检测系统账号
查询当前登录系统的会话
query user
把用户踢出会话
logoff ID
打开 lusrmgr.msc,查看是否有新增 / 可疑的账号
查看网络连接
查看本机所有的 tcp,udp 端口连接及其对应的 pid
netstat -ano
打印路由表
route print
查看网络代理配置情况
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
检查进程
列出所有进程
tasklist
强制停止某进程
taskkill /T /F /PID
检查启动项
查看系统开机时间
net statistics workstation
查看系统计划任务
schtasks /query /fo LIST /v
查看程序启动信息
wmic startup get command,caption
查看主机服务信息
wmic service list brief
网络配置信息,包括 IP 地址、子网掩码、默认网关等
ipconfig
系统信息,包括操作系统版本、安装日期、硬件信息等
systeminfo
打开注册表编辑器,用于查找和修改系统注册表
regedit
用于查看和配置网络设置、用户帐户和共享资源。
net
用于查看和配置 Windows 服务
sc
扫描和修复系统文件
sfc /scannow
检测和修复硬盘错误
chkdsk
打开系统配置实用程序,用于配置启动项和服务
msconfig
系统日志审计
运行框输入 eventvwr.msc,打开事件查看器
系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由 Windows NT/2000 操作系统预先定义。默认位置:% SystemRoot% System32WinevtLogsSystem.evtx
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件 例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:% SystemRoot% System32WinevtLogsApplication.evtx
安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志 或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。默认位置:% SystemRoot% System32WinevtLogsSecurity.evtx