Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

时间:2023-12-20 08:33:20

Windows应急响应的命令使用和安全检查分析

1、获取IP地址:

  ·ipconfig /all,获取Windows主机IP地址信息;

  ·ipconfig /release,释放网络IP位置;

  ·ipconfig /flushdns,更新网络IP位置;

  ·ipconfig /renew,更新网络IP等消息获取DNS服务器的IP地址等。

2、获取端口信息:

  ·neystat -an,获取主机所有端口的开放情况和网络连接情况;

  ·-o,显示与每个连接相关的所属进程ID;

  ·netstat -ano 获取TCP/UDP协议信息、端口和进程号;

  ·netstat -anvb,获取进程名,对应进程PID、端口所用协议、调用的可执行组件、相应的组件和第三方进程;

  ·-n 不执行IP和域名的解析过程;

  ·-p protocol,列出进程/组件所使用的的协议;

  ·netstat -n -p tcp | find ":3389" ,查询远程登录本机的所有IP

3、获取服务信息:

  ·Windows很多第三发程序通过服务运行。如果攻击者从服务信息中获得了第三方程序的名称,即可利用相关的漏洞进行提权,服务信息的获取,还可以用于关闭杀毒软件和防火墙以及关闭某些防护的进程;

  ·net start命令,可查看开启的所有服务;

  ·net stop service_name 停止服务;

  ·net start service_name 开启服务。

4、获取进程信息:

  ·通过 tasklist /svc命令获取运行的进程名称、服务和PID;

  ·通过msinfo32命令获取更多详细的进程信息;

    <1>.start /wait msinfo32.exe /report c:\windows\list.txt /categoriesswenv+SWEnvRunningTasks --> 打印报告名称为list.txt文件存放在c:\windows目录下。  

    <2>.获取环境变量的信息(Environment Variables、Software Environment):

      start /wait msinfo32.exe /report c:\windows\temp/Startup.txt /categoriesswenv+SWEnvEnvVars

    <3>.获取目标服务器所安装的软件信息,获取程序组信息:

      start /wait msinfo32.exe /report c:\windows\temp\programs.txt /categoriesswenv+SWEnvStartupPrograms

    <4>.获取启动程序相关信息:

      start /wait msinfo32.exe /report c:\windows\temp/Startup2.txt /categoriesswenv+SWEnvStartupPrograms

5、用户管理命令:

  ·windows操作系统,系统访问一般通过用户口令实现。大多漏洞利用和提权,获取system权限,再添加管理员账号到系统中,接着开启3389端口登录系统。

  ·用户管理:

    <1>.添加用户x为管理员,命令:

      net user x root /add & net localgroup Administrators x /add

    <2>.查看系统管理员用户组:

      net Localgroup Administrators

    <3>.加入远程桌面用户组:

      net localgroup “Remote Desktop Users” x /add

    <4>.查看用户信息:

      net user x

    <5>.激活用户:

      net user x /active:yes

    <6>.修改用户密码:

      net user x 1234

    <7>.管理和查看全部的用户状况:

      net usr

6.查看操作系统进情况:

   ·tasklist:显示本机的所有进程,显示包括:进程名(Image Name)、PID、会话名(Session Name)、会话#(Session Name)、内存使用(Mem Usage)情况;

     <1>.查看本地系统中某进程调用了某DLL某木偶快的具体信息:

      tasklist /m shell32.dll

     <2>.查看远程系统中某进程调用了某DLL模块文件的具体信息:

      tasklist /m rundll32.dll /s X /u administrator /p root

   ·taskkill:Windows自带的终止进程的程序

      ·taskkill /im  /f   强制终止X程序

      ·taskkill /pid 终止pid为x的程序

7.查看操作系统详细配置信息:

  ·systeminfo 显示本地计算机及其操作系统的详细配置信息,包括:操作系统配置、安全信息、产品ID和硬件属性,如RAM、磁盘空间、网卡和KB不定信息等。

  ·ver 查看内核版本信息

  ·whoami 、whoami /all 查看到当前用户的所有权限和角色的信息

  ·arp -a、arp /a 局域网内所有连接的主机

  ·query user 查询登录本机的所有用户

8.Windows管理工具包和组件的常用应急响应命令:

  ·compmgmt.msc 计算机管理

  ·gpedit.msc 组策略

  ·services.msc 管理和查看本地服务设置情况

  ·control 控制面板

  ·eventvwr 打开事件查看器(含日志)

  ·taskmgr 任务管理器

  ·secpol.msc 本地安全策略

  ·regedt32/regedit 注册表编辑器

  ·certmgr.msc 证书管理实用程序

  ·lusrmgr.msc 本地用户和用户组管理器

  ·taskschd.msc 计划任务管理器

  ·

相关文章