0
点赞
收藏
分享

微信扫一扫

应急响应-Windows

云朵里的佛光 2023-07-13 阅读 70
windows

目录

常用命令

敏感目录

日志分析

系统日志

安全日志


常用命令

命令说明
regedit        注册表
taskmgr       任务管理器
msconfig        系统配置
eventvwr.msc        事件查看器
compmgmt.msc计算机管理
gpedit.msc本地组策略
taskschd.msc计划任务
lusrmgr.msc本地用户和组

%UserProfile%\Recent

%APPDATA%\Microsoft\Windows\Recent

最近打开的文件
net user获取本机用户列表
net localgroup administrators本机管理员
net share查看当前用户下的共享目录
net start查看当前运行的服务
netstat -ano查看网络连接
systeminfo操作系统的详细配置信息
tasklist获取系统进程信息
findstr /m /i /s "hello" *.txt查找文件中的字符串
wmic process获取系统进程信息
wmic process where name="cmd.exe" get processid,executablepath,name根据应用程序查找PID
wmic process where processid="9300" get executablepath,name根据PID查找应用程序
certutil -hashfile 1.txt md5计算样本的MD5

敏感目录

%WINDIR%
%WINDIR%\system32\
%TEMP%
%LOCALAPPDATA%
%APPDATA%

日志分析

系统日志

事件ID说明
12系统启动
13系统关闭
6005系统日志服务已启动
6006系统日志服务已关闭

安全日志

事件ID说明
1102清理审计日志
4624账号登陆成功
4625账号登陆失败
4768Keyberos身份验证(TGT请求)
4769Keyberos服务票证请求
4776NTLM身份验证
4672授予特殊权限
4720创建用户
4726删除用户
4728将成员添加到启用安全的全局组中
4729将成员从安全的全局组中移除
4732将成员添加到启用安全的本地组中
4733将成员从安全的本地组中移除
4756将成员添加到启用安全的通用组中
4757将成员从启用安全的通用组中移除
4719系统审计策略修改
举报

相关推荐

0 条评论