1.Windows常用命令
运行命令regedit 注册表taskmgr 任务管理器msconfig 系统配置(启动项)eventvwr.msc 事件查看器compmgmt.msc 计算机管理gpedit.msc 本地组策略taskschd.msc 计划任务lusrmgr.msc 本地计划和组%UserProFile%Recent、%APPDATA%MicrosoftWindowsRecent 最近打开的文件
cmd命令net user 获取本机用户列表net localgroup administrators 获取本机管理员列表net session 查看当前会话(需要管理员权限)net use 查看远程连接net share 查看当前用户共享目录netstat -ano 查看网络连接systeminfo 查看操作系统配置信息findstr /m /i /s "hello" *.txt 查找内容包含hello的所有txt文件/m 如果文件含有匹配项,只打印文件名/i 搜索不区分大小写/s 在当前目录和所有子目录中搜索匹配的文件wmic process >> wmic.txt 获取系统进程信息并保存wmic process where name="cmd.exe" get processid,executablepath,name 查找cmd.exe的进程id,路径wmic process where processid="16760" get name, executablepath 查找进程id为16760的进程名和路径tasklist 获取系统进程信息tasklist /m dll名称 查询特定dll调用的进程certutil -hashfile filename MD5 计算文件的MD5值
Windows敏感目录(系统设置的环境变量)WINDIR% Windows系统安装目录WINDIR%system32 操作系统文件目录TEMP% 临时文件目录LOCALAPPDATA% 应用程序使用的本地数据目录APPDATA% 用户安装程序的缓存目录
2.常用工具
PCHunter
PCHunter是一款强大的内核级监控软件,软件可以查看内核文件、驱动模块、隐藏进程、注册表、内核、网络等信息,与PCHunter功能相似的有火绒剑和Power Tool等。(PCHunter目前已不支持Windows10高版本使用,可使用火绒剑代替)
Autoruns
此工具显示在系统启动或登录期间,配置运行哪些程序。包含程序加载、驱动加载、服务启动、计划任务及Windows各方面的启动项等。
Process Explorer
Process Explorer用于在应用程序运行时监控程序的行为及各种操作。主要监控的行为有:文件系统、注册表、进程、网络、分析。此软件会监控系统中所有进程的行为,数据量很大,不利于分析,可以使用过滤选项进行条件过滤。
Process Monitor
Process Monitor是Windows的高级监视工具,可显示实时文件系统,注册表和进程/线程活动。
TCPView
显示系统上所有 TCP 和 UDP 终结点的详细列表,包括本地和远程地址以及 TCP 连接的状态。在 Windows Server 2008、Vista 和 XP 上,TCPView 还会报告拥有终结点的进程的名称。
Network Monitor
Network Monitor用于网络流量捕获和协议分析的工具。(安装后需要重启)
3.Windows日志分析
Windows主要三类日志:系统日志、安全日志、应用程序日志。
系统日志
系统日志主要记录系统组件产生的事件。主要包括驱动程序、系统组件、应用程序错误消息等。
系统启动 ID 12系统关闭 ID 13事件日志服务启动 ID 6005事件日志服务关闭 ID 6006
安全日志
安全日志主要记录与系统安全相关的事件,主要记录用户登录登出、系统资源的使用及系统策略的变更等。查看安全日志必须拥有系统管理员权限。
| 事件ID |
说明 |
| 1102 |
清理审计日志 |
| 4624 |
账号登录成功 |
| 4625 |
账号登录失败 |
| 4634 |
注销成功 |
| 4647 |
用户启动的注销 |
| 4672 |
使用管理员进行登录 |
| 4720 |
创建用户 |
| 4726 |
删除用户 |
登录类型
| 登录类型 |
描述 |
说明 |
| 2 |
交互式登录 |
用户在计算机控制台进行登录,也就是在本地键盘上进行的登录 |
| 3 |
网络 |
最常见的是连接共享文件夹或者共享打印 |
| 4 | 批处理 |
某计划任务启动,“计划任务服务”将为这个任务创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行 |
| 5 | 服务 |
与计划任务类似,每种服务被配置在某个特定的用户账户下运行 |
| 7 |
解锁 |
屏保解锁,用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码 |
| 8 |
网络明文 |
登录的密码在网络上通过明文传输,如FTP |
| 9 |
新凭证 |
通常为RunAS方式运行某程序时的登录验证 |
| 10 |
远程交互 |
通过终端服务、远程桌面或远程协助访问计算机。XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2 |
| 11 |
缓存交互 |
以域用户登录而无法登录域控制器时使用缓存登录。 |
应用程序日志
应用程序日志指应用程序产生的日志,一般为微软开发的应用程序,第三方开发的基于系统的应用程序如果使用日志记录函数,则可以通过事件查看器查看其日志。
原文始发于微信公众号(Hacker学习笔记):应急响应(三)—Windows应急
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论