　　　　　·taskkill /im  X  /f　　 强制终止X程序

　　　　　　·taskkill /pid X  终止pid为x的程序

7.查看操作系统详细配置信息：

　　·systeminfo 显示本地计算机及其操作系统的详细配置信息，包括：操作系统配置、安全信息、产品ID和硬件属性，如RAM、磁盘空间、网卡和KB不定信息等。

　　·ver 查看内核版本信息

　　·whoami 、whoami /all 查看到当前用户的所有权限和角色的信息

　　·arp -a、arp /a 局域网内所有连接的主机

　　·query user 查询登录本机的所有用户

8.Windows管理工具包和组件的常用应急响应命令：

　　·compmgmt.msc 计算机管理

　　·gpedit.msc 组策略

　　·services.msc 管理和查看本地服务设置情况

　　·control 控制面板

　　·eventvwr 打开事件查看器（含日志）

　　·taskmgr 任务管理器

　　·secpol.msc 本地安全策略

　　·regedt32/regedit 注册表编辑器

　　·certmgr.msc 证书管理实用程序

　　·lusrmgr.msc 本地用户和用户组管理器

　　·taskschd.msc 计划任务管理器

　　·