【推荐收藏】Windows 60+ 应急响应命令大全
我是数字安全极客,持续分享安全干货,点点关注不迷路!
欢迎安全爱好者,加好友交流 微信:SecCMD | Twiter | 知乎 | GitHub
亲测收集整理!在安全应急响应中常用的操作命令。能够帮助工程师快速响应进行应急操作处置,帮助企业公司减少安全损失。在安全应急响应过程中需要使用系统命令进行止损和溯源网络攻击源头,但是命令太多容易忘记,上网现查又慢又累,不能快速阻止攻击,可能导致个人和企业的严重损失。
Windows 开机启动
在操作系统中,分析查看开机启动信息。
典型场景:在应急响应过程中,排查可疑系统启动项,应即时禁用或者删除恶意系统启动项。
注意事项:需要联系系统管理员确认启动项是否合法,防止错误禁用和删除了正常的合法启动项。
1
2
3
4
5
6
7
8
9
10
|
Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List
Get-psdrive
cd HKLM:\
Set-location -path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion
Get-childitem -ErrorAction SilentlyContinue | Where-Object {$_.Name -like "*Run*"}
Set-location -path HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\
Get-childitem -ErrorAction SilentlyContinue | Where-Object {$_.Name -like "*Run*"}
|
1
2
3
4
5
6
7
8
|
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wmic startup get caption,command
|
Windows 防火墙
在操作系统中,新建/删除主机防火墙规则,禁用/启用主机防火墙服务。
典型场景:在应急响应过程中,排查发现非法网络连接,快速通过防火墙阻断该地址和端口的通信,防止被持续控制。
注意事项:慎重操作防火墙拦截规则,防止错误防火墙规则导致网络完全中断。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
New-NetFirewallRule -DisplayName HuoZhu100 -Direction Inbound -Action Block -RemoteAddress 10.10.10.0/24
New-NetFirewallRule -DisplayName HuoZhu100 -Direction Inbound -Action Block -Protocol TCP -LocalPort 8080
Get-NetFirewallRule -DisplayName HuoZhu100
Get-NetFirewallRule -DisplayName HuoZhu100 | Get-NetFirewallAddressFilter
Remove-NetFirewallRule -DisplayName HuoZhu100
Get-NetFirewallProfile | Select-Object Name,Enabled
Set-NetFirewallProfile -Enabled True
Set-NetFirewallProfile -Enabled False
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
netpowershell advfirewall firewall add rule name="HuoZhu100" dir=in action=block remoteip=10.10.10.0/24
netpowershell advfirewall firewall add rule name="HuoZhu100" dir=in action=block protocol=TCP localport=8080
netpowershell advfirewall firewall powershellow rule name="HuoZhu100"
netpowershell advfirewall firewall delete rule name="HuoZhu100"
netpowershell advfirewall powershellow currentprofile
netpowershell advfirewall set allprofiles state on
netpowershell advfirewall set allprofiles state off
|
Windows 系统日志
在操作系统中,分析查看系统运行日志信息。
典型场景:在应急响应过程中,通过分析多个维度系统日志,溯源入侵攻击行为。
注意事项:确认日志时间是否正常,确认日志是否被删除或伪造。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
Get-EventLog -List
Get-EventLog Security -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
Get-EventLog Security -After (Get-Date).AddHours(-2) | Where-Object {$_.InstanceID -like "4624"}
Get-EventLog Security -After (Get-Date).AddHours(-2) | Where-Object {$_.InstanceID -like "4624"} | Format-List
Get-EventLog System -After (Get-Date).AddHours(-2) | Where-Object {$_.Message -like "*Server*"}
Get-EventLog Application -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
|
1
2
| # GUI 日志查看器 :
eventvwr.msc
|
Windows 网络连接
在操作系统中,分析查看网络连接信息。
典型场景:在应急响应过程中,排查发现可疑网络连接,能够快速定位恶意进程。
注意事项:在大流量并发的服务器上,排查网络连接可能对性能会造成较严重影响。
1
2
3
4
5
6
7
|
Get-NetTCPConnection -LocalAddress 192.168.0.100 | Sort-Object LocalPort
Get-NetTCPConnection -LocalAddress 192.168.0.100 `
| Select local*,remote*,state,@{Name="Process";Expression={(Get-Process -Id $_.OwningProcess).ProcessName}} `
| Format-Table -AutoSize
|
Windows 进程管理
在操作系统中,关闭/查看系统进程,删除/新建系统服务。
典型场景:在应急响应过程中,排查发现可疑系统进程服务,应即时关闭恶意进程或者删除恶意服务,防止被持续控制。
注意事项:需要联系管理员确认进程服务是否为重要业务,防止错误关闭和删除了重要业务的进程服务。
1
2
3
4
5
|
Get-Process
Stop-Process -Force -ID <PID>
|
1
2
3
4
5
6
7
8
|
taskmgr.exe | tasklist.exe
taskkill.exe /f /pid <PID>
wmic process get name,parentprocessid,processid
|
Windows 服务管理
在操作系统中,关闭/查看系统进程,删除/新建系统服务。
典型场景:在应急响应过程中,排查发现可疑系统进程服务,应即时关闭恶意进程或者删除恶意服务,防止被持续控制。
注意事项:需要联系管理员确认进程服务是否为重要业务,防止错误关闭和删除了重要业务的进程服务。
1
2
3
4
5
6
7
8
|
Get-Service
Stop-Service -Name <SERVICE_NAME>
Start-Service -Name <SERVICE_NAME>
|
1
2
3
4
5
6
7
8
|
services.msc | sc query | tasklist /svc
net stop <SERVICE_NAME>
net start <SERVICE_NAME>
|
Windows 计划任务
在操作系统中,分析查看计划任务信息。
典型场景:在应急响应过程中,发现入侵者创建的异常计划任务,应即时禁用或者删除异常计划任务,防止被持续控制。
注意事项:需要联系系统管理员确认计划任务是否合法,防止错误禁用和删除了正常的计划任务。
1
2
3
4
5
6
7
8
9
10
11
|
Get-ScheduledTask | Format-Table -AutoSize
Get-ScheduledTask -TaskName Office* | Format-Table -AutoSize
Disable-ScheduledTask -taskname "Adobe Flash Player Updater"
Enable-ScheduledTask -taskname "Adobe Flash Player Updater"
|
1
2
3
4
5
6
7
8
|
taskschd.msc | schtasks.exe /Query
schtasks.exe /End /TN \Microsoft\Windows\NlaSvc\WiFiTask
schtasks.exe /Delete /F /TN \Microsoft\Windows\NlaSvc\WiFiTask
|
Windows 用户账号
在操作系统中,禁用/启用/删除/新建一个账号。
典型场景:在应急响应过程中,发现入侵者创建的异常账号,快速禁用或者删除该账号,防止被再次利用。
注意事项:需要联系系统管理员确认账号是否合法,防止错误禁用和删除了正常的合法账号。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
Get-LocalUser
Disable-LocalUser <USERNAME>
Enable-LocalUser <USERNAME>
Remove-LocalUser -Name <USERNAME>
New-LocalUser -Name <USERNAME> -NoPassword
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
net user
net user <USERNAME> /active:no
net user <USERNAME> /active:yes
net user <USERNAME> /del
net user <USERNAME> <PASSWORD> /add
net user <USERNAME> <PASSWORD>
|
Windows 应急工具
在应急响应过程中,使用功能强大的应急工具箱。
应急工具箱能够帮助我们,进行更深入全面的检测,发现可疑项。
Windows 命令探索
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| dsquery server
dsquery subnet
dsquery group
dsquery site
net time /domain
net view /domain
systeminfo>bzhack.txt&
(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type bzhack.txt|@find /i "%i"|| @echo %i you can exp)&
del /f /q /a bzhack.txt
type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@1.1.1.1 "cat >> .ssh/authorized_keys"
|