Windows实时搜证

已于 2022-04-30 13:01:35 修改
阅读量2.4k 收藏
点赞数
分类专栏: 某IH证学习随笔 安全运营 文章标签: windows 安全
于 2022-04-30 12:59:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44518305/article/details/124508402
版权

这个lab主要讲了事件发生后,在Windows系统上进行实时搜证时可能用到的一些有用的指令。利用这些指令我们能查看:

  • 正在运行的进程
  • 正在监听的端口
  • 系统上存在的用户账号
  • 系统上存在的用户组及每个组包括的账号
  • 显示可用的网络分享
  • 确认与自动运行的程序有关的registry key
  • 其他奇奇怪怪的文件

要运行下列指令,要用admin身份来运行cmd,具体就是选择“Run as Administrator"

1. Netstat: 全称是network statistics,用来查看网络的使用,比如与其他电脑和设备的连接。MS的原文链接在这里

1) 首先可以直接输入netstat在cmd里,会显示此时所有与外部设备的TCP连接。注意这里的外部地址后显示的是协议

2)如果想把地址和端口以数字形式列出来的话,用netstat -n; 顺带一提,netstat -n <数字>就是延迟几秒分段显示结果

 3)netstat -a会列出所有的网络连接,不管是不是active的;同时还会列出该设备所有在监听的TCP和UDP端口

4)netstat -b 列出每个网络连接相关的可执行文件的信息,有时一个文件可以开启多个链接。

5) netstat -f用来显示每个连接的外部地址的FQDN(fully qualified domain name)。马赛克太麻烦就不截图了,总之就是把完整的域名列出来

6)netstat -o可以在netstat的结果上外加一列PID

7)netstat -p <protocol>可以根据协议显示结果,比如下图netstat -p tcp就显示了所有的tcp连接;其他例子比如udp, tcpv6, udpv6等等

8)netstat -q会列出所有的端口,不管什么状态

9)netstat -naob会列出每个监听端口有关的exe和dll文件

10)netstat -s列出所有可用的协议的网络数据,包括tcp, udp, icmp

最低0.47元/天 解锁文章
是Sheryl啊�
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wenjian.rar_wenjian_windows文件搜索_文件 搜索_文件搜索
09-20
5. **实时更新**:可能具有实时或近乎实时的索引更新功能,确保新添加或修改的文件能立即被搜索到。 6. **资源管理**:高效的文件搜索工具应尽量减少对系统资源的占用,尤其是在运行时。 7. **帮助文档**:...
简单看门狗
fsczp的博客
02-13 750
watch dog 设计原因:为了在系统异常的时候可以让系统重启复位 看门狗实际上是个定时器,系统正常的时候会定时给定时器复位,当系统异常的时候定时器没有复位,到点了就发送reset信号然后把整个系统给reset了。 为什么要关掉watch dog? 为什么要关看门狗? 一般CPU设计,在CPU启动后看门狗默认是工作的(为什么默认不关闭而要工作?我猜测是因为怕你的程序在启动代码前端就死机了或者跑...
为什么关闭watchdog.service后,会启动wd_keepalive.service
RIO 3.7%
02-29 1351
Debian Bug report logs - #768168 watchdog does not start at boot Yes, indeed that is what we need. Watchdog triggers a special device to tell the hardware watchdog that everything is well. When it is...
关闭看门狗
一棵小草的空间
08-25 8802
看门狗作用:在嵌入式领域,有些系统需要长期运行在无人看守的环境。在运行过程中,难免不出现系统死机的情况,这时就需要系统自身带有一种自动重启的功能。watchdog一般是一个硬件模块,其作用就是在系统死机时,帮助系统实现重新启动。
netstat命令简单的使用
问芙的博客
03-11 1538
本文简单总结一下使用netstat对端口号、进程名称、进程ID进行互查netstat命令,全称是network statistics,即网络统计若只知道,端口号、进程名称、进程ID其中之一,那如何进行互查?
Windows内网渗透之信息收集
la-大白
03-15 6128
0x01-1 检查当前shell权限 选择上线主机进入beacon beacon>shell whoami /user beacon>shell whoami /priv 0x01-2 查看系统信息 beacon>shell systeminfo 主机名: WIN-OAIIUF3I1NK OS 名称: Microsoft Windows 7 企业版 OS 版本: 6.1.7601 Se...
windows搜索工具everything
11-03
在使用Everything时,您只需在搜索框中输入关键字,它就会实时显示出与之匹配的文件和文件夹。搜索结果按名称排序,使得查找目标文件变得异常简单。此外,Everything还支持多种搜索语法,如通配符、正则表达式等,...
Windows 蓝牙BLE调试工具
最新发布
03-08
Windows蓝牙BLE调试工具是一款专为开发者和爱好者设计的实用软件,它允许用户在Windows操作系统上进行蓝牙低功耗(Bluetooth Low Energy,简称BLE)设备的调试工作。BLE技术广泛应用于各种物联网设备,如智能手表、...
windows下的lftp安装
06-05
- `GPL.txt`: 这个文件可能是GNU通用公共许可证(General Public License)的副本,说明LFTP遵循的开源许可条款。 - `nwgat.ninja.url`: 可能是一个链接文件,指向网络资源,比如LFTP的文档或更新信息。 - `etc`...
一个问题阻止WINDOWS正确检查此机器的许可证的解决办法
10-21
解决 Windows 许可证检查问题的多种方法 在 Windows 操作系统中,许可证检查问题是非常常见的,特别是在安装补丁或更新系统后。今天,我们将讨论多种解决 Windows 许可证检查问题的方法。 方法一:使用 OEMBIOS....
Linux自学之旅-基础命令(netstat网络状态查看命令)
水奈濑结花的博客哦!
03-20 637
Linux自学之旅-基础命令(netstat网络状态查看命令) 文章目录前言一、netstat命令格式二、netstat使用1.查看本机开启的端口2.查看本机有哪些程序开启的端口3.查看所有连接总结 前言 1.上一节我们讲述了网路探测命令ping,还没看过的可点击下方链接进入查看:ping 2.这一节我们讲述网络状态查看命令netstat 提示:以下是本篇文章正文内容 一、netstat命令格式 命令名称:netstat 命令全称:Print network connections,routing
Wireshark 深信服 虚拟网卡抓包
emergencysun的博客
03-14 1274
重启Wireshark或者Wireshark界面选择 捕获-刷新接口列表(F5) 即可看到网卡。3.1 管理员运行CMD,不能使用PowerShell,命令在PowerShell会无法显示输出。查看网卡配置,发现VPN虚拟网卡的连接配置没有勾选NPCAP选项。Wireshark可以正常显示网卡列表,但缺失深信服的虚拟网卡。3.2 执行 sc query npcap 查询npcap状态。3.4 执行 sc start npcap 启动npcap。3.3 执行 sc stop npcap 暂停npcap
netstat详解
Cecilia3333的博客
05-13 1886
netstat是控制台命令,是一个监控TCP/IP网络的非常有用的工具。它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。netstat可以用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接状况。netstat相关命令:1.netstat  -a:显示所有网络连接和侦听端口。2.netstat  -l:显示监控中的服务器的socket。3....
什么是Watchdog?最全解释!直接贴代码!
热门推荐
HGJ515的博客
08-18 2万+
一.什么是WatchdogWatchdog,又称watchdog timer,是计算机可靠性(dependability)领域中一个极为简单同时非常有效的检测(detection)工具。其基本思想是针对被监视的目标设置一个计数器和一个阈值,watchdog会自己增加计数值,并等待被监视的目标周期性地重置计数值。一旦目标发生错误,没来得及重置计数值,watchdog会检测到计数值溢出,并采取恢复措施(通常情况下是重启)。总结一下就是计数——溢出——触发。 Watchdog的工作方式是事件触发的,它可以
卸载抓包工具npcap导致无法联网
biubiuibiu的菜园子
03-03 4979
如何重装windows系统的ip相关协议栈;抓包软件导致的无法联网问题处理。
虚拟机检测技术
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
05-05 2976
第一次尝试恶意代码分析就遇到了虚拟机检测,于是就想着先学习一下检测的技术然后再尝试绕过。学习后最终发现,似乎最好的方法不应该是去patch所有检测方法,而是直接调试并定位检测函数再绕过。但既然已经研究了两天,索性将收集到的资料整理一下,方便后人查找。
解决Wireshark安装Npcap组件失败
洪源兄
04-04 1万+
安装WireShark 时;安装Npcap组件失败。导致WireShark 无法查看网卡。WireShark 版本:Version 3.6.3Windows 版本:Win10.0.0.18363版本18363基本排除了因为软件版本的问题;以及杀毒软件;我关闭了还是安装错误1、去Npcap官网下载界面点击最后的 WinPcap 链接2、安装最新版的 WinPcap先点击 Download 按钮 - 再点击 installer for Windows
《透视 HTTP 协议》Windows 10 搭建最小实验环境
qq_42108074的博客
01-21 431
搭建《透视 HTTP 协议》最小实验环境
python watchdog asyncio_Python异步,Pythonasyncio
weixin_35893552的博客
02-19 205
asyncio正如官方文档所说, asyncio-Asynchronous I/O, event loop, coroutines and tasks. This module provides infrastructure for writing single-threaded concurrent code using coroutines, multiplexing I/O.是一个异步高并...
windows自签证书
09-07
你可以使用Windows操作系统来自签证书。以下是一些简单的步骤: 1. 打开“开始”菜单并搜索“管理电脑证书”。 2. 在证书管理控制台中,展开“个人”文件夹,并选择“证书”子文件夹。 3. 在右侧窗格的空白区域上右键单击,选择“所有任务” > “请求新证书”。 4. 在证书请求向导中,选择“创建自签名的证书请求”并按照指示填写请求信息。 5. 完成向导后,您将获得一个证书请求文件(通常是一个带有.CSR扩展名的文件)。 6. 使用这个请求文件生成自签名证书。您可以使用自签名工具或第三方工具来执行此操作。 请注意,自签名证书在自己的环境中使用是可以的,但在公共环境中使用时可能会被浏览器或操作系统标记为不受信任的证书。如果您需要在公共环境中使用证书,请考虑购买由受信任的第三方机构颁发的证书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值