Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析
Windows应急响应的命令使用和安全检查分析
1、获取IP地址:
·ipconfig /all,获取Windows主机IP地址信息;
·ipconfig /release,释放网络IP位置;
·ipconfig /flushdns,更新网络IP位置;
·ipconfig /renew,更新网络IP等消息获取DNS服务器的IP地址等。
2、获取端口信息:
·neystat -an,获取主机所有端口的开放情况和网络连接情况;
·-o,显示与每个连接相关的所属进程ID;
·netstat -ano 获取TCP/UDP协议信息、端口和进程号;
·netstat -anvb,获取进程名,对应进程PID、端口所用协议、调用的可执行组件、相应的组件和第三方进程;
·-n 不执行IP和域名的解析过程;
·-p protocol,列出进程/组件所使用的的协议;
·netstat -n -p tcp | find ":3389" ,查询远程登录本机的所有IP
3、获取服务信息:
·Windows很多第三发程序通过服务运行。如果攻击者从服务信息中获得了第三方程序的名称,即可利用相关的漏洞进行提权,服务信息的获取,还可以用于关闭杀毒软件和防火墙以及关闭某些防护的进程;
·net start命令,可查看开启的所有服务;
·net stop service_name 停止服务;
·net start service_name 开启服务。
4、获取进程信息:
·通过 tasklist /svc命令获取运行的进程名称、服务和PID;
·通过msinfo32命令获取更多详细的进程信息;
<1>.start /wait msinfo32.exe /report c:\windows\list.txt /categoriesswenv+SWEnvRunningTasks --> 打印报告名称为list.txt文件存放在c:\windows目录下。
<2>.获取环境变量的信息(Environment Variables、Software Environment):
start /wait msinfo32.exe /report c:\windows\temp/Startup.txt /categoriesswenv+SWEnvEnvVars
<3>.获取目标服务器所安装的软件信息,获取程序组信息:
start /wait msinfo32.exe /report c:\windows\temp\programs.txt /categoriesswenv+SWEnvStartupPrograms
<4>.获取启动程序相关信息:
start /wait msinfo32.exe /report c:\windows\temp/Startup2.txt /categoriesswenv+SWEnvStartupPrograms
5、用户管理命令:
·windows操作系统,系统访问一般通过用户口令实现。大多漏洞利用和提权,获取system权限,再添加管理员账号到系统中,接着开启3389端口登录系统。
·用户管理:
<1>.添加用户x为管理员,命令:
net user x root /add & net localgroup Administrators x /add
<2>.查看系统管理员用户组:
net Localgroup Administrators
<3>.加入远程桌面用户组:
net localgroup “Remote Desktop Users” x /add
<4>.查看用户信息:
net user x
<5>.激活用户:
net user x /active:yes
<6>.修改用户密码:
net user x 1234
<7>.管理和查看全部的用户状况:
net usr
6.查看操作系统进情况:
·tasklist:显示本机的所有进程,显示包括:进程名(Image Name)、PID、会话名(Session Name)、会话#(Session Name)、内存使用(Mem Usage)情况;
<1>.查看本地系统中某进程调用了某DLL某木偶快的具体信息:
tasklist /m shell32.dll
<2>.查看远程系统中某进程调用了某DLL模块文件的具体信息:
tasklist /m rundll32.dll /s X /u administrator /p root
·taskkill:Windows自带的终止进程的程序
·taskkill /im X /f 强制终止X程序
·taskkill /pid X 终止pid为x的程序
7.查看操作系统详细配置信息:
·systeminfo 显示本地计算机及其操作系统的详细配置信息,包括:操作系统配置、安全信息、产品ID和硬件属性,如RAM、磁盘空间、网卡和KB不定信息等。
·ver 查看内核版本信息
·whoami 、whoami /all 查看到当前用户的所有权限和角色的信息
·arp -a、arp /a 局域网内所有连接的主机
·query user 查询登录本机的所有用户
8.Windows管理工具包和组件的常用应急响应命令:
·compmgmt.msc 计算机管理
·gpedit.msc 组策略
·services.msc 管理和查看本地服务设置情况
·control 控制面板
·eventvwr 打开事件查看器(含日志)
·taskmgr 任务管理器
·secpol.msc 本地安全策略
·regedt32/regedit 注册表编辑器
·certmgr.msc 证书管理实用程序
·lusrmgr.msc 本地用户和用户组管理器
·taskschd.msc 计划任务管理器
·
Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析的更多相关文章
- Windwos应急响应和系统加固(1)——Windwos操作系统版本介绍
Windwos操作系统版本介绍 1. Micorsoft Windows XP ·Microsoft官方发布时间以及终止提供服务时间:2001.10.25-2014.4.8 产生漏洞:MS08 ...
- Windows Server 2008 系统加固
账号安全:更改管理员账号 更改管理员账户名来避免攻击,提高系统安全性. 以Administrator账户登录本地计算机,开始->运行->compmgmt.msc(计算机管理)->本地 ...
- 深入解析Windows操作系统笔记——CH3系统机制
3.系统机制 微软提供了一些基本组件让内核模式的组件使用: 1.陷阱分发,包括终端,延迟的过程调用(DPC),异步过程调用(APC),异常分发以及系统服务分发 2.执行体对象管理器 3.同步,包括自旋 ...
- 在UEFI下安装windows和Ubuntu双系统目前不可行
UEFI是BIOS的升级,未来将取代BIOS,说白了,就是跟BISO差不多的作用.但是目前比较新的主板兼容两种设置就比较坑了,默认是UEFI,UEFI下只能安装win8以上的版本,和linux64位系 ...
- IBM X3850 Windows 无法安装到这个磁盘。选中的磁盘具有MBR分区表。在 EFI 系统上,Windows 只能安装到 GPT 磁盘
以前安装的是window2003 32位, 改装为2012 64位的时候.出现 Windows 无法安装到这个磁盘.选中的磁盘具有MBR分区表.在 EFI 系统上,Windows 只能安装到 GPT ...
- kali linux 、 windows、ubuntu三系统的引导问题
'小飞机'是一个学生,所以接触的东西,虽广泛,但并不精通,在此利用随笔,记录自己的一些学习过程,以及自己的想法,既可以有时间自己复习,也可以顺便帮助别人. 近期由于同学的引诱以及男生天生对于破解的好奇 ...
- Windows与Linux/Mac系统时间不一致的解决方法
Windows与Linux/Mac系统时间不一致的解决方法 分类: linux2012-02-12 14:25 1691人阅读 评论(1) 收藏 举报 windowsubuntusystemlinux ...
- Windows Phone 离主流系统还很远
调查机构 Kantar Worldpanel 在本月发布全球智能手机份额报告.报告显示,五月份除德国和澳大利亚出现下滑,Windows Phone 的市场份额在不少国家都实现增长. 英国,4.1% 升 ...
- 双系统下,Windows如何正确删除Linux系统
一般电脑装了双系统,特别是Windows加Linux的电脑,不可以在Windows中直接删了linux,因为一般安装linux的时候,grub都写进了mbr,直接删了Windows就进不了了,除非原来 ...
随机推荐
- ASP.NET Core下Ocelot的简单使用
一.创建demo项目 1.新建webapi项目,命名为“DemoProject”,去掉HTTPS勾选 using Microsoft.AspNetCore.Mvc; using System.Coll ...
- keras模型可视化
#keras.utils.vis_utils模块提供了画出Keras模型的函数(keras版本2.0.2以上)pip install graphviz pip install pydotplus im ...
- Linux测试环境简单使用教程
0. 本blog 简单说明一下 Linux测试环境尤其是 CentOS测试环境的开发测试使用, 教程可能不会很长, 主要是入门. 0.1 Linux简介: Linux 的历史基本上不用阐述, linu ...
- 这个菜鸟花几个小时写的 DEMO 被码云推荐上首页 ?
写在最前 没有接触过 AntV 的诸位看客可通过这篇不成文的文章稍作了解.最近 病毒猖獗,遂抽空做了一个相关小 DEMO.数据可视化方面的使用的是 AntV F2,前端框架使用 Vue 快速成 ...
- 简单看看读写锁ReentantReadWriteLock
前面我们看了可重入锁ReentrantLock,其实这个锁只适用于写多读少的情况,就是多个线程去修改一个数据的时候,适合用这个锁,但是如果多个线程都去读一个数据,还用这个锁的话会降低效率,因为同一时刻 ...
- 用Java实现一个简单的DBMS(总结)
时间:2020/1/16 写这个DBMS(说DBMS夸张了,应该是一个控制台程序)的起因是数据库实践老师布置的一个大作业,先贴上GitHub地址: https://github.com/machi12 ...
- node使用art-template的过滤器
引言 art-template过滤器在我看来,其实就是定义一个函数,模板字符串通过调用该函数处理相关的数据,得到相应的返回结果,显示在页面上.因此我们可以注册一个过滤器,处理相关的数据.这里使用nod ...
- oracle和mysql区别
1.本质的区别.oracle是对象关系数据库管理系统,简称ordbms.mysql是开源关系数据库关系系统,简称rdbms.Oracle是收费的.mysql是开源.免费的. 2.数据库安全性.myql ...
- 实验16:ACL
实验13-1:标准ACL Ø 实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试 Ø 拓扑结构 本实验拒绝PC1 所在网 ...
- Netty学习(1):IO模型之BIO
概述 Netty其实就是一个异步的.基于事件驱动的框架,其作用是用来开发高性能.高可靠的IO程序. 因此下面就让我们从Java的IO模型来逐步深入学习Netty. IO模型 IO模型简单来说,就是采用 ...