Windows應急響應和系統加固(2)——Windows應急響應的命令使用和安全檢查分析

Windows應急響應的命令使用和安全檢查分析

1、獲取IP地址：

　　·ipconfig /all，獲取Windows主機IP地址信息；

　　·ipconfig /release，釋放網絡IP位置；

　　·ipconfig /flushdns，更新網絡IP位置；

　　·ipconfig /renew，更新網絡IP等消息獲取DNS服務器的IP地址等。

 

2、獲取端口信息：

　　·neystat -an，獲取主機所有端口的開放情況和網絡連接情況；

　　·-o，顯示與每個連接相關的所屬進程ID；

　　·netstat -ano 獲取TCP/UDP協議信息、端口和進程號；

　　·netstat -anvb，獲取進程名，對應進程PID、端口所用協議、調用的可執行組件、相應的組件和第三方進程；

　　·-n 不執行IP和域名的解析過程；

　　·-p protocol，列出進程/組件所使用的的協議；

　　·netstat -n -p tcp | find ":3389" ,查詢遠程登錄本機的所有IP

3、獲取服務信息：

　　·Windows很多第三發程序通過服務運行。如果攻擊者從服務信息中獲得了第三方程序的名稱，即可利用相關的漏洞進行提權，服務信息的獲取，還可以用於關閉殺毒軟件和防火牆以及關閉某些防護的進程；

　　·net start命令，可查看開啟的所有服務；

　　·net stop service_name 停止服務；

　　·net start service_name 開啟服務。

4、獲取進程信息：

　　·通過 tasklist /svc命令獲取運行的進程名稱、服務和PID；

　　·通過msinfo32命令獲取更多詳細的進程信息；

　　　　<1>.start /wait msinfo32.exe /report c:\windows\list.txt /categoriesswenv+SWEnvRunningTasks --> 打印報告名稱為list.txt文件存放在c:\windows目錄下。　　

　　　　<2>.獲取環境變量的信息(Environment Variables、Software Environment):

　　　　　　start /wait msinfo32.exe /report c:\windows\temp/Startup.txt /categoriesswenv+SWEnvEnvVars

　　　　<3>.獲取目標服務器所安裝的軟件信息，獲取程序組信息:

　　　　　　start /wait msinfo32.exe /report c:\windows\temp\programs.txt /categoriesswenv+SWEnvStartupPrograms

　　　　<4>.獲取啟動程序相關信息：

　　　　　　start /wait msinfo32.exe /report c:\windows\temp/Startup2.txt /categoriesswenv+SWEnvStartupPrograms

5、用戶管理命令：

　　·windows操作系統，系統訪問一般通過用戶口令實現。大多漏洞利用和提權，獲取system權限，再添加管理員賬號到系統中，接着開啟3389端口登錄系統。

　　·用戶管理：

　　　　<1>.添加用戶x為管理員，命令：

　　　　　　net user x root /add & net localgroup Administrators x /add

　　　　<2>.查看系統管理員用戶組：

　　　　　　net Localgroup Administrators

　　　　<3>.加入遠程桌面用戶組：

　　　　　　net localgroup “Remote Desktop Users” x /add

　　　　<4>.查看用戶信息：

　　　　　　net user x

　　　　<5>.激活用戶：

　　　　　　net user x /active:yes

　　　　<6>.修改用戶密碼：

　　　　　　net user x 1234

　　　　<7>.管理和查看全部的用戶狀況：

　　　　　　net usr

6.查看操作系統進情況：

　　　·tasklist：顯示本機的所有進程，顯示包括：進程名(Image Name)、PID、會話名(Session Name)、會話#(Session Name)、內存使用(Mem Usage)情況；

　　　　　<1>.查看本地系統中某進程調用了某DLL某木偶快的具體信息：

　　　　　　tasklist /m shell32.dll

　　　　　<2>.查看遠程系統中某進程調用了某DLL模塊文件的具體信息:

　　　　　　tasklist /m rundll32.dll /s X /u administrator /p root

　　　·taskkill：Windows自帶的終止進程的程序

　　　　　　·taskkill /im  X  /f　　 強制終止X程序

　　　　　　·taskkill /pid X  終止pid為x的程序

 7.查看操作系統詳細配置信息：

　　·systeminfo 顯示本地計算機及其操作系統的詳細配置信息，包括：操作系統配置、安全信息、產品ID和硬件屬性，如RAM、磁盤空間、網卡和KB不定信息等。

　　·ver 查看內核版本信息

　　·whoami 、whoami /all 查看到當前用戶的所有權限和角色的信息

　　·arp -a、arp /a 局域網內所有連接的主機

　　·query user 查詢登錄本機的所有用戶

8.Windows管理工具包和組件的常用應急響應命令：

　　·compmgmt.msc 計算機管理 

　　·gpedit.msc 組策略

　　·services.msc 管理和查看本地服務設置情況

　　·control 控制面板

　　·eventvwr 打開事件查看器（含日志）

　　·taskmgr 任務管理器

　　·secpol.msc 本地安全策略

　　·regedt32/regedit 注冊表編輯器

　　·certmgr.msc 證書管理實用程序

　　·lusrmgr.msc 本地用戶和用戶組管理器

　　·taskschd.msc 計划任務管理器

 

　　·