安全应急响应（三）

Logprase

下载地址：

https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

 

使用

Security Log

主要查看管理员登录时间段是否为正常时间
木马运行时间是否和管理员登录时间对应

1

LogParser -i:EVT -o DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,8,'|') as LogonType, EXTRACT_TOKEN(Strings,17,'|') as ProcessName, EXTRACT_TOKEN(Strings,18,'|') as SourceIP FROM Security where EventID=4624 AND TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') and TIMESTAMP('2019-05-31','yyyy-MM-dd')"

System Log

主要查看服务名、服务路径

1

LogParser -i:EVT -o:DATAGRID "SELECT TimeWritten,EventID,EventType,EventTypeName,SourceName,EXTRACT_TOKEN(Strings,0,'|') as service_name,EXTRACT_TOKEN(Strings,1,'|') as service_path,Message from system WHERE TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') AND TIMESTAMP('2019-05-31','yyyy-MM-dd')"

Application Log

主要查看程序运行时间

1	LogParser -i:EVT -o:DATAGRID "SELECT * FROM Application WHERE TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') AND TIMESTAMP('2019-05-31','yyyy-MM-dd')"

WMIC

查看进程的命令行参数

1 2 3 4 5 6 7

wmic process get caption,commandline /value > tmp.txt wmic service list brief wmic process list brief wmic startup list brief //查看安装补丁和时间信息 wmic qfe wmic qfe get Caption,Description,HotFixID,InstalledOn

DOS命令

dir

1 2 3 4 5 6 7 8

DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N] [/O[[:]sortorder]] [/P] [/Q] [/R] [/S] [/T[[:]timefield]] [/W] [/X] [/4] /A 显示具有指定属性的文件 属性：D目录 R只读文件 H隐藏文件 A准备存档的文件 S系统文件 I无内容索引文件 L解析点 -表示“否”的前缀 /S 显示指定目录及子目录中文件 /W 用宽列表格式显示 /P 显示满一屏暂停，按任意键后继续显示下一屏 /Q 显示文件所有者

copy和xcopy

copy只能拷贝文件，不能拷贝文件夹
xcopy能拷贝文件夹及文件

1 2 3 4 5

xcopy参数 /S 复制目录和子目录，除了空目录 /E 复制目录和子目录，包括空目录 /C 忽略错误继续复制 /H 复制隐藏和系统文件

del、deltree、rd

del 只能删除一个或者多个文件，不能删除文件夹

deltree 是一个外部命令，可以删除文件及文件夹，以及其子文件夹

rd 删除空文件夹，需要空文件夹的绝对路径

1 2 3

del 参数 /s 递归删除文件夹及文件 /q 不提示确认删除

move

移动一个或多个文件

1 2	/Y 若目标文件夹下有同名文件，忽略提示，直接覆盖原文件 /-Y 提示警告

attrib

更改文件属性

1 2 3 4 5 6 7

attrib 参数 + 设置属性 - 删除属性 R 只读文件 A 存档文件 S 系统文件 H 隐藏文件

netstat

查看网络连接、端口信息

1 2 3 4 5 6 7 8 9 10 11 12 13

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-t] [-v] [interval] -a 显示连接和监听端口 -b 显示包含于创建每个连接或监听端口的可执行组件;需要权限 -e 显示以太网统计信息 -n 以数字形式显示地址和端口号 -o 显示与每个连接相关的所属进程ID -p proto 显示指定协议的连接;可以是TCP、UDP、TCPv6、UDPv6 -r 显示路由表 -s 按协议显示统计信息 -t 显示当前连接卸载状态 -x 显示NetworkDirect连接、侦听器和共享终结点 -y 显示所有连接TCP连接模板;无法与其他选项结合使用 interval 重新显示选定的统计信息，各个显示间暂停的间隔秒数。按CTRL+C停止重新显示统计信息。

Linux的netstat

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

usage: netstat [-vWeenNcCF] [<Af>] -r netstat {-V|--version|-h|--help} netstat [-vWnNcaeol] [<Socket> ...] netstat { [-vWeenNac] -i | [-cnNe] -M | -s [-6tuw] } -r, --route display routing table -i, --interfaces display interface table -g, --groups display multicast group memberships -s, --statistics display networking statistics (like SNMP) -M, --masquerade display masqueraded connections -v, --verbose be verbose -W, --wide don't truncate IP addresses -n, --numeric don't resolve names --numeric-hosts don't resolve host names --numeric-ports don't resolve port names --numeric-users don't resolve user names -N, --symbolic resolve hardware names -e, --extend display other/more information -p, --programs display PID/Program name for sockets -o, --timers display timers -c, --continuous continuous listing -l, --listening display listening server sockets -a, --all display all sockets (default: connected) -F, --fib display Forwarding Information Base (default) -C, --cache display routing cache instead of FIB -Z, --context display SELinux security context for sockets <Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-S|--sctp} {-w|--raw} {-x|--unix} --ax25 --ipx --netrom <AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet List of possible address families (which support routing): inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25) netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP) x25 (CCITT X.25)

用户操作

1 2 3 4 5

net user chessur password /add net localgroup administrators chessur /add net user chessur /active:yes net user chessur /actice:no net user chessur /del