Logprase
下载地址:
https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659
使用
Security Log
主要查看管理员登录时间段是否为正常时间
木马运行时间是否和管理员登录时间对应
1 |
LogParser -i:EVT -o DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,8,'|') as LogonType, EXTRACT_TOKEN(Strings,17,'|') as ProcessName, EXTRACT_TOKEN(Strings,18,'|') as SourceIP FROM Security where EventID=4624 AND TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') and TIMESTAMP('2019-05-31','yyyy-MM-dd')" |
System Log
主要查看服务名、服务路径
1 |
LogParser -i:EVT -o:DATAGRID "SELECT TimeWritten,EventID,EventType,EventTypeName,SourceName,EXTRACT_TOKEN(Strings,0,'|') as service_name,EXTRACT_TOKEN(Strings,1,'|') as service_path,Message from system WHERE TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') AND TIMESTAMP('2019-05-31','yyyy-MM-dd')" |
Application Log
主要查看程序运行时间
1 |
LogParser -i:EVT -o:DATAGRID "SELECT * FROM Application WHERE TO_DATE(TimeGenerated) BETWEEN TIMESTAMP('2019-05-30','yyyy-MM-dd') AND TIMESTAMP('2019-05-31','yyyy-MM-dd')" |
WMIC
查看进程的命令行参数
1 |
wmic process get caption,commandline /value > tmp.txt |
DOS命令
dir
1 |
DIR [drive:][path][filename] [/A[[:]attributes]] [/B] [/C] [/D] [/L] [/N] [/O[[:]sortorder]] [/P] [/Q] [/R] [/S] [/T[[:]timefield]] [/W] [/X] [/4] |
copy和xcopy
copy只能拷贝文件,不能拷贝文件夹
xcopy能拷贝文件夹及文件
1 |
xcopy参数 |
del、deltree、rd
del 只能删除一个或者多个文件,不能删除文件夹
deltree 是一个外部命令,可以删除文件及文件夹,以及其子文件夹
rd 删除空文件夹,需要空文件夹的绝对路径
1 |
del 参数 |
move
移动一个或多个文件
1 |
/Y 若目标文件夹下有同名文件,忽略提示,直接覆盖原文件 |
attrib
更改文件属性
1 |
attrib 参数 |
netstat
查看网络连接、端口信息
1 |
NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-t] [-v] [interval] |
Linux的netstat
1 |
usage: netstat [-vWeenNcCF] [<Af>] -r netstat {-V|--version|-h|--help} |
用户操作
1 |
net user chessur password /add |