引言
对windows下常见的dos命令进行总结,以及windows操作系统基础知识进行一个总结归纳。
一、文件目录管理
-
列出目录结构
dir [path]:\[folderName]
dir /a:h /s //显示当前目录及其子目录下的隐藏文件
dir /a:s /s //显示当前目录及其子目录下的系统文件
dir /a:r /s //显示当前目录及其子目录下的只读文件
dir /a:a /s //显示当前目录及其子目录下的存档文件
tree //树状显示目录结构
-
文件和目录操作
//创建文件并向文件输出信息
echo "test text" > 1.txt //覆盖
echo "tesr text" >> 1.txt //追加
copy con 1.txt //创建1.txt文件,ctrl+Z结束编辑 多行输入
md test //创建test目录
del 1.txt //删除1.txt
rd test //删除test目录(空目录)
rd test /S /Q //删除test目录(非空目录)
ren [fileName1] [fileName2] //重命名
type 1.txt //查看1.txt文件内容
start 1.txt //调用默认程序打开
-
设置文件或目录属性
attrib +S +H [path]:\[fileName] // 添加系统文件和隐藏文件属性
attrib +S +H [path]:\[fileName] /S /D // 处理文件夹及子文件里匹配的文件(包含该文件夹)
attrib +h [文件夹名] //修改属性(隐藏)
fsutil file createnew 路径 大小 //快速生成空文件(吞内存)
assoc .txt=exefile //修改关联性txt变成exe文件
assoc .txt=txtfile //恢复
-
查找文件内容
FIND [/V] [/C] [/N] [/I] [/OFF[LINE]] "string" [[drive:][path]filename[ ...]]
/V //显示所有未包含指定字符串的行。
/C //仅显示包含字符串的行数。
/N //显示行号。
/I //搜索字符串时忽略大小写。
/OFF[LINE] //不要跳过具有脱机属性集的文件。
"string" //指定要搜索的文本字符串。
[drive:][path]filename //指定要搜索的文件
find "abc" D:\abc\abc.txt //查找含有abc的行,并输出该行
find /n "abc" D:\abc\abc.txt //查找含有abc的行,并输出该行和行号
二、网络配置
-
网卡和服务
ipconfig -all // 查看当前所有的 ip 地址信息
ipconfig /release // 清除当前获取到的 ip 地址
ipconfig /renew // 重新获取 ip 地址
ping -t -l 65500 [IP or domain] // 死亡之ping
ping [ip]
-
网络连接
netstat -ano // 列出所有端口的使用情况
netstat -o // 显示连接进程的情况,通常用于查找是否有木马程序
-
解析地址表
arp -a // 显示 ARP 列表
arp -d // 清除 ARP 列表,需要管理员权限
arp -s [ip] [macAddress] // 添加静态项
-
路由
tracert [IP or domain] // 跟踪路由
route print //打印路由表
route add [network] mask [mask] [next-hop] //新增路由
-
解析域名
nslookup www.baidu.com //查询指定域名的dns信息
-
net
net view // 查看当前局域网内的其他连接者
net start // 查看开启了哪些服务
net start [serviceName] // 开启某一个服务
net stop [serviceName] // 停止某一个服务
net time \目标ip //查看对方时间
net time \目标ip /set //设置本地计算机时间与"目标IP"主机的时间同步,加上参数/yes可取消确认信息
net view //查看本地局域网内开启了哪些共享
net view \ip //查看对方局域网内开启了哪些共享
net config //显示系统网络设置
net logoff //断开连接的共享
net pause 服务名 //暂停某服务
net send ip "文本信息" //向对方发信息
net ver //局域网内正在使用的网络连接类型和信息
net share //查看本地开启的共享
// 将共享的某一个服务器的C 盘映射成 K 盘,攻击者常用命令
net use k: \\[ipAddress]\c$
net use f: \\10.1.1.2\share 123.com /user:administrator将服务器share文件映射到本机
net use f: /del
net use * /del
net use f: \\10.1.1.2\c$ 密码 /user:用户 //将服务器c盘映射到本机f盘
net use f: \\10.1.1.2\ipc$ 密码 /user:用户 //将服务器c盘映射到本机f盘
// 以下命令建议需管理员权限
net share // 查看本地开启的共享
net share ipc$ // 开启 ipc$ 共享
net share ipc$ /del // 删除 ipc$ 共享
net share c$ /del // 删除 C 盘的共享
三、用户和群组
-
用户和组
net user lance 123.com /add //建立用户
net user lance$ 123.com /add //创建隐藏用户,net user查看不到lance用户
net user guest /active:yes //激活guest用户
net localgroup administrators lance /add //把"lance"添加到管理员组中使其具有管理员权限。
net localgroup administrators lance /del //删除
net password 密码 //更改系统登陆密码
net localgroup lance /add //创建lance组
net localgroup lance /del //删除组
net user lance /del //删除用户
四、进程
-
查看进程
tasklist
tskill [进程名|id]
工具:
Pchunter
ProcessExplorer
ProcessHacker
ProcessMonitor
火绒剑
-
常见进程
System.exe windows:系统进程,一个重要的进程
System Idle Process.exe:系统进程,它的作用是显示系统有多少闲置的cpu资源。
svchost Service Host Process:是一个标准的动态连接库主机处理服务。Svchost用来启动服务。Svchost.只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。 经常会被病毒利用进行dll注入的进程。
explorer.exe :用于控制Windows图形,包括开始菜单、任务栏,桌面和文件管理。
lsass.exe :系统进程这是一个本地安全权限服务管理进程详解:管理 IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统登录是依赖此进程验证身份)
services.exe: 系统进程 用与管理启动和停止Windows服务,该进程也管理计算机启动和关机时的运行的服务,所以很重要。
alg.exe:这是一个应用层网关服务用于网络共享,alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。
csrss.exe: 微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。注意:有些病毒也会创业该进程。
mdm.exe :微软Windows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错。
taskmgr.exe: 任务管理器进程。
rundll32.exe:用于在内存中运行DLL文件,它们会在应用程序中被使用,一般有多个。
smss.exe: 微软Windows操作系统的一部分。
winlogon :管理用户登录和退出的。
Wuauclt.exe:Windows自动升级管理程序。
spoolsv.exe :打印的进程
五、核心文件
C:\Windows:Windows操作系统中最核心的文件夹,大部分系统文件都在此文件夹下。
C:\Windows\Fonts:字体文件夹,有些病毒会存放在此文件夹下。
C:\Windows\System32:Windows文件夹中最重要的文件夹,一般用于存放Windows的系统文件和硬件驱动程序。。
C:\Windows\Temp:系统临时文件夹,有些病毒会存放在此文件夹下。
C:\Windows\system32\dirvers :Windows驱动文件夹,有些驱动病毒存放会在此文件夹下。
C:\Windows\System32\config:Windows配置文件,sam文件在该目录下,保存了系统的用户和密码信息。
六、日志审核
-
日志类型
应用程序(Application)
记录的是应用程序在系统中产生的事件信息。
安全(Security)
记录系统的安全信息,包括成功的登陆、退出,不成功的登陆,系统文件的创建、删除、更改。
系统(System)
记录windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误信息等。
-
事件查看器
WINDOWS审计日志通过审计策略进行配置,审计策略默认关闭。双击需要开启的审计项,开启审计策略。
七、登录日志
-
RDP登录分析
RDP是windows环境下的远程登录协议,用户可使用RDP协议,通过3389端口远程连接windows主机,在对windows系统的入侵手段中,RDP爆破也是常见的方法之一,RDP登录日志位于windows安全日志中,登录类型为10,该日志记录了此主机上的所有登录行为。默认不开启,需要手动启动。
事件ID为4672、4624
- 登录失败事件
比如RDP爆破登录
- 异常账号的登陆成功时间
如非管理员维护账号的登陆行为
- 异常IP的登录成功事件
如登陆IP为外国IP
- 异常时间的登录成功事件
如凌晨2点等非常规时间段远程登录主机
-
文件共享分析
常见的基于共享目录的攻击行为是IPC爆破,共享目录可作为传输恶意文件的途径之一,了解共享目录的访问情况可以帮助我们了解攻击者的攻击方法。
共享目录登录记录位于windows安全日志中,登录类型为3
-
FTP登录分析
FTP登录爆破通常作为攻击者获取敏感信息的途径之一,尤其是当用户对公网开放FTP服务器时,更应该仔细审核FTP登录日志,判断是否有恶意用户登录FTP服务器进行恶意操作。
-
WINDOWS账户管理日志
Windows帐户管理日志记录于Windows安全日志中。
创建账号事件ID:4720;账户权限分配:4732
八、恶意行为跟踪
Windows系统的所有日志审核策略全开,会造成大量的磁盘和CPU开销。
常用日志记录一般有Windows登录日志、Web日志、FTP日志。
这些日志的审计,只能帮助我们找出入侵者,无法知道攻击者入侵后做了什么,攻击链是怎样的。
-
Windows防火墙日志
默认未开启,需手动开启。
-
进程跟踪
跟踪审核策略记录了哪个用户,在什么时间、执行了什么程序,默认未开启。
-
对象访问
对象访问事件可以审计所有尝试访问文件和其它Windows对象的活动;
这里的Windows对象包括对文件夹、文件、服务、注册表和打印对象,不包括AD对象;
审计对象访问策略默认未启用。
对象访问策略在记录之前还需要为其指定审计的对象,可以针对文件或文件夹来设置审核对象。
九、日志分析工具
Log Parser(WINDOWS)