Windows應急響應和系統加固(2)——Windows應急響應的命令使用和安全檢查分析

Windows應急響應的命令使用和安全檢查分析

一、獲取IP地址：

　　·ipconfig /all，獲取Windows主機IP地址信息；

　　·ipconfig /release，釋放網絡IP位置；

　　·ipconfig /flushdns，更新網絡IP位置；

　　·ipconfig /renew，更新網絡IP等消息獲取DNS服務器的IP地址等。

 

二、獲取端口信息：

　　·neystat -an，獲取主機全部端口的開放狀況和網絡鏈接狀況；

　　·-o，顯示與每一個鏈接相關的所屬進程ID；

　　·netstat -ano 獲取TCP/UDP協議信息、端口和進程號；

　　·netstat -anvb，獲取進程名，對應進程PID、端口所用協議、調用的可執行組件、相應的組件和第三方進程；

　　·-n 不執行IP和域名的解析過程；

　　·-p protocol，列出進程/組件所使用的的協議；

　　·netstat -n -p tcp | find ":3389" ,查詢遠程登陸本機的全部IP

三、獲取服務信息：

　　·Windows不少第三發程序經過服務運行。若是攻擊者從服務信息中得到了第三方程序的名稱，便可利用相關的漏洞進行提權，服務信息的獲取，還能夠用於關閉殺毒軟件和防火牆以及關閉某些防禦的進程；

　　·net start命令，可查看開啓的全部服務；

　　·net stop service_name 中止服務；

　　·net start service_name 開啓服務。

四、獲取進程信息：

　　·經過 tasklist /svc命令獲取運行的進程名稱、服務和PID；

　　·經過msinfo32命令獲取更多詳細的進程信息；

　　　　<1>.start /wait msinfo32.exe /report c:\windows\list.txt /categoriesswenv+SWEnvRunningTasks --> 打印報告名稱爲list.txt文件存放在c:\windows目錄下。　　

　　　　<2>.獲取環境變量的信息(Environment Variables、Software Environment):

　　　　　　start /wait msinfo32.exe /report c:\windows\temp/Startup.txt /categoriesswenv+SWEnvEnvVars

　　　　<3>.獲取目標服務器所安裝的軟件信息，獲取程序組信息:

　　　　　　start /wait msinfo32.exe /report c:\windows\temp\programs.txt /categoriesswenv+SWEnvStartupPrograms

　　　　<4>.獲取啓動程序相關信息：

　　　　　　start /wait msinfo32.exe /report c:\windows\temp/Startup2.txt /categoriesswenv+SWEnvStartupPrograms

五、用戶管理命令：

　　·windows操做系統，系統訪問通常經過用戶口令實現。大多漏洞利用和提權，獲取system權限，再添加管理員帳號到系統中，接着開啓3389端口登陸系統。

　　·用戶管理：

　　　　<1>.添加用戶x爲管理員，命令：

　　　　　　net user x root /add & net localgroup Administrators x /add

　　　　<2>.查看系統管理員用戶組：

　　　　　　net Localgroup Administrators

　　　　<3>.加入遠程桌面用戶組：

　　　　　　net localgroup 「Remote Desktop Users」 x /add

　　　　<4>.查看用戶信息：

　　　　　　net user x

　　　　<5>.激活用戶：

　　　　　　net user x /active:yes

　　　　<6>.修改用戶密碼：

　　　　　　net user x 1234

　　　　<7>.管理和查看所有的用戶情況：

　　　　　　net usr

6.查看操做系統進狀況：

　　　·tasklist：顯示本機的全部進程，顯示包括：進程名(Image Name)、PID、會話名(Session Name)、會話#(Session Name)、內存使用(Mem Usage)狀況；

　　　　　<1>.查看本地系統中某進程調用了某DLL某木偶快的具體信息：

　　　　　　tasklist /m shell32.dll

　　　　　<2>.查看遠程系統中某進程調用了某DLL模塊文件的具體信息:

　　　　　　tasklist /m rundll32.dll /s X /u administrator /p root

　　　·taskkill：Windows自帶的終止進程的程序

　　　　　　·taskkill /im  X  /f　　 強制終止X程序

　　　　　　·taskkill /pid X  終止pid爲x的程序

 7.查看操做系統詳細配置信息：

　　·systeminfo 顯示本地計算機及其操做系統的詳細配置信息，包括：操做系統配置、安全信息、產品ID和硬件屬性，如RAM、磁盤空間、網卡和KB不定信息等。

　　·ver 查看內核版本信息

　　·whoami 、whoami /all 查看到當前用戶的全部權限和角色的信息

　　·arp -a、arp /a 局域網內全部鏈接的主機

　　·query user 查詢登陸本機的全部用戶

8.Windows管理工具包和組件的經常使用應急響應命令：

　　·compmgmt.msc 計算機管理 

　　·gpedit.msc 組策略

　　·services.msc 管理和查看本地服務設置狀況

　　·control 控制面板

　　·eventvwr 打開事件查看器（含日誌）

　　·taskmgr 任務管理器

　　·secpol.msc 本地安全策略

　　·regedt32/regedit 註冊表編輯器

　　·certmgr.msc 證書管理實用程序

　　·lusrmgr.msc 本地用戶和用戶組管理器

　　·taskschd.msc 計劃任務管理器

 

　　·