应急响应

Windows

入侵检测

系统账户相关

查看用户 net user
lusrmgr.exe 无法查看通过注册表方式增加的用户
注册表查看 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\
打开事件监听器查看登录日志 eventvwr.msc

进程、端口相关

netstat -ano
netstat -ano | findstr estab
netstat -rn 查看路由
msinfo32 查看系统信息
tasklist 显示进程
tasklist /f /pid 123 /t 杀死进程
tastlist /f /im explorer.exe /t 杀死进程
查看进程正在使用的文件 wmic process
tasklist /svc显示进程 pid 服务
netsh firewall show all 查看防火墙相关

启动项、计划任务、服务

C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 开机启动项路径
mscofig 系统配置的启动项
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 注册表启动项
gpedit.msc 查看启动脚本
services.msc 查看服务
systeminfo 查看系统信息
%userprofile%\recent 最近打开的文件
查看回收站，浏览器下载记录，历史记录查看修改时间在创建时间之前的文件

内存相关

NotMyFault64.exe /crash 生成的文件在%systemroot%\memory.dmp 内存转储

日志分析

日志记录

window %systemroot%\system32\winevt\logs\

快捷指令

系统相关

1. compmgmt.msc---计算机管理
【包括 计划任务、事件查看器、共享文件夹、本地用户和组、设备管理器、磁盘管理、服务、WMI】
2. devmgmt.msc----设备管理器 【包含于compmgmt】
3. lusrmgr.msc----本地用户和组【包含于compmgmt】4. perfmon.msc----计算机性能监测程序 【包含于compmgmt】
5. diskmgmt.msc---磁盘管理实用程序 【包含于compmgmt】
6. fsmgmt.msc-----共享文件夹管理器 【包含于compmgmt】
7. services.msc---本地服务设置    【包含于compmgmt】
8. eventvwr.msc---事件查看器     【包含于compmgmt】
9. wmimgmt.msc----打开windows管理体系结构(WMI) 【包含于compmgmt】
10. gpedit.msc----组策略
11. regedt32------注册表编辑器    【与 regedit 类似】
12. Msconfig.exe--系统配置实用程序 【包括引导、服务、启动项和工具】
13. rsop.msc------组策略结果集 
14. regedit.exe---注册表 
15. dcomcnfg------打开系统组件服务 【包括 组件服务、事件查看器、服务】
16. wscript-------windows脚本宿主设置 
17. certmgr.msc---证书管理实用程序 【排查电脑内恶意证书】
18. secpol.msc----本地安全策略 
19. services.msc--本地服务设置 
20. gpedit.msc----组策略
21. sigverif------文件签名验证程序 【可以快速筛选出来没有通过签名验证的程序】

程序启动相关

1. explorer-------打开资源管理器 
2. notepad--------打开记事本
3. charmap--------打开字符映射表 
4. calc-----------打开计算器 
5. taskmgr--------打开任务管理器
6. mstsc----------远程桌面连接 
7. write----------打开写字板 
8. mspaint--------打开画图板 
9. magnify--------放大镜实用程序 
10. mmc-----------打开控制台  
11. Sndvol32------打开音量控制程序 
12. eudcedit------打开造字程序 
13. cliconfg------SQL SERVER 客户端网络实用程序
14. osk-----------打开屏幕键盘 
15. odbcad32------ODBC数据源管理器 
16. iexpress------捆绑工具，系统自带【可以用来制作免杀马】

磁盘相关

1 2	1. cleanmgr-------打开磁盘清理工具 2. chkdsk.exe-----Chkdsk磁盘检查

检查相关

1. dxdiag---------检查DirectX信息
2. winver---------检查Windows版本
3. sfc /scannow---扫描错误并复原
4. sfc.exe--------系统文件检查器

常用命令

net相关

查看域中当前的主机列表：
net view /domain

查看当前域中的用户
net user /domain

增加一个本地用户
net user username password /add

将新增的用户加到本地管理员组
net localgroup "Administrators" username /add

查看域中的密码策略
net accounts /domain

查看本地组
net localgroup "Group"

查看域中的组信息
net group /domain

查看域中指定组的成员
net group "Domain group" /domain

查看当前机器所在的域名
net config workstation

查看当前服务器所在的域名
net config server

系统显示相关

显示系统信息
systeminfo

查看远程主机的系统信息
systeminfo /S ip /U domain\user /P Pwd

显示进程和服务信息
tasklist /svc

显示所有进程以及DLL信息
tasklist /m

显示进程和所有者
tasklist /v

查看远程主机的进程列表
tasklist /S ip /v

显示具体的服务信息（包括二进制路径和运行使用）
sc qc Spooler

网络信息

打印路由表
route print

保存当前主机上的所有WiFi信息
netsh wlan export profile folder=. key=clear

设置当前配置禁用防火墙
netsh advfirewall set currentprofile state off

设置端口转发
netsh interface portproxy add v4tov4 listenport=3000 listenaddress=l.l.l.l connectport=4000 connectaddress=2.2.2.2

启用远程访问
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

启用远程协助
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fAllowToGetHelp /t REG_DWORD /d 1 /f

修改远程访问端口
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 12345 /f

工具

Procexp -----查看进程的详细信息，比如 加载的 dll 文件、签名、内存使用等
autoruns ----查看计划任务、自启动、服务等信息
TCPView -----查看网络连接的情况
PSExec ------轻量级的 telnet 工具

Registry Workshop：好用的注册表工具
Event Log Explorer：查看系统日志