Windows内部下令
发布时间:05/17 来源:未知 浏览:
关键词:
与运用tasklist的程序相联合
当没有其它选中,只运转tasklist下令时,它会显示一列所有正在运转的程序,显示这些程序的名称、PID码和其它统计信息。要获得更多的tasklist信息,可以考虑这样运转该下令:
C:\> tasklist /svc
这个下令可以使tasklist显示每个进程中是哪个服务正在运转。很多Windows会员并不了解服务与进程之间的关系,Windows系统中的每个服务必须在某个程序中运转,并且一些程序内部有多个服务。因而,程序与服务之间的关系是一对多的关系,tasklist下令可以揭示这一点。
Tasklist下令的另一种有用情势是:
C:\> tasklist /m
“m”代表“模块(modules)”,或者代表tasklist指代DLL和代码库的方式,代码库是程序在运转历程中按照主机的下令而加载的。当用这种要领调用下令时,tasklist可以显示目前加载到所有运转程序中的每一个DLL。这就为会员在特定的工夫内供给了大量的信息,这些信息是对于其盘算机上正在产生的状况。虽然非常费事,Google搜寻特定的程序和DLL,可能会带回反病毒厂商站点中的歹意软件描述,有了特定样本,就可以洞察到袭击者的动机。
高级注册表剖析的reg下令
Reg下令可以运用户与其机器的注册表在下令行进行交互。没有采纳费事的regedit GUI来操作注册表,平安专家可以简略地弹出打开一个Windows下令界面,并运转reg下令,进而读取或更新注册表。然而,reg下令不允许注册表的交互式阅读;会员需要晓得他们想要查看或转变的注册表索引的完备途径。但是,一旦晓得了途径,reg下令是一种进行更改的简略方式。
要是要查看特定注册表索引的设置,运用reg下令的“查询”选项,具体如下所示:
C:\> reg query hklm\software\microsoft\windows\currentversion\run
这个索引控制Windows上不一样的主动启动程序,当盘算机启动以及随后会员登录到系统时,这些程序开端运转。很多歹意软件样本可以转变这个索引,来确保当系统从新启动时,歹意软件也开端运转。
将单个索引或者整个注册表输出到一个文件,用于剖析或者将其安装在一个隔离的系统中,reg下令支撑“reg输出”功能。除了读取和输出注册表设置之外,reg下令也可以进行更新。“reg add”下令将更新现有索引值,或者在不存在索引的状况下,新建一个索引。“reg import”下令可以导入多个注册表索引。
运用ipconfig进行DNS剖析
大多数真正的Windows会员都熟知ipconfig下令,它非常有用,可以显示Windows中的网络设置。但是,ipconfig有一个非常有用的功能,Ipconfig下令可以显示当地Windows机器中的DNS缓冲器,如下所示:
C:\> ipconfig /displaydns
该下令的输出可以显示各种缓冲域名、其相干的IP地址以及DNS记载的停顿工夫(以秒计)。要是会员反复运转这个下令,他们可以看到停顿工夫在减少,直到记载终止并且被放弃,或者得到更新。在研究迅速通量僵尸网络时,查看DNS缓冲器和停顿工夫(TTL)值是非常重要的,可以应用带有小局部TTL的DNS记载,来迫使陆续更新,并使研究者宁不分明黑客主要的后端服务器的地址。无可否定,ipconfig并不具有诸如本文中提到的其它下令(比方tasklist和reg)那么多的功能。但是,这条下令的一个用场就非常有用。
应用FOR /L轮回反复运转
有时,治理员或者平安专家想要反复运转一条下令,可能在5秒的隔断内探求其输出的变化。要实现这一目的,他们可以采纳Windows 系统的FOR轮回。Windows支撑五种不一样的FOR轮回,它们可以遍历文件整数、文件名、目录名称、文件内容和字符串。这里的重点是这些轮回的最简化,尤为是FOR /L,因为它可以用来使下令陆续运转,进而实现无数次遍历。FOR /L轮回的语法是:
C:\> for /L %[var] in ([start],[step],[stop]) do [command]
[var]是我们的迭代变量,一个英文字母将会在轮回中的每一步显示不一样的迭代值。然后,会员指定变量的初始值,在轮回中的每一步中,数值会添加,并且其最大值会终止轮回。也应该指定轮回中每一步运转的下令。具体说来,需要考虑下面的几点:
C:\> for /L %i in (1,1,10) do @echo %i
这个轮回会运用%i作为一个变量,初始值为1。轮回中的每一次迭代,%i会添加1,直至升到10。然后,在轮回中,会员可以运用echo下令,简略地在屏幕上打印出迭代变量的值。@告诉系统不要打印出下令自身,这使得输出略微漂亮一些。会员仅仅告诉系统从1计数到10。
此刻,我们来看看怎样运用这条下令来实现tasklist下令的陆续运转:
C:\> for /L %i in (1,0,2) do @tasklist
输入这条下令,就意味着会员告诉盘算机为变量赋值为1 ,启动轮回,计数为0 ,自始至终升到2。这就会无穷计数,直到会员单击CTRL-C来终止它。会员可以在每次迭代中简略地运转tasklist下令。
要在迭代之间推迟几秒,只需要增加“& ping --n 6 127.0.0.1 > nul”,在轮回的每次迭代中简略地屡次ping当地主机(127.0.0.1)。如下所示:
C:\> for /L %i in (1,0,2) do @tasklist & ping --n 6 127.0.0.1 > nul
因为Windows下令行没有内置的睡眠功能,来期待某个特定的推迟,会员可以运用ping,进而发生一个推迟。上面的下令可以ping当地主机地址六次(-n 6),引入一个五秒的推迟(第一次ping立刻产生,紧接着是每秒一次ping,延续五秒)。我们正将ping烦人的输出转储为nul,并使之消散。效果是一个下令可以让tasklist每五秒运转一次,这个技术可以用于反复运转本文中提到的每条下令,会员可以更细心地检查输出。更复杂的语法甚至可以解析下令的输出,允许发生专门制作的脚本,进而用于细致的系统剖析,但是这种语法超出了每月技巧的计议范畴。
通过下令行启动治理GUI
虽然Windows下令行有很多功能强大的工具,但是,不论你信赖与否,有时候,GUI工具可以比下令行做的更好。然而,Microsoft已经在其GUI的某些地址中埋藏了不一样的控件,记忆这些依稀的地址是一项令人凌乱的任务。
荣幸的是,会员无须开掘GUI来探求他们想要的东西;相反,他们可以依赖下令行快捷方式。比方,不用在开端菜单中探求并运转当地会员治理GUI,会员可以采纳就近的下令提醒和类型:
C:\> lusrmgr.msc
大量的其它GUI控件都可以采纳这种要领从下令行中启动,这样就可以节俭大量的工夫。下面是我钟爱的一些控件:
Secpol.msc:这是当地平安战略的治理者,用于在机器上配置大量的平安设置。
Services.msc:这条下令可以启动服务的控制面板GUI。
Control:这个下令可以调出工具的整个控制面板设置。
Taskmgr.exe:该下令用于启动任务治理器。
Explorer.exe:运转这条下令,可以采纳便捷的方式调用Windows file explorer。
Eventvwr.ms:该下令可以运转此下令运转Windows事件查看器(Windows Event Viewer),有助于日志剖析。
这些Windows下令行工具可以帮忙治理员和平安专家更有力的掌控其Windows机器,当挨到袭击时,可以更平安地进行配置,更详实地进行剖析。
热门标签:dede模板 / destoon模板 / dedecms模版 / 织梦模板
责任编辑:tlFub
