声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
前言
随着信息技术的迅猛发展,网络安全事件和计算机犯罪行为日益增多,计算机取证在网络安全和法律诉讼中变得尤为重要。计算机取证不仅需要专业的工具和设备,还需要详细的操作步骤和命令以确保获取到的证据的完整性和有效性。本文旨在提供一个全面的Windows取证指南,涵盖取证准备、数据获取、数据分析、取证报告以及常用工具和最佳实践。此外,本文还提供了200个常用的Windows取证命令,帮助取证人员在不同的环境中快速获取所需信息。
无论是专业的网络安全人员还是法律执法人员,本文都将是一个有价值的参考资源,帮助他们有效地进行取证操作,确保获取到的证据能够在法律诉讼中发挥关键作用。同时,本文也为初学者提供了详细的操作步骤和命令速查,帮助他们快速入门计算机取证领域。希望通过本文的分享,能够提升大家在取证操作中的效率和准确性,为网络安全和法律秩序的维护贡献一份力量。
取证大纲
一、取证准备
-
建立取证环境:
-
确保使用干净的设备和软件。
-
使用只读设备(如只读USB或光盘)进行数据获取。
-
准备好取证工具,如FTK Imager、EnCase等。
-
记录环境信息:
-
记录系统时间和日期。
-
记录正在运行的进程和网络连接情况。
-
拍摄系统状态截图。
二、数据获取
-
获取内存(RAM):
-
使用工具如Belkasoft Live RAM Capturer、Magnet RAM Capture等。
-
获取硬盘映像:
-
使用FTK Imager、dd命令等工具制作完整的硬盘映像。
-
确保映像的完整性,使用hash值(MD5、SHA-1)进行验证。
-
获取网络流量:
-
使用Wireshark等工具进行网络流量捕获。
三、数据分析
-
分析文件系统:
-
使用Autopsy、EnCase等工具分析文件系统,查找删除文件、隐藏文件和可疑文件。
-
分析注册表:
-
使用RegRipper、Registry Explorer等工具提取和分析注册表信息。
-
查找启动项、最近使用的文件、USB连接记录等信息。
-
分析日志文件:
-
分析Windows事件日志,查找登录事件、安全事件和系统错误等记录。
-
使用工具如Event Log Explorer进行日志文件分析。
-
分析网络活动:
-
使用Wireshark分析捕获的网络流量,查找可疑的网络连接和数据传输。
-
分析内存:
-
使用Volatility、Rekall等工具分析内存捕获文件,查找正在运行的进程、网络连接、加载的模块等信息。
四、取证报告
-
编写取证报告:
-
包含取证过程的详细描述。
-
提供所有发现的证据和分析结果。
-
包括截图、日志和其他相关文件的副本。
-
提供法律意见:
-
根据分析结果提供法律建议,说明可能的安全事件和建议的应对措施。
五、常用工具
-
磁盘取证工具:
-
FTK Imager
-
EnCase
-
Autopsy
-
内存取证工具:
-
Volatility
-
Rekall
-
网络取证工具:
-
Wireshark
-
Network Miner
-
注册表取证工具:
-
RegRipper
-
Registry Explorer
六、取证最佳实践
-
确保数据完整性:
-
始终使用hash值验证数据的完整性。
-
记录取证过程中所有操作的详细日志。
-
遵守法律规定:
-
确保所有取证操作符合当地法律和法规。
-
获取必要的法律授权和批准。
-
保护隐私:
-
在处理敏感信息时,确保遵守隐私保护原则。
-
仅在必要时获取和分析数据。
命令速查
系统信息
systeminfo //获取系统基本信息
hostname //获取计算机名称
ipconfig /all //获取网络配置
wmic bios get /format:list //获取BIOS信息
wmic baseboard get /format:list //获取主板信息
wmic os get /format:list //获取操作系统信息
wmic memorychip get /format:list //获取物理内存信息
wmic cpu get /format:list //获取CPU信息
wmic csproduct get name,identifyingnumber,uuid //获取计算机系统产品信息
wmic computersystem get model,manufacturer,name,systemtype //获取计算机系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" //获取操作系统名称和版本
systeminfo | findstr /C:"System Boot Time" //获取系统启动时间
systeminfo | findstr /C:"System Manufacturer" //获取系统制造商
wmic diskdrive get model,serialnumber,size //获取磁盘驱动器信息
wmic logicaldisk get name,size,freespace,filesystem //获取逻辑磁盘信息
wmic volume get driveletter,label,capacity //获取卷信息
wmic path win32_videocontroller get name //获取视频控制器信息
wmic nic get name,macaddress //获取网络适配器信息
wmic printer get name,default //获取打印机信息
wmic sounddev get description //获取声音设备信息
命令示例:
进程和服务
tasklist //列出正在运行的进程
tasklist /v //获取进程详细信息
taskkill /PID <ProcessID> //终止进程
tasklist /fi "imagename eq explorer.exe" /v //获取进程树
tasklist /FI "USERNAME eq <Username>" //列出指定用户的进程
sc query //列出系统服务及其状态
net start //列出正在运行的服务
net stop <ServiceName> //停止服务
sc start <ServiceName> //启动服务
sc stop <ServiceName> //停止服务
sc config <ServiceName> start= disabled //禁用服务
sc config <ServiceName> start= auto //启用服务
sc qc <ServiceName> //查询服务配置
wmic service list brief //获取简要服务信息
wmic process list brief //获取简要进程信息
wmic process where "name='explorer.exe'" get processid,parentprocessid //获取指定进程的父进程ID
tasklist /m //列出每个进程加载的模块
tasklist /svc //列出每个进程关联的服务
sc queryex type= driver //列出系统驱动程序及其状态
sc qc <DriverName> //查询驱动程序配置
命令示例:
网络连接
netstat -an //显示活动网络连接
route print //显示路由表
netstat -e //显示详细的网络统计信息
netstat -s //显示协议统计信息
netstat -i //显示每个接口的网络统计信息
netstat -p tcp //显示所有活动的TCP连接
netstat -p udp //显示所有活动的UDP连接
ipconfig /displaydns //显示当前DNS缓存
ipconfig /flushdns //刷新DNS缓存
ipconfig /release //发布IP地址
ipconfig /renew //更新IP地址
ipconfig /all //显示所有网络适配器的详细配置信息
net view //查看网络共享资源
net share //查看共享文件夹
net session //查看当前网络会话
nbtstat -a <IPAddress> //显示远程主机的NetBIOS表
tracert <IPAddress> //跟踪路由
ping <IPAddress> //Ping网络主机
arp -a //显示本地ARP缓存
getmac //显示网络适配器的MAC地址
netsh int ip reset //重置网络配置
命令示例:
用户和组
net user //列出本地用户
net user <Username> //显示用户详细信息
net localgroup //列出本地组
net localgroup administrators //列出系统管理员组成员
net user <Username> <Password> /add //创建新用户
net user <Username> /delete //删除用户
net localgroup <GroupName> <Username> /add //添加用户到组
net localgroup <GroupName> <Username> /delete //从组中删除用户
query user //列出当前登录的用户
whoami //获取当前登录的用户名
whoami /groups //显示组成员信息
whoami /user //显示用户SID
whoami /logonid //显示登录会话信息
wmic useraccount list full //列出用户账户信息
wmic group list brief //列出组信息
wmic useraccount where "name='Administrator'" get sid //获取指定用户的SID
net accounts //显示用户账户策略
net user <Username> /active:no //锁定用户账户
net user <Username> /active:yes //解锁用户账户
net user <Username> /times:M-F,08:00-17:00 //限制用户登录时间
net user <Username> /workstations:<ComputerName> //限制用户登录工作站
命令示例:
文件和目录
dir //显示当前目录
dir /s /p <Filename> //搜索文件
attrib <Filename> //显示文件属性
tree //显示目录树
copy <Source> <Destination> //复制文件
move <Source> <Destination> //移动文件
del <Filename> //删除文件
rd /s /q <Directory> //删除目录及其子目录
mkdir <Directory> //创建目录
icacls <Filename> //显示文件权限
icacls <Filename> /grant <Username>:(R,W) //授予文件权限
icacls <Filename> /remove <Username> //移除文件权限
icacls <Directory> /save AclFile /t //备份文件权限
icacls <Directory> /restore AclFile //恢复文件权限
takeown /f <Filename> //更改文件所有者
fsutil volume diskfree c: //显示磁盘使用情况
wmic logicaldisk get name,size,freespace,filesystem //获取逻辑磁盘信息
chkdsk /f /r //检查磁盘
vssadmin list shadows //显示卷影副本
vssadmin delete shadows /for=c: /all //删除卷影副本
命令示例:
日志和事件
wevtutil qe System /c:10 /f:text //查看事件日志
wevtutil epl System C:LogsSystemLog.evtx //导出事件日志
wevtutil qe Application /c:10 /f:text //查看应用程序日志
wevtutil qe Security /c:10 /f:text //查看安全日志
wevtutil epl Application C:LogsApplicationLog.evtx //导出应用程序日志
wevtutil epl Security C:LogsSecurityLog.evtx //导出安全日志
wevtutil gl System //显示事件日志配置
wevtutil el //列出所有日志
wevtutil cl System //清除事件日志
eventvwr.msc //打开事件查看器
Get-EventLog -LogName System -Newest 10 //获取系统事件日志的最新10条记录 (PowerShell)
Get-WinEvent -LogName System -MaxEvents 10 //获取系统事件日志的最新10条记录 (PowerShell)
Get-EventLog -LogName Security -Newest 10 //获取安全事件日志的最新10条记录 (PowerShell)
Get-WinEvent -LogName Security -MaxEvents 10 //获取安全事件日志的最新10条记录 (PowerShell)
Get-EventLog -LogName Application -Newest 10 //获取应用程序事件日志的最新10条记录 (PowerShell)
Get-WinEvent -LogName Application -MaxEvents 10 //获取应用程序事件日志的最新10条记录 (PowerShell)
wevtutil qe Microsoft-Windows-TaskScheduler/Operational /c:10 /f:text //查看任务计划程序日志
wevtutil epl Microsoft-Windows-TaskScheduler/Operational C:LogsTaskSchedulerLog.evtx //导出任务计划程序日志
命令示例:
注册表
reg export HKLMSoftwareMicrosoftWindowsCurrentVersionRun C:LogsRunKey.reg //导出注册表项
reg query HKLMSoftwareMicrosoftWindowsCurrentVersionRun //列出注册表项
reg add HKLMSoftwareMyKey /v MyValue /t REG_SZ /d "MyData" //创建注册表项
reg delete HKLMSoftwareMyKey /v MyValue /f //删除注册表项
reg query HKLMSoftwareMyKey /v MyValue //查询注册表项值
reg query HKLMSoftware //列出注册表子项
reg save HKLMSoftware C:LogsSoftware.hiv //备份整个注册表
reg restore HKLMSoftware C:LogsSoftware.hiv //还原注册表备份
reg query HKCU //列出当前用户的注册表配置单元
reg delete HKLMSoftwareMyKey /f //删除注册表项及其所有子项
reg query "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs" //列出最近使用的注册表项
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" /v DisableRegistryTools /t REG_DWORD /d 1 /f //禁用注册表编辑器
reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" /v DisableRegistryTools /t REG_DWORD /d 0 /f //启用注册表编辑器
reg copy HKLMSoftwareMyKey HKLMSoftwareBackupMyKey /s /f //复制注册表项
reg load HKLMTempHive C:LogsSoftware.hiv //加载注册表配置单元
reg unload HKLMTempHive //卸载注册表配置单元
reg query HKLMSYSTEMCurrentControlSetServices //列出所有服务的注册表项
reg query HKLMSYSTEMCurrentControlSetControlLsa //列出LSA (本地安全机构) 的注册表项
reg query HKLMSYSTEMCurrentControlSetControlTerminal Server //列出远程桌面服务的注册表项
命令示例:
系统任务
schtasks /query /fo LIST /v //列出计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc daily /st 12:00 //创建计划任务
schtasks /delete /tn "MyTask" /f //删除计划任务
schtasks /run /tn "MyTask" //运行计划任务
schtasks /end /tn "MyTask" //停止计划任务
schtasks /change /tn "MyTask" /tr "C:NewProgram.exe" //更改计划任务
schtasks /change /tn "MyTask" /disable //禁用计划任务
schtasks /change /tn "MyTask" /enable //启用计划任务
schtasks /query /fo TABLE /v /s SYSTEM /u <Username> /p <Password> //列出当前用户的计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc onlogon //在登录时运行计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc onstart //在启动时运行计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc hourly //每小时运行计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc minute /mo 5 //每5分钟运行计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc weekly /d MON //每周一运行计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc monthly /d 1 //每月1日运行计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc monthly /mo first /d SUN //每月第一个星期日运行计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc monthly /mo last /d FRI //每月最后一个星期五运行计划任务
schtasks /create /tn "MyTask" /tr "C:MyProgram.exe" /sc once /st 12:00 //一次性运行计划任务
命令示例:
系统信息和硬件
wmic bios get /format:list //获取BIOS信息
wmic baseboard get /format:list //获取主板信息
wmic os get /format:list //获取操作系统信息
wmic memorychip get /format:list //获取物理内存信息
wmic cpu get /format:list //获取CPU信息
wmic csproduct get name,identifyingnumber,uuid //获取计算机系统产品信息
wmic computersystem get model,manufacturer,name,systemtype //获取计算机系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" //获取操作系统名称和版本
systeminfo | findstr /C:"System Boot Time" //获取系统启动时间
systeminfo | findstr /C:"System Manufacturer" //获取系统制造商
wmic diskdrive get model,serialnumber,size //获取磁盘驱动器信息
wmic logicaldisk get name,size,freespace,filesystem //获取逻辑磁盘信息
wmic volume get driveletter,label,capacity //获取卷信息
wmic path win32_videocontroller get name //获取视频控制器信息
wmic nic get name,macaddress //获取网络适配器信息
wmic printer get name,default //获取打印机信息
wmic sounddev get description //获取声音设备信息
powercfg /query //显示电源设置
powercfg /list //显示电源方案
powercfg /setactive <Scheme_GUID> //更改电源方案
命令示例:
系统配置
bcdedit /enum //显示系统启动项
bcdedit /set {current} description "New Description" //编辑系统启动项
bcdboot c:windows /s c: //重建BCD
pnputil /enum-devices /connected //列出所有设备
pnputil /delete-driver oem.inf /uninstall /force //删除设备驱动程序
set //列出系统变量
setx <VariableName> <Value> /m //创建系统变量
reg delete "HKLMSYSTEMCurrentControlSetControlSession ManagerEnvironment" /v <VariableName> /f //删除系统变量
wmic product get name,version //列出已安装的程序
wmic product where name="<ProgramName>" call uninstall //卸载程序
wmic qfe list //列出系统更新
msinfo32 //显示系统信息摘要
bcdedit /set {bootmgr} timeout 30 //设置启动菜单超时时间
msconfig //打开系统配置实用程序
sfc /scannow //检查系统文件
dism /online /cleanup-image /restorehealth //修复系统映像
chkntfs c: //检查NTFS文件系统
fsutil fsinfo drives //列出所有磁盘驱动器
gpedit.msc //打开组策略编辑器
regedit //打开注册表编辑器
ms-settings: //打开Windows设置
命令示例:
安全和权限
icacls <Filename> //列出文件权限
icacls <Filename> /grant <Username>:(R,W) //授予文件权限
icacls <Filename> /remove <Username> //移除文件权限
icacls <Directory> /save AclFile /t //备份文件权限
icacls <Directory> /restore AclFile //恢复文件权限
takeown /f <Filename> //更改文件所有者
net share //查看共享文件夹
net share <ShareName>=<Path> /grant:<Username>,full //授予共享文件夹权限
net share <ShareName>=<Path> /revoke:<Username> //移除共享文件夹权限
whoami /owner //显示所有者信息
whoami /groups //显示组成员信息
whoami /logonid //显示登录会话信息
cacls <Filename> //显示文件权限
cacls <Filename> /e /p <Username>:r //授予文件读取权限
cacls <Filename> /e /p <Username>:w //授予文件写入权限
cacls <Filename> /e /p <Username>:c //授予文件修改权限
cacls <Filename> /e /p <Username>:f //授予文件完全控制权限
cacls <Filename> /e /r <Username> //移除文件权限
net session //查看当前网络会话
net localgroup administrators <Username> /add //将用户添加到管理员组
net localgroup administrators <Username> /delete //将用户从管理员组删除
命令示例:
组策略
gpupdate /force //更新组策略
gpresult /r //查看组策略结果
secedit /export /cfg C:GPOBackup.cfg //导出组策略
secedit /import /cfg C:GPOBackup.cfg /overwrite //导入组策略
gpresult /h C:GPOReport.html //显示本地组策略对象
gpupdate /sync //刷新组策略
gpresult /scope user /h C:UserGPOReport.html //显示组策略历史
gpresult /scope computer /v //显示计算机策略
gpresult /z //列出所有组策略对象
rd /s /q %windir%System32GroupPolicy //删除组策略缓存
gpupdate /target:user /force //更新用户组策略
gpupdate /target:computer /force //更新计算机组策略
gpresult /s <ComputerName> /u <Username> /p <Password> /v //查看远程计算机组策略
secedit /analyze /cfg C:WindowssecuritytemplatesSetup Security.inf /log C:Logssecanalyze.log /verbose //分析组策略
secedit /configure /cfg C:WindowssecuritytemplatesSetup Security.inf /db secconfig.sdb /verbose //应用组策略
gpupdate /boot //在下一次启动时应用组策略
gpupdate /logoff //在下一次注销时应用组策略
命令示例:
防火墙
netsh advfirewall show allprofiles //查看防火墙状态
netsh advfirewall set allprofiles state on //启用防火墙
netsh advfirewall set allprofiles state off //禁用防火墙
netsh advfirewall firewall add rule name="MyRule" dir=in action=allow protocol=TCP localport=12345 //添加防火墙规则
netsh advfirewall firewall delete rule name="MyRule" //删除防火墙规则
netsh advfirewall firewall show rule name="MyRule" //查看防火墙规则
netsh advfirewall firewall set rule name="MyRule" new enable=yes //启用防火墙规则
netsh advfirewall firewall set rule name="MyRule" new enable=no //禁用防火墙规则
netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=yes //启用文件和打印机共享防火墙规则
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes //启用远程桌面防火墙规则
netsh advfirewall reset //重置防火墙设置
netsh advfirewall show currentprofile //显示当前防火墙配置文件
netsh advfirewall set currentprofile state on //启用当前防火墙配置文件
netsh advfirewall set currentprofile state off //禁用当前防火墙配置文件
netsh advfirewall show allprofiles state //显示所有防火墙配置文件状态
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound //设置防火墙策略
netsh advfirewall firewall add rule name="Allow Ping" protocol=icmpv4:8,any dir=in action=allow //允许ICMP回显请求(Ping)
netsh advfirewall firewall show rule name="Allow Ping" //显示ICMP回显请求(Ping)规则
netsh advfirewall set privateprofile state on //启用私有配置文件防火墙
netsh advfirewall set publicprofile state on //启用公共配置文件防火墙
netsh advfirewall set domainprofile state on //启用域配置文件防火墙
命令示例:
系统状态
powercfg /query //显示电源设置
powercfg /list //显示电源方案
powercfg /setactive <Scheme_GUID> //更改电源方案
powercfg /hibernate query //显示系统休眠状态
powercfg /hibernate on //启用系统休眠
powercfg /hibernate off //禁用系统休眠
powercfg /change monitor-timeout-ac 10 //设置交流电源时显示器关闭超时
powercfg /change monitor-timeout-dc 10 //设置电池电源时显示器关闭超时
powercfg /change standby-timeout-ac 20 //设置交流电源时系统待机超时
powercfg /change standby-timeout-dc 20 //设置电池电源时系统待机超时
powercfg /change hibernate-timeout-ac 30 //设置交流电源时系统休眠超时
powercfg /change hibernate-timeout-dc 30 //设置电池电源时系统休眠超时
powercfg /query SCHEME_CURRENT SUB_SLEEP STANDBYIDLE //查询当前电源方案的待机超时
powercfg /query SCHEME_CURRENT SUB_SLEEP HIBERNATEIDLE //查询当前电源方案的休眠超时
powercfg /query SCHEME_CURRENT SUB_VIDEO VIDEOIDLE //查询当前电源方案的显示器关闭超时
powercfg /setacvalueindex SCHEME_CURRENT SUB_SLEEP STANDBYIDLE 1200 //设置交流电源时待机超时为20分钟
powercfg /setdcvalueindex SCHEME_CURRENT SUB_SLEEP STANDBYIDLE 600 //设置电池电源时待机超时为10分钟
powercfg /setacvalueindex SCHEME_CURRENT SUB_SLEEP HIBERNATEIDLE 1800 //设置交流电源时休眠超时为30分钟
powercfg /setdcvalueindex SCHEME_CURRENT SUB_SLEEP HIBERNATEIDLE 1200 //设置电池电源时休眠超时为20分钟
powercfg /setacvalueindex SCHEME_CURRENT SUB_VIDEO VIDEOIDLE 600 //设置交流电源时显示器关闭超时为10分钟
powercfg /setdcvalueindex SCHEME_CURRENT SUB_VIDEO VIDEOIDLE 300 //设置电池电源时显示器关闭超时为5分钟
命令示例:
系统修复
sfc /scannow //检查系统文件
chkdsk /f /r //检查磁盘
bootrec /fixmbr //修复主引导记录
bootrec /fixboot //修复启动扇区
bootrec /rebuildbcd //重建BCD
netsh winsock reset //重置Winsock目录
dism /online /cleanup-image /restorehealth //修复系统映像
sfc /verifyonly //仅验证系统文件
sfc /scanfile=<File> //扫描并修复指定文件
sfc /verifyfile=<File> //验证指定文件
bcdedit /export C:BCDBackup //备份BCD
bcdedit /import C:BCDBackup //恢复BCD
bcdedit /set {current} safeboot minimal //启用安全模式
bcdedit /deletevalue {current} safeboot //禁用安全模式
dism /online /cleanup-image /checkhealth //检查系统映像健康状态
dism /online /cleanup-image /scanhealth //扫描系统映像健康状态
dism /online /cleanup-image /startcomponentcleanup //清理组件存储
sfc /offbootdir=<Drive> /offwindir=<WindowsDir> /scannow //在离线模式下检查系统文件
diskpart //打开磁盘分区实用程序
chkdsk <Drive> /f /x //强制检查并修复磁盘
msconfig //打开系统配置实用程序
regedit //打开注册表编辑器
taskmgr //打开任务管理器
命令示例:
远程桌面
reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f //启用远程桌面
reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f //禁用远程桌面
qwinsta //查看远程桌面会话
rwinsta <SessionID> //断开远程桌面会话
mstsc //打开远程桌面连接
netstat -an | find "3389" //检查远程桌面端口是否开放
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow //添加远程桌面防火墙规则
netsh advfirewall firewall delete rule name="Remote Desktop" //删除远程桌面防火墙规则
query user /server:<ServerName> //查看远程服务器的用户会话
shadow <SessionID> //监控远程桌面会话
tscon <SessionID> /dest:<SessionID> //将会话连接到指定会话
tsdiscon <SessionID> //断开会话
tskill <SessionID> //终止会话
msg <SessionID> /server:<ServerName> <Message> //向指定会话发送消息
change logon /disable //禁用新的远程桌面会话
change logon /enable //启用新的远程桌面会话
change port /query //查看远程桌面端口配置
change port /delete <Port> //删除远程桌面端口配置
change port <NewPort> <OldPort> //更改远程桌面端口配置
命令示例:
文件共享
net share //查看共享文件夹
net share <ShareName>=<Path> /grant:<Username>,full //创建共享文件夹
net share <ShareName> /delete //删除共享文件夹
net share <ShareName>=<Path> /grant:<Username>,change //授予共享文件夹更改权限
net share <ShareName>=<Path> /grant:<Username>,read //授予共享文件夹读取权限
net share <ShareName>=<Path> /revoke:<Username> //移除共享文件夹权限
net use //查看当前连接的网络共享
net use <Drive>: <\ServerShare> //连接网络共享
net use <Drive>: /delete //断开网络共享
net view //查看网络共享资源
net view \<ComputerName> //查看指定计算机的网络共享资源
net session //查看当前网络会话
net file //查看打开的文件
net file <ID> /close //关闭打开的文件
net share /delete /y //删除所有共享文件夹
net share <ShareName> /users:<Number> //限制共享文件夹的用户数量
net share <ShareName> /unlimited //取消共享文件夹的用户数量限制
net share <ShareName> /remark:"<Comment>" //添加共享文件夹备注
net share <ShareName> /cache:automatic //设置共享文件夹缓存模式为自动
net share <ShareName> /cache:manual //设置共享文件夹缓存模式为手动
net share <ShareName> /cache:none //禁用共享文件夹缓存
命令示例:
以上是200个Windows取证命令,涵盖了系统信息、进程和服务、网络连接、用户和组、文件和目录、日志和事件、注册表、系统任务、系统信息和硬件、系统配置、安全和权限、组策略、防火墙、系统状态、系统修复、远程桌面、文件共享等方面。
原文始发于微信公众号(visionsec):【应急响应】Windows取证速查:一文搞定取证流程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论