| 命令 | 说明 |
| regedit | 注册表 |
| taskmgr | 任务管理器 |
| msconfig | 系统配置 |
| eventvwr.msc | 事件查看器 |
| compmgmt.msc | 计算机管理 |
| gpedit.msc | 本地组策略 |
| taskschd.msc | 计划任务 |
| lusrmgr.msc | 本地用户和组 |
| %UserProfile%\Recent %APPDATA%\Microsoft\Windows\Recent | 最近打开的文件 |
| net user | 获取本机用户列表 |
| net localgroup administrators | 本机管理员 |
| net share | 查看当前用户下的共享目录 |
| net start | 查看当前运行的服务 |
| netstat -ano | 查看网络连接 |
| systeminfo | 操作系统的详细配置信息 |
| tasklist | 获取系统进程信息 |
| findstr /m /i /s "hello" *.txt | 查找文件中的字符串 |
| wmic process | 获取系统进程信息 |
| wmic process where name="cmd.exe" get processid,executablepath,name | 根据应用程序查找PID |
| wmic process where processid="9300" get executablepath,name | 根据PID查找应用程序 |
| certutil -hashfile 1.txt md5 | 计算样本的MD5 |
