该博客主要介绍了Windows系统安全信息的排查方法,涵盖计划任务项、进程列表、服务列表、网络连接、系统启动项、软件安装信息、系统补丁、路由表和arp信息、RDP端口、防火墙、用户信息等方面,详细说明了各项排查的具体操作和获取信息的方式。
目录
计划任务项
Schtasks.Exe
1、查询所有计划任务项详细信息,并以列表形式展示
schtasks.exe /query /v /fo list |more
2、远程获取机器的计划任务详细信息
schtasks.exe /query /s IP /u username /p password
3、获取非系统的计划任务
Get-ScheduledTask | Where-Object {$_.TASKPATH -notLike "\Microsoft\Windows*"} | ForEach-Object {$_.TaskName} | %{schtasks /query /v /fo list /tn $_}进程列表
Tasklist
1、获取进程详细任务信息
tasklist /v |more
2、获取每个进程中主持的服务
tasklist /svc | more
3、获取当前使用所给exe/dll名称的所有任务, 如果没有指定模块名称,显示所有加载的模块
tasklist /m | more
Wmic Process
1、查询运行进程启动程序、父进程id
PS C:\Users\dayouzi> wmic process get caption,commandline,creationdate,parentprocessid,processid /value |more
2、获取进程名称以及可执行路径
PS C:\Users\dayouzi> wmic process get name,executablepath /value |more
3、查询指定进程信息
PS C:\Users\dayouzi> wmic process where processid=172 get caption,commandline,creationdate,parentprocessid,processid /value |more
服务列表查询
Wmic Service
1、获取系统中的服务列表及关联的进程id
PS C:\Users\dayouzi> wmic service get caption,Name,pathname,description,status,processid,systemname,systemcreationclassname /value|MoreGet-Service
1、列出所有服务
PS C:\Users\dayouzi> get-service |more
2、列出正在运行的服务
PS C:\Users\dayouzi> get-service |Where-Object {$_.status -eq "running"} | more
网络连接检查
netstat
1、获取所有监听的端口以及对应的进程
netstat -ano | findstr "LISTENING"
2、获取所有已建立的连接,以及对应pid
PS C:\Users\dayouzi> netstat -ano |findstr "ESTABLISHED"
3、获取创建每个连接或侦听端口时涉及的可执行文件(PS:需要足够的权限)
netstat -anob | more
系统启动项
Wmic Startup
1、获取系统启动项信息
wmic startup get /value
软件安装信息
注:通过WMI查询Win32_Product只能获得特定的程序列表,这些程序有一个共同的特征: 安装包由Windows Installer制作,安装过程中调用Windows Installer服务进行安装
Wmic Product
1、软件安装信息查看
wmic product get name,version | more
2、安装软件信息简要查看
wmic product list brief | more通过注册表获取安装软件信息
脚本参考:
通过查询快捷方式获取安装软件信息
wmic PATH Win32_ShortcutFile get name /FORMAT:table系统补丁排查
Wmic Qfe
1、获取系统补丁信息
PS C:\Users\dayouzi> wmic qfe get hotfixid,installedon,caption |more
Get-Hotfix
PS C:\Users\dayouzi> Get-HotFix
路由表和arp信息排查
Route
1、获取路由表信息
PS C:\Users\dayouzi> ROUTE.EXE print
Get-Router
1、获取本机所有路由表信息
PS C:\Users\dayouzi> Get-NetRouteArp
获取所有arp表详细信息
PS C:\Users\dayouzi> arp -avRDP端口及开放情况
查看是否允许远程登录
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
PS: 1代表关闭,0代表开启
查看RDP连接端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber防火墙信息
Netsh Firewall(已弃用,功能不全)
1、获取防火墙允许的程序配置
PS C:\Users\dayouzi> netsh firewall show allowedprogram2、其他指令:
show opmode // 显示防火墙端口配置
show portopening // 显示防火墙端口配置
show service // 显示防火墙服务配置
show state // 显示当前防火墙状态Netsh Advfirewall Firewall
1、显示所有入站规则
PS C:\Users\dayouzi> netsh advfirewall firewall show rule name=all dir=in |more2、显示名称为”autoconnecthethlper TCP” 的规则
PS C:\Users\dayouzi> netsh advfirewall firewall show rule name="AutoConnectHelper TCP" verbose用户信息及SID排查
Wmic Useracount
1、获取所有用户的sid信息
PS C:\Users\dayouzi> wmic useraccount get /value2、只获取用户名和sid
PS C:\Users\dayouzi> wmic useraccount get name,sid其他信息
Wmic Environment
1、获取系统环境变量摘要
PS C:\Users\dayouzi> wmic environment list briefWmic OS
1、已安装操作系统信息
PS C:\Users\dayouzi> wmic os get /valueWmic CPU
1、获取机器物理内存信息
PS C:\Users\dayouzi> wmic memorychip get /valueWmic Share
1、获取机器共享资源信息
PS C:\Users\dayouzi> wmic share list brief
扫一扫
911
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
