• 安全应急响应(三)


    Logprase

    下载地址:

    https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

    使用

    Security Log

    主要查看管理员登录时间段是否为正常时间
    木马运行时间是否和管理员登录时间对应

    1
    LogParser -i:EVT -o DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,8,'|') as LogonType, EXTRACT_TOKEN(Strings,17,'|') as ProcessName, EXTRACT_TOKEN(Strings,18,'|') as SourceIP FROM Security where EventID=4624 AND TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') and TIMESTAMP('2019-05-31','yyyy-MM-dd')"

    System Log

    主要查看服务名、服务路径

    1
    LogParser -i:EVT -o:DATAGRID "SELECT TimeWritten,EventID,EventType,EventTypeName,SourceName,EXTRACT_TOKEN(Strings,0,'|') as service_name,EXTRACT_TOKEN(Strings,1,'|') as service_path,Message from system WHERE TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') AND TIMESTAMP('2019-05-31','yyyy-MM-dd')"

    Application Log

    主要查看程序运行时间

    1
    LogParser -i:EVT -o:DATAGRID "SELECT * FROM Application WHERE TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') AND TIMESTAMP('2019-05-31','yyyy-MM-dd')"

    WMIC

    查看进程的命令行参数

    1
    2
    3
    4
    5
    6
    7
    wmic process get caption,commandline /value > tmp.txt
    wmic service list brief
    wmic process list brief
    wmic startup list brief
    //查看安装补丁和时间信息
    wmic qfe
    wmic qfe get Caption,Description,HotFixID,InstalledOn

    DOS命令

    dir

    1
    2
    3
    4
    5
    6
    7
    8
    DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N] [/O[[:]sortorder]] [/P] [/Q] [/R] [/S] [/T[[:]timefield]] [/W] [/X] [/4]
    /A 显示具有指定属性的文件
    属性:D目录 R只读文件 H隐藏文件 A准备存档的文件
    S系统文件 I无内容索引文件 L解析点 -表示“否”的前缀
    /S 显示指定目录及子目录中文件
    /W 用宽列表格式显示
    /P 显示满一屏暂停,按任意键后继续显示下一屏
    /Q 显示文件所有者

    copy和xcopy

    copy只能拷贝文件,不能拷贝文件夹
    xcopy能拷贝文件夹及文件

    1
    2
    3
    4
    5
    xcopy参数
    /S 复制目录和子目录,除了空目录
    /E 复制目录和子目录,包括空目录
    /C 忽略错误继续复制
    /H 复制隐藏和系统文件

    del、deltree、rd

    del 只能删除一个或者多个文件,不能删除文件夹

    deltree 是一个外部命令,可以删除文件及文件夹,以及其子文件夹

    rd 删除空文件夹,需要空文件夹的绝对路径

    1
    2
    3
    del 参数
    /s 递归删除文件夹及文件
    /q 不提示确认删除

    move

    移动一个或多个文件

    1
    2
    /Y 若目标文件夹下有同名文件,忽略提示,直接覆盖原文件
    /-Y 提示警告

    attrib

    更改文件属性

    1
    2
    3
    4
    5
    6
    7
    attrib 参数
    + 设置属性
    - 删除属性
    R 只读文件
    A 存档文件
    S 系统文件
    H 隐藏文件

    netstat

    查看网络连接、端口信息

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-t] [-v] [interval]
    -a 显示连接和监听端口
    -b 显示包含于创建每个连接或监听端口的可执行组件;需要权限
    -e 显示以太网统计信息
    -n 以数字形式显示地址和端口号
    -o 显示与每个连接相关的所属进程ID
    -p proto 显示指定协议的连接;可以是TCP、UDP、TCPv6、UDPv6
    -r 显示路由表
    -s 按协议显示统计信息
    -t 显示当前连接卸载状态
    -x 显示NetworkDirect连接、侦听器和共享终结点
    -y 显示所有连接TCP连接模板;无法与其他选项结合使用
    interval 重新显示选定的统计信息,各个显示间暂停的间隔秒数。按CTRL+C停止重新显示统计信息。

    Linux的netstat

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    usage: netstat [-vWeenNcCF] [<Af>] -r         netstat {-V|--version|-h|--help}
    netstat [-vWnNcaeol] [<Socket> ...]
    netstat { [-vWeenNac] -i | [-cnNe] -M | -s [-6tuw] }

    -r, --route display routing table
    -i, --interfaces display interface table
    -g, --groups display multicast group memberships
    -s, --statistics display networking statistics (like SNMP)
    -M, --masquerade display masqueraded connections

    -v, --verbose be verbose
    -W, --wide don't truncate IP addresses
    -n, --numeric don't resolve names
    --numeric-hosts don't resolve host names
    --numeric-ports don't resolve port names
    --numeric-users don't resolve user names
    -N, --symbolic resolve hardware names
    -e, --extend display other/more information
    -p, --programs display PID/Program name for sockets
    -o, --timers display timers
    -c, --continuous continuous listing

    -l, --listening display listening server sockets
    -a, --all display all sockets (default: connected)
    -F, --fib display Forwarding Information Base (default)
    -C, --cache display routing cache instead of FIB
    -Z, --context display SELinux security context for sockets

    <Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-S|--sctp} {-w|--raw}
    {-x|--unix} --ax25 --ipx --netrom
    <AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet
    List of possible address families (which support routing):
    inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25)
    netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP)
    x25 (CCITT X.25)

    用户操作

    1
    2
    3
    4
    5
    net user chessur password /add
    net localgroup administrators chessur /add
    net user chessur /active:yes
    net user chessur /actice:no
    net user chessur /del
  • 相关阅读:
    每周进度条(第九周)
    团队项目最后更改版
    项目需求分析与建议 NABCD模型
    课堂练习找水王
    问题账户需求分析
    2016年秋季个人阅读计划
    学习进度条
    用户体验
    程序员修炼之道——从小工到专家阅读笔记03
    程序员修炼之道——从小工到专家阅读笔记02
  • 原文地址:https://www.cnblogs.com/FyJianc/p/11698984.html
Copyright © 2020-2023  润新知