檢測系統帳號
查詢當前登錄系統的會話
query user
把用戶踢出會話
logoff ID
打開 lusrmgr.msc,查看是否有新增 / 可疑的帳號
查看網絡連接
查看本機所有的 tcp,udp 端口連接及其對應的 pid
netstat -ano
打印路由表
route print
查看網絡代理配置情況
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
檢查進程
列出所有進程
tasklist
強制停止某進程
taskkill /T /F /PID
檢查啟動項
查看系統開機時間
net statistics workstation
查看系統計劃任務
schtasks /query /fo LIST /v
查看程序啟動信息
wmic startup get command,caption
查看主機服務信息
wmic service list brief
網絡配置信息,包括 IP 地址、子網掩碼、默認網關等
ipconfig
系統信息,包括操作系統版本、安裝日期、硬件信息等
systeminfo
打開註冊表編輯器,用於查找和修改系統註冊表
regedit
用於查看和配置網絡設置、用戶帳戶和共享資源。
net
用於查看和配置 Windows 服務
sc
掃描和修復系統文件
sfc /scannow
檢測和修復硬盤錯誤
chkdsk
打開系統配置實用程序,用於配置啟動項和服務
msconfig
系統日誌審計
運行框輸入 eventvwr.msc,打開事件查看器
系統日誌
記錄操作系統組件產生的事件,主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日誌中記錄的時間類型由 Windows NT/2000 操作系統預先定義。默認位置:% SystemRoot% System32WinevtLogsSystem.evtx
應用程序日誌
包含由應用程序或系統程序記錄的事件,主要記錄程序運行方面的事件 例如數據庫程序可以在應用程序日誌中記錄文件錯誤,程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況,那麼我們可以從程序事件日誌中找到相應的記錄,也許會有助於你解決問題。默認位置:% SystemRoot% System32WinevtLogsApplication.evtx
安全日誌
記錄系統的安全審計事件,包含各種類型的登錄日誌、對象訪問日誌、進程追蹤日誌、特權使用、帳號管理、策略變更、系統事件。安全日誌也是調查取證中最常用到的日誌。默認設置下,安全性日誌是關閉的,管理員可以使用組策略來啟動安全性日誌 或者在註冊表中設置審核策略,以便當安全性日誌滿後使系統停止響應。默認位置:% SystemRoot% System32WinevtLogsSecurity.evtx