windows应急响应基础（基础和常用命令）_win7 紧急命令(1)

最新推荐文章于 2024-08-08 19:30:02 发布

程序员老屋

最新推荐文章于 2024-08-08 19:30:02 发布

阅读量841

点赞数 6

分类专栏： 2024年程序员学习文章标签： windows

本文链接：https://blog.csdn.net/sheji1213/article/details/137730600

版权

2024年程序员学习专栏收录该内容

274 篇文章 1 订阅

订阅专栏

windows应急响应常用的命令和基础工具介绍，帮助安全服务工程师快速入门或者是对网络安全感信息的同学学习。仅做抛砖引玉。

系统信息

其中包括正在运行的服务，加载模块，服务和系统驱动等等。
命令：

msinfo32

在这里插入图片描述

用户信息

net user命令

命令：

net

在这里插入图片描述

例如net user查看所有用户

如果有$结尾的用户为影子用户常用户权限维持。大概率是攻击者留下的。
如admin$，test$ 等等

在这里插入图片描述

powershell 查询用户

wmic useraccount get name,SID

在这里插入图片描述

图形化查询

图形化的方法计算器管理-本地用户和组里面可以看到
在这里插入图片描述

注册表查询

还可以到注册表中查看用户，HKEY_LOCAL_MACHINE 下SAM选项下的SAM选项下Domains，Account下面有个Names注册表就可以查看当前所有的用户。
计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

admin$就是影子用户，隐藏用户。
在这里插入图片描述

自启动排查

查看自启动项目

系统配置命令中的启动

命令：

msconfig

在这里插入图片描述

注册表排查

什么是注册表

注册表就是计算机配置、用户配置和软件配置的一个数据库。
在这里插入图片描述

注册表的简单介绍

HKEY_CLASSES_ROOT（简称HKCR），windows中在资源管理器正确运行的程序。

HKEY_CURRENT_USER（HKCU），其中有个USER，包含当前登录用户的配置信息用户文件和用户配置等。

HKEY_LOCAL_MACHINE（HKLM）machine英语机器，这个注册表是有关运行操作系统的所有硬件信息和驱动信息和应用程序的通用配置等。

HKEY_USERS（HKU）系统上用户的所有配置文件信息应用程序配置信息等。

HKEY_CURRENT_CONFIG（HCU）存储有关系统当前配置信息。（Current当前config配置）。

计划任务排查

图形化计划任务查询

计算机管理以管理员权限运行，任务计划程序。
在这里插入图片描述

命令行查询计划任务

查看所有计划任务，（旧版系统使用at命令）
命令：

schtask

在这里插入图片描述

进程排查

任务管理器

右键选择命令行和进程名称，这样可以准确知道进程名称和进程文件位置。
在这里插入图片描述

火绒剑

在这里插入图片描述

命令行进程管理

命令：

tasklist

在这里插入图片描述
比如排查dll劫持问题。

网络排查

命令行排查网络

命令行排查网络连接状态
命令

netstat

在这里插入图片描述

netstat -ano

在这里插入图片描述

还可以使用管道符号进行筛选
例如筛选连接状态的网络，ESTABLISHED 是连接状态的意思。

netstat -ano | findstr "ESTAB"

在这里插入图片描述
等等，详细可以netstat /? 查询帮助文档。

服务排查

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

在这里插入图片描述

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

(https://img-blog.csdnimg.cn/img_convert/4a5f4281817dc4613353c120c9543810.png)

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-O55PC99l-1713030444693)]

程序员老屋

关注

6
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
windows应急响应基础（基础和常用命令）_win7 紧急命令(1)

注册表就是计算机配置、用户配置和软件配置的一个数据库。HKEY_CLASSES_ROOT（简称HKCR），windows中在资源管理器正确运行的程序。HKEY_CURRENT_USER（HKCU），其中有个USER，包含当前登录用户的配置信息用户文件和用户配置等。HKEY_LOCAL_MACHINE（HKLM）machine英语机器，这个注册表是有关运行操作系统的所有硬件信息和驱动信息和应用程序的通用配置等。HKEY_USERS（HKU）系统上用户的所有配置文件信息应用程序配置信息等。
复制链接

扫一扫