前言
作者简介:不知名白帽,网络安全学习者。
博客主页:不知名白帽的博客_CSDN博客-网络安全,CTF,内网渗透领域博主
网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan
目录
常用命令
敏感目录
日志分析
系统日志
安全日志
常用命令
| 命令 | 说明 |
| regedit | 注册表 |
| taskmgr | 任务管理器 |
| msconfig | 系统配置 |
| eventvwr.msc | 事件查看器 |
| compmgmt.msc | 计算机管理 |
| gpedit.msc | 本地组策略 |
| taskschd.msc | 计划任务 |
| lusrmgr.msc | 本地用户和组 |
| %UserProfile%\Recent文章来源:https://www.toymoban.com/news/detail-529998.html %APPDATA%\Microsoft\Windows\Recent文章来源地址https://www.toymoban.com/news/detail-529998.html |
最近打开的文件 |
| net user | 获取本机用户列表 |
| net localgroup administrators | 本机管理员 |
| net share | 查看当前用户下的共享目录 |
| net start | 查看当前运行的服务 |
| netstat -ano | 查看网络连接 |
| systeminfo | 操作系统的详细配置信息 |
| tasklist | 获取系统进程信息 |
| findstr /m /i /s "hello" *.txt | 查找文件中的字符串 |
| wmic process | 获取系统进程信息 |
| wmic process where name="cmd.exe" get processid,executablepath,name | 根据应用程序查找PID |
| wmic process where processid="9300" get executablepath,name | 根据PID查找应用程序 |
| certutil -hashfile 1.txt md5 | 计算样本的MD5 |
敏感目录
| %WINDIR% |
| %WINDIR%\system32\ |
| %TEMP% |
| %LOCALAPPDATA% |
| %APPDATA% |
日志分析
系统日志
| 事件ID | 说明 |
| 12 | 系统启动 |
| 13 | 系统关闭 |
| 6005 | 系统日志服务已启动 |
| 6006 | 系统日志服务已关闭 |
安全日志
| 事件ID | 说明 |
| 1102 | 清理审计日志 |
| 4624 | 账号登陆成功 |
| 4625 | 账号登陆失败 |
| 4768 | Keyberos身份验证(TGT请求) |
| 4769 | Keyberos服务票证请求 |
| 4776 | NTLM身份验证 |
| 4672 | 授予特殊权限 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 将成员添加到启用安全的全局组中 |
| 4729 | 将成员从安全的全局组中移除 |
| 4732 | 将成员添加到启用安全的本地组中 |
| 4733 | 将成员从安全的本地组中移除 |
| 4756 | 将成员添加到启用安全的通用组中 |
| 4757 | 将成员从启用安全的通用组中移除 |
| 4719 | 系统审计策略修改 |
到了这里,关于应急响应-Windows的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
