注册表类:
1.reg add 添加注册表键值
命令格式:
REG ADD KeyName [/v ValueName | /ve] [/t Type] [/s Separator] [/d Data] [/f]
常用参数:
KeyName [//Machine/]FullKey
远程机器的机器名 - 忽略默认到当前机器。
远程机器上只有 HKLM 和 HKU。
FullKey ROOTKEY/SubKey
ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
SubKey 所选 ROOTKEY 下注册表项的完整名
/v 所选项之下要添加的值名
/ve 为注册表项添加空白值名<无名称>
/t RegKey 数据类型
[ REG_SZ | REG_MULTI_SZ | REG_DWORD_BIG_ENDIAN |
REG_DWORD | REG_BINARY | REG_DWORD_LITTLE_ENDIAN |
REG_NONE | REG_EXPAND_SZ ]
如果忽略,则采用 REG_SZ
/s 指定一个在 REG_MULTI_SZ 数据字符串中
用作分隔符的字符
如果忽略,则将 "/0" 用作分隔符
/d 要分配给添加的注册表 ValueName 的数据
/f 不用提示就强行改写现有注册表项
2.reg delete 删除注册表键值
命令格式:
REG DELETE KeyName [/v ValueName | /ve | /va] [/f]
常用参数:
KeyName [//Machine/]FullKey
Machine 远程机器名 - 忽略当前机器的默认值
远程机器上只有 HKLM 和 HKU
FullKey ROOTKEY/SubKey
ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
SubKey 所选 ROOTKEY 下的注册表项的全名
ValueName 所选项下的要删除的值的名称
省略时,该项下的所有子项和值都会被删除
/ve 删除空白值名称
的值
/va 删除该项下的所有值
/f 不用提示就强行删除
3.reg query
命令格式:
REG QUERY KeyName [/v ValueName | /ve] [/s]
常用参数:
KeyName [/Machine/]FullKey
Machine 远程机器名 - 忽略当前机器的默认值
远程机器上只有 HKLM 和 HKU
FullKey 格式为 ROOTKEY/SubKey
ROOTKEY [ HKLM | HKCU | HKCR | HKU | HKCC ]
SubKey 所选 ROOTKEY 下的注册表项的全名
/v 查询特定注册表项
ValueName 所选项下的要查询的值的名称
省略时,该项下的所有值都会得到查询
/ve 查询默认值或空白值名称
/s 查询所有子项和值
服务类:
1.SC DELETE 删除服务
命令格式:
SC DELETE [servicename]
常用参数:
services 服务名称
2.SC CONFIG 设置服务
命令格式:
sc
...
常用参数:
server 服务器IP
service name 服务名称
OPTIONS:
type=
start=
error=
binPath=
group=
tag=
depend=
obj=
DisplayName=
password=
3.SC CREATE 创建服务
命令格式:
sc create [service name] [binPath= ]
...
常用参数:
service name 服务名称
binPath= 文件路径
OPTIONS:
type=
(default = own)
start=
(default = demand)
error=
(default = normal)
binPath=
group=
tag=
depend=
obj=
(default = LocalSystem)
DisplayName=
password=
4.net start 显示或启动服务
命令格式:
net start [servicename]
常用参数:
servicename 服务名称
5.net stop 终止服务
命令格式:
net stop [servicename]
常用参数:
servicename 服务名称
进程类:
命令格式:
TASKLIST [/S system [/U username [/P [password]]]]
[/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]
常用参数:
/S system 指定连接到的远程系统。
/U [domain/]user 指定应该在哪个用户上下文
执行这个命令。
/P [password] 为提供的用户上下文指定
密码。如果忽略,提示输入。
/M [module] 列出所有其中符合指定模式名
的 DLL 模块的所有任务。
如果没有指定模块名,则
显示每个任务加载的所有模块。
/SVC 显示每个进程中的服务。
/V 指定要显示详述
信息。
/FI filter 显示一系列符合筛选器指定的标准
的任务。
/FO format 指定输出格式。
有效值: "TABLE"、"LIST"、"CSV"。
/NH 指定栏标头不应该在
输出中显示。
只对 "TABLE" 和 "CSV" 格式有效。
/? 显示帮助/用法。
筛选器:
筛选器名 有效操作符 有效值
----------- --------------- --------------
STATUS eq, ne 正在运行 | 没有响应
IMAGENAME eq, ne 图像名
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 会话编号
SESSIONNAME eq, ne 会话名
CPUTIME eq, ne, gt, lt, ge, le CPU 时间,格式为
hh:mm:ss。
hh - 时,
mm - 分,ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le 内存使用量(KB)
USERNAME eq, ne 用户名,格式为 [domain/]user
SERVICES eq, ne 服务名
WINDOWTITLE eq, ne 窗口标题
MODULES eq, ne DLL 名
1.ntsd -c q -pn [processname] 根据进程名结束进程
2.ntsd -c q -pid [PID] 根据进程PID结束进程
3.taskkill /im [processname] 根据进程名结束进程
4.taskkill /pid [PID] 根据进程PID结束进程
关机类:
shutdown -a 取消预置关机操作
shutdown -s 关机
shutdown -r 重启
shutdown -f 强行关闭各应用程序
shutdown -l 注销当前用户
shutdown -h 使计算机处于睡眠状态
shutdown -t [时间值] <操作> 设置倒计时关机
VIIDLL相关命令:
regsvr32 [/u] [/s] [/n] [/i[cmdline]] dllname
常用参数:
u 解除服务器注册
s 不显示消息框
i 调用DllRegisterserver(和/u一起使用时,卸载dll)
n 不调用DllRegisterserver(必须和/i一起使用)
系统文件保护类:
命令格式:
SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]
常用参数:
/SCANNOW 立即扫描所有受保护的系统文件。
/SCANONCE 下次启动时扫描所有受保护的系统文件。
/SCANBOOT 每次启动时扫描所有受保护的系统文件。
/REVERT 将扫描返回到默认设置。
/PURGECACHE 清除文件缓存。
/CACHESIZE=x 设置文件缓存大小。
安全模板类:
1.secedit /analyze
命令格式:
secedit /analyze /db FileName [/cfg FileName] [/log FileName] [/quiet]
常用参数:
/db FileName
必需的。指定其中包含已存储配置的数据库的路径和文件名,将根据该配置执行分析。如果 FileName
指定新的数据库,那么还必须指定 /cfg FileName 命令行选项。
/cfg FileName
指定将被导入数据库进行分析的安全模板的路径和文件名。只有当使用了 /db 参数时此命令行选项才有
效。如果没有指定此参数,则根据已存储在数据库中的配置执行分析。
/log FileName
指定该过程日志文件的路径和文件名。如果不提供该参数,则使用默认日志文件。
/quiet
不使用屏幕和日志文件的输出。仍然可以使用“安全配置和分析”查看分析结果。
2.secedit /configure 通过应用已存储模板,配置系统安全性。
命令格式:
secedit /configure /db FileName [/cfg FileName ] [/overwrite][/areas area1 area2...] [/log
FileName] [/quiet]
常用参数:
/db FileName
必需的。提供数据库的文件名,该数据库包含应该使用的安全模板。
/cfg FileName
指定安全模板的文件名,此安全模板将导入到数据库并应用于系统。只有当使用了 /db 参数时此命令行
选项才有效。如果没有指定该参数,将应用已存储在数据库中的模板。
/overwrite
指定 /cfg 参数中的安全模板是否应该覆盖存储在数据库中的任何模板或复合模板,而不是将结果附加
到存储的模板中。只有当使用了 /cfg 参数时此命令行选项才有效。如果没有指定,就会将 /cfg 参数
中的模板附加到存储的模板中。
/areas area1 area2...
指定应用到系统中的安全区域。如果没有指定区域,则所有区域都应用到系统。每个区域应通过空格分
隔。 区域名称 说明
SECURITYPOLICY 系统的本地策略和域策略,包含帐户策略、审核策略等等。
GROUP_MGMT 在安全模板中指定的任何组的受限组设置
USER_RIGHTS 用户登录权限和特权
REGKEYS 本地注册表项上的安全性
FILESTORE 本地文件存储的安全性
SERVICES 所有定义的服务的安全性
/log FileName
指定过程日志文件的文件名。如果没有指定,将使用默认路径。
/quiet
不使用屏幕和日志文件的输出。
3.secedit /export 此命令从安全数据库中将存储的模板导出到安全模板文件中。
命令格式:
secedit /export [/mergedpolicy] [/DB FileName] [/CFG FileName] [/areas area1 area2...]
[/log FileName] [/quiet]
常用参数:
/mergedpolicy
合并并导出域和本地策略安全性。
/db FileName
指定包含将被导出的模板的数据库文件。如果没有提供数据库文件的名称,将使用系统策略数据库。
/db FileName
指定保存模板的文件名称。
/areas area1 area2...
指定将被导出到模板的安全区域。如果没有指定区域,则所有区域都将被导出。每个区域应通过空格分
隔。 区域名称 说明
SECURITYPOLICY 系统的本地策略和域策略,包含帐户策略、审核策略等等。
GROUP_MGMT 指定在安全模板中指定的任何组的受限组设置。
USER_RIGHTS 指定用户登录权限和特权
REGKEYS 指定本地注册表项的安全性
FILESTORE 指定本地文件存储的安全性
SERVICES 指定所有定义的服务的安全性
/log FileName
指定该过程日志文件的文件名。如果没有指定,将使用默认路径。
/quiet
不使用屏幕和日志文件的输出。
4.secedit /validate 验证要导入到分析数据库或系统应用程序的安全模板的语法。
命令格式:
secedit /validate FileName
常用参数:
FileName
指定使用安全模板创建的安全模板文件名。
X.RUNAS 以其他用户身份启动
命令格式:
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/user:
program
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/smartcard [/user:
] program
常用参数:
/noprofile 指定不应该加载用户的配置文件。
这会加速应用程序加载,但
可能会造成一些应用程序运行不正常。
/profile 指定应该加载用户的配置文件。
这是默认值。
/env 要使用当前环境,而不是用户的环境。
/netonly 只在指定的凭据限于远程访问的情况下才使用。
/savecred 用用户以前保存的凭据。
Windows XP Home Edition 上没有这个选项。
该选项会被忽略。
/smartcard 如果凭据是智能卡提供的,则使用这个选项。
/user
应使用 USER@DOMAIN 或 DOMAIN/USER 形式
program EXE. 的命令行。
注意: 只在得到提示时才输入用户的密码。
注意: USER@DOMAIN 跟 /netonly 不兼容。
注意: /profile 跟 /netonly 不兼容。
XI.CACLS 显示或者修改文件的访问控制表(ACL)
命令格式:
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
常见参数:
filename 显示 ACL。
/T 更改当前目录及其所有子目录中
指定文件的 ACL。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
/D user 拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
也可以在命令中指定多个用户。
缩写:
CI - 容器继承。
ACE 会由目录继承。
OI - 对象继承。
ACE 会由文件继承。
IO - 只继承。
ACE 不适用于当前文件/目录。
XII.计划任务类:
命令格式:
SCHTASKS /parameter [arguments]
常用参数:
/Create 创建新计划任务。
/Delete 删除计划任务。
/Query 显示所有计划任务。
/Change 更改计划任务属性。
/Run 立即运行计划任务。
/End 中止当前正在运行的计划任务。
/? 显示帮助/用法。
文件操作类:
1.attrib 显示或更改文件属性
命令格式:
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
常用参数:
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
[drive:][path][filename]
指定要处理的文件属性。
/S 处理当前文件夹及其子文件夹中的匹配文件。
/D 也处理文件夹。
2.del 删除一个或数个文件
命令格式:
DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names
ERASE [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names
常用参数:
names 指定一个或数个文件或目录列表。通配符可被用来
删除多个文件。如果指定了一个目录,目录中的所
有文件都会被删除。
/P 删除每一个文件之前提示确认。
/F 强制删除只读文件。
/S 从所有子目录删除指定文件。
/Q 安静模式。删除全局通配符时,不要求确认。
/A 根据属性选择要删除的文件。
attributes R 只读文件 S 系统文件
H 隐藏文件 A 存档文件
- 表示“否”的前缀
如果命令扩展名被启用,DEL 和 ERASE 会如下改变:
/S 开关的显示句法会颠倒,即只显示已经
删除的文件,而不显示找不到的文件。
3.REN 文件重命名
命令格式:
RENAME [drive:][path]filename1 filename2.
REN [drive:][path]filename1 filename2.
常用参数:
drive 盘符(硬盘逻辑分区)
path 文件路径
filename 文件名
4.copy 复制文件
命令格式:
COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B ] source [/A | /B]
[+ source [/A | /B] [+ ...]] [destination [/A | /B]]
常用参数:
source 指定要复制的文件。
/A 表示一个 ASCII 文本文件。
/B 表示一个二进位文件。
/D 允许解密要创建的目标文件
destination 为新文件指定目录和/或文件名。
/V 验证新文件写入是否正确。
/N 复制带有非 8dot3 名称的文件时,
尽可能使用短文件名。
/Y 不使用确认是否要改写现有目标文件
的提示。
/-Y 使用确认是否要改写现有目标文件
的提示。
/Z 用可重新启动模式复制已联网的文件。
命令行开关 /Y 可以在 COPYCMD 环境变量中预先设定。
这可能会被命令行上的 /-Y 替代。除非 COPY
命令是在一个批文件脚本中执行的,默认值应为
在改写时进行提示。
要附加文件,请为目标指定一个文件,为源指定
数个文件(用通配符或 file1+file2+file3 格式)。
5.replace 替换文件
命令格式:
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W] [/U]
常用参数:
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替换文件的
目录。
/A 把新文件加入目标目录。不能和
/S 或 /U 命令行开关搭配使用。
/P 替换文件或加入源文件之前会先提示您
进行确认。
/R 替换只读文件以及未受保护的
文件。
/S 替换目标目录中所有子目录的文件。
不能与 /A 命令选项
搭配使用。
/W 等您插入磁盘以后再运行。
/U 只会替换或更新比源文件日期早的文件。
不能与 /A 命令行开关搭配使用。
文件关联
1.ASSOC 显示或修改文件扩展名关联
命令格式:
ASSOC [.ext[=[fileType]]]
常用参数:
.ext 指定跟文件类型关联的文件扩展名
fileType 指定跟文件扩展名关联的文件类型
键入 ASSOC 而不带参数,显示当前文件关联。如果只用文件扩展
名调用 ASSOC,则显示那个文件扩展名的当前文件关联。如果不为
文件类型指定任何参数,命令会删除文件扩展名的关联。
2.FTYPE 显示或修改用在文件扩展名关联中的文件类型
命令格式:
FTYPE [fileType[=[openCommandString]]]
常用参数:
fileType 指定要检查或改变的文件类型
openCommandString 指定调用这类文件时要使用的开放式命令。
键入 FTYPE 而不带参数来显示当前有定义的开放式命令字符串的
文件类型。 FTYPE 仅用一个文件类型启用时,它显示那个文件类
型目前的开放式命令字符串。如果不为开放式命令字符串指定,
FTYPE 命令将删除那个文件类型的开放式命令字符串。在一个
开放式命令字符串之内,命令字符串 %0 或 %1 被通过关联调用
的文件名所代替。%* 得到所有的参数,%2 得到第一个参数,
%3 得到第二个,等等。%~n 得到其余所有以 nth 参数打头的
参数;n 可以是从 2 到 9 的数字。
1.net localgroup 显示或更改本地组成员列表
命令格式:
net localgroup [groupname] [username[/del||/add]]
常用参数:
groupname 本地组名称
username 本地帐户名
del 在组内删除本帐户
add 在组内添加本帐户
2.net user 显示或设置账户
命令格式:
net user [username [password | *] [options]] [/DOMAIN]
username {password | *} /ADD [options] [/DOMAIN]
username [/DELETE] [/DOMAIN]
3.net share 显示或更改默认共享设置
命令格式:
net share [sharename [/del]]
常用参数:
sharename 共享名
del 删除共享